(1) Instituce zavede a uplatňuje postupy pro vypracování, přijímání, změnu, zavádění a uplatňování hodnocení rizik a systému vnitřních zásad (dále jen „vnitřní předpisy“).

(2) Instituce ve svých vnitřních předpisech zohlední obecné pokyny a doporučení Evropského orgánu pro bankovnictví²), Evropského orgánu pro cenné papíry³), Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění⁴), Společného výboru evropských orgánů dohledu⁵) a Orgánu pro boj proti praní peněz a financování terorismu⁹) v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu v rozsahu, ve kterém se na instituci vztahují, uveřejněné v českém jazyce Českou národní bankou na jejích internetových stránkách.

(3) Instituce při vypracování a dodržování svých vnitřních předpisů, včetně postupů identifikace a kontroly klienta, zohledňuje uznávané a osvědčené principy a postupy v oblasti předcházení legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „uznávané standardy“), jejichž přehled uveřejňuje Česká národní banka na svých internetových stránkách. Tím není dotčeno právo instituce zvolit a ve vnitřních předpisech zohlednit i jiné uznávané standardy, které jsou aktuální a přiměřené povaze, rozsahu a složitosti jí vykonávaných činností; jejich obsah nebo použití však nesmí být v rozporu s požadavky právních předpisů, ani obcházet jejich účel.

(4) Instituce zajistí, že jsou její vnitřní předpisy a jí zvolené uznávané standardy aktuální a přiměřené povaze, rozsahu a složitosti vykonávaných činností. Instituce ve vnitřních předpisech určí minimální intervaly, ve kterých posuzuje a případně aktualizuje své vnitřní předpisy. Tyto intervaly musí být přiměřené k tomu, aby vnitřní předpisy instituce byly i nadále aktuální a odpovídaly skutečnému stavu a vždy zohlednily produkty a služby nabízené institucí před jejich uvedením na trh a technologie předtím, než je instituce začne využívat.

(5) Instituce dále bez zbytečného odkladu posoudí aktuálnost vnitřních předpisů a zajistí jejich případnou aktualizaci vždy, pokud tato potřeba vyplyne

a) ze závěru učiněného v hodnocení rizik,

b) z informace, kterou instituce získá a která směřuje k závěru, že hodnocení rizik nebo k němu využité podklady již nejsou aktuální,

c) ze změny v obchodní činnosti nebo strategii instituce,

d) ze změny právních předpisů, nebo

e) z informací o změně v národním hodnocení rizik podle § 30a zákona.

(6) Instituce vždy zaznamená výsledek posouzení podle odstavců 4 a 5 a jeho důvody.

(7) Je-li to důvodné, v návaznosti na aktualizaci podle odstavců 4 a 5 instituce aktualizuje rovněž rizikové profily klientů, a to ve lhůtě přiměřené jejich rizikovému profilu.