Главная | Блог | Структура управления EMI: что ожидает регулятор
Апр 21, 2026

Структура управления EMI: что ожидает регулятор

Финтех
Структура корпоративного управления учреждения электронных денежных средств (ЭДС) — иллюстрация надзора совета директоров, внутренних контролей, управления рисками и регуляторного управления для учреждения электронных денег

Когда основатели готовят заявление на получение лицензии EMI, они часто в первую очередь сосредотачиваются на капитале, safeguarding, AML-документах и бизнес-плане. Всё это действительно важно. Но есть область, которая регулярно определяет, выглядит ли заявление надёжным или, наоборот, уязвимым: структура управления EMI.

Регуляторы не рассматривают систему управления как обычную корпоративную формальность. Для них это подтверждение того, что учреждение может быть направляемо, контролируемо, отслеживаемо и при необходимости корректируемо в регулируемой среде. В соответствии с Директивой об электронных деньгах пруденциальный режим для EMI в значительной степени применяется через рамки лицензирования PSD2, а это означает, что стандарты управления, ожидаемые от платёжных учреждений, также важны и для учреждений электронных денег.

Именно этот момент часто недооценивают. Красивой организационной схемы недостаточно. Регулятор хочет понять, кто действительно принимает решения, кто оспаривает и проверяет эти решения, кто контролирует риски, кто следит за аутсорсингом, кто отвечает за соблюдение требований AML/CFT, кто управляет инцидентами и действительно ли EMI управляется из государства регистрации, а не фактически из другой страны. Дополнительный обзор EBA за 2025 год ясно показал, что управление, внутренний контроль и реальное местное присутствие остаются ключевыми областями, где надзорные подходы в странах ЕС всё ещё различаются, создавая риск регуляторного арбитража.

Поэтому, если вы выстраиваете структуру управления для EMI, правильный вопрос звучит не так: «что будет выглядеть приемлемо в презентации для инвесторов?» Правильный вопрос другой: что убедит регулятора в том, что этим учреждением можно управлять разумно и осмотрительно с первого дня и после получения лицензии?

Почему управление так важно в заявлении на лицензию EMI

EMI — это не просто технологический продукт с приложенной лицензией. Это регулируемое финансовое учреждение, которое работает с деньгами клиентов, обеспечивает выпуск и погашение электронных денег, несёт операционный риск, риск финансовых преступлений, зависит от внешних подрядчиков, сталкивается с ИКТ-рисками и, возможно, ведёт трансграничную деятельность. Поэтому регуляторы ожидают, что система управления и механизмы внутреннего контроля будут соответствовать бизнес-модели компании.

Руководящие принципы EBA по лицензированию формулируют это прямо. Заявитель на лицензию EMI должен представить описание системы управления и механизмов внутреннего контроля, включая карту рисков, периодические и постоянные проверки, бухгалтерские процедуры, лиц, отвечающих за функции внутреннего контроля, состав руководящего органа, надзорные органы или комитеты, контроль за переданными на сторону функциями, контроль за агентами и филиалами, а при необходимости — и систему управления на уровне группы.

Именно поэтому управление в учреждении электронных денег — это не просто назначение директоров. Это создание реально работающей архитектуры контроля.

Что регуляторы обычно ожидают увидеть в структуре управления EMI

Реальный руководящий орган, а не номинальные директора

Первое ожидание регулятора довольно простое: у EMI должен быть реальный руководящий орган с настоящими полномочиями и ответственностью.

В рамках PSD2, применяемой к EMI, учреждение должно определить директоров и лиц, отвечающих за управление, а также представить доказательства того, что они обладают безупречной деловой репутацией и достаточными знаниями и опытом. Та же правовая рамка требует подтвердить, что акционеры с квалифицированным участием подходят для обеспечения разумного и осмотрительного управления учреждением.

На практике регулятору недостаточно увидеть впечатляющие резюме. Он хочет понять, действительно ли руководящий орган:

  • понимает услуги EMI и её операционные процессы,
  • способен контролировать соблюдение требований и риски,
  • может ставить под сомнение действия внешних подрядчиков,
  • располагает достаточным временем и ресурсами для выполнения своей роли,
  • не является просто декоративным элементом.

Слабый совет директоров обычно выдаёт себя очень быстро. Должности звучат солидно, но ответственность размыта. Решения принимаются за пределами учреждения. Ключевых людей «одалживают» у компаний группы без ясного и постоянного участия. Подобная конструкция почти всегда вызывает вопросы о реальном управлении и местном присутствии.

Чёткое распределение обязанностей

Хорошая структура управления EMI должна ясно показывать, кто за что отвечает.

Обычно регуляторы ожидают ясности как минимум по следующим направлениям:

  • общее руководство и стратегическое направление,
  • контроль рисков,
  • соблюдение требований,
  • контроль AML/CFT,
  • финансы и бухгалтерия,
  • операционная деятельность,
  • контроль safeguarding,
  • контроль ИКТ и безопасности,
  • контроль аутсорсинга,
  • внутренний аудит или иной независимый пересмотр, если это требуется с учётом масштаба и сложности деятельности.

Руководящие принципы EBA прямо требуют определить лиц, ответственных за функции внутреннего контроля, включая периодический, постоянный и комплаенс-контроль. Также они требуют описать процедуры регулярных и непрерывных проверок и человеческие ресурсы, выделенные на эти цели.

Это означает, что регулятор должен без догадок видеть, как ответственность проходит от руководящего органа к повседневному исполнению и затем возвращается наверх через отчётность и механизмы эскалации.

Внутренний контроль, который существует не только в документах

Многие заявления на лицензию EMI содержат разделы о внутреннем контроле, которые звучат хорошо, но говорят очень мало по существу. Регуляторы к этому привыкли. Им нужен не красивый язык, а реальное содержание.

Руководящие принципы EBA требуют карту рисков, процедуры оценки и предотвращения выявленных рисков, бухгалтерские процедуры, распределение обязанностей в области внутреннего контроля, а также описание того, как в рамках контрольной системы отслеживаются переданные на сторону функции, агенты и филиалы. Кроме того, они требуют процедуры реагирования на инциденты, ограничения доступа к чувствительным платёжным данным и меры по обеспечению непрерывности деятельности.

Поэтому внутренняя система контроля EMI обычно должна включать:

  • владельцев контрольных процедур,
  • линии подчинённости и отчётности,
  • периодичность проверок,
  • пороги для эскалации,
  • документально оформленные согласования,
  • следы проверки и подтверждения,
  • отчётность для совета директоров или комитетов,
  • отслеживание выполнения корректирующих мер.

Если контрольная среда существует только в руководстве по соблюдению требований, но не отражается в управленческой отчётности, пакетах для руководства или рабочих процессах, регулятор обычно это замечает.

Соразмерная модель трёх линий защиты

Не каждой EMI с первого дня нужна громоздкая институциональная структура. Регуляторы понимают принцип соразмерности. Но соразмерность не означает отсутствие структуры.

Дополнительный обзор EBA за 2025 год отметил, что почти все надзорные органы сообщили о применении модели трёх линий защиты к заявителям — платёжным учреждениям и учреждениям электронных денег — на соразмерной основе, хотя между юрисдикциями по-прежнему сохраняются серьёзные различия в том, как требования к управлению и внутреннему контролю формализуются и внедряются.

Для небольшой EMI это часто означает следующее:

  • первая линия: бизнес и операционные подразделения отвечают за повседневные риски;
  • вторая линия: контроль соблюдения требований и контроль рисков;
  • третья линия: независимая оценка, часто в форме внутреннего аудита или функционально независимого механизма проверки, в зависимости от масштаба и сложности бизнеса.

Главное — не копировать схему управления банка. Главное — показать убедимую независимость, надзор и способность к внутреннему оспариванию решений в масштабе, соответствующем бизнесу.

Контроль аутсорсинга — это вопрос управления, а не только операций

Многие бизнес-модели EMI зависят от аутсорсинга: ключевые платформы, инструменты KYC, мониторинг транзакций, обработка карт, облачная инфраструктура, поддержка клиентов, бухгалтерское сопровождение или управление программами.

Регуляторы не считают, что аутсорсинг снимает ответственность с EMI. Они ожидают, что управление останется внутри учреждения. Руководящие принципы EBA прямо требуют описать, как переданные на сторону функции отслеживаются и контролируются так, чтобы качество внутреннего контроля не ухудшалось.

Это одно из важнейших ожиданий регулятора в отношении EMI. Если основатель говорит: «за это отвечает наш подрядчик», следующий надзорный вопрос обычно звучит так: «а как именно вы контролируете этого подрядчика?»

Убедительный ответ обычно включает:

  • наличие ответственного владельца услуги внутри EMI,
  • утверждение и регулярную оценку подрядчиков,
  • показатели эффективности и уровни сервиса,
  • порядок сообщения об инцидентах и их эскалации,
  • контроль доступа и право на проверку,
  • планы действий на случай сбоев,
  • логику прекращения сотрудничества и перехода на другое решение,
  • видимость критически важного аутсорсинга на уровне совета директоров.

Ответственность за AML/CFT должна быть встроена в систему управления

EMI может иметь сложные инструменты для проверки клиентов и всё равно не пройти проверку структуры управления, если ответственность за AML размыта.

В дополнительном обзоре EBA указаны сохраняющиеся пробелы в подходах некоторых надзорных органов, включая оценку лица, ответственного за соблюдение AML/CFT, и контроль над филиалами, агентами и дистрибьюторами.

Это означает, что регуляторы хотят видеть:

  • чётко назначенное ответственное лицо по AML/CFT,
  • линии отчётности в адрес высшего руководства,
  • независимость от коммерческого давления,
  • контроль над переданными на сторону элементами AML,
  • контроль над агентами, дистрибьюторами и филиалами, если это применимо,
  • регулярную отчётность в адрес руководства и органов управления.

На практике требования к управлению EMI часто проваливаются именно здесь — не потому, что отсутствует AML-политика, а потому, что никто не может ясно объяснить, кто принимает решения по AML, кто утверждает риск-аппетит, кто получает управленческую отчётность и кто поднимает вопрос о нарушениях.

Местное присутствие и реальное управление

Одна из самых чувствительных тем при лицензировании EMI — это реальное местное присутствие.

Недавняя надзорная работа EBA показывает, что все компетентные органы в рамках дополнительного обзора 2025 года проверяли наличие реального управления и контроля из государства регистрации на стадии выдачи лицензии, но ожидания по поводу того, как именно заявители должны это доказывать, всё ещё различаются.

Это особенно важно для компаний, которые пытаются фактически управлять учреждением из другой страны, а лицензионную компанию оставляют пустой оболочкой. Регуляторы всё чаще проверяют:

  • принимаются ли ключевые решения в государстве регистрации,
  • действительно ли вовлечено высшее руководство,
  • доступны ли документы и подтверждения управления на местном уровне,
  • не выхолостил ли аутсорсинг саму сущность учреждения,
  • есть ли у EMI достаточное собственное присутствие для контроля регулируемой деятельности.

Для Чехии этот вопрос следует воспринимать серьёзно с самого начала. На странице ČNB, посвящённой лицензированию EMI, прямо указано, что образцы форм и содержание приложений формально установлены, а значит доказательства по системе управления должны готовиться структурированно и в понятном для проверки виде, а не собираться в последний момент.

Управление ИКТ теперь входит в число ключевых вопросов

Старый подход, при котором ИКТ считались исключительно технической темой, больше не работает. На учреждения электронных денег распространяется DORA, и её логика управления однозначна: руководящий орган несёт конечную ответственность за управление ИКТ-риском финансовой организации.

Это означает, что в число того, что регулятор теперь ожидает от EMI, входит также управление:

  • стратегией ИКТ-рисков,
  • мерами безопасности,
  • реагированием на инциденты,
  • тестированием устойчивости,
  • управлением изменениями,
  • контролем внешних ИКТ-подрядчиков,
  • распределением ролей в области цифровой операционной устойчивости.

Поэтому даже если EMI передала значительную часть технологической инфраструктуры внешним исполнителям, руководящий орган всё равно должен иметь реальный и содержательный контроль. Совет директоров, который не может объяснить критические ИКТ-зависимости, порядок эскалации инцидентов и меры устойчивости, не будет выглядеть готовым к работе на регулируемом рынке.

Что обычно включает сильная модель управления EMI

Сильная структура управления EMI обычно включает следующие элементы:

Руководящий орган

Совет директоров или иной орган управления с чёткими полномочиями, регулярностью заседаний, перечнем вопросов, требующих обязательного рассмотрения, установленным порядком отчётности и документально подтверждённым контролем над регулируемой деятельностью.

Высшее руководство

Назначенные лица, отвечающие за ведение бизнеса, соблюдение требований, AML/CFT, финансы, операционную деятельность, контроль safeguarding, а также контроль ИКТ и безопасности.

Контрольная система

Чёткое распределение ответственности в первой линии, функция оспаривания и контроля во второй линии, а также независимая проверка или третья линия защиты в объёме, соответствующем масштабу и сложности бизнеса.

Комитеты или формализованные площадки для принятия решений

Не каждой EMI нужно множество комитетов, но площадки для рассмотрения вопросов рисков, соблюдения требований, инцидентов, аутсорсинга и финансового контроля обычно усиливают модель управления.

Контроль аутсорсинга

Понятная карта критически важных подрядчиков, внутренних ответственных лиц, контрольных процедур и путей эскалации.

Документы и подтверждающие материалы

Политики важны, но на практике ещё важнее протоколы заседаний, управленческие пакеты, реестры рисков, журналы инцидентов, записи о согласованиях и отслеживание корректирующих мер.

Распространённые ошибки в проектах EMI, связанных с управлением

Наиболее частые ошибки удивительно однотипны.

Одна из них — назначение впечатляющих директоров, которые фактически не участвуют в операционном управлении. Другая — объединение соблюдения требований, контроля рисков и бизнеса в одну размытую функцию без реальной независимости. Третья — передача ключевых процессов на сторону без сохранения внутри EMI достаточной способности контролировать эти процессы.

Ещё одна распространённая ошибка — воспринимать местное присутствие как юридическую фикцию. В презентации это может выглядеть убедительно, но под вопросами регулятора такой подход обычно рассыпается.

И наконец, многие компании строят схему управления, которая игнорирует реальные источники риска в их бизнес-модели. EMI с вынесенными на сторону онбордингом, инфраструктурой электронных кошельков и мониторингом транзакций не должна иметь те же практические приоритеты в управлении, что и простой внутренний платёжный оператор.

Как AMS помогает выстраивать управление EMI

В AMS Europe мы рассматриваем управление как одно из ключевых направлений лицензионного проекта, а не как декоративное приложение к заявлению.

Обычно это означает помощь клиентам в распределении обязанностей руководства, определении контрольных функций, закреплении ответственности за AML/CFT и контроль safeguarding, согласовании контроля аутсорсинга с фактической операционной моделью и подготовке доказательств по системе управления в том виде, в каком их действительно будет проверять регулятор.

Для проектов EMI в Чехии это также означает построение пакета документов таким образом, чтобы он соответствовал логике подачи заявления в ČNB и более широким европейским пруденциальным ожиданиям, которые применяются к учреждениям электронных денег через рамки PSD2 и EBA.

AMS помогает основателям и владельцам выстраивать модели управления, которые выдерживают проверку регулятора, а не только хорошо смотрятся во внутренних презентациях.

Планируете получать лицензию EMI или пересматриваете существующую структуру?

ПОГОВОРИТЬ С ЭКСПЕРТОМ

Заключение

Регулятор не ожидает, что каждая EMI будет выглядеть как крупный банк. Но он ожидает, что учреждением можно реально управлять.

В этом и состоит суть. Структура управления EMI должна показывать, что учреждение способно принимать ответственные решения, контролировать риски, надзирать за аутсорсингом, управлять инцидентами, соблюдать обязательства AML/CFT и доказывать реальное управление из государства регистрации.

Если ваша модель управления опирается на неформальные договорённости, скрытых фактических руководителей или непрозрачные внешние решения, она, скорее всего, слишком слаба для лицензирования. Если же в ней ясно распределены ответственность, подтверждающие материалы, внутреннее оспаривание решений и контроль, значит она уже движется в правильном направлении.

FAQ

Что именно регуляторы ожидают от системы управления EMI?

Регуляторы ожидают такую систему управления, которая работает на практике, а не только на бумаге. Это означает чёткое принятие решений, определённые обязанности, реальный внутренний контроль и заметный надзор за рисками, соблюдением требований и операционной деятельностью. Структура должна показывать, что EMI можно надлежащим образом управлять с первого дня.

 

Должны ли директора EMI соответствовать особым требованиям регулятора?

Да. Директора и высшие руководители должны соответствовать требованиям деловой репутации и профессиональной пригодности, то есть обладать хорошей репутацией, релевантным опытом и способностью управлять регулируемым финансовым учреждением. Значимые акционеры также подлежат оценке.

 

Нужна ли EMI полноценная модель трёх линий защиты?

В большинстве случаев да, но в соразмерном виде. Регулятор ожидает чёткого разделения между операционной деятельностью, контрольными функциями и независимым надзором, даже если для небольших компаний структура будет упрощённой.

 

Насколько важна ясность ролей в структуре EMI?

Очень важна. Регулятор хочет точно видеть, кто отвечает за соблюдение требований, AML, риски, операционную деятельность и другие ключевые функции. Если обязанности неясны или пересекаются, это сразу вызывает вопросы.

 

Может ли EMI передавать ключевые функции на аутсорсинг?

Да, это обычная практика. Но аутсорсинг не снимает ответственность. EMI должна сохранять контроль, отслеживать подрядчиков и быть способной показать, как переданные на сторону функции контролируются и управляются внутри компании.

 

Какая самая серьёзная ошибка в разделе управления в заявлениях EMI?

Одна из типичных ошибок — воспринимать управление как формальность: назначать директоров без реального участия или создавать структуры, которые хорошо выглядят на бумаге, но не отражают реальную работу бизнеса.

Насколько важно местное присутствие для управления EMI?

Это критически важный вопрос. Регуляторы ожидают, что ключевые решения и управленческие действия действительно осуществляются в государстве регистрации, а не в другой стране. Слабое местное присутствие — одна из самых частых причин повышенного внимания со стороны надзора.

Влияет ли регулирование ИКТ, например DORA, на управление EMI?

Да. В соответствии с DORA руководящий орган в конечном итоге отвечает за ИКТ-риски. Это означает, что система управления теперь включает также контроль технологий, безопасности, устойчивости и внешних поставщиков, даже если системы переданы на сторону.

Связанные новости

Уставной капитал EMI в Европе
Финтех
Дорожная карта подготовки к EMI-лицензии на 16–32 недель
Финтех
Выбор юрисдикции для ЭМИ в ЕС
Финтех
Бизнес-план EMI, который регулятор воспримет всерьёз
Финтех
Уставной капитал PI в Чехии
Финтех
Может ли стартап получить лицензию учреждения электронных денег или это только для крупных компаний?
Финтех
План внедрения ИТ-инфраструктуры EMI
Бизнес Финтех
Частые причины, почему заявки на EMI-лицензию задерживаются (и как избежать переделок)
Бизнес Финтех
3 линии защиты для EMI: минимум, который работает
Бизнес Финтех
Как получить лицензию EMI в Европе
Финтех