§ 113 Vyhláška o výkonu činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry – Účinnost

§ 113 Účinnost Tato vyhláška nabývá účinnosti patnáctým dnem po jejím vyhlášení. Guvernér: Ing. Singer, Ph.D., v. r. Příloha č. 1 k vyhlášce č. 23/2014 Sb. 1. Povinná osoba uplatňuje a) obecné a ostatní zásady odměňování na celkový systém odměňování povinné osoby a pro odměňování všech pracovníků, b) zvláštní zásady a postupy odměňování na vybrané oblasti celkového systému odměňování povinné osoby a alespoň pro odměňování vybraných pracovníků a jimi tvořených skupin pracovníků, jejichž činnosti mají významný vliv na celkový rizikový profil povinné osoby (dále jen „vybraní pracovníci“), ledaže by uplatnění postupů podle bodů 13 až 20 nebylo přiměřené vlivu vybraného pracovníka nebo skupiny vybraných pracovníků na celkový rizikový profil povinné osoby; ustanovení písmene c) tím není dotčeno. Za zavedení, udržování a uplatňování kritérií pro určování vybraných pracovníků odpovídá povinná osoba, přičemž vybranými pracovníky jsou zejména 1. členové řídicího a kontrolního orgánu, 2. osoby ve vrcholném vedení, 3. pracovníci ve vnitřních kontrolních funkcích, zejména pracovníci zapojení do výkonu funkce řízení rizik, funkce compliance a funkce vnitřního auditu, 4. pracovníci nebo skupiny pracovníků, jejichž činnost je spojena s podstupováním rizik povinné osoby, a 5. další pracovníci, jejichž odměňování je obdobné jako u pracovníků podle bodů 2 a 4; c) pokud je postavení povinné osoby na daném trhu významné, uplatní povinná osoba přiměřeně všechny zvláštní zásady a postupy s tím, že postavení povinné osoby se pro tyto účely považuje za významné vždy, pokud její podíl na celkové bilanční sumě všech povinných osob na daném trhu dosahuje nebo přesahuje 5 %. 2. Zásady odměňování podle bodu 1 povinná osoba vhodným způsobem zohlední při odměňování dalších právnických nebo fyzických osob, pokud fakticky vykonávají činnost pro povinnou osobu a tato činnost má významný vliv na celkový rizikový profil povinné osoby nebo jejichž odměňování je obdobné jako u vybraných pracovníků podle bodu 1 písm. b) bodů 2 a 4, a to bez ohledu na jejich formálněprávní vztah s povinnou osobou, právní formu a zeměpisné umístění. 3. Zásady a postupy odměňování a) podporují řádné a efektivní řízení rizik a jsou s ním v souladu, b) nepodněcují k podstupování rizika nad rámec míry rizika akceptované povinnou osobou, c) jsou v souladu se strategií, cíli, hodnotami a dlouhodobými zájmy povinné osoby, d) zahrnují opatření k zamezování střetům zájmů v souvislosti s odměňováním a e) zajišťují, že pohyblivé složky odměny jako celek neomezují schopnost povinné osoby posílit kapitál. 4. Kontrolní orgán schvaluje a pravidelně vyhodnocuje souhrnné zásady odměňování vybraných pracovníků nebo jejich skupin; tato činnost se považuje za zvláštní kontrolní činnost kontrolního orgánu. 5. Uplatňování zásad odměňování vybraných pracovníků nebo jejich skupin je alespoň jedenkrát ročně podrobeno celkovému nezávislému vnitřnímu prověření z hlediska souladu se souhrnnými zásadami odměňování vybraných skupin pracovníků, schválenými kontrolním orgánem. 6. Aniž by tím byla dotčena ustanovení jiných právních předpisů, zásady odměňování vybraných pracovníků jednoznačně rozlišují mezi kritérii pro stanovení a) základní pevné části odměny, která by měla zejména odrážet příslušné odborné zkušenosti a stanovenou pracovní náplň pracovníka, a b) pohyblivé složky odměny, která by měla odrážet udržitelný výkon povinné osoby, zohledňovat rizika a výkon nad rámec toho, co je požadováno ke splnění popisu pracovní náplně vybraného pracovníka. 7. Pracovníci ve vnitřních kontrolních funkcích jsou odměňováni podle plnění cílů stanovených pro danou kontrolní funkci, nezávisle na výkonnosti útvarů, které kontrolují. 8. Odměňování pracovníků ve vedení výkonu funkce řízení rizik, funkce vnitřního auditu a funkce compliance je pod přímým dohledem výboru pro odměňování, nebo kontrolního orgánu. 9. Pokud jsou stanoveny výkonnostní odměny, a) celková odměna je založena na kombinaci hodnocení individuální pracovní výkonnosti a výkonnosti dotčeného útvaru s hodnocením celkových výsledků povinné osoby, b) při hodnocení individuální pracovní výkonnosti se zohlední finanční i nefinanční kritéria, c) hodnocení výkonnosti je založeno na víceletém základě tak, aby bylo zajištěno, že proces odměňování je založen na dlouhodobějších výsledcích a že uvolňování částí pohyblivé složky odměn založených na hodnocení výkonnosti je rozloženo do období, jehož délka zohledňuje cyklus podnikání povinné osoby a s ním spojených rizik, a d) postup měření výkonnosti pro účely kalkulace pohyblivé složky odměny nebo pohyblivých složek odměn jako celku zahrnuje úpravy, které zohlední všechny druhy stávajících a budoucích rizik i náklady na zajištění požadovaného kapitálu a likvidity. 10. Pevná a pohyblivá složka celkové odměny vybraného pracovníka jsou vhodně vyvážené; pevná složka odměny tvoří dostatečně velký podíl celkové odměny, aby bylo možno uplatňovat plně flexibilní přístup k pohyblivé složce odměny, včetně možnosti pohyblivou složku odměny nevyplatit. Povinná osoba stanoví vhodný poměr mezi pevnou a pohyblivou složkou odměny individuálně pro jednotlivé osoby nebo skupiny osob, přičemž platí, že pohyblivá složka nepřesahuje u žádného jednotlivce 100 % pevné složky jeho celkové odměny. 11. Povinná osoba může uplatnit pro účely výpočtu výše pohyblivé složky odměny diskontní sazbu až do 25 % celkového objemu pohyblivé složky odměny u kteréhokoli jednotlivce za předpokladu, že je vyplacena prostřednictvím nástrojů, jež jsou odloženy na dobu nejméně 5 let. 12. Alokace pohyblivých složek odměn vybraných pracovníků zohledňuje všechny druhy stávajících a budoucích rizik. 13. Vznik nároku na podstatnou část pohyblivé složky odměny, a to nejméně 40 %, je oddálen alespoň do následujících 3 až 5 let; délka období je vhodně stanovena s ohledem na povahu podnikání povinné osoby, jeho rizika a činnosti dotčeného vybraného pracovníka. Nárok na oddálenou část pohyblivé složky odměny nelze přiznat rychleji než na poměrném základě vůči celkové délce období, do kterého bylo přiznání nároku podstatné části pohyblivé složky odměny oddáleno. V případě, že část pohyblivé složky odměny dosahuje mimořádně vysokého objemu, je oddáleno přiznání nároku alespoň ve výši 60 % tohoto objemu. 14. Podstatná část, nejméně však 50 % oddálené a 50 % neoddálené pohyblivé složky odměny vybraného pracovníka, je tvořena vhodnou kombinací a) kapitálových nástrojů, anebo jiných majetkových hodnot podle právní formy povinné osoby, nástrojů souvisejících s kapitálovými nástroji nebo, v případě, že povinná osoba nevydala kapitálové nástroje přijaté k obchodování na regulovaném trhu, dalších nepeněžních nástrojů a b) je-li to vhodné, nástrojů podle článků 52 nebo 63 nařízení nebo jinými nástroji, které lze plně přeměnit na nástroje kmenového kapitálu tier 1 nebo odepsat a které vždy odpovídajícím způsobem náležitě zohledňují úvěrovou kvalitu povinné osoby při zohlednění zásady trvalého fungování povinné osoby na finančním trhu v souladu s předmětem a plánem její činnosti, a jsou odpovídajícím způsobem použitelné pro účely pohyblivé složky odměny. 15. Nástroje podle bodu 14 jsou po přiměřenou dobu podle zásad povinné osoby zadržovány tak, aby byla motivace vybraných pracovníků provázána s dlouhodobými zájmy povinné osoby. 16. Nástroje podle bodu 14 vydané povinnou osobou nebo osobou s úzkým propojením se bez dalšího nepovažují za nástroje, které odpovídajícím způsobem náležitě zohledňují úvěrovou kvalitu povinné osoby při zohlednění zásady trvalého fungování povinné osoby na finančním trhu v souladu s předmětem a plánem její činnosti, ledaže je povinná osoba schopna prokázat opak. 17. Nárok na pohyblivou složku odměny nebo jakékoli její části je přiznán pouze tehdy, je-li to udržitelné vzhledem k celkové finanční situaci povinné osoby a odůvodněné výkonností dotčeného útvaru a individuální pracovní výkonností dotčeného vybraného pracovníka. V opačném případě se nárok nepřizná, anebo se přizná pouze v omezeném rozsahu. 18. Povinná osoba zavede opatření, která jí umožní odejmout již přiznanou pohyblivou složku odměny nebo jakékoli její části a požadovat zpět již vyplacenou pohyblivou složku odměny; ustanovení jiných právních předpisů tím nejsou dotčena. 19. V případě nepříznivé finanční výkonnosti nebo jejího poklesu je celková pohyblivá složka odměn podstatně snížena, včetně uplatnění opatření podle bodů 17 a 18, a to jak v aktuálním odměňování, tak i v odměnách za předchozí období. 20. Povinná osoba stanoví konkrétní kritéria pro použití systému nepřiznání části, anebo celého nároku na odměnu a zpětného vyžadování již vyplacené odměny. Tato kritéria se vztahují zejména na situace, kdy vybraný pracovník a) se účastnil nebo nesl odpovědnost za jednání, které vedlo k významným ztrátám povinné osoby, b) nedodržel odpovídající standardy důvěryhodnosti, odborné způsobilosti a zkušenosti. 21. Zásady poskytování případných zvláštních penzijních výhod, poskytovaných vybraným pracovníkům mimo rámec případného plošného programu povinné osoby pro pracovníky včetně případného zaměstnaneckého připojištění, jsou v souladu se strategií, cíli, hodnotami a dlouhodobými zájmy povinné osoby. Za zvláštní penzijní výhody se nepovažují příspěvky v rámci zaměstnaneckého penzijního pojištění, penzijního připojištění se státním příspěvkem, doplňkového penzijního spoření, důchodového pojištění nebo příspěvky obdobné povahy obvyklé pro pracovníky povinné osoby. Zvláštní penzijní výhody jsou součástí pohyblivé složky odměny. Pokud vybraný pracovník a) odejde před vznikem nároku na důchod, zvláštní penzijní výhody budou povinnou osobou oddáleny po dobu 5 let ve formě nástrojů podle bodu 14, b) dosáhne nároku na důchod, budou mu zvláštní penzijní výhody přiznány ve formě nástrojů podle bodu 14 a povinná osoba bude mít povinnost je 5 let zadržovat. 22. Pohyblivá složka odměny není vyplácena v nástrojích, anebo formou, která by umožnila obcházení požadavků této vyhlášky nebo jiných právních předpisů. 23. Povinná osoba smluvně zaváže vybrané pracovníky, aby neuplatňovali pojištění nebo jiné zajišťovací strategie spojené s jejich odměňováním nebo odpovědností, které by mohly ohrozit nebo omezit účinky rizikově zaměřených prvků zásad odměňování. 24. Pohyblivá složka odměny, která je zaručena bez ohledu na výkonnost, je poskytována výjimečně a jen v případě, že povinná osoba udržuje dostatečné kapitálové vybavení, a je upravena pouze jde-li o získávání nových vybraných pracovníků; tento způsob odměňování je omezen na období prvního roku po nástupu nového vybraného pracovníka. 25. Smluvně zaručená pohyblivá složka odměny neodpovídá řádnému řízení rizik ani zásadě odměny za výkon, a tudíž není zařazena do budoucích plánů odměňování. 26. Smluvní odstupné poskytované vybraným pracovníkům v souvislosti s předčasným ukončením vztahu odráží jejich výkonnost dosaženou v průběhu daného období a je navrženo způsobem, který neodměňuje neúspěch. 27. Odměna, která souvisí s náhradou nebo vyplacením ze smlouvy v předchozím zaměstnání, je v souladu s dlouhodobými zájmy povinné osoby, včetně zadržení, odkladu, výkonnosti a ustanovení o odejmutí přiznané nebo vyplacené pohyblivé složky odměny. 28. Pokud je povinné osobě poskytnuta mimořádně veřejná podpora, a) pohyblivou složku limituje procentuální částí ze svých čistých příjmů tak, aby to bylo v souladu s udržováním kapitálu a včasným ukončením poskytování veřejné podpory, b) přehodnotí celkový systém odměňování tak, aby byl v souladu s řádným řízením rizik a dlouhodobým růstem a bude-li to vhodné, stanoví limity odměňování členů řídicího a kontrolního orgánu a c) členům řídicího a kontrolního orgánu přizná pohyblivou složku odměny jen tehdy, pokud to je ospravedlnitelné. Příloha č. 2 k vyhlášce č. 23/2014 Sb. 1. Pokud povinná osoba zřídí výbor kontrolního orgánu pro rizika, pro jmenování nebo pro odměňování, zajistí, že je složen z nevýkonných členů kontrolního orgánu, ledaže právní předpis stanoví jinak. 2. Na činnosti výboru kontrolního orgánu se mohou podílet i jiné osoby než členové daného výboru, pokud je to účelné a povinná osoba zajistí, že takové uspořádání je jednoznačně stanoveno, nemůže tím dojít ke střetu zájmů nebo ovládnutí či jinému nežádoucímu ovlivnění rozhodování nevýkonných členů ve výboru a informace o této skutečnosti je přiměřeně dostupná, a to i veřejnosti. 3. Povinná osoba zajistí, že členové výboru pro odměňování jsou dostatečně odborně způsobilí a zkušení, zejména aby bylo zajištěno kompetentní a nezávislé posuzování zásad a postupů odměňování a návrhů motivačních pobídek pro řízení rizik, kapitálu a likvidity. 4. V působnosti výboru pro odměňování je příprava návrhů na rozhodnutí týkajících se odměňování, včetně těch, které mají dopad na rizika a řízení rizik povinné osoby, přijímaná kontrolním orgánem povinné osoby. Při přípravě těchto rozhodnutí přihlíží výbor pro odměňování k dlouhodobým zájmům společníků nebo členů povinné osoby, investorů a ostatních zúčastněných stran a k veřejnému zájmu. 5. Pokud jsou v kontrolním orgánu zastoupeni v souladu s jinými právními předpisy zaměstnanci povinné osoby, povinná osoba zajistí, že členem výboru pro odměňování je jeden nebo více zástupců zaměstnanců. Příloha č. 3 k vyhlášce č. 23/2014 Sb. 1. Povinná osoba zavede a udržuje systém pro provádění obchodů tak, aby byly omezeny ty subjektivní aspekty rozhodovacího procesu, které nepřispívají ke kvalitě tohoto procesu. 2. Povinná osoba zajistí, že obchody s osobami se zvláštním vztahem k ní jsou sjednávány na základě podmínek obvyklých na daném trhu. 3. Povinná osoba zajistí, že má k dispozici informace, které jí umožní i před sjednáním obchodu zhodnotit finanční a ekonomickou situaci (bonitu) protistrany, a to i v případě syndikátních úvěrů, spoluúčastí na úvěrovém riziku, strukturovaných produktů a podobných obchodů. Povinná osoba zakáže sjednat obchod bez posouzení bonity protistrany. 4. Povinná osoba zajistí, že je každý obchod posouzen s ohledem na jeho výši a složitost. 5. Povinná osoba zajistí, že v rámci jejího systému pro provádění obchodů jsou v závislosti na druhu produktu a typu protistrany posuzovány, a to v časovém horizontu zohledňujícím splatnost expozice, zejména a) finanční a ekonomická situace protistrany, b) účel provedení obchodu, c) zdroje splácení včetně poměru hodnoty expozice k příjmům protistrany a včetně posouzení trvalosti a závaznosti těchto příjmů, d) kvalita a dostatečnost zajištění, e) situace v ekonomickém odvětví protistrany; je-li expozice zajištěna majetkovým zajištěním, posoudí povinná osoba také poměr hodnoty expozice k hodnotě zajištění, f) makroekonomické podmínky ve státě sídla protistrany včetně fází hospodářského cyklu, g) podmínky, za nichž má být obchod uskutečněn, h) rozhodné právo, zejména jedná-li se o zahraniční právní úpravu, a i) v případě financování určitého aktiva také poměr vlastních zdrojů použitých protistranou k hodnotě tohoto aktiva. 6. Povinná osoba při řízení úvěrového rizika používá techniky a nástroje omezující toto riziko, včetně zajištění, s tím, že použití těchto technik a nástrojů nemůže nahradit vyhodnocení finanční a ekonomické situace protistrany, nemůže být při posuzování protistrany považováno za náhradní zdroj splácení expozice, ani zohledňováno v interním ratingu protistrany. Z posouzení podle odstavce 5 je patrné, že expozice bude řádně a včas splacena, aniž by došlo k uspokojení se ze zajištění. 7. Povinná osoba má takový systém měření a sledování úvěrového rizika, který je přiměřený povaze, rozsahu a složitosti činností, podchytí všechny významné zdroje úvěrového rizika a umožňuje vyhodnotit dopad na výnosy a náklady a na hodnotu aktiv, dluhů a podrozvahových položek tak, aby poskytl nezkreslený obraz o míře podstupovaného rizika. 8. Povinná osoba zajistí, že její systém měření a sledování úvěrového rizika umožňuje zejména a) včasně, přesně a úplně zaznamenat všechny obchody tak, aby bylo možno podchytit veškeré s nimi spojené podstupované úvěrové riziko, b) podchytit a vyhodnotit všechny významné zdroje úvěrového rizika, c) stanovit způsob sledování expozic vůči ekonomicky spjatým skupinám a d) měřit úvěrové riziko souhrnně za všechny obchodní jednotky a porovnávat míru podstupovaného rizika se schválenými vnitřními limity ve vhodné časové periodě s ohledem na velikost a povahu podstupovaného rizika a regulatorní limity. 9. Povinná osoba zajistí, že její systém měření a sledování úvěrového rizika vyplývajícího ze sjednaných obchodů dále zajistí zejména a) sledování finanční a ekonomické situace protistrany s ohledem na typ obchodů sjednaných s touto protistranou, b) sledování plnění podmínek smlouvy protistranou, c) sledování ocenění hodnoty zajištění, d) sledování aktuálních problémů, které bezodkladně vyžadují nápravná opatření, a e) sledování přiměřenosti výše opravných položek a rezerv. 10. Povinná osoba dále zajistí, že a) příslušní pracovníci, včetně osob ve vrcholném vedení a příslušných výborech, pokud jsou zřízeny, rozumí předpokladům, ze kterých systém měření a sledování úvěrového rizika vychází, a b) předpoklady, ze kterých systém vychází, jsou dostatečně zdokumentovány. 11. Povinná osoba zavede a udržuje soustavu limitů pro řízení úvěrového rizika a postupy pro jejich využívání a dodržování zajišťující, aby nebyla překročena míra úvěrového rizika akceptovaná řídicím orgánem, případně výkonným výborem, na který řídicí orgán tuto pravomoc delegoval, nebo stanovená příslušným orgánem dohledu. Za tímto účelem zejména a) zajistí, že soustava limitů a postupy používané pro měření a sledování úvěrového rizika jsou ucelené a propojené a soustava limitů bere v úvahu ostatní rizika, kterým je nebo může být vystavena, zejména riziko tržní a likvidity, b) zajistí přiměřenost soustavy limitů vzhledem ke své velikosti, organizačnímu uspořádání, povaze, rozsahu a složitosti činností, kapitálu a kapitálovým požadavkům. V závislosti na těchto faktorech stanoví dílčí limity, například pro jednotlivé protistrany, jednotlivé státy, zeměpisné oblasti nebo pro jednotlivé činnosti; c) zajistí, že dílčí limity úvěrového rizika jsou využívány tak, aby nebyla překročena celková akceptovaná míra úvěrového rizika a d) při stanovování limitů zohlední pozice vyplývající z celkové struktury aktiv, dluhů a podrozvahových položek. Příloha č. 4 k vyhlášce č. 23/2014 Sb. 1. Povinná osoba má takový systém měření a sledování tržního rizika, který je přiměřený povaze, rozsahu a složitosti činností a který podchytí všechny významné zdroje tržního rizika a umožňuje vyhodnotit dopad změn v tržních sazbách a kurzech na výnosy a náklady a na hodnotu aktiv, dluhů a podrozvahových položek tak, aby poskytl nezkreslený obraz o míře podstupovaného rizika. 2. Povinná osoba zajistí, že její systém měření a sledování tržního rizika umožňuje zejména a) včasně, přesně a úplně zaznamenat všechny transakce tak, aby bylo možno podchytit veškeré s nimi spojené podstupované tržní riziko, b) správně tyto transakce ocenit. Pro tyto účely je nezbytné používat oceňování prováděné nezávisle na obchodních činnostech (útvarech). Povinná osoba má stanoveny postupy pro oceňování včetně 1. detailní identifikace zdrojů dat pro přecenění a 2. způsobu stanovení tržní ceny; c) podchytit všechny významné zdroje tržního rizika ze všech transakcí a vyhodnotit vliv změn v tržních sazbách a kurzech způsobem přiměřeným k povaze, rozsahu a složitosti transakcí, d) stanovit způsob agregace jednotlivých pozic tak, aby při agregaci nedošlo k výraznějšímu zkreslení podstupovaného rizika, včetně zkreslení nevhodným stanovením počtu nebo délky časových pásem při gap (diferenční) analýze, a aby všechny významné pozice a peněžní toky citlivé na tržní riziko byly uceleně a včas systémem podchyceny, e) měřit tržní riziko souhrnně za všechny obchodní jednotky a porovnávat míru podstupovaného rizika se schválenými limity ve vhodné časové periodě i s ohledem na velikost a povahu podstupovaného rizika a regulatorní limity a f) měřit úrokové riziko v každé měně, ve které má povinná osoba úrokově citlivé pozice, samostatně. Pokud je úrokové riziko měřeno ve dvou či více měnách společně, je nutné tento postup odůvodnit významnou korelací měn, tím, že povinná osoba má v těchto měnách zanedbatelnou činnost nebo jinou skutečností, a jednoznačně stanovit podmínky, za kterých je takovýto postup možný. 3. Povinná osoba dále zajistí, že a) příslušní pracovníci, včetně příslušných osob ve vrcholném vedení a členů příslušných výborů, pokud jsou zřízeny, rozumí předpokladům, ze kterých systém měření a sledování tržního rizika vychází, a b) předpoklady, ze kterých systém vychází, jsou dostatečně zdokumentovány. 4. Povinná osoba zavede a udržuje soustavu limitů pro řízení tržního rizika a postupy pro jejich využívání a dodržování zajišťující, aby nebyla překročena míra tržního rizika akceptovaná řídicím orgánem nebo stanovená příslušným orgánem dohledu. Za tímto účelem povinná osoba zejména a) zajistí, že soustava limitů a postupy používané pro měření sledování tržního rizika jsou ucelené a propojené a soustava limitů bere v úvahu ostatní rizika, kterým povinná osoba je nebo může být vystavena, zejména riziko úvěrové a likvidity, b) zajistí přiměřenost soustavy limitů vzhledem ke své velikosti a způsobu řízení, povaze, rozsahu a složitosti činností a kapitálu a kapitálovým požadavkům. V závislosti na těchto faktorech stanoví dílčí limity, například pro jednotlivé obchodní jednotky, portfolia nebo specifické nástroje; c) zajistí, že dílčí limity tržního rizika jsou využívány tak, aby nebyla překročena celková akceptovaná míra tržního rizika, d) při stanovování limitů zohlední jak pozice vyplývající z denního obchodování, tak pozice vyplývající z celkové struktury aktiv, dluhů a podrozvahových položek, a e) limity konstruuje tak, aby omezily dopad potenciálních změn v tržních rizikových faktorech na výnosy i na hodnotu aktiv, dluhů a podrozvahových položek, s tím, že bere do úvahy rychlost, s jakou je schopna své pozice uzavřít. 5. Povinná osoba provádí stresové testování pro posouzení dopadů mimořádně nepříznivých tržních podmínek. Povinná osoba bere tyto výsledky do úvahy při stanovování a ověřování spolehlivosti postupů a limitů pro řízení tržního rizika tak, aby ztráty, které utrpí v důsledku nepříznivých prudkých změn v tržních podmínkách, nezpůsobily její platební neschopnost či nesnížily její kapitálové poměry pod stanovenou úroveň. 6. Povinná osoba zajistí, že stresové testování je prováděno na základě stresových scénářů. Při tvorbě stresových scénářů povinná osoba zohledňuje svůj rizikový profil v oblasti tržního rizika, zejména velikost a strukturu obchodního portfolia a faktory, vůči jejichž změně je nebo by mohla být nejzranitelnější. 7. Povinná osoba zajistí a) pravidelné provádění stresového testování, s přihlédnutím k velikosti, struktuře a povaze obchodního portfolia, b) pravidelné prověřování platnosti předpokladů stresových scénářů s ohledem na měnící se podmínky na trhu nebo uvnitř povinné osoby. Změny předpokladů jsou podnětem pro úpravu scénářů a následné provedení stresových testů; c) předkládání výsledků stresových testů osobám ve vrcholném vedení, do jejichž působnosti náleží řízení rizik. Příloha č. 5 k vyhlášce č. 23/2014 Sb. 1. Pro účely řízení rizika likvidity má povinná osoba přiměřené postupy měření a sledování likviditní pozice tak, aby bylo možné určit kroky povinné osoby potřebné k řízení rizika likvidity. 2. Povinná osoba zajistí, že postupy měření a sledování likviditní pozice umožňují zejména: a) měření a porovnání přítoku a odtoku peněžních prostředků, b) sledování očekávaných čistých peněžních toků na denní bázi pro období nejméně 5 pracovních dnů dopředu, sestavení kalendáře splatností a propočtu likviditní pozice s přihlédnutím ke smluvním splatnostem. Pokud povinná osoba zařazuje aktiva do pásem s kratší splatností než by odpovídalo skutečným splatnostem těchto aktiv, stanoví k těmto aktivům systém srážek, které budou odrážet tržní riziko související s rychlým odprodejem jednotlivých aktiv. Pokud povinná osoba zařazuje závazky do pásem s delší splatností než by odpovídalo skutečným splatnostem těchto dluhů, je schopna prokázat oprávněnost takovýchto přesunů. 3. Povinná osoba dále zajistí, že a) příslušní pracovníci, včetně příslušných osob ve vrcholném vedení a členů příslušných výborů, pokud jsou zřízeny, rozumí předpokladům, ze kterých systém měření a sledování rizika likvidity vychází, a b) předpoklady, ze kterých systém vychází, jsou dostatečně zdokumentovány. 4. Pro účely řízení rizika likvidity v jednotlivých měnách má povinná osoba postupy umožňující měření, sledování a kontrolu likvidity povinné osoby v každé z hlavních měn, se kterými pracuje. 5. Pokud povinná osoba financuje aktiva držená v jedné měně závazky drženými v jiné měně, analyzuje tržní podmínky, které mohou ovlivnit její přístup na devizový trh, možné podmínky směny jedné měny za jinou při různých situacích a další podmínky, které mohou ovlivnit její přístup ke zdrojům v požadované měně. 6. V závislosti na objemu činností v jednotlivých měnách povinná osoba stanoví limity pro řízení rizika likvidity, a to jak souhrnně za všechny měny, tak i jednotlivě pro každou hlavní měnu, se kterou pracuje. 7. Při stanovování limitů povinná osoba zohlední také dopad možných nestandardních podmínek nebo mimořádných krizových okolností. 8. Povinná osoba dostatečně stabilizuje a diverzifikuje své finanční zdroje. Za tímto účelem zejména a) vytvoří a udržuje pravidelné kontakty s významnými věřiteli, s korespondenčními bankami a dalšími významnými obchodními partnery a klienty, b) prověřuje míru spolehlivosti jednotlivých finančních zdrojů, c) sleduje různé možnosti financování svých aktiv a vývoj těchto možností a d) sleduje a udržuje možnost přístupu na trh za účelem prodeje svých aktiv. 9. Povinná osoba stanoví pro jednotlivé scénáře předpoklady vývoje objemu a struktury aktiv, dluhů a podrozvahových položek a dalších důležitých faktorů pro scénáře řízení rizika likvidity, které zejména zahrnují a) odhad 1. objemu splatných aktiv, která hodlá a je schopna obnovit, 2. předpokládaného nárůstu objemově nejvýznamnějších aktiv a 3. kategorizace jednotlivých aktiv z hlediska jejich likvidnosti, b) odhad 1. objemu dluhů, včetně vymezení obvyklé úrovně obnovení splatných dluhů a obvyklého růstu nových vkladů a 2. průměrné splatnosti vkladů a obdobných nástrojů na viděnou založený na historické zkušenosti, c) prověření odlivu finančních toků prostřednictvím úvěrových příslibů, záruk a akreditivů, pevných termínových kontraktů a opcí a d) další důležité faktory, které je třeba zohlednit při sestavování a ověřování scénáře řízení rizika likvidity, zejména likviditní potřeby spojené s některými činnostmi povinné osoby a aktivitami jejích klientů a dalších osob včetně vypořádání obchodů klientů a dalších osob nebo korespondenční bankovní služby. 10. Povinná osoba zajistí prověřování správnosti předpokladů scénářů řízení rizika likvidity s ohledem na měnící se vnitřní nebo vnější podmínky; prověřování správnosti předpokladů alternativních stresových scénářů provádí povinná osoba alespoň jednou ročně. Změny předpokladů jsou podnětem pro úpravu scénářů. 11. Povinná osoba zajistí, že pohotovostní plán pro případ krize likvidity obsahuje zejména a) zajištění přesných a včasných informačních toků v rámci povinné osoby, včetně vymezení rozhodných událostí, b) jednoznačné vymezení působností a pravomocí v rámci povinné osoby, c) možné způsoby ovlivnění vývoje aktiv, dluhů a podrozvahových položek, d) způsob komunikace s významnými věřiteli, obchodními partnery, dalšími osobami, klienty a veřejností při realizaci této strategie a e) specifikaci dalších záložních finančních zdrojů nad rámec likviditní rezervy. 12. Povinná osoba zajistí ve vhodné časové periodicitě testování proveditelnosti a funkčnosti pohotovostního plánu. 13. Povinná osoba zajistí aktualizaci pohotovostního plánu s ohledem na měnící se vnitřní nebo vnější podmínky a výsledky testování plánu. Příloha č. 6 k vyhlášce č. 23/2014 Sb. 1. Povinná osoba zavede a udržuje systém řízení operačního rizika, který je přiměřený povaze, rozsahu a složitosti činností a obsahuje alespoň a) vymezení operačního rizika, b) zásady a cíle řízení operačního rizika, c) postupy řízení operačního rizika, d) působnosti, pravomoci a informační toky při řízení operačního rizika na všech řídicích a organizačních úrovních, e) informace o významných událostech a ztrátách vzniklých v důsledku operačního rizika, f) míru akceptovaného operačního rizika a g) způsob případného vyvedení operačního rizika mimo povinnou osobu. 2. Povinná osoba pravidelně vyhodnocuje a případně upravuje systém řízení operačního rizika. 3. Povinná osoba identifikuje zdroje operačního rizika. 4. Povinná osoba zajistí, že vyhodnocování a sledování operačního rizika je začleněno do jejích běžných procesů. 5. Povinná osoba pravidelně vyhodnocuje a sleduje možné dopady a potenciální ztráty vyplývající z událostí operačního rizika. 6. Povinná osoba zajistí pravidelné informování příslušných pracovníků o podstupovaném operačním riziku souvisejícím s jejich činností (ohlašování operačního rizika). 7. Povinná osoba upravuje míru podstupovaného operačního rizika uplatňováním vhodných postupů omezování výskytu či nepříznivých dopadů výskytu událostí operačního rizika. 8. Povinná osoba posoudí jak rizika ovlivnitelná, tak rizika stojící mimo její přímý vliv, a rozhodne, zda rizika přijme, omezí jejich případné dopady, či zda omezí nebo zcela ukončí příslušnou činnost. 9. Pro omezování operačního rizika povinná osoba zavede a udržuje také postupy pro a) řízení přístupů pracovníků, klientů a dalších oprávněných osob k hmotnému a nehmotnému majetku povinné osoby, b) řešení odezvy na případný výskyt bezpečnostních incidentů a c) řešení operačního rizika, včetně rizika modelů, rizika právního a compliance, při zajišťování dodávek zboží a služeb a při outsourcingu, pokud je povinnou osobou uplatňován či zvažován, ledaže je riziko outsourcingu interně definováno a řízeno jako samostatná riziková kategorie. 10. Povinná osoba zavede a udržuje pohotovostní plány pro případy neplánovaného přerušení nebo omezení svých činností, selhání pro povinnou osobu významných třetích osob nebo selhání vnější infrastruktury. 11. Povinná osoba stanoví v pohotovostních plánech alespoň tato opatření: a) činnost následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod, b) činnost následující po vzniku krizové situace zaměřená na likvidaci následků krizové situace, c) způsob zálohování, pokud je to relevantní, d) způsob zajištění nouzového provozu s uvedením minimálních funkcí, které zůstanou zachovány, a e) způsob obnovy činností včetně činností zajišťovaných třetími osobami. 12. Povinná osoba zajistí, že příslušní pracovníci jsou s pohotovostními plány seznámeni a postupují podle nich. 13. Povinná osoba zajistí, že pohotovostní plány jsou pravidelně testovány, vyhodnocovány a případně aktualizovány. 14. Pro účely tohoto bodu a bodů 15 až 21 se rozumí a) informačním systémem dílčí funkční celek zabezpečující získávání, uchovávání, přenášení, zpracovávání a poskytování informací pomocí informačních technologií, b) informační technologií technické a programové vybavení. Technickým vybavením se rozumí hmotné technické prostředky výpočetní a komunikační techniky. Programovým vybavením se rozumí programy, procedury a pravidla nutné k tomu, aby příslušné technické vybavení plnilo požadovanou funkci; c) aktivem informačního systému informační technologie, informace uložené v informačním systému a dokumentace informačního systému, d) autentizací uživatele proces ověření jeho totožnosti, e) autorizací uživatele proces ověření jeho přístupových práv na základě autentizace, f) důvěrností informace zajištění, že informace je přístupná pouze uživateli, který je k přístupu oprávněn, g) dostupností informace zajištění, že informace je pro oprávněného uživatele přístupná ve stanovené době, h) integritou informace zajištění správnosti a úplnosti informace a metody jejího zpracování. 15. Povinná osoba zajistí, že bezpečnostní zásady informačních systémů obsahují a) cíle bezpečnosti informačních systémů, b) hlavní zásady a postupy pro zajištění důvěrnosti, integrity a dostupnosti informací a c) působnost a pravomoci v oblasti ochrany aktiv a plnění bezpečnostních zásad informačních systémů. 16. Povinná osoba zajistí dodržování bezpečnostních zásad v jednotlivých informačních systémech. 17. Povinná osoba provede analýzu rizik spjatých s informačními systémy. V ní definuje aktiva informačních systémů, hrozby, které na ně působí, zranitelná místa informačních systémů, pravděpodobnost realizace hrozeb a odhad jejich následků a protiopatření. Povinná osoba pravidelně provádí aktualizaci analýzy rizik spjatých s informačními systémy. 18. V oblasti bezpečnosti přístupu k informacím povinná osoba zajistí a) přidělení přístupových práv uživatelům v informačních systémech, b) jednoznačnou autentizaci uživatele, která předchází jeho činnostem v informačních systémech, c) přístup k informacím v informačních systémech pouze uživateli, který byl pro tento přístup autorizován, d) ochranu důvěrnosti a integrity autentizační informace, e) zaznamenávání událostí, které ohrozily nebo narušily bezpečnost informačních systémů, do bezpečnostních auditních záznamů, ochranu těchto záznamů před neautorizovaným přístupem, zejména úpravou (modifikací) nebo zničením, a jejich uchovávání a f) vyhodnocování bezpečnostních auditních záznamů pracovníkem, který nemá možnost upravovat (modifikovat) v informačních systémech informace související s činností, o které je bezpečnostní auditní záznam pořízen. 19. V oblasti bezpečnosti komunikačních sítí povinná osoba zajistí a) připojení sítě, která je pod kontrolou povinné osoby, k vnější komunikační síti, která není pod kontrolou povinné osoby, tak, aby byla minimalizována možnost průniku do jejích informačních systémů, b) že při přenosu důvěrných informací vnější komunikační sítí je zajištěna 1. přiměřená důvěrnost a integrita informací a 2. spolehlivá autentizace komunikujících stran, včetně ochrany autentizačních informací. 20. Povinná osoba zavede a udržuje opatření pro fyzickou ochranu aktiv informačních systémů. 21. Při provozování informačních systémů povinná osoba zejména zajistí a) že změnu v provozovaných informačních systémech je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačních systémů, b) že v provozovaných informačních systémech je používáno pouze otestované programové vybavení, u kterého výsledky testů prokázaly, že bezpečnostní funkce jsou v souladu se schválenými bezpečnostními zásadami informačních systémů. Výsledky testů jsou zdokumentovány; c) že servisní činnost v provozovaných informačních systémech je organizována tak, aby bylo minimalizováno ohrožení jejich bezpečnosti, d) zálohování informací a programového vybavení provozovaných informačních systémů významných pro její fungování. Zálohované informace a programové vybavení jsou uloženy tak, aby byly zabezpečeny proti poškození, zničení a krádeži; a e) pravidelné prověřování a vyhodnocování bezpečnosti informačních systémů. Příloha č. 7 k vyhlášce č. 23/2014 Sb. 1. Řízením rizika outsourcingu se rozumí a) vymezení celkového přístupu povinné osoby k riziku outsourcingu včetně jednoznačného interního vymezení tohoto rizika, a to v rámci strategie řízení rizik povinné osoby, a b) zavedení a udržování konkrétních postupů řízení rizika outsourcingu včetně postupů rozpoznávání, vyhodnocování, měření, sledování, ohlašování a omezování výskytu nebo dopadů výskytu tohoto rizika. 2. Povinná osoba má takový systém řízení rizika outsourcingu, který je přiměřený povaze, rozsahu a složitosti činností, které outsourcuje nebo hodlá outsourcovat, a který podchytí a zohlední všechny významné zdroje rizika outsourcingu a omezí jejich možný nepříznivý dopad na výnosy a náklady povinné osoby a její celkový rizikový profil. Za tímto účelem zavede a udržuje tyto zásady a postupy. 3. Povinná osoba zavede a udržuje strategii pro využívání outsourcingu včetně stanovení přiměřeného přístupu k outsourcingu nevýznamných činností. Přitom zohlední a zajistí, že a) využívání outsourcingu nebude představovat podstatnou změnu ve skutečnostech, na jejichž základě bylo povinné osobě uděleno povolení k výkonu činnosti, zejména neadekvátní změnu ve věcných, organizačních nebo jiných předpokladech pro výkon činnosti, a b) k outsourcingu se nepřistoupí, pokud by byl výsledný stav v rozporu s povinnostmi povinné osoby stanovenými právními předpisy. 4. Zásady a postupy podporující omezování rizika outsourcingu povinnou osobou zahrnují zejména a) zajištění ucelenosti a přiměřenosti předpokladů řádné správy a řízení, řízení rizik a vnitřní kontroly povinné osoby při využívání outsourcingu, i v případě řetězení outsourcingu (bod 8), b) zajištění systematického řízení rizika outsourcingu, c) zachování adekvátní úrovně kvality řídicího a kontrolního systému povinné osoby i při využívání outsourcingu, d) zachování odpovědnosti orgánů a osob, které vedou podnikání povinné osoby, i při využívání outsourcingu, e) zachování odpovědnosti povinné osoby i při využívání outsourcingu, f) zachování nepřetržitého souladu s podmínkami povolení k výkonu činnosti povinné osoby i při využívání outsourcingu a g) zachování možnosti vykonávat kontrolu a nezávislý dohled využívání outsourcingu. 5. Povinná osoba zajistí dodržování právních povinností, zejména pravidel obezřetného podnikání, i při využívání outsourcingu. 6. Porušením podmínky podle bodu 5 je, pokud způsob vymezení outsourcingu nebo způsob jeho využívání povinnou osobou vede nebo by mohl vést k obcházení účelu obezřetnostní regulace outsourcingu. K tomu povinná osoba zejména zajistí, že její interní vymezení outsourcingu je jednoznačné a obezřetné a v případě pochybností povinné osoby, zda jde o outsourcing, rozhodne konzervativně; v případě obchodních vztahů povinné osoby s jinými osobami, které nejsou outsourcingem, zajistí povinná osoba dodržování právních povinností, zejména pravidel obezřetného podnikání jiným vhodným způsobem s tím, že pro daný účel jsou pravidla pro outsourcing účelně využitelná. 7. Porušením podmínky podle bodu 5 není, pokud povinná osoba nepovažuje za outsourcing dodávky standardizovaných produktů a vybavení povinné osobě včetně standardně nabízených informací o trhu a dodávky zboží, zařízení a služeb, s nimiž není spojeno poskytnutí informací povinnou osobou, které se jí týkají, které spravuje nebo jí náleží, dodavateli, ledaže jde o informace běžně dostupné, a je-li povinnou osobou jiným vhodným způsobem spolehlivě zabezpečena účelnost a efektivnost daných dodávek. 8. Řetězení outsourcingu, nebo-li využívání outsourcingu jeho poskytovatelem pro zajišťování činností pro povinnou osobu, podléhá obdobným zásadám jako využívání outsourcingu povinnou osobou a je možné pouze tehdy, pokud a) není v rozporu s požadavky na poskytovatele outsourcingu povinné osobě a b) každá osoba takto zapojená do činností pro poskytovatele outsourcingu se zaváže dodržovat v plném rozsahu ujednání mezi povinnou osobou a poskytovatelem outsourcingu. Za tímto účelem jsou možnost a podmínky řetězení outsourcingu jednoznačně upraveny již v rámci ujednání mezi povinnou osobou a poskytovatelem outsourcingu. 9. Řízení rizika outsourcingu je součástí řízení operačního rizika, ledaže je riziko outsourcingu povinnou osobou interně definováno a řízeno jako samostatná riziková kategorie. 10. Řízení rizika outsourcingu zahrnuje také riziko koncentrace při outsourcingu, zejména riziko koncentrace z hlediska míry využívání určitého poskytovatele outsourcingu, a koncentraci rizik outsourcingu, včetně vystavení se takovému riziku v rámci konsolidačního celku. 11. Povinná osoba zajistí při využívání outsourcingu úroveň kvality řídicího a kontrolního systému, která odpovídá situaci, kdy by povinná osoba činnost vykonávala sama. 12. Pokud právní předpis stanoví požadavky na odbornou způsobilost, zkušenost nebo důvěryhodnost osob pro výkon určité činnosti povinné osoby, povinná osoba zajistí, že jiná fyzická nebo právnická osoba, která fakticky tuto činnost vykonává, splňuje dané požadavky i v případě využívání outsourcingu. 13. Pokud právní předpis stanoví požadavky na odměňování za výkon určité činnosti povinné osoby, zohledňuje povinná osoba při využívání outsourcingu tyto požadavky vhodným způsobem v přístupu k odměňování za danou činnost, vymezeném ujednáním mezi povinnou osobou a poskytovatelem outsourcingu (body 37 a 38), a to včetně přístupu k odměňování dalších jiných osob v případě řetězení outsourcingu (bod 8). 14. Povinná osoba si ponechá dostatečné odborné kapacity a oprávnění zajišťující jí možnost kontroly nad outsourcovanou činností a řízení rizik outsourcingu v dostatečném rozsahu a odpovídající kvalitě. 15. Povinná osoba zajistí, že působnosti jejího řídicího a kontrolního orgánu a jejich členů nejsou narušeny v důsledku neadekvátního rozsahu nebo způsobu využití outsourcingu. 16. Je zejména nepřípustné, aby v rámci outsourcingu došlo k přenosu základních řídicích a kontrolních působností řídicího a kontrolního orgánu povinné osoby a jejich členů na poskytovatele outsourcingu, zejména odpovědnosti za řádnou správu, řízení a kontrolu celkového výkonu činnosti povinné osoby včetně dodržování pravidel obezřetného podnikání. 17. Využíváním outsourcingu se povinná osoba nezbavuje svých povinností a odpovědnosti vůči příslušným orgánům dohledu a jiným osobám za činnosti, které takto vykonává, zejména povinností a) postupovat při výkonu své činnosti včetně jednání s klienty způsobem neohrožujícím řádné, čestné a profesionální plnění povinností a nepoškozovat zájmy klientů a b) při ochraně osobních údajů12) a dalších informací podléhajících ochraně, zejména obchodnímu tajemství, bankovnímu tajemství nebo ochraně údajů o obchodech člena se spořitelním a úvěrním družstvem13). 18. Odpovědnost povinné osoby za dodržování požadavků na výkon činnosti je při využívání outsourcingu zachována, i když jiná skutečnost, zejména smlouva s klientem, smlouva s poskytovatelem outsourcingu, nebo právo státu sídla poskytovatele outsourcingu stanoví jinak. 19. Odpovědnost povinné osoby za škody způsobené klientovi je zachována i při využívání outsourcingu a povinná osoba učiní veškerá vhodná opatření k předcházení nedostatků nebo škod při využívání outsourcingu v důsledku porušení jejích povinností, zejména aby nedošlo k neoprávněnému zveřejnění nebo využití jakýchkoli informací týkajících se klienta a podléhajících ochraně, které jsou dostupné poskytovateli outsourcingu. 20. Odpovědnost poskytovatele outsourcingu vůči povinné osobě není ustanoveními bodů 17 až 19 dotčena. 21. Povinná osoba splňuje soustavně i v případě využívání outsourcingu všechny podstatné podmínky, jimiž je podmíněno udělení povolení k výkonu činnosti povinné osoby. 22. Povinná osoba nemůže zejména využívat outsourcing takovým způsobem, že by byla většina činností zajišťována poskytovateli outsourcingu a povinná osoba by se stala prázdnou schránkou. 23. Využívání outsourcingu nesmí omezit schopnost povinné osoby a orgánů a pracovníků v řídicích a kontrolních funkcích řídit a kontrolovat činnost povinné osoby jako celku i při využívání outsourcingu. 24. Povinná osoba zajistí, že využívání outsourcingu nepředstavuje snížení možnosti České národní banky vykonávat nad ní dohled včetně zajištění součinnosti poskytovatele outsourcingu s Českou národní bankou při výkonu dohledu, včetně možnosti případné kontroly a přezkumu skutečností, dat a dalších informací podléhajících dohledu u poskytovatele outsourcingu, i pokud poskytovatel outsourcingu sídlí v zahraničí. 25. Povinná osoba zavede a udržuje ucelený systém řízení a kontroly přípravy a využívání outsourcingu v souladu se schválenou strategií pro využívání outsourcingu. Za tímto účelem zavede a udržuje zásady a postupy pro řízení, sledování a posuzování přípravy a využívání outsourcingu jako celku a jeho jednotlivých případů, které zejména zabezpečí řádné a obezřetné využívání outsourcingu a soulad se schválenou strategií povinné osoby. 26. Před zahájením využívání outsourcingu povinná osoba provede dostatečnou analýzu rizik spojených s daným záměrem, včetně posouzení možných nepříznivých dopadů na řídicí a kontrolní činnosti a funkce povinné osoby, a stanoví konkrétní metody a postupy, jakými budou takto rozpoznaná rizika řízena, které následně zavede a udržuje. 27. Povinná osoba posuzuje rizika outsourcingu rovněž s přihlédnutím k možným střetům zájmů včetně možného střetu zájmů, pokud existuje mezi povinnou osobou a poskytovatelem outsourcingu ovládání. 28. V rámci systému vnitřní kontroly povinná osoba zajistí, že je průběžně prováděno sledování a hodnocení jednotlivých případů outsourcingu, a to zejména z hlediska kontroly souladu s právními předpisy a souladu se sjednanou mírou a kvalitou takto vykonávaných činností a rovněž z hlediska řízení rizik a bezpečnosti a spolehlivosti přenosu, zpracování a zabezpečení informací, zejména dat podléhajících ochraně. 29. Předmětem posuzování využívání outsourcingu, které pravidelně provádí povinná osoba, je zejména zda a) je činnost trvale vykonávána v souladu s příslušnými právními předpisy a smlouvou, b) je poskytovatel outsourcingu nadále důvěryhodný a právně, finančně, odborně a technicky způsobilý k zajišťování dané činnosti, c) zabezpečení informací podléhajících ochraně je zajištěno trvale a dostatečně a d) poskytovatel outsourcingu pravidelně prověřuje funkčnost a dostatečnost svých systémů vnitřní kontroly a řízení rizik včetně řízení rizika výskytu mimořádných událostí, které by mohly mít významný negativní vliv na řádný výkon dané činnosti. 30. Využívání outsourcingu povinná osoba posuzuje prostřednictvím osoby či osob s adekvátními znalostmi a zkušenostmi v dané oblasti či oblastech a v dostatečném rozsahu. 31. Povinná osoba před zahájením využívání outsourcingu stanoví, jak často a kým bude kontrolován a posuzován, včetně případné kontroly kvality dané činnosti a účinnosti vnitřní kontroly a řízení rizik přímo u poskytovatele outsourcingu. 32. V případě zjištění významného nedostatku při outsourcingu zajistí povinná osoba bez zbytečného odkladu nápravu, v případě jiných nedostatků nápravu zajistí v přiměřené době. 33. Povinná osoba, která hodlá využívat outsourcing, provede před uzavřením smlouvy podrobné posouzení potenciálního poskytovatele outsourcingu. 34. Poskytovatel outsourcingu splňuje zejména tato kritéria: a) má podnikatelské povolení nebo jiné oprávnění k výkonu dané činnosti, b) má předpoklady pro řádné provádění příslušné činnosti, zejména důvěryhodnost, odbornou způsobilost a zkušenost pro zajišťování dané činnosti a je finančně stabilní a c) zavede a udržuje alespoň takové vnitřní řídicí a kontrolní zásady a postupy, které zajišťují v porovnání s obdobnými pravidly povinné osoby alespoň srovnatelnou úroveň kvality a spolehlivosti. 35. Poskytovatel outsourcingu splňuje kritéria podle bodu 34 po celou dobu, kdy se podílí na výkonu činností povinné osoby. Povinná osoba plnění těchto a dalších stanovených podmínek, včetně podmínek pro případné využívání řetězení outsourcingu, kontroluje a je schopna ve lhůtě přiměřené povaze, rozsahu a složitosti dané činnosti reagovat na situace, které by ohrožovaly nebo vylučovaly plnění stanovených podmínek poskytovatelem outsourcingu. 36. Nejpozději před zahájením využívání outsourcingu určité činnosti povinná osoba zajistí, že poskytovatel outsourcingu zavede a udržuje pro činnosti, které souvisí s činnostmi pro povinnou osobu, alespoň takový systém řízení rizik a systém vnitřní kontroly, jaké by použila povinná osoba v souladu se svými zásadami pro řídicí a kontrolní systém, pokud by činnost zajišťovala sama. 37. Povinná osoba zajistí, že ve smlouvě s poskytovatelem outsourcingu je jednoznačně a určitě stanoven dohodnutý způsob a výsledky uplatňování outsourcingu, zejména a) specifikace činnosti vykonávané prostřednictvím outsourcingu, zejména předmětu a rozsahu takto vykonávané činnosti, b) jednoznačné vymezení rolí, působností a vztahů mezi povinnou osobou a poskytovatelem outsourcingu, c) podrobná úprava požadované kvantitativní a kvalitativní úrovně činnosti vykonávané prostřednictvím outsourcingu a podmínek, na základě kterých bude poskytovatel outsourcingu tuto činnost vykonávat, včetně podmínek cenových, d) podmínky zabezpečení informací podléhajících ochraně, zejména pokud poskytovatel outsourcingu přichází do styku s důvěrnými nebo jinými chráněnými informacemi o povinné osobě nebo jejích klientech, včetně jednoznačné povinnosti poskytovatele outsourcingu nakládat náležitě s informacemi podléhajícími ochraně, e) stanovení povinnosti poskytovatele outsourcingu poskytovat povinné osobě veškerá relevantní data a další informace související s činnostmi vykonávanými na základě smlouvy a bezodkladně informovat povinnou osobu o hrozícím nebo vzniklém ohrožení řádného výkonu dané činnosti, f) úprava způsobu sledování a kontroly plnění smluvních ujednání, včetně zajištění možnosti povinné osoby vykonávat tyto monitorovací a kontrolní činnosti v sídle poskytovatele outsourcingu anebo dalších místech výkonu předmětných činností, a to i pokud jsou v zahraničí, g) nápravná opatření a vhodné sankce při porušení či nesplnění smluvních podmínek nebo jiném selhání poskytovatele, h) postup při ukončení smlouvy včetně práva povinné osoby odstoupit od smlouvy s okamžitou účinností a včetně smluvního zajištění možnosti převést výkon činnosti na jinou osobu (jiného poskytovatele outsourcingu) nebo zpět na povinnou osobu a včetně situace, kdy výpověď smlouvy bude povinnou osobou provedena na základě rozhodnutí České národní banky o uložení opatření k nápravě, i) specifikace podmínek pro možnost řetězení outsourcingu, j) úprava vztahů vůči dohledu České národní banky. Smlouva jednoznačně vymezuje povinnost poskytovatele outsourcingu zpřístupnit a poskytovat veškeré informace o daném outsourcingu a zajišťuje možnost České národní banky vykonávat dohled nad povinnou osobou, i pokud je sídlo poskytovatele outsourcingu nebo další místo nebo místa výkonu předmětných činností v zahraničí; a k) volba práva v případě, že je sídlo poskytovatele outsourcingu anebo další místo nebo místa výkonu předmětných činností v jiném než členském státě, tak aby nebyla omezena proveditelnost nebo vymahatelnost ustanovení smlouvy mezi povinnou osobou a poskytovatelem outsourcingu. 38. Za účelem zajištění řádných administrativních postupů a hospodaření s péčí řádného hospodáře uplatňuje povinná osoba zásadu dosahovat využíváním outsourcingu vyšší efektivnosti výkonu dané činnosti v porovnání se situací, pokud by činnost vykonávala sama, zejména pravidlo přiměřenosti výše ceny, za kterou poskytovatel outsourcingu výkon dané činnosti povinné osobě poskytuje. Úroveň výkonu poskytovatele outsourcingu povinná osoba zpravidla posuzuje na základě kombinace kvantitativních a kvalitativních ukazatelů a charakteristik poskytujících nezkreslený a dostatečný obraz o množství a kvalitě činnosti vykonávané poskytovatelem outsourcingu. Smlouva mezi povinnou osobou a poskytovatelem outsourcingu nesmí být uzavřena za nápadně výhodných nebo nápadně nevýhodných podmínek pro povinnou osobu, zejména nesmí zavazovat povinnou osobu k hospodářsky neodůvodněnému plnění nebo k plnění, jež není úměrné poskytované protihodnotě. 39. Před zahájením využívání outsourcingu povinná osoba stanoví pohotovostní plán. Pohotovostní plán určí jednoznačně postup pro případ, že poskytovatel outsourcingu nebude schopen nebo ochoten řádně vykonávat předmětnou činnost nebo že dojde k jinému nežádoucímu vývoji při využívání outsourcingu. 40. Obsah a míra podrobnosti pohotovostního plánu zohledňují význam a prioritu obnovy a kontinuity činnosti vykonávané prostřednictvím outsourcingu z hlediska celkových priorit povinné osoby při zajišťování obnovy a kontinuity svých činností v případě mimořádné události. 41. Pohotovostní plán zahrnuje způsob odezvy povinné osoby na jednostranné ukončení outsourcingu a případ, kdy je jeho ukončení požadavkem dohledu České národní banky v rámci opatření uložených Českou národní bankou k nápravě nedostatků zjištěných při výkonu dohledu nad dodržováním povinností stanovených právními předpisy povinnou osobou. 42. Povinná osoba připravuje, prověřuje, vyhodnocuje a případně aktualizuje pohotovostní plány pravidelně a zejména v návaznosti na významné změny v provozních a jiných podmínkách relevantních využívání outsourcingu. 43. Povinná osoba zajistí, že a) jsou stanoveny vnitřní postupy pro přípravu, schvalování, testování a aktualizace pohotovostních plánů, b) prověřování pohotovostních plánů jejich testováním je prováděno pravidelně a po jejich významných úpravách, nebo pokud potřeba opětovného testování vyplývá z výsledků testů, c) výsledky testů pohotovostních plánů jsou dokumentovány, d) je prováděna kontrola dodržování postupů pro pohotovostní plánování a kontrola testování těchto plánů a e) jsou přijímána nápravná opatření k odstranění zjištěných nedostatků v oblasti pohotovostního plánování a odstranění je sledováno a vyhodnocováno. 44. Za účelem efektivního omezení finančních nebo jiných ztrát povinné osoby následkem mimořádné události včetně ztráty dat nebo jiných informací významných pro povinnou osobu povinná osoba vyhodnotí a v pohotovostním plánu zohlední možné následky selhání nebo neplnění ze strany konkrétního poskytovatele outsourcingu a proti této možnosti a případným dopadům mimořádné události se adekvátně zajistí také v příslušné smlouvě s poskytovatelem outsourcingu [bod 37, zejména písm. e), g) a h)]. 45. Povinná osoba ve vhodné časové periodě a vždy při významné změně podmínek posuzuje: a) zda jsou schválené vnitřní zásady a postupy povinné osoby pro využívání outsourcingu dodržovány a nadále aktuální a dostatečné, b) zda systém vnitřní kontroly povinné osoby zajišťuje včasné zjištění nedostatků při využívání outsourcingu a přijetí nápravných opatření, c) přístup povinné osoby k využívání outsourcingu, v tom vždy celkovou strategii a hlavní cíle a zásady využívání outsourcingu, d) celkové přínosy a případné významné negativní vlivy nebo jiné nepříznivé skutečnosti vyplývající pro povinnou osobu v souvislosti s využíváním outsourcingu a e) celkovou funkčnost a efektivnost využívání outsourcingu z hlediska povinné osoby. 46. Případná nápravná opatření přijímá povinná osoba bez zbytečného odkladu a následně ověří jejich účinnost. 47. Pokud jde o poskytovatele outsourcingu, který sídlí v zahraničí, zejména v jiném než členském státě, zaměří se povinná osoba také na možná rizika vyplývající z této skutečnosti, zejména na posouzení schopnosti poskytovatele outsourcingu přiměřeně prokázat, a to i České národní bance, že jím uplatňované řízení rizik a vnitřní kontrola jsou v souladu s obezřetnostními požadavky stanovenými povinné osobě. 48. Povinná osoba provede dostatečnou analýzu prostředí v zemi sídla poskytovatele outsourcingu za účelem rozpoznat a následně účinně zamezit možným negativním jevům při plnění nebo vymáhání sjednaných podmínek poskytování outsourcingu poskytovatelem outsourcingu, který sídlí v zahraničí, nebo od daného záměru upustit, pokud by rizika s ním spojená byla povinnou osobou vyhodnocena jako nepřiměřená. 49. Povinná osoba adekvátně přihlédne ke skutečnosti, že využívání jiné osoby, nad níž není vykonáván dohled, jako poskytovatele outsourcingu může být pro povinnou osobu spojeno s dodatečnými nebo specifickými riziky nebo rizikovými faktory a řádně se proti nim zajistí. 50. Povinná osoba může při řízení rizika outsourcingu přiměřeně zohlednit, pokud je nad poskytovatelem outsourcingu vykonáván dohled, zejména pokud poskytovateli outsourcingu vyplývají z právních předpisů určité povinnosti obezřetnostní povahy, zejména požadavky na řízení rizik a požadavky na důvěryhodnost, odbornou způsobilost a zkušenost osob, jejichž prostřednictvím poskytovatel outsourcingu vykonává svou činnost, a pokud se povinná osoba vhodným způsobem ujistí, že poskytovatel outsourcingu postupuje soustavně v souladu s těmito povinnostmi. 51. Pokud je poskytovatelem outsourcingu osoba, s níž je povinná osoba v úzkém propojení, lze uplatnit určité modifikace podmínek využívání outsourcingu včetně sdílení informací a dalších relevantních výstupů a modifikací pohotovostního plánování (bod 39 až 44), ledaže by to mělo významný nepříznivý vliv na účinnost řízení rizika outsourcingu povinnou osobou. 52. Povinná osoba zavede a udržuje kontrolní mechanismy, které zajistí, že úzké propojení neovlivní řádný a obezřetný výkon činnosti povinné osoby. Povinná osoba i při využívání outsourcingu v rámci skupiny účinně řídí rizika. Využíváním outsourcingu v rámci skupiny odpovědnost povinné osoby není dotčena. Příloha č. 8 k vyhlášce č. 23/2014 Sb. 1. Pro výkon vnitřního auditu povinná osoba má nebo získá takové kapacity, které jsou nezbytné pro plnění stanovených požadavků. 2. Osoba vykonávající vnitřní audit (dále jen „vnitřní auditor“) vykonává při plnění svých úkolů nezávislou a objektivní ujišťovací a případně konzultační činnost, která a) se zaměřuje na přidávání hodnoty a zdokonalování vnitřních procesů a b) přináší systematický metodický přístup k hodnocení a zlepšování funkčnosti a efektivnosti řízení rizik, kontrolních procesů a procesů správy a řízení společnosti. 3. Vnitřní auditoři poskytují své výstupy příslušným orgánům, výborům a pracovníkům včas a tyto výstupy jsou aktuální, spolehlivé a ucelené. 4. Při provádění své činnosti mají vnitřní auditoři zajištěn přístup ke všem relevantním osobám, prostorám, zařízením, informacím a dokumentům povinné osoby. 5. Osoba ve vedení funkce vnitřního auditu má možnost zúčastnit se zasedání všech orgánů a výborů povinné osoby. V případech hodných zvláštního zřetele může být toto právo jednotlivě omezeno důvodným rozhodnutím řídicího nebo kontrolního orgánu. 6. Osoba ve vedení funkce vnitřního auditu je podřízena takovému organizačnímu stupni v povinné osobě, který umožní plnění požadavků na výkon vnitřního auditu. 7. Pokud se ve zcela výjimečných případech podílí na poskytování ujištění o činnosti fyzická osoba, která tuto činnost vykonávala nebo na jejímž zavádění se podílela před méně než 12 měsíci, je tato skutečnost uvedena a odůvodněna ve zprávě o provedeném vnitřním auditu a zároveň je zajištěna maximální objektivita této zprávy. 8. Při případném výkonu konzultační činnosti je zajištěno, že není omezena schopnost vnitřního auditora podávat nezávislé a objektivní ujištění o funkčnosti a efektivnosti řídicího a kontrolního systému nebo jinou ujišťovací činnost pro povinnou osobu; při případném výkonu konzultační činnosti vnitřní auditor poskytuje nestranné konzultace v otázkách zavedení a udržování řídicího a kontrolního systému a jeho součástí, zejména v otázkách zavádění a udržování funkčních a efektivních systémů a mechanismů řízení rizik a kontrolních mechanismů a řádných administrativních a účetních postupů včetně spolehlivosti a integrity finančních a dalších informací. 9. Povinná osoba vymezí statut vnitřního auditu, kterým upraví zejména a) působnost a pravomoci útvaru či právnické nebo fyzické osoby vykonávající v povinné osobě nebo pro povinnou osobu vnitřní audit, b) cíl, předmět a rozsah výkonu vnitřního auditu, c) povahu ujišťovacích a případných konzultačních činností vykonávaných vnitřními auditory a výstupů z těchto činností, d) proces plánování vnitřního auditu, e) způsob sdělování výsledků vnitřního auditu včetně návrhů nápravných opatření, f) způsob vypořádání připomínek ohledně závěrů vnitřního auditu a řešení sporů a g) způsob ukládání nápravných opatření na základě zjištění vnitřního auditu. 10. Plánování činnosti a rozvrhování kapacit vnitřních auditorů je založeno na analýze rizik. 11. Analýza rizik hodnotí míru rizik spojených s jednotlivými činnostmi povinné osoby tak, že zohlední pravděpodobnost selhání řídicího a kontrolního systému v jednotlivých oblastech a míru možné ztráty z tohoto selhání vyplývající. Výstup z provedené analýzy rizik předkládá osoba ve vedení funkce vnitřního auditu řídicímu orgánu, případně výboru pro audit, k projednání. Odlišné názory řídicího orgánu nebo výboru pro audit na výstup z analýzy rizik jsou zdokumentovány. 12. Na základě analýzy rizik sestavuje osoba ve vedení funkce vnitřního auditu návrh strategického a periodického plánu vnitřního auditu. Při přípravě plánu vyžaduje a vyhodnocuje podněty řídicího a kontrolního orgánu, případně výboru pro audit, osob ve vrcholném vedení, zohledňuje požadavky příslušných právních předpisů na prověření vnitřním auditem a přihlíží k dalším významným relevantním požadavkům, informacím a skutečnostem, zejména k nově zaváděným činnostem povinné osoby a k obsahu zpráv orgánů dohledu. Zároveň bere v úvahu činnost vnitřního auditu jiných osob, které jsou členem téhož konsolidačního celku, pokud je to relevantní, a auditora. 13. Plány činnosti vnitřního auditu jsou před schválením řídicím orgánem předloženy k projednání kontrolnímu orgánu, případně výboru pro audit. Důvody změn plánů vnitřního auditu jsou zdokumentovány. 14. Strategický plán vnitřního auditu je sestavován na období tří až pěti let. Strategický plán zajišťuje, že činnost vnitřního auditu je efektivně rozvržena na příslušné období (tří až pěti let), jsou zohledněna strategická rozhodnutí řídicího a kontrolního orgánu povinné osoby a rizikovost jednotlivých činností a je určena předpokládaná perioda ověřování. Strategický plán je v návaznosti na provedenou analýzu rizik případně aktualizován. 15. Periodický plán vnitřního auditu je sestavován na období jednoho roku nebo kratší časový úsek. Periodický plán určuje cíl, předmět a termín plánovaných vnitřních auditů. Periodický plán dále rozvrhuje kapacitu na plánované vnitřní audity, mimořádné vnitřní audity, vzdělávání a ostatní činnosti. 16. Osoba ve vedení funkce vnitřního auditu zajistí, že výkon vnitřního auditu je efektivně koordinován, pokud je to relevantní, s vnitřními auditory jiných osob, které jsou členem téhož konsolidačního celku. Zároveň při koordinaci činnosti zohlední ověřování zadaná mimo plán řídicím nebo kontrolním orgánem a ověření dle požadavku příslušného orgánu dohledu. 17. Pro každou jednotlivou auditní akci je veden auditorský spis. Auditorský spis je veden takovým způsobem, aby byl plně rekonstruovatelný postup při provedeném auditu. Auditorské spisy jsou prověřovány osobou ve vedení funkce vnitřního auditu nebo jí zmocněným vnitřním auditorem. 18. O provedeném vnitřním auditu je vypracovávána zpráva. Zpráva obsahuje zejména cíl, předmět, rozsah provedeného vnitřního auditu a zjištění spolu s návrhem nápravných opatření. Zpráva obsahuje názor vnitřního auditora na míru rizik obsaženou v auditované činnosti včetně zbytkového (nekrytého) rizika v dané oblasti a jeho přijatelnost. Zpráva je přístupná řídicímu a kontrolnímu orgánu, výboru pro audit a věcně příslušným řídicím osobám včetně osob ve vrcholném vedení. 19. Osoba ve vedení funkce vnitřního auditu zajistí vytvoření a udržování systému sledování nápravných opatření uložených na základě zjištění vnitřního auditu, včetně sledování, zda jsou tato opatření efektivně zavedena. V případě, že osoba ve vedení funkce vnitřního auditu dojde k závěru, že je stupeň zbytkového rizika v dané oblasti v důsledku nezavedení efektivních nápravných opatření pro povinnou osobu nepřijatelný, projedná tuto skutečnost s řídicím orgánem. Pokud dle úsudku osoby odpovědné za vedení funkce vnitřního auditu není otázka zbytkového rizika v dané oblasti vyřešena, předá tuto informaci kontrolnímu orgánu, případně výboru pro audit. 20. Osoba ve vedení funkce vnitřního auditu pravidelně informuje o zjištěních vnitřního auditu, o návrzích nápravných opatření a o odstraňování zjištěných nedostatků řídicí a kontrolní orgán, případně výbor pro audit. 21. Osoba ve vedení funkce vnitřního auditu předkládá alespoň jednou ročně řídicímu a kontrolnímu orgánu, případně výboru pro audit, k projednání souhrnné vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému povinné osoby. Toto hodnocení se týká zejména spolehlivosti a integrity finančních a dalších informací, funkčnosti a efektivnosti procesů, ochrany aktiv a dodržování právních a vnitřních předpisů. 22. Osoba ve vedení funkce vnitřního auditu zpracovává pravidelně, alespoň však jednou ročně, zprávu o činnosti vnitřního auditu a předkládá ji řídicímu a kontrolnímu orgánu, případně výboru pro audit, k projednání. 23. Osoba ve vedení funkce vnitřního auditu informuje řídicí orgán, případně kontrolní orgán nebo výbor pro audit, o možných dopadech v důsledku případných omezených zdrojů vnitřního auditu. 24. Povinná osoba zajistí personální a další zabezpečení výkonu vnitřního auditu tak, aby soustavně poskytoval nezávislé a objektivní ujištění o činnostech povinné osoby, zejména o funkčnosti a efektivnosti řídicího a kontrolního systému a jeho součástí, v odpovídající kvalitě a s patřičnou přidanou hodnotou. Využíváním outsourcingu při zajišťování výkonu funkce vnitřního auditu není tato povinnost dotčena. 25. Osoba ve vedení funkce vnitřního auditu vypracuje a pravidelně aktualizuje program pro zabezpečení a zvyšování kvality vnitřního auditu, který zahrne všechny aspekty vnitřního auditu a průběžně sleduje funkčnost a efektivnost tohoto programu, ledaže toto provádí kontrolní orgán nebo výbor pro audit. Příloha č. 9 k vyhlášce č. 23/2014 Sb. 1. Kapitola 1: Stručný popis ověřovaných oblastí. Tato kapitola obsahuje: a) organizační schéma s detailnějším popisem organizačního uspořádání v dané součásti řídicího a kontrolního systému, b) stručné vymezení působnosti a pravomocí relevantních orgánů povinné osoby, útvarů a výborů, c) popis schvalovacích a rozhodovacích procesů v rámci jednotlivých ověřovaných oblastí, d) popis metod a postupů používaných v jednotlivých oblastech, například metody používané pro řízení rizik, e) strukturu limitů v dané oblasti, pokud je to pro ověřovanou oblast relevantní, f) popis struktury používaných informačních a komunikačních systémů. 2. Kapitola 2: Identifikace zavedených mechanismů vnitřní kontroly a zhodnocení funkčnosti a efektivnosti těchto mechanismů, zejména porovnáním s uznávanými standardy. Tato kapitola obsahuje přehled všech zavedených mechanismů vnitřní kontroly. V případě, že byly identifikovány nedostatky, jsou tyto skutečnosti v rámci této kapitoly uvedeny, podrobněji jsou jednotlivé nedostatky analyzovány v kapitole 3. 3. Kapitola 3: Specifikace chybějících mechanismů vnitřní kontroly a vyhodnocení závažnosti jednotlivých nedostatků. V této kapitole jsou podrobně popsány nedostatky zjištěné v průběhu ověřování systému auditorem. Součástí je i zhodnocení závažnosti daných nedostatků podle stupnice: a) nedostatek s velmi vysokou mírou závažnosti - nedostatek, který může mít vliv na další existenci povinné osoby nebo který významně ohrožuje finanční situaci a kapitál povinné osoby. Nedostatek má zásadní vliv na funkčnost a efektivnost procesů povinné osoby; b) nedostatek s vysokou mírou závažnosti - nedostatek může ohrozit finanční situaci a kapitál povinné osoby, nedostatek má vliv na funkčnost a efektivnost více dílčích procesů v povinné osobě, jedná se o zásadní systémový nedostatek určité oblasti; c) nedostatek se střední mírou závažnosti - nedostatek neohrožuje finanční situaci a kapitál povinné osoby, jedná se o dílčí nedostatek systémového charakteru nebo významnější nedostatek nesystémového charakteru; d) nedostatek s nízkou mírou závažnosti - nedostatek neohrožuje finanční situaci a kapitál povinné osoby, jedná se o méně významný nedostatek nesystémového charakteru. Dále je součástí identifikace chybějících mechanismů vnitřní kontroly. Součástí je i popis, jaký vliv tyto skutečnosti představovaly a představují pro funkčnost a efektivnost řídicího a kontrolního systému nebo jeho součástí. 4. Kapitola 4: Celkové vyhodnocení funkčnosti a efektivnosti řídicího a kontrolního systému v dané oblasti. V této kapitole je vyhodnocena funkčnost a efektivnost řídicího a kontrolního systému v dané oblasti jako celku. 5. Zpráva o ověření systému je předkládána České národní bance v listinné i elektronické podobě, ve formátu *.doc/ docx, *.xls/xlsx nebo *.mdb. 6. Zpráva o ověření systému je opatřena obchodní firmou a číslem osvědčení o zápisu auditora, s uvedením jména a příjmení auditora, čísla osvědčení o zápisu a datem vyhotovení zprávy. Zpráva v listinné podobě je opatřena navíc vlastnoručním podpisem auditora. Příloha č. 10 k vyhlášce č. 23/2014 Sb. 1. Údaje o povinné osobě a) obchodní firma, právní forma, adresa sídla a identifikační číslo osoby (dále jen „identifikační číslo“) povinné osoby podle zápisu v obchodním rejstříku, b) datum zápisu do obchodního rejstříku, včetně data zápisu poslední změny s uvedením účelu poslední změny, c) výše základního kapitálu zapsaného v obchodním rejstříku, d) výše splaceného základního kapitálu, e) druh, forma, podoba a počet emitovaných akcií s uvedením jejich jmenovité hodnoty, pokud povinná osoba je akciovou společností, f) údaje o nabytí vlastních akcií a zatímních listů a jiných kapitálových nástrojů, pokud povinná osoba je akciovou společností, g) údaje o zvýšení základního kapitálu, pokud základní kapitál byl zvýšen od posledního uveřejnění: 1. způsob a rozsah zvýšení základního kapitálu, 2. jsou-li vydávány nové akcie, povinná osoba uveřejňuje druh a počet emitovaných akcií s uvedením jmenovité hodnoty, rozsah splacení nově upsaných akcií a lhůtu pro splacení nově upsaných akcií, 3. při zvýšení základního kapitálu z vlastních zdrojů povinná osoba uveřejňuje částku, o níž se základní kapitál zvyšuje, označí vlastní zdroje, z nichž se základní kapitál zvyšuje. Povinná osoba, která je akciovou společností, dále uvede, zda se zvyšuje jmenovitá hodnota akcií a pokud se zvyšuje, o jakou částku se zvyšuje; h) organizační struktura povinné osoby s uvedením počtu obchodních míst a počtu pracovníků (přepočtený stav), i) údaje o členech řídicího orgánu, kontrolního orgánu a o osobách ve vrcholném vedení povinné osoby v tomto rozsahu: 1. jméno a příjmení, včetně titulů, 2. označení orgánu a v něm vykonávané funkce nebo označení pozice ve vrcholném vedení, a datum, od kdy osoba vykonává příslušnou funkci nebo zastává danou pozici, 3. dosavadní zkušenosti a kvalifikační předpoklady pro výkon dané funkce nebo zastávané pozice, 4. členství v orgánech jiných právnických osob včetně označení dané osoby, orgánu a funkce, 5. souhrnná výše úvěrů poskytnutých povinnou osobou členům řídicího orgánu, kontrolního orgánu, osobám ve vrcholném vedení povinné osoby, 6. souhrnná výše záruk vydaných povinnou osobou za členy řídicího orgánu, kontrolního orgánu, osoby ve vrcholném vedení povinné osoby. 2. Údaje o složení společníků nebo členů povinné osoby Údaje o společnících nebo členech povinné osoby s kvalifikovanou účastí na povinné osobě s tím, že a) o společnících nebo členech, kteří jsou právnickými osobami, povinná osoba uveřejňuje obchodní firmu, právní formu, adresu sídla, identifikační číslo, je-li přiděleno, odvětvovou klasifikaci ekonomických činností a výši podílu na hlasovacích právech v procentech, b) o společnících nebo členech, kteří jsou fyzickými osobami, povinná osoba uveřejňuje jméno a příjmení a výši podílu na hlasovacích právech v procentech. 3. Údaje o struktuře konsolidačního celku, jehož je povinná osoba součástí a) informace o osobách, které jsou ve vztahu k povinné osobě ovládajícími osobami, popřípadě většinovým společníkem, jež zahrnuje 1. obchodní firmu, právní formu, adresu sídla, identifikační číslo, je-li přiděleno, a odvětvovou klasifikaci ekonomických činností takovéto osoby; jde-li o fyzickou osobu jméno a příjmení; 2. přímý nebo nepřímý podíl na základním kapitálu povinné osoby v procentech, s uvedením, zda jde o podíl přímý, nepřímý, anebo přímý i nepřímý, 3. přímý nebo nepřímý podíl na hlasovacích právech povinné osoby v procentech, 4. jiný způsob ovládání, 5. souhrnnou výši dluhových nástrojů, které má povinná osoba v aktivech a které jsou dluhem těchto osob, souhrnnou výši dluhů povinné osoby vůči těmto osobám, v členění podle osob, 6. souhrnnou výši kapitálových nástrojů, které má povinná osoba v aktivech a které jsou vlastním kapitálem těchto osob, a souhrnnou výši dluhů povinné osoby z těchto kapitálových nástrojů, v členění podle osob, 7. souhrnnou výši povinnou osobou vydaných záruk za těmito osobami a souhrnnou výši povinnou osobou přijatých záruk od takových osob, v členění podle osob. b) informace o osobách, které jsou ve vztahu k povinné osobě ovládanými osobami, popřípadě v nichž je povinná osoba většinovým společníkem, jež zahrnuje 1. obchodní firmu, právní formu, adresu sídla, identifikační číslo, je-li přiděleno, a odvětvovou klasifikaci ekonomických činností takovéto osoby, 2. přímý podíl a nepřímý podíl povinné osoby na základním kapitálu v procentech, 3. přímý podíl a nepřímý podíl povinné osoby na hlasovacích právech v procentech, 4. jiný způsob ovládání, 5. souhrnnou výši dluhových nástrojů, které má povinná osoba v aktivech a které jsou dluhem těchto osob, souhrnnou výši dluhů povinné osoby vůči těmto osobám, v členění podle osob, 6. souhrnnou výši kapitálových nástrojů, které má povinná osoba v aktivech a které jsou vlastním kapitálem těchto osob, souhrnnou výši dluhů povinné osoby z těchto kapitálových nástrojů, 7. souhrnnou výši povinnou osobou vydaných záruk za takové osoby a souhrnnou výši povinnou osobou přijatých záruk od takových osob, v členění podle osob; c) grafické znázornění konsolidačního celku, jehož členem je povinná osoba, z hlediska vlastnického uspořádání s vyznačením osob, které jsou zahrnuty do obezřetnostní konsolidace, a uvedením důvodu pro nezahrnutí do obezřetnostní konsolidace u ostatních osob, d) grafické znázornění konsolidačního celku, jehož členem je povinná osoba, z hlediska řízení s vyznačením osob, které jsou zahrnuty do obezřetnostní konsolidace, a uvedením důvodu pro nezahrnutí do obezřetnostní konsolidace u ostatních osob. 4. Údaje o činnosti povinné osoby a) předmět podnikání (činnosti) zapsaný v obchodním rejstříku, b) přehled činností skutečně vykonávaných a c) přehled činností, jejichž vykonávání nebo poskytování bylo Českou národní bankou omezeno nebo vyloučeno. 5. Údaje o finanční situaci povinné osoby a) čtvrtletní rozvaha povinné osoby, b) čtvrtletní výkaz zisku a ztráty povinné osoby, c) informace povinné osoby, která je bankou nebo spořitelním a úvěrním družstvem, o pohledávkách z finančních činností bez selhání a v selhání, a to v členění na pohledávky za úvěrovými institucemi a jinými osobami než úvěrovými institucemi a dále v členění podle jednotlivých kategorií a podkategorií pohledávek z finančních činností, s uvedením účetní hodnoty bez opravných položek, opravných položek k jednotlivým pohledávkám a k portfoliím pohledávek a s uvedením kumulované ztráty z ocenění reálnou hodnotou, d) informace povinné osoby, která je bankou nebo spořitelním a úvěrním družstvem, o pohledávkách bez znehodnocení a se znehodnocením, s uvedením hodnoty před znehodnocením, opravných položek a kumulovaných ztrát z ocenění reálnou hodnotou a s uvedením účetní hodnoty, e) souhrnná výše pohledávek povinné osoby, která je bankou nebo spořitelním a úvěrním družstvem, z finančních činností, u nichž byla během účetního období provedena restrukturalizace (součet zůstatků účtů pohledávek k vykazovanému datu, a to pohledávek, u nichž byla během účetního období provedena restrukturalizace); pohledávky jsou uváděny bez opravných položek, f) reálné a jmenovité hodnoty derivátů 1. souhrnně za deriváty sjednané za účelem zajišťování a souhrnně za deriváty sjednané za účelem obchodování nebo spekulace, 2. souhrnně za deriváty, u nichž povinná osoba uplatňuje zajišťovací účetnictví, a souhrnně za deriváty ostatní, g) kapitálové poměry 1. kapitálový poměr pro kmenový kapitál tier 1, 2. kapitálový poměr pro kapitál tier 1, 3. kapitálový poměr pro celkový kapitál, h) poměrové ukazatele povinné osoby, která je bankou nebo spořitelním a úvěrním družstvem 1. rentabilita průměrných aktiv (ROAA), 2. rentabilita průměrného kapitálu tier 1 (ROAE), 3. aktiva na jednoho pracovníka, 4. správní náklady na jednoho pracovníka, 5. zisk nebo ztráta po zdanění na jednoho pracovníka, i) poměrové ukazatele povinné osoby, která je obchodníkem s cennými papíry 1. zadluženost I (celkový dluh bez majetku klientů/aktiva bez majetku klientů), 2. zadluženost II (celkový dluh bez majetku klientů/vlastní kapitál), 3. rentabilita průměrných aktiv (ROAA, aktiva bez majetku klientů), 4. rentabilita průměrného kapitálu tier 1 (ROAE), 5. rentabilita tržeb (zisk po zdanění/výnosy z investičních služeb), 6. správní náklady na jednoho pracovníka. Příloha č. 11 k vyhlášce č. 23/2014 Sb. 1. Investiční služby poskytnuté obchodníkem s cennými papíry jiným než podle § 8a odst. 4, anebo 7 zákona o podnikání na kapitálovém trhu a) objem obchodů s cennými papíry pro klienty - obchody pro klienty v rámci obhospodařování majetku - investiční cenné papíry - akcie a obdobné cenné papíry - investiční cenné papíry - dluhopisy a obdobné cenné papíry - investiční cenné papíry - ostatní - cenné papíry kolektivního investování - nástroje peněžního trhu - ostatní obchody pro klienty - investiční cenné papíry - akcie a obdobné cenné papíry - investiční cenné papíry - dluhopisy a obdobné cenné papíry - investiční cenné papíry - ostatní - cenné papíry kolektivního investování - nástroje peněžního trhu b) objem obchodů s cennými papíry na vlastní účet - investiční cenné papíry - akcie a obdobné cenné papíry - investiční cenné papíry - dluhopisy a obdobné cenné papíry - investiční cenné papíry - ostatní - cenné papíry kolektivního investování - nástroje peněžního trhu c) objem obchodů s deriváty pro klienty - obchody pro klienty v rámci obhospodařování majetku - akciové deriváty - úrokové deriváty - měnové deriváty - komoditní deriváty - úvěrové deriváty - ostatní deriváty - ostatní obchody pro klienty - akciové deriváty - úrokové deriváty - měnové deriváty - komoditní deriváty - úvěrové deriváty - ostatní deriváty d) objem obchodů s deriváty na vlastní účet - akciové deriváty - úrokové deriváty - měnové deriváty - komoditní deriváty - úvěrové deriváty - ostatní deriváty 2. Investiční služby poskytnuté obchodníkem s cennými papíry podle § 8a odst. 4 a 7 zákona o podnikání na kapitálovém trhu a) počet smluv o poskytování investiční služby - přijímání a předávání pokynů - poskytování investičního poradenství - obhospodařování majetku b) počet a objem přijatých pokynů - k nákupu investičních cenných papírů - k prodeji investičních cenných papírů - k nákupu cenných papírů kolektivního investování - k prodeji cenných papírů kolektivního investování Příloha č. 12 k vyhlášce č. 23/2014 Sb. 1. Údaje o zahraniční bance z jiného než členského státu a) obchodní firma a adresa sídla zahraniční banky z jiného než členského státu, která je zřizovatelem pobočky banky z jiného než členského státu, b) označení a adresa sídla orgánu, který vykonává dohled nad zahraniční bankou z jiného než členského státu, c) údaje o společnících nebo členech s kvalifikovanou účastí na zahraniční bance z jiného než členského státu s tím, že o společnících nebo členech, kteří jsou 1. právnickými osobami, se uveřejňuje obchodní firma, adresa sídla, identifikační číslo, je-li přiděleno, odvětvová klasifikace ekonomických činností a výše podílu na kapitálu v procentech a na hlasovacích právech v procentech, 2. fyzickými osobami, se uveřejňuje jméno a příjmení a výše podílu na kapitálu v procentech a na hlasovacích právech v procentech, d) předmět podnikání (činnosti) zahraniční banky z jiného než členského státu, e) přehled činností zahraniční bankou z jiného než členského státu skutečně vykonávaných, f) přehled činností zahraniční banky z jiného než členského státu, jejichž vykonávání nebo poskytování bylo příslušným orgánem dohledu omezeno nebo vyloučeno, g) výroční zpráva zahraniční banky z jiného než členského státu a účetní závěrka zahraniční banky z jiného než členského státu, není-li součástí výroční zprávy, alespoň za poslední účetní období, nebo internetová adresa, na které jsou tyto informace k dispozici. 2. Údaje o pobočce banky z jiného než členského státu a) označení, adresa sídla a identifikační číslo pobočky banky z jiného než členského státu podle zápisu v obchodním rejstříku, b) datum zápisu do obchodního rejstříku, včetně data zápisu poslední změny s uvedením účelu poslední změny, c) předmět podnikání (činnosti) zapsaný v obchodním rejstříku, d) přehled činností skutečně vykonávaných, e) přehled činností, jejichž vykonávání nebo poskytování bylo Českou národní bankou omezeno nebo vyloučeno, f) organizační struktura pobočky banky z jiného než členského státu s uvedením počtu obchodních míst a počtu pracovníků (přepočtený stav), g) údaje o vedoucím pobočky banky z jiného členského státu a dalších osobách ve vedení této pobočky v tomto rozsahu: 1. jméno a příjmení, včetně titulů, 2. funkce a datum, od kdy osoba příslušnou funkci vykonává, 3. dosavadní zkušenosti a kvalifikační předpoklady pro výkon funkce, 4. členství v orgánech jiných právnických osob, 5. souhrnná výše úvěrů poskytnutých pobočkou banky z jiného než členského státu vedoucímu této pobočky a osobám ve vedení této pobočky, 6. souhrnná výše záruk vydaných pobočkou banky z jiného než členského státu za vedoucího této pobočky a další osoby ve vedení této pobočky. 3. Údaje o plnění obezřetnostních pravidel pobočky banky z jiného než členského státu a) údaje podle článku 437 odst. 1 písm. a) nařízení s výjimkou úplného sesouhlasení položek, filtrů a odpočtů na rozvahu v rámci auditované účetní závěrky pobočky banky z jiného než členského státu, b) údaje podle článku 438 písm. c) až f) nařízení, c) informace pobočky banky z jiného než členského státu o pohledávkách z finančních činností bez selhání a v selhání, a to v členění na pohledávky za úvěrovými institucemi a jinými osobami než úvěrovými institucemi a dále v členění podle jednotlivých kategorií a podkategorií pohledávek z finančních činností, s uvedením účetní hodnoty bez opravných položek, opravných položek k jednotlivým pohledávkám a k portfoliím pohledávek a s uvedením kumulované ztráty z ocenění reálnou hodnotou, d) informace pobočky banky z jiného než členského státu o pohledávkách bez znehodnocení a se znehodnocením, s uvedením hodnoty před znehodnocením, opravných položek a kumulovaných ztrát z ocenění reálnou hodnotou a s uvedením účetní hodnoty, e) souhrnná výše pohledávek pobočky banky z jiného než členského státu, z finančních činností, u nichž byla během účetního období provedena restrukturalizace (součet zůstatků účtů pohledávek k vykazovanému datu, a to pohledávek, u nichž byla během účetního období provedena restrukturalizace); pohledávky jsou uváděny bez opravných položek, f) reálné a jmenovité hodnoty derivátů 1. souhrnně za deriváty sjednané za účelem zajišťování a souhrnně za deriváty sjednané za účelem obchodování nebo spekulace, 2. souhrnně za deriváty, u nichž pobočka banky z jiného než členského státu uplatňuje zajišťovací účetnictví, a souhrnně za deriváty ostatní, g) kapitálové poměry 1. kapitálový poměr pro kapitál tier 1, 2. kapitálový poměr pro celkový kapitál, h) poměrové ukazatele pobočky banky z jiného než členského státu 1. rentabilita průměrných aktiv (ROAA), 2. rentabilita průměrného kapitálu tier 1 (ROAE), 3. aktiva na jednoho pracovníka, 4. správní náklady na jednoho pracovníka, 5. zisk nebo ztráta po zdanění na jednoho pracovníka a i) údaje o objemu obchodů uskutečněných v rámci poskytování investičních služeb ve vztahu k jednotlivým investičním nástrojům, pokud pobočka banky z jiného než členského státu je oprávněna poskytovat investiční služby podle zákona o podnikání na kapitálovém trhu. Příloha č. 13 k vyhlášce č. 23/2014 Sb. 1. Údaje o kapitálu a kapitálových požadavcích a) podle článku 437 odst. 1 písm. a) nařízení, b) podle článku 438 písm. c) až f) nařízení. 2. Kapitálové poměry a) povinné osoby 1. kapitálový poměr pro kmenový kapitál tier 1, 2. kapitálový poměr pro kapitál tier 1, 3. kapitálový poměr pro celkový kapitál. b) pobočky banky z jiného než členského státu 1. kapitálový poměr pro kapitál tier 1, 2. kapitálový poměr pro celkový kapitál. 3. Poměrové ukazatele a) povinné osoby, která je bankou nebo spořitelním a úvěrním družstvem 1. rentabilita průměrných aktiv (ROAA), 2. rentabilita průměrného kapitálu tier 1 (ROAE), 3. aktiva na jednoho pracovníka, 4. správní náklady na jednoho pracovníka, 5. zisk nebo ztráta po zdanění na jednoho pracovníka, b) povinné osoby, která je obchodníkem s cennými papíry 1. zadluženost I (celkový dluh bez majetku klientů/aktiva bez majetku klientů), 2. zadluženost II (celkový dluh bez majetku klientů/vlastní kapitál), 3. rentabilita průměrných aktiv (ROAA, aktiva bez majetku klientů), 4. rentabilita průměrného kapitálu tier 1 (ROAE), 5. rentabilita tržeb (zisk po zdanění/výnosy z investičních služeb), 6. správní náklady na jednoho pracovníka, c) pobočky banky z jiného než členského státu 1. rentabilita průměrných aktiv (ROAA), 2. rentabilita průměrného kapitálu tier 1 (ROAE), 3. aktiva na jednoho pracovníka, 4. správní náklady na jednoho pracovníka, 5. zisk nebo ztráta po zdanění na jednoho pracovníka. 1) Například § 22 odst. 3 zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, a články 103 až 105, 144, 166, 173 až 179, 185 až 191, 209, 221, 225, 243, 259, 287 až 294, 318, 320 až 322, 368 a 369, 393, 434 a 435 nařízení. 2) Nařízení Evropského parlamentu a Rady (EU) č. 1092/2010 ze dne 24. listopadu 2010 o makroobezřetnostním dohledu nad finančním systémem na úrovni Evropské unie a o zřízení Evropské rady pro systémová rizika. Nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES. Nařízení Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES. Nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro cenné papíry a trhy), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/77/ES. 3) Například § 22 odst. 2 zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů. 4) Zákon č. 93/2009 Sb., o auditorech a o změně některých zákonů (zákon o auditorech), ve znění pozdějších předpisů. 5) Například článek 368 odst. 1 písm. b) věta třetí nařízení. 6) Například článek 100 nařízení. 7) § 12c zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů. § 8a zákona č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících, ve znění pozdějších předpisů. § 9a zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, ve znění pozdějších předpisů. 8) § 12c zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů. § 8a zákona č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících, ve znění pozdějších předpisů. § 9a zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, ve znění pozdějších předpisů. 9) Článek 78 odst. 8 směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES. 10) Například článek 111 odst. 2 a článek 273 odst. 2 písm. c) nařízení. 11) § 525 občanského zákoníku. 12) Zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů. 13) Např. § 38 zákona č. 21/1992 Sb., zákona o bankách, ve znění pozdějších předpisů, § 25b odst. 1 zákona č. 87/1995 Sb., o spořitelních a úvěrních družstvech a některých opatřeních s tím souvisejících, ve znění pozdějších předpisů nebo § 116 zákona č. 256/2004 Sb., o podnikání na kapitálovém trhu, ve znění pozdějších předpisů.