Wyślij Zapytanie

Licencjonowany Dostawca Usług
Rejestracji Spółek i Obsługi
Korporacyjnej od 1998 r.

Audyty i Oceny

  1. Home
  2. Zgodność i Nadzór
  3. Audyty i Oceny

Audyty oparte na dowodach dla celów licencjonowania i nadzoru

Realizujemy niezależne audyty i oceny w obszarach ryzyka i ładu korporacyjnego, AML/przestępstw finansowych, zgodności ICT/DORA, on-chain assurance oraz ochrony danych. Nasza metodyka opiera się na zasadach audytu ISO 19011 i odnosi się do wytycznych organów nadzoru UE (EBA/ESMA/ECB). Każde zlecenie dostarcza jasne i możliwe do prześledzenia dowody powiązane z obowiązkami i terminami, tak aby wnioski mogły być wdrożone i zweryfikowane.

Prace mogą być realizowane jako pojedynczy audyt lub cykliczne assurance. Zakres ustalamy do minimalnie użytecznego zestawu testów, działamy w Twoim środowisku z zasadą minimalnych uprawnień i dostarczamy zwięzły pakiet dowodowy z wynikami ocenionymi według ryzyka, praktycznymi rekomendacjami oraz opcją ponownego testu w celu potwierdzenia zamknięcia.

Zaufani przez regulowane podmioty w całej UE, wspieramy organizacje w wykazywaniu zgodności, spełnianiu warunków licencyjnych i reagowaniu na zapytania nadzorcze bez zbędnych obciążeń. Niezależnie od tego, czy potrzebujesz przygotowania przedlicencyjnego, audytu kontrolnego po uzyskaniu licencji czy ukierunkowanego przeglądu, możemy dostarczyć praktyczne rozwiązania.

Niezależne audyty i oceny

Prowadzimy audyty oparte na dowodach w obszarach Ryzyka i Ładu Korporacyjnego, AML, ICT/DORA, audytu on-chain oraz ochrony danych.

Umów spotkanie z naszym zespołem już dziś!

Umów spotkanie »

Usługi, które świadczymy w zakresie audytów i ocen

1) Regulacje i Przestępstwa Finansowe 2) ICT i Odporność Operacyjna 3) On-Chain i Bezpieczeństwo 4) Ochrona Danych i Prywatność

1) Regulacje i Przestępstwa Finansowe

Nadzór zarządczy nad ryzykiem, sankcjami, AML i ładem korporacyjnym z pełną ścieżką dowodów.

Wyślij zapytanie

Nadzór nad Ryzykiem i Sankcjami

RegulacjeDla Zarządu

Zakres i Testy

  • Ramy ryzyka, rejestry, apetyt/tolerancja, KRI, eskalacja i raportowanie
  • Nadzór sankcji: źródła list, progi, QA alertów, obsługa przypadków
  • Zarządzanie incydentami i wyjątkami, zabezpieczenie niezależności

Rezultaty

  • Mapa ryzyk i kontroli, rejestr niezgodności, plan działań naprawczych
  • Wytyczne QA dla sankcji
  • Podsumowanie gotowe dla zarządu

W praktyce: Próbkujemy alerty end-to-end, weryfikujemy terminowość eskalacji i kompletność rejestrów governance.

AML i Ład Korporacyjny

AMLGovernance

Zakres i Testy

  • Playbooki CDD/EDD, onboarding/remediacja, PEP/adverse media
  • Reguły monitorowania, jakość alertów i spraw, terminowość SAR/STR
  • Mandat MLRO, rejestry i logi eskalacji

Rezultaty

  • Wyniki według ryzyka z odniesieniami do dowodów
  • KPI dla terminowości, jakości i backlogu
  • Pakiet dowodowy gotowy na inspekcję

W praktyce: Sprawdzamy próbki KYC, walidujemy reguły monitorowania i analizujemy terminowość SAR.

2) ICT i Odporność Operacyjna

Kontrole zgodne z DORA w zakresie zarządzania, testowania i odtwarzania systemów krytycznych.

Wyślij zapytanie

DORA / ICT Assurance

DORAICT

Zakres i Testy

  • Zarządzanie ryzykiem ICT, incydentami, BCP/DR
  • Krytyczność dostawców i prawa audytu
  • Testy scenariuszy i gotowość TLPT

Rezultaty

  • Raport powiązany z obowiązkami DORA
  • Karta wyników dostawców i plan testów
  • Podsumowanie dla zarządu

W praktyce: Uzgadniamy rejestry ICT z kontraktami i weryfikujemy dowody testów odporności.

Audyt Reakcji i Odtwarzania po Incydentach Cyber

IncydentOdtwarzanie

Zakres i Testy

  • Playbooki reagowania i ścieżki eskalacji
  • Dowody testów: tabletop, ćwiczenia red/blue-team
  • Powiadomienia i analizy po incydentach

Rezultaty

  • Karta dojrzałości reakcji
  • Analiza luk względem wymagań regulatora
  • Plan ulepszeń playbooka

W praktyce: Testujemy eskalacje, analizujemy ćwiczenia i terminowość zgłoszeń do regulatora.

3) On-Chain i Bezpieczeństwo

Assurance dla rezerw krypto i bezpieczeństwa wdrożeń smart kontraktów.

Wyślij zapytanie

Proof of Reserves (PoR)

RezerwyOn-chain

Zakres i Testy

  • Weryfikacja portfeli i sald on-chain
  • Konstrukcja zobowiązań (Merkle-tree)
  • Analiza współczynnika rezerw i harmonogram retestów

Rezultaty

  • Raport metodyczny i ujawnienie ograniczeń
  • Publiczne podsumowanie i weryfikowalne hashe
  • Pakiet dowodowy

W praktyce: Weryfikujemy dane giełdy, depozytariusza i blockchaina oraz publikujemy wyniki.

Ocena Bezpieczeństwa Smart Kontraktów

BezpieczeństwoKod

Zakres i Testy

  • Modelowanie zagrożeń, kontrola dostępu, mechanizmy pauzy
  • Analiza statyczna/dynamiczna, testy jednostkowe
  • Zarządzanie sekretami, CI/CD, zależności

Rezultaty

  • Wyniki z poziomem ryzyka i ścieżkami exploitów
  • Retest i potwierdzenia
  • Rekomendacje i mapa właścicieli

W praktyce: Testujemy exploity, weryfikujemy poprawki i potwierdzamy zabezpieczenia.

4) Ochrona Danych i Prywatność

Przeglądy zgodne z RODO w zakresie przetwarzania, retencji i governance, aby ryzyko było kontrolowane i udokumentowane.

Wyślij zapytanie

Zarządzanie Programem Prywatności i Przegląd DPIA

GDPRDPIA

Zakres i Testy

  • Metodyka DPIA, decyzje ryzyk, jakość RoPA, LIA/zgody
  • Privacy by design w procesach i onboardingu dostawców
  • Obsługa DSAR, reakcje na naruszenia, kontakt z regulatorem

Rezultaty

  • Lista luk DPIA/ROPA z priorytetami
  • Pakiet szablonów i ulepszenia workflow
  • Podsumowanie gotowości dla zarządu

W praktyce: Analizujemy próbki DPIA i ROPA, śledzimy decyzje ryzyk i testujemy scenariusze DSAR/naruszeń.

Audyt Rejestrów Przetwarzania i Retencji

RoPARetencja

Zakres i Testy

  • Dokładność i kompletność rejestrów przetwarzania względem faktycznego stanu systemów
  • Podstawy prawne, wyzwalacze retencji, dowody usunięcia i zasady wygaszania danych
  • Transfery do państw trzecich, SCC oraz nadzór nad procesorami

Rezultaty

  • Skorygowany rejestr RoPA i harmonogram retencji
  • Pakiet dowodowy usunięcia danych i mapa kontroli
  • Podsumowanie gotowości dla regulatora z właścicielami i terminami

W praktyce: Analizujemy cykl życia danych, sprawdzamy dowody usunięcia i dopasowujemy klauzule do realnych przepływów danych.

Najczęściej zadawane pytania

Czy zewnętrzni audytorzy mogą mieć bezpośredni dostęp do naszych systemów i danych?

Tak, w ramach dostępu opartego na zasadzie najmniejszych uprawnień, z rejestrowaniem działań i separacją środowisk – zgodnie z wymogami RODO oraz zapisami umownymi. W przypadkach, gdy mają zastosowanie przepisy (np. DORA), umowy muszą zawierać wyraźne klauzule dotyczące prawa do audytu i dostępu.

Kiedy wymagane jest przeprowadzenie Oceny Skutków dla Ochrony Danych (DPIA)?

DPIA jest wymagana, gdy przetwarzanie może powodować wysokie ryzyko dla osób, np. przy systematycznym monitorowaniu lub przetwarzaniu na dużą skalę danych szczególnej kategorii. Patrz artykuł 35 RODO oraz wytyczne EROD dotyczące DPIA, zawierające praktyczne przykłady i wyzwalacze.

Jak często należy przeprowadzać audyty AML/CTF?

Organy nadzoru oczekują niezależnego audytu AML/CTF w cyklu opartym na analizie ryzyka; co najmniej okresowo, aby potwierdzić skuteczność kontroli. Rekomendacja FATF nr 18 wprost wskazuje na potrzebę niezależnego audytu programów AML/CTF.

Co zmienia DORA w umowach z zewnętrznymi dostawcami ICT?

DORA wymaga, aby umowy z krytycznymi dostawcami ICT zawierały określone klauzule, w tym prawo do audytu i dostępu, obowiązki współpracy oraz strategie wyjścia i rozwiązania umowy. Wymogi te są określone bezpośrednio w Rozporządzeniu (UE) 2022/2554.

Jak często należy przeprowadzać testy penetracyjne TLPT zgodnie z DORA?

Dla podmiotów finansowych objętych zakresem DORA, wybranych przez organy nadzoru, testy TLPT powinny być wykonywane co trzy lata (lub częściej, jeśli tak zdecyduje nadzorca). Częstotliwość ta jest opisana w dokumentach wyjaśniających nadzoru dotyczących ram TLPT DORA.

Jak określany jest zakres audytu lub oceny?

Zakres ustalamy w oparciu o Twoje obowiązki regulacyjne, profil ryzyka oraz skalę działalności operacyjnej, a następnie mapujemy testy do konkretnych właścicieli kontroli i elementów dowodowych. Plan jest kalibrowany tak, aby zapewnić wystarczający poziom pewności bez zbędnych zakłóceń.

Jak należy testować gotowość do reagowania na incydenty i jak często?

Należy regularnie przeprowadzać ćwiczenia (np. tabletop) oraz analizować wnioski, aby doskonalić wykrywanie, reagowanie i odtwarzanie. Wytyczne NIST dotyczące reagowania na incydenty zalecają włączanie ćwiczeń w bieżące zarządzanie ryzykiem i ciągłe doskonalenie planów.

Jakiego rodzaju dowodów oczekują zazwyczaj regulatorzy?

Zazwyczaj: polityki i procedury, rejestry zarządcze, logi i eksporty konfiguracji, próbki plików spraw lub alertów oraz dowody testów lub działań naprawczych. My przygotowujemy kompletny, możliwy do prześledzenia zestaw dowodów powiązany z właścicielami i terminami.

Masz pytania? Umów spotkanie wprowadzające!

Umów spotkanie konsultacyjne dotyczące audytów i ocen

Umów spotkanie z naszym zespołem, aby omówić zakres i wymagania jurysdykcyjne. Przygotujemy dopasowany plan obejmujący niezbędne audyty i oceny, zakres odpowiedzialności oraz wymagane dowody i dokumentację potwierdzającą zgodność i zamknięcie ustaleń. Nasze podejście zapewnia regulowanym podmiotom przejrzystość, elastyczność i pewność w spełnianiu wymogów nadzorczych na rynkach UE.

    Dane kontaktowe

    Prosimy o kontakt w celu umówienia spotkania z naszym kierownikiem ds. projektów.

    Europa Środkowa | Kraje Bałtyckie | Szwajcaria