18. člen
(postopki za zagotavljanje sistema notranjih kontrol)
(1)
Plačilna institucija mora imeti učinkovito strukturo sistema notranjih kontrol, na katerih temelji izvajanje notranjih kontrolnih dejavnosti. Notranje kontrolne dejavnosti se morajo izvajati na ravni vseh plačilnih storitev, v okviru vseh dnevnih poslovnih dejavnosti, vključno s spremljanjem delovanja informacijskih sistemov ter delovanja zaposlenih, kot tudi zunanjih izvajalcev. Bistvene ugotovitve notranjih kontrolnih dejavnosti ter pripadajoči ukrepi morajo biti dokumentirani.
(2)
Plačilna institucija mora v okviru izvajanja notranjih kontrol zagotoviti najmanj: jasno opredeljene kontrolne točke v vseh delovnih procesih, limite za omejevanje izpostavljenosti plačilne institucije finančnim tveganjem, fizične kontrole in sistem rednega poročanja ustreznim vodstvenim strukturam, kot tudi sistem ugotavljanja in odprave kršitev in drugih nepravilnosti pri izvajanju plačilnih storitev.
(3)
Notranje kontrolne dejavnosti na področju delovnih procesov se morajo izvajati na podlagi pisnih navodil in usmeritev, ki vključujejo opise poslovnih procesov, delovna navodila in pravilnike, ki urejajo delovne procese. Plačilna institucija mora zagotoviti ustrezno stopnjo podrobnosti navodil in usmeritev, vključno s pravili glede organizacijske in poslovno-operativne strukture plačilne institucije, sistema dodeljevanja nalog, hierarhije sprejemanja odločitev, pristojnosti in odgovornosti zaposlenih ter izvajanja postopkov. Stopnja podrobnosti teh navodil in usmeritev mora biti odvisna od značilnosti, obsega in zapletenosti poslovnih dejavnosti plačilne institucije ter pripadajočih tveganj. V primeru kakršnih koli sprememb poslovnih dejavnosti ali pripadajočih procesov morajo biti navodila in usmeritve ustrezno in čim prej ažurirani. Navodila in usmeritve morajo biti dokumentirani. Zaposleni morajo biti seznanjeni z vsebino tistih navodil in usmeritev, ki jih potrebujejo za izpolnjevanje vseh svojih delovnih nalog.
(4)
Notranje kontrolne dejavnosti na področju določanja limitov za omejevanje izpostavljenosti finančnim tveganjem vključujejo: vzpostavitev strukture limitov izpostavljenosti, sistem preverjanja skladnosti poslovnih transakcij z vzpostavljenimi limiti ter morebitne postopke presoje odobritev poslovnih transakcij, ki presegajo te limite.
(5)
Notranje kontrolne dejavnosti na področju fizičnih kontrol vključujejo: fizične kontrole dostopa do premičnega in nepremičnega premoženja plačilne institucije in njegovo varovanje, izvajanje načela štirih oči ter redno popisovanje premičnega in nepremičnega premoženja plačilne institucije.
(6)
Notranje kontrolne dejavnosti na področju kadrov vključujejo spremljanje zasedenosti delovnih mest, znanja in strokovnosti zaposlenih ter izvajanja izobraževanja, spremljanje števila zaposlenih za določen čas ter izvajanje nadzora nad njimi.
(7)
Plačilna institucija mora zagotoviti notranje in zunanje poročanje, ki poleg poročil o tveganjih vključuje tudi podatke o:
(8)
Notranje kontrolne dejavnosti na področju poročanja temeljijo na spremljanju poročil s strani ustreznih vodstvenih ravni in vključujejo ugotavljanje morebitnih pomanjkljivosti in napak v poročilih ter drugih nepravilnosti v delovanju zaposlenih pri izdelavi poročil.
(9)
Plačilna institucija mora na področju informacijskih sistemov izvajati sledeče notranje kontrolne dejavnosti:
(10)
Plačilna institucija mora v zvezi s preprečevanjem pranja denarja in financiranja terorizma izvajati zlasti sledeče kontrolne dejavnosti: