System kontroli wewnętrznej

REGULAMIN SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W NOWEJ SOLI

Rozdział 1. Postanowienia ogólne
§ 1. 
Regulamin Systemu Kontroli Wewnętrznej w Banku Spółdzielczym w Nowej Soli, zwany dalej „Regulaminem” i/lub „SKW”, określa organizację i zasady funkcjonowania systemu kontroli wewnętrznej, w tym odpowiedzialność organów Banku, zakres zadań zapewniających funkcjonowanie matrycy funkcji kontroli, kryteria wyodrębniania procesów istotnych, zasady monitorowania przestrzegania mechanizmów kontrolnych w  procesach realizowanych w Banku oraz obowiązki w zakresie przeglądów i raportowania w ramach funkcji kontroli. 
§ 2. 
Użyte w Regulaminie określenia oznaczają:
1) Bank – Bank Spółdzielczy w Nowej Soli; 
2) cele SKW – cztery cele ogólne, których osiąganie powinno być zapewnione przez system kontroli wewnętrznej, zgodnie z obowiązującymi przepisami prawa (art. 9c ust. 1 Ustawy z 29 sierpnia 1997r.); 
3) kluczowy mechanizm kontrolny – mechanizm kontrolny o kluczowym znaczeniu dla osiągnięcia danego celu systemu kontroli wewnętrznej w danym procesie, bez przestrzegania/stosowania którego może zaistnieć nieakceptowalne ryzyko, że założony cel nie zostanie osiągnięty; 
4) matryca funkcji kontroli – opis powiązania celów ogólnych i wyodrębnionych w ramach SKW z procesami istotnymi funkcjonującymi w Banku oraz kluczowymi mechanizmami kontrolnymi i niezależnym monitorowaniem przestrzegania tych mechanizmów;
5) mechanizm kontrolny – rozwiązanie lub działanie stosowane w ramach wszystkich trzech linii obrony, w tym zwłaszcza w ramach pierwszej linii obrony, którego zadaniem jest zapewnienie osiągnięcia celów systemu kontroli wewnętrznej;
6) monitorowanie pionowe – niezależne monitorowanie  przez II linię obrony (weryfikacja bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych w ramach I linii obron;
7) monitorowanie poziome – monitorowanie w ramach danej linii obrony (weryfikacja bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych; 
8) proces – zbiór wszelkich wzajemnie powiązanych ze sobą sekwencyjnie czynności wykonywanych przez jednostki, komórki, stanowiska organizacyjne Banku oraz jego podmioty zależne, których realizacja jest niezbędna do uzyskania określonego rezultatu (np. udzielenie kredytu, sprzedaż wierzytelności, zaksięgowanie transakcji określonego rodzaju, sporządzenie sprawozdania finansowego). W ramach procesów wykonywane są operacje, transakcje oraz inne czynności niezbędne do uzyskania określonego rezultatu; 
9) Spółdzielnia Systemu Ochrony – (SSO) – jednostka wykonująca audyt wewnętrzny w bankach spółdzielczych objętych systemem ochrony;
10) testowanie – porównywanie na wybranej próbie testowej stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów funkcjonujących w Banku lub poszczególnych etapów tych czynności. Testowanie może przybierać formę testowania pionowego (I linii przez II linię obrony) lub poziomego (w ramach danej linii obrony);
11) trzy linie obrony – funkcjonujący w Banku system zarządzania ryzykiem i system kontroli wewnętrznej zorganizowane na trzech niezależnych poziomach (liniach), gdzie:
? na pierwszą (I) linię obrony składa się zarządzanie ryzykiem w działalności operacyjnej Banku,
? na drugą (II) linię obrony składa się zarządzanie ryzykiem,
? trzecią (III) linię obrony stanowi audyt wewnętrzny realizowany przez SSO.
12) Umowa Systemu Ochrony – Umowa Systemu Ochrony Zrzeszenia BPS;
13) weryfikacja bieżąca – porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych przed rozpoczęciem lub w trakcie trwających czynności wykonywanych w ramach procesów funkcjonujących w Banku. Weryfikacja bieżąca może być monitorowaniem poziomym w ramach danej linii obrony lub monitorowaniem pionowym pierwszej linii obrony przez drugą linię obrony; 
14) właściciel procesu – osoba kierująca komórką organizacyjną Banku, która posiada największy udział w kształtowaniu procesu i która czuwa nad realizacją procesu, podejmuje działania usprawniające, mające na celu podniesienie skuteczności i efektywności całego procesu. Właściciel określony w matrycy funkcji kontroli jest odpowiedzialny, między innymi za weryfikację, aktualizację procesu, który został przypisany danej komórce w matrycy funkcji kontroli oraz za przekazywanie informacji do administratora w celu aktualizacji danych w tej matrycy.

Rozdział 2. Organizacja Systemu Kontroli Wewnętrznej
§ 3. 
1. SKW stanowi, obok systemu zarządzania ryzykiem, element systemu zarządzania Bankiem. SKW wspiera Radę Nadzorczą, Zarząd Banku i pracowników w skutecznym i efektywnym działaniu procesów biznesowych. SKW jest dostosowany do struktury organizacyjnej Banku i obejmuje wszystkie jednostki organizacyjne.
2. Funkcjonujący w Banku System Kontroli Wewnętrznej zorganizowany jest na trzech niezależnych poziomach (liniach obrony):
1) pierwsza linia obrony – zarządzanie ryzykiem w działalności operacyjnej Banku, na podstawie, między innymi ustanowionych limitów, zgodności działania z Banku z przepisami wewnętrznymi, z powszechnie obowiązującymi przepisami prawa oraz przyjętymi w Banku standardami rynkowymi. Na tym poziomie komórki/jednostki organizacyjne w ramach funkcji kontroli odpowiadają za identyfikację ryzyka, projektowanie i wdrażanie mechanizmów kontrolnych oraz za monitorowanie poziome (weryfikacja bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych w ramach własnej linii,
2) druga linia obrony – zarządzanie ryzykiem przez pracowników, niezależnie od zarządzania ryzykiem na I linii, poprzez identyfikację, ocenę, kontrolowanie, monitorowanie i raportowanie ryzyka, a także monitorowanie przestrzegania mechanizmów kontrolnych w ramach własnej linii oraz w stosunku do I linii obrony w ramach monitorowania pionowego, 
3) trzecia linia obrony –  audyt wewnętrzny, mający za zadanie badanie i ocenę, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem oraz Systemu Kontroli Wewnętrznej. Który realizowany jest przez 
3. Na I i II linii obrony pracownicy Banku w związku z wykonywaniem obowiązków służbowych stosują mechanizmy kontrolne oraz niezależnie monitorują ich przestrzeganie poprzez weryfikację bieżącą i testowanie. 
§ 4. 
1. System Kontroli Wewnętrznej obejmuje:
1) funkcję kontroli – której zadaniem jest zapewnienie przestrzegania mechanizmów kontrolnych w procesach funkcjonujących w Banku, w tym dotyczących zarządzania ryzykiem, obejmującą wszystkie komórki i jednostki organizacyjne Banku;
2) stanowisko ds. zgodności – którego zadaniem jest identyfikacja, ocena kontrola i monitorowanie ryzyka braku zgodności działania  Banku z obowiązującymi przepisami prawa, przepisami wewnętrznymi Banku oraz przedstawiania raportów w tym zakresie; 
3) komórkę audytu wewnętrznego - którego zadaniem jest badanie i ocena, w sposób niezależny  i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem oraz Systemu Kontroli Wewnętrznej w Banku.

§ 5.
1. Na funkcję kontroli składają się:
1) mechanizmy kontrolne;
2) niezależne monitorowanie przestrzegania mechanizmów kontrolnych;
3) raportowanie w ramach funkcji kontroli.
2. Wszyscy pracownicy zaangażowani są w realizację funkcji kontroli w Banku, przy założeniu, że podział obowiązków nie generuje konfliktu interesów, nadużyć i nie stwarza możliwości powielania błędnie realizowanych działań, czy dokonywania manipulacji lub zatajania informacji. 

Rozdział 3. Mechanizmy kontrolne
§ 6.
1. W celu ograniczenia ryzyka wystąpienia nieprawidłowości, Bank wdraża mechanizmy kontrolne.
2. Działanie mechanizmów kontroli ryzyka jest zapewniane poprzez stosowanie odpowiednio zaprojektowanych mechanizmów kontrolnych. 
§ 7.
Przy projektowaniu i weryfikacji mechanizmów kontrolnych bierze się pod uwagę:
  1) zmiany otoczenia rynkowego i regulacyjnego;
  2) adekwatność mechanizmu w odniesieniu do danego procesu:
  3) skuteczność mechanizmu w przeszłości;
  4) możliwość niezależnego monitorowania mechanizmu kontrolnego.

§ 8.
Do głównych mechanizmów kontrolnych występujących w Banku należą:
1)  procedury – zdefiniowany sposób postępowania;
2)  podział obowiązków – podział zadań i uprawnień przypisanych pracownikom w ramach danego procesu zapobiegający m.in. konfliktowi interesów;
3)  autoryzacja, zwłaszcza autoryzacja transakcji finansowych – system zatwierdzania decyzji i czynności wykonywanych przez pracowników, w ramach danego procesu;
4)  kontrola dostępu – zestaw uprawnień dostępu do określonych obszarów, systemów;
5)  ewidencja operacji finansowych – rejestrowanie i przechowywanie określonych danych wprowadzonych i generowanych w danym systemie;
6)  inwentaryzacja – porównanie stanu faktycznego ze stanem wymaganym odnośnie stanu majątkowego;
7)  dokumentowanie odstępstw – wykaz zarejestrowanych wyjątków w ramach wykonywania czynności wynikających z ustalonych zasad postępowania;
8)  samokontrola – weryfikacja prawidłowości własnych działań w toku wykonywania czynności operacyjnych.

Rozdział 4. Monitorowanie przestrzegania mechanizmów kontrolnych
§ 9.
1. Niezależne monitorowanie przestrzegania mechanizmów kontrolnych powinno być wpisane we wszystkie procesy funkcjonujące w Banku.
2. Istnieją cztery rodzaje niezależnego monitorowania – weryfikacja bieżąca pozioma; testowanie poziome; weryfikacja bieżąca pionowa; testowanie pionowe.
3. Wpisanie odpowiedzialności za monitorowanie kluczowego mechanizmu kontrolnego jest ewidencjonowane w matrycy funkcji kontroli.

Rozdział 5. Weryfikacja bieżąca
§ 10.
1. Weryfikacja bieżąca pozioma – porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych przed lub w trakcie wykonywania czynności w ramach procesów, w ramach danej linii.
2. Weryfikacja bieżąca pionowa - porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych przed lub w trakcie wykonywania czynności w ramach procesów, realizowana przez drugą linię obrony w stosunku do I linii obrony. 
   
Rozdział 6. Testowanie
§ 11.
1. Testowanie poziome – porównywanie na wybranej próbie testowej stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów, w ramach danej linii obrony.
2. Testowanie pionowe - dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów, realizowane przez drugą linię obrony w stosunku do I linii obrony.
§ 12.
1. Realizację monitorowania poziomego i pionowego należy dokumentować.
2. Za dokumentowanie weryfikacji bieżącej przyjmuje się:
1) podpisy na dokumentach;
2) raporty.
3. Dokumentowanie testowania musi zawierać m.in.:
1) nazwę mechanizmu kontrolnego;
2) termin przeprowadzenia;
3) dane osoby przeprowadzającej testowanie;
4) opis stwierdzonych nieprawidłowości;
5) zalecenia i terminy ich realizacji.
§ 13.
W przypadku zidentyfikowania nieprawidłowości znaczących i krytycznych, osoba  przeprowadzająca testowanie niezwłocznie informuje o tym fakcie Prezesa Zarządu.                       

Rozdział 7. Raportowanie
§ 14.
1. W przypadku wykrycia nieprawidłowości  przez System Kontroli Wewnętrznej, właściciele procesów obowiązani są do systematycznej oceny stopnia przestrzegania mechanizmów kontrolnych oraz inicjować zmiany mechanizmów kontrolnych w przypadku problemów z brakiem adekwatności i skuteczności.
2. Zarząd Banku sprawuje nadzór nad realizacją działań naprawczych w celu usunięcia wykrytych nieprawidłowości w Systemie Kontroli Wewnętrznej.
3. Stanowisko ds. zgodności, na podstawie wyników testowania i weryfikacji, w okresach półrocznych, sporządza informację dla Zarządu o przebiegu kontroli, monitorowania i zrealizowanych zaleceniach pokontrolnych.
4. Stanowisko ds. zgodności sporządza dla Zarządu i Rady Nadzorczej roczną informację dotyczącą oceny skuteczności Systemu Kontroli Wewnętrznej w Banku. 
5. Do oceny skuteczności systemu kontroli wewnętrznej wykorzystywane są także następujące informacje i dokumenty:
1) wyniki kontroli instytucji zewnętrznych, w tym inspekcji KNF, oceny BION;
2) wyniki audytów zrealizowanych przez Spółdzielnię;
3) osiągnięcie przez Bank  wskaźników finansowych określonych w Umowie Systemu Ochrony Zrzeszenia BPS;
4) ilość skarg klientów (w tym do KNF), z uwzględnieniem  skarg zasadnych;
5) ilość i kwota strat operacyjnych;
6) przekraczanie ustanowionych limitów.
§ 15.
1. Sprawozdania półroczne, o których mowa w § 14 ust. 3  są sporządzane do końca miesiąca po zakończeniu półrocza.
2. Sprawozdania roczne, o których mowa w § 14 ust. 4, sporządzane są w terminie do końca I kwartału następnego roku. 
 
Rozdział 8.  Zapewnienie zgodności w Banku
§ 16.
1. Zapewnienie zgodności w Banku stanowi jeden z celów Systemu Kontroli Wewnętrznej i rozumiane jest jako zapewnienie przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych, odpowiednio przez funkcję kontroli i zarządzanie ryzykiem braku zgodności.
2. Zapewnienie zgodności przez funkcję kontroli realizowane jest przez każdego pracownika Banku w ramach przestrzegania obowiązujących przepisów prawa, regulacji wewnętrznych i standardów rynkowych, poprzez stosowanie i modyfikację mechanizmów kontrolnych.
3. Za koordynację i kontrolę nad realizacją obowiązków związanych z procesem zarządzania ryzykiem braku zgodności odpowiada Stanowisko ds. zgodności.

Rozdział 9. Podział zadań i kompetencji w ramach Sytemu Kontroli Wewnętrznej
§ 17.
1.   Do kompetencji Rady Nadzorczej Banku należy:
1) sprawowanie nadzoru nad wprowadzeniem i zapewnianiem funkcjonowania skutecznego Systemu Kontroli Wewnętrznej w Banku;
2) zatwierdzanie kryteriów oceny skuteczności Systemu Kontroli Wewnętrznej w Banku;
3) dokonywanie co najmniej raz w roku oceny stopnia efektywności zarządzania ryzykiem braku zgodności;
4) zatwierdzanie Polityki zgodności;
5) monitorowanie skuteczności Systemu Kontroli Wewnętrznej na podstawie informacji otrzymywanych od Stanowiska ds. zgodności, Audytu wewnętrznego, Zarządu Banku i Komitetu Audytu;
6) informowanie SSOZ o wynikach oceny adekwatności i skuteczności Systemu Kontroli Wewnętrznej w formie Uchwały.
2. Rada Nadzorcza powołuje Komitet Audytu, którego podstawowym zadaniem jest przedstawianie Radzie Nadzorczej swojego stanowiska lub rekomendacji pozwalających podjąć decyzję w obszarze m. in. zarządzania ryzykiem oraz systemu kontroli wewnętrznej.

§ 18.
Do kompetencji Zarządu Banku należy, między innymi:
1) zapewnianie funkcjonowania skutecznego systemu kontroli wewnętrznej w Banku;
2) ustanawianie kryteriów oceny skuteczności systemu kontroli wewnętrznej w Banku;
3) zapewnienie ciągłości działania SKW, w tym właściwą współpracę pracowników Banku w ramach funkcji kontroli oraz współpracę ze Stanowiskiem ds. zgodności;
4) zatwierdzanie kryteriów wyodrębniania procesów istotnych;
5) ustanawianie zasad projektowania, zatwierdzania i wdrażania mechanizmów kontrolnych we wszystkich procesach funkcjonujących w Banku;
6) ustanawianie zasad monitorowania przestrzegania mechanizmów kontrolnych obejmujących weryfikację bieżącą i testowanie;
7) zapewnienie funkcjonowania w Banku matrycy funkcji kontroli;
8) raportowanie do Rady Nadzorczej, nie rzadziej niż raz w roku, o sposobie wypełnienia swoich zadań w ramach SKW.

Rozdział 10. Ocena skuteczności i adekwatności Systemu Kontroli Wewnętrznej przez Radę Nadzorczą.                     
§ 19.
1. Ocena adekwatności i skuteczności Systemu Kontroli Wewnętrznej w Banku obejmuje: ocenę adekwatności i skuteczności funkcji kontroli, zapewnienie zgodności  oraz na  podstawie wyników audytu wewnętrznego ocenę adekwatności zarządzania  ryzykiem i systemem  kontroli  wewnętrznej.
2. Ocena dokonywana jest w formie Uchwały Rady Nadzorczej w oparciu o kryteria oceny skuteczności i adekwatności SKW, m. in. na podstawie:
     1) informacji Zarządu o realizacji zadań w ramach SKW;
     2) wyników audytu SSOZ;  
     3) raportów przedstawianych przez Stanowisko ds. zgodności;
     4) wyników oceny BION;
     5) raportów z monitorowania i testowania w ramach funkcji kontroli.
3.  Przy dokonywaniu oceny należy, szczególnie, zwrócić uwagę na kwestie:
     1) skuteczność działań podejmowanych w celu ograniczenia wystąpienia nieprawidłowości;
     2) ilość błędów krytycznych i znaczących wynikających z nieprzestrzegania mechanizmów 
          kontrolnych;
     3) ilość reklamacji i skarg.    
    
Rozdział 11. Postanowienia końcowe
§ 20.
1. Funkcja audytu wewnętrznego dla Uczestników SOZ jest realizowana przez Pion Audytu w Spółdzielni i jest uregulowana odrębnymi przepisami w tym zakresie.
2. Regulamin  wchodzi  w  życie z  dniem  podjęcia  Uchwały  przez  Radę  Nadzorczą  po wcześniejszej akceptacji przez Zarząd.
3. Zasady  systemu  kontroli  wewnętrznej,  opisane  w  niniejszym Regulaminie  podlegają corocznym przeglądom.
4. W sprawach nieuregulowanych w Regulaminie SKW mają zastosowanie przepisy prawa dotyczące zarządzania ryzykiem i systemem kontroli wewnętrznej, rekomendacja H KNF oraz Umowa i załączniki do Umowy Systemu Ochrony Zrzeszenia.

 

Nowa Sól, 13.04.2021 r.