POŽADAVKY NA ŘÍDICÍ A KONTROLNÍ SYSTÉM
[K § 8b odst. 5 zákona o bankách, k § 7a odst. 5 zákona o spořitelních a úvěrních družstvech, k § 12f písm. a) a b) a § 32 odst. 8 písm. a) zákona o podnikání na kapitálovém trhu]

Předpoklady řádné správy a řízení společnosti

Řízení rizik

Systém vnitřní kontroly

(1) Řídicí a kontrolní systém povinné osoby pokrývá veškeré její činnosti.

(2) Pokud povinná osoba plní povinnosti, které se týkají řídicího a kontrolního systému, také na konsolidovaném základě, řídicí a kontrolní systém pokrývá činnosti všech osob v regulovaném konsolidačním celku. Ve vztahu ke společně řízenému podniku platí toto ustanovení přiměřeně.

(3) Česká národní banka uveřejňuje ve Věstníku České národní banky

a) přehled vybraných uznávaných standardů a přehled vybraných vydavatelů uznávaných standardů,

b) srovnávací standardy (benchmark), jejichž obsahem jsou očekávání České národní banky při naplňování požadavků této vyhlášky.

(1) Povinná osoba zajistí, že požadavky stanovené na řídicí a kontrolní systém a postupy povinné osoby k jejich naplňování a při výkonu dalších činností jsou promítnuty do organizačního řádu a dalších vnitřně stanovených zásad, pravidel a postupů (dále jen „vnitřní předpis“) povinné osoby a v rámci regulovaného konsolidačního celku. Povinná osoba stanoví postup při přijímání, změně, zavádění a uplatňování vnitřních předpisů. Součástí vnitřních předpisů jsou vždy také pravidla pro evidování reklamací a stížností klientů včetně klientů potenciálních, jejich vyřizování a sledování přijatých opatření.

(2) K naplnění předpokladu řádné správy a řízení společnosti prostřednictvím uplatňování řádných postupů povinná osoba zvolí a do vnitřních předpisů promítne jí vybrané uznávané a osvědčené principy a postupy vydávané uznávanými osobami a využívané při činnostech obdobného charakteru (dále jen „uznávaný standard“). Povinná osoba pravidelně prověřuje, zda vnitřní předpisy a jí zvolené uznávané standardy jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti činností povinné osoby.

(4) Promítnutí standardů podle odstavce 3 do vnitřních předpisů a jejich použití povinnou osobou se považuje za plnění ustanovení odstavce 2 věty první. Tím není dotčeno právo povinné osoby zvolit a do vnitřních předpisů promítnout i jiné uznávané standardy; jejich obsah nebo použití však nesmí být v rozporu s ustanoveními této vyhlášky a ostatních právních předpisů ani obcházet jejich účel.

(2) Povinná osoba zajistí, aby v souvislosti se sjednáním nebo využíváním outsourcingu

b) nebyly ohroženy předpoklady pro řádný a obezřetný výkon činnosti povinné osoby,

d) byla stanovena pravidla kontroly činností, které jsou předmětem outsourcingu, včetně případné kontroly skutečností týkajících se outsourcingu u jeho poskytovatele.

c) nebyly dotčeny právní vztahy povinné osoby s klientem a

a) nebyl omezen soulad činností, které jsou předmětem outsourcingu, s příslušnými právními předpisy, možnost jejich kontroly povinnou osobou, plnění informačních povinností vůči České národní bance, výkon dohledu, včetně případné kontroly skutečností podléhajících dohledu u poskytovatele outsourcingu, a provedení auditu účetní závěrky a dalších ověření stanovených jinými právními předpisy⁸),

(3) Povinná osoba uzavírá smlouvu upravující outsourcing způsobem, který umožňuje zachycení jejího obsahu, kontrolovatelnost a případnou vymahatelnost, jakož i uchovatelnost.

(1) Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba, zajišťuje pro povinnou osobu na smluvním základě jiná osoba (dále jen „outsourcing“), povinná osoba se tím nezbavuje žádné ze svých odpovědností za činnosti, které jsou předmětem outsourcingu.

(3) Dozorčí orgán stanoví zásady odměňování členů představenstva a osoby, k jejímuž pověření výkonem vnitřního auditu se předem vyjadřuje podle odstavce 2 (dále jen „osoba pověřená výkonem vnitřního auditu“), pokud toto není v pravomoci valné hromady nebo členské schůze.

(2) Dozorčí orgán se předem vyjadřuje k návrhu představenstva nebo jiného orgánu s obdobnou působností (dále jen „představenstvo“) povinné osoby na pověření fyzické nebo právnické osoby zajišťováním výkonu vnitřního auditu nebo na její odvolání. V případě, že výkon vnitřního auditu zajišťuje více zaměstnanců, vyjadřuje se dozorčí orgán pouze k návrhu na pověření nebo odvolání jejich vedoucího zaměstnance.

(1) Dozorčí orgán se podílí na směrování, plánování a vyhodnocování činnosti vnitřního auditu a vyhodnocování compliance (§ 32).

(4) Dozorčí orgán schvaluje a pravidelně vyhodnocuje souhrnné zásady odměňování vybraných skupin zaměstnanců, jejichž činnosti mají významný vliv na celkový rizikový profil [§ 21 odst. 3 písm. d)] povinné osoby. Podrobnější vymezení některých požadavků na odměňování je uvedeno v příloze č. 1a této vyhlášky.

a) souladu řídicího a kontrolního systému s právními předpisy; součástí tohoto požadavku je zajištění výkonu činností s odbornou péčí, a

b) nastavení, udržování a uplatňování řídicího a kontrolního systému tak, aby zajistil adekvátnost informací a komunikace při výkonu činností povinné osoby.

(1) Představenstvo zajistí stanovení celkové strategie včetně dostatečně konkrétních zásad a cílů jejího naplňování a trvalé a účinné fungování systému vnitřní kontroly.

(2) Představenstvo zajistí stanovení pravidel, která jednoznačně formulují etické zásady a předpokládané modely chování a jednání zaměstnanců v souladu s těmito zásadami, a jejich prosazování.

(3) Představenstvo zajistí stanovení zásad řízení lidských zdrojů včetně zásad pro výběr, odměňování, hodnocení a motivování zaměstnanců v souladu se schváleným systémem odměňování. Součástí zásad povinné osoby je též požadavek, aby veškeré činnosti včetně činností orgánů a výborů, pokud jsou zřízeny, a jejich členů, vykonávali kvalifikovaní zaměstnanci s odpovídajícími znalostmi a zkušenostmi.

(6) Představenstvo zajistí, aby byly uplatňovány takové postupy řízení, které vedou k zamezení nežádoucích činností, zejména upřednostňování krátkodobých výsledků a cílů, které nejsou v souladu s naplňováním celkové strategie, systém odměňování, který je nepřiměřeně závislý na krátkodobém výkonu, nebo jiné postupy, které umožňují zneužití zdrojů nebo zakrývání nedostatků.

(4) Představenstvo zajistí, aby byly stanoveny požadavky na znalosti a zkušenosti osob, jimiž zabezpečuje výkon svých činností, způsob prokazování požadovaných znalostí a zkušeností a způsob prověřování, zda znalosti a zkušenosti osob, jimiž povinná osoba zabezpečuje výkon svých činností, jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti těchto činností.

(5) Představenstvo zajistí, aby všichni zaměstnanci byli seznámeni s příslušnými vnitřními předpisy a dodržovali je, rozuměli své úloze v řídicím a kontrolním systému a aktivně se do tohoto systému zapojili; k zabezpečení tohoto požadavku slouží též systém vnitřní komunikace, který je nedílnou součástí informačního systému povinné osoby. Představenstvo rovněž zajistí, aby byly uplatňovány řádné administrativní a účetní postupy.

(1) Představenstvo schvaluje a pravidelně vyhodnocuje

(2) Představenstvo schvaluje

(3) Představenstvo dohlíží na realizaci jím schválených strategií, zásad a cílů a další činnosti, zejména činnosti vrcholného vedení a jeho členů. Představenstvo včas a dostatečně vyhodnocuje pravidelné zprávy i mimořádná zjištění, která jsou mu předkládána vrcholným vedením, v rámci vnitřního auditu, dozorčím orgánem, výbory, pokud jsou zřízeny, auditorem³) nebo příslušnými orgány dohledu či z jiných zdrojů. Na základě těchto vyhodnocení přijímá představenstvo přiměřená opatření, která jsou realizována bez zbytečného odkladu.

c) statut a předmět vnitřního auditu a personální a technické zajištění jeho výkonu a

b) soustavu limitů, kterou povinná osoba bude používat pro omezení rizik, v tom vždy pro riziko úvěrové, tržní, koncentrace a likvidity, včetně požadavků na strukturu aktiv, závazků a podrozvahových položek, ledaže tuto pravomoc představenstvo přeneslo na jím určený výbor,

a) nové produkty, činnosti a systémy mající pro povinnou osobu zásadní význam, ledaže tuto pravomoc představenstvo přeneslo na jím určený výbor,

g) bezpečnostní zásady včetně bezpečnostních zásad pro informační systém.

f) zásady systému vnitřní kontroly včetně zásad pro zamezování vzniku možného střetu zájmů a zásad pro compliance a

e) strategii rozvoje informačního systému,

d) strategii související s kapitálem a kapitálovou přiměřeností,

c) strategii řízení rizik,

b) organizační uspořádání,

a) celkovou strategii,

d) strategický a periodický plán vnitřního auditu.

(5) Představenstvo alespoň jednou ročně vyhodnocuje celkovou funkčnost a efektivnost řídicího a kontrolního systému a zajistí případné kroky k nápravě takto zjištěných nedostatků.

(4) Představenstvo pravidelně jedná o záležitostech, které se týkají řídicího a kontrolního systému, s vrcholným vedením.

a) vedoucí zaměstnanci přímo podřízení členům představenstva,

b) členové představenstva, kteří zároveň vykonávají činnosti podle § 18, a

c) jiné osoby, které do vrcholného vedení zahrne povinná osoba.

(1) Vrcholným vedením se rozumí

(1) Vrcholné vedení odpovídá za realizaci představenstvem schválených strategií, zásad a cílů včetně rozpracování postupů pro jejich naplňování a každodenní vedení povinné osoby.

(3) Vrcholné vedení odpovídá za vytvoření a udržování funkčního a efektivního systému získávání, využívání a uchovávání informací.

(2) Vrcholné vedení odpovídá za udržování funkčního a efektivního organizačního uspořádání včetně oddělení neslučitelných funkcí a zamezování vzniku možného střetu zájmů.

(2) Povinná osoba stanoví pracovní náplň organizačních útvarů umožňující účinnou komunikaci a spolupráci na všech úrovních a podporující funkční, efektivní a obezřetné řízení a výkon dalších činností, včetně činností rozhodovacích a kontrolních, a to způsobem neohrožujícím řádné, čestné a profesionální plnění povinností.

(1) Organizační uspořádání a vnitřní předpisy, které jej upravují, jednoznačně a uceleně stanoví činnosti, odpovědnosti, pravomoci, hlavní informační toky a vazby

b) v rámci regulovaného konsolidačního celku.

a) orgánů, zaměstnanců, útvarů a výborů povinné osoby, pokud jsou zřízeny, a

d) vypořádání a kontrola souladu údajů (dále jen „rekonciliace“) o obchodech sjednaných na finančních trzích,

c) oceňování transakcí uzavřených na finančních trzích,

b) oceňování zajištění,

a) schvalování systémů a metod pro oceňování zajištění,

(3) Povinná osoba zajistí až do úrovně vrcholného vedení oddělení odpovědnosti za řízení obchodních činností od odpovědnosti za řízení rizika úvěrového, tržního a koncentrace a vypořádání a rekonciliaci obchodů sjednaných na finančních trzích.

(2) Nezávisle na činnostech, v jejichž přímém důsledku je povinná osoba vystavena úvěrovému nebo tržnímu riziku (dále jen „obchodní činnosti“), je prováděno

(1) Povinná osoba zajistí, aby orgánům, jejich členům a dalším zaměstnancům, útvarům a výborům, pokud jsou zřízeny, byly na všech řídicích a organizačních úrovních přidělovány odpovědnosti a pravomoci tak, aby bylo dostatečně zamezeno vzniku možného střetu zájmů. Oblasti, kde existuje možnost vzniku střetu zájmů, jsou včas identifikovány. Postupy jsou stanoveny tak, aby omezily možnosti střetu zájmů. Oblasti střetu zájmů a oblasti jeho možného vzniku jsou také předmětem průběžného nezávislého sledování.

f) schvalování limitů pro řízení rizika úvěrového, tržního a koncentrace,

e) uvolňování poskytnutých prostředků,

j) měření a sledování likvidní pozice a její ohlašování členům vrcholného vedení a představenstvu.

i) vytváření kvantitativních a kvalitativních informací o riziku úvěrovém, tržním a koncentrace, ohlašovaných členům vrcholného vedení a představenstvu,

h) řízení rizika úvěrového, tržního a koncentrace, včetně kontroly dodržování limitů,

g) schvalování oceňovacích systémů a modelů používaných pro měření a sledování rizika úvěrového, tržního a koncentrace,

(5) Povinná osoba zajistí odpovídající nezávislost výkonu vnitřní kontroly vzhledem k povaze, předmětu a významu kontroly a zamezení střetu zájmů při zajišťování všech kontrolních mechanismů včetně kontroly compliance. Výkon vnitřního auditu je nezávislý na veškerých výkonných činnostech.

(4) Vývoj informačních systémů je zajišťován odděleně od provozu těchto systémů. Správa informačních systémů je prováděna odděleně od vyhodnocování bezpečnostních auditních záznamů, kontroly přidělování přístupových práv a vypracování a aktualizace bezpečnostních předpisů pro tyto systémy.

b) o výsledcích analýz úvěrového portfolia,

c) o výsledcích stresových testů,

d) o srovnání předchozích odhadů míry podstupovaného rizika se skutečnými výsledky (zpětné testování), pokud povinná osoba používá metody založené na odhadu míry tržního rizika,

e) o výsledcích měření likvidity na denní bázi, ve stanovených časových pásmech, v jednotlivých hlavních měnách a souhrnně za všechny měny a

f) o srovnání skutečného vývoje likvidity s příslušným scénářem a limity pro řízení rizika likvidity.

a) stanoví podmínky přístupu zaměstnanců k informačnímu systému a údajům v něm zaznamenaným, rozsah přístupových práv a proces jejich stanovení, včetně způsobu rozhodování o rozsahu přístupových práv jednotlivých zaměstnanců a rozhodování o jejich změnách,

b) stanoví podmínky, za kterých budou do informačního systému ukládána data související s prováděnými obchody a poskytovanými službami a prováděny jejich dovolené úpravy, podmínky nakládání s těmito daty a zajištění snadné zjistitelnosti jejich původního obsahu a provedených úprav,

c) zabezpečuje ochranu informačního systému před přístupem a zásahy ze strany neoprávněných osob a před poškozením.

(3) Postupy uplatňované pro vytváření a poskytování údajů České národní bance, včetně předkládání výkazů, jsou zpětně vysledovatelné (rekonstruovatelné) i v rámci regulovaného konsolidačního celku.

(1) Systém pro vytváření, kontrolu a předávání informací příslušným orgánům dohledu je vytvořen a udržován tak, aby poskytoval informace aktuálně, spolehlivě a uceleně.

(5) Povinná osoba

(4) V povinné osobě jsou k dispozici informace

(3) Představenstvo je pravidelně informováno

(2) Představenstvo je bez zbytečného odkladu informováno

(1) Povinná osoba zajistí, aby příslušné orgány včetně dozorčích, zaměstnanci, útvary a výbory, pokud jsou zřízeny, měli pro své rozhodování a další stanovené činnosti k dispozici informace, které jsou aktuální, spolehlivé a ucelené.

a) o srovnání míry podstupovaného rizika s vnitřními limity a s regulatorními požadavky,

e) o kapitálové přiměřenosti.

d) o celkové míře podstupovaných rizik i při zohlednění vlivu mechanismů vnitřní kontroly (celkový rizikový profil) a

c) o míře podstupovaného úvěrového, tržního a operačního rizika a o likvidní situaci,

b) o dodržování pravidel angažovanosti a o riziku koncentrace,

a) o dodržování požadavků stanovených právními předpisy a postupů stanovených vnitřními předpisy, včetně celkového vyhodnocení, zda vnitřní předpisy a standardy zvolené a používané povinnou osobou podle § 9 odst. 2 jsou nadále aktuální a přiměřené rozsahu, povaze a složitosti činností povinné osoby, a včetně případných zjištěných významných rozdílů postupů povinné osoby oproti požadavkům stanoveným právními předpisy a postupům stanoveným vnitřními předpisy,

b) o všech překročeních limitů ohrožujících dodržení akceptované míry úvěrového, tržního a dalších významných podstupovaných rizik, včetně rizika likvidity; v případech, kdy se likvidní situace výrazně nepříznivě mění, je představenstvo informováno neprodleně.

a) o všech skutečnostech, které by mohly významně nepříznivě ovlivnit finanční situaci povinné osoby, včetně vlivů změn vnitřního či vnějšího prostředí, a

(4) Povinná osoba uchovává data potřebná pro sledování dodržování limitů stanovených touto vyhláškou nejméně po dobu pěti let.

(2) Povinná osoba zajistí, aby byly vytvořeny a udržovány mechanismy vnitřní kontroly zajišťující úplnost a správnost veškerých výpočtů, údajů, výkazů a dalších informací na individuálním i konsolidovaném základě, poskytovaných České národní bance pravidelně nebo na její žádost.

(3) Proces rozpoznávání rizik je zajištěn u všech činností a na všech řídicích a organizačních úrovních a umožňuje odhalování nových, dosud neidentifikovaných rizik.

(1) Řídicí a kontrolní systém je nastaven tak, aby umožňoval soustavné řízení rizik.

(2) Povinná osoba zavede a udržuje systém řízení rizik, který odpovídá povaze, rozsahu a složitosti činností a s nimi spjatých rizik, a tak, aby poskytoval nezkreslený obraz o míře podstupovaných rizik.

(4) Povinná osoba při řízení rizik zohledňuje všechna významná rizika a rizikové faktory, kterým je nebo může být vystavena s přihlédnutím k povaze, rozsahu a složitosti činností. Řízení rizik zohledňuje vnitřní a vnější faktory včetně zohledňování budoucí strategie podnikání povinné osoby, vlivů ekonomického prostředí a cyklu a vlivů regulatorního prostředí. Řízení rizik zohledňuje kvantitativní a kvalitativní aspekty rizik, reálné možnosti jejich řízení a náklady a výnosy vyplývající z řízení rizik.

a) postupy pro rozpoznávání, vyhodnocování či měření, sledování, ohlašování a případné omezování rizik,

b) soustavu limitů používanou při řízení rizik, včetně postupů a informačních toků při překročení limitů,

c) zásady kontrolních mechanismů a činností při řízení rizik, včetně kontroly dodržování stanovených postupů a limitů pro řízení rizik a ověřování výstupů hodnocení či měření rizik.

(2) Povinná osoba zajistí, aby strategie řízení rizik a veškeré postupy a limity týkající se řízení rizik byly pravidelně vyhodnocovány a případně upravovány.

(1) Povinná osoba musí mít strategii řízení rizik, která je přiměřená povaze, rozsahu a složitosti jejích činností. Povinná osoba vypracuje konkrétní postupy pro naplňování této strategie.

(3) Povinná osoba zajistí, aby všichni zaměstnanci, jejichž činnost má vliv na řízení rizik, byli se schválenou strategií seznámeni v potřebném rozsahu a postupovali v souladu s touto strategií a z ní vyplývajícími postupy a limity.

(4) Strategie řízení rizik stanoví zejména

g) zásady pro vymezení povolených produktů, měn, států, zeměpisných oblastí, trhů a protistran.

f) zásady pro sestavení a úpravy pohotovostního plánu pro případ krize likvidity a

e) akceptovanou míru rizika, v tom vždy rizika úvěrového, tržního, operačního a koncentrace,

d) metody pro řízení rizik, včetně stresového testování, v tom vždy rizika úvěrového, tržního, operačního, likvidity a koncentrace,

c) zásady řízení jednotlivých rizik, v tom vždy rizika úvěrového, tržního, operačního, likvidity a koncentrace,

b) zásady pro určování (posuzování) významnosti při řízení rizik,

a) vnitřní definice (vymezení) rizik, kterým je nebo může být povinná osoba vystavena,

b) další významná rizika, kterým je nebo může být vystavena, zejména riziko reputační, strategické, spojené se zdroji kapitálu a financováním nebo spojené s účastí v konsolidačním celku, včetně rizika operací se členy téhož konsolidačního celku, ledaže pro povinnou osobu nepřichází toto riziko v úvahu nebo není významné.

a) úvěrové, tržní, operační, likvidity, koncentrace a

(2) Další vymezení některých požadavků na řízení vybraných rizik je uvedeno v příloze č. 1 této vyhlášky.

(1) Povinná osoba soustavně řídí riziko

(1) Povinná osoba ve skupině smíšené holdingové osoby uplatňuje postupy, které jí umožňují vhodným způsobem sledovat operace, které sjednala se smíšenou holdingovou osobou, členem jejíž skupiny povinná osoba je, nebo osobou ovládanou touto smíšenou holdingovou osobou (dále jen „operace uvnitř skupiny“). Zvláštní pozornost věnuje významným operacím uvnitř skupiny.

(2) Operace uvnitř skupiny se považuje za významnou, přesahuje-li 5 % součtu kapitálových požadavků podle části čtvrté stanovených na individuálním základě povinnou osobou ve skupině smíšené holdingové osoby s tím, že operace uvnitř skupiny stejného charakteru, sjednané se stejnou protistranou a ve stejné měně, se považují za jednu operaci.

a) tvorby opravných položek a dalších úprav ocenění aktiv a tvorby rezerv k podrozvahovým položkám,

(3) Povinná osoba při omezování a krytí rizik obezřetně zohledňuje faktory, které ovlivňují výsledky vyhodnocování či měření podstupovaných rizik, včetně vlivů

(2) Strategie a postupy pro řízení rizik a strategie a postupy pro plánování a udržování kapitálu ke krytí rizik jsou ucelené a propojené.

(1) Povinná osoba udržuje ke krytí rizik, kterým je nebo může být vystavena, také přiměřený kapitál.

b) používání vlastních odhadů a modelů,

c) zohledňování výsledků testů, včetně vlivu výsledků testu úrokového šoku a dalších stresových testů, a

d) případného zohledňování efektů z rozložení (diverzifikace) rizik.

(4) Pokud celková míra podstupovaných rizik i při zohlednění vlivu mechanismů vnitřní kontroly (celkový rizikový profil) není přiměřeně kryta kapitálem nebo jiným způsobem, povinná osoba přijme opatření k nápravě.

(5) Povinná osoba zakáže svým zaměstnancům sjednávat transakce s neschválenými produkty.

(6) Povinnosti podle odstavců 1 až 5 se vztahují obdobně i na změny ve stávajících produktech, činnostech nebo systémech povinné osoby.

Návrh obsahuje skutečnosti uvedené pod písmeny f), g) nebo h) pouze, pokud je to pro daný produkt, činnost nebo systém relevantní.
(4) Povinná osoba stanoví náležitosti, které obsahuje návrh nového produktu, činnosti nebo systému. Návrh vždy obsahuje

b) analýzu očekávaných dopadů zavedení produktu, činnosti nebo systému na povinnou osobu,

h) způsoby vypořádání transakcí.

g) definici nebo seznam navrhovaných protistran a

f) oceňovací postupy,

c) návrh postupu zavedení,

d) analýzu rizik včetně návrhů na jejich řízení,

e) identifikaci lidských a technických zdrojů, které je nutno vyčlenit na řádné řízení rizika, včetně požadavků na informační systémy,

a) popis navrhovaného produktu, činnosti nebo systému, včetně popisu účetních, daňových a právních aspektů a případné potřeby souhlasu příslušného orgánu dohledu,

(1) Povinná osoba rozpoznává rizika spjatá s novými produkty, činnostmi a systémy.

(2) Povinná osoba zajistí, aby nové produkty, činnosti a systémy byly před zavedením prověřeny přiměřenými kontrolními a schvalovacími postupy v zájmu rozlišení jejich rizikovosti a zařazení do procesu řízení rizik, v souladu se zásadou významnosti.

(3) Povinná osoba vymezí, kdy se jedná o nový produkt, činnost nebo systém, a stanoví odpovědnosti, pravomoci a postupy při jejich zavádění.

(2) Kontrolní činnosti jsou součástí běžné, zpravidla každodenní činnosti povinné osoby a zahrnují zejména

b) přiměřené kontrolní mechanismy pro jednotlivé procesy, například kontrolu dodržování právních a vnitřních předpisů a limitů, kontrolu schvalování a autorizace transakcí nad stanovené limity, kontrolu průběhu činností a transakcí, ověřování detailů transakcí, ověřování výstupů používaných systémů a modelů řízení rizik, pravidelnou rekonciliaci,

a) kontrolu po linii řízení,

(1) Povinná osoba zavede a udržuje kontrolní mechanismy a postupy pro kontrolní činnost na všech řídicích a organizačních úrovních.

c) fyzickou kontrolu; fyzická kontrola se zaměřuje zejména na omezení přístupu k hmotnému majetku, cenným papírům a jiným finančním aktivům a na pravidelné inventury majetku.

(1) Povinná osoba zavede a udržuje zásady a postupy pro zajišťování compliance, jejichž cílem je zejména zabezpečit

b) informování vrcholného vedení o připravovaných nebo nových právních předpisech a uznávaných standardech týkajících se činností povinné osoby a

(3) Povinná osoba zajistí výkon compliance a související kontroly tak, aby bylo rovněž zabezpečeno

a) informování vrcholného vedení o veškerých zjištěných odchylkách a nesouladech; o významných odchylkách a nesouladech je informováno představenstvo,

(2) Povinná osoba zajistí průběžnou kontrolu dodržování právních povinností a povinností plynoucích z jejích vnitřních předpisů.

c) poskytování dalších účelných informací ohledně compliance představenstvu a vrcholnému vedení.

a) soulad vnitřních předpisů (§ 9) s právními předpisy,

b) vzájemný soulad vnitřních předpisů a

c) soulad činností s právními a vnitřními předpisy.

(4) Zásady a postupy pro compliance pokrývají uceleně a propojeně veškeré činnosti povinné osoby.

(1) Povinná osoba zajistí trvalý a účinný výkon vnitřního auditu.

(3) Výkon vnitřního auditu zajistí povinná osoba prostřednictvím alespoň jednoho zaměstnance, outsourcingu nebo kombinací.

(2) Povinná osoba zajistí výkon vnitřního auditu tak, aby poskytoval objektivní a nezávislé ujištění o činnostech povinné osoby.

d) vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému, a to alespoň jednou ročně.

f) spolehlivost účetních, statistických a dalších informací, včetně informací poskytovaných orgánům povinné osoby, a

g) funkčnost a bezpečnost informačního systému včetně spolehlivosti systému sestavování a předkládání výkazů České národní bance.

a) sestavení analýzy rizik, a to alespoň jednou ročně,

b) sestavení strategického a periodického plánu vnitřního auditu,

c) vytvoření a udržování systému sledování opatření k nápravě, uložených na základě zjištění vnitřního auditu,

(4) Vnitřnímu auditu podléhá zejména

(5) Povinná osoba zajistí, aby při výkonu vnitřního auditu byly vždy provedeny následující činnosti:

(6) Osoba pověřená výkonem vnitřního auditu (§ 13) musí informovat o zjištěných skutečnostech představenstvo povinné osoby a dozorčí orgán a v případě zjištění, která mohou významným způsobem záporně ovlivnit finanční situaci povinné osoby, musí dát podnět k mimořádnému zasedání dozorčího orgánu.

(7) Podrobnější vymezení požadavků na vnitřní audit je uvedeno v příloze č. 2 této vyhlášky.

a) dodržování pravidel obezřetného podnikání povinné osoby,

b) dodržování stanovených zásad, cílů a postupů,

c) systémy řízení rizik a vnitřní kontroly,

d) finanční řízení,

e) úplnost, průkaznost a správnost vedení účetnictví,

(1) Povinná osoba zajistí, aby sledování a vyhodnocování funkčnosti a efektivnosti řídicího a kontrolního systému bylo prováděno průběžně na všech řídicích a organizačních úrovních.

(2) Pokud povinná osoba zavede mechanismus sdělování významných obav zaměstnanců ohledně funkčnosti a efektivnosti řídicího a kontrolního systému mimo běžné informační toky (whistle-blowing), zajistí dostupnost tohoto mechanismu pro všechny zaměstnance a právo na zachování důvěrnosti zdroje v případě, že tohoto mechanismu zaměstnanec využije.

(3) Nedostatky řídicího a kontrolního systému odhalené dozorčím orgánem, po linii řízení, v rámci vnitřního auditu nebo na základě jiné vnitřní kontroly, auditorem nebo jiným způsobem, musí být bez zbytečného odkladu oznámeny příslušné řídicí úrovni a urychleně řešeny.

(5) Systém odhalování a ohlašování nedostatků řídicího a kontrolního systému musí být nastaven tak, aby umožňoval jejich včasnou nápravu. Účinnost přijatých opatření k nápravě je následně ověřována.

(4) Významné nedostatky řídicího a kontrolního systému musí být oznámeny představenstvu, dozorčímu orgánu a výboru pro audit, pokud je zřízen.