1. Noteikumi nosaka prasības iekšējās kontroles sistēmai Latvijas Republikā licencētām un reģistrētām maksājumu iestādēm un elektroniskās naudas iestādēm, kas darbojas saskaņā ar Maksājumu pakalpojumu un elektroniskās naudas likumu (turpmāk – iestāde).
2. Iestāde, veidojot iekšējās kontroles sistēmu, ievēro šo noteikumu prasības atbilstoši tās darbības apjomam, veidiem, sarežģītībai un specifikai, kā arī ņemot vērā tās risku lielumu saistībā ar katru darbības sfēru, iestādes pārvaldes modeli, informācijas tehnoloģiju un citus faktorus, kuri ir būtiski konkrētās iestādes darbības mērķu īstenošanai.
3. Iekšējās kontroles sistēmu iestāde organizē tā, lai iestādes valdes un padomes (ja tāda izveidota) locekļiem (turpmāk kopā – iestādes vadība) būtu pamatota pārliecība, ka iestādes aktīvi un klientu līdzekļi ir nodrošināti pret zaudējumiem un nesankcionētu valdīšanu un lietošanu, darbības riski tiek pastāvīgi uzraudzīti un novērtēti, darījumi notiek saskaņā ar iestādē noteikto kārtību un ir pareizi grāmatoti, iestāde darbojas saprātīgi, piesardzīgi un efektīvi, pilnībā ievērojot likumu un citu tiesību aktu prasības.
4. Iekšējās kontroles sistēma ietver atbilstošas politikas un kontroles procedūras, lai pārvaldītu riskus, kas saistīti ar iestādes darbību. Iestāde ievieš tādas kontroles procedūras, kuras nodrošina efektīvu iestādes aktīvu un klientu līdzekļu aizsardzību un risku pārvaldīšanu, izvairoties no formālu un apgrūtinošu noteikumu un procedūru izveidošanas un uzturēšanas.
5. Par iestādes iekšējās kontroles sistēmas izveidi un efektīvu funkcionēšanu atbild iestādes vadība, ņemot vērā šo noteikumu IX nodaļā minētās iestādes padomei un valdei noteiktās funkcijas.
6. Ja iestāde nav izveidojusi padomi, šajos noteikumos minētos padomes pienākumus pilda tās akcionāri vai dalībnieki.
7. Iekšējās kontroles sistēmas pamatelementi ir:
7.1. stratēģijas noteikšana un darbības plānošana katram gadam;
7.2. iestādes lielumam un darbības riskiem atbilstoša organizatoriskā struktūra;
7.3. visu iestādes darbībā radušos būtisko risku identifikācija un pārvaldīšana, tai skaitā mērīšana, novērtēšana un kontrole;
7.4. atbilstoša grāmatvedības uzskaite un vadības informācijas sistēma;
7.5. aktīvu, klientu līdzekļu un informācijas sistēmu aizsardzība;
7.6. iekšējās kontroles sistēmas pilnveidošana, atbilstība mainīgiem darbības apstākļiem un tās efektivitātes novērtēšana;
7.7. pārstāvju un ārpakalpojumu izmantošanas pārvaldība, ja iestāde tos izmanto.
8. Iestāde izstrādā un dokumentē tās stratēģiju vismaz trīs gadu periodam, kurā ietver:
8.1. darbības mērķus, tai skaitā nosaka plānoto finansiālo stāvokli, darbības veidus, mērķa tirgu un mērķa klientus;
8.2. risku stratēģiju (politiku), tai skaitā nosaka riskus, kurus iestāde vēlas uzņemties, pieļaujamo risku līmeni un rīcību pieļaujamā risku līmeņa ievērošanas nodrošināšanai;
8.3. mērķus likviditātes pārvaldības jomā, ņemot vērā iestādes darbību raksturojošos rādītājus un finansiālo stāvokli, kā arī regulējošās prasības;
8.4. kapitāla pietiekamības uzturēšanas stratēģiju.
9. Iestāde izstrādā darbības plānu katram gadam, kurā norāda vismaz nākamajā gadā plānoto iestādes finansiālo stāvokli, vietu tirgū, darbības mērķus attiecīgajā periodā, darbības veidus un raksturīgākos darījumus, potenciālos riskus un pieļaujamos risku līmeņus, kā arī darbības rezultātu novērtēšanas kritērijus.
10. Iestāde izstrādā un dokumentē darījumu veikšanas un kontroles kārtību, kura ietver vismaz darījuma veicēja pilnvarošanas kārtību (tai skaitā norāda dokumentus, kurus nepieciešams noformēt lēmumu pieņemšanas procesā, līdz tiek apstiprināta darījuma veikšana, un iestādes vadību vai darbiniekus, kuri apliecina attiecīgo lēmumu pieņemšanu), ierobežojumu noteikšanu, lai nodrošinātu darījuma atbilstību iestādes politikai un iestādes darbību regulējošiem likumiem un citiem tiesību aktiem, ar iestādes darbību saistītiem pašregulējošo institūciju noteiktiem standartiem, profesionālās rīcības un ētikas kodeksiem un citiem ar iestādes darbību saistītiem labākās prakses standartiem (turpmāk – atbilstības likumi, noteikumi un standarti), kā arī darījuma apstrādes un kontroles kārtību. Iestāde nodrošina, ka iestādes vadība un darbinieki, kas iesaistīti šajās procedūrās minēto darījumu veikšanā, tiek iepazīstināti ar attiecīgajām procedūrām.
11. Iestāde izstrādā un dokumentē procedūras, kā tiek dibinātas attiecības ar jauniem klientiem, kā arī apstiprina formu un saturu dokumentiem, kuri jānoformē, veicot darījumus ar klientiem un trešajām personām vai veicot darījumus to vārdā. Iestāde nosaka informāciju, kāda ir jāsaņem par tās klientiem, un nodrošina šīs informācijas aktualizāciju. Iestāde, organizējot tikšanās ar klientiem un trešajām personām, kā arī veicot saraksti ar klientiem un trešajām personām, nodrošina personu tiesības uz personas datu aizsardzību un konfidencialitāti saskaņā ar Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa regulas (ES) Nr. 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ direktīvu 94/46/EK (Vispārīgā datu aizsardzības regula) prasībām.
12. Iestāde nodrošina atbilstošu tās darbības organizāciju, tai skaitā izveido iestādes lielumam un darbības riskiem atbilstošu un pārredzamu organizatorisko struktūru, kuru pārskata ne retāk kā reizi gadā, bet būtisku izmaiņu gadījumā atjaunina pēc nepieciešamības.
13. Iestāde nodrošina, ka valdes un padomes (ja tāda izveidota) sastāvs ir atbilstoši veidots un sabalansēts, ņemot vērā iestādes lielumu, darbības specifiku, sarežģītību un darbības stratēģiju.
14. Iestāde dokumentē tās organizatorisko struktūru, nosakot iestādes vadības un darbinieku pienākumus (funkcijas), pilnvaras un atbildību darījumu veikšanā un kontrolē, nosakot un sadalot pienākumus starp struktūrvienībām un sagatavojot vispārīgus darba aprakstus (instrukcijas).
15. Dokumentējot organizatorisko struktūru, iestāde nosaka pārskatu sniegšanas un informācijas apmaiņas kārtību, tai skaitā to, kādu informāciju, kad un kam ir pienākums sniegt un saņemt un kāda informācija ir konfidenciāla un tālāk neizpaužama.
16. Nosakot iestādes vadības un darbinieku pienākumus un piešķirot tiem pilnvaras, iestāde ievēro pienākumu dalīšanas principu, kas izpaužas kā to pienākumu (funkciju) nodalīšana, kas, ja tos apvienotu, ļautu iestādes vadībai vai kādam darbiniekam vienpersoniski veikt kādu darījumu pilnībā. Pienākumu dalīšanas princips aptver vismaz tādas darbības kā darījuma apstiprināšana, izpilde, novērtēšana, salīdzināšana, glabāšana un iegrāmatošana.
17. Dokumentējot pilnvaru piešķiršanu, iestāde norāda piešķirto pilnvaru veidu, personas (norādot amatu), kam piešķirtas pilnvaras, pārpilnvarojuma tiesības, kā arī visus piešķirto pilnvaru izmantošanas ierobežojumus. Piešķirot iestādes vadībai un darbiniekiem pilnvaras, iestāde nodrošina, ka iestādes vadība un darbinieki tiek iepazīstināti ar tiem piešķirtā pilnvarojuma apjomu.
18. Visiem darījumiem jābūt atļautiem ar iestādes vadības vai attiecīgā darbinieka rīkojumu vai lēmumu saskaņā ar organizatoriskajā struktūrā noteiktajiem atbildības līmeņiem.
19. Iestāde nodrošina, ka tās vadība un darbinieki ir informēti par to pienākumiem (tai skaitā attiecībā uz risku identificēšanu un pārvaldīšanu), pārzina informāciju, kas saistīta ar to amata pienākumu izpildi, un tiem ir amata pienākumu izpildei atbilstoša kvalifikācija un pietiekama pieredze.
20. Lai nodrošinātu personāla atbilstību, iestāde:
20.1. izstrādā un dokumentē personāla politiku un procedūras, kas nosaka vismaz tādus aspektus kā struktūrvienību vadītāju amatos esošo darbinieku atlases kārtību, hierarhisko pārraudzību un amata pēctecības plānošanu, prasības dažādiem amatiem nepieciešamajām iemaņām, potenciālo darbinieku un iestādes vadības atbilstības novērtēšanas kritērijus un kārtību;
20.2. iepazīstina iestādes vadību un darbiniekus ar informāciju, kas saistīta ar to amata pienākumu izpildi (piemēram, iepazīstina ar darbības stratēģiju un darbības plānu katram gadam, korporatīvajām vērtībām un profesionālās rīcības un ētikas standartiem, operacionālajām procedūrām un risku pārvaldīšanas politikām un kontroles procedūrām, atbilstības likumiem, noteikumiem un standartiem);
20.3. izstrādā un dokumentē iestādes vadības un darbinieku profesionālo mācību programmu, kuras mērķis ir sagatavot iestādes vadību un darbiniekus attiecīgā amata pienākumu izpildei un nepārtraukti pilnveidot zināšanas, kā arī ietver iestādes vadības un darbinieku informēšanas kārtību par izmaiņām politikās, procedūrās, atbilstības likumos, noteikumos un standartos, kas saistītas ar to amata pienākumu izpildi;
20.4. ņemot vērā tās darbības apjomu, veidu, kā arī sarežģītību un specifiku, izstrādā un dokumentē atbilstošu iestādes vadības un darbinieku atalgojuma sistēmu, tai skaitā atalgojuma politiku, nodrošinot, ka tā nav atkarīga tikai no īstermiņa mērķu sasniegšanas (tai skaitā īstermiņa peļņas gūšanas) un neveicina tādu risku uzņemšanos, kurus iestāde nevar efektīvi pārvaldīt, kā arī atbilst iestādes ilgtermiņa interesēm. Iestāde izstrādā un dokumentē atbilstošas atalgojuma politikas un procedūras, tai skaitā nosaka atalgojuma noteikšanas kārtību un paredz adekvātus kritērijus atalgojuma mainīgās daļas noteikšanai, kas samērojami ar attiecīgā darbinieka vai iestādes vadības darbības novērtējumu, iestādes kopējo darbības novērtējumu un darbības stratēģiju. Iestāde nodrošina, ka iestādes vadībai un darbiniekiem izmaksātais mainīgās atalgojuma daļas apmērs ir samērīgi proporcionāls nemainīgās atalgojuma daļas apmēram.
21. Iestāde nodrošina, ka gan valdei, gan padomei (ja tāda izveidota) ir kolektīvi pietiekama pieredze un zināšanas par visiem maksājumu iestādes un elektroniskās naudas iestādes būtiskajiem darbības veidiem un riskiem.
22. Lai nodrošinātu, ka iestādes vadībai ir pietiekama kompetence un prasmes, lai veiktu amata pienākumus gan valdes, gan padomes, gan komiteju (ja tādas izveidotas) darbā, iestāde nodrošina, ka nepieciešamības gadījumā katram valdes vai padomes (ja tāda izveidota) loceklim ir iespēja saņemt atbilstošu iekšēju vai ārēju apmācību vai konsultācijas.
24. Iestāde nosaka un dokumentē iestādes korporatīvās vērtības, tai skaitā nosaka augstus profesionālās rīcības un ētikas standartus, lai nodrošinātu, ka iestādes vadība un darbinieki veic savus pienākumus ar vislielāko godprātību, savu amata pienākumu izpildē un lēmumu pieņemšanā ir objektīvi, ievēro atbilstības likumus, noteikumus un standartus, respektē informācijas par darījumu un klientu konfidencialitāti un komercnoslēpumu, tai skaitā ievēro personas datu aizsardzības pamatprincipus, un to rīcība un uzvedība atbilst augstiem ētikas standartiem. Īpaši svarīgi, lai šie standarti vērstos pret korupciju, nelikumīgu iekšējās informācijas izmantošanu un jebkuru citu nelikumīgu, neētisku vai apšaubāmu rīcību, kā arī mazinātu riskus, kas saistīti ar operacionālo darbību un reputācijas apdraudējumu.
25. Iestāde izstrādā un dokumentē kopējo interešu konflikta situāciju pārvaldīšanas politiku un procedūras attiecībā uz iestādes vadību un visiem darbiniekiem, kas nodrošina faktisko vai potenciālo interešu konflikta situāciju savlaicīgu identificēšanu un pārvaldīšanu un nosaka rīcību interešu konflikta situāciju, kuras var rasties starp attiecīgo personu interesēm un iestādes interesēm, novēršanai, tai skaitā:
25.1. novērš tādu situāciju veidošanos, kurās rodas vai var rasties interešu konflikts (piemēram, nodrošina atbilstošu pienākumu sadali starp darbiniekiem un iestādes vadību);
25.2. nodrošina, ka iestādes vadība vai darbinieks savu amata pienākumu izpildē atturas no lēmumu pieņemšanas par iestādes darījumiem vai cita veida profesionālajām darbībām, ja šai personai rodas vai var rasties interešu konflikts, kā arī nodrošina atbilstošu kārtību, kā iestādes vadība un darbinieki ziņo iestādes valdei vai padomei (ja tāda izveidota) par darījumiem, kuros attiecīgajai personai tieši vai netieši rodas vai var rasties interešu konflikts;
25.3. nodrošina, ka struktūrvienības, kas veic darbības, starp kurām rodas vai var rasties interešu konflikts, ir savstarpēji neatkarīgas (piemēram, ir noteiktas informācijas barjeras vai noteikta atšķirīga organizatoriskā pakļautība).
26. Iestāde, nodrošinot interešu konflikta situāciju pārvaldīšanu, veic atbilstošus organizatoriskus un administratīvus pasākumus, kas novērš klientu vai potenciālo klientu interešu nelabvēlīgu ietekmēšanu.
27. Iestāde, ņemot vērā tās darbības apjomu un sarežģītību, nodrošina iestādes vadībai un darbiniekiem iespēju iekšēji ziņot par faktiskiem vai potenciāliem iekšējās kontroles sistēmas trūkumiem, izteikt priekšlikumus to novēršanai un ziņot par nelikumīgiem vai neētiskiem darījumiem, tai skaitā par interešu konflikta situācijām. Iestāde izstrādā un dokumentē atbilstošas procedūras, kā arī iepazīstina ar tām savus darbiniekus un iestādes vadību.
28. Iestāde izstrādā, dokumentē un īsteno atbilstošas politikas un procedūras visu iestādes darbībai piemītošo būtisko risku identificēšanai un pārvaldīšanai, tai skaitā mērīšanai, novērtēšanai, kontrolei un risku pārskatu sniegšanai.
29. Iestāde nodrošina, ka būtisko risku identificēšanai tiek izmantoti atbilstoši kvantitatīvie un kvalitatīvie kritēriji un novērtējuma rezultāti un secinājumi ir pamatoti un dokumentēti. Atbilstoši iestādes darbības specifikai un veidam tiek izvērtēti vismaz šādi riski:
29.1. risks, kas saistīts ar klientu līdzekļu aizsardzību;
29.2. darījumu partnera risks;
29.3. kredītrisks;
29.4. operacionālais risks;
29.5. darbības atbilstības risks;
29.6. noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas risks un sankciju risks;
29.7. informācijas tehnoloģiju risks;
29.8. ar maksājumiem saistītas krāpšanas risks;
29.9. pārējie iestādes darbību ietekmējošie būtiskie riski (piemēram, stratēģijas risks, reputācijas risks, ar pārstāvju un ārpakalpojumu izmantošanu saistītais risks, ja iestāde izmanto šādus pakalpojumus).
30. Iestāde nodrošina noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas riska un sankciju riska integrēšanu iestādes risku pārvaldības sistēmā, kā arī nodrošina to pārvaldīšanu atbilstoši Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likumā un Starptautisko un Latvijas Republikas nacionālo sankciju likumā, kā arī normatīvajos aktos, kas nosaka sankciju riska pārvaldīšanu, noteiktajām prasībām.
31. Riskiem, kurus iestāde identificējusi kā tās darbībai būtiskus, iestāde izstrādā, dokumentē un īsteno atbilstošas risku pārvaldīšanas politikas un kontroles procedūras, kurās nosaka:
31.1. risku novērtēšanas (kvantitatīvi nenosakāmiem riskiem, piemēram, reputācijas riskam, stratēģijas riskam) un mērīšanas (riskiem, kurus iespējams kvantitatīvi izmērīt) metodes un regularitāti;
31.2. piemērotas risku kontroles procedūras, tai skaitā saskaņā ar iestādes risku stratēģiju nosaka maksimāli pieļaujamā risku apmēra ierobežojumus un limitus, risku ierobežošanas metodes, kontroles procedūras, lai mazinātu kvantitatīvi nenosakāmus riskus, kā arī atbilstošus ierobežojumus pirms iesaistīšanās jaunu darījumu veikšanā;
31.3. kārtību, kādā iestādes vadība regulāri saņem informāciju par iestādes darbībai piemītošajiem riskiem, to apmēru un tendencēm, risku ietekmi uz iestādes kapitāla apmēru, kā arī citu lēmumu pieņemšanai nepieciešamo informāciju;
31.4. risku pārvaldīšanas politiku un procedūru ievērošanas regulāru pārraudzīšanu un jebkuru noteikto limitu ievērošanas kontroli;
31.5. pienākumu, pilnvaru un atbildības sadalījumu risku pārvaldīšanā.
32. Iestāde regulāri, bet ne retāk kā reizi gadā pārskata un pilnveido risku identificēšanas un pārvaldīšanas politikas un procedūras atbilstoši pārmaiņām iestādes darbībā un tās darbību ietekmējošajos ārējos apstākļos. Iestāde izvērtē tās darbības atbilstību risku identificēšanas un pārvaldīšanas politikās un procedūrās noteiktajam, šo politiku un procedūru piemērotību un efektivitāti, kā arī to pasākumu piemērotību un efektivitāti, kurus iestāde veikusi, lai novērstu šajās politikās un procedūrās atklātos trūkumus.
33. Iestāde izstrādā, dokumentē un īsteno politiku, kurā nosaka kārtību un prasības, kas jāievēro, ieviešot jaunus maksājumu pakalpojumus, sākot piedāvāt esošos maksājumu pakalpojumus jauniem tirgus segmentiem vai veicot būtiskas izmaiņas esošo maksājumu pakalpojumu sniegšanas kārtībā.
34. Iestāde šo noteikumu 33. punktā minētajā politikā nosaka:
34.1. jauna maksājuma pakalpojuma definīciju;
34.2. definīciju vai aprakstu, kas klasificē būtiskas izmaiņas esošo maksājumu pakalpojumu sniegšanas kārtībā;
34.3. jauno maksājumu pakalpojumu, kā arī esošo maksājumu pakalpojumu, kuru sniegšanas kārtībā ir veiktas būtiskas izmaiņas, atbilstību iestādes risku stratēģijai un to ietekmi uz kopējo risku profilu;
34.4. iestādes vadības un darbinieku sagatavotības līmeņa (tai skaitā zināšanu un prasmju) novērtējumu;
34.5. iestādei pieejamo resursu (tai skaitā to pietiekamības un atbilstības) jaunu maksājumu pakalpojumu ieviešanai vai būtisku izmaiņu esošajos maksājumu pakalpojumos veikšanai novērtējumu;
34.6. iestādes spēju ievērot atbilstības likumus, noteikumus un standartus, ieviešot jaunus maksājumu pakalpojumus vai veicot būtiskas izmaiņas esošajos maksājumu pakalpojumos.
35. Iestāde, kas veic būtiskas izmaiņas attiecībā uz tās elektroniskās naudas pakalpojumiem (tai skaitā emisiju, izplatīšanu un atpirkšanu), ievēro šo noteikumu 33. un 34. punktā minētās prasības.
36. Iestāde izveido un uztur grāmatvedības sistēmu, ievērojot iestādes grāmatvedības organizāciju regulējošos likumus un citus tiesību aktus un izstrādājot un dokumentējot grāmatvedības politiku (norādot, kā grāmatvedībā atspoguļo dažādus darījumus), uzskaites, kontroles, novērtēšanas un pārskatu sagatavošanas procedūras, un nodrošina, ka visi darījumi tiek savlaicīgi apstrādāti.
37. Iestāde izstrādā vadības informācijas sistēmu, kura dod iespēju izprast un savlaicīgi novērtēt iestādes finansiālo stāvokli, efektīvi pieņemt lēmumus un novērtēt to sekas, kā arī savlaicīgi atklāt kontroles procedūru neievērošanu. Iestādes vadībai un darbiniekiem jābūt savlaicīgi pieejamai precīzai, pilnīgai, ticamai un atbilstošai informācijai, kura nepieciešama to amata pienākumu izpildei un lēmumu pieņemšanai gan normālos darbības apstākļos, gan krīzes situācijā.
38. Vadības informācija aptver vismaz:
38.1. iestādes pašreizējo stāvokli un darbības rezultātus salīdzinājumā ar iepriekšējiem periodiem un darbības plāna rādītājiem;
38.2. informāciju par klientu līdzekļiem un saistībām pret klientiem;
38.3. aktīvu, pasīvu un ārpusbilances posteņu analīzi, norādot, kā tie ir novērtēti;
38.4. ienākumu un izdevumu analīzi, tai skaitā to atkarību no dažādām aktīvu, pasīvu un ārpusbilances posteņu kategorijām;
38.5. faktisko kvantitatīvo risku lieluma atbilstības iestādes risku stratēģijai novērtējumu un salīdzinājumu ar noteiktajiem ierobežojumiem un limitiem;
38.6. pieņemto politiku un procedūru neievērošanas gadījumu uzskaitījumu un analīzi.
39. Informācijas sistēma nodrošina savlaicīgas, precīzas, pilnīgas, ticamas un atbilstošas informācijas sniegšanu ārējiem lietotājiem (piemēram, Latvijas Bankai) atbilstoši spēkā esošo tiesību aktu prasībām gan normālos darbības apstākļos, gan krīzes situācijā tiesību aktos paredzētajā termiņā un pēc pieprasījuma.
40. Iestāde nodrošina, ka ir pieejami pietiekami resursi ar risku pārvaldību saistītās informācijas apkopošanai un vadības informācijas un informācijas ārējiem lietotājiem sagatavošanai un sniegšanai.
41. Iestāde izstrādā un dokumentē aktīvu, klientu līdzekļu un informācijas sistēmu aizsardzības procedūras, kuras:
41.1. nodrošina iestādes materiālo un finanšu aktīvu saglabāšanu;
41.2. nodrošina klientu līdzekļu saglabāšanu;
41.3. novērš trešo personu nesankcionētu tiešu un netiešu (ar dokumentu starpniecību) piekļuvi iestādes aktīviem un klientu līdzekļiem, grāmatvedības, elektroniskās sakaru sistēmas un citiem datiem;
41.4. nodrošina informācijas sistēmu drošu un stabilu funkcionēšanu un informācijas saglabāšanu (tai skaitā informācijas atjaunošanu ārkārtas situācijās).
42. Iestāde organizē informācijas sistēmu aizsardzību atbilstoši normatīvajos aktos par informācijas tehnoloģiju un drošības risku pārvaldību noteiktajām prasībām.
43. Iestādes padome (ja tāda izveidota) kontrolē, kā iestādes valde nodrošina iekšējās kontroles sistēmas izveidi un efektīvu funkcionēšanu. Veicot iekšējās kontroles sistēmas kontroli, iestādes padome:
43.1. nosaka pienākumu sadali starp padomes locekļiem un informācijas apmaiņas kārtību starp padomi un valdi;
43.2. nosaka valdes locekļu pienākumus vai kontrolē akcionāru vai dalībnieku noteikto pienākumu izpildi un valdes darbības rezultātu novērtēšanas kārtību;
43.3. apstiprina vai akceptē tālākai iesniegšanai iestādes akcionāriem vai dalībniekiem apstiprināšanai iestādes organizatorisko struktūru, lai nodrošinātu, ka pienākumi un atbildība ir atbilstoši noteikta;
43.4. apstiprina un pēc nepieciešamības maina valdes ieteiktās risku pārvaldīšanas politikas gan attiecībā uz jau veicamajiem, gan uz plānotajiem darījumiem, iekļaujot tajās risku novērtēšanas un kontroles kārtību un pilnvaru piešķiršanas kārtību attiecīgo darījumu veikšanai, kā arī nosakot ierobežojumus attiecībā uz konkrētiem riskiem, pieprasa un saņem informāciju par noteikto ierobežojumu būtiskiem pārkāpumiem;
43.5. kontrolē efektīvas vadības informācijas sistēmas izveidošanu;
43.6. kontrolē, vai iekšējā audita dienesta vai tam līdzvērtīgas iekšējā audita funkcijas izveide ir skaidri noteikta, tai ir piemērota vieta iestādes organizatoriskajā struktūrā un noteikta loma iestādes pārvaldīšanas procesā, tā ir nodrošināta ar kvalificētu personālu un darbojas efektīvi;
43.7. regulāri kontrolē iekšējās kontroles sistēmas atbilstību pārmaiņām iestādes darbībā un iestādes darbību ietekmējošajos ārējos apstākļos;
43.8. izskata iekšējā audita dienesta vai tam līdzvērtīgas iekšējā audita funkcijas, zvērināta revidenta, kā arī Latvijas Bankas un citu institūciju atzinumus un ieteikumus iestādes darbības uzlabošanai un kontrolē atklāto trūkumu novēršanu;
43.9. nosaka ziņojumu, kurus tā saņem, saturu, apjomu, formātu un biežumu, kā arī kritiski izvērtē un vajadzības gadījumā apstrīd šīs informācijas patiesumu.
44. Iestādes valde ir atbildīga par visaptverošas iekšējās kontroles sistēmas izveidošanu, tās īstenošanu, pārvaldīšanu un pilnveidošanu saskaņā ar iestādes noteikto stratēģiju. Iekšējās kontroles sistēmas izveides jomā iestādes valde:
44.1. nosaka kvalitatīvus un kvantitatīvus mērķus katrai iestādes darbības jomai saskaņā ar iestādes noteikto stratēģiju;
44.2. izstrādā organizatorisko struktūru, kurā ir skaidri noteiktas pilnvaras un efektīva pienākumu sadale starp iestādes vadību un darbiniekiem;
44.3. nodrošina iestādes personāla atbilstošu kvalifikāciju un pietiekamu pieredzi;
44.4. nodrošina iestādes aktīvu un klientu līdzekļu aizsardzību;
44.5. nodrošina darbības risku identifikāciju, novērtēšanu un pārvaldīšanu;
44.6. ievieš un pārvalda vadības informācijas sistēmu, kas aptver visu iestādes darbību;
44.7. nosaka aktīvu, pasīvu, ārpusbilances prasību un saistību, ieņēmumu un izdevumu uzskaites un novērtēšanas principus;
44.8. ievieš kontroles mehānismus, kas nodrošina, lai spēkā esošos likumus un citus tiesību aktus, iestādes apstiprinātās politikas, plānus, iekšējos noteikumus un procedūras ievērotu visi darbinieki un iestādes vadība;
44.9. nodrošina pasākumu veikšanu, lai novērstu iekšējās kontroles sistēmas trūkumus, kurus atklājis iekšējā audita dienests vai tam līdzvērtīga iekšējā audita funkcija, zvērināts revidents, Latvijas Banka un citas institūcijas;
44.10. vismaz vienu reizi gadā iestādes padomei (ja tāda izveidota) sniedz pārskatu par iekšējās kontroles sistēmas darbību;
44.11. ja iestādes padome nav izveidota, šo noteikumu 44.10. apakšpunktā minēto pārskatu par iekšējās kontroles sistēmas darbību ne retāk kā reizi gadā iesniedz akcionāriem vai dalībniekiem;
44.12. nosaka ziņojumu, kurus tā saņem, saturu, apjomu, formātu un biežumu, kā arī kritiski izvērtē un vajadzības gadījumā apstrīd šīs informācijas patiesumu.
45. Iestāde izveido iekšējā audita dienestu vai tam līdzvērtīgu iekšējā audita funkciju (turpmāk – iekšējais audits), ņemot vērā iestādes darbības apjomu, veidu, sarežģītību un specifiku. Latvijas Republikā reģistrēta maksājumu iestāde un elektroniskās naudas iestāde izvērtē un dokumentē šo noteikumu X nodaļas prasību piemērošanas iespējas, ņemot vērā tās darbības specifiku.
46. Iekšējā audita uzdevums ir veikt iekšējās kontroles sistēmas neatkarīgu uzraudzību, kā arī tās efektivitātes novērtēšanu, lai palīdzētu iestādes vadībai un darbiniekiem efektīvāk pildīt savus amata pienākumus.
47. Iekšējā audita pienākumos iekļauj:
47.1. iestādes darbības efektivitātes un rezultātu novērtēšanu;
47.2. visu iestādes darbības veidu un struktūrvienību darbības atbilstības stratēģijai, plāniem, politikām, procedūrām un ārējo normatīvo aktu prasībām novērtēšanu;
47.3. grāmatvedības sistēmas pārbaudi;
47.4. informācijas sistēmu novērtēšanu;
47.5. iekšējās kontroles procedūru darbības pārbaudi;
47.6. finansiālās informācijas ticamības un pilnības pārbaudi, kā arī to līdzekļu pārbaudi, ar kuru palīdzību šī informācija tiek identificēta, mērīta, klasificēta un sniegta;
47.7. speciālo pārbaužu un izmeklēšanas veikšanu.
48. Lai iekšējais audits darbotos efektīvi, iestāde:
48.1. skaidri nosaka un dokumentē iekšējā audita pilnvaras;
48.2. nodala iekšējo auditu no ikdienas darījumu veikšanas un kontroles funkcijām, kā arī no uzskaites un kontroles procedūru noteikšanas;
48.3. nodrošina iekšējam auditam brīvu piekļuvi visiem dokumentiem, informācijai un personālam;
48.4. nodrošina, ka iekšējā audita personāls ir ar pietiekamu izglītību un profesionālo pieredzi, lai būtu pamats uzskatīt, ka šīs personas ir spējīgas kvalificēti pildīt savus pienākumus;
48.5. nodrošina iekšējam auditam tiešus kontaktus ar iestādes padomi (ja tāda izveidota) un valdi.
49. Iestādes akcionāri vai dalībnieki apstiprina iekšējā audita vadītāju, skaidri norādot un dokumentējot viņa pienākumus, pilnvaras un pārskatu sniegšanas kārtību. Iekšējā audita vadītājam lēmumu pieņemšanā un rīcībā jābūt neatkarīgam no iestādes valdes, piemēram, nodrošinot viņa pakļautību iestādes padomei (ja tāda izveidota) vai akcionāriem vai dalībniekiem, ja padome nav izveidota.
50. Iekšējais audits veic darbību saskaņā ar iestādes padomes (ja tāda izveidota) apstiprināto darbības plānu, kurā atspoguļo:
50.1. pārskata periodā pārbaudāmās darbības jomas, pārbaužu regularitāti un pārbaužu veikšanai nepieciešamos resursus;
50.2. riska noteikšanas un novērtēšanas metodes pārbaudāmajām darbības jomām, kā arī riska kontroles procedūru novērtēšanas kritērijus;
50.3. pārbaužu rezultātu dokumentēšanas prasības;
50.4. kārtību, kādā pārbaužu rezultāti sniedzami iestādes padomei (ja tāda izveidota) un valdei, un ieteikumu īstenošanas pārbaudes kārtību.
51. Ja iestāde nav izveidojusi padomi, tās iekšējā audita darbības plānu apstiprina akcionāri vai dalībnieki.
52. Iekšējais audits sagatavo ziņojumus par katras veiktās pārbaudes rezultātā atklātajiem faktiem un iekšējās kontroles sistēmas trūkumiem, politiku un procedūru pārkāpumiem, nepietiekami identificētiem vai pārvaldītiem riskiem un atbilstoši šo noteikumu 50.4. apakšpunktā minētajai kārtībai sniedz ieteikumus atklāto problēmu risināšanai. Iekšējais audits nodrošina katras veiktās pārbaudes rezultātā atklāto faktu, atzinumu un ieteikumu apspriešanu attiecīgajā vadības līmenī, kā arī seko iekšējā audita ieteikumu izpildei. Iekšējais audits vismaz reizi gadā sagatavo pārskatu par veiktajām pārbaudēm un galvenajām atklātajām problēmām, izsakot viedokli par iekšējās kontroles efektivitāti.
53. Atzīt par spēku zaudējušiem Finanšu un kapitāla tirgus komisijas 2020. gada 31. marta normatīvos noteikumus Nr. 29 "Maksājumu iestāžu un elektroniskās naudas iestāžu iekšējās kontroles sistēmas izveides normatīvie noteikumi" (Latvijas Vēstnesis, 2020, Nr. 69).