§ 27
(1) Řídicí a kontrolní systém platební instituce je nastaven tak, aby byl zajištěn účinný výkon vnitřního auditu.
(2) Vnitřní audit vždy zahrnuje nezávislé prověření
a) dodržování požadavků a pravidel stanovených právními a vnitřními předpisy,
b) finančního řízení, řízení rizik, řízení kapitálu a řízení likvidity,
c) úplnosti, průkaznosti, správnosti a spolehlivosti vedení účetnictví,
d) dostatečnosti a spolehlivosti systému vnitřních hlášení, informací poskytovaných orgánům platební instituce, účetních a statistických informací a informací pro klienty,
e) spolehlivosti systému sestavování, kontroly a předkládání výkazů a dalších informací České národní bance a
f) dostatečnosti a spolehlivosti mechanismů vnitřní kontroly.
(3) Platební instituce zajistí, aby při výkonu vnitřního auditu byly vždy provedeny tyto činnosti:
a) sestavena analýza rizik, a to alespoň jednou ročně,
b) sestaven strategický a periodický plán vnitřního auditu,
c) vytvořen a udržován systém sledování nápravných opatření uložených na základě zjištění vnitřního auditu a
d) vyhodnocena funkčnost a efektivnost řídicího a kontrolního systému, a to alespoň jednou ročně.
(4) Vnitřní audit musí informovat o zjištěných skutečnostech řídicí orgán platební instituce a dozorčí orgán, pokud takový orgán platební instituce má. V případě zjištění, která mohou významným způsobem záporně ovlivnit finanční situaci platební instituce, musí dát podnět k mimořádnému zasedání dozorčího orgánu, pokud takový orgán platební instituce má.