Контрольный список для подачи заявки на получение лицензии EMI (Чехия)

Документы, пакет доказательств и типичные ошибки по разделам

Почему «куча PDF-файлов» не работает в Чехии

В Чешской Республике компетентным органом по выдаче лицензий EMI является Чешский национальный банк (ČNB). Заявки могут подаваться только в электронном виде (через систему Data Box), и ČNB явно рекомендует использовать свои опубликованные формы.

Самый быстрый способ потерять несколько месяцев — это подать политики, которые звучат хорошо, но ничего не доказывают. ČNB (и руководство на уровне ЕС) ожидает подкрепленной доказательствами, внутренне согласованной операционной модели: ассортимент продуктов → процессы → контроль → ИТ/аутсорсинг → защита → финансы — все должно соответствовать. Руководство EBA по выдаче разрешений прямолинейно: информация должна быть правдивой, полной, точной и актуальной, с детализацией, соразмерной бизнесу.

Пакет доказательств: что это такое и как его структурировать

Думайте о пакете доказательств как о прослеживаемом досье, а не как о свалке приложений. Каждое утверждение в заявке должно соотноситься с артефактом, который вы можете показать (политика, реестр, отчет, скриншот, пункт договора, выписка из журнала, шаблон и т. д.).

Минимальная структура (рекомендуемая)

• E00 — Указатель доказательств / матрица сопоставления
• Требование → идентификатор документа → ссылка на раздел → владелец → версия/дата → «что это доказывает»
• Пакет документов по управлению (организационная структура, описание должностей, RACI, система внутреннего контроля)
• Пакет документов по процессам (путь клиента + стандартные операционные процедуры для ключевых потоков с результатами и средствами контроля)
• Пакет документов по защите (метод, счета, сверки, эскалация, отчетность)
• Пакет AML/CFT (RBA, KYC/EDD, сценарии TM, управление делами, отчетность)
• Пакет ИКТ и безопасности (архитектура, контроль доступа, ведение журналов, управление изменениями, инциденты, BCP/DR)
• Пакет аутсорсинга (реестр, должная осмотрительность, контракты/SLA, права на аудит, план выхода)
• Пакет финансовых моделей (допущения, P&L/BS/CF, капитал/собственные средства, стресс-сценарии)
• Пакет по защите клиентов (условия и положения, комиссии, жалобы, раскрытие информации)

Контрольный список по разделам: документы + типичные ошибки

1) Сопроводительное письмо + определение сферы деятельности (что вы фактически запрашиваете)

Включите

• Четкое определение сферы деятельности: эмиссия электронных денег + любые платежные услуги (и где вы будете осуществлять свою деятельность)
• Общий список продуктов и этапы запуска (MVP vs. полный объем)
• Перекрестные ссылки на индекс доказательств

Типичные ошибки

• Объем «Мы сделаем все» без последовательности
• Несоответствие объема в сопроводительном письме, формах, описаниях процессов и финансовой модели

2) Формы ČNB + механика подачи заявки (не импровизируйте)

Включите

• Формы заявки ČNB (включая шаблоны форм заявки для учреждений электронных денег)
• Где/как подавать: поле данных

Типичные ошибки

• Пропущенные поля, несогласованные идентификаторы, разные версии одних и тех же фактов
• Нечетко обозначенные вложения, отсутствие матрицы сопоставления, отсутствие «единого источника правды»

3) Капитал и собственные средства (это не ощущение, это евро)

Включить

• Доказательства капитала + описание источников финансирования (и документы)
• Подход к собственным средствам и триггеры для постоянного мониторинга капитала
• Финансовый план, показывающий, как вы сохраняете адекватную капитализацию

Ключевое правило, которое нужно запомнить

• В переводе чешского закона о платежных системах говорится: начальный капитал для EMI должен составлять не менее 350 000 евро.

Типичные ошибки

• Отсутствие достоверного объяснения источника средств / цепочки владения
• Убыточный план без плана пополнения капитала или триггеров управления

4) Система управления и внутреннего контроля

Включить

• Организационная структура (включая ключевые функции), описание ролей, права принятия решений
• RACI для адаптации, защиты, сверки, отчетности по AML, обработки инцидентов
• Система внутреннего контроля (1-я линия — выполнение, 2-я линия — надзор, 3-я линия — обеспечение)

Типичные ошибки

• «Бумажное» управление: должности существуют, но время, затрачиваемое на их выполнение, и опыт не соответствуют
• Отсутствие разделения обязанностей (одно и то же лицо владеет продуктом + контролирует + утверждает)
• Отсутствие доказательств операционного контроля (реестры, MI, периодичность отчетности)

5) Программа операций (продукты, потоки и кто что делает)

Включить

• Описание продуктов: выпуск/погашение, методы финансирования, лимиты, комиссии
• Карты путешествия клиента (от привлечения до закрытия)
• Диаграммы денежных и информационных потоков (включая поставщиков и системы)

Типичные ошибки

• Описание потоков без указания результатов и контрольных точек («мы отслеживаем транзакции» — как?)
• Скрытые зависимости (процессор карт/поставщик KYC/главная книга), не отраженные в документах по аутсорсингу

6) Защита (здесь слабые файлы обрекаются на гибель)

Включить

• Описание метода защиты и операционной модели
• Настройка и управление разделенными счетами
• Процесс сверки: частота, допустимые отклонения, эскалация, отслеживание отчетности
• Доказательства: образцы отчетов о сверке, журналы утверждений, билеты исключений

Типичные ошибки

• «Мы будем обеспечивать безопасность» без механизма и графика
• Отсутствие сверок (или неопределенность: кто, как часто, какие доказательства, что происходит во время перерывов)
• Обеспечение безопасности не согласуется с моделью бухгалтерского учета/главной книги и финансовыми предположениями

7) AML/CFT (да, это должно быть реально, а не переведенный шаблон)

Включить

• Оценка рисков (клиент/продукт/канал/география) + меры контроля (CDD/EDD)
• Правила/сценарии мониторинга транзакций и рабочий процесс по делам
• Процедура отчетности о подозрительной деятельности + программа обучения
• Доказательства: образец распоряжения по предупреждению, шаблон заметок по делу, журналы обучения

Ориентир

• Чешская система AML основана на Законе № 253/2008 Coll. (существуют английские переводы).

Типичные ошибки

• Общая политика AML, не соответствующая вашим продуктам/каналам
• Отсутствие RBA (или RBA не связано с фактическими правилами мониторинга и решениями по привлечению клиентов)
• «Мы купим инструмент позже» без промежуточных процедур и подотчетности

8) ИКТ и безопасность (покажите меры контроля, а не просто описывайте их)

Включить

• Обзор архитектуры + потоки данных + инвентаризация ключевых систем
• Контроль доступа (RBAC), ведение журналов, управление изменениями, реагирование на инциденты
• BCP/DR с доказательствами тестирования и ответственностью

Типичные ошибки

• Отсутствие доказательств: нет рабочего процесса регистрации заявок, нет журналов, нет результатов проверки доступа
• Неуправляемый доступ подрядчиков; отсутствие контрольного журнала; отсутствие утверждений изменений
• BCP/DR существует, но никогда не тестировался (и никто за него не отвечает)

9) Аутсорсинг (ваши поставщики становятся вашим риском)

Включите

• Реестр аутсорсинга: что, почему, критичность, риски, владельцы
• Пакет документов для должной проверки (безопасность, отказоустойчивость, финансы, субподряд)
• Положения контракта: права на аудит, доступ к информации/помещениям, KPI/SLA, план выхода

Здесь важны рекомендации EBA по аутсорсингу

• В рекомендациях EBA по аутсорсингу особое внимание уделяется правам на аудит/инспекцию/доступ в соглашениях об аутсорсинге, особенно в отношении критически важных/важных функций.

Типичные ошибки

• Отсутствие прав на аудит, отсутствие контроля суб-аутсорсинга, отсутствие плана выхода
• Объявление основной зависимости «некритичной» без обоснованной оценки
• SLA существует, но нет доказательств мониторинга или ритма управления

10) Финансовая модель (3 года) + допущения + стресс-сценарии

Включить

• P&L, баланс, денежный поток (желательно ежемесячно для 1-го года)
• Книга допущений (объемы, цены, затраты, кадровый состав, соблюдение нормативных требований, комиссии поставщиков)
• Негативные сценарии (падение объемов, скачки затрат, мошенничество/возвратные платежи и влияние на операционную деятельность)
• Прослеживаемость: объемы → балансы → выручка → затраты → капитал/собственные средства

Типичные ошибки

• Финансовые показатели, не соответствующие операционным возможностям (например, 10 тыс. клиентов с 1 штатным сотрудником)
• Заниженные затраты на соблюдение нормативных требований/аутсорсинг/ИТ и нереалистичные сроки запуска
• Отсутствие связи между защитой операций и механикой баланса

11) Защита клиентов: условия и положения, комиссии, жалобы, раскрытие информации

Включить

• Проект условий для клиентов + тарифная сетка + раскрытие информации (простое, последовательное)
• Процесс рассмотрения жалоб с SLA, эскалацией, отчетностью

Типичные ошибки

• «Маркетинговые условия», не соответствующие операционной реальности или комиссиям в модели
• Рассмотрение жалоб через «напишите нам» без процесса, журналов или ответственности

12) Окончательная проверка согласованности (скучная часть, которая сэкономит вам месяцы)

Перед подачей проведите проверку на согласованность:

• Одинаковый объем продуктов везде (формы, операции, AML, защита, финансы)
• Одинаковые роли/владельцы везде (RACI, политики, организационная структура, контракты)
• Одинаковые цифры везде (цены, объемы, штат, комиссии поставщиков)

Еще раз руководство EBA: подача должна быть полной, точной и актуальной.

«Наиболее распространенные причины отклонения ČNB» в одном списке

1. Шаблонные политики, не соответствующие чешской операционной реальности
2. Отсутствие пакета доказательств (регистров, образцов, журналов, сверок, утверждений)
3. Описание мер безопасности, но без их внедрения (отсутствие механизмов сверки)
4. Аутсорсинг без прав на аудит, управления и плана выхода
5. Финансовая модель, не связанная с процессами/ресурсами (и отсутствие логики стресса)
6. Внутренняя несогласованность между разделами (объем, роли, цифры)

ПОЛУЧИТЕ ČNB-READY GAP-CHECK И ЧЁТКИЙ СПИСОК ПРАВОК

ЗАПУСТИТЬ EMI PRE-CHECK

ЗАКАЗАТЬ

Часто задаваемые вопросы: чек-лист для подачи заявки на EMI (Чехия)

Что обычно подразумевает ČNB под «пакетом доказательств»?

Пакет доказательств — это ваши доказательства: не только политики, но и артефакты, демонстрирующие, что вы можете реально управлять и контролировать EMI. Подумайте: результаты процессов, реестры, сверки, журналы, утверждения, отчеты, контракты, SLA, записи об обучении, скриншоты из систем и таблица сопоставления, показывающая, где каждый элемент поддерживает описание заявки. В руководстве EBA по авторизации подчеркивается, что представленные материалы должны быть полными, точными и поддающимися проверке, а не маркетинговыми текстами.

Какой раздел чаще всего вызывает задержки или «раунды» дополнительных вопросов?

Защита, за которой следует аутсорсинг и достоверность финансовой модели. Защита не работает, если она описана «концептуально», но не реализована: нет частоты сверки, нет обработки исключений, нет цепочки утверждений, нет четкой связи с бухгалтерской книгой/бухгалтерией и механикой баланса.

.

Нужно ли заключать договоры с поставщиками (KYC, бухгалтерская книга, процессор карт) перед подачей заявки?

Если поставщик имеет решающее значение для предоставления предлагаемой услуги, вам необходимо продемонстрировать ČNB, что вы можете его контролировать: должная осмотрительность, договорной контроль (аудит/права доступа, где это уместно), SLA, мониторинг и план выхода. Как минимум, ваш подход к аутсорсингу должен быть последовательным и обоснованным в соответствии с ожиданиями надзорных органов ЕС в отношении аутсорсинга, особенно для критически важных/важных функций.

Каков минимальный начальный капитал для EMI в Чехии?

В переводе чешского закона о платежных системах указано, что начальный капитал учреждения электронных денег должен составлять не менее 350 000 евро.

Как можно быстрее всего ослабить раздел AML/CFT?

Представить общую политику AML, которая не связана с вашим фактическим продуктом, типами клиентов, каналами, географией и схемами транзакций. Если ваша оценка рисков (RBA) не определяет сценарии контроля при подключении и мониторинга транзакций, она выглядит как копипаст. Чешские обязательства по AML вытекают из Закона № 253/2008 Coll.