1. "Ieguldījumu brokeru sabiedrību pārvaldības sistēmas izveides normatīvie noteikumi" (tālāk tekstā – noteikumi) nosaka prasības efektīvas iekšējās pārvaldības sistēmas izveidošanas praksei, t.sk. organizatoriskajai struktūrai, atbilstošam pienākumu un atbildības sadalījumam, darbības risku pastāvīgai identificēšanai un pārvaldīšanai un iekšējās kontroles sistēmas izveidošanai.
2. Noteikumi ir saistoši Latvijas Republikā reģistrētām ieguldījumu brokeru sabiedrībām, kuras nav nelielas un savstarpēji nesaistītas ieguldījumu brokeru sabiedrības atbilstoši Eiropas Parlamenta un Padomes 2019. gada 27. novembra Regulas (ES) 2019/2033 par prudenciālajām prasībām ieguldījumu brokeru sabiedrībām un ar ko groza Regulas (ES) Nr. 1093/2010, (ES) Nr. 575/2013, (ES) Nr. 600/2014 un (ES) Nr. 806/2014 (tālāk tekstā – Regula Nr. 2019/2033) 12. pantam, kā arī nav ieguldījumu brokeru sabiedrības, kuras minētas Ieguldījumu brokeru sabiedrību likuma 3. panta trešajā un ceturtajā daļā, (tālāk tekstā – iestāde).
3. Noteikumu 2. punktā minētās iestādes ievēro šo noteikumu prasības individuāli un konsolidācijas grupas līmenī.
4. Nelielas un savstarpēji nesaistītas ieguldījumu brokeru sabiedrības ievēro šo noteikumu 68.1.–68.4. punktā noteiktās prasības par risku novērtējuma veikšanu. Pārējās šajos noteikumos ietvertās prasības pārvaldības sistēmas izveidošanai nelielām un savstarpēji nesaistītām ieguldījumu brokeru sabiedrībām ieteicams piemērot, ciktāl šie noteikumi ir attiecināmi uz to darbību.
5. Noteikumos lietoto terminu skaidrojums:
5.1. atbilstības likumi, noteikumi un standarti (compliance laws, rules and standards) – iestādes darbību regulējošie likumi un citi tiesību akti, ar iestādes darbību saistītie pašregulējošo institūciju noteiktie standarti, profesionālās rīcības un ētikas kodeksi un citi ar iestādes darbību saistīti labākās prakses standarti;
5.2. amatpersona – iestādes padomes vai valdes loceklis vai persona, kura iestādē pilda pamatfunkcijas;
5.3. iestādes padome – iestādes padome (ja tāda ir izveidota) vai dalībnieku sapulce;
5.4. riska profils – iestādes risku novērtējums, ņemot vērā tās lielumu, veikto darījumu apmēru, to dažādību un sarežģītību, ekonomisko vidi, kurā iestāde darbojas, kā arī ekonomisko ciklu;
5.5. personas, kuras pilda pamatfunkcijas – personas (darbinieki), kuru amata stāvoklis dod tām iespēju būtiski ietekmēt iestādes darbības virzību, bet kuras nav iestādes padomes vai valdes locekļi. Personas, kuras pilda pamatfunkcijas, ir, piemēram, iestādei specifisko darbības veidu vadītāji, iestādes izveidoto filiāļu vai meitas sabiedrību citā dalībvalstī vadītāji, atbalsta un iekšējās kontroles funkciju vadītāji, par noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas prasību izpildi atbildīgās personas;
5.6. ar iestādi saistītās personas – iestādes akcionāri vai dalībnieki, kuriem iestādē ir būtiska līdzdalība, un šo akcionāru vai dalībnieku – fizisko personu – laulātie, vecāki un bērni, iestādes padomes un valdes locekļi, šo personu laulātie, vecāki un bērni, kā arī komercsabiedrības, kurās minētajām personām ir būtiska līdzdalība vai būtiska ietekme vai kurās šīs personas ieņem augstākās vadības amatus vai ir valdes vai padomes locekļi;
5.7. iekšējās kontroles funkcijas vadītājs – valdes loceklis vai persona, kura pilda pamatfunkcijas un ir atbildīga par neatkarīgas risku pārvaldības vai darbības atbilstības kontroles funkcijas nodrošināšanu iestādē, un persona, kura pilda pamatfunkcijas un ir atbildīga par iekšējā audita funkcijas nodrošināšanu iestādē.
6. Pārējie šajos noteikumos lietotie termini atbilst Ieguldījumu brokeru sabiedrību likumā, Finanšu instrumentu tirgus likumā un Regulā Nr. 2019/2033 lietotajiem terminiem.
7. Veidojot pārvaldības sistēmu, iestāde ņem vērā tās lielumu, iekšējo organizāciju un darbības veidu, apjomu un sarežģītību, veikto darījumu apmēru, to dažādību un sarežģītību, risku lielumu saistībā ar katru darbības sfēru, pārvaldes centralizācijas pakāpi, informācijas tehnoloģiju u.c. faktorus, kuri ir būtiski konkrētās iestādes darbības mērķu īstenošanai.
8. Iestāde pārvaldības sistēmu organizē tā, lai tās vadībai būtu pamatota pārliecība, ka iestādes aktīvi ir nodrošināti pret zaudējumiem un nesankcionētu valdīšanu un lietošanu, iestādes darbības riski tiek pastāvīgi identificēti un pārvaldīti, iestādes kapitāls apmēra, elementu un to īpatsvara ziņā ir pietiekams iestādes darbībai piemītošo un varbūtējo risku segšanai, darījumi notiek saskaņā ar iestādē noteikto kārtību, iestāde darbojas saprātīgi, piesardzīgi un efektīvi, pilnībā ievērojot likumu un citu tiesību aktu prasības.
9. Iestādes padome un valde atbild par efektīvas pārvaldības sistēmas izveidi un nodrošina:
9.1. iestādes attīstības stratēģijas noteikšanu, darbības plānošanu katram gadam un tālākai nākotnei;
9.2. iestādes darbības organizāciju;
9.3. visu iestādes darbībā radušos būtisko risku identificēšanu un pārvaldīšanu, t.sk. mērīšanu, novērtēšanu, kontroli un risku pārskatu sniegšanu;
9.4. kapitāla un likviditātes pietiekamības novērtēšanas procesu;
9.5. grāmatvedības uzskaiti;
9.6. vadības informācijas sistēmas izveidošanu;
9.7. aktīvu un informācijas sistēmu aizsardzību;
9.8. iekšējās kontroles sistēmas regulāru pārskatīšanu, efektivitātes novērtēšanu un pilnveidi atbilstoši izmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos;
9.9. atbilstošu atalgojuma sistēmu;
9.10. neatkarīgu iekšējās kontroles funkciju darbību;
9.11. ārpakalpojumu izmantošanas pārvaldību, ja iestāde tos izmanto.
10. Iestāde izveido efektīvu sadarbības mehānismu starp iestādes padomi un valdi, lai nodrošinātu pietiekamu informācijas apriti to funkciju veikšanai.
11. Ja iestāde nav izveidojusi padomi, iestādes padomes pienākumu izpildi nodrošina iestādes dalībnieku sapulce.
12. Iestāde izstrādā un dokumentē tās attīstības stratēģiju, kurā nosaka:
12.1. darbības mērķus, t.sk. plānoto finansiālo stāvokli, darbības veidus, mērķa tirgus, mērķa klientus, ilgtermiņa finanšu intereses un maksātspēju;
12.2. risku stratēģiju, t.sk. iestādes riska profilu un riskus, kurus iestāde vēlas uzņemties (risk appetite), pieļaujamo risku līmeni (risk tolerance) un galējo iespējamo risku līmeni, kuru iestāde spēj segt ar tai pieejamajiem resursiem (risk capacity), rīcību pieļaujamā risku līmeņa ievērošanas nodrošināšanai, kā arī iestādes rīcību gadījumā, ja riska profils pārsniedz pieļaujamo risku līmeni;
12.3. kapitāla pietiekamības uzturēšanas stratēģiju, t.sk. ar iestādes plānoto darbību saistīto risku segšanai nepieciešamā kapitāla apmēru, vēlamo kapitāla līmeni (kapitāla pietiekamības mērķus) un tā sasniegšanas plānu, kapitāla palielināšanas avotus, paredzamos izdevumus papildu kapitāla piesaistīšanai, kapitāla pietiekamību regulējošo prasību ievērošanas nodrošināšanas plānu, kapitāla pietiekamības uzturēšanas plānu ārkārtas gadījumos;
12.4. mērķus likviditātes pārvaldības jomā, ņemot vērā iestādes darbību raksturojošos rādītājus un finansiālo stāvokli, kā arī regulējošās prasības.
13. Nosakot kapitāla pietiekamības uzturēšanas stratēģiju, iestāde analizē, izvērtē un dokumentē iespējamos iestādes darbības attīstības scenārijus atkarībā no dažādiem ārējo apstākļu attīstības scenārijiem, ņemot vērā valstu, kurās iestāde veic vai plāno veikt darbību, makroekonomisko rādītāju dažādus attīstības scenārijus, iestādes darbību ietekmējošo nozaru iespējamās attīstības tendences, piemēram, ieviešot inovatīvus finanšu pakalpojumus (t.sk. uz tehnoloģijām balstītus (FinTech)), iespējamās izmaiņas atbilstības likumos, noteikumos un standartos, konkurentu darbības un citus faktorus, kas var būtiski ietekmēt iestādes mērķu sasniegšanu. Ārējo apstākļu attīstības scenāriju analīzes gaitā iestāde veic arī stresa testēšanu (stress testing) – identificē tādus iespējamos notikumus vai iespējamās izmaiņas tirgus nosacījumos, kurām var būt negatīva ietekme uz iestādes darbību un kuras var kavēt iestādes mērķu sasniegšanu, kā arī novērtē šādu notikumu vai izmaiņu tirgus nosacījumos ietekmi uz iestādes kapitāla apmēru.
14. Iestāde izstrādā darbības plānu katram gadam, kurā norāda vismaz nākamajā gadā plānoto iestādes finansiālo stāvokli, vietu tirgū, darbības mērķus attiecīgajā periodā, darbības veidus un raksturīgākos darījumus, potenciālos riskus un pieļaujamos risku līmeņus un darbības rezultātu novērtēšanas kritērijus.
15. Iestāde nodrošina atbilstošu tās darbības organizāciju, t.sk.:
15.1. izveido iestādes lielumam un darbības riskiem atbilstošu un caurskatāmu organizatorisko struktūru;
15.2. izvairās no sarežģītu struktūru izveides;
15.3. nosaka iestādes korporatīvās vērtības un augstus profesionālās rīcības un ētikas standartus;
15.4. nodrošina interešu konflikta situāciju pārvaldīšanu;
15.5. nosaka un īsteno atbilstošu risku kultūru;
15.6. izstrādā darbinieku atalgojuma sistēmu, atalgojuma politiku un personāla politiku, kā arī nodrošina iestādes personāla atbilstību ieņemamajam amatam.
16. Iestāde, kas ir mātes sabiedrība, nodrošina grupas līmeņa politiku ieviešanu iekšējās kontroles sistēmas izveides jomā attiecībā uz visām meitas sabiedrībām, kas iekļautas konsolidācijas grupā saskaņā ar Regulu Nr. 2019/2033, (tālāk tekstā – prudenciālās konsolidācijas grupa), ņemot vērā attiecīgās valsts, kurā atrodas meitas sabiedrība, normatīvo aktu prasības, kā arī uzrauga to īstenošanu. Mātes sabiedrība un prudenciālās konsolidācijas grupā ietilpstošās meitas sabiedrības nodrošina attiecīgo grupas līmeņa politiku ieviešanu un nepieciešamo informācijas apmaiņas kārtību arī trešajās valstīs reģistrētajās meitas sabiedrībās, kurām nav saistoši tiesību akti, kas ievieš Eiropas Parlamenta un Padomes 2019. gada 27. novembra Direktīvas (ES) 2019/2034 par ieguldījumu brokeru sabiedrību prudenciālo uzraudzību un ar ko groza Direktīvas 2002/87/EK, 2009/65/EK, 2011/61/ES, 2013/36/ES, 2014/59/ES un 2014/65/ES (tālāk tekstā – Direktīva 2019/2034) prasības, t.sk. ārzonā reģistrētajās meitas sabiedrībās.
17. Iestāde izveido pārskatāmu tās organizatorisko struktūru, ņemot vērā iestādes darbības apjomu, veidu, sarežģītību un specifiku, kā arī nepieciešamību nodrošināt, ka izveidotā organizatoriskā struktūra veicina atbilstību regulējošajām prasībām un citiem normatīvajiem aktiem, t.sk. noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas jomā.
18. Iestāde dokumentē tās organizatorisko struktūru, nosakot padomes (t.sk. padomes priekšsēdētāja un padomes komiteju), valdes (t.sk. valdes priekšsēdētāja), struktūrvienību un struktūrvienību vadītāju pienākumus (funkcijas), pilnvaras un atbildību darījumu veikšanā un kontrolē, un sagatavo darba aprakstus (dienesta instrukcijas) atbildīgajiem darbiniekiem. Dokumentējot organizatorisko struktūru, iestāde nosaka struktūrvienības un darbiniekus, kuri ir atbildīgi par iekšējās kontroles funkciju veikšanu iestādē, ievērojot šo noteikumu XII nodaļas prasības.
19. Iestāde nodrošina pārskatāmu un saprotamu valdes locekļu individuālo pienākumu (funkciju) sadali, nodrošinot iestādei būtiskāko jomu (t.sk. iestādei specifiskie darbības veidi, risku pārvaldības joma, darbības atbilstības joma, noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska pārvaldības joma) sadalījumu starp valdes locekļiem, ņemot vērā šo noteikumu XI nodaļā minētās valdes funkcijas. Šajā punktā minēto individuālo pienākumu sadalījumu, ņemot vērā iestādes būtiskākās darbības jomas, ieteicams piemērot arī iestādes padomei, ņemot vērā šo noteikumu X nodaļā minētās iestādes padomes funkcijas.
20. Iestāde nodrošina, ka valdes sastāvs ir atbilstoši strukturēts, ņemot vērā iestādes darbības specifiku un valdes locekļu kolektīvo un individuālo kompetenci, īstenojot samērīgu valdes locekļu, kuri atbild par kontroles jomām, pārstāvniecību.
21. Iestāde, dokumentējot tās organizatorisko struktūru, nosaka tiešo kontaktu (ziņošanas) kanālus starp struktūrvienību, kas veic iekšējās kontroles funkcijas, vadītājiem un padomi, kā arī attiecīgajām padomes līmeņa komitejām, ja tādas ir izveidotas.
22. Iestāde nodrošina, ka atbildības jomu un funkciju sadale starp iestādes padomes un valdes locekļiem ir atbilstoša izveidotajai organizatoriskajai struktūrai, kā arī nodrošina struktūrvienību, kas veic iekšējās kontroles funkcijas, atbildīgo darbinieku hierarhiski atbilstošu vietu iestādes organizatoriskajā struktūrā, ņemot vērā šajos noteikumos paredzētās neatkarības un autoritātes prasības, t.sk. iestāde nodrošina, ka tās organizatoriskajā struktūrā:
22.1. iekšējā audita funkcija neatrodas valdes pakļautībā;
22.2. risku kontroles funkcijas un darbības atbilstības kontroles funkcijas vadītāji ieņem vienu no šādiem amatiem:
22.2.1. valdes loceklis;
22.2.2. pamatfunkciju veicējs, kurš ir organizatoriski un funkcionāli tieši pakļauts atbilstošajam valdes loceklim, ja tiek ievērota šo noteikumu 96. punkta prasība par iekšējās kontroles funkciju neatkarību no iestādes darbībām, kuras tās kontrolē;
22.3. tiek nodrošināta iekšējās kontroles funkciju veicēju neatkarība no biznesa funkcijām, t.sk. tiek nodrošināts, ka valdes priekšsēdētājs vienlaikus nav atbildīgs par risku kontroles funkcijas, darbības atbilstības kontroles funkcijas un par noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas prasību izpildi atbildīgās personas pienākumu veikšanu vai pārraudzību.
23. Iestāde nodrošina, ka tās organizatoriskā struktūra tiek pārskatīta ne retāk kā reizi gadā un pēc nepieciešamības atjaunota.
24. Dokumentējot organizatorisko struktūru, iestāde nosaka pārskatu sniegšanas un informācijas apmaiņas kārtību iestādē, t.sk. nosaka, kādu informāciju, kam un kad ir pienākums sniegt un saņemt un kāda informācija ir konfidenciāla un aizsargājama.
25. Iestāde nodrošina efektīvu un savlaicīgu visas iestādes struktūrvienību darbības nodrošināšanai nepieciešamās informācijas apmaiņu starp šīm struktūrvienībām, t.sk. iestādes padomi un valdi un iekšējās kontroles funkciju struktūrvienībām.
26. Iestāde nodrošina, ka tās padomes un valdes locekļi pārzina būtiskos ar iestādes darbības organizāciju saistītos aspektus, finansiālo stāvokli un risku novērtējumu, kā arī ir informēti par visiem lēmumiem, kuriem ir būtiska ietekme uz iestādes darbību.
27. Iestāde, kura ir mātes sabiedrība, nodrošina:
27.1. informācijas apmaiņu starp grupā esošajām iestādēm;
27.2. atbilstošu un pārskatāmu grupas kopējo struktūru;
27.3. grupas ietvaros esošo iestāžu risku veidu un apjoma atbilstību grupas stratēģijā noteiktajam riska profilam;
27.4. grupas ietvaros esošo iestāžu darbības atbilstību grupas kopējai noteiktajai darbības stratēģijai un regulējošajām prasībām individuāli un prudenciālās konsolidācijas grupas ietvaros, vienlaikus ņemot vērā šo noteikumu 16. punktā minēto attiecībā uz iestādēm, kurām nav tieši saistoši tiesību akti, kas pārņem Direktīvas 2019/2034 prasības.
28. Nosakot darbinieku pienākumus un piešķirot tiem pilnvaras, iestāde ievēro pienākumu dalīšanas principu, kas izpaužas kā to pienākumu (funkciju) nodalīšana, kas, ja tos apvienotu, ļautu kādam darbiniekam vienpersoniski veikt kādu darījumu pilnībā.
29. Dokumentējot pilnvaru piešķiršanu, iestāde norāda piešķirto pilnvaru veidu, personas (norādot amatu) un struktūrvienības, kam piešķirtas pilnvaras, pārpilnvarojuma tiesības, kā arī visus piešķirto pilnvaru izmantošanas ierobežojumus. Iestāde, piešķirot darbiniekiem pilnvaras, nodrošina, ka darbinieki tiek iepazīstināti ar tiem piešķirtā pilnvarojuma apjomu.
30. Ikviena darījuma veikšanai ir nepieciešama attiecīgā iestādes darbinieka vai amatpersonas atļauja vai rīkojums vai iestādes struktūrvienības (piemēram, komitejas) lēmums saskaņā ar organizatoriskajā struktūrā noteiktajiem atbildības līmeņiem. Iestāde, kas izmanto digitālo tehnoloģiju risinājumus darījumu vērtēšanai un apstiprināšanai, nosaka piemērotus šādu darījumu apmēra limitus un nodrošina, ka regulāri tiek veikta šādu darījumu pārbaude, kā arī tiek izvērtēta automatizēti pieņemto lēmumu atbilstība iestādes risku stratēģijai.
31. Būtiskiem darbības veidiem iestāde izstrādā un dokumentē darījumu veikšanas un kontroles kārtību (operacionālās procedūras). Operacionālās procedūras ietver vismaz darījuma veicēja pilnvarošanas kārtību (t.sk. norāda dokumentus, kurus nepieciešams noformēt lēmumu pieņemšanas procesā, līdz tiek apstiprināta darījuma veikšana, un atbildīgos darbiniekus vai amatpersonas, kuras apliecina attiecīgo lēmumu pieņemšanu), ierobežojumu noteikšanu, lai nodrošinātu darījuma atbilstību iestādes politikai un atbilstības likumiem, noteikumiem un standartiem, kā arī darījuma apstrādes un kontroles kārtību.
32. Iestāde izvairās no tādu struktūrvienību vai meitas sabiedrību izveides, kuras ierobežo iestādes darbības caurskatāmību un prudenciālās konsolidācijas grupas struktūras caurskatāmību un kuru izveidei nav racionāla ekonomiska pamatojuma. Iestāde ņem vērā, ka šādu struktūrvienību vai meitas sabiedrību izveide rada paaugstinātu risku veidoties saiknei ar finanšu noziegumiem (t.sk. veicina noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska palielināšanos), kā arī šādas struktūrvienības var atstāt negatīvu ietekmi uz iestādes reputāciju.
33. Iestāde, apsverot tādu struktūrvienību vai meitas sabiedrību, kas ierobežo iestādes darbības caurskatāmību un prudenciālās konsolidācijas grupas kopējās struktūras caurskatāmību, izveidi, ņem vērā:
33.1. jurisdikcijas, kurā plānots izveidot attiecīgo struktūrvienību vai meitas sabiedrību, atbilstību Eiropas Savienības un starptautiskajiem standartiem par pārredzamu nodokļu sistēmu (tax transparency) un atbilstību noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas standartiem, kā arī citiem standartiem, kas vērsti uz ekonomisko un finanšu noziegumu ierobežošanu;
33.2. plānotās veidojamās sarežģītās struktūras ekonomisko un juridisko pamatotību, t.sk. tad, ja šādas struktūras izveide izriet no klienta vai klientu grupas pieprasījuma;
33.3. iespējamo apgrūtinājumu noskaidrot patieso labuma guvēju attiecīgās struktūrvienības vai meitas sabiedrības izveides rezultātā;
33.4. iestādes padomes un valdes spēju uzraudzīt izveidoto struktūrvienību vai meitas sabiedrību, kā arī riskus, kas saistīti ar izveidoto sarežģīto struktūru;
33.5. iespējamos ierobežojumus Komisijai uzraudzīt iestādi vai prudenciālās konsolidācijas grupu.
34. Ja iestāde izveido tādas struktūrvienības vai meitas sabiedrības, kas ierobežo iestādes darbības caurskatāmību (piemēram, meitas sabiedrības, kas reģistrētas zemu nodokļu valstīs vai beznodokļu valstīs, kas par tādām ir noteiktas attiecīgajos normatīvajos aktos (t.i., izveido ārzonā reģistrētas meitas sabiedrības), vai meitas sabiedrības, kas reģistrētas tādās valstīs, kuru tiesību akti pēc būtības dod tiesības meitas sabiedrībām veikt ārzonā reģistrētām meitas sabiedrībām līdzīgu saimniecisko darbību), iestāde izstrādā, dokumentē un īsteno atbilstošu politiku un procedūras, lai nodrošinātu, ka:
34.1. ir noteikti un dokumentēti šo struktūrvienību vai meitas sabiedrību izveides mērķi;
34.2. ir skaidri noteiktas un dokumentētas šo struktūrvienību vai meitas sabiedrību pilnvaras un atbildība darījumu veikšanā;
34.3. visi ar šo struktūrvienību vai meitas sabiedrību darbību saistītie riski (t.sk. reputācijas un juridiskais risks) tiek identificēti un pārvaldīti;
34.4. ir noteiktas piesardzīgas darījumu apstiprināšanas un risku kontroles procedūras, t.sk. noteikti atbilstoši darījumu ierobežojumi un limiti, paredzēti risku mazinošie pasākumi, to apjoms un piemērošanas kārtība;
34.5. iestādes padome un valde regulāri saņem informāciju par šo struktūrvienību vai meitas sabiedrību darbības veidiem un apmēru, to darbībai piemītošajiem riskiem un risku apjomu, kā arī citu lēmumu pieņemšanai nepieciešamo informāciju;
34.6. regulāri tiek veikts šo struktūrvienību vai meitas sabiedrību darbības novērtējums, t.sk. analizēta to izveides un darbības nepieciešamība un lietderība, novērtēta to darbības atbilstība noteiktajiem darbības mērķiem, atbilstības likumiem, noteikumiem un standartiem, iestādes apstiprinātajiem plāniem, politikām un procedūrām;
34.7. iekšējās kontroles funkciju ietvaros tiek veikta attiecīgo struktūrvienību vai meitas sabiedrību kontrole;
34.8. iekšējā audita funkcija regulāri, bet ne retāk kā reizi gadā veic šo struktūrvienību vai meitas sabiedrību darbības pārbaudi, ņemot vērā uz risku balstītu pieeju (risk-based approach).
35. Papildus šo noteikumu 34.5. punktā noteiktajam par attiecīgo struktūrvienību vai meitas sabiedrību darbības un risku novērtējumu iestāde regulāri informē gan mātes sabiedrības valdi un padomi (ja tāda ir izveidota), gan zvērinātu revidentu vai zvērinātu revidentu komercsabiedrību (tālāk tekstā abi kopā – zvērināts revidents), kas veic iestādes vai konsolidācijas grupas iestāžu finanšu pārskatu revīziju.
36. Iestāde nosaka un dokumentē iestādes korporatīvās vērtības, t.sk. nosaka augstus profesionālās rīcības un ētikas standartus, lai nodrošinātu, ka iestādes padomes locekļi, valdes locekļi, personas, kuras pilda pamatfunkcijas, struktūrvienību vadītāji un citi iestādes darbinieki veic savus pienākumus ar vislielāko godprātību, savu amata pienākumu izpildē un lēmumu pieņemšanā ir objektīvi, ievēro atbilstības likumus, noteikumus un standartus, respektē informācijas par darījumu un klientu konfidencialitāti un komercnoslēpumu, t.sk. ievēro personas datu aizsardzības pamatprincipus, un to rīcība un uzvedība atbilst augstiem ētikas standartiem. Īpaši svarīgi, lai šie standarti vērstos pret korupciju, nelikumīgu iekšējās informācijas izmantošanu un jebkuru citu nelikumīgu, neētisku vai apšaubāmu rīcību, kā arī mazinātu riskus, kas saistīti ar operacionālo darbību un reputāciju.
37. Iestāde nodrošina, ka tās izstrādātās politikas, t.sk. atalgojuma, pieņemšanas darbā, karjeras attīstības, apmācību u.c. politikas, ir dzimumneitrālas un visiem darbiniekiem tiek nodrošinātas vienlīdzīgas karjeras attīstības iespējas.
38. Iestādes darbinieki, sniedzot informāciju klientiem vai potenciālajiem klientiem, nodrošina, ka tā ir skaidra, precīza, patiesa un pilnīga (klientam tiek atklāti visi būtiskie riski), kā arī nav maldinoša. Iestādes darbinieki ievēro klientu interešu aizsardzības pamatprincipus savā ikdienas darbā un komunikācijā ar klientiem vai potenciālajiem klientiem.
39. Iestāde, nodrošinot interešu konflikta situāciju pārvaldīšanu iestādē, veic atbilstošus organizatoriskos un administratīvos pasākumus, kas novērš klientu vai potenciālo klientu interešu nelabvēlīgu ietekmēšanu.
40. Iestāde nodrošina saviem darbiniekiem iespēju ziņot (whistle blow) par faktiskiem vai potenciāliem iekšējās kontroles sistēmas trūkumiem, izteikt priekšlikumus to novēršanai un ziņot par nelikumīgiem vai neētiskiem darījumiem, t.sk. par interešu konflikta situācijām. Iestāde izstrādā un dokumentē atbilstošas procedūras, iepazīstina ar tām iestādes darbiniekus un nodrošina, ka tiek ievēroti šādi principi:
40.1. tiek nodrošināta darbinieku ziņojumu konfidencialitāte un darbinieku aizsardzība pret iespējamiem diskriminējošiem vai disciplināriem pasākumiem gan attiecībā pret darbinieku, kas ziņojis, gan attiecībā pret darbinieku, par kuru ziņots, līdz visu apstākļu noskaidrošanai un jebkādu korektīvo vai disciplināro pasākumu īstenošanai, vienlaikus nodrošinot, ka darbinieks, kurš ziņojis, saglabā anonimitāti un neaizskaramību tādā mērā, kā paredz nacionālie tiesību akti vai kompetento iestāžu izmeklēšanas procesuālā kārtība, ja tas ir attiecināms uz konkrēto ziņošanas gadījumu;
40.2. ziņošanas procesā iesaistīto personu tiesības uz personas datu aizsardzību un konfidencialitāti tiek nodrošinātas saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 94/46/EK (Vispārīgā datu aizsardzības regula) prasībām;
40.3. darbiniekiem tiek nodrošināta iespēja ziņot par iekšējās kontroles sistēmas trūkumiem un nelikumīgiem vai neētiskiem darījumiem, apejot iestādes organizatoriskajā struktūrā noteikto pakļautību (piemēram, ziņot tieši struktūrvienības, kas atbildīga par darbības atbilstības kontroles funkciju veikšanu, vadītājam vai struktūrvienības, kas veic iekšējā audita funkciju, vadītājam);
40.4. procedūru apraksti ir pieejami rakstveidā papīra formā vai elektroniski visiem iestādes darbiniekiem;
40.5. iestādes padome un valde saņem informāciju par iestādes darbinieku ziņojumiem par trūkumiem iekšējās kontroles sistēmā un nelikumīgiem vai neētiskiem darījumiem un lemj par nepieciešamību veikt korektīvos pasākumus.
41. Iestāde izstrādā un dokumentē iestādes kopējo interešu konflikta situāciju pārvaldīšanas politiku un procedūras attiecībā uz visiem iestādes darbiniekiem un amatpersonām, kas nodrošina faktisko vai potenciālo interešu konflikta situāciju savlaicīgu identificēšanu un pārvaldīšanu un nosaka rīcību interešu konflikta situāciju, kuras var rasties starp attiecīgo personu interesēm un iestādes interesēm, novēršanai, t.sk.:
41.1. novērš tādu apstākļu izveidošanos, kuros rodas vai var rasties interešu konflikta situācija, piemēram, nodrošinot atbilstošu pienākumu sadali starp iestādes darbiniekiem un amatpersonām;
41.2. nodrošina, ka iestādes darbinieks vai amatpersona savu amata pienākumu izpildē atturas no lēmumu pieņemšanas par iestādes darījumiem vai cita veida profesionālajām darbībām iestādē, kurās šim iestādes darbiniekam vai amatpersonai rodas vai var rasties interešu konflikta situācija;
41.3. nodrošina, ka struktūrvienības, kas veic darbības, starp kurām rodas vai var rasties interešu konflikta situācija, ir savstarpēji neatkarīgas (piemēram, ir noteiktas informācijas barjeras, atšķirīga organizatoriskā pakļautība).
42. Iestāde, izstrādājot interešu konflikta situāciju pārvaldīšanas politiku un atbilstošās procedūras, nodrošina adekvātu interešu konflikta situāciju identificēšanu un novēršanas vai ierobežošanas pasākumu īstenošanu, kas ietver:
42.1. identificēto interešu konflikta situāciju būtiskuma izvērtēšanu, ņemot vērā šo noteikumu 43. punktā minētos interešu konflikta situāciju kvantitatīvos un kvalitatīvos kritērijus, atbilstoši kuriem tās klasificējamas kā būtiskas interešu konflikta situācijas;
42.2. identificēto interešu konflikta situāciju iedalīšanu kategorijās, ņemot vērā interešu konflikta situāciju veidu, piemēram, paliekoši interešu konflikta situāciju veidi, kas paredz pastāvīgu to pārvaldīšanu, vai interešu konflikta situācijas, kurām ir gadījuma rakstura ietekme un kuras paredz vienreiz pielietojamus pārvaldības pasākumus;
42.3. adekvātu pienākumu sadali, uzticot veikt citam atbilstošam darbiniekam vai amatpersonai interešu konflikta situācijā esoša darbinieka vai amatpersonas pienākumus, kuri skar interešu konflikta situācijā esošu darbību.
43. Iestāde, ņemot vērā šajos noteikumos minētos interešu konflikta situāciju pārvaldības principus un risku stratēģiju, nosaka interešu konflikta situācijas kvantitatīvos un kvalitatīvos kritērijus, atbilstoši kuriem tā klasificējama kā būtiska interešu konflikta situācija. Iestāde nosaka atbilstošu rīcību attiecībā uz interešu konflikta situācijām atkarībā no tā, vai tās ir klasificētas kā būtiskas vai nebūtiskas.
44. Ja iestādes darbinieks vienlaikus ir akcionārs vai iestādes klients, tad šāds statuss pats par sevi nav uzskatāms par interešu konflikta situāciju, ja vien netiek pārsniegti iestādes noteiktie interešu konflikta situācijas kvantitatīvie un kvalitatīvie kritēriji.
45. Iestāde nosaka un dokumentē par interešu konflikta situāciju pārvaldību iestādē atbildīgo darbinieku vai struktūrvienību pienākumu aprakstu, ņemot vērā šajos noteikumos minētos interešu konflikta situāciju pārvaldības principus un iestādes padomes un valdes funkcijas.
46. Iestāde dokumentē jebkuru identificēto interešu konflikta situāciju iestādē attiecībā uz iestādes darbiniekiem un amatpersonām, kā arī pārvaldības pasākumus, kas paredzēti šīs situācijas pārvaldīšanai vai novēršanai, ņemot vērā identificētās interešu konflikta situācijas būtiskumu.
47. Iestāde, kas ir mātes sabiedrība, veidojot prudenciālās konsolidācijas grupas kopējās interešu konflikta situāciju pārvaldīšanas politikas un procedūras, ņem vērā identificētās faktiskās vai potenciālās interešu konflikta situācijas grupas ietvaros, izvērtējot ne tikai grupas kopējo interešu aizsardzību, bet arī atsevišķu sabiedrību, kuras ietilpst grupā, interešu aizsardzību.
48. Iestāde, nodrošinot interešu konflikta situāciju pārvaldīšanu, ņem vērā prudenciālās konsolidācijas grupas ietvaros esošās interešu konflikta situāciju pārvaldīšanas politikas un procedūras.
Papildu prasības interešu konflikta situāciju pārvaldīšanai attiecībā uz amatpersonām un ar iestādi saistītajām personām
49. Iestāde, izstrādājot interešu konflikta situāciju pārvaldīšanas politiku attiecībā uz amatpersonām, paredz izvērtēt vismaz šo personu:
49.1. ekonomiskās intereses;
49.2. personiskās, profesionālās un ekonomiskās attiecības ar citiem iestādes darbiniekiem vai amatpersonām, personām, kurām ir būtiska finansiālā līdzdalība iestādē, un citām ieinteresētajām pusēm (external stakeholders), kā arī ar prudenciālās konsolidācijas grupā, kurā ietilpst iestāde, esošo iestāžu darbiniekiem;
49.3. darba tiesiskās attiecības pēdējo piecu gadu laikā;
49.4. līdzdalību citu komercsabiedrību kapitālā, ja šāda līdzdalība ietekmē vai var ietekmēt attiecīgās personas intereses.
50. Iestādei ir pienākums iegūt no amatpersonām informāciju, lai izvērtētu un novērstu šo personu ārpus iestādes veiktu darbību nelabvēlīgu ietekmi attiecībā pret iestādi un tās interesēm, t.sk. informāciju, kas raksturo šo personu politiska rakstura ietekmi un politiskās saiknes (political relationships).
51. Iestāde, izstrādājot interešu konflikta situāciju pārvaldīšanas politiku un procedūras attiecībā uz amatpersonām, identificē arī faktiskās vai potenciālās interešu konflikta situācijas attiecībā uz šo personu laulātajiem, vecākiem un bērniem, kā arī veic identificēto faktisko vai potenciālo interešu konflikta situāciju pārskatīšanu ne retāk kā vienu reizi gadā.
52. Iestāde nosaka ierobežojumus iestādes padomes un valdes locekļiem ieņemt amatus ar iestādi konkurējošās sabiedrībās, izņemot sabiedrības, kuras ietilpst ar iestādi vienā prudenciālās konsolidācijas grupā.
53. Iestāde papildus šo noteikumu 41. punktā minētajam dokumentē jebkuru identificēto interešu konflikta situāciju iestādē attiecībā uz iestādes padomes un valdes locekļiem gan individuāli, gan kolektīvi, kā arī pārvaldības pasākumus, kas paredzēti šīs situācijas pārvaldīšanai vai novēršanai, t.sk. tad, ja šī situācija ir identificēta kā nebūtiska interešu konflikta situācija saskaņā ar šo noteikumu 43. punktā minētajiem kvantitatīvajiem un kvalitatīvajiem kritērijiem.
54. Iestāde nodrošina, ka interešu konflikta situāciju pārvaldība attiecībā uz iestādes padomes un valdes locekļiem tiek organizēta tā, lai iestādes padomes un valdes locekļi lēmumu pieņemšanā rīkotos neatkarīgi (independence of mind) un tikai iestādes interesēs, ņemot vērā iestādes izstrādāto interešu konflikta situāciju pārvaldīšanas politiku attiecībā uz amatpersonām, t.sk. iestādes noteiktos kvantitatīvos un kvalitatīvos kritērijus, atbilstoši kuriem interešu konflikta situācija būtu klasificējama kā būtiska interešu konflikta situācija, saskaņā ar šo noteikumu 43. punktā minēto.
55. Iestādes amatpersona savu amata pienākumu izpildē novērš interešu konflikta rašanos un atturas no lēmumu pieņemšanas par iestādes darījumiem, kuros šai amatpersonai rodas vai var rasties interešu konflikts. Iestādes padomes vai valdes loceklis ziņo iestādes padomei, bet persona, kura pilda pamatfunkcijas, ziņo iestādes padomei vai valdei par darījumiem, kuros šai amatpersonai tieši vai netieši rodas, var rasties vai jau ir radies interešu konflikts. Iestāde dokumentē savus lēmumus un rīcību interešu konflikta situāciju, par kurām ir ziņots saskaņā ar šajā punktā minēto kārtību, pārvaldīšanā.
56. Iestāde, izstrādājot interešu konflikta situāciju pārvaldīšanas politiku un atbilstošās procedūras, nodrošina adekvātu interešu konflikta situāciju identificēšanu un novēršanas vai ierobežošanas pasākumu īstenošanu gadījumos, kad darījumi tiek veikti ar personām, kuras ir saistītas ar iestādi.
57. Iestāde nodrošina, ka šo noteikumu 56. punktā minētās politikas un procedūras ietver:
57.1. lēmumu pieņemšanas kārtību;
57.2. darījumu klasifikāciju;
57.3. darījumu piešķiršanas un izpildes nosacījumus;
57.4. interešu konflikta riska novērtēšanas kārtību pirms darījuma veikšanas;
57.5. interešu konflikta situāciju aprakstu;
57.6. darījumu dokumentēšanas kārtību, kas ietver šādu informāciju:
57.6.1. darījuma partnera vārds un uzvārds vai nosaukums un tā statuss;
57.6.2. darījuma veids, būtība un summa;
57.6.3. darījumam piemērojamie noteikumi;
57.6.4. darījuma apstiprināšanas datums;
57.6.5. personas vārds un uzvārds vai struktūrvienības, kura pieņēmusi lēmumu par darījuma apstiprināšanu, nosaukums un lēmumā ietvertie nosacījumi;
57.6.6. informācija par to, vai darījums veikts saskaņā ar tirgus nosacījumiem;
57.6.7. informācija par to, vai darījums veikts saskaņā ar nosacījumiem, kas attiecināmi uz visiem iestādes darbiniekiem.
58. Iestāde nodrošina, ka informācija par darījumiem ar personām, kuras ir saistītas ar iestādi, ir aktuāla, tiek regulāri atjaunināta un pēc pieprasījuma tiek iesniegta Komisijai un personas dati, kas tiek iegūti, lai nodrošinātu šo noteikumu 56. punkta prasību izpildi, tiek glabāti ne mazāk kā trīs gadus pēc tam, kad ir izbeigtas attiecīgās personas darba vai tām pielīdzināmas tiesiskās attiecības ar iestādi.
59. Iestāde nodrošina visaptverošu iestādes risku kultūru, kas sekmē efektīvu risku pārvaldības procesu īstenošanu, ņemot vērā iestādes attīstības stratēģiju, t.sk. risku stratēģiju. Risku kultūras izveide paredz:
59.1. iestādes izstrādātu rīcības plānu, kas nosaka iestādes padomes un valdes uzstādījumus (tone from the top) attiecībā uz visu iestādes darbinieku un amatpersonu sagaidāmo rīcību risku pārvaldības procesu nodrošināšanā, ņemot vērā būtiskākās iestādes pamatvērtības (core values);
59.2. darbinieku un amatpersonu, kuru amata pilnvarās ietilpst iestādes vārdā uzņemties risku, informēšanu par to lomu un atbildību, veicot attiecīgos pienākumus;
59.3. efektīvas komunikācijas nodrošināšanu iestādē, kas veicina risku pārvaldības jomā sniegto viedokļu kritisku izvērtēšanu;
59.4. darbību, kas saistītas ar risku uzņemšanos, atbilstības iestādes riska profilam, ilgtermiņa interesēm un iestādes izvirzītajiem mērķiem nodrošināšanu.
60. Iestāde nodrošina, ka tās darbinieki ir informēti par saviem pienākumiem (t.sk. attiecībā uz risku identificēšanu un pārvaldīšanu), pārzina informāciju, kas saistīta ar to amata pienākumu izpildi, un tiem ir amata pienākumu izpildei atbilstoša kvalifikācija un pietiekama pieredze. Lai nodrošinātu darbinieku atbilstību, iestāde:
60.1. izstrādā un dokumentē personāla politiku un procedūras, kas nosaka struktūrvienību vadītāju amatos esošo darbinieku atlases kārtību, atalgojumu, pārraudzību un amata pēctecības plānošanu, prasības dažādiem amatiem nepieciešamajām iemaņām, potenciālo darbinieku atbilstības novērtēšanas kritērijus un kārtību;
60.2. iepazīstina darbiniekus ar informāciju, kas saistīta ar šo darbinieku amata pienākumu izpildi (iestādes attīstības stratēģiju, darbības plānu katram gadam, korporatīvajām vērtībām, profesionālās rīcības un ētikas standartiem, interešu konflikta situāciju pārvaldības politiku un atbilstošajām procedūrām, operacionālajām procedūrām, risku pārvaldīšanas politikām un kontroles procedūrām, risku kultūru, atbilstības likumiem, noteikumiem un standartiem);
60.3. izstrādā un dokumentē darbinieku profesionālo mācību programmu, kuras mērķis ir sagatavot darbiniekus attiecīgā amata pienākumu izpildei un nepārtraukti pilnveidot darbinieku zināšanas, kā arī darbinieku informēšanas kārtību par izmaiņām politikās, procedūrās, atbilstības likumos, noteikumos un standartos, kas saistītas ar šo darbinieku amata pienākumu izpildi;
60.4. izstrādā un dokumentē darbinieku atalgojuma sistēmu, nodrošinot, ka tā nav atkarīga tikai no īstermiņa mērķu sasniegšanas (t.sk. īstermiņa peļņas gūšanas) un neveicina tādu risku uzņemšanos, kurus iestāde nevar efektīvi pārvaldīt.
61. Iestāde nodrošina, ka gan padomei, gan valdei kolektīvi ir pietiekama pieredze un zināšanas par visiem būtiskajiem iestādes darbības veidiem un riskiem. Iestāde arī nodrošina, ka gan padomei, gan valdei kolektīvi ir pietiekama pieredze un zināšanas (vai nepieciešamības gadījumā iespēja saņemt konsultāciju) vismaz tādās jomās kā finanses, grāmatvedība un revīzija, ieguldījumu pakalpojumu sniegšana, maksājumu sistēmas, stratēģiskā plānošana, pārvaldība, risku pārvaldīšana, iekšējās kontroles funkcijas un atbilstības likumi, noteikumi un standarti. Iestāde veic padomes un valdes locekļu piemērotības novērtēšanu atbilstoši Komisijas normatīvajiem noteikumiem par valdes un padomes locekļu un personu, kuras pilda pamatfunkcijas, piemērotības novērtēšanu (tālāk tekstā – piemērotības novērtēšanas noteikumi).
62. Lai nodrošinātu, ka katram padomes un valdes loceklim ir pietiekama kompetence un prasmes, lai veiktu amata pienākumus gan padomes vai valdes, gan to komiteju, ja tādas ir izveidotas, darbā, iestāde nodrošina, ka nepieciešamības gadījumā katram padomes un valdes loceklim ir iespēja saņemt atbilstošu iekšēju vai ārēju apmācību vai konsultāciju (piemēram, par iestādes būtiskajiem, jaunajiem vai plānotajiem finanšu pakalpojumiem, par darbības veidiem un to riska profilu vai par normatīvajiem aktiem valstīs, kurās iestāde veic darbību).
63. Ja iestāde ir izveidojusi risku komiteju, tā nodrošina, ka tās locekļiem individuāli un kolektīvi ir pietiekama pieredze un zināšanas, lai nodrošinātu to funkciju izpildi. Iestāde, kura nav izveidojusi komiteju, nodrošina, ka padome pilnā sastāvā ir ar pietiekamu kolektīvo pieredzi un zināšanām, lai nodrošinātu attiecīgās komitejas funkciju izpildi.
64. Iestāde izvērtē nepieciešamību nodrošināt iestādes padomē vismaz vienu neatkarīgu padomes locekli (independent member), kas atbilst piemērotības novērtēšanas noteikumos minētajiem neatkarības statusa noteikšanas kritērijiem, un dokumentē šīs personas izvērtējumu.
65. Padomes un valdes locekļi velta pietiekami daudz laika savu pienākumu izpildei (arī komiteju ietvaros), t.sk. valdes locekļi velta pietiekamu laiku risku pārvaldīšanas nodrošināšanai iestādē, bet padomes locekļi tās uzraudzīšanai, saskaņā ar piemērotības novērtēšanas noteikumos minētajiem principiem.
66. Iestāde izstrādā, dokumentē un īsteno atbilstošas politikas un procedūras visu iestādes darbībai piemītošo būtisko risku identificēšanai un pārvaldīšanai, t.sk. mērīšanai, novērtēšanai, kontrolei un risku pārskatu sniegšanai. Šīs politikas un procedūras aptver visus iestādes darbības virzienus, risku identificēšanā un pārvaldīšanā iesaistīto darbinieku, amatpersonu un atbildīgo struktūrvienību lomu un pienākumus.
67. Veicot iestādes darbībai piemītošo būtisko risku identificēšanu, iestāde regulāri novērtē, kādi riski var nelabvēlīgi ietekmēt tās darbības mērķu sasniegšanu, t.sk. nosaka tās darbībai piemītošos un varbūtējos riskus, kurus iestāde rada vai var radīt saviem klientiem, un likviditātes riskus, īpaši tos, kas var būtiski ietekmēt vai samazināt pieejamā pašu kapitāla līmeni.
68. Iestāde nodrošina, ka būtisko risku identificēšanai tiek izmantoti atbilstoši kvantitatīvie un kvalitatīvie kritēriji, t.sk. stresa testēšana. Iestāde dokumentē veiktā novērtējuma rezultātus un nodrošina, ka tajā ietvertie secinājumi ir pamatoti un atbilstoši iestādes darbības specifikai tiek izvērtēti vismaz šādi riski:
68.1. klientu risks;
68.2. tirgus risks;
68.3. iestādes darbības atbilstības risks;
68.4. likviditātes risks;
68.5. operacionālais risks;
68.6. noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas risks un sankciju risks;
68.7. pārējie iestādes darbību ietekmējošie riski.
69. Iestāde nodrošina vides, sociālo un pārvaldības (environmental, social and governance, tālāk tekstā – ESG) riska faktoru integrēšanu iestādes risku pārvaldības sistēmā, ņemot vērā to ietekmi uz iestādei piemītošajiem būtiskajiem riskiem.
70. Iestāde nodrošina noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska un sankciju riska integrēšanu iestādes risku pārvaldības sistēmā, kā arī nodrošina to pārvaldīšanu atbilstoši Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumā, Starptautisko un Latvijas Republikas nacionālo sankciju likumā, kā arī Komisijas normatīvajos noteikumos, kas nosaka noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska pārvaldīšanu un sankciju riska pārvaldīšanu, noteiktajām prasībām.
71. Riskiem, kurus iestāde identificējusi kā tās darbībai būtiskus, iestāde izstrādā, dokumentē un īsteno atbilstošas risku pārvaldīšanas politikas un kontroles procedūras, kurās nosaka:
71.1. risku mērīšanas (riskiem, kurus iespējams kvantitatīvi izmērīt) un novērtēšanas (kvantitatīvi nenosakāmiem riskiem) metodes un regularitāti;
71.2. piemērotas risku kontroles procedūras, t.sk. saskaņā ar iestādes risku stratēģiju nosaka maksimāli pieļaujamā risku apjoma ierobežojumus un limitus, risku ierobežošanas metodes, kontroles procedūras kvantitatīvi nenosakāmu risku mazināšanai, kurās tiek ņemti vērā iestādes darbības virzieni, finansiālais stāvoklis, kapitāla bāze, iestādes stratēģiskie mērķi un citi iestādei būtiski faktori;
71.3. kārtību, kādā iestādes padome, risku komiteja, valde, risku kontroles funkcijas vadītājs un struktūrvienību vadītāji regulāri saņem informāciju par iestādes darbībai piemītošajiem riskiem, to apjomu un tendencēm, risku ietekmi uz iestādes kapitāla apmēru un pietiekamību, kā arī citu lēmumu pieņemšanai nepieciešamo informāciju;
71.4. risku pārvaldīšanas politiku un kontroles procedūru, t.sk. noteikto ierobežojumu un limitu, ievērošanas kontroles kārtību;
71.5. pienākumu, pilnvaru un atbildības sadalījumu risku pārvaldīšanā, t.sk. struktūrvienību, kas veic biznesa funkcijas, pienākumu identificēt un pārvaldīt riskus, kas rodas to darbības rezultātā (pirmā aizsardzības līnija (first line of defence)), risku kontroles funkcijas un darbības atbilstības kontroles funkcijas pienākumu veikt turpmāku padziļinātu, neatkarīgu un visaptverošu attiecīgo risku identificēšanu, mērīšanu, novērtēšanu, analīzi un pārraudzību, regulāri ziņot iestādes padomei vai attiecīgajām padomes līmeņa komitejām (vienlaikus nodrošinot, ka par būtiskākajiem aspektiem iestādes padome ir informēta vienmēr) par novērtējuma rezultātiem un veikt attiecīgo risku pārvaldīšanu funkciju ietvaros (otrā aizsardzības līnija (second line of defence)), kā arī iekšējā audita funkcijas pienākumu neatkarīgi uzraudzīt minēto iestādes struktūrvienību rīcību risku pārvaldīšanā (trešā aizsardzības līnija (third line of defence)).
72. Veicot iestādes darbībai piemītošo būtisko risku mērīšanu, novērtēšanu un pārraudzību, iestāde piemēro tās darbības specifikai un sarežģītībai atbilstošas analītiskās metodes, t.sk. stresa testēšanu, ko iestāde izmanto gan būtisko risku, gan risku savstarpējās mijiedarbības izvērtēšanai. Iestāde dokumentē un regulāri pārskata izmantojamo analītisko metožu izvēli un būtību, kā arī tajās izmantotos pieņēmumus un aplēses. Iestāde, vērtējot riskus, nedrīkst pārmērīgi paļauties uz kvantitatīvajām metodēm, t.sk. stresa testēšanā gūtajām atziņām, un kvantitatīvo risku mērīšanu vienmēr papildina ar kvalitatīvo novērtējumu, piemēram, kritisku kvantitatīvo rezultātu analīzi, pamatotiem un dokumentētiem ekspertu vērtējumiem un makroekonomiskās vides analīzi valstīs, kurās iestāde veic būtisku darbību.
73. Iestāde regulāri, bet ne retāk kā reizi gadā pārskata un pilnveido risku identificēšanas un pārvaldīšanas politikas un procedūras atbilstoši pārmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos. Iestāde izvērtē tās darbības atbilstību risku identificēšanas un pārvaldīšanas politikās un procedūrās noteiktajam, šo politiku un procedūru piemērotību un efektivitāti, kā arī to pasākumu piemērotību un efektivitāti, kurus iestāde ir veikusi, lai novērstu šajās politikās un procedūrās atklātos trūkumus.
74. Iestāde dokumentē nepieciešamās izmaiņas iestādes risku stratēģijā, ņemot vērā risku identificēšanas un pārvaldības procesā gūtās atziņas un secinājumus.
75. Iestāde, kuras bilances un ārpusbilances aktīvu vidējā vērtība iepriekšējo četru finanšu pārskata gadu laikā ir bijusi vienāda ar vai lielāka par 100 miljoniem euro, izveido risku komiteju.
76. Iestāde, kura nesasniedz šo noteikumu 75. punktā minēto apmēra slieksni, ņemot vērā tās darbības apjomu, veidus, sarežģītību un specifiku, kā arī organizatorisko struktūru, izvērtē risku komitejas izveides lietderību. Iestādē, kurā nav izveidota risku komiteja, tās kompetencē esošie jautājumi ietilpst padomes atbildībā.
77. Iestāde, ņemot vērā tās darbības apjomu, veidu, sarežģītību un specifiku, kā arī organizatorisko struktūru, var izveidot arī citas komitejas (piemēram, noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas, ētikas vai darbības atbilstības uzraudzības komiteju).
78. Iestāde nodrošina, ka komitejas sastāvā tiek iekļauti vismaz trīs padomes locekļi, t.sk. izvērtē iespējas nodrošināt neatkarīga iestādes padomes locekļa dalību izveidotajā komitejā saskaņā ar piemērotības novērtēšanas noteikumos minētajiem principiem.
79. Ja iestādes padomes sastāvā nav pietiekams locekļu skaits, lai nodrošinātu komitejas izveidošanu atbilstoši šo noteikumu 78. punktā noteiktajām prasībām, komitejas uzdevumus var deleģēt vienam padomes loceklim un komitejas funkciju nodrošināšanai piesaistīt iestādes darbiniekus. Šādā gadījumā iestāde nodrošina, ka izveidotais komitejas sastāvs individuāli un kolektīvi nodrošina atbilstošas nepieciešamās zināšanas un pieredzi savu funkciju veikšanai, kā arī tiek dokumentēts komitejas sastāva izveidošanas pamatojums.
80. Noteikumu 75. punktā minētās risku komitejas locekļiem ir attiecīgas zināšanas, prasmes un kompetence, kas dod tiem iespēju pilnībā izprast, pārvaldīt un uzraudzīt iestādes risku stratēģiju un vēlmi uzņemties risku.
81. Risku komiteja sniedz konsultācijas iestādes padomei par iestādes riska profilu un riskiem, kurus iestāde vēlas uzņemties, pieļaujamo risku līmeni un galējo iespējamo risku līmeni, kuru iestāde spēj segt ar tai pieejamajiem resursiem, un palīdz uzraudzīt risku stratēģijas īstenošanu.
82. Iestāde nodrošina, ka risku komitejai:
82.1. ir pieejama visa tās darbībai nepieciešamā informācija;
82.2. regulāri vai pēc tās pieprasījuma iestādes darbinieki un amatpersonas sniedz pārskatus un informāciju par iestādes risku kultūru, risku limitiem un jebkuriem būtiskiem noteikto risku limitu pārkāpumiem, sniedz priekšlikumus identificēto trūkumu novēršanai vai informē par pasākumiem, kuri veikti, lai nodrošinātu nepieciešamos uzlabojumus;
82.3. pēc nepieciešamības ir iespēja piesaistīt iekšējās kontroles funkciju veicējus, kā arī citus ekspertus, piemēram, personāla struktūrvienības vadītāju vai ārējo ekspertu, lai veicinātu viedokļu apmaiņu, konsultēšanu un atbalsta sniegšanu attiecīgās komitejas locekļiem;
82.4. ir noteikts ziņojumu, kurus tā saņem, saturs, apjoms, formāts un biežums;
82.5. ir noteikta komitejas sēžu organizēšanas un dokumentēšanas kārtība.
83. Neatkarīgi no tā, vai iestādē ir izveidota risku komiteja, par risku pārvaldīšanas uzraudzību iestādē atbild padome pilnā sastāvā.
84. Par risku komitejas locekļiem drīkst iecelt tikai iestādes padomes locekļus. Iestāde nodrošina, ka risku komitejas locekļiem ir iestādes risku stratēģijas pārzināšanai un tās īstenošanas uzraudzībai pietiekama pieredze un zināšanas.
85. Iestāde veido grāmatvedības sistēmu, ievērojot iestādes grāmatvedības organizāciju regulējošos likumus un citus tiesību aktus, izstrādājot un dokumentējot grāmatvedības politiku (norādot, kā grāmatvedībā atspoguļo dažādus darījumus) un uzskaites, kontroles, novērtēšanas un pārskatu sagatavošanas procedūras.
86. Iestāde nodrošina, ka katru dienu tiek apstrādāti visi darījumi un katras darba dienas beigās tiek sagatavota bilance.
87. Iestāde izstrādā vadības informācijas sistēmu, kura dod iespēju izprast un savlaicīgi novērtēt iestādes finansiālo stāvokli, efektīvi pieņemt lēmumus un novērtēt to sekas, kā arī laicīgi atklāt kontroles procedūru neievērošanu. Iestādes padomei, valdei, komitejām, struktūrvienību vadītājiem un atbildīgajiem darbiniekiem ir laicīgi pieejama precīza, pilnīga, ticama un atbilstoša informācija, kura nepieciešama to amata pienākumu izpildei un lēmumu pieņemšanai gan normālos darbības apstākļos, gan krīzes situācijā.
88. Vadības informācija aptver vismaz:
88.1. iestādes pašreizējo stāvokli un darbības rezultātus salīdzinājumā ar iepriekšējiem periodiem un darbības plāna rādītājiem;
88.2. aktīvu, pasīvu un ārpusbilances posteņu analīzi, norādot, kā tie ir novērtēti;
88.3. ienākumu un izdevumu analīzi, t.sk. par to atkarību no dažādām aktīvu, pasīvu un ārpusbilances posteņu kategorijām;
88.4. faktisko kvantitatīvo risku lieluma atbilstību iestādes risku stratēģijai un salīdzinājumu ar noteiktajiem ierobežojumiem un limitiem;
88.5. pieņemto politiku un procedūru neievērošanas gadījumu uzskaitījumu un analīzi.
89. Vadības informācijas sistēma nodrošina laicīgas, precīzas, pilnīgas, ticamas un atbilstošas informācijas sniegšanu ārējiem lietotājiem (Komisijai, Latvijas Bankai u.c.) atbilstoši spēkā esošo tiesību aktu prasībām gan normālos darbības apstākļos, gan krīzes situācijā, tiesību aktā paredzētajā termiņā un pēc pieprasījuma.
90. Iestāde nodrošina pietiekamus resursus ar risku pārvaldību saistītās informācijas apkopošanai un vadības informācijas un informācijas ārējiem lietotājiem sagatavošanai un sniegšanai.
91. Iestāde izstrādā un dokumentē aizsardzības procedūras, kuras:
91.1. nodrošina iestādes materiālo un finanšu aktīvu saglabāšanu;
91.2. nodrošina to materiālo un finanšu aktīvu saglabāšanu, kas tiek turēti klientu uzdevumā;
91.3. novērš trešo personu nesankcionētu tiešu un netiešu (ar dokumentu starpniecību) piekļuvi iestādes aktīviem, grāmatvedības, elektroniskās sakaru sistēmas un citiem datiem;
91.4. nodrošina informācijas sistēmu drošu un stabilu funkcionēšanu un informācijas saglabāšanu (t.sk. informācijas atjaunošanu ārkārtas situācijās).
92. Iestādes padome uzrauga, kā iestādes valde nodrošina iekšējās kontroles sistēmas izveidi un efektīvu funkcionēšanu. Veicot iekšējās kontroles sistēmas uzraudzību, iestādes padome:
92.1. nosaka pienākumu sadali starp padomes locekļiem un komitejām, ja tādas ir izveidotas, un informācijas apmaiņas kārtību starp padomi un valdi, t.sk. kritiski izvērtē valdes sniegtās informācijas saturu;
92.2. nodrošina, ka padomes līmeņa komiteju, ja tādas ir izveidotas, darba kārtība un būtiskākie jautājumi un secinājumi tiek dokumentēti;
92.3. nosaka valdes locekļu pienākumus, atalgojumu un valdes individuālo un kolektīvo darbības rezultātu novērtēšanas kārtību;
92.4. nosaka iestādes attīstības stratēģiju, t.sk. darbības mērķus, risku stratēģiju un kapitāla pietiekamības uzturēšanas stratēģiju, kā arī uzrauga šo stratēģiju īstenošanu;
92.5. uzrauga iestādes organizatoriskās struktūras izveidi un atbilstību iekšējiem un ārējiem normatīvajiem aktiem, kā arī atbilstību iestādes darbības specifikai un risku stratēģijai;
92.6. apstiprina iestādes ārpakalpojumu izmantošanas politiku un uzrauga tās īstenošanu, kā arī vismaz reizi gadā pārskata to atbilstoši izmaiņām iestādes darbībā un ārējos apstākļos;
92.7. nosaka iestādes korporatīvās vērtības un profesionālās rīcības un ētikas standartus, apstiprina interešu konflikta situāciju pārvaldīšanas politiku un politiku dažādības nodrošināšanai iestādes padomes un valdes sastāvā;
92.8. uzrauga iestādes risku kultūras nodrošināšanu atbilstoši šo noteikumu 59. punktam;
92.9. uzrauga risku pārvaldīšanu iestādē un ESG risku integrāciju kopējā risku pārvaldības ietvarā, t.sk. apstiprina risku identificēšanas un pārvaldīšanas politikas, pieprasa un saņem informāciju par iestādes darbībai piemītošo būtisko risku lielumu un pārvaldīšanu (t.sk. risku, kuri saistīti ar makroekonomiskajiem faktoriem un ekonomisko ciklu), nodrošina, ka iestāde piešķir pietiekamus resursus risku pārvaldīšanai, kā arī vismaz reizi gadā novērtē risku pārvaldīšanas efektivitāti;
92.10. nosaka kapitāla pietiekamības novērtēšanas procesa pamatnostādnes, izmantojamās metodes un mērķus, apstiprina kapitāla pietiekamības novērtēšanas procesa politiku;
92.11. uzrauga darbības atbilstības riska pārvaldīšanu iestādē, t.sk. apstiprina darbības atbilstības riska pārvaldīšanas politiku, un vismaz reizi gadā novērtē darbības atbilstības riska pārvaldīšanas efektivitāti;
92.12. uzrauga efektīvas vadības informācijas sistēmas funkcionēšanu, informācijas atklāšanu un komunikāciju;
92.13. uzrauga, vai risku kontroles funkcija, darbības atbilstības kontroles funkcija un iekšējā audita funkcija ir skaidri noteikta, vai šīm funkcijām ir piemērota vieta iestādes organizatoriskajā struktūrā un noteikta loma iestādes pārvaldīšanas procesā, vai tās ir nodrošinātas ar kvalificētu personālu un darbojas efektīvi;
92.14. uzrauga iekšējās kontroles sistēmas periodisku pilnveidi atbilstoši pārmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos;
92.15. izskata iekšējā audita funkcijas, zvērināta revidenta, kā arī Komisijas un citu institūciju atzinumus un ieteikumus iestādes darbības uzlabošanai un kontrolē atklāto trūkumu novēršanu;
92.16. nosaka ziņojumu, kurus tā saņem, saturu, apjomu, formātu un biežumu, kā arī kritiski izvērtē un vajadzības gadījumā apstrīd šīs informācijas patiesumu;
92.17. nodrošina, ka regulāri, izmantojot iekšējos vai ārējos resursus, tiek veikts padomes darbības novērtējums, kurā tiek vērtēta padomes kolektīvās un tās locekļu individuālās darbības efektivitāte, izveidoto komiteju darbība, kā arī padomes un valdes darba iekšējā kārtība un procedūras;
92.18. nodrošina, ka tiek veikti atbilstoši pasākumi trūkumu novēršanai gadījumos, kad padomes darbības novērtējuma rezultātā tiek identificētas nepilnības;
92.19. pilnā sastāvā veic risku komitejas un atalgojuma komitejas pienākumus, ja šādas komitejas nav izveidotas, ņemot vērā šajos noteikumos un atalgojuma noteikumos noteiktās prasības attiecībā uz šo komiteju izveidi;
92.20. ne retāk kā reizi gadā nosaka un apstiprina iekšējā audita funkcijas darbības plānu saskaņā ar šo noteikumu 122. punktā noteikto, nodrošinot, ka risku komiteja, ja tāda ir izveidota, ir iesaistīta šā plāna izstrādē.
93. Iestādes valde ir atbildīga par visaptverošas iekšējās kontroles sistēmas izveidošanu, tās īstenošanu, pārvaldīšanu un pilnveidi. Iekšējās kontroles sistēmas jomā iestādes valde:
93.1. nosaka kvalitatīvus un kvantitatīvus mērķus katrai iestādes darbības jomai saskaņā ar šo noteikumu 92.4. punktu par padomes noteikto iestādes attīstības stratēģiju, kā arī regulāri ziņo iestādes padomei par šo mērķu sasniegšanu un piemērotību;
93.2. nosaka iestādes organizatorisko struktūru;
93.3. nodrošina iestādes padomes apstiprinātās ārpakalpojumu politikas ieviešanu un apstiprina atbilstošas procedūras (ja iestāde izmanto ārpakalpojumus);
93.4. nodrošina iestādes darbinieku atbilstošu kvalifikāciju un pietiekamu pieredzi (t.sk. attiecībā uz personām, kuras iestādē pilda pamatfunkcijas), nodrošina padomes noteikto profesionālās rīcības un ētikas standartu ieviešanu, nodrošina padomes noteiktās interešu konflikta situāciju pārvaldīšanas politikas ieviešanu un apstiprina atbilstošas procedūras;
93.5. nosaka un nodrošina risku kultūras īstenošanu iestādē saskaņā ar šo noteikumu 56. punktu;
93.6. nodrošina iestādes darbības risku identificēšanu un pārvaldīšanu, kā arī ESG risku integrāciju kopējā risku pārvaldības ietvarā, t.sk. mērīšanu, novērtēšanu, kontroli un risku pārskatu sniegšanu, īstenojot padomes noteiktās risku identificēšanas un pārvaldīšanas politikas, un apstiprina atbilstošas procedūras, kā arī nodrošina šo politiku un procedūru pārskatīšanu un pilnveidi saskaņā ar šo noteikumu 67. punktā minēto;
93.7. nodrošina regulāru kapitāla pietiekamības novērtēšanu un pietiekama kapitāla uzturēšanu saskaņā ar padomes noteikto kapitāla pietiekamības novērtēšanas procesa politiku un apstiprina atbilstošas procedūras;
93.8. nodrošina darbības atbilstības riska pārvaldīšanu, īstenojot padomes noteikto darbības atbilstības riska pārvaldīšanas politiku, un apstiprina atbilstošas procedūras;
93.9. nosaka aktīvu, pasīvu, ārpusbilances prasību un saistību, ieņēmumu un izdevumu uzskaites un novērtēšanas principus;
93.10. ievieš un pārvalda vadības informācijas sistēmu, kas aptver visu iestādes darbību, un nodrošina informācijas atklāšanu un komunikāciju;
93.11. nodrošina iestādes aktīvu un informācijas sistēmu aizsardzību;
93.12. nodrošina pasākumu veikšanu, lai novērstu iekšējās kontroles sistēmas trūkumus, kurus atklājusi iekšējā audita funkcija, zvērināts revidents, Komisija vai citas institūcijas;
93.13. vismaz vienu reizi gadā iestādes padomei sniedz pārskatu par iekšējās kontroles sistēmas darbību, izvērtējot tās efektivitāti un nepieciešamības gadījumā ierosinot veicamās izmaiņas tās efektivitātes uzlabošanai, ņemot vērā pārmaiņas iestādes darbībā un tās darbību ietekmējošajos ārējos apstākļos;
93.14. papildus šo noteikumu 93.13. punktā noteiktajam nekavējoties ziņo iestādes padomei par jebkurām būtiskām iestādes darbības izmaiņām, ja ir konstatētas būtiskas novirzes no darbības stratēģijā noteiktajiem mērķiem;
93.15. nosaka ziņojumu, kurus tā saņem, saturu, apjomu, formātu un biežumu, kā arī kritiski izvērtē un vajadzības gadījumā apstrīd šīs informācijas patiesumu.
94. Lai sekmētu efektīvas un visaptverošas iekšējās kontroles sistēmas izveidi visās iestādes darbības jomās, iestāde izveido darbības atbilstības kontroles funkciju un atbilstoši savas darbības specifikai, sarežģītībai un lielumam arī risku kontroles funkciju un iekšējā audita funkciju.
95. Ja risku kontroles un iekšējā audita funkcija netiek veidota, tad iestāde ievieš atbilstošas iekšējās kontroles politikas un procedūras, kas nodrošina šo noteikumu XII nodaļā noteikto mērķu sasniegšanu, kā arī darbinieku pienākumu un atbildības par iekšējās kontroles funkciju īstenošanu sadalījumu.
96. Iestāde nodrošina, ka iekšējās kontroles funkcijas ir neatkarīgas no iestādes darbības, kuru tās kontrolē, (tālāk tekstā – kontrolējamā darbība). Iekšējās kontroles funkcijas uzskatāmas par neatkarīgām no kontrolējamās darbības, ja tiek ievēroti šādi nosacījumi:
96.1. darbinieku, kas veic iekšējās kontroles funkcijas, pienākumos nav iekļauti pienākumi, kas saistīti ar kontrolējamās darbības veikšanu;
96.2. iekšējās kontroles funkcijas ir organizatoriski nodalītas no kontrolējamās darbības un struktūrvienības, kas veic iekšējās kontroles funkcijas, vadītājs ir organizatoriski pakļauts personai, kuras pakļautībā vienlaicīgi nav struktūrvienība, kas veic kontrolējamo darbību;
96.3. struktūrvienības, kas veic iekšējās kontroles funkcijas, vadītājs atskaitās iestādes padomei, bet atsevišķos gadījumos attiecīgajām padomes līmeņa komitejām, ja tādas ir izveidotas, vai valdei, nodrošinot pienācīgu iekšējās kontroles funkciju neatkarību no kontrolējamās darbības;
96.4. darbinieku, kas veic iekšējās kontroles funkcijas, atalgojums nav atkarīgs no kontrolējamās darbības rezultātiem.
97. Iestāde nodrošina, ka iekšējā audita funkcija ir neatkarīga no risku kontroles funkcijas un darbības atbilstības kontroles funkcijas.
98. Iestādē, kura nav nozīmīga pēc tās darbības apjoma, veida, sarežģītības vai specifikas vai kurai nav sarežģītas organizatoriskās struktūras, valdes loceklis vai persona, kura pilda pamatfunkcijas, vienlaikus var būt atbildīga par risku kontroles funkcijas vai darbības atbilstības kontroles funkcijas veikšanu iestādē vai vienlaicīgu abu šo funkciju veikšanu, ja tiek nodrošināts, ka attiecīgā persona neveic citus būtiskus pienākumus, kas ietekmētu iekšējās kontroles funkciju neatkarīgu darbību.
99. Lai iekšējās kontroles funkcijas darbotos efektīvi, iestāde:
99.1. skaidri nosaka un dokumentē struktūrvienību, kas veic iekšējās kontroles funkcijas, pilnvaras;
99.2. nodala iekšējās kontroles funkcijas no ikdienas darījumu veikšanas un citām kontroles funkcijām;
99.3. nodrošina struktūrvienībām, kas veic iekšējās kontroles funkcijas, brīvu piekļuvi visiem dokumentiem, informācijai un darbiniekiem;
99.4. nodrošina, ka struktūrvienības, kas veic iekšējās kontroles funkcijas, savstarpēji apmainās ar funkciju darbības nodrošināšanai nepieciešamo informāciju;
99.5. piešķir struktūrvienībām, kas veic iekšējās kontroles funkcijas, pilnvaras kontrolēt to iestādes darbību, kuras nodrošināšanai tiek izmantoti ārpakalpojumu sniedzēju pakalpojumi;
99.6. nodrošina struktūrvienībām, kas veic iekšējās kontroles funkcijas, efektīvai funkciju veikšanai pietiekamus resursus, t.sk. atbilstošu darbinieku ar pietiekamu izglītību un profesionālo pieredzi skaitu, lai būtu pamats uzskatīt, ka tie ir spējīgi kvalificēti pildīt savus pienākumus, kā arī nodrošina to pastāvīgu apmācību un atbilstošas informācijas tehnoloģiju sistēmas un atbalsta funkcijas;
99.7. nodrošina struktūrvienībām, kas veic iekšējās kontroles funkcijas, tiešus kontaktus ar iestādes padomi un valdi.
100. Iestāde nodrošina, ka iekšējās kontroles funkciju vadītājiem ir efektīvai pienākumu veikšanai nepieciešamā neatkarība, t.sk. no biznesa funkcijām, un autoritāte, atbilstoša vieta iestādes organizatoriskajā struktūrā un iespēja piedalīties un paust viedokli savas kompetences ietvaros iestādes darbībai būtisku lēmumu pieņemšanā.
101. Darbības atbilstības un risku kontroles funkcija ir organizatoriski un funkcionāli pakļauta iestādes valdei. Iekšējā audita funkcija ir organizatoriski un funkcionāli pakļauta iestādes padomei.
102. Iestāde nodrošina, ka attiecībā uz iekšējās kontroles funkciju vadītājiem tiek izstrādāta un dokumentēta kārtība darba attiecību uzsākšanai vai to iecelšanai amatā un darba attiecību izbeigšanai vai atsaukšanai no amata.
103. Iestāde ne vēlāk kā piecu darba dienu laikā no darba attiecību ar iekšējās kontroles funkciju vadītāju izbeigšanas dienas iesniedz Komisijai informāciju par darba attiecību izbeigšanas vai personas atstādināšanas no amata iemesliem.
104. Risku kontroles funkcijas pamatuzdevums ir visu iestādes risku pārvaldīšanas sistēmas izveide, t.sk. atbilstošu risku pārvaldīšanas politiku un procedūru izstrāde un ieviešanas nodrošināšana.
105. Iestāde risku kontroles funkcijas veikšanu organizē atbilstoši tās lielumam un darbības specifikai un nodrošina, ka risku kontroles struktūrvienības pienākumi un loma ir dokumentēta un iestādē ir nozīmēti par risku kontroli atbildīgie darbinieki.
106. Risku kontroles funkcijas pienākumos iekļauj:
106.1. visu iestādes darbībai būtisko risku un to savstarpējās mijiedarbības identificēšanu, mērīšanu un šo risku pārvaldīšanas politiku un procedūru izstrādi, kā arī aktīvu līdzdalību iestādes risku stratēģijas izstrādē un būtisku ar risku pārvaldīšanu saistītu lēmumu pieņemšanā;
106.2. risku pārvaldīšanas politiku un procedūru, t.sk. noteikto limitu un ierobežojumu, ievērošanas kontroli;
106.3. risku pārvaldīšanas politiku un procedūru regulāru pārskatīšanu un pilnveidi, lai nodrošinātu to aktualitāti un atbilstību pārmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos.
107. Risku kontroles funkcija regulāri sniedz iestādes padomei, valdei, risku komitejai un atbilstošo struktūrvienību vadītājiem pārskatus, kuros iekļauj informāciju par iestādes darbībai piemītošajiem riskiem un to atbilstību iestādes stratēģijai, kas iestādes padomei, valdei, risku komitejai un atbilstošo struktūrvienību vadītājiem ļauj pastāvīgi novērtēt riskus, kuri ietekmē iestādes spēju sasniegt tās mērķus, un nepieciešamības gadījumā pieņemt lēmumus par atbilstošu korektīvo pasākumu veikšanu.
108. Pirms lēmumu par būtiskām procesu vai sistēmu izmaiņām pieņemšanas risku kontroles funkcija piedalās iestādes un grupas risku novērtējuma veikšanā un ziņo par tā rezultātiem iestādes padomei un valdei.
109. Darbības atbilstības kontroles funkcijas pamatuzdevums ir darbības atbilstības riska identificēšana, novērtēšana un pārvaldīšana. Ar darbības atbilstības risku šajos noteikumos tiek apzīmēts risks, ka iestādei var rasties zaudējumi vai tai var tikt uzlikti tiesiski pienākumi, vai pret to var tikt piemērotas sankcijas, vai var pasliktināties tās reputācija, jo iestāde neievēro vai pārkāpj atbilstības likumus, noteikumus un standartus.
110. Iestāde darbības atbilstības kontroles funkcijas veikšanu organizē atbilstoši tās lielumam un darbības specifikai un nosaka atbildīgo par darbības atbilstības kontroles funkcijas īstenošanu iestādē, un dokumentē šā darbinieka pienākumus, atbildību un darbības pilnvaras.
111. Iestāde, īstenojot darbības atbilstības kontroles funkciju, papildus ņem vērā Eiropas Vērtspapīru un tirgu iestādes 2021. gada 6. aprīļa pamatnostādnēs Nr. ESMA35-36-1952 LV "Par noteiktiem FITD II atbilstības uzraudzības prasību aspektiem" un Komisijas 2016. gada 25. aprīļa Deleģētās regulas (ES) 2017/565, ar ko papildina Eiropas Parlamenta un Padomes Direktīvu 2014/65/ES attiecībā uz ieguldījumu brokeru sabiedrību organizatoriskām prasībām un darbības nosacījumiem un jēdzienu definīcijām minētās direktīvas mērķiem, 22. pantā noteiktās prasības.
112. Darbības atbilstības kontroles funkciju var apvienot ar risku kontroles funkciju vai to var veikt cita iestādes amatpersona (piemēram, juridiskās struktūrvienības vadītājs), ja iestāde izstrādā un ievieš kontroles procedūras, kas nodrošina pastāvošo vai potenciālo interešu konflikta situāciju novēršanu, un ja tas atbilst iestādes lielumam, darbības specifikai un sarežģītībai, kā arī organizatoriskajai struktūrai.
113. Iestādes valde, sadarbojoties ar darbības atbilstības kontroles funkciju:
113.1. vismaz reizi gadā identificē un novērtē svarīgākās darbības atbilstības problēmas un izstrādā plānus to novēršanai;
113.2. vismaz reizi gadā sniedz pārskatu iestādes padomei par darbības atbilstības risku, iekļaujot tajā informāciju, kas ļauj iestādes padomei novērtēt darbības atbilstības riska pārvaldīšanas efektivitāti;
113.3. nekavējoties ziņo iestādes padomei par būtiskām darbības atbilstības problēmām, kuru dēļ iestādei var rasties zaudējumi vai tai var tikt uzlikti tiesiski pienākumi, vai pret to var tikt piemērotas sankcijas, vai var pasliktināties tās reputācija.
114. Darbības atbilstības kontroles funkcija nodrošina:
114.1. darbības atbilstības riska identificēšanu, dokumentēšanu un novērtēšanu, t.sk. nodrošina, ka pirms jaunas darbības sākšanas (t.sk. pirms jaunu finanšu pakalpojumu vai būtisku izmaiņu esošajos finanšu pakalpojumos, kā arī jaunu procedūru ieviešanas, jaunu klientu vai sadarbības partneru apstiprināšanas) tiek identificēts ar šo darbību saistītais darbības atbilstības risks un tiek novērtēts, vai, veicot šo darbību, iestāde ievēros atbilstības likumus, noteikumus un standartus;
114.2. darbības atbilstības riska pārvaldīšanas politikas un procedūru izstrādi un dokumentēšanu, t.sk. tādu atbilstošu procedūru izstrādi, kas nodrošina, ka atbilstības likumus, noteikumus un standartus ievēro visi iestādes darbinieki;
114.3. darbības atbilstības riska pārvaldīšanas politikas un procedūru ievērošanas kontroli;
114.4. darbības atbilstības riska pārvaldīšanas politikas un procedūru regulāru pārskatīšanu un pilnveidi, lai nodrošinātu to aktualitāti un atbilstību pārmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos;
114.5. iestādes padomes un valdes, kā arī atbilstošo struktūrvienību vadītāju regulāru informēšanu par iestādes darbības atbilstības risku, darbības atbilstības problēmām, kas ietekmē vai var ietekmēt iestādes spēju sasniegt tās mērķus, vēlamajiem un veiktajiem pasākumiem šo problēmu novēršanai, atbilstības likumiem, noteikumiem un standartiem un izmaiņām tajos;
114.6. iespējamo izmaiņu atbilstības likumos, noteikumos un standartos ietekmes uz iestādes darbību novērtēšanu;
114.7. konsultāciju un atbalsta sniegšanu iestādes darbiniekiem, lai nodrošinātu, ka tie savu amata pienākumu izpildē ievēro atbilstības likumus, noteikumus un standartus.
115. Darbības atbilstības kontroles struktūrvienība veic darbību saskaņā ar iestādes padomes vai valdes apstiprinātu darba plānu, kurā atspoguļo pārskata periodā veicamās darbības.
116. Iestāde nodrošina, ka darbiniekiem, kuri nodrošina darbības atbilstības kontroles funkcijas izpildi, ir pietiekamas zināšanas, prasmes un pieredze savu amata pienākumu veikšanai un tiem tiek nodrošināta nepieciešamā apmācība.
117. Iestāde, kas ir mātes sabiedrība, nodrošina, ka prudenciālās konsolidācijas grupā iekļautās meitas sabiedrības ņem vērā attiecīgās valsts, kurā atrodas meitas sabiedrība, normatīvo aktu prasības. Ja attiecīgās valsts normatīvo aktu prasības kavē grupas līmeņa politiku ieviešanu iekšējās kontroles sistēmas izveides jomā, īpaši attiecībā uz informācijas apmaiņu grupas ietvaros, tad meitas sabiedrība par to informē mātes sabiedrības darbības atbilstības kontroles funkciju.
118. Iestāde organizē iekšējā audita funkcijas veikšanu atbilstoši tās lielumam un darbības specifikai, nodrošinot, ka iekšējā audita pienākumi un loma ir dokumentēta. Iestāde nodrošina par iekšējā audita funkcijas veikšanu atbildīgo darbinieku iecelšanu.
119. Iestāde nodrošina, ka iekšējā audita funkcijai ir pietiekama autoritāte un tā ir neatkarīga no darbībām, kuru efektivitātes un rezultātu novērtēšana ietilpst tās pienākumos.
120. Iekšējā audita funkcija, izmantojot uz risku balstītu pieeju, nodrošina:
120.1. iestādes darbības efektivitātes un rezultātu novērtēšanu;
120.2. visu iestādes darbības veidu un struktūrvienību, t.sk. ārpakalpojumā nodoto funkciju, darbības atbilstības stratēģijai, plāniem, politikām un procedūrām novērtēšanu, t.sk. iestādes darbības risku pārvaldības jomā, ņemot vērā risku kontroles funkcijas un risku komitejas, ja tāda ir izveidota, sniegto novērtējumu par faktisko risku atbilstību risku līmeņiem, kādus iestāde vēlas uzņemties;
120.3. iestādē noteikto politiku un procedūru atbilstības regulējošajām un citām normatīvo aktu prasībām, iestādes risku stratēģijai un iestādes darbības stratēģijai, kā arī atbilstošajiem iestādes padomes un valdes lēmumiem pārbaudi;
120.4. iestādes kapitāla pietiekamības novērtēšanas procesa pārbaudi, t.sk. tā efektivitātes, pilnīguma un atbilstības iestādes darbībai novērtēšanu;
120.5. risku kontroles funkcijas un darbības atbilstības kontroles funkcijas efektivitātes novērtēšanu, t.sk. šo funkciju darbībā izmantoto metožu kvalitātes novērtēšanu un sasniegto rezultātu pietiekamības izvērtēšanu;
120.6. grāmatvedības sistēmas pārbaudi;
120.7. informācijas sistēmu novērtēšanu;
120.8. iekšējās kontroles procedūru darbības pārbaudi;
120.9. finansiālās informācijas ticamības un pilnības pārbaudi, kā arī to līdzekļu pārbaudi, ar kuru palīdzību šī informācija tiek identificēta, mērīta, klasificēta un sniegta;
120.10. speciālo pārbaužu un izmeklēšanas veikšanu.
121. Iekšējā audita funkcijas vadītāja iecelšanas amatā un atcelšanas no amata kārtība nodrošina, ka iekšējā audita funkcijas vadītājs lēmumu pieņemšanā un rīcībā ir neatkarīgs no iestādes valdes un ir skaidri norādīti tā pienākumi, pilnvaras un pārskatu sniegšanas kārtība.
122. Iestāde nodrošina, ka iekšējā audita funkcijas veicējiem ir neierobežota piekļuve to pienākumu veikšanai nepieciešamajiem ierakstiem, dokumentiem, informācijai un telpām, t.sk. pieeja vadības informācijas sistēmai, kā arī padomes, valdes un komiteju sēžu protokoliem.
123. Iekšējā audita funkcija darbojas saskaņā ar padomes ikgadēji noteikto darbības plānu, kurā atspoguļo:
123.1. pārskata periodā pārbaudāmās darbības jomas, pārbaužu regularitāti un pārbaužu veikšanai nepieciešamos resursus;
123.2. risku noteikšanas un novērtēšanas metodes pārbaudāmajām darbības jomām, kā arī risku kontroles procedūru novērtēšanas kritērijus, t.sk. paredz, ka tiek izmantota uz risku balstīta pieeja.
124. Iestāde nosaka iekšējā audita funkcijas veikto pārbaužu rezultātu dokumentēšanas prasības, kā arī kārtību, kādā pārbaužu rezultātus sniedz padomei un valdei un nodrošina ieteikumu apstiprināšanas un ieviešanas uzraudzību.
125. Iekšējā audita funkcija sagatavo ziņojumus par katras veiktās pārbaudes rezultātā atklātajiem faktiem un iekšējās kontroles sistēmas trūkumiem, politiku un procedūru pārkāpumiem, nepietiekami identificētiem vai pārvaldītiem riskiem un iesniedz ieteikumus atklāto problēmu risināšanai. Iekšējā audita funkcija nodrošina katras veiktās pārbaudes rezultātā atklāto faktu, atzinumu un ieteikumu apspriešanu attiecīgajā vadības līmenī, kā arī seko sniegto ieteikumu izpildei. Iekšējā audita funkcija vismaz reizi gadā sagatavo pārskatu par veiktajām pārbaudēm un galvenajām atklātajām problēmām, izsakot viedokli par iekšējās kontroles sistēmas efektivitāti.
Noteikumos iekļautas tiesību normas, kas izriet no:
1) Eiropas Parlamenta un Padomes 2019. gada 27. novembra Direktīvas (ES) 2019/2034 par ieguldījumu brokeru sabiedrību prudenciālo uzraudzību un ar ko groza Direktīvas 2002/87/EK, 2009/65/EK, 2011/61/ES, 2013/36/ES, 2014/59/ES un 2014/65/ES;
2) Eiropas Banku iestādes 2021. gada 22. novembra dokumenta "Pamatnostādnes par iekšējo pārvaldību atbilstoši Direktīvai (ES) 2019/2034" ("EBA Guidelines on internal governance under Directive (EU) 2019/2034", EBA/GL/2021/14).