Finansu un kapitāla tirgus komisija
Padomes lēmums Nr. 24/7 Rīgā 2001. gada 21. decembrī
Par "Ieteikumu iekšējās kontroles sistēmas izveidošanai" apstiprināšanu
Finansu un kapitāla tirgus komisijas padome n o l e m j:
1. Apstiprināt "Ieteikumus iekšējās kontroles sistēmas izveidošanai" (pielikumā).
2. Lūgt Latvijas Banku pēc 1. punktā minēto noteikumu spēkā stāšanās atcelt Latvijas Bankas padomes 17.07.1997. lēmumu Nr. 41/3, ar kuru tika apstiprināti "Ieteikumi kredītiestāžu iekšējās kontroles sistēmas izveidošanai".
Finansu un kapitāla tirgus komisijas
priekšsēdētāja vietnieks J. Brazovskis
Ieteikumi iekšējās kontroles sistēmas izveidošanai
"Ieteikumi iekšējās kontroles sistēmas izveidošanai" (tālāk tekstā - ieteikumi) sagatavoti, ievērojot Bāzeles Banku uzraudzības komitejas "Iekšējās kontroles sistēmas novērtēšanas principus". Ieteikumos apkopota efektīvas iekšējās kontroles sistēmas izveidošanas prakse, kas bankām un krājaizdevu sabiedrībām (tālāk tekstā - iestāde) jāņem vērā, veidojot tās darbībai piemērotu visaptverošu iekšējās kontroles sistēmu, un to ieteicams piemērot apdrošinātājiem, apdrošināšanas brokeru sabiedrībām, brokeru sabiedrībām, ieguldījumu sabiedrībām, privātajiem pensiju fondiem, fondu biržām un Latvijas Centrālajam depozitārijam.
1. Vispārējās prasības iekšējās
kontroles sistēmas veidošanai
1.1. Iekšējās kontroles sistēma ir jāorganizē tā, lai iestādes vadībai būtu pamatota pārliecība, ka iestādes aktīvi ir nodrošināti pret zaudējumiem un nesankcionētu valdīšanu un lietošanu, darbības riski tiek pastāvīgi uzraudzīti un novērtēti, operācijas (darījumi) notiek saskaņā ar iestādē noteikto kārtību un ir pareizi grāmatotas, iestāde darbojas saprātīgi, piesardzīgi un efektīvi, pilnībā ievērojot likumu un citu tiesību aktu prasības.
1.2. Iekšējās kontroles sistēmu veido, ņemot vērā iestādes lielumu, veikto operāciju (darījumu) apjomu, to dažādību un sarežģītību, risku lielumu saistībā ar katru darbības sfēru, pārvaldes centralizācijas pakāpi, informācijas tehnoloģiju u.c. faktorus, kuri ir būtiski konkrētās iestādes darbības mērķu īstenošanai.
1.3. Iekšējās kontroles sistēmai jāietver iestādes vadības noteiktās politikas un kontroles procedūras, lai pārvaldītu riskus, kas saistīti ar iestādes darbību. Spriežot par kontroles procedūru nepieciešamību, to apjomu un raksturu, jāizvairās no formālu un apgrūtinošu noteikumu un procedūru noteikšanas, ja tas nenodrošina efektīvu iestādes aktīvu aizsardzību un riska pārvaldīšanu vai kontroles procedūru izveidošanas un uzturēšanas izdevumi pārsniedz finansu un citus ieguvumus no tām.
1.4. Par iestādes iekšējās kontroles sistēmas izveidi un efektīvu funkcionēšanu atbild iestādes padome un valde.
1.5. Iekšējās kontroles sistēmai jāaptver ššdi pamatelementi:
1.5.1. darbības plānošana katram gadam un tālākai nākotnei;
1.5.2. iestādes lielumam un darbības riskiem atbilstoša organizatoriskā struktūra;
1.5.3. visu iestādes darbībā radušos būtisko risku identifikācija, analīze un pārvaldīšana;
1.5.4. atbilstoša grāmatvedības uzskaite un vadības informācijas sistēma;
1.5.5. aktīvu un informācijas sistēmu aizsardzība;
1.5.6. iekšējās kontroles sistēmas pilnveidošana, atbilstība mainīgiem darbības apstākļiem un tās efektivitātes novērtēšana.
2. Darbības plānošana
2.1. Iestādei jāizstrādā darbības plāns vismaz katram gadam un jāiepazīstina ar to iestādes personāls. Darbības plānā parasti norāda iestādes pašreizējo un nākotnē plānoto finansiālo stāvokli, vietu tirgū, darbības mērķus attiecīgajā periodā, darbības veidus un raksturīgākās operācijas (darījumus), potenciālos riskus un pieņemamos riska līmeņus, darbības rezultātu novērtēšanas kritērijus.
3. Organizatoriskā struktūra
3.1. Iestādei jādokumentē organizatoriskā struktūra, nosakot valdes locekļu pienākumus (funkcijas), pilnvaras un atbildību darījumu veikšanā un kontrolē, nosakot un sadalot pienākumus starp struktūrvienībām un sagatavojot vispārīgus darba aprakstus (dienesta instrukcijas) atbildīgajiem darbiniekiem.
3.2. Dokumentējot organizatorisko struktūru, jānosaka pārskatu sniegšanas un informācijas apmaiņas kārtība iestādē, t.sk. kādu informāciju, kad un kam ir pienākums sniegt un saņemt un kāda informācija ir konfidenciāla un tālāk neizpaužama.
3.3. Sadalot pienākumus un piešķirot pilnvaras, jāievēro pienākumu dalīšanas princips, kas izpaužas kā to pienākumu (funkciju) nodalīšana, kas, ja tos apvienotu, ļautu kādam darbiniekam vienpersoniski veikt kādu operāciju (darījumu) pilnībā. Nodalāmi pienākumi (funkcijas) ir operācijas (darījuma) apstiprināšana (tās veicēja pilnvarošana), izpilde, novērtēšana, salīdzināšana, glabāšana un iegrāmatošana.
3.4. Dokumentējot pilnvaru piešķiršanu, jānorāda piešķirto pilnvaru veids, personas (norādot amatu) un struktūrvienības, kam piešķirtas pilnvaras, pārpilnvarojuma tiesības, jebkādi piešķirto pilnvaru izmantošanas ierobežojumi. Lai veicinātu pienākumu pareizu izpildi, jāparedz atbildīgo izpildītāju atbildības apliecināšanas kārtība, piemēram, parakstoties par uzticēto pienākumu izpildi.
3.5. Visām operācijām (darījumiem) jābūt atļautām ar attiecīgas amatpersonas rīkojumu saskaņā ar organizatoriskajā struktūrā noteiktiem atbildības līmeņiem.
3.6. Būtiskiem darbības veidiem iestādei jāizstrādā un jādokumentē attiecīgo operāciju (darījumu) veikšanas un kontroles kārtība (operacionālās procedūras) un jāiepazīstina ar to iestādes personāls. Operacionālās procedūras parasti ietver operācijas (darījuma) apstiprināšanas (tās veicēja pilnvarošanas) kārtību (t.sk. norāda dokumentus, kurus nepieciešams noformēt lēmumu pieņemšanas procesā, līdz operācija (darījums) tiek apstiprināta, amatpersonas, kurām jāapliecina attiecīgo lēmumu pieņemšana, šo amatpersonu parakstu paraugi), nosaka ierobežojumus, lai nodrošinātu operācijas (darījuma) atbilstību iestādes politikai un likumu un citu tiesību aktu prasībām, kā arī operācijas (darījuma) apstrādes un kontroles kārtību.
3.7. Iestādēm jāizstrādā un jādokumentē kārtība, kā nodibina attiecības ar jauniem klientiem, kā arī jāapstiprina to dokumentu forma un saturs, kuri jānoformē, veicot operācijas (darījumus) ar klientiem un trešajām personām vai arī to vārdā. Iestādēm jānosaka obligātas informācijas par klientiem saņemšanas un tās aktualitātes nodrošināšanas kārtība, dokumentācijas par tikšanos ar klientiem un trešajām personām un sarakstes ar klientiem un trešajām personām saglabāšanas kārtība.
3.8. Iestādes personālam jābūt informētam par tā pienākumiem, un tam jābūt pienākumu izpildei atbilstošai kvalifikācijai. Lai nodrošinātu personāla atbilstību, iestādei ieteicams:
3.8.1. izstrādāt personāla politiku, t.sk. prasības dažādiem amatiem nepieciešamajām iemaņām, personāla atbilstības novērtēšanas kritērijus un procedūras, ar kuru palīdzību tiek novērtēti potenciālie darbinieki un pārbaudītas iesniegtās atsauksmes;
3.8.2. izstrādāt personāla profesionālo mācību programmu, kuras mērķis ir sagatavot darbiniekus attiecīgā amata darba pienākumu izpildei un nepārtraukti pilnveidot darbinieku zināšanas, kā arī personāla informēšanas kārtību par politiku, procedūru, likumu un citu tiesību aktu grozījumiem, kā arī tirgus pārmaiņām, kas ietekmē attiecīgo darbinieku pienākumus;
3.8.3. izstrādāt darbinieku uzvedības un rīcības noteikumus (ētikas noteikumus), lai nodrošinātu, ka darbinieki veic savus pienākumus ar vislielāko godprātību, ievērojot spēkā esošos likumus un citus tiesību aktus, darbības noteikumus, respektējot informācijas par operāciju (darījumu) un klientu konfidencialitāti un komercnoslēpumu;
3.8.4. nodrošināt regulāru darbinieku rotāciju, lai samazinātu kļūdu vai neatļautas darbības iespējamību.
4. Iestādes darbības risku pārvaldīšana
4.1. Iestādei jāizstrādā un jāīsteno nepieciešamās politikas un kontroles procedūras būtisku kvantitatīvu (kredīta, likviditātes, valūtas utt.) risku pārvaldīšanai, kā arī jālieto piemērotas procedūras, lai mazinātu kvantitatīvi nenosakāmus riskus (krāpniecība, izšķērdēšana, reputācijas risks utt.).
4.2. Iestādes darbības risku pārvaldīšana ietver:
4.2.1. būtisku risku noteikšanu, novērtēšanu un mērīšanu;
4.2.2. to ierobežojumu un limitu noteikšanu, kas nosaka maksimāli pieļaujamo riska apjomu, dažādo risku vai nodrošina risku seku pārnešanu uz citām personām;
4.2.3. risku pārvaldīšanas politiku un procedūru ievērošanas regulāru pārraudzīšanu un jebkuru noteikto limitu ievērošanas kontroli;
4.2.4. riska novērtēšanas procedūru un ierobežojumu noteikšanu pirms iesaistīšanās jaunu operāciju (darījumu) veikšanā;
4.2.5. kvantitatīvo risku kopējā apjoma novērtēšanu iestādes mērogā;
4.2.6. politiku un procedūru regulāru pārskatīšanu un pilnveidošanu atbilstoši tirgus pārmaiņām.
5. Grāmatvedības organizācija
5.1. Grāmatvedības sistēma iestādei jāveido, izstrādājot un dokumentējot grāmatvedības politiku (norādot, kā grāmatvedībā jāatspoguļo dažādas operācijas (darījumi)), kā arī uzskaites, kontroles, novērtēšanas un pārskatu sagatavošanas procedūras.
5.2. Uzskaites procedūrām jānodrošina, ka:
5.2.1. visas operācijas (darījumi), kuras noteiktajā kārtībā ir apstiprinātas, ar precīzu summu un savlaicīgi tiek uzskaitītas atbilstoši iestādes izstrādātajam vienotajam kontu plānam un noteiktajai kārtībai;
5.2.2. netiek uzskaitītas fiktīvas operācijas (darījumi);
5.2.3. katra operācija (darījums) ir pilnīgi dokumentēta, t.i., pastāv attaisnojuma dokumenti, kas apstiprina operācijas (darījuma) veikšanas vai saistību uzņemšanās faktu, un dokumenti, kas apstiprina šis operācijas (darījuma) vai saistību ņemšanu uzskaitē;
5.2.4. dokumentācija un informācija tiek saglabāta un veiktās operācijas (darījumus) var atšifrēt hronoloģiskā secībā;
5.2.5. visas operācijas (darījumi) katru dienu tiek apstrādātas un katras darba dienas beigās tiek sagatavota bilance.
5.3. Kontroles procedūrām jānodrošina, ka:
5.3.1. grāmatvedības ieraksti (konti) regulāri un savlaicīgi tiek salīdzināti ar atbilstošajiem aktīviem, kontu atlikumu apstiprinājumiem, īpašuma tiesības apstiprinošo dokumentāciju, kontroles kontu atlikumiem grāmatvedības reģistros u.tml. dokumentāciju;
5.3.2. tiek noskaidrots ierakstu salīdzināšanas rezultātā atklāto atšķirību iemesls un nepieciešamības gadījumā tiek veikta grāmatvedības ierakstu labošana, saņemot atļauju no attiecīgā līmeņa vadības;
5.3.3. darījuma kontroli veic persona (struktūrvienība), kas nav darījuma iniciatore un neatbild par darījuma grāmatošanu. Piemēram, organizējot kontu apstiprinājumu apmaiņu, jāizmanto uzticamu trešo personu starpniecība - kurjerpiegāde, pasts - vai informācijas apmaiņa elektroniskā formā. Kontu apstiprinājuma saņēmējs nedrīkst būt persona, kas veic grāmatošanu šajā kontā.
5.4. Novērtēšanas procedūrām jānodrošina:
5.4.1. aktīvu, pasīvu un ārpusbilances prasību un saistību vērtības regulāra un savlaicīga novērtēšana;
5.4.2. tirdzniecībai paredzēto aktīvu pārvērtēšana atbilstoši cenām, kas tiek pārbaudītas neatkarīgi no personām, kuras veic šo tirdzniecību (dīleriem);
5.4.3. pietiekamu uzkrājumu izveidošana aktīvu faktiskajai vai paredzamajai vērtības samazināšanai.
5.5. Pārskatu sagatavošanas procedūrām jānodrošina finansu informācijas kodēšana un klasifikācija pārskatu sagatavošanai un iesniegšanai ārējiem un iekšējiem lietotājiem.
6. Vadības informācijas sistēma
6.1. Iestādei jāizstrādā vadības informācijas sistēma, kura dod iespēju izprast un savlaicīgi novērtēt iestādes ekonomisko un finansiālo stāvokli, efektīvi pieņemt lēmumus un novērtēt to sekas, kā arī savlaicīgi atklāt kontroles procedūru neievērošanu. Dažādu līmeņu vadītājiem un atbildīgajiem darbiniekiem jābūt savlaicīgi pieejamai informācijai, kura nepieciešama viņu pienākumu izpildei un lēmumu pieņemšanai.
6.2. Vadības informācijai ieteicams aptvert:
6.2.1. iestādes pašreizējo stāvokli salīdzinājumā ar iepriekšējo periodu rezultātiem un darbības plāna rādītājiem;
6.2.2. darbības rezultātus gan kopumā, gan par atsevišķu periodu salīdzinājumā ar plānoto budžetu un iepriekšējiem periodiem;
6.2.3. aktīvu, pasīvu un ārpusbilances posteņu analīzi, parādot, kā tie ir novērtēti;
6.2.4. ienākumu un izdevumu analīzi, parādot, kā tie attiecas uz dažādām aktīvu, pasīvu un ārpusbilances posteņu kategorijām;
6.2.5. faktisko kvantitatīvo risku lieluma salīdzinājumu ar vadības noteiktajiem limitiem;
6.2.6. pieņemto politiku vai kontroles procedūru neievērošanas gadījumu noteikšanu un analīzi.
6.3. Informācijas sistēmai jānodrošina savlaicīga informācijas sniegšana ārējiem lietotājiem (gada pārskati, pārskati Finansu un kapitāla tirgus komisijai, Latvijas Bankai u.tml.) atbilstoši spēkā esošo likumu un citu tiesību aktu prasībām.
7. Aktīvu un informācijas
sistēmas aizsardzība
7.1. Iestādei jāizstrādā aizsardzības procedūras, kurām:
7.1.1. jānodrošina iestādes materiālo un finansu aktīvu saglabāšana;
7.1.2. jānodrošina to materiālo un finansu aktīvu saglabāšana, kas tiek turēti klientu uzdevumā;
7.1.3. jānovērš nepilnvarotu personu tieša un netieša (ar dokumentu starpniecību) piekļūšana iestādes aktīviem, grāmatvedības, elektroniskās sakaru sistēmas un citiem datiem;
7.1.4. jānodrošina informācijas sistēmu droša un stabila funkcionēšana (t.sk. informācijas saglabāšana un atjaunošana ārkārtējos apstākļos).
8. Iestādes padomes funkcijas
iekšējās kontroles sistēmas jomā
8.1. Iestādes padomei jākontrolē, kā iestādes valde nodrošina iekšējās kontroles sistēmas izveidi un efektīvu funkcionēšanu. Veicot iekšējās kontroles sistēmas kontroli, iestādes padome:
8.1.1. nosaka pienākumu sadali starp padomes locekļiem un informācijas apmaiņas kārtību starp padomi un valdi;
8.1.2. nosaka valdes locekļu pienākumus (vai kontrolē akcionāru pilnsapulcē noteikto pienākumu izpildi) un valdes darbības rezultātu novērtēšanas kārtību;
8.1.3. apstiprina vai akceptē tālākai iesniegšanai iestādes akcionāru pilnsapulcei apstiprināšanai iestādes organizatorisko struktūru, lai nodrošinātu, ka pienākumi un atbildība ir atbilstoši noteikta;
8.1.4. apstiprina un maina valdes ieteiktās risku pārvaldīšanas politikas gan attiecībā uz jau veicamajām, gan uz plānotajām operācijām, iekļaujot tajās risku novērtēšanas un kontroles kārtību, pilnvaru piešķiršanas kārtību attiecīgo operāciju (darījumu) veikšanai, kā arī nosakot ierobežojumus attiecībā uz konkrētiem riskiem, pieprasa (saņem) informāciju par noteikto ierobežojumu būtiskiem pārkāpumiem;
8.1.5. kontrolē efektīvas vadības informācijas sistēmas izveidošanu;
8.1.6. kontrolē, vai iekšējā audita dienesta funkcija ir skaidri noteikta, tam ir piemērota vieta iestādes organizatoriskajā struktūrā un noteikta loma iestādes pārvaldīšanas procesā, tas ir nodrošināts ar kvalificētu personālu un darbojas efektīvi;
8.1.7. kontrolē iekšējās kontroles sistēmas periodisku maiņu atbilstoši pārmaiņām iestādes darbībā un ekonomiskajā vidē;
8.1.8. izskata iekšējā audita dienesta, ārējo auditoru, kā arī Finansu un kapitāla tirgus komisijas un citu uzraudzības institūciju atzinumus un ieteikumus iestādes darbības uzlabošanai un kontrolē atklāto trūkumu novēršanu.
9. Iestādes valdes funkcijas
iekšējās kontroles sistēmas jomā
9.1. Iestādes valde ir atbildīga par visaptverošas iekšējās kontroles sistēmas izveidošanu, tās īstenošanu, pārvaldīšanu un pilnveidošanu saskaņā ar padomes (akcionāru pilnsapulces) noteikto stratēģiju. Lai gan katrā iestādē valdes pienākumi var būt atšķirīgi, iekšējās kontroles sistēmas aspektā iestādes valde:
9.1.1. nosaka kvalitatīvus un kvantitatīvus mērķus katrai iestādes darbības jomai saskaņā ar padomes (akcionāru pilnsapulces) noteikto stratēģiju;
9.1.2. izstrādā organizatorisko struktūru, kas skaidri nosaka pilnvaras un paredz efektīvu pienākumu sadali starp valdes locekļiem, iestādes struktūrvienībām un atbildīgajiem darbiniekiem;
9.1.3. nodrošina iestādes personāla atbilstošu kvalifikāciju un pietiekamu pieredzi;
9.1.4. nodrošina iestādes aktīvu aizsardzību;
9.1.5. nodrošina darbības risku identifikāciju, novērtēšanu un pārvaldīšanu;
9.1.6. ievieš un pārvalda vadības informācijas sistēmu, kas aptver visu iestādes darbību;
9.1.7. nosaka aktīvu, pasīvu, ārpusbilances prasību un saistību, ieņēmumu un izdevumu uzskaites un novērtēšanas principus;
9.1.8. ievieš kontroles mehānismus, kas nodrošina, lai spēkā esošos likumus un citus tiesību aktus, iestādes apstiprinātās politikas, plānus, iekšējos noteikumus un procedūras ievērotu visi iestādes darbinieki;
9.1.9. nodrošina pasākumu veikšanu, lai novērstu iekšējās kontroles sistēmas trūkumus, kurus atklājis iekšējā audita dienests, ārējie auditori, Finansu un kapitāla tirgus komisija un citas uzraudzības institūcijas;
9.1.10. vismaz vienu reizi gadā iestādes padomei sniedz pārskatu par iekšējās kontroles sistēmas darbību.
10. Iekšējā audita dienests
10.1. Iekšējā audita dienests ir iekšējās kontroles sistēmas vienība, kuras uzdevums ir veikt iekšējās kontroles sistēmas neatkarīgu uzraudzību, kā arī tās pietiekamības un efektivitātes novērtēšanu, lai palīdzētu iestādes padomei, valdei un tai pakļauto struktūrvienību vadībai efektīvāk pildīt savas funkcijas.
10.2. Iekšējā audita dienesta pienākumiem jāiekļauj:
10.2.1. iestādes darbības efektivitātes un rezultātu novērtēšana;
10.2.2. iestādes darbības atbilstības politikām, plāniem, procedūrām, spēkā esošo likumu un citu tiesību aktu prasībām novērtēšana;
10.2.3. grāmatvedības sistēmas pārbaude;
10.2.4. informācijas sistēmu novērtēšana;
10.2.5. iekšējās kontroles procedūru darbības pārbaude;
10.2.6. finansiālās informācijas ticamības un pilnības, kā arī to līdzekļu pārbaude, ar kuru palīdzību šī informācija tiek identificēta, mērīta, klasificēta un sniegta;
10.2.7. speciālo pārbaužu un izmeklēšanas veikšana.
10.3. Lai iekšējā audita dienests darbotos efektīvi, iestādei:
10.3.1. skaidri jānosaka un jādokumentē iekšējā audita dienesta pilnvaras;
10.3.2. jānodala iekšējā audita dienesta funkcijas no ikdienas operāciju (darījumu) veikšanas un kontroles funkcijām, kā arī no uzskaites un kontroles procedūru noteikšanas;
10.3.3. jānodrošina tam brīva piekļūšana visiem dokumentiem, informācijai un personālam;
10.3.4. jānodrošina iekšējo auditoru pietiekama izglītība un profesionālā pieredze, lai būtu pamats uzskatīt, ka tie ir spējīgi kvalificēti pildīt savus pienākumus;
10.3.5. jānodrošina tam tieši kontakti ar padomi un valdi.
10.4. Iestādes akcionāru pilnsapulcei jāapstiprina iekšējā audita dienesta vadītājs, skaidri norādot viņa pienākumus, pilnvaras un pārskatu sniegšanas kārtību. Iekšējā audita dienesta vadītājam savu lēmumu pieņemšanā un rīcībā jābūt neatkarīgam no iestādes valdes.
10.5. Iekšējā audita dienestam jāveic darbība saskaņā ar padomes apstiprināto darbības plānu, kurā jāatspoguļo:
10.5.1. pārskata periodā pārbaudāmās darbības jomas, pārbaužu regularitāte un pārbaužu veikšanai nepieciešamie resursi;
10.5.2. riska noteikšanas un novērtēšanas metodes dažādām darbības jomām, kā arī riska kontroles procedūru novērtēšanas kritēriji;
10.5.3. pārbaudes rezultātu dokumentēšanas prasības;
10.5.4. kārtība, kādā pārbaužu rezultāti sniedzami padomei un valdei, ieteikumu īstenošanas pārbaudes kārtība.
10.6. Iekšējā audita dienestam jāsagatavo ziņojumi par katras veiktās pārbaudes rezultātā atklātajiem faktiem un iekšējās kontroles sistēmas trūkumiem, politiku un procedūru pārkāpumiem, nepietiekami kontrolētiem riskiem un jāiesniedz ieteikumi atklāto problēmu risināšanai. Iekšējā audita dienestam jānodrošina katras veiktās pārbaudes rezultātā atklāto faktu, atzinumu un ieteikumu apspriešana attiecīgajā vadības līmenī, kā arī jāseko iekšējā audita ieteikumu izpildei. Iekšējā audita dienestam jāsagatavo gada pārskats par veiktajām pārbaudēm, galvenajām atklātajām problēmām, izsakot viedokli par iekšējās kontroles efektivitāti.