System kontroli wewnętrznej
REGULAMIN SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W NOWEJ SOLI
ZATWIERDZONY PRZEZ RADĘ NADZORCZĄ dnia 29.12.2021 r.
Rozdział 1. Postanowienia ogólne
§ 1.
Regulamin Systemu Kontroli Wewnętrznej w Banku Spółdzielczym w Nowej Soli, zwany dalej „Regulaminem” i/lub „SKW”, określa organizację i zasady funkcjonowania systemu kontroli wewnętrznej, w tym odpowiedzialność organów Banku, zakres zadań zapewniających funkcjonowanie matrycy funkcji kontroli, kryteria wyodrębniania procesów istotnych, zasady monitorowania przestrzegania mechanizmów kontrolnych w procesach realizowanych w Banku oraz obowiązki w zakresie przeglądów i raportowania w ramach funkcji kontroli. Bank wyodrębnia procesy uznane za istotne.(zał. nr 1)
Rozdział 2. Organizacja Systemu Kontroli Wewnętrznej
§ 2.
1. SKW stanowi, obok systemu zarządzania ryzykiem, element systemu zarządzania Bankiem. SKW wspiera Radę Nadzorczą, Zarząd Banku i pracowników w skutecznym i efektywnym działaniu procesów biznesowych. SKW jest dostosowany do struktury organizacyjnej Banku i obejmuje wszystkie jednostki organizacyjne.
2. Funkcjonujący w Banku System Kontroli Wewnętrznej obejmuje trzy niezależne poziomy (linie obrony):
1) Pierwszy na który składa się zarządzanie ryzykiem w działalności operacyjnej Banku. Na tym poziomie komórki/jednostki organizacyjne w ramach funkcji kontroli odpowiadają za identyfikację ryzyka, projektowanie i wdrażanie mechanizmów kontrolnych oraz za monitorowanie poziome (weryfikacja bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych w ramach własnej linii,
2) Drugi - na który składa się co najmniej zarządzanie ryzykiem przez pracowników zatrudnionych na stanowiskach zarządzających ryzykiem lub w komórkach organizacyjnych niezależnie od zarzadzania ryzykiem oraz działalność stanowiska ds. zgodności.
3) Trzeci – na który składa się audyt wewnętrzny, mający za zadanie badanie i ocenę, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem oraz Systemu Kontroli Wewnętrznej.
3. Na I i II linii obrony pracownicy Banku w związku z wykonywaniem obowiązków służbowych stosują mechanizmy kontrolne oraz niezależnie monitorują ich przestrzeganie poprzez weryfikację bieżącą i testowanie.
§ 3.
System Kontroli Wewnętrznej obejmuje:
1) funkcję kontroli – której zadaniem jest zapewnienie przestrzegania mechanizmów kontrolnych w procesach funkcjonujących w Banku, w tym dotyczących zarządzania ryzykiem, obejmującą wszystkie komórki i jednostki organizacyjne Banku;
2) stanowisko ds. zgodności – którego zadaniem jest identyfikacja, ocena kontrola i monitorowanie ryzyka braku zgodności działania Banku z obowiązującymi przepisami prawa, przepisami wewnętrznymi Banku oraz przedstawiania raportów w tym zakresie;
3) komórkę audytu wewnętrznego - której zadaniem jest badanie i ocena, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem oraz Systemu Kontroli Wewnętrznej w Banku.
§ 4.
1. Na funkcję kontroli składają się:
1) mechanizmy kontrolne;
2) niezależne monitorowanie przestrzegania mechanizmów kontrolnych;
3) raportowanie w ramach funkcji kontroli.
2. Wszyscy pracownicy zaangażowani są w realizację funkcji kontroli w Banku, przy założeniu, że podział obowiązków nie generuje konfliktu interesów, nadużyć i nie stwarza możliwości powielania błędnie realizowanych działań, czy dokonywania manipulacji lub zatajania informacji.
Rozdział 3. Mechanizmy kontrolne
§ 5.
1. W celu ograniczenia ryzyka wystąpienia nieprawidłowości, Bank wdraża mechanizmy kontrolne.
2. Działanie mechanizmów kontroli ryzyka jest zapewniane poprzez stosowanie odpowiednio zaprojektowanych mechanizmów kontrolnych.
3. Mechanizmy kontrolne powinny być odpowiednio stosowane w zakresie wszystkich trzech linii obrony, we wszystkich procesach funkcjonujących w Banku, spełniając rolę :
a) Prewencyjną – poprzez zapobieganie nieprawidłowością.
b) Detekcyjną – poprzez wykrywanie nieprawidłowości.
c) Korekcyjną – poprzez korektę nieprawidłowości.
Kluczowe mechanizmy kontrolne Bank przypisuje procesom istotnym.
§ 6.
Przy projektowaniu i weryfikacji mechanizmów kontrolnych bierze się pod uwagę:
1) zmiany otoczenia rynkowego i regulacyjnego;
2) adekwatność mechanizmu w odniesieniu do danego procesu;
3) skuteczność danego mechanizmu w przeszłości;
4) możliwość niezależnego monitorowania danego mechanizmu kontrolnego.
§ 7.
Do głównych mechanizmów kontrolnych występujących w Banku należą:
1) procedury – zdefiniowany sposób postępowania pracowników;
2) podział obowiązków – podział zadań i uprawnień przypisanych pracownikom w ramach danego procesu zapobiegający m.in. konfliktowi interesów;
3) autoryzacja, zwłaszcza autoryzacja transakcji finansowych – system zatwierdzania decyzji i czynności wykonywanych przez pracowników, w ramach danego procesu;
4) kontrola dostępu – zestaw uprawnień dostępu do określonych obszarów, systemów;
5) ewidencja operacji finansowych – rejestrowanie i przechowywanie określonych danych wprowadzonych i generowanych w danym systemie;
6) inwentaryzacja – porównanie stanu faktycznego ze stanem wymaganym odnośnie stanu majątkowego;
7) dokumentowanie odstępstw – wykaz zarejestrowanych wyjątków w ramach wykonywania czynności wynikających z ustalonych zasad postępowania;
8) samokontrola – weryfikacja prawidłowości własnych działań w toku wykonywania czynności operacyjnych.
Bank zapewnia dokumentację funkcji kontroli w szczególności przez :
- rejestrowanie każdej operacji, transakcji, produktu i usługi oraz opis systemu, procesu, Struktury organizacyjnej
- opis w formie matrycy funkcji kontroli, powiązania celów z procesami , które przez bank zostały uznane za istotne, oraz kluczowymi mechanizmami kontrolnymi i niezależnym monitorowaniem przestrzegania tych mechanizmów kontrolnych.
Rozdział 4. Monitorowanie przestrzegania mechanizmów kontrolnych
§ 8.
1. Niezależne monitorowanie przestrzegania mechanizmów kontrolnych powinno być wpisane we wszystkie procesy funkcjonujące w Banku i obejmować weryfikację bieżącą i testowanie.
2. Istnieją cztery rodzaje niezależnego monitorowania – weryfikacja bieżąca pozioma; testowanie poziome; weryfikacja bieżąca pionowa; testowanie pionowe.
Weryfikacja bieżąca powinna być stosowana przed rozpoczęciem lub w trakcie czynności wykonywanych w ramach procesów funkcjonujących w Banku i powinna być podstawowym elementem monitorowania poziomego w szczególności w ramach pierwszej
linii obrony.
Testowanie powinno być stosowane w przypadku zakończenia czynności wykonywanych w ramach procesów funkcjonujących w Banku lub poszczególnych etapów tych czynności.
3. Wpisanie odpowiedzialności za monitorowanie kluczowego mechanizmu kontrolnego jest ewidencjonowane w matrycy funkcji kontroli.
§ 9.
1. Weryfikacja bieżąca pozioma – porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych przed lub w trakcie wykonywania czynności w ramach procesów, w ramach danej linii.
2. Weryfikacja bieżąca pionowa - porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych przed lub w trakcie wykonywania czynności w ramach procesów, realizowana przez drugą linię obrony w stosunku do I linii obrony.
§ 10.
1. Testowanie poziome – porównywanie na wybranej próbie testowej stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów, w ramach danej linii obrony.
2. Testowanie pionowe - dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów, realizowane przez drugą linię obrony w stosunku do I linii obrony
§ 11.
1. Realizację monitorowania poziomego i pionowego należy dokumentować.
2. Za dokumentowanie weryfikacji bieżącej przyjmuje się:
1) podpisy na dokumentach;
2) raporty.
3. Dokumentowanie testowania musi zawierać m.in.:
1) nazwę mechanizmu kontrolnego;
2) termin przeprowadzenia;
3) dane osoby przeprowadzającej testowanie;
4) opis stwierdzonych nieprawidłowości;
5) zalecenia i terminy ich realizacji.
§ 12.
1. W przypadku zidentyfikowania nieprawidłowości znaczących i krytycznych, osoba przeprowadzająca testowanie niezwłocznie informuje o tym fakcie Zarząd i Komitet Audytu. Stanowisko ds. zgodności w przypadku nieprawidłowości krytycznych niezwłocznie informuje Audyt SSOZ .
2. Bank przyjmuje spójną dla wszystkich uczestników SSOZ BPS kategoryzację nieprawidłowości:
1) P-1 błąd krytyczny – nieprawidłowość skutkująca wysokim prawdopodobieństwem realizacji utraty zdolności do kontynuowania działalności przez Bank, które może skutkować koniecznością uruchomienia środków pomocowych przez SSOZ BPS. Niezbędne jest pilne wdrożenie działań naprawczych i włączenie w ten proces organów zarządzających oraz nadzorczych Banku.
2) P-2 błąd znaczący – nieprawidłowość która zagraża bezpiecznemu funkcjonowaniu badanego obszaru / procesu jednak nie powinna negatywnie wpłynąć na ogólną sytuację badanego podmiotu. Stwierdzone nieprawidłowości wymagają terminowej realizacji działań naprawczych.
3) P- 3 błąd o niskim priorytecie – stwierdzone nieprawidłowości generują ryzyko dla działalności Banku, jednak nie powinny zagrozić bezpieczeństwu jego funkcjonowania.
Rozdział 7. Raportowanie
§ 13.
1. W przypadku wykrycia nieprawidłowości przez System Kontroli Wewnętrznej, właściciele procesów obowiązani są do systematycznej oceny stopnia przestrzegania mechanizmów kontrolnych oraz inicjować zmiany mechanizmów kontrolnych w przypadku problemów z brakiem adekwatności i skuteczności.
2. Zarząd Banku sprawuje nadzór nad realizacją działań naprawczych w celu usunięcia wykrytych nieprawidłowości w Systemie Kontroli Wewnętrznej.
3. Stanowisko ds. zgodności, na podstawie wyników testowania i weryfikacji, w okresach półrocznych, sporządza informację dla Zarządu o przebiegu kontroli, monitorowania i zrealizowanych zaleceniach pokontrolnych.
4. Stanowisko ds. zgodności sporządza dla Zarządu i Rady Nadzorczej roczną informację dotyczącą oceny skuteczności Systemu Kontroli Wewnętrznej w Banku.
5. Do oceny skuteczności systemu kontroli wewnętrznej wykorzystywane są także następujące informacje i dokumenty:
1) wyniki kontroli instytucji zewnętrznych, w tym inspekcji KNF, oceny BION;
2) wyniki audytów zrealizowanych przez Spółdzielnię;
3) osiągnięcie przez Bank wskaźników finansowych określonych w Umowie Systemu Ochrony Zrzeszenia BPS;
4) ilość skarg klientów (w tym do KNF), z uwzględnieniem skarg zasadnych;
5) ilość i kwota strat operacyjnych;
6) przekraczanie ustanowionych limitów.
§ 14.
1. Sprawozdania półroczne, o których mowa w § 13 ust. 3 są sporządzane do końca miesiąca po zakończeniu półrocza.
2. Sprawozdania roczne, o których mowa w § 13 ust. 4, sporządzane są w terminie do końca I kwartału następnego roku.
Rozdział 8. Zapewnienie zgodności w Banku
§ 15.
1. Zapewnienie zgodności w Banku stanowi jeden z celów Systemu Kontroli Wewnętrznej i rozumiane jest jako zapewnienie przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych, odpowiednio przez funkcję kontroli i zarządzanie ryzykiem braku zgodności.
2. Zapewnienie zgodności przez funkcję kontroli realizowane jest przez każdego pracownika Banku w ramach przestrzegania obowiązujących przepisów prawa, regulacji wewnętrznych i standardów rynkowych, poprzez stosowanie i modyfikację mechanizmów kontrolnych.
3. Za koordynację i kontrolę nad realizacją obowiązków związanych z procesem zarządzania ryzykiem braku zgodności odpowiada Stanowisko ds. zgodności.
Rozdział 9. Podział zadań i kompetencji w ramach Sytemu Kontroli Wewnętrznej
§ 16.
Do kompetencji Rady Nadzorczej Banku należy:
1) sprawowanie nadzoru nad wprowadzeniem i zapewnianiem funkcjonowania skutecznego Systemu Kontroli Wewnętrznej w Banku;
2) zatwierdzanie kryteriów oceny skuteczności Systemu Kontroli Wewnętrznej w Banku;
3) dokonywanie co najmniej raz w roku oceny stopnia efektywności zarządzania ryzykiem braku zgodności;
4) zatwierdzanie Polityki zgodności;
5) monitorowanie skuteczności Systemu Kontroli Wewnętrznej na podstawie informacji otrzymywanych od Stanowiska ds. zgodności, Audytu wewnętrznego, Zarządu Banku i Komitetu Audytu;
6) informowanie SSOZ o wynikach oceny adekwatności i skuteczności Systemu Kontroli Wewnętrznej w formie Uchwały.
2. Rada Nadzorcza powołuje Komitet Audytu, którego podstawowym zadaniem jest przedstawianie Radzie Nadzorczej swojego stanowiska lub rekomendacji pozwalających podjąć decyzję w obszarze m. in. zarządzania ryzykiem oraz systemu kontroli wewnętrznej.
§ 17.
Do kompetencji Zarządu Banku należy, między innymi:
1) zapewnianie funkcjonowania skutecznego systemu kontroli wewnętrznej w Banku;
2) ustanawianie kryteriów oceny skuteczności systemu kontroli wewnętrznej w Banku;
3) zapewnienie ciągłości działania SKW, w tym właściwą współpracę pracowników Banku w ramach funkcji kontroli oraz współpracę ze Stanowiskiem ds. zgodności;
4) zatwierdzanie kryteriów wyodrębniania procesów istotnych;
5) ustanawianie zasad projektowania, zatwierdzania i wdrażania oraz zapewnienie adekwatności i skuteczności mechanizmów kontrolnych we wszystkich procesach
funkcjonujących w Banku;
6) ustanawianie zasad monitorowania przestrzegania mechanizmów kontrolnych obejmujących weryfikację bieżącą i testowanie;
7) zapewnienie funkcjonowania w Banku matrycy funkcji kontroli;
8) raportowanie do Rady Nadzorczej, nie rzadziej niż raz w roku, o sposobie wypełnienia swoich zadań w ramach SKW.
Rozdział 10. Ocena skuteczności i adekwatności Systemu Kontroli Wewnętrznej przez Radę Nadzorczą
§ 18.
1. Coroczna ocena adekwatności i skuteczności Systemu Kontroli Wewnętrznej w Banku obejmuje: ocenę adekwatności i skuteczności funkcji kontroli, zapewnienie zgodności oraz ocenę adekwatności zarządzania ryzykiem i systemem kontroli wewnętrznej na podstawie wyników audytu wewnętrznego. Ocena jest dokonywana na podstawie opinii Komitetu Audytu.
2. Ocena dokonywana jest w formie Uchwały Rady Nadzorczej w oparciu o kryteria oceny skuteczności i adekwatności SKW, m. in. na podstawie:
1) informacji Zarządu o realizacji zadań w ramach SKW;
2) wyników audytu SSOZ;
3) raportów przedstawianych przez Stanowisko ds. zgodności;
4) wyników oceny BION;
5) raportów z monitorowania i testowania w ramach funkcji kontroli.
3. Przy dokonywaniu oceny należy, szczególnie, zwrócić uwagę na kwestie:
1) skuteczność działań podejmowanych w celu ograniczenia wystąpienia nieprawidłowości;
2) ilość błędów krytycznych i znaczących wynikających z nieprzestrzegania mechanizmów kontrolnych;
3) ilość reklamacji i skarg.
Rozdział 11. Postanowienia końcowe
§ 19.
1. Funkcja audytu wewnętrznego dla Uczestników SOZ jest realizowana przez Pion Audytu w Spółdzielni i jest uregulowana odrębnymi przepisami w tym zakresie.
2. Regulamin wchodzi w życie z dniem podjęcia Uchwały przez Radę Nadzorczą po wcześniejszej akceptacji przez Zarząd.
3. Zasady systemu kontroli wewnętrznej, opisane w niniejszym Regulaminie podlegają corocznym przeglądom.
4. W sprawach nieuregulowanych w Regulaminie SKW mają zastosowanie przepisy prawa dotyczące zarządzania ryzykiem i systemem kontroli wewnętrznej, Rekomendacja H KNF oraz Umowa i załączniki do Umowy Systemu Ochrony Zrzeszenia.
Nowa Sól, 29.12.2021 r.