Domov | Blog | Řídicí a kontrolní uspořádání EMI: Сo očekává regulátor?
Apr 21, 2026

Řídicí a kontrolní uspořádání EMI: Сo očekává regulátor?

Fintech
Governance structure for an EMI — ilustrace dohledu představenstva, vnitřních kontrol, řízení rizik a regulatorního governance pro instituci elektronických peněz

Když zakladatelé připravují žádost o licenci EMI, soustředí se často nejprve na kapitál, safeguarding, AML dokumentaci a podnikatelský plán. To všechno je důležité. Existuje však oblast, která často rozhodne o tom, zda žádost působí důvěryhodně, nebo naopak křehce: řídicí a kontrolní uspořádání instituce elektronických peněz.

Regulátor nevnímá systém řízení a kontroly jako pouhou firemní formalitu. Posuzuje jej jako důkaz, že instituce může být v regulovaném prostředí řádně vedena, kontrolována, sledována a v případě potřeby napravována. Podle směrnice o elektronických penězích se obezřetnostní režim pro EMI z velké části uplatňuje prostřednictvím rámce povolování podle PSD2, což znamená, že na instituce elektronických peněz dopadají také požadavky na řízení a kontrolu známé z platebních institucí.

Právě tento bod bývá často podceňován. Nestačí pěkně zpracované organizační schéma. Regulátor chce vědět, kdo skutečně rozhoduje, kdo rozhodnutí zpochybňuje a prověřuje, kdo řídí rizika, kdo dohlíží na činnosti svěřené externím dodavatelům, kdo odpovídá za AML/CFT, kdo řeší incidenty a zda je EMI skutečně řízena z domovského členského státu, a ne jen formálně. Následné vzájemné hodnocení EBA z roku 2025 ukázalo, že systém řízení a kontroly, vnitřní kontrola a skutečné místní zázemí zůstávají v celé EU oblastmi, v nichž se dohledové přístupy stále liší, a tím vzniká prostor pro regulatorní arbitráž.

Pokud tedy navrhujete řídicí a kontrolní uspořádání pro EMI, správná otázka nezní: „co bude vypadat přijatelně v prezentaci pro investory?“ Správná otázka zní: co přesvědčí regulátora, že tato instituce může být od prvního dne a i po udělení licence řízena obezřetně a řádně?

Proč je systém řízení a kontroly v žádosti o licenci EMI tak důležitý

EMI není jen technologický produkt s připojenou licencí. Je to regulovaná finanční instituce, která pracuje s prostředky klientů, zajišťuje vydávání a zpětnou výměnu elektronických peněz, nese provozní rizika, rizika finanční kriminality, závislost na externích dodavatelích, rizika v oblasti informačních a komunikačních technologií a případně i přeshraniční činnost. Regulátor proto očekává, že nastavení řízení a kontrolní mechanismy budou odpovídat konkrétnímu obchodnímu modelu.

Pokyny EBA k povolování jsou v tomto směru jednoznačné. Žadatel o licenci EMI musí předložit popis systému řízení a kontrolních mechanismů, včetně mapování rizik, průběžných i pravidelných kontrol, účetních postupů, osob odpovědných za vnitřní kontrolní funkce, složení řídicího orgánu, dozorčích orgánů nebo výborů, dohledu nad externě zajišťovanými činnostmi, dohledu nad zástupci a pobočkami a také popis řízení na úrovni skupiny, je-li to relevantní.

Proto se řízení instituce elektronických peněz netýká jen jmenování ředitelů. Jde o vytvoření funkční kontrolní architektury.

Co regulátor obvykle očekává od řídicího a kontrolního uspořádání EMI

Skutečný řídicí orgán, ne jen formálně jmenovaní ředitelé

První očekávání regulátora je jednoduché: EMI musí mít skutečný řídicí orgán s reálnou pravomocí a odpovědností.

V rámci PSD2, která se na EMI uplatní, musí instituce určit členy vedení a osoby odpovědné za řízení a doložit, že jsou bezúhonné a mají odpovídající znalosti a zkušenosti. Tentýž rámec také vyžaduje prokázat vhodnost akcionářů s kvalifikovanou účastí tak, aby byla zajištěna řádná a obezřetná správa instituce.

V praxi regulátor nechce vidět jen působivé životopisy. Chce vědět, zda řídicí orgán:

  • rozumí službám EMI a jejím provozním tokům,
  • dokáže dohlížet na soulad s předpisy a na rizika,
  • umí prověřovat a kontrolovat externí dodavatele,
  • má dostatek času a kapacity pro výkon své funkce,
  • není jen formální ozdobou.

Slabé vedení se obvykle odhalí rychle. Funkce zní významně, ale odpovědnosti jsou nejasné. Rozhodování probíhá mimo instituci. Klíčové osoby jsou „vypůjčené“ ze skupiny bez jasného závazku. Takové nastavení obvykle vyvolává otázky ohledně skutečného řízení a místního zázemí.

Jasné rozdělení odpovědností

Dobré řídicí a kontrolní uspořádání EMI musí jasně ukazovat, kdo odpovídá za kterou oblast.

Regulátor obvykle očekává přehlednost alespoň v těchto oblastech:

  • celkové řízení a strategické vedení,
  • dohled nad riziky,
  • compliance,
  • AML/CFT kontrola,
  • finance a účetnictví,
  • provoz,
  • dohled nad safeguardingem,
  • dohled nad ICT a bezpečností,
  • dohled nad činnostmi svěřenými externím dodavatelům,
  • interní audit nebo obdobné nezávislé přezkoumání tam, kde to odpovídá rozsahu a složitosti činnosti.

Pokyny EBA výslovně požadují určit osoby odpovědné za vnitřní kontrolní funkce, včetně pravidelné, průběžné a compliance kontroly. Zároveň požadují popsat postupy pravidelných a soustavných kontrol a lidské zdroje jim přidělené.

Regulátor tedy musí být schopen bez domýšlení pochopit, jak odpovědnost proudí od řídicího orgánu dolů do každodenního výkonu a zpět nahoru prostřednictvím reportingu a eskalace.

Vnitřní kontrola, která existuje i mimo text směrnic

Mnoho žádostí o licenci EMI obsahuje pasáže o vnitřní kontrole, které znějí dobře, ale ve skutečnosti neříkají téměř nic. Regulátoři jsou na to zvyklí. Očekávají konkrétní obsah.

Pokyny EBA vyžadují mapování rizik, postupy pro vyhodnocování a předcházení zjištěným rizikům, účetní postupy, odpovědnosti v oblasti vnitřní kontroly a popis toho, jak jsou do kontrolního rámce začleněny externě zajišťované činnosti, zástupci a pobočky. Vyžadují také postupy pro řešení incidentů, omezení přístupu k citlivým platebním údajům a plány kontinuity činnosti.

Proto by vnitřní kontrola EMI měla zpravidla zahrnovat:

  • vlastníky jednotlivých kontrol,
  • podřízenost a reportovací linie,
  • četnost kontrol,
  • prahové hodnoty pro eskalaci,
  • zdokumentované schvalování,
  • průkazné záznamy,
  • reporting pro vedení nebo výbory,
  • sledování nápravných opatření.

Pokud kontrolní prostředí existuje jen v příručce compliance, ale ne v manažerských výstupech, reportech nebo provozních postupech, regulátor si toho obvykle všimne.

Přiměřené uplatnění modelu tří linií obrany

Ne každá EMI potřebuje od prvního dne rozsáhlou institucionální strukturu. Regulátor rozumí zásadě přiměřenosti. Přiměřenost ale neznamená absenci struktury.

Následné vzájemné hodnocení EBA z roku 2025 uvádí, že téměř všichni dohlížitelé používají u žadatelů o licenci platebních institucí a EMI model tří linií obrany přiměřeným způsobem, i když mezi jednotlivými státy stále existují značné rozdíly v tom, jak jsou požadavky na řízení a vnitřní kontrolu formálně upraveny a zaváděny do praxe.

U menší EMI to často znamená:

  • první linie: obchod a provoz nesou každodenní rizika,
  • druhá linie: compliance a dohled nad riziky,
  • třetí linie: nezávislé ujištění, často formou interního auditu nebo funkčně nezávislého přezkumu podle velikosti a složitosti.

Podstatné není kopírovat organizační schéma banky. Podstatné je prokázat věrohodnou nezávislost, dohled a schopnost oponovat v rozsahu odpovídajícím podnikání.

Dohled nad činnostmi svěřenými externím dodavatelům je otázkou řízení, ne jen provozu

Velká část obchodních modelů EMI stojí na externím zajištění činností: jádrové systémy, nástroje pro KYC, sledování transakcí, zpracování karet, cloudová infrastruktura, zákaznická podpora, účetní podpora nebo programové řízení.

Regulátor neočekává, že svěření činností externímu dodavateli zbaví EMI odpovědnosti. Naopak očekává, že odpovědnost za řízení zůstane uvnitř instituce. Pokyny EBA výslovně požadují popsat, jak jsou externě zajišťované činnosti sledovány a kontrolovány tak, aby nebyla oslabena kvalita vnitřní kontroly.

To je jedno z nejdůležitějších očekávání regulátora vůči EMI. Když zakladatel řekne: „to zajišťuje náš dodavatel“, další otázka regulátora obvykle zní: „a jak na tohoto dodavatele dohlížíte?“

Důvěryhodná odpověď obvykle zahrnuje:

  • odpovědnost za službu uvnitř EMI,
  • schvalování a pravidelné prověřování dodavatelů,
  • ukazatele výkonnosti a smluvené úrovně služeb,
  • hlášení incidentů a jejich eskalaci,
  • řízení přístupových oprávnění a práva na audit,
  • krizové a náhradní scénáře,
  • pravidla pro ukončení spolupráce a přechod na jiné řešení,
  • přehled vedení o kritických externě zajišťovaných činnostech.

Odpovědnost za AML/CFT musí být pevně ukotvena v systému řízení

EMI může mít propracované nástroje pro ověřování klientů, a přesto v posouzení řízení neuspět, pokud je odpovědnost za AML nejasná.

Následné hodnocení EBA upozornilo na přetrvávající nedostatky v přístupu některých dohlížitelů, mimo jiné při posuzování osoby odpovědné za AML/CFT a při dohledu nad pobočkami, zástupci a distributory.

To znamená, že regulátor chce vidět:

  • jasně určenou osobu odpovědnou za AML/CFT,
  • reportovací linii směrem k vrcholovému vedení,
  • nezávislost na obchodním tlaku,
  • dohled nad externě zajišťovanými částmi AML procesu,
  • dohled nad zástupci, distributory a pobočkami, je-li to relevantní,
  • pravidelný reporting směrem k vedení a řídicím orgánům.

V praxi požadavky na řízení EMI často selžou právě zde, ne proto, že by chyběla AML politika, ale proto, že nikdo neumí jasně vysvětlit, kdo rozhoduje v AML oblasti, kdo schvaluje rizikový apetit, kdo dostává manažerské výstupy a kdo eskaluje porušení pravidel.

Skutečné místní zázemí a účinné řízení

Jednou z nejcitlivějších oblastí při licencování EMI je skutečné místní zázemí.

Nedávná dohledová práce EBA ukazuje, že všechny příslušné orgány v následném hodnocení z roku 2025 ověřovaly ve fázi povolování skutečné řízení a kontrolu z domovského členského státu, nicméně očekávání se stále liší v tom, jak mají žadatelé tuto skutečnost prokazovat.

To je velmi důležité pro společnosti, které se snaží řídit instituci z jiné země a licencovaný subjekt ponechat jen jako prázdnou schránku. Regulátoři stále častěji ověřují, zda:

  • klíčová rozhodnutí vznikají v domovském členském státě,
  • vrcholové vedení je skutečně zapojeno,
  • záznamy a důkazy o řízení jsou místně dostupné,
  • externě zajišťované činnosti nevyprázdnily instituci zevnitř,
  • EMI má dostatečné vlastní personální a provozní zázemí k řízení regulovaných činností.

V případě České republiky je třeba tento bod brát vážně od samého začátku. Stránka ČNB věnovaná licencování EMI jasně uvádí, že vzorové formuláře a obsah příloh jsou formálně stanoveny. Důkazy o řízení proto musí být připraveny strukturovaně a přezkoumatelně, nikoli narychlo až na konci procesu.

Řízení ICT je dnes součástí základního posouzení

Starý přístup, kdy se informační a komunikační technologie považovaly jen za technickou oblast, už nestačí. Na instituce elektronických peněz dopadá DORA a její logika řízení je jednoznačná: řídicí orgán nese konečnou odpovědnost za řízení ICT rizik finanční instituce.

To znamená, že mezi očekávání regulátora vůči EMI dnes patří také dohled nad:

  • strategií ICT rizik,
  • bezpečnostními opatřeními,
  • reakcí na incidenty,
  • testováním odolnosti,
  • řízením změn,
  • dohledem nad třetími stranami v oblasti ICT,
  • rozdělením rolí v oblasti digitální provozní odolnosti.

I když tedy EMI svěří velkou část technologického zázemí externím dodavatelům, řídicí orgán musí mít nad touto oblastí skutečný dohled. Představenstvo, které nedokáže vysvětlit klíčové ICT závislosti, cesty eskalace incidentů a opatření zajišťující odolnost, nebude působit jako připravené na regulovaný trh.

Co obvykle obsahuje silný model řízení EMI

Silné řídicí a kontrolní uspořádání EMI obvykle obsahuje tyto stavební prvky:

Řídicí orgán

Představenstvo nebo obdobný řídicí orgán s jasně stanovenou pravomocí, rytmem zasedání, vyhrazenými otázkami k rozhodnutí, pravidly reportingu a doloženým dohledem nad regulovanou činností.

Vrcholové vedení

Konkrétně určené osoby odpovědné za výkon podnikání, compliance, AML/CFT, finance, provoz, safeguarding a dohled nad ICT a bezpečností.

Kontrolní rámec

Jasné vlastnictví rizik v první linii, oponentura ve druhé linii a nezávislé přezkoumání nebo ujištění ve třetí linii přiměřené velikosti a složitosti instituce.

Výbory nebo formálně nastavená rozhodovací fóra

Ne každá EMI potřebuje mnoho výborů, ale fóra pro rozhodování o rizicích, compliance, incidentech, externě zajišťovaných činnostech a finančním dohledu často model posilují.

Řízení externě zajišťovaných činností

Jasný přehled kritických dodavatelů, interních vlastníků, kontrolních postupů a eskalačních cest.

Dokumentace a důkazní materiály

Směrnice jsou důležité, ale v praxi ještě důležitější bývají zápisy z jednání vedení, manažerské reporty, registry rizik, záznamy o incidentech, schvalovací dokumentace a sledování nápravných opatření.

Časté chyby v řízení projektů EMI

Nejčastější chyby se překvapivě stále opakují.

Jednou z nich je jmenování působivých ředitelů, kteří se ve skutečnosti na provozu nepodílejí. Další chybou je sloučení compliance, rizik a obchodní činnosti do jedné nejasné funkce bez skutečné nezávislosti. Třetí častou chybou je svěření klíčových procesů externím dodavatelům bez zachování dostatečné kontrolní kapacity uvnitř EMI.

Častou chybou je také zacházet se skutečným místním zázemím jako s právní fikcí. V prezentaci to může fungovat, při dotazech regulátora ale takový přístup obvykle neobstojí.

A nakonec mnoho společností vytvoří schéma řízení, které neodpovídá skutečným rizikům daného obchodního modelu. EMI s externě zajištěným onboardingem, peněženkovou infrastrukturou a sledováním transakcí nemůže mít v praxi stejné těžiště řízení jako jednoduchý domácí zpracovatel plateb.

Jak AMS pomáhá nastavit řízení EMI

V AMS Europe považujeme systém řízení za jeden z hlavních pracovních proudů licenčního procesu, nikoli za kosmetickou přílohu.

To obvykle znamená, že klientům pomáháme mapovat odpovědnosti vedení, vymezit kontrolní funkce, rozdělit odpovědnost za AML/CFT a dohled nad safeguardingem, sladit dohled nad externě zajišťovanými činnostmi se skutečným provozem a připravit důkazy o řízení tak, aby odpovídaly tomu, co bude regulátor v žádosti skutečně posuzovat.

U českých projektů EMI to zároveň znamená navrhnout celý balíček dokumentace tak, aby odpovídal logice žádosti před ČNB i širším evropským obezřetnostním požadavkům, které se na instituce elektronických peněz uplatňují prostřednictvím PSD2 a rámce EBA.

AMS Europe pomáhá zakladatelům a vlastníkům budovat modely řízení, které obstojí před regulátorem, nejen ve firemních prezentacích.

Plánujete licenci EMI nebo prověřujete stávající strukturu?

Promluvit si s odborníkem

Závěr

Regulátor neočekává, že každá EMI bude vypadat jako velká banka. Očekává však, že bude řiditelná a kontrolovatelná.

V tom spočívá podstata celé věci. Řídicí a kontrolní uspořádání EMI má ukázat, že instituce dokáže přijímat odpovědná rozhodnutí, řídit rizika, dohlížet na externě zajišťované činnosti, řešit incidenty, plnit AML/CFT povinnosti a prokázat skutečné řízení z domovského členského státu.

Jestliže je váš model postaven na neformálních dohodách, skrytých rozhodovatelích nebo neprůhledných externích řešeních, je pravděpodobně pro licenční řízení příliš slabý. Pokud naopak jasně rozděluje odpovědnost, důkazní materiály, oponenturu a dohled, je na správné cestě.

FAQ

Co regulátor skutečně očekává od řízení EMI?

Regulátor očekává systém řízení, který funguje v praxi, ne jen na papíře. To znamená jasné rozhodování, vymezené odpovědnosti, skutečnou vnitřní kontrolu a viditelný dohled nad riziky, souladem s předpisy a provozem. Struktura musí ukázat, že EMI může být řádně řízena od prvního dne.

 

Musí členové vedení EMI splňovat zvláštní regulatorní požadavky?

Ano. Členové vedení a vrcholoví manažeři musí splňovat požadavek odborné způsobilosti a důvěryhodnosti, tedy mít dobrou pověst, odpovídající zkušenosti a schopnost řídit regulovanou finanční instituci. Posuzují se i akcionáři s významným podílem.

 

Potřebuje EMI plný model tří linií obrany?

Ve většině případů ano, ale přiměřeným způsobem. Regulátor očekává zřetelné oddělení mezi obchodním provozem, kontrolními funkcemi a nezávislým dohledem, i když u menších institucí může být struktura jednodušší.

 

Jak důležitá je jasnost rolí v rámci EMI?

Velmi důležitá. Regulátor chce přesně vidět, kdo odpovídá za compliance, AML, rizika, provoz a další klíčové oblasti. Pokud jsou odpovědnosti nejasné nebo se překrývají, vyvolává to okamžité pochybnosti.

 

Může EMI svěřit klíčové činnosti externím dodavatelům?

Ano, je to běžné. Tím ale odpovědnost nekončí. EMI si musí zachovat kontrolu, sledovat dodavatele a být schopna doložit, jak jsou tyto činnosti interně řízeny a kontrolovány.

Jaká je největší chyba v řízení u žádostí o licenci EMI?

Častou chybou je považovat systém řízení za formalitu — jmenovat osoby do funkcí bez jejich skutečného zapojení nebo vytvářet struktury, které vypadají dobře na papíře, ale neodpovídají reálnému fungování podniku.

Jak důležité je skutečné místní zázemí pro řízení EMI?

Je zásadní. Regulátor očekává, že klíčová rozhodnutí a řídicí činnosti skutečně probíhají v domovském členském státě, a ne jinde. Slabá místní přítomnost patří mezi nejčastější důvody pro zvýšenou kontrolu.

Ovlivňuje regulace ICT, například DORA, řízení EMI?

Ano. Podle DORA nese řídicí orgán konečnou odpovědnost za ICT rizika. To znamená, že systém řízení dnes zahrnuje také dohled nad technologiemi, bezpečností, odolností a třetími stranami, i když jsou systémy zajišťovány externě..

Související zprávy

Jak outsourcing účetnictví podporuje získání licence CASP/EMI
Byznys Fintech
Jak získat licenci platební instituce
Fintech
AML požadavky pro žadatele o licenci EMI
Fintech
Co je PI licence?
Fintech
Roadmap přípravy na EMI licenci na 16–32 týdnů
Fintech
Požadavky na ochranu klientských prostředků u EMI společností vysvětlené srozumitelně
Fintech
Jak sestavit věrohodný 3letý finanční model pro EMI (předpoklady, stresové scénáře, burn rate, break-even)
Byznys Fintech
Běžné důvody, proč se žádosti o licenci EMI zpožďují (a jak se vyhnout přepracování)
Byznys Fintech
Jak získat licenci EMI v Evropě
Fintech
Proč licencování EMI není jen právní podání
Fintech