§ 18 Vyhláška o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry

§ 18 (1) Řídicí orgán schvaluje a alespoň jednou za 2 roky vyhodnocuje a) celkovou strategii, b) organizační uspořádání, c) strategii řízení lidských zdrojů včetně zásad podporujících rozmanitost v celkovém složení orgánů povinné osoby zohledňováním dostatečně široké škály vlastností a schopností členů orgánů povinné osoby, včetně navrhovaných, při jejich vyhledávání a posuzování, d) strategii řízení rizik, včetně rizik vyplývajících z makroekonomického prostředí, v němž povinná osoba působí, a to i v závislosti na hospodářském cyklu, včetně rizik vyplývajících z krátkodobých, střednědobých a dlouhodobých dopadů faktorů ESG a včetně zásad 1. přijímání rizik povinnou osobou a 2. rozpoznávání, vyhodnocování, měření, sledování, ohlašování a omezování výskytu nebo dopadů výskytu rizik, kterým je nebo může být povinná osoba vystavena, e) strategii související s kapitálem a kapitálovými poměry, f) strategii rozvoje informačního a komunikačního systému s tím, že klíčovými prvky tohoto systému jsou 1. informace a jejich toky, včetně uveřejňování informací povinnou osobou a vnitřních a vnějších hlášení povinné osoby, a 2. informační technika a technologie včetně záznamové techniky a technologií, g) zásady systému vnitřní kontroly, v tom vždy zásady pro 1. zamezování vzniku možného střetu zájmů, 2. činnosti compliance a 3. vnitřní audit, a h) bezpečnostní zásady včetně bezpečnostních zásad pro informační a komunikační systém. (2) Řídicí orgán schvaluje a pravidelně vyhodnocuje, jako součást strategických rozhodnutí podle odstavce 1, a) soustavu limitů včetně celkové akceptované míry rizika a případných vnitřně stanovených kapitálových, likviditních a jiných obezřetnostních rezerv nebo přirážek (dále jen „obezřetnostní rezerva nebo přirážka“), které povinná osoba bude používat pro omezení rizik v rámci jí akceptované míry rizika, b) akceptovanou míru rizika a další limity samostatně pro riziko úvěrové, tržní, operační, koncentrace, nadměrné páky a likvidity, včetně požadavků na strukturu aktiv, dluhů a podrozvahových položek, ledaže tuto pravomoc řídicí orgán přenesl, aniž by tím byla dotčena jeho odpovědnost, částečně nebo v plném rozsahu na jím určený výkonný výbor nebo výkonné výbory, komise nebo jiné útvary řídicího orgánu obdobné povahy (dále jen „výkonný výbor“), c) vymezení a zásady systému vnitřní alokace nákladů a vnitřních cen, zohledňovaného povinnou osobou v rámci systému řízení rizik a systému vnitřně stanoveného kapitálu, pokud je to relevantní, d) vymezení a zásady přístupu povinné osoby k využívání outsourcingu, e) vymezení a zásady přístupu povinné osoby k operacím s osobami vykonávajícími činnosti nebo poskytujícími služby obdobné bankovním, nad nimiž není vykonáván dohled, f) vymezení a zásady přístupu povinné osoby k operacím, ve kterých je nebo by mohla být přímo nebo zprostředkovaně zapojena nedostatečně transparentní nebo jinak potenciálně riziková protistrana nebo zeměpisná oblast včetně offshorových center; povinnosti stanovené povinné osobě v oblasti předcházení legalizace výnosů z trestné činnosti a boje proti terorismu tím nejsou dotčeny a g) vymezení a zásady přístupu povinné osoby k nestandardním operacím, zejména takovým, které jsou ojedinělé a netypické a nejsou běžně realizovány ani jinými poskytovateli finančních služeb; jako nestandardní operace může povinná osoba určit také operace podle písmen e) a f). (3) Řídicí orgán schvaluje a) nové produkty, činnosti a systémy a jiné záležitosti mající pro povinnou osobu zásadní význam nebo jiný možný podstatný dopad, ledaže tuto pravomoc řídicí orgán přenesl, aniž by tím byla dotčena jeho odpovědnost, částečně nebo v plném rozsahu na jím určený výkonný výbor nebo výkonné výbory, b) statut a předmět funkce řízení rizik, funkce compliance a funkce vnitřního auditu a personální a technické zajištění jejich výkonu a c) strategický a periodický plán vnitřního auditu. (4) Řídicí orgán dohlíží na realizaci schválených strategií, zásad a cílů povinné osoby a další činnosti, zejména činnosti osob ve vyšším vedení. Řídicí orgán včas a dostatečně vyhodnocuje pravidelné zprávy i mimořádná zjištění, která jsou mu předkládána osobami ve vyšším vedení, v rámci výkonu funkce řízení rizik, funkce compliance a funkce vnitřního auditu, kontrolním orgánem, výbory, pokud jsou zřízeny, auditorem11) nebo příslušnými orgány dohledu či z jiných zdrojů. Na základě těchto vyhodnocení přijímá přiměřená opatření a zajistí jejich realizaci bez zbytečného odkladu. (5) Řídicí orgán pravidelně jedná s osobami ve vyšším vedení o záležitostech, které se týkají řídicího a kontrolního systému. (6) Řídicí orgán při každé zásadní změně v situaci povinné osoby, alespoň však jednou ročně, vyhodnocuje celkovou funkčnost a efektivnost řídicího a kontrolního systému a zajistí vhodné kroky k nápravě takto zjištěných nedostatků.