(1) Banka musí mít řídicí a kontrolní systém, který zahrnuje

a) předpoklady řádné správy a řízení společnosti, a to vždy

1. zásady a postupy řízení,

3. řádné administrativní postupy a účetní postupy v souladu se zvláštními právními předpisy,

2. organizační uspořádání s řádným, průhledným a uceleným vymezením působnosti a rozhodovací pravomoci, v rámci kterého se současně vymezí funkce, jejichž výkon je neslučitelný, a postupy pro zamezení vzniku možného střetu zájmů,

4. individuální popis činností a povinností člena statutárního orgánu banky, osoby ve vyšším vedení a osoby v klíčové funkci a přehled úkolů, včetně podrobností o hierarchických vztazích, odpovědnosti a přehledu osob, které jsou součástí řídicího a kontrolního systému, a jejich úkolech,

b) systém řízení rizik, který vždy zahrnuje

3. účinné postupy přijímání opatření vedoucích k omezení případných rizik,

1. pravidla přístupu banky k rizikům, kterým banka je nebo může být vystavena, včetně rizik vyplývajících z vnějšího prostředí a rizika likvidity,

2. účinné postupy rozpoznávání, vyhodnocování, měření, sledování a ohlašování rizik, včetně environmentálních rizik, sociálních rizik a rizik správy a řízení v krátkodobém, střednědobém a dlouhodobém horizontu,

c) systém vnitřní kontroly, jehož součástí je vždy

2. průběžná kontrola dodržování právních povinností a povinností plynoucích z vnitřních předpisů banky,

1. vnitřní audit a

d) zajišťování důvěryhodnosti, odborné způsobilosti a zkušenosti členů statutárního orgánu, členů správní rady a členů dozorčí rady,

e) zajišťování odborné způsobilosti a různorodé zkušenosti statutárního orgánu, správní rady a dozorčí rady jako celku, zajišťující porozumění činnostem banky, včetně dostatečného porozumění hlavním rizikům, kterým je banka vystavena, včetně environmentálního rizika, sociálního rizika a rizika správy a řízení, a dopadům, které v krátkodobém, střednědobém a dlouhodobém horizontu tato rizika mohou vytvářet,

f) zavedení a řízení sítí a informačních systémů podle přímo použitelného předpisu Evropské unie upravujícího digitální provozní odolnost finančního sektoru⁴⁸),

2. jsou založeny na stejné odměně mužů a žen za stejnou práci nebo práci stejné hodnoty a

3. v případě člena statutárního orgánu, člena správní rady, člena dozorčí rady a dalšího pracovníka, jehož pracovní činnosti mají významný vliv na rizikový profil banky (dále jen „osoba s rizikovým vlivem“), zahrnují také zvláštní pravidla pro určení a podmínky výplaty pevné a pohyblivé složky odměny osoby s rizikovým vlivem a pro přijímání rozhodnutí o odměňování této osoby,

g) systém odměňování, který vždy zahrnuje zásady a postupy odměňování, které

1. přispívají k řádnému a účinnému řízení rizik a jsou s ním v souladu, přičemž je třeba zohlednit ochotu banky podstupovat environmentální rizika, sociální rizika a rizika správy a řízení,

h) zásady a plány zachování kontinuity činností informačních a komunikačních technologií a plány reakce a obnovy v oblasti informačních a komunikačních technologií pro technologie používané ke komunikaci informací; tyto plány reakce a obnovy jsou zavedeny, řízeny a testovány podle čl. 11 nařízení Evropského parlamentu a Rady (EU) 2022/2554.