Článek

PSD2: Účinnost RTS SCA přinesla povinnost auditu

Jak se optimálně připravit?

Regulační technické standardy (RTS SCA), klíčová součást nové směrnice o platebních službách PSD2 přinášející významné změny na evropský trh platebních služeb, se staly účinnými dnem 14. září 2019. Co to v praxi pro banky znamená?

Příslušná ustanovení PSD2 a RTS SCA stanovují řadu požadavků, které musí poskytovatelé platebních služeb uplatňovat za účelem provádění bezpečnostních opatření týkajících se zejména silného ověření klienta a zpřístupnění dat svých klientů třetím stranám prostřednictvím tzv. API rozhraní (Application Programming Interface).

Poskytovatelé platebních služeb vs. audity

Součástí plnění těchto povinností vycházejících z RTS SCA je audit bezpečnostních opatření (metod), který je povinný pro všechny poskytovatele platebních služeb. Druhým typem auditu je audit metodiky, modelu a oznámené míry podvodů, kterému podléhají poskytovatelé platebních služeb v případě aplikování výjimky ze silného ověření založeného na transakční risk analýze v reálném čase (TRA).

Audit bezpečnostních metod musí být proveden funkčně nezávislým auditorem s odbornými znalostmi v oblasti IT bezpečnosti a plateb. Frekvence auditu se stanovuje s přihlédnutím k příslušnému rámci pro povinný (účetní) audit, který se na poskytovatele platebních služeb vztahuje.

Při využívání výjimky z aplikování SCA na základě TRA musí být audit metodiky, modelu a oznámené míry podvodů během prvního roku používání a poté nejméně jednou za 3 roky vykonán nezávislým a kvalifikovaným externím auditorem. Minimálně jednou ročně by poté mělo dojít k přezkumu ze strany nezávislého auditora s odbornými znalostmi v oblasti IT bezpečnosti a plateb.

Časová osa auditů

Služby Deloitte zastřešují i nepovinný před-audit

Služby společnosti Deloitte zastřešují oba typy povinného auditu, vycházejícího z RTS SCA, které budou provedeny experty v oblasti IT bezpečnosti a plateb a v případě TRA auditu ve spolupráci s kvalifikovaným auditorem Deloitte Audit.

Zároveň společnost Deloitte poskytuje možnost využít služeb nepovinného před-auditu. Před-audit přináší přidanou hodnotu ve smyslu poskytnutí přehledu povinností, které se na poskytovatele platebních služeb vztahují, zjištění, do jaké míry jsou dané požadavky naplněny a doporučení kroků, které by měly být provedeny za účelem nápravy zjištěných nedostatků a docílení plného souladu s příslušnou regulací, a to ještě před oficiálním auditem.

Silná stránka týmu Deloitte spočívá zejména v rozsáhlých zkušenostech s implementací PSD 2 a RTS SCA požadavků v bankách a dalších institucích nejen v ČR, ale i v rámci Evropy, a v odborných znalostech oblasti bankovnictví, auditu, IT bezpečnosti a platebních služeb.

Nabídka služeb Deloitte: 3 typy auditu, jejichž provedení je vzájemně nezávislé

Kontaktujte nás

Jakub Ponec

Specialist Lead

jponec@deloittece.com

+420 773 768 762

Jakub pracuje jako Specialist Lead ve společnosti Deloitte Česká republika v oblasti rizikového poradenství v týmu operačních rizik. Zaměřuje se na oblasti IT auditu/interního auditu, interních IT pro... více

Audit & Assurance

Daně

Právní poradenství

Finanční poradenství

Poradenské služby

Řízení rizik

Deloitte Private

Country Desks

CFO Program

Spotřebitelský sektor

Energetika, zdroje a průmysl

Finanční sektor

Státní a veřejné služby

Farmaceutický průmysl a zdravotnictví

Technologie, média a telekomunikace

Nemovitosti

Volné pozice

Alumni

IT pozice