ŘÍDICÍ A KONTROLNÍ SYSTÉM

POŽADAVKY NA ŘÍDICÍ A KONTROLNÍ SYSTÉM
(K § 8b odst. 9, § 8c odst. 3 a § 10a odst. 3 zákona o bankách a § 7a odst. 5, § 7ab odst. 3 a § 7ad odst. 3 zákona o spořitelních a úvěrních družstvech)

Předpoklady řádné správy a řízení
Základní požadavky na výkon činnosti
Orgány a výbory
Organizace výkonu činnosti
Informace a komunikace

Systém řízení rizik
Základní požadavky na systém řízení rizik
Podrobnější požadavky na řízení vybraných rizik

Systém vnitřní kontroly
Základní požadavky na systém vnitřní kontroly
Podrobnější požadavky na vybrané vnitřní kontrolní funkce, mechanismy a postupy

(3) Pro účely plnění předpokladu řádné správy a řízení prostřednictvím uplatňování řádných postupů povinná osoba vždy

b) přihlíží k informacím, které Česká národní banka uveřejňuje ve Věstníku České národní banky, s tím, že při určování uznávaných standardů podle odstavce 2 povinná osoba vždy přihlédne k

2. srovnávacím standardům, jejichž obsahem jsou očekávání České národní banky při plnění požadavků této vyhlášky.

1. přehledu vybraných uznávaných standardů a vybraných uznávaných vydavatelů a

2. obecné pokyny Evropského orgánu dohledu (Evropského orgánu pro bankovnictví)⁴), Evropského orgánu dohledu (Evropského orgánu pro cenné papíry a trhy)⁵), Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění)⁶), Společného výboru evropských orgánů dohledu⁷) a Evropské rady pro systémová rizika, ledaže by jejich konkrétní ustanovení bylo v rozporu s požadavky právních předpisů nebo umožňovalo obcházení jejich účelu, a

1. právní povinnosti a

a) dodržuje při své činnosti a zapracuje do vnitřních předpisů

(2) Pro účely plnění předpokladu řádné správy a řízení prostřednictvím uplatňování řádných postupů povinná osoba zvolí, zapracuje do vnitřních předpisů a uplatňuje při své činnosti jí zvolené uznávané a osvědčené principy a postupy vydávané uznávanými vydavateli a využívané při činnostech obdobné povahy (dále jen „uznávaný standard“).

(1) Povinná osoba zajistí, že požadavky stanovené na řídicí a kontrolní systém a jeho součásti a postupy povinné osoby k jejich splnění a při výkonu dalších činností jsou promítnuty do vnitřních předpisů povinné osoby. Povinná osoba stanoví postup při přijímání, změně a uplatňování vnitřních předpisů.

(6) Povinná osoba zajistí, že součástí vnitřních předpisů jsou pravidla pro

b) interní hlášení pracovníků o porušení nebo hrozícím porušení požadavků stanovených touto vyhláškou, zákonem, který tato vyhláška provádí, nařízením nebo jinými relevantními předpisy včetně vnitřních, jakož i pravidla pro sdělování konkrétních obav pracovníků ohledně funkčnosti a efektivnosti řídicího a kontrolního systému nebo některé jeho součásti, mimo běžné informační toky.

(4) Promítnutí standardů podle odstavce 3 písm. b) do vnitřních předpisů a jejich použití povinnou osobou se považuje za plnění ustanovení odstavce 2. Tím není dotčeno právo povinné osoby zvolit a do vnitřních předpisů promítnout i jiné uznávané standardy; jejich obsah nebo použití však nesmí být v rozporu s požadavky právních předpisů ani obcházet jejich účel.

(5) Povinná osoba pravidelně prověřuje, zda vnitřní předpisy a jí zvolené uznávané standardy jsou aktuální a v souladu s dalšími požadavky této vyhlášky a jiných právních předpisů.

a) evidování reklamací a stížností klientů, jejich vyřizování a sledování přijatých opatření a

(2) Povinná osoba zajistí, že veškeré schvalovací a rozhodovací procesy, jakož i kontrolní a další její významné činnosti včetně souvisejících působností a pravomocí a vnitřních předpisů je možné zpětně vysledovat a rekonstruovat, včetně působností a pravomocí, složení a fungování orgánů a výborů povinné osoby a působností, pravomocí a činností jejich členů. K zabezpečení tohoto požadavku slouží též systém uchovávání informací, který povinná osoba zavede a udržuje.

(1) Povinná osoba zajistí, že její orgán, výbor a jejich členové, jakož i jimi vykonávané činnosti splňují požadavky podle § 13 až 19 a další požadavky jim stanovené touto vyhláškou nebo zákonem, který tato vyhláška provádí, nařízením nebo jinými relevantními předpisy včetně vnitřních.

(3) Povinná osoba zajistí vyváženost působností při schvalovacích, rozhodovacích a kontrolních činnostech a zamezí nepřiměřenému vlivu jediné osoby nebo malé skupiny osob na tyto procesy.

(1) Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba sama, vykonává povinná osoba prostřednictvím jiné osoby (dále jen „outsourcing“), není tím dotčena odpovědnost povinné osoby.

(2) Povinná osoba zajistí, že v souvislosti s outsourcingem

(3) Povinná osoba uzavírá smlouvu upravující outsourcing způsobem, který umožňuje zachycení jejího obsahu, kontrolovatelnost a vymahatelnost, jakož i uchovatelnost.

a) není omezen soulad takto vykonávaných činností s příslušnými právními předpisy, možnost jejich kontroly povinnou osobou, plnění informačních povinností vůči České národní bance, výkon dohledu, včetně případné kontroly skutečností podléhajících dohledu u poskytovatele outsourcingu, provedení auditu účetní závěrky a dalších ověření stanovených jinými právními předpisy⁸),

d) jsou stanovena pravidla kontroly takto vykonávaných činností povinnou osobou, včetně případné kontroly skutečností týkajících se dané činnosti u poskytovatele outsourcingu.

c) nejsou dotčeny právní vztahy povinné osoby s klientem a

b) není ohrožena účinnost, ucelenost a přiměřenost předpokladů řádné správy a řízení, řízení rizik a vnitřní kontroly včetně dodržování právních povinností, zejména pravidel obezřetného podnikání,

(1) Kontrolní orgán dohlíží, zda řídicí a kontrolní systém je účinný, ucelený a přiměřený, a poznatky z této činnosti alespoň jednou ročně vyhodnocuje. V rámci plnění této povinnosti pravidelně jedná také o záležitostech, které se týkají strategického směřování, hospodaření a výsledků činnosti povinné osoby a usměrňování rizik, kterým je nebo by mohla být povinná osoba vystavena, a to i z hlediska zajištěnosti trvalého fungování povinné osoby na finančním trhu v souladu s předmětem a plánem její činnosti.

1. souladu vnitřních předpisů s právními předpisy,

2. vzájemného souladu vnitřních předpisů a

3. souladu činností s právními a vnitřními předpisy
(dále jen „činnosti compliance“) a

(2) Kontrolní orgán průběžně dohlíží a ujišťuje se o plnění schválených strategií včetně strategie řízení rizik, o integritě systémů účetnictví a finančního výkaznictví včetně spolehlivosti finanční a provozní kontroly, o dodržování právních povinností a příslušných standardů povinnou osobou, o adekvátnosti jejího systému komunikace a uveřejňování informací a o celkové funkčnosti a efektivnosti řídicího a kontrolního systému.

(3) V rámci plnění svých kontrolních působností se kontrolní orgán kriticky a konstruktivně podílí vhodným způsobem zejména na

d) směrování, plánování a vyhodnocování činnosti vnitřního auditu.

c) vyhodnocování

b) vyhodnocování řízení rizik,

a) vyhodnocování strategického a finančního řízení,

(5) Při výkonu těch činností kontrolního orgánu v oblasti řídicího a kontrolního systému, u kterých hrozí střet zájmů výkonných členů (dále jen „zvláštní kontrolní činnost kontrolního orgánu“), povinná osoba zajistí projednání věci a rozhodnutí o ní bez přítomnosti výkonných členů; v takovém případě se rozhodnutí přijaté většinou nevýkonných členů považuje za rozhodnutí orgánu. Zvláštní kontrolní činností kontrolního orgánu jsou vždy činnosti podle § 14.

(4) Kontrolní orgán v rámci své působnosti rozhoduje o vhodných opatřeních zaměřených na nápravu zjištěných nedostatků.

(1) Kontrolní orgán vhodným způsobem posuzuje činnost členů řídicího orgánu. Při posuzování činnosti členů řídicího orgánu a případném vyhledávání jeho nových členů kontrolní orgán zohledňuje dostatečně širokou škálu vlastností a schopností a uplatňuje také zásady podporující účelnou a přiměřenou rozmanitost v celkovém složení řídicího orgánu.

(3) Kontrolní orgán stanoví zejména zásady odměňování osoby, k jejímuž pověření vedením funkce se předem vyjadřuje podle odstavce 2, a členů řídicího orgánu, pokud toto není v pravomoci valné hromady nebo členské schůze.

(2) Kontrolní orgán se předem vyjadřuje k návrhu na pověření fyzické nebo právnické osoby zajišťováním výkonu funkce řízení rizik, funkce compliance a funkce vnitřního auditu nebo na její odvolání. Kontrolní orgán vhodným způsobem posuzuje činnost těchto osob. Bez souhlasu kontrolního orgánu nelze osobu z těchto funkcí odvolat. V případě, že do výkonu funkce je zapojeno více osob, vyjadřuje se kontrolní orgán pouze k návrhu na pověření nebo odvolání osoby ve vedení dotčené funkce.

(4) Kontrolní orgán vyhodnocuje celkový systém odměňování. Podrobnější vymezení některých požadavků na odměňování je uvedeno v příloze č. 1 této vyhlášky.

(1) Povinná osoba přijme opatření, která vedou k zajištění, že kontrolní orgán jako celek a jeho členové mají pro výkon svých činností vhodné odborné, časové a další předpoklady a věnují jim odpovídající a dostatečné kapacity. Součástí vhodných předpokladů pro výkon činnosti kontrolního orgánu jako celku je dostatečná míra nezávislosti při plnění svých povinností. Obdobně se tyto požadavky uplatní na výbor kontrolního orgánu a jeho členy.

(3) Pokud povinná osoba nezřizuje výbor nebo výbory kontrolního orgánu, uplatní se požadavky stanovené touto vyhláškou nebo jiným právním předpisem na složení a činnost určitého výboru kontrolního orgánu obdobně na její kontrolní orgán a jeho členy a taková činnost kontrolního orgánu se považuje za zvláštní kontrolní činnost kontrolního orgánu.

(2) Pokud povinná osoba zřizuje z vlastního rozhodnutí nebo na základě zákona nebo jiného právního předpisu výbor kontrolního orgánu, jednoznačně vymezí jeho působnost a pravomoci, složení, způsob jednání a rozhodování a začlenění výboru do organizačního uspořádání a informačních toků povinné osoby. Činnosti výboru se zaměřují na účelnou podporu činností kontrolního orgánu. Odpovědnost kontrolního orgánu nelze přenést na jeho výbor, ledaže jiný právní předpis stanoví jinak.

(6) Povinná osoba, která není podle odstavce 5 považována za významnou, může sloučit výbor pro rizika a výbor pro audit⁹) s tím, že na sloučený výbor se použijí obdobně požadavky stanovené pro každý výbor samostatně.

(4) Podrobnější vymezení některých požadavků na činnosti a výbory kontrolního orgánu je uvedeno v příloze č. 2 této vyhlášky.

(5) Pro účely zřizování výborů pro jmenování, pro rizika a pro odměňování se považuje postavení povinné osoby za významné, pokud podíl povinné osoby na celkové bilanční sumě všech povinných osob na daném trhu dosahuje nebo přesahuje 5 %.

3. využívání externích ratingů a

4. interní modely používané pro řízení rizik a interní modely související s těmito činnostmi, včetně interních validací a přezkumů těchto modelů,

2. řízení kapitálu a likvidity, finanční řízení, vedení účetnictví, oceňování a činnosti přímo související s těmito činnostmi,

1. řízení významných rizik,

g) zajištění spolehlivosti finanční a provozní kontroly a

h) zajištění plynulého výkonu činnosti a trvalého fungování povinné osoby na finančním trhu v souladu s předmětem a plánem její činnosti.

a) v krátkodobém, střednědobém a dlouhodobém horizontu z faktorů environmentálních, sociálních a faktorů správy a řízení (dále jen „faktory ESG“),

b) z procesu přizpůsobení a trendů transformace v souvislosti s regulačními cíli a právními akty Evropské unie a členských států ve vztahu k faktorům ESG, zejména cíli dosažení klimatické neutrality, a, je-li to relevantní, i v souvislosti s regulačními cíli a právními akty jiných než členských států.

(1) Řídicí orgán zajistí vytvoření uceleného a přiměřeného řídicího a kontrolního systému a soustavné udržování jeho funkčnosti a efektivnosti v jeho celku i částech, včetně

(2) Řídicí orgán vypracuje a sleduje naplňování plánů, které obsahují kvantifikovatelné cíle a procesy k sledování a řešení finančních rizik vyplývajících

(3) Klimatickou neutralitou podle odstavce 2 písm. b) se rozumí obecný cíl dosažení klimatické neutrality do roku 2050, jak je stanoven v článku 2 odst. 1 přímo použitelného předpisu Evropské unie upravujícího evropský právní rámec pro klima²⁴).

a) plnění stanovených strategií, zásad a cílů a každodenního řízení výkonu činnosti povinné osoby,

b) zajištění souladu řídicího a kontrolního systému s právními předpisy, zejména dodržování právních povinností a příslušných standardů povinnou osobou; součástí tohoto požadavku je zajištění výkonu činností s odbornou péčí,

c) nastavení a udržování řídicího a kontrolního systému tak, aby zajistil adekvátnost informací a komunikace při výkonu činností povinné osoby, zejména zavedení a udržování funkčního a efektivního systému získávání, využívání a uchovávání informací včetně systému vnitřní a vnější komunikace a uveřejňování informací povinnou osobou,

d) zavedení a udržování funkčního a efektivního organizačního uspořádání včetně oddělení neslučitelných funkcí a zamezování vzniku možného střetu zájmů,

e) vyčlenění odpovídajících a dostatečných kapacit pro výkon činností povinné osoby, zejména pro tyto oblasti:

f) zajištění integrity systémů účetnictví a finančního výkaznictví,

c) v omezenějším souboru ukazatelů při stanovování cílů a možnosti formulovat cíle ve větší míře kvalitativním způsobem.

(5) Řídicí orgán povinné osoby, která je malou a nepříliš složitou institucí podle článku 4 odst. 1 bodu 145 nařízení, může při postupu podle odstavců 2 a 3 uplatnit jedno nebo více zjednodušení spočívající

(4) Řídicí orgán při postupu podle odstavce 2 zohlední zprávy a opatření přijaté Evropským vědeckým poradním výborem pro změnu klimatu. Pokud povinná osoba vyhotovuje zprávu o udržitelnosti nebo konsolidovanou zprávu o udržitelnosti podle zákona upravujícího účetnictví nebo podle obdobné zahraniční právní úpravy, řídicí orgán zajistí, aby plány podle odstavce 2, které zahrnují zejména opatření týkající se modelu a strategie podnikání povinné osoby, byly v souladu s plány uvedenými ve zprávě o udržitelnosti nebo konsolidované zprávě o udržitelnosti.

a) v nižším rozsahu, míře podrobnosti a četnosti zpracování plánů,

b) ve stanovení menšího počtu scénářů a užším tematickém záběru plánů, které mohou vycházet ze zjednodušeného souboru hlavních parametrů a předpokladů, včetně pouze vybraných relevantních rizik, časových horizontů a územního rozčlenění dopadů,

(2) Řídicí orgán zajistí stanovení pravidel, která jednoznačně formulují etické a profesní zásady a předpokládané modely chování a jednání pracovníků v souladu s těmito zásadami a pravidly, a jejich prosazování, uplatňování a vymáhání.

(1) Řídicí orgán zajistí stanovení celkové strategie, zejména dostatečně konkrétních zásad a cílů jejího naplňování, a rozpracování, zavedení a udržování postupů pro naplňování stanovené strategie.

(3) Řídicí orgán zajistí stanovení zásad řízení lidských zdrojů, zejména zásad pro výběr, odměňování, hodnocení a motivování pracovníků v souladu s jím schváleným celkovým systémem odměňování, a jejich zavedení a udržování. Součástí zásad je též požadavek, aby veškeré činnosti včetně činností orgánů a výborů, pokud jsou zřízeny, a jejich členů, osob ve vyšším vedení a osob v klíčových funkcích vykonávali kvalifikovaní pracovníci s odpovídajícími znalostmi a zkušenostmi a aby rozsah a povaha činností osob, jimiž povinná osoba zabezpečuje výkon svých činností, nebránily řádnému výkonu jednotlivých činností těchto osob.

a) zabezpečí plnění stanovených strategií, zásad, cílů a postupů a

3. jiné postupy, které nepodporují funkčnost a efektivnost výkonu činností, umožňují zneužití zdrojů nebo zakrývání nedostatků nebo jiné nepatřičné jednání včetně obcházení účelu právních předpisů.

(6) Řídicí orgán zajistí, že jsou uplatňovány takové systémy a postupy řízení, které

1. prokazování požadovaných znalostí a zkušeností a důvěryhodnosti,

2. prověřování trvající důvěryhodnosti a

3. prověřování, zda znalosti a zkušenosti osob, jimiž povinná osoba zabezpečuje výkon svých činností, jsou stále aktuální a přiměřené povaze, rozsahu a složitosti činností.

1. upřednostňování krátkodobých výsledků a cílů, které nejsou v souladu s naplňováním celkové strategie,

2. systém odměňování, který je nepřiměřeně závislý na krátkodobém výkonu, a

b) vedou k zamezení nežádoucím činnostem nebo jevům, kterými jsou zejména

(5) Řídicí orgán zajistí, že povinná osoba soustavně uplatňuje řádné řídicí, administrativní, účetní a další postupy. Řídicí orgán zajistí, že všichni pracovníci jsou seznámeni s příslušnými vnitřními předpisy a dodržují je, rozumí své úloze v řídicím a kontrolním systému a aktivně se do tohoto systému stanoveným způsobem zapojují; k zabezpečení tohoto požadavku slouží též ovlivňování podnikové kultury jednáním řídicího orgánu a jeho členů a systém vnitřní komunikace povinné osoby.

(4) Řídicí orgán zajistí, že jsou stanoveny, udržovány a uplatňovány

c) působnosti a požadavky při

b) požadavky na celkové znalosti a zkušenosti osob tvořících orgán nebo výbor, osob ve vyšším vedení a osob v klíčových funkcích a

a) požadavky na důvěryhodnost, znalosti a zkušenosti osob, jimiž zabezpečuje výkon svých činností, včetně členů orgánů a výborů,

f) strategii rozvoje informačního a komunikačního systému s tím, že klíčovými prvky tohoto systému jsou

g) zásady systému vnitřní kontroly, v tom vždy zásady pro

h) bezpečnostní zásady včetně bezpečnostních zásad pro informační a komunikační systém.

a) soustavu limitů včetně celkové akceptované míry rizika a případných vnitřně stanovených kapitálových, likviditních a jiných obezřetnostních rezerv nebo přirážek (dále jen „obezřetnostní rezerva nebo přirážka“), které povinná osoba bude používat pro omezení rizik v rámci jí akceptované míry rizika,

b) akceptovanou míru rizika a další limity samostatně pro riziko úvěrové, tržní, operační, koncentrace, nadměrné páky a likvidity, včetně požadavků na strukturu aktiv, dluhů a podrozvahových položek, ledaže tuto pravomoc řídicí orgán přenesl, aniž by tím byla dotčena jeho odpovědnost, částečně nebo v plném rozsahu na jím určený výkonný výbor nebo výkonné výbory, komise nebo jiné útvary řídicího orgánu obdobné povahy (dále jen „výkonný výbor“),

3. vnitřní audit, a

2. činnosti compliance a

1. zamezování vzniku možného střetu zájmů,

2. informační technika a technologie včetně záznamové techniky a technologií,

1. informace a jejich toky, včetně uveřejňování informací povinnou osobou a vnitřních a vnějších hlášení povinné osoby, a

2. rozpoznávání, vyhodnocování, měření, sledování, ohlašování a omezování výskytu nebo dopadů výskytu rizik, kterým je nebo může být povinná osoba vystavena,

1. přijímání rizik povinnou osobou a

(1) Řídicí orgán schvaluje a alespoň jednou za 2 roky vyhodnocuje

(2) Řídicí orgán schvaluje a pravidelně vyhodnocuje, jako součást strategických rozhodnutí podle odstavce 1,

(3) Řídicí orgán schvaluje

c) strategický a periodický plán vnitřního auditu.

b) statut a předmět funkce řízení rizik, funkce compliance a funkce vnitřního auditu a personální a technické zajištění jejich výkonu a

a) nové produkty, činnosti a systémy a jiné záležitosti mající pro povinnou osobu zásadní význam nebo jiný možný podstatný dopad, ledaže tuto pravomoc řídicí orgán přenesl, aniž by tím byla dotčena jeho odpovědnost, částečně nebo v plném rozsahu na jím určený výkonný výbor nebo výkonné výbory,

g) vymezení a zásady přístupu povinné osoby k nestandardním operacím, zejména takovým, které jsou ojedinělé a netypické a nejsou běžně realizovány ani jinými poskytovateli finančních služeb; jako nestandardní operace může povinná osoba určit také operace podle písmen e) a f).

f) vymezení a zásady přístupu povinné osoby k operacím, ve kterých je nebo by mohla být přímo nebo zprostředkovaně zapojena nedostatečně transparentní nebo jinak potenciálně riziková protistrana nebo zeměpisná oblast včetně offshorových center; povinnosti stanovené povinné osobě v oblasti předcházení legalizace výnosů z trestné činnosti a boje proti terorismu tím nejsou dotčeny a

e) vymezení a zásady přístupu povinné osoby k operacím s osobami vykonávajícími činnosti nebo poskytujícími služby obdobné bankovním, nad nimiž není vykonáván dohled,

d) vymezení a zásady přístupu povinné osoby k využívání outsourcingu,

c) vymezení a zásady systému vnitřní alokace nákladů a vnitřních cen, zohledňovaného povinnou osobou v rámci systému řízení rizik a systému vnitřně stanoveného kapitálu, pokud je to relevantní,

a) celkovou strategii,

b) organizační uspořádání,

c) strategii řízení lidských zdrojů včetně zásad podporujících rozmanitost v celkovém složení orgánů povinné osoby zohledňováním dostatečně široké škály vlastností a schopností členů orgánů povinné osoby, včetně navrhovaných, při jejich vyhledávání a posuzování,

d) strategii řízení rizik, včetně rizik vyplývajících z makroekonomického prostředí, v němž povinná osoba působí, a to i v závislosti na hospodářském cyklu, včetně rizik vyplývajících z krátkodobých, střednědobých a dlouhodobých dopadů faktorů ESG a včetně zásad

e) strategii související s kapitálem a kapitálovými poměry,

(6) Řídicí orgán při každé zásadní změně v situaci povinné osoby, alespoň však jednou ročně, vyhodnocuje celkovou funkčnost a efektivnost řídicího a kontrolního systému a zajistí vhodné kroky k nápravě takto zjištěných nedostatků.

(4) Řídicí orgán dohlíží na realizaci schválených strategií, zásad a cílů povinné osoby a další činnosti, zejména činnosti osob ve vyšším vedení. Řídicí orgán včas a dostatečně vyhodnocuje pravidelné zprávy i mimořádná zjištění, která jsou mu předkládána osobami ve vyšším vedení, v rámci výkonu funkce řízení rizik, funkce compliance a funkce vnitřního auditu, kontrolním orgánem, výbory, pokud jsou zřízeny, auditorem¹¹) nebo příslušnými orgány dohledu či z jiných zdrojů. Na základě těchto vyhodnocení přijímá přiměřená opatření a zajistí jejich realizaci bez zbytečného odkladu.

(5) Řídicí orgán pravidelně jedná s osobami ve vyšším vedení o záležitostech, které se týkají řídicího a kontrolního systému.

(1) Povinná osoba přijme opatření, která vedou k zajištění, že řídicí orgán jako celek a jeho členové mají pro výkon svých činností vhodné odborné, časové a další předpoklady a věnují jim odpovídající a dostatečné kapacity. Obdobně se tyto požadavky uplatní na výkonný výbor a jeho členy.

(2) Pokud povinná osoba zřizuje z vlastního rozhodnutí nebo na základě zákona nebo jiného právního předpisu výkonný výbor, jednoznačně vymezí jeho působnost, pravomoci, složení, způsob jednání a rozhodování a začlenění výkonného výboru do organizačního uspořádání a informačních toků povinné osoby. Činnosti výkonného výboru se zaměřují na účelnou podporu činností řídicího orgánu. Odpovědnost řídicího orgánu nelze přenést na výbor, ledaže jiný právní předpis stanoví jinak.

(3) Pokud povinná osoba nezřizuje výkonný výbor, uplatní se požadavky stanovené touto vyhláškou nebo jiným právním předpisem na složení a činnost určitého výkonného výboru řídicího orgánu obdobně na její řídicí orgán a jeho členy.

(4) Povinná osoba vymezí své klíčové funkce s tím, že míru významnosti členství v orgánu, výboru, nebo vyšším vedení povinná osoba nehodnotí. Konkrétní funkci nebo funkce povinné osoby, včetně klíčových, může zajišťovat, částečně, anebo v plném rozsahu, zpravidla i jiná osoba než pracovník.

d) vypořádání a kontrola souladu údajů (dále jen „rekonciliace“) o transakcích sjednaných na finančních trzích,

c) oceňování transakcí sjednaných na finančních trzích,

b) oceňování zajištění,

a) schvalování systémů a metod pro oceňování zajištění,

c) pracovník odpovědný za funkci řízení rizik nebo funkci compliance věnuje dostatečný čas náležitému výkonu všech svých funkcí.

b) pracovník odpovědný za funkci řízení rizik nebo funkci compliance má dostatečnou odbornou způsobilost k plnění úkolů v rozdílných oblastech a

a) nedojde ke střetu zájmů,

c) sdělovat mu pochybnosti a případně jej varovat, vyvíjí-li se určité riziko způsobem, který má nebo může mít nepříznivý vliv na povinnou osobu.

b) podávat hlášení, a to nezávisle na členech řídicího orgánu a nezávisle na osobách ve vyšším vedení,

a) přímého přístupu,

d) funkce compliance zajišťuje, aby strategie povinné osoby v oblasti řízení rizik zohledňovala riziko nedodržení právních předpisů při činnosti povinné osoby, riziko nesouladu vnitřních předpisů povinné osoby s právními předpisy nebo riziko vzájemného nesouladu vnitřních předpisů u povinné osoby, a dále zajišťuje, aby tato rizika byla vyhodnocena před přijetím významného rozhodnutí v oblasti řízení rizik.

c) funkce vnitřního auditu vykonává nezávislý přezkum provádění strategie povinné osoby v oblasti řízení rizik a není slučitelná s jinými činnostmi povinné osoby ani ostatními vnitřními kontrolními funkcemi,

b) funkce řízení rizik se aktivně podílí na zpracování strategie povinné osoby v oblasti řízení rizik, kontroluje její provádění a podílí se na všech významných rozhodnutích v této oblasti,

a) vnitřní kontrolní funkce jsou zavedeny a udržovány tak, že zajišťují řádnou identifikaci, měření a oznamování veškerých významných rizik a jsou schopny podat úplný pohled na celkový rozsah rizik povinné osoby,

c) neoslabí jiné významné předpoklady výkonu dané činnosti v souladu s pravidly obezřetného podnikání, včetně předpokladu dostatečného porozumění takto uspořádaným činnostem a možnosti odpovídajícího ovlivňování jejich výkonu povinnou osobou.

b) neomezí nepřiměřeně informovanost povinné osoby a

a) nenaruší řádné plnění právních a smluvních povinností povinné osoby,

(1) Povinná osoba zajistí, že orgánům a výborům, pokud jsou zřízeny, jejich členům a dalším pracovníkům a útvarům je na všech řídicích a organizačních úrovních vymezena působnost a pravomoci tak, aby bylo dostatečně zamezeno vzniku možného střetu zájmů.

(5) Povinná osoba vymezí vnitřní informační toky vůči vedoucímu orgánu tak, aby jednoznačně pokrývaly řízení všech významných rizik, byly v souladu se zásadami povinné osoby pro řízení rizik a jeho uspořádáním¹⁰) a adekvátně zohledňovaly změny v rizikovém profilu povinné osoby nebo jejích zásadách a uspořádání řízení rizik.

b) existenci nabídky povinné osoby, pokud jde o

(3) Povinná osoba stanoví pracovní náplň jednotlivých útvarů a osob umožňující účinnou komunikaci a spolupráci na všech úrovních a zajišťující funkční, efektivní a obezřetné řízení a výkon dalších činností, včetně činností rozhodovacích a kontrolních, a to způsobem neohrožujícím řádné, čestné a profesionální plnění povinností.

(2) Povinná osoba také zajistí, že uspořádání výkonu některých činností v rámci skupiny, jejímž je členem, formou jejich centralizace nebo obdobnou formou, včetně uplatňování skupinových modelů,

(1) Povinná osoba zajistí, že organizační uspořádání a vnitřní předpisy, které jej upravují, stanoví jednoznačně a uceleně působnost a pravomoci, hlavní informační toky a vazby orgánů, výborů, pokud jsou zřízeny, jejich členů a dalších pracovníků a útvarů povinné osoby.

1. úrovni, trendech a typech zatížení aktiv a zdrojích zatížení aktiv, a to v členění alespoň na repa, půjčky cenných papírů ve smyslu nařízení¹¹) a ostatní transakce,

2. množství, trendech a úvěrové kvalitě nezatížených, avšak zatížitelných aktiv včetně vyčíslení objemu aktiv disponibilních pro zatížení, a

3. množství, trendech a typech dodatečného zatížení aktiv na základě zohlednění výsledků stresových testů včetně informací o uplatněném stresovém scénáři.

(1) Povinná osoba zajistí, že nezávisle na činnostech, v jejichž přímém důsledku je povinná osoba vystavena úvěrovému nebo tržnímu riziku (dále jen „obchodní činnost“), je prováděno

(2) Povinná osoba zajistí až do úrovně členů řídicího orgánu oddělení působnosti a pravomocí v oblasti řízení obchodních činností od působnosti a pravomocí v oblasti řízení rizika úvěrového, tržního, likvidity, koncentrace a nadměrné páky a vypořádání a rekonciliaci transakcí sjednaných na finančních trzích.

(3) Vývoj informačního a komunikačního systému je zajišťován odděleně od jeho provozu a správa systému je prováděna odděleně od vyhodnocování bezpečnostních auditních záznamů, kontroly přidělování přístupových práv a vypracování a aktualizace bezpečnostních předpisů pro daný systém.

(4) Pokud by nebylo uspořádání podle odstavců 2 a 3 v některé z jeho částí přiměřené povaze, rozsahu a složitosti činností povinné osoby, může povinná osoba uplatnit jiné vhodné uspořádání za předpokladu, že nedojde ke střetu zájmů.

(1) Povinná osoba zajistí, že příslušné orgány včetně kontrolních, výbory, pokud jsou zřízeny, jejich členové a další pracovníci a útvary mají pro své rozhodování a další stanovené činnosti k dispozici informace, které jsou aktuální, spolehlivé a ucelené.

(2) Povinná osoba zajistí, že řídicí orgán je v přiměřené době informován o

(3) Povinná osoba zajistí, že vedoucí orgán určí povahu, rozsah, formát a periodicitu jím požadovaných informací a je pravidelně informován alespoň o

(4) Povinná osoba zajistí, že má a využívá informace o

(5) Povinná osoba

(1) Povinná osoba zabezpečí dostatečnou transparentnost řídicího a kontrolního systému a řádné uveřejňování informací o tomto systému a jeho klíčových součástech.

(2) Povinná osoba uveřejňuje informace o své současné situaci a o předpokládaném vývoji včas, dostupnou formou, dostatečně a vyváženě, včetně poskytování pravdivého a úplného obrazu o jí podstupovaných rizicích a jejich míře.

(3) Informace povinné osoby pro klienty, včetně propagačních sdělení, jsou objektivní, jasné, dostatečné a neklamavé.

a) rizicích spojených s úvěry poskytnutými v cizí měně v takovém rozsahu, aby to bylo postačující pro informované a obezřetné rozhodování klienta, včetně informování o nepříznivém vlivu případného významného znehodnocení domácí měny nebo nárůstu zahraniční úrokové míry na výši splátek cizoměnového úvěru, a

(6) Pokud by nebylo uspořádání výkonu funkce řízení rizik nebo funkce compliance podle odstavce 5 přiměřené povaze, rozsahu a složitosti činností povinné osoby, může výkon funkce řízení rizik nebo funkce compliance zajišťovat jiný dostatečně zkušený pracovník, který vykonává jiné úkoly, nebo může výkon obou funkcí vykonávat tatáž osoba, a to za předpokladu, že

(5) Povinná osoba zajistí, že vedoucí vnitřní kontrolní funkce je osobou nezávislou na jiných osobách ve vyšším vedení s jednoznačně vymezenou působností a pravomocemi v oblasti řízení rizik, činností compliance nebo vnitřního auditu povinné osoby.

(4) Povinná osoba zajistí, že pracovníci ve vnitřních kontrolních funkcích mají ve vztahu ke kontrolnímu orgánu možnost

(3) Povinná osoba zajistí, že pracovníci ve vnitřních kontrolních funkcích jsou nezávislí na útvarech, které kontrolují.

(2) Povinná osoba zajistí, že

(1) Povinná osoba zavede a soustavně udržuje vnitřní kontrolní funkce, které jsou nezávislé na provozních útvarech a mají statut, dostatečné pravomoci, zdroje a přístup k vedoucímu orgánu.

(4) Povinná osoba stanoví pracovníkům povinnost informovat ji stanoveným způsobem bez zbytečného odkladu o vzniklém nebo hrozícím střetu zájmů, zejména pokud se takový střet týká nebo mohl týkat pracovníka samého.

(3) Povinná osoba zajistí, že její postupy pro výkon činností jsou stanoveny tak, aby omezily možnosti střetu zájmů. Povinná osoba dále zajistí, že oblasti střetu zájmů a oblasti jeho možného vzniku jsou také předmětem průběžného nezávislého sledování vnitřním auditem nebo jiným srovnatelným způsobem.

(2) Povinná osoba identifikuje oblasti, kde existuje možnost vzniku střetu zájmů, včetně možných střetů mezi zájmy povinné osoby a klientů, v rámci skupiny, jejíž je povinná osoba členem, při zastupování a při outsourcingu.

2. finanční nástroje poskytující klientovi zajištění proti měnovému riziku.

1. úvěry stejné povahy v domácí měně a

c) zabezpečuje ochranu informačních a komunikačních systémů před přístupem a zásahy ze strany neoprávněných osob a před poškozením a možnost zpětně získat stanovené informace i v případě, že k poškození došlo.

b) stanoví způsob zajištění a podmínky, za kterých budou do informačních a komunikačních systémů ukládána data související s prováděnými obchody a poskytovanými službami a prováděny jejich dovolené úpravy, podmínky nakládání s těmito daty a zajištění snadné zjistitelnosti jejich původního obsahu a provedených úprav a

a) stanoví podmínky přístupu pracovníků k informačním a komunikačním systémům a údajům v nich zaznamenaným, rozsah přístupových práv a proces jejich stanovení, včetně způsobu rozhodování o rozsahu přístupových práv jednotlivých pracovníků a rozhodování o jejich změnách,

g) srovnání skutečného vývoje likvidity s příslušným scénářem a limity pro řízení rizika likvidity.

f) výsledcích měření likvidity na denní bázi, ve stanovených časových pásmech, v jednotlivých hlavních měnách a souhrnně za všechny měny a

e) srovnání předchozích odhadů míry podstupovaného rizika se skutečnými výsledky (zpětné testování), pokud povinná osoba používá metody využívající nebo založené na odhadu míry rizika,

d) výsledcích stresových testů,

c) výsledcích analýz významných pro zajištění ucelenosti a přiměřenosti předpokladů řádné správy a řízení, řízení rizik a vnitřní kontroly včetně dodržování pravidel obezřetného podnikání, včetně výsledků analýzy vlivů ekonomického a tržního prostředí na činnost povinné osoby, analýzy jejích aktiv, dluhů a podrozvahových položek a analýzy jejího úvěrového portfolia,

b) srovnání míry podstupovaného rizika s vnitřními limity a s požadavky stanovenými právními předpisy nebo příslušným orgánem dohledu,

a) průběhu a výsledcích výkonu činností povinné osoby,

f) typech, velikosti a vývoji zatížení aktiv, v tom vždy o

e) kapitálových poměrech a

d) celkovém rizikovém profilu, kterým se rozumí celková míra podstupovaných rizik i při zohlednění vlivu mechanismů vnitřní kontroly,

c) míře podstupovaného rizika úvěrového, tržního, operačního a nadměrné páky a o likviditní situaci,

b) dodržování pravidel pro velké expozice a o riziku koncentrace,

a) dodržování požadavků stanovených právními předpisy a vnitřními předpisy, včetně celkového vyhodnocení, zda vnitřní předpisy a standardy zvolené a používané povinnou osobou podle § 10 odst. 2 jsou aktuální a přiměřené povaze, rozsahu a složitosti činností povinné osoby, a včetně zjištěných významných rozdílů postupů povinné osoby oproti požadavkům stanoveným právními předpisy a vnitřními předpisy,

b) všech překročeních limitů ohrožujících dodržení akceptované míry úvěrového, tržního a dalších významných podstupovaných rizik, včetně rizika koncentrace, nadměrné páky a likvidity; v případech, kdy se likviditní situace výrazně nepříznivě mění, je řídicí orgán informován bez zbytečného odkladu.

a) všech skutečnostech, které by mohly významně nepříznivě ovlivnit finanční situaci povinné osoby, včetně vlivů změn vnitřního či vnějšího prostředí, a

j) měření a sledování likviditní pozice a její ohlašování osobám ve vyšším vedení a vedoucímu orgánu.

i) vytváření kvantitativních a kvalitativních informací o riziku úvěrovém, tržním, likvidity, koncentrace a nadměrné páky, ohlašovaných osobám ve vyšším vedení a vedoucímu orgánu a

h) řízení rizika úvěrového, tržního, likvidity, koncentrace a nadměrné páky včetně kontroly dodržování limitů,

g) schvalování oceňovacích a dalších metod, systémů a modelů používaných pro řízení rizik,

f) schvalování limitů pro řízení rizika úvěrového, tržního, likvidity, koncentrace a nadměrné páky,

e) uvolňování poskytnutých peněžních prostředků,

(2) Informace podle odstavce 1 poskytne povinná osoba klientovi před poskytnutím investiční služby na trvalém nosiči informací podle § 15e zákona o podnikání na kapitálovém trhu způsobem a v rozsahu, který

(1) Povinná osoba zajistí v souvislosti s poskytováním investičních služeb informování klientů o povaze nebo zdroji střetu zájmů, pokud ani přes jí přijatá opatření podle § 12a odst. 1 písm. h) zákona o podnikání na kapitálovém trhu nelze spolehlivě zamezit nepříznivému vlivu střetu zájmů na zájmy klienta.

(1) Povinná osoba zajistí, že systém pro vytváření, kontrolu a předávání informací České národní bance a dalším příslušným orgánům je vytvořen a udržován tak, aby poskytoval informace včas, aktuálně, spolehlivě a uceleně.

(2) Povinná osoba zajistí, že jsou zavedeny a udržovány mechanismy vnitřní kontroly zajišťující úplnost a správnost veškerých výpočtů, údajů, výkazů a dalších informací poskytovaných České národní bance a dalším příslušným orgánům pravidelně nebo na jejich žádost.

(3) Povinná osoba zajistí, že postupy uplatňované pro vytváření a poskytování údajů České národní bance a dalším příslušným orgánům, včetně předkládání výkazů, jsou zpětně vysledovatelné a rekonstruovatelné.

(4) Povinná osoba uchovává data potřebná pro sledování dodržování limitů a dalších pravidel stanovených touto vyhláškou nebo nařízením alespoň po dobu pěti let, není-li stanoveno jinak; to platí i po zániku oprávnění povinné osoby k výkonu činnosti na finančním trhu, jakož i pro právního nástupce povinné osoby.

a) zohlední povahu klienta z hlediska poskytování investičních služeb a

b) umožní klientovi řádně vzít v úvahu střet zájmů související s investiční službou nebo další podnikatelskou činností povinné osoby podle § 6a zákona o podnikání na kapitálovém trhu.

a) zajistí, že řídicí a kontrolní systém je nastaven tak, že umožňuje soustavné řízení rizik,

b) zavede a udržuje systém řízení rizik tak, že poskytuje nezkreslený obraz o míře podstupovaných rizik,

(1) Povinná osoba

c) zabezpečí, že proces rozpoznávání rizik je zajištěn u všech činností a na všech řídicích a organizačních úrovních a umožňuje odhalování nových, dosud neidentifikovaných rizik a

d) při řízení rizik zohledňuje všechna významná rizika a rizikové faktory, kterým je nebo může být vystavena s přihlédnutím k povaze, rozsahu a složitosti činností. Řízení rizik v jeho celku i částech zohledňuje vnitřní a vnější faktory včetně zohledňování budoucí strategie podnikání povinné osoby, vlivů ekonomického prostředí a cyklu a vlivů regulatorního prostředí. Řízení rizik zohledňuje kvantitativní a kvalitativní aspekty rizik, reálné možnosti jejich řízení a náklady a výnosy vyplývající z řízení rizik.

a) strategii a postupy pro rozpoznávání, vyhodnocování, měření, sledování, ohlašování a omezování výskytu nebo dopadů výskytu rizik,

d) funkci řízení rizik.

c) zásady kontrolních mechanismů a činností při řízení rizik, včetně kontroly dodržování stanovených postupů a limitů pro řízení rizik, interních validací a přezkumů modelů používaných při řízení rizik, ověřování výstupů hodnocení a měření rizik a ověřování účinnosti opatření přijatých povinnou osobou k omezování výskytu nebo dopadů výskytu rizik, a

b) soustavu limitů používanou při řízení rizik, včetně postupů a informačních toků při překročení dílčích limitů nebo akceptované míry rizika nebo při poklesu případných obezřetnostních rezerv nebo přirážek pod jejich vnitřně stanovenou úroveň nebo regulatorní limity,

(3) Povinná osoba zajistí, že pracovníci, jejichž činnost má vliv na řízení rizik, jsou se schválenou strategií seznámeni v potřebném rozsahu a postupují v souladu s touto strategií a z ní vyplývajícími postupy a limity včetně akceptované míry rizika a obezřetnostních rezerv nebo přirážek.

(1) Povinná osoba má strategii řízení rizik, která je přiměřená povaze, rozsahu a složitosti jejích činností. Povinná osoba vypracuje konkrétní postupy pro naplňování této strategie.

(2) Strategie řízení rizik stanoví zejména

g) zásady pro vymezení povolených produktů, měn, států, zeměpisných oblastí, trhů a protistran.

f) zásady pro sestavení a úpravy pohotovostních plánů včetně pohotovostního plánu pro případ krize likvidity a

e) akceptovanou míru rizika, v tom vždy rizika úvěrového, tržního, operačního, likvidity, koncentrace a nadměrné páky,

d) metody pro řízení rizik, včetně stresového testování, v tom vždy rizika úvěrového, tržního, operačního, likvidity, koncentrace a nadměrné páky,

c) zásady řízení jednotlivých rizik včetně soustavy vhodných časových horizontů pro jejich řízení, v tom vždy rizika úvěrového, tržního, operačního, likvidity, koncentrace a nadměrné páky,

b) zásady pro posuzování a určování významnosti pro účely řízení rizik povinnou osobou,

a) vnitřní vymezení (definice) rizik, kterým je nebo může být povinná osoba vystavena, včetně vymezení jejich klíčových součástí,

(4) Povinná osoba zajistí, že

b) soustava limitů a dalších opatření pro řízení jednotlivých rizik bere v úvahu ostatní rizika a regulatorní limity a je v souladu s modelem podnikání a celkovou strategií povinné osoby a tržními podmínkami a

c) uplatňované limity a postupy účinně zamezují překročení regulatorních limitů a povinnou osobou akceptované míry rizika celkově i za jednotlivá rizika.

a) postupy používané pro sledování, měření a usměrňování jednotlivých rizik včetně limitů a obezřetnostních rezerv nebo přirážek jsou ucelené a propojené,

(5) Povinná osoba zajistí, že strategie řízení rizik a veškeré postupy a limity, včetně akceptované míry rizika a obezřetnostních rezerv nebo přirážek, týkající se řízení rizik jsou pravidelně, zejména při každé významné změně odpovídajících skutečností, alespoň však jednou ročně, vyhodnocovány a případně upravovány.

b) ESG rizika,

d) celkově podstupované riziko.

c) další významná rizika nebo součásti rizik, kterým je nebo může být vystavena, zejména riziko reputační, riziko strategické, riziko spojené se zdroji kapitálu a financováním, riziko spojené s členstvím ve skupině včetně rizika operací se členy téže skupiny, riziko spojené se správou zajištění a zatížením aktiv, riziko tržní infrastruktury, riziko nestandardních operací, riziko operací, ve kterých je nebo by mohla být zapojena netransparentní nebo jinak potenciálně riziková protistrana nebo zeměpisná oblast, riziko operací s osobami poskytujícími finanční služby obdobné bankovním, nad nimiž není vykonáván dohled, riziko operací, ve kterých je zapojen jiný než členský stát, riziko vlivu regulatorního prostředí, riziko vlivu politického prostředí, riziko nákazy a riziko systémové, ledaže pro povinnou osobu nepřichází toto riziko v úvahu nebo není významné, a

a) riziko úvěrové, tržní, operační, likvidity, koncentrace a nadměrné páky,

(2) Operace uvnitř skupiny se považuje za významnou, přesahuje-li na individuálním základě 5 % z 8 % z celkového objemu rizikové expozice podle článku 92 odst. 3 nařízení s tím, že operace uvnitř skupiny stejné povahy, sjednané se stejnou protistranou a ve stejné měně, se považují za jednu operaci.

(1) Povinná osoba ve skupině smíšené holdingové osoby zavede a udržuje postupy, které jí umožňují vhodným způsobem sledovat operace, které sjednala se smíšenou holdingovou osobou, členem jejíž skupiny povinná osoba je, nebo s osobou ovládanou touto smíšenou holdingovou osobou (dále jen „operace uvnitř skupiny“). Zvláštní pozornost věnuje významným operacím uvnitř skupiny.

(3) Povinná osoba při řízení rizik a zajišťování jejich krytí obezřetně zohledňuje faktory, které ovlivňují výsledky vyhodnocování či měření podstupovaných rizik, včetně vlivů

(1) Povinná osoba zajišťuje kapitálové nebo jiné vhodné krytí rizik, kterým je nebo může být vystavena.

(2) Strategie a postupy pro řízení rizik a pro zajišťování jejich krytí jsou ucelené a propojené.

(4) Pokud podstupované riziko nebo celková míra podstupovaných rizik nejsou i při zohlednění vlivu mechanismů vnitřní kontroly přiměřeně kryty, povinná osoba včas přijme vhodná a účinná nápravná opatření.

a) tvorby opravných položek a dalších úprav ocenění aktiv a tvorby rezerv k podrozvahovým položkám,

b) používání vlastních odhadů a modelů,

c) zohledňování výsledků testů, zejména testu úrokového šoku a dalších stresových testů,

d) využívání derivátů, zohledňování zajištění a dalších technik snižujících riziko a

e) zohledňování efektů z rozložení rizik.

(4) Skutečnosti podle odstavce 3 písm. f), g) nebo h) návrh obsahuje pouze, pokud je to pro případ podle odstavce 1 relevantní.

2. transakce, které by na základě rozboru jejich hospodářské opodstatněnosti, finanční situace protistrany, možných nepříznivých důsledků pro povinnou osobu nebo jiných rozpoznaných rizikových faktorů předmětné transakce nebyly běžně provedeny s jinými osobami, a

(5) Za účelem účinného předcházení a omezování rizik spjatých s případem podle odstavce 1 povinná osoba

b) analýzu očekávaných dopadů zavedení na povinnou osobu a její řídicí a kontrolní systém,

c) návrh postupu zavedení,

d) analýzu rizik včetně návrhů na jejich řízení; navržená opatření povinná osoba následně začlení do systému řízení rizik,

e) identifikaci lidských, technických a jiných zdrojů, které je nutno vyčlenit na zabezpečení řádného řízení rizik v souladu s výsledky analýzy rizik,

f) oceňovací postupy,

g) definici nebo seznam navrhovaných protistran a

h) způsoby vypořádání transakcí.

a) považuje pro účely řízení rizik za samostatný případ podle odstavce 1 zejména každou skupinu obchodů nebo služeb, které mají společné charakteristiky a rizika odlišující je od charakteristik a rizik jiného jí navrhovaného, nabízeného nebo poskytovaného obchodu nebo služby,

b) u jednotlivě samostatného případu podle odstavce 1 určeného způsobem podle písmene a) cíleně uplatňuje odlišnosti, pokud jde o zásady, postupy, metody a nástroje řízení rizik, a

c) zakáže svým pracovníkům sjednávat

1. transakce s neschválenými případy podle odstavce 1,

(6) Povinnosti podle odstavců 1 až 5 se vztahují obdobně i na změny v případech podle odstavce 1.

3. transakce, které by vedly k překročení vnitřních limitů nebo nebyly v souladu s požadavky stanovenými právními předpisy, Českou národní bankou nebo jiným příslušným orgánem dohledu.

(1) Povinná osoba rozpoznává a řídí rizika spjatá s novými nebo nestandardními produkty, operacemi, službami a dalšími činnostmi, trhy, segmenty klientů, zeměpisnými oblastmi, protistranami, distribučními místy a kanály, tržní infrastrukturou, technologiemi, interními modely a systémy, včetně rizik spjatých s jejich začleňováním do stávajících činností a struktur povinné osoby.

(2) Povinná osoba

(3) Povinná osoba stanoví náležitosti, které obsahuje návrh případu podle odstavce 1. Návrh obsahuje alespoň

a) vymezí, kdy jde o případ podle odstavce 1,

b) vymezí působnost a pravomoci,

c) zajistí, že případ podle odstavce 1 je před zavedením prověřen přiměřenými kontrolními a schvalovacími postupy v zájmu rozlišení jeho rizikovosti a zařazení do procesu řízení rizik, v souladu se zásadou významnosti.

a) popis případu podle odstavce 1, včetně popisu účetních, daňových a právních aspektů a případné potřeby souhlasu příslušného orgánu dohledu,

d) před přijetím expozice v kryptoaktivech je provedeno její posouzení a posouzení přiměřenosti stávajících procesů a postupů pro řízení rizika protistrany a o posouzení informuje bez zbytečného odkladu Českou národní banku.

(2) V přímé závislosti na rozsahu, povaze a složitosti svých činností povinná osoba důkladně zváží vytvoření nástrojů interního hodnocení úvěrového rizika a zvýšení míry uplatňování přístupu založeného na interním ratingu pro výpočet kapitálových požadavků pro úvěrové riziko, zejména pokud jsou expozice povinné osoby významné v absolutním měřítku a zároveň má velký počet významných protistran. Plnění požadavků stanovených pro používání přístupu založeného na interním ratingu není tímto požadavkem dotčeno.

b) prostřednictvím účinných systémů je zajišťována průběžná správa a sledování různých portfolií a expozic, s nimiž je spojeno úvěrové riziko, včetně identifikování a řízení problematických expozic a zajišťování odpovídajících úprav v ocenění, zejména opravných položkách u rozvahových aktiv a rezerv k podrozvahovým položkám, a

c) diverzifikace portfolií s úvěrovým rizikem zohledňuje celkovou úvěrovou strategii včetně cílových trhů,

a) poskytování úvěrů je založeno na spolehlivých a jednoznačně stanovených kritériích a je jasně stanoven postup pro schvalování, doplňky, změny, obnovy a refinancování úvěrů,

(1) Povinná osoba zajistí, že

b) zajistí vhodnost a spolehlivost zásad a postupů pro řízení zbytkového rizika spojeného s používáním uznatelných technik snižování úvěrového rizika a správnost jejich uplatňování.

a) prostřednictvím zdokumentovaných zásad a postupů ovlivňuje a kontroluje, pokud je účinek uznatelných technik snižování úvěrového rizika nižší než očekávaný, a

(2) Pokud je povinná osoba původcem sekuritizace revolvingových expozic s možností předčasného splacení, stanoví plány likvidity jak pro situace očekávané, tak pro případy předčasného splacení.

(4) Povinná osoba zajistí, že dosažení očekávaného převodu rizika není sníženo poskytnutím mimosmluvní podpory.

(3) Povinná osoba je schopna na žádost České národní banky doložit jí, do jaké míry je kapitál udržovaný vůči aktivům, která sekuritizovala, odpovídající vzhledem k ekonomické podstatě dané transakce, včetně dosaženého stupně převodu rizika.

(1) Pokud je povinná osoba investorem, původcem či sponzorem sekuritizace, vyhodnocuje a usměrňuje prostřednictvím přiměřených zásad a postupů riziko sekuritizace včetně reputačního rizika; přitom vždy posoudí reputační riziko ve vztahu ke komplikovaným strukturám či produktům a zajistí, že ekonomická podstata transakce se plně promítá do hodnocení rizika a rozhodovacích procesů.

(1) Povinná osoba zavede a udržuje zásady a postupy pro řízení míry tržního rizika včetně vyhodnocování či měření všech jeho významných zdrojů a dopadů. Povinná osoba zavede a udržuje systém řízení tržního rizika obchodního portfolia v souladu s požadavky podle článků 102 až 106 nařízení a systém řízení úrokového, měnového, akciového a komoditního rizika investičního portfolia. Je-li krátká pozice splatná dříve než dlouhá pozice, povinná osoba přijme také opatření proti riziku nedostatku likvidity.

(3) Povinná osoba, která při výpočtu kapitálových požadavků pro poziční riziko podle části třetí hlavy IV kapitoly 2 nařízení kompenzovala své pozice u jedné nebo více akcií, které tvoří akciový index, oproti jedné nebo více pozicím ve futures na akciový index nebo v jiném produktu akciového indexu, zohledňuje bazické riziko ztráty způsobené tím, že se hodnota futures nebo jiného produktu nepohybuje plně v souladu s hodnotou jednotlivých akcií, ze kterých je index tvořen, ve strategiích a postupech pro vnitřně stanovený kapitál¹²) povinné osoby. V těchto strategiích a postupech je zohledněno rovněž bazické riziko existující v případě, kdy povinná osoba drží opačné pozice ve futures na akciové indexy, které nejsou identické co do splatnosti, složení, nebo obojího.

(2) Povinná osoba před přijetím expozice v kryptoaktivech provede posouzení takové expozice a přiměřenosti stávajících procesů a postupů pro řízení tržního rizika a o posouzení informuje bez zbytečného odkladu Českou národní banku.

(5) Pokud se ekonomická hodnota vlastního kapitálu povinné osoby z důvodu náhlé a neočekávané změny v úrokových sazbách popsané v kterémkoli ze 6 dohledových šokových scénářů pro úrokové sazby sníží o více než 15 % jejího kapitálu tier 1, povinná osoba přijme bez zbytečného odkladu opatření, o nichž bez zbytečného odkladu informuje Českou národní banku. Povinná osoba promítne do výpočtu ekonomické hodnoty vlastního kapitálu modelovací a parametrické předpoklady.

(4) Povinná osoba, která je malou a nepříliš složitou institucí podle čl. 4 odst. 1 bodu 145 nařízení, používá standardizovanou metodiku, pokud zjednodušená standardizovaná metodika není vhodná ke zjištění úrokového rizika vyplývajícího z jejího investičního portfolia.

(3) Povinná osoba používá standardizovanou metodiku podle odstavce 1 také tehdy, pokud Česká národní banka v rámci procesu přezkumu a vyhodnocování vyhodnotila, že použití zjednodušené standardizované metodiky podle odstavce 1 není vzhledem k interním systémům povinné osoby pro řízení úrokového rizika investičního portfolia dostatečné.

(2) Povinná osoba zavede a udržuje systémy vyhodnocování a monitorování rizik vyplývajících z případných změn v úvěrových rozpětích, které mají vliv jak na ekonomickou hodnotu vlastního kapitálu, tak na čistý úrokový výnos z investičního portfolia povinné osoby.

(1) Povinná osoba zavede a udržuje interní systémy pro řízení úrokového rizika investičního portfolia a používá standardizovanou metodiku nebo zjednodušenou standardizovanou metodiku pro identifikaci, hodnocení, řízení a snižování rizik vyplývajících z případných změn v úrokových sazbách, které mají vliv jak na ekonomickou hodnotu vlastního kapitálu, tak na čistý úrokový výnos z investičního portfolia povinné osoby.

(7) Upřesnění standardizované metodiky a zjednodušené standardizované metodiky podle odstavce 1, modelovací a parametrické předpoklady podle odstavců 5 a 6 a dohledové scénáře podle odstavců 5 a 6 stanovuje přímo použitelný předpis Evropské unie vydaný podle čl. 84 odst. 5 a čl. 98 odst. 5a směrnice Evropského parlamentu a Rady 2013/36/EU.

(6) Pokud u povinné osoby z důvodu náhlé a neočekávané změny v úrokových sazbách popsané v jednom ze 2 dohledových šokových scénářů pro úrokové sazby dojde k velkému poklesu čistého úrokového výnosu, povinná osoba přijme bez zbytečného odkladu opatření, o nichž bez zbytečného odkladu informuje Českou národní banku. Povinná osoba promítne do výpočtu čistého úrokového výnosu modelovací a parametrické předpoklady.

2. alternativní scénáře pro řízení rizika likvidity včetně alternativních stresových scénářů pro řízení rizika likvidity; alternativním stresovým scénářem pro řízení rizika likvidity se rozumí soubor vnitřních předpokladů, zejména předpoklad vývoje struktury aktiv, dluhů a podrozvahových položek, a vnějších předpokladů, zejména předpoklad vývoje na mezibankovním trhu a vývoje platební schopnosti jednotlivých států, na jejichž základě povinná osoba odhaduje likviditní pozici při různé míře stresových situací, a dále souhrn následných kroků povinné osoby za účelem odpovídajícího pokrytí očekávaného odtoku a

(2) Povinná osoba testuje svoji odolnost vůči dlouhodobým nepříznivým dopadům faktorů ESG, včetně faktorů souvisejících se změnou klimatu, v rámci základního i nepříznivého scénáře v daném časovém rámci. Povinná osoba zahrne do testování odolnosti různé scénáře, které odrážejí potenciální dopady environmentálních a sociálních změn a souvisejících veřejných politik na dlouhodobé podnikatelské prostředí. Povinná osoba používá v procesu testování odolnosti věrohodné scénáře založené na scénářích vypracovaných mezinárodními organizacemi.

(1) Povinná osoba zavede a udržuje strategie, zásady, postupy a systémy pro identifikaci, měření, řízení a sledování ESG rizik v krátkodobém, střednědobém a dlouhodobém horizontu, a to přiměřeně k rozsahu, povaze a složitosti ESG rizik spojených s modelem podnikání a k rozsahu činností povinné osoby. Dlouhodobým horizontem se rozumí období alespoň 10 let.

(2) Zásady a postupy podle odstavce 1

(1) Povinná osoba zavede a udržuje zásady a postupy pro identifikaci, sledování a řízení rizika spojeného se správou zajištění a se zatížením aktiv.

(2) Povinná osoba přistupuje k řízení rizika nadměrné páky preventivně. Povinná osoba řídí riziko nadměrné páky tak, aby byla schopna kontrolovat celý rozsah různých krizových událostí, pokud jde o riziko nadměrné páky, a dostatečně zohledňovat možné zvýšení rizika nadměrné páky způsobeného snižováním kapitálu povinné osoby z důvodu předpokládaných nebo realizovaných ztrát, v závislosti na používaných účetních pravidlech.

(1) Povinná osoba zavede a udržuje zásady a postupy pro identifikaci, řízení a sledování rizika nadměrné páky. Ukazatele rizika nadměrné páky zahrnují pákový poměr stanovený v souladu s článkem 429 nařízení a nesoulad mezi aktivy a dluhy.

(3) V případě kryptoaktiv bez identifikovatelného vydavatele posoudí povinná osoba riziko koncentrace z hlediska expozice v kryptoaktivech s podobnými vlastnostmi.

(2) Zásady a postupy pro řízení rizika koncentrace zahrnují

(1) Povinná osoba zavede a udržuje řádné řídicí, administrativní a účetní postupy a přiměřené mechanismy vnitřní kontroly ke zjištění a zaznamenání významných koncentrací včetně všech velkých expozic podle článku 393 nařízení a jejich následných změn v souladu s požadavky nařízení, zákona a této vyhlášky a ke sledování a vyhodnocování všech případů významných koncentrací a velkých expozic s ohledem na vnitřní zásady povinné osoby v této oblasti.

(5) Pohotovostní plány pro případ krize likvidity stanovují adekvátní strategie a řádnou implementaci opatření k řešení situace vzniklé případným nedostatkem likvidity, a to i ve vztahu k zahraničním pobočkám. Tyto plány jsou pravidelně testovány, aktualizovány podle výsledků alternativních stresových scénářů a v periodicitě podle odstavce 3 písm. a) předkládány osobám ve vyšším vedení a schvalovány těmito osobami tak, aby bylo možné náležitě přizpůsobit vnitřní postupy. Povinná osoba přijme předem nezbytná provozní opatření, aby mohly být pohotovostní plány okamžitě použity. U povinné osoby, která je bankou nebo spořitelním a úvěrním družstvem, tato operační opatření zahrnují držení kolaterálu uznatelného centrální bankou; pokud je to nezbytné, zahrnuje tento požadavek také

(4) Povinná osoba

(3) Povinná osoba

(2) Povinná osoba

(1) Povinná osoba zavede a udržuje

(2) Povinná osoba vytvoří a udržuje pohotovostní plány, kterými se rozumí plány pro mimořádné situace včetně havarijních a krizových situací a pro obnovu činností, k zajištění schopnosti povinné osoby průběžně vykonávat činnosti a k limitování ztrát v případě významného narušení činností.

(1) Povinná osoba zavede a udržuje zásady a postupy pro vyhodnocování a ovlivňování míry podstupovaného operačního rizika, včetně rizika z přímých a nepřímých expozic v kryptoaktivech a vůči poskytovatelům služeb souvisejících s kryptoaktivy a rizika outsourcingu a včetně zohlednění málo častých významných událostí. Povinná osoba stanoví, co tvoří operační riziko pro účely těchto zásad a postupů, aniž by tímto bylo dotčeno vymezení operačního rizika podle článku 4 odst. 1 bodu 52 nařízení.

(2) V závislosti na své velikosti, vnitřní organizaci, povaze, rozsahu a složitosti svých činností povinná osoba zváží vytvoření nástrojů interního hodnocení tržního rizika a stanovování kapitálových požadavků pro pozice v obchodních portfoliích interním modelem, spolu s používáním interního modelu pro výpočet požadavků na kapitál ke krytí rizika selhání, zejména pokud jsou expozice povinné osoby vůči riziku selhání významné v absolutním měřítku a má velký počet významných pozic v obchodovaných dluhových nebo akciových nástrojích různých emitentů. Plnění požadavků stanovených pro používání alternativních interních modelů ke stanovování kapitálových požadavků k tržnímu riziku tím není dotčeno.

(1) Povinná osoba zohlední ve strategiích a postupech pro vnitřně stanovený kapitál riziko ztráty, které existuje v případě postupu podle článku 345 nařízení v době od vzniku prvního dluhu do následujícího pracovního dne.

1. standardní scénář pro řízení rizika likvidity, kterým se rozumí soubor vnitřních předpokladů, zejména předpoklad vývoje struktury aktiv, dluhů a podrozvahových položek, a vnějších předpokladů, zejména předpoklad vývoje na mezibankovním trhu a vývoje platební schopnosti jednotlivých států, na jejichž základě povinná osoba odhaduje likviditní pozici při běžné činnosti povinné osoby, a dále souhrn následných kroků povinné osoby za účelem odpovídajícího pokrytí očekávaného peněžního odtoku a

1. zvoleny tak, aby byly vhodné vzhledem k jednotlivým liniím podnikání, měnám, pobočkám a právnickým osobám, a zahrnují adekvátní alokační mechanismy nákladů na likviditu, přínosů a rizik s tím, že vnitřní ceny uplatní povinná osoba na všechna významná aktiva, dluhy a podrozvahové položky, a

2. přiměřené složitosti vykonávaných činností, rizikovému profilu povinné osoby a akceptované míře rizika schválené řídicím orgánem a odrážejí význam povinné osoby v každém členském nebo jiném státě, ve kterém uskutečňuje své podnikatelské aktivity s tím, že o akceptované míře rizika likvidity jsou informovány všechny relevantní linie řízení a podnikání,

a) zásady a postupy pro průběžné a prospektivní měření a řízení likviditní pozice,

b) scénáře pro řízení rizika likvidity, a to

c) pohotovostní plány pro případ krize likvidity.

a) má dostatečně propracované strategie, zásady, postupy a systémy k identifikaci, měření, řízení a sledování rizika likvidity v náležité soustavě časových pásem, včetně vnitrodenních časových pásem tak, aby bylo zajištěno, že bude udržovat likviditní rezervu na adekvátní úrovni. Tyto strategie, zásady, postupy a systémy jsou

b) zohlední při řízení rizika likvidity povahu, rozsah a složitost svých činností, zejména strukturu a rozsah produktového portfolia, systém řízení rizik a zásady financování včetně jeho případných koncentrací tak, aby její rizikový profil v oblasti likvidity byl v souladu s požadavky na odpovídající a dostatečnou funkčnost řízení tohoto rizika a nedocházelo k překračování stanovených limitů,

c) uplatňuje metody k identifikaci, měření, řízení a sledování refinančních pozic, které zahrnují současné i odhadované peněžní toky z aktiv, dluhů a podrozvahových položek a možný dopad reputačního rizika,

d) rozlišuje mezi aktivy zatíženými a aktivy nezatíženými, která jsou kdykoli k dispozici, zejména v krizové situaci. Přihlíží též k právnické osobě, jež má k aktivům určitá práva, ke skutečnosti, ve kterém státě jsou právně evidována, a k jejich uznatelnosti. Povinná osoba dále sleduje, zda mohou být aktiva včas prodána nebo zatížena,

e) přihlíží k existujícím právním, regulatorním a operačním překážkám při případném převodu likvidních nebo nezatížených aktiv mezi právnickými osobami, a to uvnitř i vně Evropského hospodářského prostoru, a

f) posuzuje a bere v úvahu možnosti různých používaných nástrojů zmírňování rizika likvidity včetně systému limitů a likviditních rezerv za účelem zajistit, aby nebyl narušen její chod při škále různých stresových událostí a aby disponovala náležitě diverzifikovanou strukturou financování a přístupem ke zdrojům financování.

a) bere v úvahu různé alternativní scénáře včetně stresových pro své likviditní pozice a pro nástroje zmírňování rizika likvidity a podrobuje pravidelnému přezkoumávání předpoklady, na kterých je založeno rozhodování o refinanční pozici, s ohledem na měnící se vnitřní nebo vnější podmínky, a tento přezkum provádí při každé významné relevantní změně skutečností, alespoň však jednou ročně, a

b) zahrne do používaných alternativních scénářů zejména podrozvahové položky a ostatní podmíněné dluhy, včetně podrozvahových položek a ostatních podmíněných dluhů týkajících se sekuritizačních jednotek pro speciální účel a jiných právnických osob zřízených se speciálním účelem, vůči kterým je povinná osoba v pozici sponzora nebo kterým poskytuje významnou likviditní podporu.

a) zvažuje potenciální dopad alternativních stresových scénářů týkajících se specificky povinné osoby, scénářů týkajících se trhu jako celku a kombinovaných alternativních stresových scénářů. V úvahu jsou brána různá časová pásma a různé míry závažnosti stresových situací; a

b) přezkoumává a udržuje funkčnost a efektivnost svých strategií, zásad, postupů, systémů, limitů a dalších mechanismů pro řízení rizika likvidity včetně pohotovostních plánů, přičemž zohlední výsledky alternativních stresových scénářů podle odstavce 3.

a) držení kolaterálu v měně jiného státu, v níž je povinná osoba vystavena riziku likvidity, a

b) pokud je to nezbytné z operačních důvodů, také držení kolaterálu na území jiného státu, v jehož měně je povinná osoba vystavena riziku likvidity.

a) zásady a postupy pro zacházení s riziky vznikajícími z koncentrace expozic vůči osobám, ekonomicky či jinak spjatým skupinám osob nebo vůči osobám ve stejném odvětví nebo zeměpisné oblasti, z koncentrace expozic ze stejné činnosti nebo obchodované komodity nebo podkladového aktiva sekuritizovaných expozic, expozic vůči ústředním protistranám, fondům kolektivního investování nebo ostatních expozic nebo z jiné významné koncentrace se společným faktorem rizika a

b) zásady a postupy pro zacházení s rizikem koncentrace vznikajícím v důsledku používání technik snižování úvěrového rizika, zvláště v případě významných nepřímých expozic, například vůči jednomu emitentovi cenných papírů přijatých jako zajištění.

a) zohledňují model podnikání povinné osoby, zeměpisné rozložení předmětných činností a aktiv, tržní specifika a makroekonomickou situaci a

b) zahrnují zásady pro pohotovostní plány zaměřené na řešení dodatečného zatížení v důsledku stresových událostí na základě zohlednění výsledků testování dopadů možných, i když málo pravděpodobných šoků, včetně důsledků případného poklesu hodnocení úvěrové kvality povinné osoby, znehodnocení zajištění a nárůstu požadavků na zálohy při obchodování povinné osoby.

(2) Kontrolní činnosti jsou součástí běžné, zpravidla každodenní, činnosti povinné osoby a zahrnují zejména

(1) Povinná osoba zavede a udržuje kontrolní funkce a mechanismy a postupy pro kontrolní činnost na všech řídicích a organizačních úrovních. Povinná osoba zajistí, že pracovníci ve vnitřních kontrolních funkcích mají soustavně pro výkon svých kontrolních působností odpovídající personální a další předpoklady.

a) kontrolu po linii řízení,

b) přiměřené kontrolní mechanismy pro jednotlivé procesy, zejména kontrolu průběhu činností a transakcí, kontrolu řízení rizik, ověřování výstupů používaných systémů a modelů, kontrolu dodržování právních a vnitřních předpisů a limitů včetně vyhodnocování aktuálnosti, ucelenosti a úplnosti vnitřních předpisů a soustavy limitů, kontrolu řízení střetů zájmů, kontrolu spolehlivosti bezpečnostních opatření, kontrolu schvalování a autorizace transakcí nad stanovené limity, ověřování detailů transakcí, pravidelnou rekonciliaci, a rovněž kontrolní mechanismy pro činnosti, které povinná osoba outsourcuje nebo hodlá outsourcovat, a

c) fyzickou kontrolu; fyzická kontrola se zaměřuje zejména na omezení přístupu k hmotnému majetku, cenným papírům a jiným finančním aktivům a na pravidelné inventury majetku.

(1) Systém vnitřní kontroly zahrnuje mechanismy povinné osoby pro interní hlášení pracovníků o porušení nebo hrozícím porušení požadavků stanovených touto vyhláškou, zákonem, který tato vyhláška provádí, nařízením nebo jinými relevantními předpisy včetně vnitřních, včetně mechanismů pro sdělování konkrétních obav pracovníků ohledně funkčnosti nebo efektivnosti řídicího a kontrolního systému nebo některé jeho součásti, mimo běžné informační toky.

(2) V rámci systému vnitřní kontroly povinná osoba zavede a udržuje vnitřní mechanismy preventivního i následného vyhodnocování funkčnosti a efektivnosti řídicího a kontrolního systému jako celku a jeho součástí.

(2) Povinná osoba zajistí průběžnou kontrolu dodržování právních povinností a povinností plynoucích z jejích vnitřních předpisů.

(1) Povinná osoba zavede a udržuje zásady a postupy pro zajišťování činností compliance.

d) poskytování dalších účelných informací ohledně činností compliance vedoucímu orgánu a osobám ve vyšším vedení.

a) informování osob ve vyšším vedení o veškerých zjištěných odchylkách a nesouladech,

(3) Povinná osoba zajistí výkon činností compliance a související kontroly tak, že je rovněž zabezpečeno

c) informování osob ve vyšším vedení o připravovaných nebo nových právních předpisech a uznávaných standardech týkajících se činností povinné osoby a

b) informování vedoucího orgánu o významných odchylkách a nesouladech,

(4) Zásady a postupy pro zajišťování činností compliance pokrývají uceleně a propojeně veškeré činnosti povinné osoby.

f) spolehlivost a bezrozpornost účetních, statistických a dalších informací, včetně informací poskytovaných orgánům povinné osoby, informací poskytovaných klientům a uveřejňovaných informací, a

a) dodržování pravidel obezřetného podnikání povinné osoby,

b) dodržování stanovených zásad, cílů a postupů,

c) systém řízení rizik včetně interních přístupů a interních modelů a systém vnitřní kontroly,

d) finanční řízení a řádnost hospodaření,

e) úplnost, průkaznost a správnost vedení účetnictví,

g) funkčnost a bezpečnost informačního a komunikačního systému včetně spolehlivosti systému sestavování a předkládání výkazů České národní bance.

(1) Povinná osoba zajistí výkon vnitřního auditu tak, že pokrývá uceleně a propojeně veškeré činnosti povinné osoby a zaměřuje se na odhalování nedostatků a rizik.

(2) Povinná osoba zajistí výkon vnitřního auditu tak, že poskytuje příslušné úrovni řízení objektivní a nezávislé ujištění o činnostech povinné osoby, informace o zjištěných skutečnostech a jasná doporučení k zajištění nápravy zjištěných nedostatků.

(3) Působnost funkce vnitřního auditu se vztahuje zejména na

d) vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému včetně oblastí podle odstavce 3, a to alespoň jednou ročně.

c) zavedení a udržování systému sledování opatření k nápravě uložených na základě zjištění vnitřního auditu a

b) sestavení strategického a periodického plánu vnitřního auditu,

a) sestavení analýzy rizik, a to alespoň jednou ročně,

(4) Povinná osoba zajistí, že při výkonu vnitřního auditu jsou provedeny tyto činnosti:

(5) Osoba ve vedení funkce vnitřního auditu informuje o zjištěných skutečnostech řídicí orgán a v případě potřeby nebo na vyžádání také kontrolní orgán, přičemž z rozhodnutí tohoto orgánu nebo na důvodný návrh osoby ve vedení funkce vnitřního auditu se může jednat o zvláštní kontrolní činnost kontrolního orgánu. V případě zjištění, která mohou významným způsobem záporně ovlivnit finanční situaci povinné osoby, dá osoba ve vedení funkce vnitřního auditu podnět k mimořádnému zasedání kontrolního orgánu, které se může uskutečnit z rozhodnutí tohoto orgánu nebo na důvodný návrh osoby ve vedení funkce vnitřního auditu, jako zvláštní kontrolní činnost kontrolního orgánu. Odpovědnost vedoucího orgánu není dotčena.

(3) Povinná osoba zajistí v případě, že pracovník využije mechanismu podle odstavce 1, plnou ochranu dotčeného pracovníka, zejména před nerovným jednáním, odvetným opatřením nebo jiným nespravedlivým zacházením.

(2) Povinná osoba zajistí vhodný způsob vyřizování hlášení pracovníků podle odstavce 1 a dostatečně transparentní sledování a vyhodnocování opatření případně přijatých na jejich základě.

(1) Povinná osoba zavede mechanismus pro interní hlášení pracovníků o porušení nebo hrozícím porušení požadavků stanovených touto vyhláškou, zákonem, který tato vyhláška provádí, nařízením nebo jinými relevantními předpisy včetně vnitřních, včetně mechanismů pro sdělování konkrétních obav pracovníků ohledně funkčnosti a efektivnosti řídicího a kontrolního systému nebo některé jeho součásti, mimo běžné informační toky, zajistí pro všechny pracovníky soustavnou a spolehlivou dostupnost mechanismu a právo na zachování důvěrnosti zdroje informací v případě, že pracovník mechanismu využije.

(1) Povinná osoba nastaví systém odhalování a ohlašování nedostatků řídicího a kontrolního systému tak, že pokrývá uceleně a propojeně všechny řídicí a organizační úrovně a veškeré činnosti povinné osoby a umožňuje včasnou nápravu nedostatků.

(4) Povinná osoba vhodným způsobem následně ověřuje účinnost přijatých nápravných opatření.

(3) Povinná osoba zajistí, že významné nedostatky řídicího a kontrolního systému nebo některé z jeho součástí jsou oznámeny vedoucímu orgánu a výboru pro audit a případnému dalšímu relevantnímu výboru a řešeny bez zbytečného odkladu.

(2) Povinná osoba zajistí, že nedostatky řídicího a kontrolního systému nebo některé z jeho součástí odhalené kontrolním orgánem, po linii řízení, v rámci vnitřního auditu nebo na základě jiné vnitřní kontroly, auditorem nebo jiným způsobem jsou bez zbytečného odkladu oznámeny příslušné řídicí úrovni a řešeny v přiměřené době.