1. "Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas iekšējās kontroles sistēmas neatkarīga izvērtējuma veikšanas normatīvie noteikumi" (tālāk tekstā – noteikumi) ir saistoši kredītiestādēm, licencētām maksājumu un elektroniskās naudas iestādēm un dalībvalstu un trešo valstu kredītiestāžu un licencētu maksājumu un elektroniskās naudas iestāžu filiālēm Latvijas Republikā (tālāk tekstā visas kopā – iestāde).
2. Noteikumi nosaka minimālās prasības iestādes noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas iekšējās kontroles sistēmas (tālāk tekstā – NILLTPFN IKS) neatkarīga izvērtējuma (tālāk tekstā – audits) veikšanai.
3. Noteikumi nosaka prasības:
3.1. NILLTPFN IKS audita veikšanas regularitātei;
3.2. NILLTPFN IKS audita veikšanas tvērumam;
3.3. NILLTPFN IKS audita veikšanas kārtībai.
4. Iestāde nodrošina tās NILLTPFN IKS, tai skaitā informācijas tehnoloģiju sistēmu, atbilstības normatīvo aktu prasībām un efektivitātes auditu ne retāk kā reizi 18 mēnešos.
5. Iestāde nodrošina, ka auditu veic neatkarīgs ārējs auditors, kuram ir vismaz piecu gadu pierādāma profesionālā pieredze un kompetence noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas (tālāk tekstā – NILLTPF) riska (ietverot arī informācijas tehnoloģiju sistēmas) pārvaldīšanas audita veikšanā.
6. Iestāde nodrošina, ka auditu veic neatkarīgs ārējs auditors, kam ar iestādi nav interešu konflikta, tai skaitā:
6.1. tas nav ar iestādi saistīta persona;
6.2. samaksas nosacījumi nav atkarīgi no audita rezultāta;
6.3. tas pēdējo triju gadu laikā nav sniedzis pakalpojumus iestādei iekšējās kontroles sistēmas pilnveidošanā, neskaitot audita veikšanu.
7. Auditu veic par NILLTPFN IKS atbilstību normatīvo aktu prasībām un efektivitāti, padziļināti vērtējot tos iekšējās kontroles sistēmas elementus, kas nodrošina galveno NILLTPF risku pārvaldību.
8. Iestāde nodrošina, ka audits ietver vismaz:
8.1. iestādes veiktā NILLTPF riska novērtējuma atbilstības iestādei piemītošajam NILLTPF riskam izvērtējumu;
8.2. NILLTPFN IKS atbilstības normatīvo aktu prasībām un efektivitātes izvērtējumu, kas ietver vismaz:
8.2.1. iestādes politiku un procedūru, kā arī to ieviešanas un īstenošanas instrukciju izvērtējumu;
8.2.2. NILLTPF riska pārvaldīšanas stratēģijas un noteikto robežlielumu atbilstības iestādes biznesa modelim izvērtējumu;
8.2.3. iestādes klientu riska skaitliskās novērtējuma sistēmas (scoring sistēma), tai skaitā klientu bāzes, klasifikācijas atbilstības normatīvajos aktos, kas reglamentē klientu padziļināto izpēti, noteiktajām prasībām izvērtējumu;
8.2.4. klientu izpētes un klientu padziļinātās izpētes, tai skaitā izvērtējamās informācijas un dokumentu, apjoma un kvalitātes izvērtējumu;
8.2.5. savstarpēji saistītu klientu grupu identifikācijas un dokumentēšanas prasību izvērtējumu;
8.2.6. darījumu uzraudzības, ziņošanas par aizdomīgiem darījumiem un citas NILLTPF novēršanas jomas normatīvajos aktos noteiktās ziņošanas un atturēšanās no darījumu veikšanas kārtības izvērtējumu;
8.2.7. sadarbības ar trešajām personām, kas iestādes vārdā veic klientu identifikāciju vai klientu izpēti, izvērtējumu;
8.2.8. klientu izpētes ietvaros iegūtās informācijas uzglabāšanas kārtības izvērtējumu;
8.2.9. specializētās informācijas tehnoloģiju sistēmas NILLTPF riska pārvaldīšanai un tās funkcionalitātes NILLTPF riska pārvaldīšanai izvērtējumu;
8.2.10. darbinieku tiesību, pienākumu un atbildības izvērtējumu;
8.2.11. personāla apmācību un kvalifikācijas atbilstības uzraudzības izvērtējumu;
8.3. klientu lietu un klientu darījumu praktisko pārbaudi (sample testing), lai pārbaudītu iestādes NILLTPFN IKS darbības efektivitāti praksē;
8.4. iestādes iekšējā audita un atbilstības struktūrvienību veikto pārbaužu rezultātu attiecībā uz NILLTPF riska pārvaldīšanu auditējamā perioda ietvaros izvērtējumu;
8.5. iepriekšējo auditu rezultātā konstatēto trūkumu novēršanas (pilnveidojumu ieviešanas) izvērtējumu.
9. Papildus šajos noteikumos noteiktajām obligātajām prasībām iestāde var tās auditā ietvert citus elementus, tai skaitā nozares vadlīniju prasību ievērošanas izvērtējumu, atbilstoši iestādei piemītošajam NILLTPF riskam.
10. Klientu lietu un to darījumu praktiskajā pārbaudē (sample testing) pārbaudāmo klientu skaitu nosaka samērīgi un proporcionāli iestādes kopējam klientu skaitam attiecīgajā klientu riska grupā, aptverot iestādes NILLTPF riska novērtējumā konstatētos iestādei un tās klientiem piemītošos riskus.
11. Iestāde nodrošina, ka audita ziņojums ietver:
11.1. NILLTPFN IKS izvērtējuma metodoloģiju;
11.2. iestādes NILLTPFN IKS atbilstības NILLTPF novēršanas normatīvo aktu prasībām un efektivitātes vērtējumu;
11.3. novērojumus un nepilnības (trūkumus), norādot konstatēto trūkumu ietekmes novērtējumu;
11.4. veicamos pasākumus vai rekomendācijas NILLTPFN IKS pilnveidošanai atbilstoši katram no audita tvēruma elementiem.
12. Ja iestāde nodrošina auditu par atsevišķiem elementiem (daļējā apmērā), tā nodrošina, ka 18 mēnešu periodā ir veikts audits pilnā apmērā.
13. Par pārbaudes perioda atskaites punktu uzskata pēdējo datumu, kad ziņojums par audita rezultātiem iesniegts iestādē.
14. Ja auditu veic vairāki neatkarīgi ārējie auditori, iestāde katram neatkarīgajam ārējam auditoram nosaka audita tvērumu, nodrošinot, ka kopumā tiek veikts audits pilnā apmērā.
15. Par plānoto auditu iestāde informē Finanšu un kapitāla tirgus komisiju (tālāk tekstā – Komisija), norādot plānoto neatkarīgo ārējo auditoru un tvērumu. Auditu sāk pēc Komisijas saskaņojuma saņemšanas.
16. Iestāde iesniedz Komisijai veiktā audita ziņojumu ne vēlāk kā piecu darba dienu laikā pēc tā saņemšanas.
17. Iestāde samērīgā periodā, nepārsniedzot trīs mēnešus no datuma, kad audita ziņojums iesniegts iestādē, izstrādā auditā identificēto trūkumu un nepilnību novēršanas pasākumu un rekomendāciju ieviešanas plānu, ko apstiprina iestādes valde. Viena mēneša laikā no plāna apstiprināšanas valdē iestāde iesniedz plānu un saskaņo to ar Komisiju. Iestāde informē Komisiju par plāna izpildi ne retāk kā reizi ceturksnī.