1. "Maksājumu iestāžu un elektroniskās naudas iestāžu iekšējās kontroles sistēmas izveides normatīvie noteikumi" (tālāk tekstā – noteikumi) nosaka minimālās prasības efektīvas iekšējās kontroles sistēmas izveidošanas praksei un ir saistoši Latvijas Republikā licencētām un reģistrētām maksājumu iestādēm un elektroniskās naudas iestādēm, kas darbojas saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likumu, (tālāk tekstā – iestāde). Noteikumos noteiktos iekšējās kontroles sistēmas izveides principus ieteicams piemērot maksājumu sistēmām, ja prasības ir attiecināmas uz to darbības pamatprincipiem, kā arī to darbības apjomu, veidu, sarežģītību un specifiku.
2. Iestāde, veidojot iekšējās kontroles sistēmu, ievēro šo noteikumu prasības atbilstoši tās darbības apjomam, veidiem, sarežģītībai un specifikai, kā arī ņemot vērā tās risku lielumu saistībā ar katru darbības sfēru, iestādes pārvaldes modeli, informācijas tehnoloģiju un citus faktorus, kuri ir būtiski konkrētās iestādes darbības mērķu īstenošanai. Latvijas Republikā reģistrēta maksājumu iestāde un elektroniskās naudas iestāde dokumentēti izvērtē šo noteikumu XII nodaļas prasību piemērošanu, ņemot vērā tās darbības specifiku.
3. Noteikumos lietotie termini:
3.1. darbinieki – visi iestādes darbinieki, kuriem ir faktiskas darba tiesiskās attiecības ar iestādi, izņemot amatpersonas;
3.2. amatpersonas – iestādes valdes un padomes (ja tāda ir izveidota) locekļi;
3.3. atbilstības likumi, noteikumi un standarti – iestādes darbību regulējošie likumi un citi tiesību akti, ar iestādes darbību saistītie pašregulējošo institūciju noteiktie standarti, profesionālās rīcības un ētikas kodeksi un citi ar iestādes darbību saistīti labākās prakses standarti;
3.4. klienti – personu loks, kuras, ņemot vērā iestādes darbības specifiku, ir elektroniskās naudas turētāji un maksājumu pakalpojumu izmantotāji, kā arī iestādes klienti Maksājumu pakalpojumu un elektroniskās naudas likuma izpratnē;
3.5. klientu līdzekļi – nauda, kas saņemta no maksājumu pakalpojumu izmantotājiem un elektroniskās naudas turētājiem vai cita maksājumu pakalpojumu sniedzēja maksājumu izpildei;
3.6. pārējo terminu lietojums atbilst Maksājumu pakalpojumu un elektroniskās naudas likuma terminu lietojumam.
4. Iekšējās kontroles sistēmu iestāde organizē tā, lai iestādes amatpersonām būtu pamatota pārliecība, ka iestādes aktīvi un klientu līdzekļi ir nodrošināti pret zaudējumiem un nesankcionētu valdīšanu un lietošanu, darbības riski tiek pastāvīgi uzraudzīti un novērtēti, darījumi notiek saskaņā ar iestādē noteikto kārtību un ir pareizi grāmatoti, iestāde darbojas saprātīgi, piesardzīgi un efektīvi, pilnībā ievērojot likumu un citu tiesību aktu prasības.
5. Iekšējās kontroles sistēma ietver atbilstošas politikas un kontroles procedūras, lai pārvaldītu riskus, kas saistīti ar iestādes darbību. Iestāde ievieš tādas kontroles procedūras, kuras nodrošina efektīvu iestādes aktīvu un klientu līdzekļu aizsardzību un risku pārvaldīšanu, izvairoties no formālu un apgrūtinošu noteikumu un procedūru izveidošanas un uzturēšanas.
6. Par iestādes iekšējās kontroles sistēmas izveidi un efektīvu funkcionēšanu atbild iestādes amatpersonas, ņemot vērā šo noteikumu X un XI nodaļā minētās iestādes padomes un valdes funkcijas.
7. Ja iestāde nav izveidojusi padomi, šajos noteikumos minētos iestādes padomes pienākumus pilda akcionāri vai dalībnieki.
8. Iekšējās kontroles sistēmas pamatelementi ir:
8.1. attīstības stratēģijas noteikšana un darbības plānošana katram gadam;
8.2. iestādes lielumam un darbības riskiem atbilstoša organizatoriskā struktūra;
8.3. visu iestādes darbībā radušos būtisko risku identifikācija un pārvaldīšana, t.sk. mērīšana, novērtēšana un kontrole;
8.4. atbilstoša grāmatvedības uzskaite un vadības informācijas sistēma;
8.5. aktīvu, klientu līdzekļu un informācijas sistēmu aizsardzība;
8.6. iekšējās kontroles sistēmas pilnveidošana, atbilstība mainīgiem darbības apstākļiem un tās efektivitātes novērtēšana;
8.7. pārstāvju un ārpakalpojumu izmantošanas pārvaldība, ja iestāde tos izmanto.
9. Iestāde izstrādā un dokumentē tās attīstības stratēģiju, kurā nosaka:
9.1. darbības mērķus, t.sk. nosaka plānoto finansiālo stāvokli, darbības veidus, mērķa tirgu un mērķa klientus;
9.2. risku stratēģiju (politiku), t.sk. nosaka riskus, kurus iestāde vēlas uzņemties, pieļaujamo risku līmeni, rīcību pieļaujamā risku līmeņa ievērošanas nodrošināšanā;
9.3. mērķus likviditātes pārvaldības jomā, ņemot vērā iestādes darbību raksturojošos rādītājus un finansiālo stāvokli, kā arī regulējošās prasības;
9.4. kapitāla pietiekamības uzturēšanas stratēģiju.
10. Iestāde izstrādā darbības plānu katram gadam, kurā norāda vismaz nākamajā gadā plānoto iestādes finansiālo stāvokli, vietu tirgū, darbības mērķus attiecīgajā periodā, darbības veidus un raksturīgākos darījumus, potenciālos riskus un pieļaujamos risku līmeņus, darbības rezultātu novērtēšanas kritērijus.
11. Iestāde izstrādā un dokumentē darījumu veikšanas un kontroles kārtību. Šī kontroles kārtība ietver vismaz darījuma veicēja pilnvarošanas kārtību (t.sk. norāda dokumentus, kurus nepieciešams noformēt lēmumu pieņemšanas procesā, līdz tiek apstiprināta darījuma veikšana, un amatpersonas vai darbiniekus, kuri apliecina attiecīgo lēmumu pieņemšanu), ierobežojumu noteikšanu, lai nodrošinātu darījuma atbilstību iestādes politikai un atbilstības likumiem, noteikumiem un standartiem, kā arī darījuma apstrādes un kontroles kārtību. Iestāde nodrošina, ka amatpersonas un darbinieki, kas iesaistīti šajās procedūrās minēto darījumu veikšanā, tiek iepazīstināti ar attiecīgajām procedūrām.
12. Iestāde izstrādā un dokumentē procedūras, kā tiek dibinātas attiecības ar jauniem klientiem, kā arī apstiprina formu un saturu dokumentiem, kuri jānoformē, veicot darījumus ar klientiem un trešajām personām vai veicot darījumus to vārdā. Iestāde nosaka informāciju, kāda ir jāsaņem par tās klientiem, un nodrošina šīs informācijas aktualizāciju. Iestāde, organizējot tikšanās ar klientiem un trešajām personām, kā arī veicot saraksti ar klientiem un trešajām personām, nodrošina personu tiesības uz personas datu aizsardzību un konfidencialitāti saskaņā ar Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 94/46/EK (Vispārīgā datu aizsardzības regula) prasībām.
13. Iestāde nodrošina atbilstošu tās darbības organizāciju, t.sk. izveido iestādes lielumam un darbības riskiem atbilstošu un caurskatāmu organizatorisko struktūru, kuru pārskata ne retāk kā reizi gadā un pēc nepieciešamības atjauno.
14. Iestāde nodrošina, ka valdes un padomes (ja tāda ir izveidota) sastāvs ir atbilstoši veidots un sabalansēts, ņemot vērā iestādes lielumu, darbības specifiku, sarežģītību un attīstības stratēģiju.
15. Iestāde dokumentē tās organizatorisko struktūru, nosakot amatpersonu un darbinieku pienākumus (funkcijas), pilnvaras un atbildību darījumu veikšanā un kontrolē, nosakot un sadalot pienākumus starp struktūrvienībām un sagatavojot vispārīgus darba aprakstus (dienesta instrukcijas).
16. Dokumentējot organizatorisko struktūru, iestāde nosaka pārskatu sniegšanas un informācijas apmaiņas kārtību iestādē, t.sk. to, kādu informāciju, kad un kam ir pienākums sniegt un saņemt un kāda informācija ir konfidenciāla un tālāk neizpaužama.
17. Nosakot amatpersonu un darbinieku pienākumus un piešķirot tiem pilnvaras, iestāde ievēro pienākumu dalīšanas principu, kas izpaužas kā to pienākumu (funkciju) nodalīšana, kas, ja tos apvienotu, ļautu kādai amatpersonai vai darbiniekam vienpersoniski veikt kādu darījumu pilnībā. Pienākumu dalīšanas princips aptver vismaz tādas darbības kā darījuma apstiprināšana, izpilde, novērtēšana, salīdzināšana, glabāšana un iegrāmatošana.
18. Dokumentējot pilnvaru piešķiršanu, norāda piešķirto pilnvaru veidu, personas (norādot amatu), kam piešķirtas pilnvaras, pārpilnvarojuma tiesības, kā arī visus piešķirto pilnvaru izmantošanas ierobežojumus. Iestāde, piešķirot amatpersonām un darbiniekiem pilnvaras, nodrošina, ka amatpersonas un darbinieki tiek iepazīstināti ar tiem piešķirtā pilnvarojuma apjomu.
19. Visiem darījumiem jābūt atļautiem ar attiecīgās amatpersonas vai darbinieka rīkojumu vai lēmumu saskaņā ar organizatoriskajā struktūrā noteiktajiem atbildības līmeņiem.
20. Iestāde nodrošina, ka tās amatpersonas un darbinieki ir informēti par to pienākumiem (t.sk. attiecībā uz risku identificēšanu un pārvaldīšanu), pārzina informāciju, kas saistīta ar to amata pienākumu izpildi, un tiem ir amata pienākumu izpildei atbilstoša kvalifikācija un pietiekama pieredze. Lai nodrošinātu personāla atbilstību, iestāde:
20.1. izstrādā un dokumentē personāla politiku un procedūras, kas nosaka vismaz tādus aspektus kā struktūrvienību vadītāju amatos esošo darbinieku atlases kārtību, hierarhisko pārraudzību un amata pēctecības plānošanu, prasības dažādiem amatiem nepieciešamajām iemaņām, potenciālo amatpersonu un darbinieku atbilstības novērtēšanas kritērijus un kārtību;
20.2. iepazīstina amatpersonas un darbiniekus ar informāciju, kas saistīta ar to amata pienākumu izpildi, piemēram, iepazīstina ar iestādes attīstības stratēģiju, darbības plānu katram gadam, korporatīvajām vērtībām, profesionālās rīcības un ētikas standartiem, operacionālajām procedūrām, risku pārvaldīšanas politikām un kontroles procedūrām, atbilstības likumiem, noteikumiem un standartiem;
20.3. izstrādā un dokumentē amatpersonu un darbinieku profesionālo mācību programmu, kuras mērķis ir sagatavot amatpersonas un darbiniekus attiecīgā amata pienākumu izpildei un nepārtraukti pilnveidot zināšanas, kā arī ietver amatpersonu un darbinieku informēšanas kārtību par izmaiņām politikās, procedūrās, atbilstības likumos, noteikumos un standartos, kas saistītas ar to amata pienākumu izpildi;
20.4. ņemot vērā tās darbības apjomu, veidu, kā arī sarežģītību un specifiku, izstrādā un dokumentē atbilstošu amatpersonu un darbinieku atalgojuma sistēmu, t.sk. atalgojuma politiku, nodrošinot, ka tā nav atkarīga tikai no īstermiņa mērķu sasniegšanas (t.sk. īstermiņa peļņas gūšanas) un neveicina tādu risku uzņemšanos, kurus iestāde nevar efektīvi pārvaldīt, kā arī atbilst iestādes ilgtermiņa interesēm. Iestāde izstrādā un dokumentē atbilstošas atalgojuma politikas un procedūras, t.sk. nosaka atalgojuma noteikšanas kārtību un paredz adekvātus kritērijus atalgojuma mainīgās daļas noteikšanai, kas samērojami ar attiecīgās amatpersonas vai darbinieka darbības novērtējumu, iestādes kopējo darbības novērtējumu un attīstības stratēģiju. Iestāde nodrošina, ka amatpersonām un darbiniekiem izmaksātais mainīgās atalgojuma daļas apmērs ir samērīgi proporcionāls nemainīgās atalgojuma daļas apmēram.
21. Iestāde nodrošina, ka gan valdei, gan padomei (ja tāda ir izveidota) ir kolektīvi pietiekama pieredze un zināšanas par visiem iestādes būtiskajiem darbības veidiem un riskiem.
22. Lai nodrošinātu, ka katrai amatpersonai ir pietiekama kompetence un prasmes, lai veiktu amata pienākumus gan valdes, gan padomes, gan komiteju (ja tādas ir izveidotas) darbā, iestāde nodrošina, ka nepieciešamības gadījumā katrai amatpersonai ir iespēja saņemt atbilstošu iekšēju vai ārēju apmācību vai konsultācijas.
24. Iestāde nosaka un dokumentē iestādes korporatīvās vērtības, t.sk. nosaka augstus profesionālās rīcības un ētikas standartus, lai nodrošinātu, ka iestādes amatpersonas un darbinieki veic savus pienākumus ar vislielāko godprātību, savu amata pienākumu izpildē un lēmumu pieņemšanā ir objektīvi, ievēro atbilstības likumus, noteikumus un standartus, respektē informācijas par darījumu un klientu konfidencialitāti un komercnoslēpumu, t.sk. ievēro personas datu aizsardzības pamatprincipus, un to rīcība un uzvedība atbilst augstiem ētikas standartiem. Īpaši svarīgi, lai šie standarti vērstos pret korupciju, nelikumīgu iekšējās informācijas izmantošanu un jebkuru citu nelikumīgu, neētisku vai apšaubāmu rīcību, kā arī mazinātu riskus, kas saistīti ar operacionālo darbību un reputācijas apdraudējumu.
25. Iestāde izstrādā un dokumentē iestādes kopējo interešu konflikta situāciju pārvaldīšanas politiku un procedūras attiecībā uz visām iestādes amatpersonām un darbiniekiem, kas nodrošina faktisko vai potenciālo interešu konflikta situāciju savlaicīgu identificēšanu un pārvaldīšanu un nosaka rīcību interešu konflikta situāciju, kuras var rasties starp attiecīgo personu interesēm un iestādes interesēm, novēršanai, t.sk.:
25.1. novērš tādu situāciju veidošanos, kurās rodas vai var rasties interešu konflikta situācija, piemēram, nodrošina atbilstošu pienākumu sadali starp iestādes darbiniekiem un amatpersonām;
25.2. nodrošina, ka iestādes amatpersona vai darbinieks savu amata pienākumu izpildē atturas no lēmumu pieņemšanas par iestādes darījumiem vai cita veida profesionālajām darbībām iestādē, ja šai personai rodas vai var rasties interešu konflikta situācija, kā arī nodrošina atbilstošu kārtību, kā amatpersonas un darbinieki ziņo iestādes valdei vai padomei (ja tāda ir izveidota) par darījumiem, kuros attiecīgajai personai tieši vai netieši rodas vai var rasties interešu konflikts;
25.3. nodrošina, ka struktūrvienības, kas veic darbības, starp kurām rodas vai var rasties interešu konflikta situācija, ir savstarpēji neatkarīgas, piemēram, ir noteiktas informācijas barjeras, noteikta atšķirīga organizatoriskā pakļautība.
26. Iestāde, nodrošinot interešu konflikta situāciju pārvaldīšanu iestādē, izveido atbilstošus organizatoriskus un administratīvus pasākumus, kas novērš klientu vai potenciālo klientu interešu nelabvēlīgu ietekmēšanu.
27. Iestāde, ņemot vērā tās darbības apjomu un sarežģītību, nodrošina iestādes amatpersonām un darbiniekiem iespēju iekšēji ziņot (whistle blow) par faktiskiem vai potenciāliem iekšējās kontroles sistēmas trūkumiem, izteikt priekšlikumus to novēršanai un ziņot par nelikumīgiem vai neētiskiem darījumiem, t.sk. par interešu konflikta situācijām. Iestāde izstrādā un dokumentē atbilstošas procedūras, kā arī iepazīstina ar tām iestādes amatpersonas un darbiniekus.
28. Iestāde izstrādā, dokumentē un īsteno atbilstošas politikas un procedūras visu iestādes darbībai piemītošo būtisko risku identificēšanai un pārvaldīšanai, t.sk. mērīšanai, novērtēšanai, kontrolei un risku pārskatu sniegšanai.
29. Iestāde nodrošina, ka būtisko risku identificēšanai tiek izmantoti atbilstoši kvantitatīvie un kvalitatīvie kritēriji un novērtējuma rezultāti un secinājumi ir pamatoti un dokumentēti. Atbilstoši iestādes darbības specifikai un veidam tiek izvērtēti vismaz šādi riski:
29.1. risks, kas saistīts ar klientu līdzekļu aizsardzību;
29.2. darījumu partnera risks;
29.3. kredītrisks;
29.4. operacionālais risks;
29.5. darbības atbilstības risks;
29.6. noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas risks un sankciju risks;
29.7. informācijas tehnoloģiju risks;
29.8. ar maksājumiem saistītas krāpšanas risks;
29.9. pārējie iestādes darbību ietekmējošie būtiskie riski, piemēram, valsts risks, stratēģijas risks, reputācijas risks, ar pārstāvju un ārpakalpojumu izmantošanu saistītais risks, ja iestāde izmanto šādus pakalpojumus.
30. Iestāde nodrošina noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska un sankciju riska integrēšanu iestādes risku pārvaldības sistēmā, kā arī nodrošina to pārvaldīšanu atbilstoši Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumā un Starptautisko un Latvijas Republikas nacionālo sankciju likumā, kā arī Finanšu un kapitāla tirgus komisijas (tālāk tekstā – Komisija) normatīvajos noteikumos, kas nosaka sankciju riska pārvaldīšanu, noteiktajām prasībām.
31. Riskiem, kurus iestāde identificējusi kā tās darbībai būtiskus, iestāde izstrādā, dokumentē un īsteno atbilstošas risku pārvaldīšanas politikas un kontroles procedūras, kurās nosaka:
31.1. risku novērtēšanas (kvantitatīvi nenosakāmiem riskiem, piemēram, reputācijas riskam, stratēģijas riskam) un mērīšanas (riskiem, kurus iespējams kvantitatīvi izmērīt) metodes un regularitāti;
31.2. piemērotas risku kontroles procedūras, t.sk. saskaņā ar iestādes risku stratēģiju nosaka maksimāli pieļaujamā risku apmēra ierobežojumus un limitus, risku ierobežošanas metodes, kontroles procedūras, lai mazinātu kvantitatīvi nenosakāmus riskus, kā arī atbilstošus ierobežojumus pirms iesaistīšanās jaunu darījumu veikšanā;
31.3. kārtību, kādā iestādes amatpersonas regulāri saņem informāciju par iestādes darbībai piemītošajiem riskiem, to apmēru un tendencēm, risku ietekmi uz iestādes kapitāla apmēru, kā arī citu lēmumu pieņemšanai nepieciešamo informāciju;
31.4. risku pārvaldīšanas politiku un procedūru ievērošanas regulāru pārraudzīšanu un jebkuru noteikto limitu ievērošanas kontroli;
31.5. pienākumu, pilnvaru un atbildības sadalījumu risku pārvaldīšanā.
32. Iestāde regulāri, bet ne retāk kā reizi gadā pārskata un pilnveido risku identificēšanas un pārvaldīšanas politikas un procedūras atbilstoši pārmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos. Iestāde izvērtē tās darbības atbilstību risku identificēšanas un pārvaldīšanas politikās un procedūrās noteiktajam, šo politiku un procedūru piemērotību un efektivitāti, kā arī to pasākumu piemērotību un efektivitāti, kurus iestāde veikusi, lai novērstu šajās politikās un procedūrās atklātos trūkumus.
33. Iestāde izstrādā, dokumentē un īsteno jaunu maksājumu pakalpojumu ieviešanas politiku, kurā nosaka kārtību un prasības, kas jāievēro, ieviešot jaunus maksājumu pakalpojumus, sākot piedāvāt pastāvošos maksājumu pakalpojumus jauniem tirgus segmentiem vai veicot būtiskas izmaiņas esošo maksājumu pakalpojumu sniegšanas kārtībā. Iestāde nosaka:
33.1. jauna maksājumu pakalpojuma definīciju;
33.2. definīciju vai aprakstu, kas klasificē būtiskas izmaiņas esošo maksājumu pakalpojumu sniegšanas kārtībā;
33.3. jauno maksājumu pakalpojumu, kā arī esošo maksājumu pakalpojumu, kuru sniegšanas kārtībā ir veiktas būtiskas izmaiņas, atbilstību iestādes risku stratēģijai un to ietekmi uz iestādes kopējo risku profilu;
33.4. amatpersonu un darbinieku sagatavotības līmeņa (t.sk. zināšanu un prasmju) novērtējumu;
33.5. iestādei pieejamo resursu (t.sk. to pietiekamības un atbilstības) jaunu maksājumu pakalpojumu ieviešanai vai būtisku izmaiņu esošajos maksājumu pakalpojumos veikšanai novērtējumu;
33.6. iestādes spēju ievērot atbilstības likumus, noteikumus un standartus, ieviešot jaunus maksājumu pakalpojumus vai veicot būtiskas izmaiņas esošajos maksājumu pakalpojumos.
34. Iestāde, kas veic būtiskas izmaiņas attiecībā uz tās elektroniskās naudas pakalpojumiem (t.sk. emisiju, izplatīšanu un atpirkšanu), ievēro šo noteikumu 33.2.–33.6. punktā minētās prasības.
35. Iestāde izveido un uztur grāmatvedības sistēmu, ievērojot iestādes grāmatvedības organizāciju regulējošos likumus un citus tiesību aktus, izstrādājot un dokumentējot grāmatvedības politiku (norādot, kā grāmatvedībā atspoguļo dažādus darījumus) un uzskaites, kontroles, novērtēšanas un pārskatu sagatavošanas procedūras.
36. Iestāde nodrošina, ka visi darījumi savlaicīgi tiek apstrādāti un katra darbības cikla beigās tiek sagatavota bilance.
37. Iestāde izstrādā vadības informācijas sistēmu, kura dod iespēju izprast un savlaicīgi novērtēt iestādes finansiālo stāvokli, efektīvi pieņemt lēmumus un novērtēt to sekas, kā arī laicīgi atklāt kontroles procedūru neievērošanu. Iestādes amatpersonām un darbiniekiem jābūt laicīgi pieejamai precīzai, pilnīgai, ticamai un atbilstošai informācijai, kura nepieciešama to amata pienākumu izpildei un lēmumu pieņemšanai gan normālos darbības apstākļos, gan krīzes situācijā.
38. Vadības informācija aptver vismaz:
38.1. iestādes pašreizējo stāvokli un darbības rezultātus salīdzinājumā ar iepriekšējiem periodiem un darbības plāna rādītājiem;
38.2. informāciju par klientu līdzekļiem;
38.3. aktīvu, pasīvu un ārpusbilances posteņu analīzi, norādot, kā tie ir novērtēti;
38.4. ienākumu un izdevumu analīzi, t.sk. to atkarību no dažādām aktīvu, pasīvu un ārpusbilances posteņu kategorijām;
38.5. faktisko kvantitatīvo risku lieluma atbilstības iestādes risku stratēģijai novērtējumu un salīdzinājumu ar noteiktajiem ierobežojumiem un limitiem;
38.6. pieņemto politiku un procedūru neievērošanas gadījumu uzskaitījumu un analīzi.
39. Informācijas sistēma nodrošina laicīgas, precīzas, pilnīgas, ticamas un atbilstošas informācijas sniegšanu ārējiem lietotājiem (piemēram, Komisijai, Latvijas Bankai u.c.) atbilstoši spēkā esošo tiesību aktu prasībām gan normālos darbības apstākļos, gan krīzes situācijā tiesību aktos paredzētajā termiņā un pēc pieprasījuma.
40. Iestāde nodrošina, ka ir pieejami pietiekami resursi ar risku pārvaldību saistītās informācijas apkopošanai un vadības informācijas un informācijas ārējiem lietotājiem sagatavošanai un sniegšanai.
41. Iestāde izstrādā un dokumentē aktīvu, klientu līdzekļu un informācijas sistēmu aizsardzības procedūras, kuras:
41.1. nodrošina iestādes materiālo un finanšu aktīvu saglabāšanu;
41.2. nodrošina klientu līdzekļu saglabāšanu;
41.3. novērš trešo personu nesankcionētu tiešu un netiešu (ar dokumentu starpniecību) piekļuvi iestādes aktīviem un klientu līdzekļiem, grāmatvedības, elektroniskās sakaru sistēmas un citiem datiem;
41.4. nodrošina informācijas sistēmu drošu un stabilu funkcionēšanu un informācijas saglabāšanu (t.sk. informācijas atjaunošanu ārkārtas situācijās).
42. Iestāde organizē informācijas sistēmu aizsardzību atbilstoši Komisijas normatīvajiem noteikumiem par informācijas sistēmu drošības prasībām.
43. Iestādes padome (ja tāda ir izveidota) kontrolē, kā iestādes valde nodrošina iekšējās kontroles sistēmas izveidi un efektīvu funkcionēšanu. Veicot iekšējās kontroles sistēmas kontroli, iestādes padome:
43.1. nosaka pienākumu sadali starp padomes locekļiem un informācijas apmaiņas kārtību starp padomi un valdi;
43.2. nosaka valdes locekļu pienākumus (vai kontrolē akcionāru vai dalībnieku noteikto pienākumu izpildi) un valdes darbības rezultātu novērtēšanas kārtību;
43.3. apstiprina vai akceptē tālākai iesniegšanai iestādes akcionāriem vai dalībniekiem apstiprināšanai iestādes organizatorisko struktūru, lai nodrošinātu, ka pienākumi un atbildība ir atbilstoši noteikta;
43.4. apstiprina un pēc nepieciešamības maina valdes ieteiktās risku pārvaldīšanas politikas gan attiecībā uz jau veicamajiem, gan uz plānotajiem darījumiem, iekļaujot tajās risku novērtēšanas un kontroles kārtību, pilnvaru piešķiršanas kārtību attiecīgo darījumu veikšanai, kā arī nosakot ierobežojumus attiecībā uz konkrētiem riskiem, pieprasa un saņem informāciju par noteikto ierobežojumu būtiskiem pārkāpumiem;
43.5. kontrolē efektīvas vadības informācijas sistēmas izveidošanu;
43.6. kontrolē, vai iekšējā audita dienests vai tam līdzvērtīga iekšējā audita funkcija ir skaidri noteikta, tai ir piemērota vieta iestādes organizatoriskajā struktūrā un noteikta loma iestādes pārvaldīšanas procesā, tā ir nodrošināta ar kvalificētu personālu un darbojas efektīvi;
43.7. regulāri kontrolē iekšējās kontroles sistēmas atbilstību pārmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos;
43.8. izskata iekšējā audita dienesta vai tam līdzvērtīgas iekšējā audita funkcijas, zvērinātu revidentu, kā arī Komisijas un citu institūciju atzinumus un ieteikumus iestādes darbības uzlabošanai un kontrolē atklāto trūkumu novēršanu;
43.9. nosaka ziņojumu, kurus tā saņem, saturu, apjomu, formātu un biežumu, kā arī kritiski izvērtē un vajadzības gadījumā apstrīd šīs informācijas patiesumu.
44. Iestāde, kurai nav izveidota padome, nodrošina šajā nodaļā minētās prasības, ievērojot šo noteikumu 7. punktu.
45. Iestādes valde ir atbildīga par visaptverošas iekšējās kontroles sistēmas izveidošanu, tās īstenošanu, pārvaldīšanu un pilnveidošanu saskaņā ar iestādes noteikto stratēģiju. Iekšējās kontroles sistēmas izveides jomā iestādes valde:
45.1. nosaka kvalitatīvus un kvantitatīvus mērķus katrai iestādes darbības jomai saskaņā ar iestādes noteikto stratēģiju;
45.2. izstrādā organizatorisko struktūru, kurā ir skaidri noteiktas pilnvaras un efektīva pienākumu sadale starp amatpersonām un darbiniekiem;
45.3. nodrošina iestādes personāla atbilstošu kvalifikāciju un pietiekamu pieredzi;
45.4. nodrošina iestādes aktīvu un klientu līdzekļu aizsardzību;
45.5. nodrošina darbības risku identifikāciju, novērtēšanu un pārvaldīšanu;
45.6. ievieš un pārvalda vadības informācijas sistēmu, kas aptver visu iestādes darbību;
45.7. nosaka aktīvu, pasīvu, ārpusbilances prasību un saistību, ieņēmumu un izdevumu uzskaites un novērtēšanas principus;
45.8. ievieš kontroles mehānismus, kas nodrošina, lai spēkā esošos likumus un citus tiesību aktus, iestādes apstiprinātās politikas, plānus, iekšējos noteikumus un procedūras ievērotu visi iestādes darbinieki un amatpersonas;
45.9. nodrošina pasākumu veikšanu, lai novērstu iekšējās kontroles sistēmas trūkumus, kurus atklājis iekšējā audita dienests vai tam līdzvērtīga iekšējā audita funkcija, zvērināts revidents, Komisija un citas institūcijas;
45.10. vismaz vienu reizi gadā iestādes padomei (ja tāda ir izveidota) sniedz pārskatu par iekšējās kontroles sistēmas darbību;
45.11. ja iestādes padome nav izveidota, šo noteikumu 45.10. punktā minēto pārskatu par iekšējās kontroles sistēmas darbību ne retāk kā reizi gadā iesniedz akcionāriem vai dalībniekiem;
45.12. nosaka ziņojumu, kurus tā saņem, saturu, apjomu, formātu un biežumu, kā arī kritiski izvērtē un vajadzības gadījumā apstrīd šīs informācijas patiesumu.
46. Iestāde izveido iekšējā audita dienestu vai tam līdzvērtīgu iekšējā audita funkciju (tālāk tekstā – iekšējais audits), ņemot vērā iestādes darbības apjomu, veidu, sarežģītību un specifiku. Iekšējā audita uzdevums ir veikt iekšējās kontroles sistēmas neatkarīgu uzraudzību, kā arī tās efektivitātes novērtēšanu, lai palīdzētu iestādes amatpersonām un darbiniekiem efektīvāk pildīt savus amata pienākumus.
47. Iekšējā audita pienākumos iekļauj:
47.1. iestādes darbības efektivitātes un rezultātu novērtēšanu;
47.2. visu iestādes darbības veidu un struktūrvienību darbības atbilstības stratēģijai, plāniem, politikām, procedūrām un ārējo normatīvo aktu prasībām novērtēšanu;
47.3. grāmatvedības sistēmas pārbaudi;
47.4. informācijas sistēmu novērtēšanu;
47.5. iekšējās kontroles procedūru darbības pārbaudi;
47.6. finansiālās informācijas ticamības un pilnības pārbaudi, kā arī to līdzekļu pārbaudi, ar kuru palīdzību šī informācija tiek identificēta, mērīta, klasificēta un sniegta;
47.7. speciālo pārbaužu un izmeklēšanas veikšanu.
48. Lai iekšējais audits darbotos efektīvi, iestāde:
48.1. skaidri nosaka un dokumentē iekšējā audita pilnvaras;
48.2. nodala iekšējo auditu no ikdienas darījumu veikšanas un kontroles funkcijām, kā arī no uzskaites un kontroles procedūru noteikšanas;
48.3. nodrošina iekšējam auditam brīvu piekļuvi visiem dokumentiem, informācijai un personālam;
48.4. nodrošina, ka iekšējā audita personāls ir ar pietiekamu izglītību un profesionālo pieredzi, lai būtu pamats uzskatīt, ka šīs personas ir spējīgas kvalificēti pildīt savus pienākumus;
48.5. nodrošina iekšējam auditam tiešus kontaktus ar iestādes padomi (ja tāda ir izveidota) un valdi.
49. Iestādes akcionāri vai dalībnieki apstiprina iekšējā audita vadītāju, skaidri norādot un dokumentējot viņa pienākumus, pilnvaras un pārskatu sniegšanas kārtību. Iekšējā audita vadītājam savu lēmumu pieņemšanā un rīcībā jābūt neatkarīgam no iestādes valdes, piemēram, nodrošinot viņa pakļautību iestādes padomei (ja tāda ir izveidota) vai akcionāriem vai dalībniekiem, ja padome nav izveidota.
50. Iekšējais audits veic darbību saskaņā ar iestādes padomes (ja tāda ir izveidota) apstiprināto darbības plānu, kurā atspoguļo:
50.1. pārskata periodā pārbaudāmās darbības jomas, pārbaužu regularitāti un pārbaužu veikšanai nepieciešamos resursus;
50.2. riska noteikšanas un novērtēšanas metodes pārbaudāmajām darbības jomām, kā arī riska kontroles procedūru novērtēšanas kritērijus;
50.3. pārbaužu rezultātu dokumentēšanas prasības;
50.4. kārtību, kādā pārbaužu rezultāti sniedzami iestādes padomei (ja tāda ir izveidota) un valdei, un ieteikumu īstenošanas pārbaudes kārtību.
51. Ja iestāde nav izveidojusi padomi, tās iekšējā audita darbības plānu apstiprina akcionāri vai dalībnieki.
52. Iekšējais audits sagatavo ziņojumus par katras veiktās pārbaudes rezultātā atklātajiem faktiem un iekšējās kontroles sistēmas trūkumiem, politiku un procedūru pārkāpumiem, nepietiekami identificētiem vai pārvaldītiem riskiem un iesniedz ieteikumus atklāto problēmu risināšanai. Iekšējais audits nodrošina katras veiktās pārbaudes rezultātā atklāto faktu, atzinumu un ieteikumu apspriešanu attiecīgajā vadības līmenī, kā arī seko iekšējā audita ieteikumu izpildei. Iekšējais audits vismaz reizi gadā sagatavo pārskatu par veiktajām pārbaudēm un galvenajām atklātajām problēmām, izsakot viedokli par iekšējās kontroles efektivitāti.
53. Iestāde nodrošina, ka šo noteikumu prasības tiek ieviestas ne vēlāk kā sešus mēnešus pēc šo noteikumu stāšanās spēkā. Noteikumu prasību ieviešanu pēc šā termiņa iestāde saskaņo ar Komisiju.