REGULAMIN SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W NOWEJ SOLI
ZATWIERDZONY PRZEZ RADĘ NADZORCZĄ dnia 29.12.2021 r.
Rozdział 1. Postanowienia ogólne § 1. Regulamin Systemu Kontroli Wewnętrznej w Banku Spółdzielczym w Nowej Soli, zwany dalej „Regulaminem” i/lub „SKW”, określa organizację i zasady funkcjonowania systemu kontroli wewnętrznej, w tym odpowiedzialność organów Banku, zakres zadań zapewniających funkcjonowanie matrycy funkcji kontroli, kryteria wyodrębniania procesów istotnych, zasady monitorowania przestrzegania mechanizmów kontrolnych w procesach realizowanych w Banku oraz obowiązki w zakresie przeglądów i raportowania w ramach funkcji kontroli. Bank wyodrębnia procesy uznane za istotne.(zał. nr 1)
Rozdział 2. Organizacja Systemu Kontroli Wewnętrznej § 2. 1. SKW stanowi, obok systemu zarządzania ryzykiem, element systemu zarządzania Bankiem. SKW wspiera Radę Nadzorczą, Zarząd Banku i pracowników w skutecznym i efektywnym działaniu procesów biznesowych. SKW jest dostosowany do struktury organizacyjnej Banku i obejmuje wszystkie jednostki organizacyjne. 2. Funkcjonujący w Banku System Kontroli Wewnętrznej obejmuje trzy niezależne poziomy (linie obrony): 1) Pierwszy na który składa się zarządzanie ryzykiem w działalności operacyjnej Banku. Na tym poziomie komórki/jednostki organizacyjne w ramach funkcji kontroli odpowiadają za identyfikację ryzyka, projektowanie i wdrażanie mechanizmów kontrolnych oraz za monitorowanie poziome (weryfikacja bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych w ramach własnej linii, 2) Drugi - na który składa się co najmniej zarządzanie ryzykiem przez pracowników zatrudnionych na stanowiskach zarządzających ryzykiem lub w komórkach organizacyjnych niezależnie od zarzadzania ryzykiem oraz działalność stanowiska ds. zgodności. 3) Trzeci – na który składa się audyt wewnętrzny, mający za zadanie badanie i ocenę, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem oraz Systemu Kontroli Wewnętrznej. 3. Na I i II linii obrony pracownicy Banku w związku z wykonywaniem obowiązków służbowych stosują mechanizmy kontrolne oraz niezależnie monitorują ich przestrzeganie poprzez weryfikację bieżącą i testowanie.
§ 3. System Kontroli Wewnętrznej obejmuje: 1) funkcję kontroli – której zadaniem jest zapewnienie przestrzegania mechanizmów kontrolnych w procesach funkcjonujących w Banku, w tym dotyczących zarządzania ryzykiem, obejmującą wszystkie komórki i jednostki organizacyjne Banku; 2) stanowisko ds. zgodności – którego zadaniem jest identyfikacja, ocena kontrola i monitorowanie ryzyka braku zgodności działania Banku z obowiązującymi przepisami prawa, przepisami wewnętrznymi Banku oraz przedstawiania raportów w tym zakresie; 3) komórkę audytu wewnętrznego - której zadaniem jest badanie i ocena, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem oraz Systemu Kontroli Wewnętrznej w Banku.
§ 4. 1. Na funkcję kontroli składają się: 1) mechanizmy kontrolne; 2) niezależne monitorowanie przestrzegania mechanizmów kontrolnych; 3) raportowanie w ramach funkcji kontroli.
2. Wszyscy pracownicy zaangażowani są w realizację funkcji kontroli w Banku, przy założeniu, że podział obowiązków nie generuje konfliktu interesów, nadużyć i nie stwarza możliwości powielania błędnie realizowanych działań, czy dokonywania manipulacji lub zatajania informacji.
Rozdział 3. Mechanizmy kontrolne § 5. 1. W celu ograniczenia ryzyka wystąpienia nieprawidłowości, Bank wdraża mechanizmy kontrolne. 2. Działanie mechanizmów kontroli ryzyka jest zapewniane poprzez stosowanie odpowiednio zaprojektowanych mechanizmów kontrolnych. 3. Mechanizmy kontrolne powinny być odpowiednio stosowane w zakresie wszystkich trzech linii obrony, we wszystkich procesach funkcjonujących w Banku, spełniając rolę : a) Prewencyjną – poprzez zapobieganie nieprawidłowością. b) Detekcyjną – poprzez wykrywanie nieprawidłowości. c) Korekcyjną – poprzez korektę nieprawidłowości. Kluczowe mechanizmy kontrolne Bank przypisuje procesom istotnym.
§ 6. Przy projektowaniu i weryfikacji mechanizmów kontrolnych bierze się pod uwagę: 1) zmiany otoczenia rynkowego i regulacyjnego; 2) adekwatność mechanizmu w odniesieniu do danego procesu; 3) skuteczność danego mechanizmu w przeszłości; 4) możliwość niezależnego monitorowania danego mechanizmu kontrolnego.
§ 7. Do głównych mechanizmów kontrolnych występujących w Banku należą: 1) procedury – zdefiniowany sposób postępowania pracowników; 2) podział obowiązków – podział zadań i uprawnień przypisanych pracownikom w ramach danego procesu zapobiegający m.in. konfliktowi interesów; 3) autoryzacja, zwłaszcza autoryzacja transakcji finansowych – system zatwierdzania decyzji i czynności wykonywanych przez pracowników, w ramach danego procesu; 4) kontrola dostępu – zestaw uprawnień dostępu do określonych obszarów, systemów; 5) ewidencja operacji finansowych – rejestrowanie i przechowywanie określonych danych wprowadzonych i generowanych w danym systemie; 6) inwentaryzacja – porównanie stanu faktycznego ze stanem wymaganym odnośnie stanu majątkowego; 7) dokumentowanie odstępstw – wykaz zarejestrowanych wyjątków w ramach wykonywania czynności wynikających z ustalonych zasad postępowania; 8) samokontrola – weryfikacja prawidłowości własnych działań w toku wykonywania czynności operacyjnych.
Bank zapewnia dokumentację funkcji kontroli w szczególności przez : - rejestrowanie każdej operacji, transakcji, produktu i usługi oraz opis systemu, procesu, Struktury organizacyjnej - opis w formie matrycy funkcji kontroli, powiązania celów z procesami , które przez bank zostały uznane za istotne, oraz kluczowymi mechanizmami kontrolnymi i niezależnym monitorowaniem przestrzegania tych mechanizmów kontrolnych.
Rozdział 4. Monitorowanie przestrzegania mechanizmów kontrolnych § 8. 1. Niezależne monitorowanie przestrzegania mechanizmów kontrolnych powinno być wpisane we wszystkie procesy funkcjonujące w Banku i obejmować weryfikację bieżącą i testowanie. 2. Istnieją cztery rodzaje niezależnego monitorowania – weryfikacja bieżąca pozioma; testowanie poziome; weryfikacja bieżąca pionowa; testowanie pionowe. Weryfikacja bieżąca powinna być stosowana przed rozpoczęciem lub w trakcie czynności wykonywanych w ramach procesów funkcjonujących w Banku i powinna być podstawowym elementem monitorowania poziomego w szczególności w ramach pierwszej linii obrony. Testowanie powinno być stosowane w przypadku zakończenia czynności wykonywanych w ramach procesów funkcjonujących w Banku lub poszczególnych etapów tych czynności. 3. Wpisanie odpowiedzialności za monitorowanie kluczowego mechanizmu kontrolnego jest ewidencjonowane w matrycy funkcji kontroli. § 9. 1. Weryfikacja bieżąca pozioma – porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych przed lub w trakcie wykonywania czynności w ramach procesów, w ramach danej linii. 2. Weryfikacja bieżąca pionowa - porównywanie stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych przed lub w trakcie wykonywania czynności w ramach procesów, realizowana przez drugą linię obrony w stosunku do I linii obrony. § 10. 1. Testowanie poziome – porównywanie na wybranej próbie testowej stanu faktycznego ze stanem wymaganym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów, w ramach danej linii obrony. 2. Testowanie pionowe - dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów, realizowane przez drugą linię obrony w stosunku do I linii obrony
§ 11. 1. Realizację monitorowania poziomego i pionowego należy dokumentować. 2. Za dokumentowanie weryfikacji bieżącej przyjmuje się: 1) podpisy na dokumentach; 2) raporty. 3. Dokumentowanie testowania musi zawierać m.in.: 1) nazwę mechanizmu kontrolnego; 2) termin przeprowadzenia; 3) dane osoby przeprowadzającej testowanie; 4) opis stwierdzonych nieprawidłowości; 5) zalecenia i terminy ich realizacji. § 12. 1. W przypadku zidentyfikowania nieprawidłowości znaczących i krytycznych, osoba przeprowadzająca testowanie niezwłocznie informuje o tym fakcie Zarząd i Komitet Audytu. Stanowisko ds. zgodności w przypadku nieprawidłowości krytycznych niezwłocznie informuje Audyt SSOZ . 2. Bank przyjmuje spójną dla wszystkich uczestników SSOZ BPS kategoryzację nieprawidłowości: 1) P-1 błąd krytyczny – nieprawidłowość skutkująca wysokim prawdopodobieństwem realizacji utraty zdolności do kontynuowania działalności przez Bank, które może skutkować koniecznością uruchomienia środków pomocowych przez SSOZ BPS. Niezbędne jest pilne wdrożenie działań naprawczych i włączenie w ten proces organów zarządzających oraz nadzorczych Banku. 2) P-2 błąd znaczący – nieprawidłowość która zagraża bezpiecznemu funkcjonowaniu badanego obszaru / procesu jednak nie powinna negatywnie wpłynąć na ogólną sytuację badanego podmiotu. Stwierdzone nieprawidłowości wymagają terminowej realizacji działań naprawczych. 3) P- 3 błąd o niskim priorytecie – stwierdzone nieprawidłowości generują ryzyko dla działalności Banku, jednak nie powinny zagrozić bezpieczeństwu jego funkcjonowania.
Rozdział 7. Raportowanie § 13. 1. W przypadku wykrycia nieprawidłowości przez System Kontroli Wewnętrznej, właściciele procesów obowiązani są do systematycznej oceny stopnia przestrzegania mechanizmów kontrolnych oraz inicjować zmiany mechanizmów kontrolnych w przypadku problemów z brakiem adekwatności i skuteczności.
2. Zarząd Banku sprawuje nadzór nad realizacją działań naprawczych w celu usunięcia wykrytych nieprawidłowości w Systemie Kontroli Wewnętrznej.
3. Stanowisko ds. zgodności, na podstawie wyników testowania i weryfikacji, w okresach półrocznych, sporządza informację dla Zarządu o przebiegu kontroli, monitorowania i zrealizowanych zaleceniach pokontrolnych. 4. Stanowisko ds. zgodności sporządza dla Zarządu i Rady Nadzorczej roczną informację dotyczącą oceny skuteczności Systemu Kontroli Wewnętrznej w Banku. 5. Do oceny skuteczności systemu kontroli wewnętrznej wykorzystywane są także następujące informacje i dokumenty: 1) wyniki kontroli instytucji zewnętrznych, w tym inspekcji KNF, oceny BION; 2) wyniki audytów zrealizowanych przez Spółdzielnię; 3) osiągnięcie przez Bank wskaźników finansowych określonych w Umowie Systemu Ochrony Zrzeszenia BPS; 4) ilość skarg klientów (w tym do KNF), z uwzględnieniem skarg zasadnych; 5) ilość i kwota strat operacyjnych; 6) przekraczanie ustanowionych limitów. § 14. 1. Sprawozdania półroczne, o których mowa w § 13 ust. 3 są sporządzane do końca miesiąca po zakończeniu półrocza. 2. Sprawozdania roczne, o których mowa w § 13 ust. 4, sporządzane są w terminie do końca I kwartału następnego roku.
Rozdział 8. Zapewnienie zgodności w Banku § 15. 1. Zapewnienie zgodności w Banku stanowi jeden z celów Systemu Kontroli Wewnętrznej i rozumiane jest jako zapewnienie przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych, odpowiednio przez funkcję kontroli i zarządzanie ryzykiem braku zgodności. 2. Zapewnienie zgodności przez funkcję kontroli realizowane jest przez każdego pracownika Banku w ramach przestrzegania obowiązujących przepisów prawa, regulacji wewnętrznych i standardów rynkowych, poprzez stosowanie i modyfikację mechanizmów kontrolnych. 3. Za koordynację i kontrolę nad realizacją obowiązków związanych z procesem zarządzania ryzykiem braku zgodności odpowiada Stanowisko ds. zgodności.
Rozdział 9. Podział zadań i kompetencji w ramach Sytemu Kontroli Wewnętrznej § 16. Do kompetencji Rady Nadzorczej Banku należy: 1) sprawowanie nadzoru nad wprowadzeniem i zapewnianiem funkcjonowania skutecznego Systemu Kontroli Wewnętrznej w Banku; 2) zatwierdzanie kryteriów oceny skuteczności Systemu Kontroli Wewnętrznej w Banku; 3) dokonywanie co najmniej raz w roku oceny stopnia efektywności zarządzania ryzykiem braku zgodności; 4) zatwierdzanie Polityki zgodności; 5) monitorowanie skuteczności Systemu Kontroli Wewnętrznej na podstawie informacji otrzymywanych od Stanowiska ds. zgodności, Audytu wewnętrznego, Zarządu Banku i Komitetu Audytu; 6) informowanie SSOZ o wynikach oceny adekwatności i skuteczności Systemu Kontroli Wewnętrznej w formie Uchwały.
2. Rada Nadzorcza powołuje Komitet Audytu, którego podstawowym zadaniem jest przedstawianie Radzie Nadzorczej swojego stanowiska lub rekomendacji pozwalających podjąć decyzję w obszarze m. in. zarządzania ryzykiem oraz systemu kontroli wewnętrznej. § 17. Do kompetencji Zarządu Banku należy, między innymi: 1) zapewnianie funkcjonowania skutecznego systemu kontroli wewnętrznej w Banku; 2) ustanawianie kryteriów oceny skuteczności systemu kontroli wewnętrznej w Banku; 3) zapewnienie ciągłości działania SKW, w tym właściwą współpracę pracowników Banku w ramach funkcji kontroli oraz współpracę ze Stanowiskiem ds. zgodności; 4) zatwierdzanie kryteriów wyodrębniania procesów istotnych; 5) ustanawianie zasad projektowania, zatwierdzania i wdrażania oraz zapewnienie adekwatności i skuteczności mechanizmów kontrolnych we wszystkich procesach funkcjonujących w Banku; 6) ustanawianie zasad monitorowania przestrzegania mechanizmów kontrolnych obejmujących weryfikację bieżącą i testowanie; 7) zapewnienie funkcjonowania w Banku matrycy funkcji kontroli; 8) raportowanie do Rady Nadzorczej, nie rzadziej niż raz w roku, o sposobie wypełnienia swoich zadań w ramach SKW.
Rozdział 10. Ocena skuteczności i adekwatności Systemu Kontroli Wewnętrznej przez Radę Nadzorczą
§ 18. 1. Coroczna ocena adekwatności i skuteczności Systemu Kontroli Wewnętrznej w Banku obejmuje: ocenę adekwatności i skuteczności funkcji kontroli, zapewnienie zgodności oraz ocenę adekwatności zarządzania ryzykiem i systemem kontroli wewnętrznej na podstawie wyników audytu wewnętrznego. Ocena jest dokonywana na podstawie opinii Komitetu Audytu. 2. Ocena dokonywana jest w formie Uchwały Rady Nadzorczej w oparciu o kryteria oceny skuteczności i adekwatności SKW, m. in. na podstawie: 1) informacji Zarządu o realizacji zadań w ramach SKW; 2) wyników audytu SSOZ; 3) raportów przedstawianych przez Stanowisko ds. zgodności; 4) wyników oceny BION; 5) raportów z monitorowania i testowania w ramach funkcji kontroli. 3. Przy dokonywaniu oceny należy, szczególnie, zwrócić uwagę na kwestie: 1) skuteczność działań podejmowanych w celu ograniczenia wystąpienia nieprawidłowości; 2) ilość błędów krytycznych i znaczących wynikających z nieprzestrzegania mechanizmów kontrolnych; 3) ilość reklamacji i skarg.
Rozdział 11. Postanowienia końcowe § 19. 1. Funkcja audytu wewnętrznego dla Uczestników SOZ jest realizowana przez Pion Audytu w Spółdzielni i jest uregulowana odrębnymi przepisami w tym zakresie. 2. Regulamin wchodzi w życie z dniem podjęcia Uchwały przez Radę Nadzorczą po wcześniejszej akceptacji przez Zarząd. 3. Zasady systemu kontroli wewnętrznej, opisane w niniejszym Regulaminie podlegają corocznym przeglądom. 4. W sprawach nieuregulowanych w Regulaminie SKW mają zastosowanie przepisy prawa dotyczące zarządzania ryzykiem i systemem kontroli wewnętrznej, Rekomendacja H KNF oraz Umowa i załączniki do Umowy Systemu Ochrony Zrzeszenia.
