k vyhlášce č. 434/2009 Sb.
Další požadavky na řídicí a kontrolní systém

Část I
Předpoklady řádné správy a řízení tuzemské pojišťovny nebo tuzemské zajišťovny

Část II
Systém řízení rizik

Část III
Systém vnitřní kontroly

SPOLEČNÁ, PŘECHODNÁ A ZÁVĚREČNÁ USTANOVENÍ

(1) Způsob naplňování požadavků na řídicí a kontrolní systém je promítnut v popisu organizačního uspořádání tuzemské pojišťovny nebo tuzemské zajišťovny a dalších vnitřně stanovených zásadách, plánech a postupech (dále jen „vnitřní předpis“). K naplnění předpokladu řádné správy a řízení tuzemské pojišťovny nebo tuzemské zajišťovny jsou do vnitřních předpisů promítnuty jí vybrané uznávané a osvědčené principy a postupy vytvářené a publikované uznávanými osobami.

(2) Tuzemská pojišťovna nebo tuzemská zajišťovna zajistí, aby řídicí a kontrolní systém plnil své funkce i pro činnosti vykonávané na základě smluv o vyčlenění činnosti nebo smluv o vzájemném sdílení nákladů¹⁶) (dále jen „outsourcing“). Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny zejména zajistí, aby outsourcing neomezil soulad činností s příslušnými předpisy, možnost kontroly těchto činností tuzemskou pojišťovnou nebo tuzemskou zajišťovnou a výkon dohledu, včetně případného prověření skutečností, podléhajících dohledu, u jiné osoby zabezpečující pro tuzemskou pojišťovnu nebo tuzemskou zajišťovnu outsourcing. Za účelem zajištění kontrolovatelnosti plnění stanovených funkcí pro takto vykonávané činnosti je řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny nastaven tak, aby forma ujednání upravujícího outsourcing umožnila zaznamenání a zpětné získání informací o obsahu ujednání, včetně jeho změn a určení osoby, která outsourcing poskytuje.

(3) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny umožňuje zaznamenávat a zpětně získávat informace o schvalovacích a rozhodovacích procesech a kontrolní činnosti, včetně souvisejících odpovědností, pravomocí a vnitřních předpisů. K zabezpečení tohoto požadavku slouží též systém a technologie získávání, zpracování, přenosu, sdílení a uchovávání informací v jakékoli formě (dále jen „informační systém“).

a) funkčnost a efektivnost řídicího a kontrolního systému tuzemské pojišťovny nebo tuzemské zajišťovny,

b) rozhodnutí a postupy týkající se strategie tuzemské pojišťovny nebo tuzemské zajišťovny.

(4) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny umožňuje zpětně získat informace, v jaké periodicitě a s jakými závěry dozorčí rada nebo kontrolní komise (dále jen „dozorčí orgán“) dohlíží na

a) jak představenstvo přijímá rozhodnutí a provádí kontrolní činnosti, pokud jde o

(iii) zajišťování vnitřního auditu, zejména předmět činnosti, organizační, personální a technické zajištění a strategický a periodický plán vnitřního auditu,

(ii) zajišťování compliance podle části III, bod 2,

(i) rozpoznávání činností nebo funkcí, jejichž výkon je neslučitelný a zamezování střetu zájmů podle bodu 8 a 9,

(5) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny umožňuje zpětně získat informace

4. limity používané pro omezení rozsahu rizik, vždy alespoň pro riziko pojistné, tržní, úvěrové, koncentrace a likvidity, včetně požadavků na strukturu aktiv, závazků a podrozvahových položek, ledaže tuto pravomoc představenstvo přeneslo na jím určený výbor nebo výbory; požadavek na možnost zpětného získání stanovených informací není přenesením pravomoci dotčen,

3. nové produkty, činnosti a systémy se zásadním významem, ledaže tuto pravomoc představenstvo přeneslo na jím určený výbor nebo výbory; požadavek na možnost zpětného získání stanovených informací není přenesením pravomoci dotčen,

2. stanovení a naplňování celkové strategie tuzemské pojišťovny nebo tuzemské zajišťovny, včetně strategie řízení rizik, investiční strategie, strategie související s kapitálem a solventností, strategie rozvoje informačního systému a strategie pro outsourcing,

1. vytvoření řídicího a kontrolního systému a vyhodnocování jeho souladu s požadavky stanovenými zákonem o pojišťovnictví a touto vyhláškou, zejména jeho trvalé funkčnosti a efektivnosti,

c) zda představenstvo kontroluje celkovou funkčnost a efektivnost řídicího a kontrolního systému a rozhoduje o opatřeních k nápravě zjištěných nedostatků v dostatečném rozsahu a periodicitě.

b) o závěrech a případných opatřeních přijatých představenstvem ve vazbě na pravidelné zprávy i mimořádná zjištění zejména dozorčího orgánu, představenstvu přímo podřízených zaměstnanců, odpovědného pojistného matematika, vnitřního auditu, statutárního auditora nebo auditorské společnosti (dále jen „auditor“) nebo příslušného orgánu dohledu,

7. bezpečnostní zásady, včetně bezpečnostních zásad pro informační systém,

6. zásady systému vnitřní kontroly, včetně zásad pro

5. organizační uspořádání,

b) udržuje funkční a efektivní organizační uspořádání, včetně oddělení neslučitelných funkcí a zamezování střetu zájmů podle bodu 8 a 9,

a) realizuje představenstvem schválené strategie, zásady a cíle a zajišťuje rozpracování postupů pro jejich naplňování a každodenní vedení tuzemské pojišťovny nebo tuzemské zajišťovny,

(6) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny umožňuje zpětně získat informace, jak tuzemská pojišťovna nebo tuzemská zajišťovna po linii řízení

c) vytváří a udržuje funkční a efektivní informační systém.

(7) Organizační uspořádání řídicího a kontrolního systému tuzemské pojišťovny nebo tuzemské zajišťovny je nastaveno tak, aby jednoznačně a uceleně vymezovalo odpovědnosti, pravomoci, hlavní informační toky a vnitřní vazby v rámci tuzemské pojišťovny nebo tuzemské zajišťovny, i v rámci dané skupiny.

(8) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny umožňuje včasnou identifikaci oblastí možností vzniku střetu zájmů. Odpovědnosti, pravomoci a postupy jsou stanoveny tak, aby zamezily střetu zájmů podle § 10 zákona o pojišťovnictví a omezily možnosti vzniku jiných střetů zájmů podle § 7 odst. 1 písm. a) bod 2 zákona o pojišťovnictví.

1. řízení rizika pojistného, tržního, úvěrového a koncentrace,

(9) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny zajistí, že

a) oblasti střetů zájmů podle bodu 8 a oblasti jejich možného vzniku jsou předmětem průběžného nezávislého sledování,

b) nezávisle na činnostech, v jejichž přímém důsledku je tuzemská pojišťovna nebo tuzemská zajišťovna vystavena pojistnému, tržnímu nebo úvěrovému riziku (dále jen „obchodní činnost“), se

c) odpovědnost za řízení obchodních činností je oddělena od odpovědnosti za

d) je zabezpečena odpovídající nezávislost a zamezování střetům zájmů podle bodu 8 při zajišťování kontrolních mechanismů a činností.

1. řídí rizika a provádějí s tím související činnosti, včetně tvorby zajistných programů,

2. likvidují pojistné události,

3. provádí kontrola údajů sjednaných pojištění nebo zajištění,

4. oceňují transakce uzavřené na finančních trzích, vypořádávají obchody sjednané na finančních trzích a provádí kontrola údajů o obchodech sjednaných na finančních trzích,

2. vypořádání obchodů sjednaných na finančních trzích,

3. kontrolu údajů o obchodech sjednaných na finančních trzích,

c) překročení limitů zajišťujících dodržení akceptované úrovně pojistného, tržního, úvěrového a dalších podstupovaných rizik, včetně rizika likvidity,

d) výsledcích měření podstupovaného pojistného, tržního, úvěrového a operačního rizika a o podstupovaném riziku koncentrace,

e) výsledcích měření likvidity ve vhodně stanovených časových pásmech a členěních podle hlavních měn,

a) skutečnostech, které by mohly nepříznivě ovlivnit finanční situaci tuzemské pojišťovny nebo tuzemské zajišťovny, včetně vlivů změn vnitřního či vnějšího prostředí,

b) případném nedodržování požadavků stanovených právními předpisy a postupů stanovených vnitřními předpisy, zejména o případných zjištěných významných rozdílech postupů tuzemské pojišťovny nebo tuzemské zajišťovny oproti požadavkům stanoveným právními předpisy a postupům stanoveným vnitřními předpisy,

g) solventnosti a skladbě finančního umístění.

f) výsledcích pojistně technických analýz a stresových testů,

(10) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny je nastaven tak, aby příslušné orgány, zaměstnanci, útvary a výbory, pokud jsou zřízeny, měli pro své rozhodování a další stanovené činnosti aktuální, spolehlivé a ucelené informace. Řídicí a kontrolní systém poskytuje zejména informace o

(11) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny zahrnuje systém pro vytváření a kontrolu informací, které tuzemská pojišťovna nebo tuzemská zajišťovna uveřejňuje o své současné situaci a investiční strategii a o předpokládaném vývoji. Řídicí a kontrolní systém zahrnuje mechanismy vnitřní kontroly zajišťující aktuálnost, dostupnost, dostatečnost a vyváženost těchto informací. Informace včetně propagačních sdělení a informací pro klienty jsou objektivní, jasné a neklamavé.

(12) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny zahrnuje systém pro vytváření, kontrolu a předávání informací příslušným orgánům dohledu, který je vytvořen, udržován a uplatňován tak, aby poskytoval orgánům dohledu informace aktuálně, spolehlivě a pravdivě. Řídicí a kontrolní systém zahrnuje mechanismy vnitřní kontroly zajišťující úplnost a správnost veškerých výpočtů, údajů, výkazů a dalších informací na individuálním i skupinovém základě poskytovaných České národní bance. Postupy uplatňované pro vytváření a poskytování údajů České národní bance, včetně předkládání výkazů, lze zpětně zjistit, a to i v rámci skupiny. V rámci řídicího a kontrolního systému tuzemské pojišťovny nebo tuzemské zajišťovny jsou jasně stanoveny odpovědnosti za komunikaci a součinnost s příslušnými orgány dohledu.

(1) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny je nastaven tak, aby umožňoval soustavné a systematické řízení rizik.

(2) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny je nastaven tak, aby bylo zajištěno, že systém řízení rizik

b) zohledňuje všechna významná rizika a rizikové faktory, kterým je nebo může být tuzemská pojišťovna nebo tuzemská zajišťovna vystavena, s přihlédnutím k povaze, rozsahu a složitosti činností, které vykonává nebo hodlá vykonávat,

a) odpovídá povaze, rozsahu a složitosti činností a s nimi souvisejících rizik a trvale poskytuje nezkreslený obraz o míře podstupovaných rizik. Proces identifikace rizik je zajištěn u všech činností a na všech řídicích a organizačních úrovních a umožňuje odhalování nových, dosud neidentifikovaných rizik,

c) zohledňuje vnitřní a vnější faktory, včetně strategie tuzemské pojišťovny nebo tuzemské zajišťovny, vlivů ekonomického prostředí a změn právních předpisů s dopadem na její činnost, kvantitativní a kvalitativní aspekty rizik, reálné možnosti jejich řízení a náklady a výnosy vyplývající z jejich řízení,

1. strategii a postupy pro rozpoznávání, měření, sledování, ohlašování a případné omezování rizik,

3. zásady kontrolních mechanismů a činností při řízení rizik, včetně kontroly dodržování stanovených postupů a limitů pro řízení rizik a ověřování výstupů hodnocení či měření rizik.

d) obsahuje zejména

2. soustavu limitů používanou při řízení rizik, včetně postupů a informačních toků při překročení těchto limitů,

c) zásad a metod řízení jednotlivých rizik, včetně stresového testování, a to vždy rizika pojistného, tržního, úvěrového, operačního, likvidity a koncentrace,

b) zásad pro určování významnosti jednotlivých rizik,

(3) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny je nastaven tak, aby obsahoval základní předpoklady soustavného řízení rizik, kterými jsou zejména stanovení

a) vnitřních definic rizik, kterým je nebo může být tuzemská pojišťovna nebo tuzemská zajišťovna vystavena,

e) zásad pro sestavení a úpravy pohotovostních plánů.

d) přijatelné míry rizika,

4. využívání investic do derivátů, zohledňování zajištění a dalších technik snižujících riziko,

(4) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny je nastaven tak, aby bylo zajištěno, že

a) tuzemská pojišťovna nebo tuzemská zajišťovna soustavně řídí

b) zásady a postupy pro řízení rizik, kterým je nebo může být tuzemská pojišťovna nebo tuzemská zajišťovna vystavena, jsou ucelené a propojené se zásadami a postupy pro udržování kapitálu ke krytí těchto rizik,

c) krytí rizik kapitálem obezřetně zohledňuje faktory, které ovlivňují výsledky vyhodnocování či měření podstupovaných rizik, včetně vlivů

1. riziko pojistné v členění zejména na neživotní pojištění, životní pojištění a zajištění, tržní, úvěrové, operační, včetně rizika právního, likvidity a koncentrace,

2. další významná rizika, kterým tuzemská pojišťovna nebo tuzemská zajišťovna je nebo může být vystavena, zejména riziko reputační, strategické, spojené se zdroji kapitálu a financováním nebo spojené s příslušností ke skupině, včetně rizika operací v rámci skupiny, jejíž je součástí, ledaže toto riziko nepřichází v úvahu nebo není významné,

1. úprav ocenění aktiv a tvorby rezerv,

2. používání vlastních odhadů a modelů,

5. případného zohledňování efektů z korelací nebo z diverzifikace rizik.

3. zohledňování výsledků testů, včetně stresových, a dalších vlivů předpokládaného nebo alternativního vývoje vnitřního a vnějšího prostředí,

(5) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny je nastaven tak, aby v případě, kdy podstupovaná rizika nejsou přiměřeně kryta kapitálem nebo jiným způsobem, byla přijata opatření k nápravě.

b) výkon kontrol po linii řízení,

a) vhodné kontrolní mechanismy pro jednotlivé procesy a činnosti, včetně činností, pro které tuzemská pojišťovna nebo tuzemská zajišťovna využívá outsourcing,

c) zajišťování compliance (bod 2),

(1) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny zahrnuje kontrolní činnosti. Kontrolní činnosti jsou součástí běžných, zpravidla každodenních činností tuzemské pojišťovny nebo tuzemské zajišťovny, jsou zavedeny a uplatňovány na všech řídicích a organizačních úrovních a zahrnují zejména

d) zajišťování výkonu vnitřního auditu.

c) soulad vykonávaných činností s právními a vnitřními předpisy.

b) vzájemný soulad vnitřních předpisů,

a) soulad vnitřních předpisů s právními předpisy,

(2) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny obsahuje zásady a postupy pro zajišťování compliance, které pokrývají uceleně a propojeně veškeré činnosti tuzemské pojišťovny nebo tuzemské zajišťovny a jejichž cílem je zabezpečit alespoň
Při zajišťování compliance se rovněž vytvářejí, využívají a uchovávají související informace, zejména vnitřní hlášení o zjištěných nesouladech, o připravovaných právních předpisech a jejich případných dopadech do činnosti tuzemské pojišťovny nebo tuzemské zajišťovny, hodnotící zprávy, návrhy k zajišťování compliance tuzemské pojišťovny nebo tuzemské zajišťovny a informace o riziku compliance.

(3) Řídicí a kontrolní systém tuzemské pojišťovny je nastaven tak, aby umožňoval řádné a bezodkladné prošetření, zpracování a vyřízení obdržených stížností na postup pojišťovny.

(4) Řídicí a kontrolní systém tuzemské pojišťovny je nastaven tak, aby obsahoval základní předpoklady a zásady pro řádné nakládání se stížnostmi, kterými jsou zejména stanovení

a) způsobu transparentního uveřejnění informací o tom, jak lze stížnost podat a jak bude s obdrženými stížnostmi nakládáno,

b) postupů pro informování stěžovatele jasným a srozumitelným způsobem o obdržení a vyřízení stížnosti, a to včetně zdůvodnění stanoviska tuzemské pojišťovny a případných dalších možností postupu stěžovatele, a postupů pro případné informování o průběhu zpracování stížnosti,

c) interních lhůt a postupů pro příjem, zpracování, vyřízení a uchovávání stížností a s nimi souvisejících informací a

d) postupů pro analýzu důvodů podání jednotlivých stížností za účelem identifikace případných opakujících se nebo systémových pochybení a možných rizik tuzemské pojišťovny.

(5) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny zajišťuje soustavný a účinný výkon vnitřního auditu. Nezávislému prověření vnitřním auditem podléhají veškeré činnosti tuzemské pojišťovny nebo tuzemské zajišťovny, zejména

f) funkčnost a bezpečnost informačního systému.

e) spolehlivost účetních, statistických a provozních informací, včetně informací pro klienty a spolehlivosti systému sestavování a předkládání výkazů České národní bance,

d) úplnost, průkaznost, správnost a spolehlivost vedení účetnictví a informací poskytovaných orgánům tuzemské pojišťovny nebo tuzemské zajišťovny,

c) finanční řízení, řízení kapitálu a solventnosti,

b) systém řízení rizik,

a) dodržování povinností stanovených právními předpisy, zejména povinnosti jednat s odbornou péčí a postupovat obezřetně a dodržování vnitřně stanovených zásad, cílů a postupů,

a) sestavení analýzy rizik, a to alespoň jednou ročně,

(6) Výkon vnitřního auditu zahrnuje vždy
Výkon vnitřního auditu je zajištěn tak, aby přispíval ke zdokonalování vnitřních procesů tuzemské pojišťovny nebo tuzemské zajišťovny.

f) informování orgánů tuzemské pojišťovny nebo tuzemské zajišťovny o výsledcích vnitřního auditu a zjištěných skutečnostech.

e) zpracování souhrnného vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému, a to alespoň jednou ročně,

d) průběžné sledování a vyhodnocování funkčnosti a efektivnosti systému vnitřní kontroly a dalších prvků řídicího a kontrolního systému,

c) vytvoření a udržování systému sledování plnění opatření k nápravě, uložených na základě zjištění vnitřního auditu,

b) sestavení strategického a periodického, zpravidla ročního plánu vnitřního auditu,

(7) Řídicí a kontrolní systém tuzemské pojišťovny nebo tuzemské zajišťovny je nastaven tak, aby sledování a vyhodnocování jeho funkčnosti a efektivnosti bylo prováděno průběžně na všech řídicích a organizačních úrovních. Nedostatky řídicího a kontrolního systému se bez zbytečného odkladu oznamují příslušné řídicí úrovni. Významné nedostatky řídicího a kontrolního systému se oznamují představenstvu a dozorčímu orgánu. Systém odhalování a ohlašování nedostatků řídicího a kontrolního systému je nastaven tak, aby umožňoval jejich včasnou nápravu. Účinnost přijatých opatření k nápravě je následně ověřována.

(3) Požadovaná míra solventnosti vypočtená podle dosavadního právního předpisu se považuje za požadovanou míru solventnosti vypočtenou podle této vyhlášky.

(2) Pojišťovna z třetího státu nebo zajišťovna z třetího státu uveřejní údaje podle § 32 poprvé za druhé čtvrtletí roku 2010.

(1) Tuzemská pojišťovna nebo tuzemská zajišťovna uveřejní údaje podle § 29 poprvé za druhé čtvrtletí roku 2010.

(4) Tuzemská pojišťovna, tuzemská zajišťovna, pojišťovna ze třetího státu nebo zajišťovna z třetího státu uvede svoji činnost upravenou v části druhé a v částech desáté až dvanácté do souladu s touto vyhláškou do 3 měsíců ode dne nabytí účinnosti této vyhlášky. Do doby, než uvede tuto činnost do souladu s touto vyhláškou, postupuje podle dosavadního právního předpisu.