ŘÍDICÍ A KONTROLNÍ SYSTÉM

POŽADAVKY NA ŘÍDICÍ A KONTROLNÍ SYSTÉM
[K § 8b odst. 5 zákona o bankách, k § 7a odst. 5 zákona o spořitelních a úvěrních družstvech, k § 12f písm. a) a b) a § 32 odst. 8 písm. a) zákona o podnikání na kapitálovém trhu]

ZPRÁVA O OVĚŘENÍ ŘÍDICÍHO A KONTROLNÍHO SYSTÉMU AUDITOREM
(K § 22 odst. 2 zákona o bankách a k § 8b odst. 1 zákona o spořitelních a úvěrních družstvech)

Předpoklady řádné správy a řízení společnosti

Řízení rizik

Systém vnitřní kontroly

(1) Řídicí a kontrolní systém povinné osoby pokrývá veškeré její činnosti.

(2) Pokud povinná osoba plní povinnosti, které se týkají řídicího a kontrolního systému, také na konsolidovaném základě, řídicí a kontrolní systém pokrývá činnosti všech osob v regulovaném konsolidačním celku. Ve vztahu ke společně řízenému podniku platí toto ustanovení přiměřeně.

a) přehled vybraných uznávaných standardů a přehled vybraných vydavatelů uznávaných standardů,

(2) K naplnění předpokladu řádné správy a řízení společnosti prostřednictvím uplatňování řádných postupů povinná osoba zvolí a do vnitřních předpisů promítne jí vybrané uznávané a osvědčené principy a postupy vydávané uznávanými osobami a využívané při činnostech obdobného charakteru (dále jen „uznávaný standard“). Povinná osoba pravidelně prověřuje, zda vnitřní předpisy a jí zvolené uznávané standardy jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti činností povinné osoby.

(1) Povinná osoba zajistí, že požadavky stanovené na řídicí a kontrolní systém a postupy povinné osoby k jejich naplňování a při výkonu dalších činností jsou promítnuty do organizačního řádu a dalších vnitřně stanovených zásad, pravidel a postupů (dále jen „vnitřní předpis“) povinné osoby a v rámci regulovaného konsolidačního celku. Povinná osoba stanoví postup při přijímání, změně, zavádění a uplatňování vnitřních předpisů. Součástí vnitřních předpisů jsou vždy také pravidla pro evidování reklamací a stížností klientů včetně klientů potenciálních, jejich vyřizování a sledování přijatých opatření.

b) srovnávací standardy (benchmark), jejichž obsahem jsou očekávání České národní banky při naplňování požadavků této vyhlášky.

(3) Česká národní banka uveřejňuje ve Věstníku České národní banky

(4) Promítnutí standardů podle odstavce 3 do vnitřních předpisů a jejich použití povinnou osobou se považuje za plnění ustanovení odstavce 2 věty první. Tím není dotčeno právo povinné osoby zvolit a do vnitřních předpisů promítnout i jiné uznávané standardy; jejich obsah nebo použití však nesmí být v rozporu s ustanoveními této vyhlášky a ostatních právních předpisů ani obcházet jejich účel.

b) nebyly ohroženy předpoklady pro řádný a obezřetný výkon činnosti povinné osoby,

(2) Povinná osoba zajistí, aby v souvislosti se sjednáním nebo využíváním outsourcingu

d) byla stanovena pravidla kontroly činností, které jsou předmětem outsourcingu, včetně případné kontroly skutečností týkajících se outsourcingu u jeho poskytovatele.

c) nebyly dotčeny právní vztahy povinné osoby s klientem a

(1) Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba, zajišťuje pro povinnou osobu na smluvním základě jiná osoba (dále jen „outsourcing“), povinná osoba se tím nezbavuje žádné ze svých odpovědností za činnosti, které jsou předmětem outsourcingu.

a) nebyl omezen soulad činností, které jsou předmětem outsourcingu, s příslušnými právními předpisy, možnost jejich kontroly povinnou osobou, plnění informačních povinností vůči České národní bance, výkon dohledu, včetně případné kontroly skutečností podléhajících dohledu u poskytovatele outsourcingu, a provedení auditu účetní závěrky a dalších ověření stanovených jinými právními předpisy⁸),

(3) Povinná osoba uzavírá smlouvu upravující outsourcing způsobem, který umožňuje zachycení jejího obsahu, kontrolovatelnost a případnou vymahatelnost, jakož i uchovatelnost.

(1) Dozorčí orgán se podílí na směrování, plánování a vyhodnocování činnosti vnitřního auditu a vyhodnocování compliance (§ 32).

(3) Dozorčí orgán stanoví zásady odměňování členů představenstva a osoby, k jejímuž pověření výkonem vnitřního auditu se předem vyjadřuje podle odstavce 2 (dále jen „osoba pověřená výkonem vnitřního auditu“), pokud toto není v pravomoci valné hromady nebo členské schůze.

(2) Dozorčí orgán se předem vyjadřuje k návrhu představenstva nebo jiného orgánu s obdobnou působností (dále jen „představenstvo“) povinné osoby na pověření fyzické nebo právnické osoby zajišťováním výkonu vnitřního auditu nebo na její odvolání. V případě, že výkon vnitřního auditu zajišťuje více zaměstnanců, vyjadřuje se dozorčí orgán pouze k návrhu na pověření nebo odvolání jejich vedoucího zaměstnance.

(4) Dozorčí orgán schvaluje a pravidelně vyhodnocuje souhrnné zásady odměňování vybraných skupin zaměstnanců, jejichž činnosti mají významný vliv na celkový rizikový profil [§ 21 odst. 3 písm. d)] povinné osoby. Podrobnější vymezení některých požadavků na odměňování je uvedeno v příloze č. 1a této vyhlášky.

b) nastavení, udržování a uplatňování řídicího a kontrolního systému tak, aby zajistil adekvátnost informací a komunikace při výkonu činností povinné osoby.

a) souladu řídicího a kontrolního systému s právními předpisy; součástí tohoto požadavku je zajištění výkonu činností s odbornou péčí, a

(1) Představenstvo zajistí stanovení celkové strategie včetně dostatečně konkrétních zásad a cílů jejího naplňování a trvalé a účinné fungování systému vnitřní kontroly.

(3) Představenstvo zajistí stanovení zásad řízení lidských zdrojů včetně zásad pro výběr, odměňování, hodnocení a motivování zaměstnanců v souladu se schváleným systémem odměňování. Součástí zásad povinné osoby je též požadavek, aby veškeré činnosti včetně činností orgánů a výborů, pokud jsou zřízeny, a jejich členů, vykonávali kvalifikovaní zaměstnanci s odpovídajícími znalostmi a zkušenostmi.

(2) Představenstvo zajistí stanovení pravidel, která jednoznačně formulují etické zásady a předpokládané modely chování a jednání zaměstnanců v souladu s těmito zásadami, a jejich prosazování.

(4) Představenstvo zajistí, aby byly stanoveny požadavky na znalosti a zkušenosti osob, jimiž zabezpečuje výkon svých činností, způsob prokazování požadovaných znalostí a zkušeností a způsob prověřování, zda znalosti a zkušenosti osob, jimiž povinná osoba zabezpečuje výkon svých činností, jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti těchto činností.

(5) Představenstvo zajistí, aby všichni zaměstnanci byli seznámeni s příslušnými vnitřními předpisy a dodržovali je, rozuměli své úloze v řídicím a kontrolním systému a aktivně se do tohoto systému zapojili; k zabezpečení tohoto požadavku slouží též systém vnitřní komunikace, který je nedílnou součástí informačního systému povinné osoby. Představenstvo rovněž zajistí, aby byly uplatňovány řádné administrativní a účetní postupy.

(6) Představenstvo zajistí, aby byly uplatňovány takové postupy řízení, které vedou k zamezení nežádoucích činností, zejména upřednostňování krátkodobých výsledků a cílů, které nejsou v souladu s naplňováním celkové strategie, systém odměňování, který je nepřiměřeně závislý na krátkodobém výkonu, nebo jiné postupy, které umožňují zneužití zdrojů nebo zakrývání nedostatků.

(3) Představenstvo dohlíží na realizaci jím schválených strategií, zásad a cílů a další činnosti, zejména činnosti vrcholného vedení a jeho členů. Představenstvo včas a dostatečně vyhodnocuje pravidelné zprávy i mimořádná zjištění, která jsou mu předkládána vrcholným vedením, v rámci vnitřního auditu, dozorčím orgánem, výbory, pokud jsou zřízeny, auditorem³) nebo příslušnými orgány dohledu či z jiných zdrojů. Na základě těchto vyhodnocení přijímá představenstvo přiměřená opatření, která jsou realizována bez zbytečného odkladu.

(1) Představenstvo schvaluje a pravidelně vyhodnocuje

(2) Představenstvo schvaluje

a) celkovou strategii,

b) organizační uspořádání,

c) strategii řízení rizik,

d) strategii související s kapitálem a kapitálovou přiměřeností,

e) strategii rozvoje informačního systému,

f) zásady systému vnitřní kontroly včetně zásad pro zamezování vzniku možného střetu zájmů a zásad pro compliance a

g) bezpečnostní zásady včetně bezpečnostních zásad pro informační systém.

a) nové produkty, činnosti a systémy mající pro povinnou osobu zásadní význam, ledaže tuto pravomoc představenstvo přeneslo na jím určený výbor,

b) soustavu limitů, kterou povinná osoba bude používat pro omezení rizik, v tom vždy pro riziko úvěrové, tržní, koncentrace a likvidity, včetně požadavků na strukturu aktiv, závazků a podrozvahových položek, ledaže tuto pravomoc představenstvo přeneslo na jím určený výbor,

c) statut a předmět vnitřního auditu a personální a technické zajištění jeho výkonu a

d) strategický a periodický plán vnitřního auditu.

(5) Představenstvo alespoň jednou ročně vyhodnocuje celkovou funkčnost a efektivnost řídicího a kontrolního systému a zajistí případné kroky k nápravě takto zjištěných nedostatků.

(4) Představenstvo pravidelně jedná o záležitostech, které se týkají řídicího a kontrolního systému, s vrcholným vedením.

a) vedoucí zaměstnanci přímo podřízení členům představenstva,

c) jiné osoby, které do vrcholného vedení zahrne povinná osoba.

(1) Vrcholným vedením se rozumí

b) členové představenstva, kteří zároveň vykonávají činnosti podle § 18, a

(1) Vrcholné vedení odpovídá za realizaci představenstvem schválených strategií, zásad a cílů včetně rozpracování postupů pro jejich naplňování a každodenní vedení povinné osoby.

(3) Vrcholné vedení odpovídá za vytvoření a udržování funkčního a efektivního systému získávání, využívání a uchovávání informací.

(2) Vrcholné vedení odpovídá za udržování funkčního a efektivního organizačního uspořádání včetně oddělení neslučitelných funkcí a zamezování vzniku možného střetu zájmů.

a) orgánů, zaměstnanců, útvarů a výborů povinné osoby, pokud jsou zřízeny, a

(1) Organizační uspořádání a vnitřní předpisy, které jej upravují, jednoznačně a uceleně stanoví činnosti, odpovědnosti, pravomoci, hlavní informační toky a vazby

(2) Povinná osoba stanoví pracovní náplň organizačních útvarů umožňující účinnou komunikaci a spolupráci na všech úrovních a podporující funkční, efektivní a obezřetné řízení a výkon dalších činností, včetně činností rozhodovacích a kontrolních, a to způsobem neohrožujícím řádné, čestné a profesionální plnění povinností.

b) v rámci regulovaného konsolidačního celku.

(3) Povinná osoba zajistí až do úrovně vrcholného vedení oddělení odpovědnosti za řízení obchodních činností od odpovědnosti za řízení rizika úvěrového, tržního a koncentrace a vypořádání a rekonciliaci obchodů sjednaných na finančních trzích.

i) vytváření kvantitativních a kvalitativních informací o riziku úvěrovém, tržním a koncentrace, ohlašovaných členům vrcholného vedení a představenstvu,

h) řízení rizika úvěrového, tržního a koncentrace, včetně kontroly dodržování limitů,

f) schvalování limitů pro řízení rizika úvěrového, tržního a koncentrace,

g) schvalování oceňovacích systémů a modelů používaných pro měření a sledování rizika úvěrového, tržního a koncentrace,

(1) Povinná osoba zajistí, aby orgánům, jejich členům a dalším zaměstnancům, útvarům a výborům, pokud jsou zřízeny, byly na všech řídicích a organizačních úrovních přidělovány odpovědnosti a pravomoci tak, aby bylo dostatečně zamezeno vzniku možného střetu zájmů. Oblasti, kde existuje možnost vzniku střetu zájmů, jsou včas identifikovány. Postupy jsou stanoveny tak, aby omezily možnosti střetu zájmů. Oblasti střetu zájmů a oblasti jeho možného vzniku jsou také předmětem průběžného nezávislého sledování.

a) schvalování systémů a metod pro oceňování zajištění,

b) oceňování zajištění,

c) oceňování transakcí uzavřených na finančních trzích,

d) vypořádání a kontrola souladu údajů (dále jen „rekonciliace“) o obchodech sjednaných na finančních trzích,

(2) Nezávisle na činnostech, v jejichž přímém důsledku je povinná osoba vystavena úvěrovému nebo tržnímu riziku (dále jen „obchodní činnosti“), je prováděno

e) uvolňování poskytnutých prostředků,

j) měření a sledování likvidní pozice a její ohlašování členům vrcholného vedení a představenstvu.

(4) Vývoj informačních systémů je zajišťován odděleně od provozu těchto systémů. Správa informačních systémů je prováděna odděleně od vyhodnocování bezpečnostních auditních záznamů, kontroly přidělování přístupových práv a vypracování a aktualizace bezpečnostních předpisů pro tyto systémy.

(5) Povinná osoba zajistí odpovídající nezávislost výkonu vnitřní kontroly vzhledem k povaze, předmětu a významu kontroly a zamezení střetu zájmů při zajišťování všech kontrolních mechanismů včetně kontroly compliance. Výkon vnitřního auditu je nezávislý na veškerých výkonných činnostech.

(1) Povinná osoba zajistí, aby příslušné orgány včetně dozorčích, zaměstnanci, útvary a výbory, pokud jsou zřízeny, měli pro své rozhodování a další stanovené činnosti k dispozici informace, které jsou aktuální, spolehlivé a ucelené.

(2) Představenstvo je bez zbytečného odkladu informováno

(3) Představenstvo je pravidelně informováno

(4) V povinné osobě jsou k dispozici informace

(5) Povinná osoba

(1) Systém pro vytváření, kontrolu a předávání informací příslušným orgánům dohledu je vytvořen a udržován tak, aby poskytoval informace aktuálně, spolehlivě a uceleně.

(2) Povinná osoba zajistí, aby byly vytvořeny a udržovány mechanismy vnitřní kontroly zajišťující úplnost a správnost veškerých výpočtů, údajů, výkazů a dalších informací na individuálním i konsolidovaném základě, poskytovaných České národní bance pravidelně nebo na její žádost.

(3) Postupy uplatňované pro vytváření a poskytování údajů České národní bance, včetně předkládání výkazů, jsou zpětně vysledovatelné (rekonstruovatelné) i v rámci regulovaného konsolidačního celku.

(4) Povinná osoba uchovává data potřebná pro sledování dodržování limitů stanovených touto vyhláškou nejméně po dobu pěti let.

c) zabezpečuje ochranu informačního systému před přístupem a zásahy ze strany neoprávněných osob a před poškozením.

b) stanoví podmínky, za kterých budou do informačního systému ukládána data související s prováděnými obchody a poskytovanými službami a prováděny jejich dovolené úpravy, podmínky nakládání s těmito daty a zajištění snadné zjistitelnosti jejich původního obsahu a provedených úprav,

a) stanoví podmínky přístupu zaměstnanců k informačnímu systému a údajům v něm zaznamenaným, rozsah přístupových práv a proces jejich stanovení, včetně způsobu rozhodování o rozsahu přístupových práv jednotlivých zaměstnanců a rozhodování o jejich změnách,

f) o srovnání skutečného vývoje likvidity s příslušným scénářem a limity pro řízení rizika likvidity.

e) o výsledcích měření likvidity na denní bázi, ve stanovených časových pásmech, v jednotlivých hlavních měnách a souhrnně za všechny měny a

d) o srovnání předchozích odhadů míry podstupovaného rizika se skutečnými výsledky (zpětné testování), pokud povinná osoba používá metody založené na odhadu míry tržního rizika,

c) o výsledcích stresových testů,

b) o výsledcích analýz úvěrového portfolia,

a) o srovnání míry podstupovaného rizika s vnitřními limity a s regulatorními požadavky,

e) o kapitálové přiměřenosti.

d) o celkové míře podstupovaných rizik i při zohlednění vlivu mechanismů vnitřní kontroly (celkový rizikový profil) a

c) o míře podstupovaného úvěrového, tržního a operačního rizika a o likvidní situaci,

b) o dodržování pravidel angažovanosti a o riziku koncentrace,

a) o dodržování požadavků stanovených právními předpisy a postupů stanovených vnitřními předpisy, včetně celkového vyhodnocení, zda vnitřní předpisy a standardy zvolené a používané povinnou osobou podle § 9 odst. 2 jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti činností povinné osoby, a včetně případných zjištěných významných rozdílů postupů povinné osoby oproti požadavkům stanoveným právními předpisy a postupům stanoveným vnitřními předpisy,

b) o všech překročeních limitů ohrožujících dodržení akceptované míry úvěrového, tržního a dalších významných podstupovaných rizik, včetně rizika likvidity; v případech, kdy se likvidní situace výrazně nepříznivě mění, je představenstvo informováno neprodleně.

a) o všech skutečnostech, které by mohly významně nepříznivě ovlivnit finanční situaci povinné osoby, včetně vlivů změn vnitřního či vnějšího prostředí, a

(1) Řídicí a kontrolní systém je nastaven tak, aby umožňoval soustavné řízení rizik.

(3) Proces rozpoznávání rizik je zajištěn u všech činností a na všech řídicích a organizačních úrovních a umožňuje odhalování nových, dosud neidentifikovaných rizik.

(2) Povinná osoba zavede a udržuje systém řízení rizik, který odpovídá povaze, rozsahu a složitosti činností a s nimi spjatých rizik, a tak, aby poskytoval nezkreslený obraz o míře podstupovaných rizik.

(4) Povinná osoba při řízení rizik zohledňuje všechna významná rizika a rizikové faktory, kterým je nebo může být vystavena s přihlédnutím k povaze, rozsahu a složitosti činností. Řízení rizik zohledňuje vnitřní a vnější faktory včetně zohledňování budoucí strategie podnikání povinné osoby, vlivů ekonomického prostředí a cyklu a vlivů regulatorního prostředí. Řízení rizik zohledňuje kvantitativní a kvalitativní aspekty rizik, reálné možnosti jejich řízení a náklady a výnosy vyplývající z řízení rizik.

c) zásady kontrolních mechanismů a činností při řízení rizik, včetně kontroly dodržování stanovených postupů a limitů pro řízení rizik a ověřování výstupů hodnocení či měření rizik.

a) postupy pro rozpoznávání, vyhodnocování či měření, sledování, ohlašování a případné omezování rizik,

b) soustavu limitů používanou při řízení rizik, včetně postupů a informačních toků při překročení limitů,

(1) Povinná osoba musí mít strategii řízení rizik, která je přiměřená povaze, rozsahu a složitosti jejích činností. Povinná osoba vypracuje konkrétní postupy pro naplňování této strategie.

(2) Povinná osoba zajistí, aby strategie řízení rizik a veškeré postupy a limity týkající se řízení rizik byly pravidelně vyhodnocovány a případně upravovány.

(3) Povinná osoba zajistí, aby všichni zaměstnanci, jejichž činnost má vliv na řízení rizik, byli se schválenou strategií seznámeni v potřebném rozsahu a postupovali v souladu s touto strategií a z ní vyplývajícími postupy a limity.

e) akceptovanou míru rizika, v tom vždy rizika úvěrového, tržního, operačního a koncentrace,

c) zásady řízení jednotlivých rizik, v tom vždy rizika úvěrového, tržního, operačního, likvidity a koncentrace,

b) zásady pro určování (posuzování) významnosti při řízení rizik,

a) vnitřní definice (vymezení) rizik, kterým je nebo může být povinná osoba vystavena,

(4) Strategie řízení rizik stanoví zejména

g) zásady pro vymezení povolených produktů, měn, států, zeměpisných oblastí, trhů a protistran.

f) zásady pro sestavení a úpravy pohotovostního plánu pro případ krize likvidity a

d) metody pro řízení rizik, včetně stresového testování, v tom vždy rizika úvěrového, tržního, operačního, likvidity a koncentrace,

(2) Další vymezení některých požadavků na řízení vybraných rizik je uvedeno v příloze č. 1 této vyhlášky.

(1) Povinná osoba soustavně řídí riziko

b) další významná rizika, kterým je nebo může být vystavena, zejména riziko reputační, strategické, spojené se zdroji kapitálu a financováním nebo spojené s účastí v konsolidačním celku, včetně rizika operací se členy téhož konsolidačního celku, ledaže pro povinnou osobu nepřichází toto riziko v úvahu nebo není významné.

a) úvěrové, tržní, operační, likvidity, koncentrace a

(1) Povinná osoba ve skupině smíšené holdingové osoby uplatňuje postupy, které jí umožňují vhodným způsobem sledovat operace, které sjednala se smíšenou holdingovou osobou, členem jejíž skupiny povinná osoba je, nebo osobou ovládanou touto smíšenou holdingovou osobou (dále jen „operace uvnitř skupiny“). Zvláštní pozornost věnuje významným operacím uvnitř skupiny.

(2) Operace uvnitř skupiny se považuje za významnou, přesahuje-li 5 % součtu kapitálových požadavků podle části čtvrté stanovených na individuálním základě povinnou osobou ve skupině smíšené holdingové osoby s tím, že operace uvnitř skupiny stejného charakteru, sjednané se stejnou protistranou a ve stejné měně, se považují za jednu operaci.

(1) Povinná osoba udržuje ke krytí rizik, kterým je nebo může být vystavena, také přiměřený kapitál.

(2) Strategie a postupy pro řízení rizik a strategie a postupy pro plánování a udržování kapitálu ke krytí rizik jsou ucelené a propojené.

(3) Povinná osoba při omezování a krytí rizik obezřetně zohledňuje faktory, které ovlivňují výsledky vyhodnocování či měření podstupovaných rizik, včetně vlivů

a) tvorby opravných položek a dalších úprav ocenění aktiv a tvorby rezerv k podrozvahovým položkám,

b) používání vlastních odhadů a modelů,

c) zohledňování výsledků testů, včetně vlivu výsledků testu úrokového šoku a dalších stresových testů, a

d) případného zohledňování efektů z rozložení (diverzifikace) rizik.

(4) Pokud celková míra podstupovaných rizik i při zohlednění vlivu mechanismů vnitřní kontroly (celkový rizikový profil) není přiměřeně kryta kapitálem nebo jiným způsobem, povinná osoba přijme opatření k nápravě.

(2) Povinná osoba zajistí, aby nové produkty, činnosti a systémy byly před zavedením prověřeny přiměřenými kontrolními a schvalovacími postupy v zájmu rozlišení jejich rizikovosti a zařazení do procesu řízení rizik, v souladu se zásadou významnosti.

(3) Povinná osoba vymezí, kdy se jedná o nový produkt, činnost nebo systém, a stanoví odpovědnosti, pravomoci a postupy při jejich zavádění.

h) způsoby vypořádání transakcí.

(1) Povinná osoba rozpoznává rizika spjatá s novými produkty, činnostmi a systémy.

b) analýzu očekávaných dopadů zavedení produktu, činnosti nebo systému na povinnou osobu,

c) návrh postupu zavedení,

d) analýzu rizik včetně návrhů na jejich řízení,

e) identifikaci lidských a technických zdrojů, které je nutno vyčlenit na řádné řízení rizika, včetně požadavků na informační systémy,

f) oceňovací postupy,

g) definici nebo seznam navrhovaných protistran a

(6) Povinnosti podle odstavců 1 až 5 se vztahují obdobně i na změny ve stávajících produktech, činnostech nebo systémech povinné osoby.

(5) Povinná osoba zakáže svým zaměstnancům sjednávat transakce s neschválenými produkty.

Návrh obsahuje skutečnosti uvedené pod písmeny f), g) nebo h) pouze, pokud je to pro daný produkt, činnost nebo systém relevantní.
(4) Povinná osoba stanoví náležitosti, které obsahuje návrh nového produktu, činnosti nebo systému. Návrh vždy obsahuje

a) popis navrhovaného produktu, činnosti nebo systému, včetně popisu účetních, daňových a právních aspektů a případné potřeby souhlasu příslušného orgánu dohledu,

(2) Kontrolní činnosti jsou součástí běžné, zpravidla každodenní činnosti povinné osoby a zahrnují zejména

(1) Povinná osoba zavede a udržuje kontrolní mechanismy a postupy pro kontrolní činnost na všech řídicích a organizačních úrovních.

b) přiměřené kontrolní mechanismy pro jednotlivé procesy, například kontrolu dodržování právních a vnitřních předpisů a limitů, kontrolu schvalování a autorizace transakcí nad stanovené limity, kontrolu průběhu činností a transakcí, ověřování detailů transakcí, ověřování výstupů používaných systémů a modelů řízení rizik, pravidelnou rekonciliaci,

a) kontrolu po linii řízení,

c) fyzickou kontrolu; fyzická kontrola se zaměřuje zejména na omezení přístupu k hmotnému majetku, cenným papírům a jiným finančním aktivům a na pravidelné inventury majetku.

a) informování vrcholného vedení o veškerých zjištěných odchylkách a nesouladech; o významných odchylkách a nesouladech je informováno představenstvo,

a) soulad vnitřních předpisů (§ 9) s právními předpisy,

c) soulad činností s právními a vnitřními předpisy.

b) vzájemný soulad vnitřních předpisů a

c) poskytování dalších účelných informací ohledně compliance představenstvu a vrcholnému vedení.

(3) Povinná osoba zajistí výkon compliance a související kontroly tak, aby bylo rovněž zabezpečeno

(2) Povinná osoba zajistí průběžnou kontrolu dodržování právních povinností a povinností plynoucích z jejích vnitřních předpisů.

(1) Povinná osoba zavede a udržuje zásady a postupy pro zajišťování compliance, jejichž cílem je zejména zabezpečit

b) informování vrcholného vedení o připravovaných nebo nových právních předpisech a uznávaných standardech týkajících se činností povinné osoby a

(4) Zásady a postupy pro compliance pokrývají uceleně a propojeně veškeré činnosti povinné osoby.

(1) Povinná osoba zajistí trvalý a účinný výkon vnitřního auditu.

(2) Povinná osoba zajistí výkon vnitřního auditu tak, aby poskytoval objektivní a nezávislé ujištění o činnostech povinné osoby.

(3) Výkon vnitřního auditu zajistí povinná osoba prostřednictvím alespoň jednoho zaměstnance, outsourcingu nebo kombinací.

c) vytvoření a udržování systému sledování opatření k nápravě, uložených na základě zjištění vnitřního auditu,

a) sestavení analýzy rizik, a to alespoň jednou ročně,

g) funkčnost a bezpečnost informačního systému včetně spolehlivosti systému sestavování a předkládání výkazů České národní bance.

f) spolehlivost účetních, statistických a dalších informací, včetně informací poskytovaných orgánům povinné osoby, a

e) úplnost, průkaznost a správnost vedení účetnictví,

(7) Podrobnější vymezení požadavků na vnitřní audit je uvedeno v příloze č. 2 této vyhlášky.

(6) Osoba pověřená výkonem vnitřního auditu (§ 13) musí informovat o zjištěných skutečnostech představenstvo povinné osoby a dozorčí orgán a v případě zjištění, která mohou významným způsobem záporně ovlivnit finanční situaci povinné osoby, musí dát podnět k mimořádnému zasedání dozorčího orgánu.

(5) Povinná osoba zajistí, aby při výkonu vnitřního auditu byly vždy provedeny následující činnosti:

(4) Vnitřnímu auditu podléhá zejména

c) systémy řízení rizik a vnitřní kontroly,

d) finanční řízení,

a) dodržování pravidel obezřetného podnikání povinné osoby,

b) dodržování stanovených zásad, cílů a postupů,

d) vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému, a to alespoň jednou ročně.

b) sestavení strategického a periodického plánu vnitřního auditu,

(1) Povinná osoba zajistí, aby sledování a vyhodnocování funkčnosti a efektivnosti řídicího a kontrolního systému bylo prováděno průběžně na všech řídicích a organizačních úrovních.

(3) Nedostatky řídicího a kontrolního systému odhalené dozorčím orgánem, po linii řízení, v rámci vnitřního auditu nebo na základě jiné vnitřní kontroly, auditorem nebo jiným způsobem, musí být bez zbytečného odkladu oznámeny příslušné řídicí úrovni a urychleně řešeny.

(2) Pokud povinná osoba zavede mechanismus sdělování významných obav zaměstnanců ohledně funkčnosti a efektivnosti řídicího a kontrolního systému mimo běžné informační toky (whistle-blowing), zajistí dostupnost tohoto mechanismu pro všechny zaměstnance a právo na zachování důvěrnosti zdroje v případě, že tohoto mechanismu zaměstnanec využije.

(5) Systém odhalování a ohlašování nedostatků řídicího a kontrolního systému musí být nastaven tak, aby umožňoval jejich včasnou nápravu. Účinnost přijatých opatření k nápravě je následně ověřována.

(4) Významné nedostatky řídicího a kontrolního systému musí být oznámeny představenstvu, dozorčímu orgánu a výboru pro audit, pokud je zřízen.

(1) Zpráva je výsledkem ověření, které vyhovuje těmto požadavkům:

a) ověření bylo provedeno podle stavu k 31. prosinci kalendářního roku,

b) systém byl porovnán s právními předpisy a standardy podle § 9 takto:

1. základní součástí ověření systému bylo porovnání a vyhodnocení souladu systému s regulatorními požadavky vyplývajícími z právních předpisů,

c) byla vyhodnocena funkčnost a efektivnost kontrolních mechanismů a specifikovány chybějící mechanismy vnitřní kontroly,

2. zvolené standardy podle § 9, které byly použity pro ověření systému, podle odborného úsudku auditora nejlépe odrážely velikost, organizační uspořádání, povahu, rozsah a složitost činností, které banka nebo družstevní záložna vykonává; auditor může použít i uznávané standardy neuvedené v přehledu uveřejňovaném Českou národní bankou,

d) bylo vyjádřeno, jaké riziko zjištěné nedostatky představovaly a představují pro řídicí a kontrolní systém, a

e) byla vyhodnocena funkčnost a efektivnost řídicího a kontrolního systému v daných oblastech jako celku.

(2) Podrobnější vymezení struktury a formátu zprávy o ověření řídicího a kontrolního systému je uvedeno v příloze č. 3 této vyhlášky.

(1) Banka nebo družstevní záložna předloží České národní bance zprávu o ověření systému, spolu s případnými komentáři banky nebo družstevní záložny ke zprávě, do 28. února následujícího roku.

(2) Po předložení zprávy o ověření systému může Česká národní banka v případě potřeby žádat vysvětlení k předložené zprávě a ke komentářům banky nebo družstevní záložny. Pokud si Česká národní banka vyžádá ústní vysvětlení od auditora, požádá současně banku nebo družstevní záložnu o souhlas pro auditora k tomuto projednání a umožní bance nebo družstevní záložně účastnit se projednání.

(3) Významné skutečnosti, které byly zjištěny po předložení zprávy České národní bance a mají podstatný vztah k jejímu obsahu, oznámí banka nebo družstevní záložna neprodleně České národní bance.