Domov | Blog | IT a personál pro společnosti EMI
Mar 26, 2026

IT a personál pro společnosti EMI

Fintech

Co musí EMI vybudovat, než se může rozšiřovat

IT a personální požadavky pro EMI společnosti, včetně řízení ICT rizik, kontroly outsourcingu a governance pro instituce elektronických peněz

Společnost EMI není nikdy jen právnickou osobou s licencí a nápadem na platby. V praxi je instituce elektronických peněz regulovaným provozním modelem, který musí regulátorovi prokázat dvě věci současně: za prvé, že její IT prostředí je bezpečné, odolné a spravovatelné; za druhé, že lidé, kteří ji řídí, jsou kompetentní, organizovaní a schopní průběžně řídit podnikání. V rámci EU se povolení EMI řídí logikou povolení PSD2, jak se vztahuje na instituce elektronických peněz, a od 17. ledna 2025 zavedla směrnice DORA harmonizované požadavky na řízení ICT rizik v celém finančním sektoru, včetně institucí elektronických peněz.

Právě proto není téma „IT a personál pro společnosti EMI“ okrajovou záležitostí. Je součástí jádra licenčního procesu. Regulační orgány se neptá pouze na to, zda produkt funguje. Ptá se, zda lze instituci řídit řádným a obezřetným způsobem, zda lze incidenty zvládnout, zda jsou kritické systémy zdokumentovány, zda je outsourcing pod kontrolou a zda má manažerský tým skutečně čas, kompetence a strukturu k řádnému dohledu nad institucí. Rámec EBA pro udělování povolení platebním institucím a institucím elektronických peněz vyžaduje, aby žadatelé poskytli informace o uspořádání správy a řízení, mechanismech vnitřní kontroly, organizační struktuře, kontinuitě podnikání, outsourcingu a totožnosti a vhodnosti osob odpovědných za řízení.

Proč je IT pro EMI tak důležité

Pro EMI není IT pouze podpůrnou infrastrukturou. Je to provozní páteř pro registraci nových uživatelů, zpracování transakcí, záznamy o peněženkách, logiku zabezpečení, odsouhlasování, autentizaci, reporting, komunikaci se zákazníky a reakci na incidenty. Pokud je IT architektura slabá, EMI se nestane pouze méně efektivní. Stane se obtížněji dohlížetelnou, obtížněji auditovatelnou a její provoz bude nebezpečnější.

Vzhledem k tomu, že nařízení DORA platí od 17. ledna 2025, očekává se od společností EMI, že budou udržovat řádný rámec pro řízení ICT rizik, řídit incidenty související s ICT, kontrolovat technologická rizika třetích stran a testovat digitální operační odolnost strukturovaným způsobem. EBA rovněž v únoru 2025 objasnila, že DORA nyní poskytuje harmonizovaný rámec pro rizika v oblasti ICT pro subjekty včetně platebních institucí a institucí elektronických peněz, zatímco starší pokyny EBA pro ICT byly odpovídajícím způsobem zúženy.

V praxi to znamená, že EMI by se neměla spoléhat na vágní prohlášení typu „o bezpečnost se stará náš dodavatel“. Instituce sama zůstává odpovědná za porozumění svým systémům, rizikům, závislostem a kontrolám. To zahrnuje správu přístupu uživatelů, oddělení povinností, protokolování, logiku zálohování, postupy obnovy, řízení změn, řešení zranitelností a přehled o outsourcovaných nebo cloudových komponentách. Model DORA není postaven na slepém delegování. Je postaven na odpovědném dohledu.

Co regulátoři očekávají od IT stacku

Regulátor obvykle nevyžaduje jednu konkrétní značku softwaru. Důležité je, zda EMI dokáže jasně vysvětlit svou provozní architekturu a prokázat, že nastavení je vhodné pro licencovanou činnost.

Ve většině případů zahrnuje minimální důvěryhodné technologické prostředí EMI:

Základní transakční a účetní logiku

EMI musí být schopna vysvětlit, jak se vytvářejí, aktualizují, omezují a odsouhlasují zůstatky. Pokud instituce vydává elektronické peníze, nelze účetní logiku považovat za černou skříňku. Regulátor bude chtít mít jistotu, že záznamy jsou úplné, sledovatelné a kontrolované.

Bezpečnost a řízení přístupu

Přístup k produkčním systémům, údajům o zákaznících, platebním funkcím a administrativním právům by měl být omezen a dokumentován. Sdílené administrátorské účty, neformální přihlašovací údaje nebo nespravovaný privilegovaný přístup jsou typy slabých míst, které rychle ničí důvěru v kontrolní prostředí.

Auditní stopy a protokolování

EMI by měly být schopny rekonstruovat, kdo co udělal, kdy a v jakém systému. To je důležité pro přezkoumávání podvodů, provozní incidenty, řešení sporů, interní vyšetřování a inspekce orgánů dohledu.

Řízení incidentů a kontinuita podnikání

Seriozní EMI potřebuje postupy pro eskalaci incidentů, záložní logiku, zálohy, plánování obnovy a jasné vnitřní odpovědnosti. Podle nařízení DORA nejsou řízení incidentů v oblasti ICT a provozní odolnost volitelnými doplňky. Jsou součástí samotného regulačního rámce.

5. Outsourcing a dohled nad třetími stranami

Mnoho společností EMI využívá externí poskytovatele pro klíčové bankovní technologie, cloudový hosting, nástroje KYC, systémy pro odhalování podvodů, zpracování karet nebo systémy zákaznické podpory. To však nesnižuje odpovědnost EMI. Zvyšuje to potřebu due diligence dodavatelů, smluvní jasnosti, monitorování, plánování ukončení spolupráce a povědomí o riziku koncentrace. DORA výslovně řeší řízení rizik třetích stran v oblasti ICT pro finanční subjekty.

Personál pro společnosti EMI: kdo vlastně musí být k dispozici

Častou chybou zakladatelů je domnívat se, že personální obsazení lze vyřešit až po udělení povolení. Ve skutečnosti regulační orgány posuzují, zda má EMI dostatek lidí, dostatek kompetencí a dostatek manažerských kapacit, než je instituci povoleno expandovat.

Rámec pro udělování povolení EBA vyžaduje informace o osobách odpovědných za řízení instituce, jejich vhodnosti a organizačních opatřeních podporujících podnikání. Příslušné orgány mohou odepřít povolení, pokud struktura správy a řízení nepodporuje řádné a obezřetné řízení.

Funkční model personálního obsazení EMI obvykle zahrnuje následující role, ať už plně interní, nebo částečně outsourcované s náležitým dohledem:

Řídící orgán / výkonné vedení

Někdo musí nést odpovědnost za obchodní model, regulační strategii a každodenní chod instituce. Nejedná se o nominální funkci zakladatele. Regulační orgány posuzují kompetence, dostupnost a skutečnou rozhodovací schopnost.

Funkce compliance

EMI potřebuje kapacitu pro compliance, která dokáže monitorovat povinnosti, udržovat politiky, sledovat regulační změny a podporovat vnitřní kontroly. V malých institucích může být tato funkce štíhlá, ale i tak potřebuje autoritu, přístup a kontinuitu.

Funkce AML / finanční kriminalita

Vzhledem k expozici vůči ML/TF v oblasti plateb a elektronických peněz musí být EMI schopna řídit kontroly při přijímání nových klientů, monitorování transakcí, prověřování sankcí, eskalaci a hlášení podezřelých aktivit v souladu s platnými místními zákony.

Řízení rizik

I když je instituce malá, někdo musí identifikovat a monitorovat rizika související s provozem, compliance, outsourcingem, podvody, ICT a likviditou. Licence neodstraňuje potřebu odpovědnosti za rizika. Naopak ji zvyšuje.

Odpovědnost za IT / bezpečnost

Ne každá EMI potřebuje hned od začátku obrovský interní tým techniků. Každá EMI však potřebuje odpovědnou správu ICT. Pokud je technologie outsourcována, interní dohled se stává ještě důležitějším, nikoli méně důležitým.

Provoz a zákaznická podpora

Platební podniky generují výjimky: neúspěšné transakce, stížnosti zákazníků, omezení účtů, nesrovnalosti při odsouhlasování, spory a okrajové případy při přijímání nových zákazníků. Bez provozní vrstvy se EMI velmi rychle stane křehkou.

Skutečnou otázkou není počet zaměstnanců – je to kontrolovatelnost

Regulační orgány se neptá jen: „Kolik máte zaměstnanců?“ Ptají se, zda je instituce kontrolovatelná. Štíhlá EMI s dobře definovaným modelem řízení, jasnými hranicemi outsourcingu, silnou dokumentací a kompetentními vlastníky funkcí může vypadat důvěryhodněji než větší společnost s nejasnými odpovědnostmi a roztříštěnými systémy.

Proto je dobré personální obsazení EMI méně o budování obrovského týmu a více o budování obhajitelné struktury:

  • jasné linie podřízenosti,
  • definované kontrolní funkce,
  • zdokumentované eskalační cesty,
  • rozhodovací práva pro klíčové otázky,
  • zastupování při absencích a incidentech,
  • žádná nebezpečná koncentrace znalostí u jednoho zakladatele nebo jednoho dodavatele.

To je obzvláště důležité v podnicích EMI, kde růst může předstihnout správu. Společnost může rychle přijímat uživatele, přidávat země, přidávat platební toky, přidávat karty, přidávat partnery – a najednou si uvědomit, že interní tým již nedokáže vysvětlit, jak je instituce řízena.

Outsourcing nevyřeší slabé personální plánování

Mnoho zakladatelů EMI předpokládá, že outsourcovaný compliance, outsourcovaný AML, outsourcované IT a outsourcovaná podpora společně vytvoří instituci v souladu s předpisy. Nevytvoří. Outsourcing může být platným provozním modelem, ale pouze pokud EMI sama zůstává schopná řídit outsourcované uspořádání.

Rámec pro udělování povolení a širší obezřetnostní logika pro EMI neumožňují, aby odpovědnost zmizela ve smlouvách s dodavateli. Instituce musí stále rozumět službám, monitorovat poskytovatele, řídit rizika a přijímat opatření, když něco selže. Outsourcovaný model bez interní odpovědnosti obvykle vypadá efektivně v prezentaci a slabě před regulátorem.

Typické slabiny v IT a personálních modelech EMI

Stejné problémy se objevují znovu a znovu:

  • Řízení zaměřené na zakladatele. Jedna osoba schvaluje vše, rozumí všemu a kontroluje vše. To může fungovat pro sprint startupu, ale nevypadá to jako odolné řízení.
  • Nejasná odpovědnost za ICT. Společnost využívá více dodavatelů, ale nikdo interně nedokáže zmapovat celou architekturu, přístupová práva, integrace nebo body selhání.
  • Tenká vrstva compliance. Zásady existují, ale nikdo je neaktualizuje, nemonitoruje ani nekontroluje, zda provoz stále odpovídá tomu, co bylo popsáno v autorizačním souboru.
  • Žádná skutečná připravenost na incidenty. Existuje bezpečnostní politika, ale žádný otestovaný eskalační proces, žádný rozhodovací strom a žádná praktická choreografie obnovy.
  • Outsourcing bez kontroly. Kritické služby jsou delegovány, ale dohled se omezuje na schvalování faktur a občasný telefonát dodavateli.

Jak vypadá nastavení EMI přátelské k regulátorům

Důvěryhodná EMI nemusí být obrovská, ale měla by být koherentní. IT stránka by měla být zdokumentována, měla by mít kontrolovaný přístup, měla by být odolná a měla by být pod dohledem. Personální stránka by měla vykazovat skutečnou kompetenci, skutečnou odpovědnost a dostatečnou kapacitu pro současný a plánovaný rozsah instituce.

To obvykle znamená:

  • vysvětlitelnou systémovou architekturu,
  • jmenovitou odpovědnost za ICT,
  • postupy pro řešení incidentů a zajištění kontinuity,
  • řádné záznamy o outsourcingu a správu,
  • vedení s časem a kompetencemi k dohledu,
  • funkční pokrytí v oblasti compliance / AML / rizik,
  • personální obsazení úměrné obchodnímu modelu, profilu transakcí a plánu růstu.

Závěr

IT a personál pro společnosti EMI nejsou „detaily po udělení licence“. Jsou součástí toho, co činí EMI vůbec způsobilou k získání licence a udržitelnou. V roce 2026 nejsou instituce, které vypadají nejsilněji, obvykle ty s nejhlasitějším příběhem o produktech. Jsou to ty, které mohou regulátorovi předložit kontrolovaný provozní model: bezpečné systémy, odolnou architekturu, odpovědné lidi a správu, která funguje i při růstu podnikání.

EMI může outsourcovat mnoho úkolů. Nemůže však outsourcovat odpovědnost. A to je hlavní princip, na kterém jsou založeny očekávání v oblasti IT i personálu v regulačním rámci EU.

FAQ: IT a personál pro společnosti EMI

Potřebují společnosti EMI plnohodnotné interní IT oddělení?

Ne nutně. EMI může outsourcovat části svého technologického stacku, ale stále potřebuje interní odpovědnost za ICT a dohled nad ním. Podle nařízení DORA zůstávají finanční subjekty odpovědné za řízení ICT rizik, incidentů, testování a rizik spojených s technologiemi třetích stran.

Vztahuje se nařízení DORA na společnosti EMI?

Ano. Nařízení DORA se uplatňuje od 17. ledna 2025 a vztahuje se na finanční subjekty včetně institucí elektronických peněz. EBA v roce 2025 potvrdila, že nařízení DORA nyní poskytuje harmonizovaný rámec pro řízení ICT rizik pro tyto subjekty.

Jaký personál regulátoři obvykle očekávají, že bude mít instituce elektronických peněz?

Regulátoři očekávají minimálně důvěryhodný řídící orgán a vhodná opatření pro správu a řízení, spolu s dostatečnou kapacitou pro compliance, rizika, AML/finanční kriminalitu, provoz a dohled nad ICT v poměru k obchodnímu modelu.

Lze v instituci elektronických peněz outsourcovat compliance a AML?

Některé funkce lze outsourcovat v závislosti na jurisdikci a modelu, ale EMI sama zůstává odpovědná za kontrolu, dohled a dodržování předpisů. Outsourcing snižuje interní zátěž při provádění, nikoli odpovědnost.

Jaká je největší chyba při personálním obsazení EMI?

Velmi častou chybou je považovat klíčové funkce za formální tituly bez skutečné kapacity, pravomoci nebo podřízenosti. Regulátoři se zaměřují na to, zda lze instituci řídit zdravým a obezřetným způsobem, nikoli na to, zda organizační schéma vypadá působivě.

Založte si skutečnou EMI

Pomůžeme vám strukturovat, zdokumentovat a ochránit váš kapitál tak, aby splňoval očekávání ČNB – a ne jen zákonné minimum.

promluvit si s odborníkem

Související zprávy

3 linie obrany pro EMI: minimum, které funguje
Byznys Fintech
Roadmap přípravy na EMI licenci na 16–32 týdnů
Fintech
Plán IT Stacku EMI
Byznys Fintech
Výběr jurisdikce pro EMI v EU
Fintech
Jak získat licenci platební instituce
Fintech
Jak sestavit věrohodný 3letý finanční model pro EMI (předpoklady, stresové scénáře, burn rate, break-even)
Byznys Fintech
Pasportování EMI v EU
Byznys Fintech
Jak outsourcing účetnictví podporuje získání licence CASP/EMI
Byznys Fintech
Řídicí a kontrolní uspořádání EMI: Сo očekává regulátor?
Fintech
Licence EMI vs. bankovní licence: která odpovídá vašemu obchodnímu modelu?
Fintech