§ 21a Vyhláška o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry

§ 21a (1) Povinná osoba zavede a soustavně udržuje vnitřní kontrolní funkce, které jsou nezávislé na provozních útvarech a mají statut, dostatečné pravomoci, zdroje a přístup k vedoucímu orgánu. (2) Povinná osoba zajistí, že a) vnitřní kontrolní funkce jsou zavedeny a udržovány tak, že zajišťují řádnou identifikaci, měření a oznamování veškerých významných rizik a jsou schopny podat úplný pohled na celkový rozsah rizik povinné osoby, b) funkce řízení rizik se aktivně podílí na zpracování strategie povinné osoby v oblasti řízení rizik, kontroluje její provádění a podílí se na všech významných rozhodnutích v této oblasti, c) funkce vnitřního auditu vykonává nezávislý přezkum provádění strategie povinné osoby v oblasti řízení rizik a není slučitelná s jinými činnostmi povinné osoby ani ostatními vnitřními kontrolními funkcemi, d) funkce compliance zajišťuje, aby strategie povinné osoby v oblasti řízení rizik zohledňovala riziko nedodržení právních předpisů při činnosti povinné osoby, riziko nesouladu vnitřních předpisů povinné osoby s právními předpisy nebo riziko vzájemného nesouladu vnitřních předpisů u povinné osoby, a dále zajišťuje, aby tato rizika byla vyhodnocena před přijetím významného rozhodnutí v oblasti řízení rizik. (3) Povinná osoba zajistí, že pracovníci ve vnitřních kontrolních funkcích jsou nezávislí na útvarech, které kontrolují. (4) Povinná osoba zajistí, že pracovníci ve vnitřních kontrolních funkcích mají ve vztahu ke kontrolnímu orgánu možnost a) přímého přístupu, b) podávat hlášení, a to nezávisle na členech řídicího orgánu a nezávisle na osobách ve vyšším vedení, c) sdělovat mu pochybnosti a případně jej varovat, vyvíjí-li se určité riziko způsobem, který má nebo může mít nepříznivý vliv na povinnou osobu. (5) Povinná osoba zajistí, že vedoucí vnitřní kontrolní funkce je osobou nezávislou na jiných osobách ve vyšším vedení s jednoznačně vymezenou působností a pravomocemi v oblasti řízení rizik, činností compliance nebo vnitřního auditu povinné osoby. (6) Pokud by nebylo uspořádání výkonu funkce řízení rizik nebo funkce compliance podle odstavce 5 přiměřené povaze, rozsahu a složitosti činností povinné osoby, může výkon funkce řízení rizik nebo funkce compliance zajišťovat jiný dostatečně zkušený pracovník, který vykonává jiné úkoly, nebo může výkon obou funkcí vykonávat tatáž osoba, a to za předpokladu, že a) nedojde ke střetu zájmů, b) pracovník odpovědný za funkci řízení rizik nebo funkci compliance má dostatečnou odbornou způsobilost k plnění úkolů v rozdílných oblastech a c) pracovník odpovědný za funkci řízení rizik nebo funkci compliance věnuje dostatečný čas náležitému výkonu všech svých funkcí.