I. Cele systemu kontroli wewnętrznej
Celami ogólnymi systemu kontroli wewnętrznej jest zapewnienie:
- skuteczności i efektywności działania Banku
- wiarygodności sprawozdawczości finansowej
- przestrzegania zasad zarządzania ryzykiem w Banku
- zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.
II. Role organów Banku
Rada Nadzorcza sprawuje nadzór nad wprowadzeniem i zapewnieniem funkcjonowania adekwatnego systemu kontroli wewnętrznej oraz odpowiedzialna jest za monitorowanie jego skuteczności.
Komitet Audytu wspiera działania Rady Nadzorczej w zakresie sprawozdawczości finansowej i kontroli wewnętrznej oraz zarządzania ryzykiem.
Zarząd Banku odpowiada za zaprojektowanie, wprowadzenie oraz zapewnienie we wszystkich jednostkach/komórkach/stanowiskach organizacyjnych Banku, funkcjonowanie adekwatnego i skutecznego systemu kontroli wewnętrznej, który obejmuje funkcję kontroli i komórkę do spraw zgodności.
III. Model trzech linii obrony
Funkcjonujący w Banku system zarządzania ryzykiem i system kontroli wewnętrznej są zorganizowane na trzech, niezależnych i wzajemnie uzupełniających się liniach obrony (poziomach).
Na pierwszą linię obrony składa się operacyjne zarządzanie ryzykiem, powstałym w związku z działalnością prowadzoną przez Bank. Komórki pierwszej linii obrony odpowiedzialne są za projektowanie i zapewnienie przestrzegania mechanizmów kontrolnych, w szczególności w procesach biznesowych funkcjonujących w Banku oraz zgodności postępowania z regulacjami.
Na drugą linię obrony składa się zarządzanie przez pracowników na specjalnie powołanych do tego stanowiskach i komórkach organizacyjnych niezależne od operacyjnego zarządzania ryzykiem na pierwszym poziomie. Druga linia obrony odpowiedzialna jest m.in. za monitorowanie bieżące przyjętych mechanizmów kontrolnych, przeprowadzanie pionowych testów mechanizmów kontrolnych, ocenę adekwatności i skuteczności mechanizmów kontrolnych, matryce funkcji kontroli, prowadzenie rejestru nieprawidłowości znaczących i krytycznych oraz raportowanie o tych nieprawidłowościach.
Trzecią linię obrony stanowi audyt wewnętrzny realizowany przez Spółdzielczy System Ochrony SGB. Audyt wewnętrzny odpowiedzialny jest za badanie oraz ocenę adekwatności i skuteczności mechanizmów kontroli i niezależnego monitorowania ich przestrzegania odpowiednio w ramach pierwszej i drugiej linii obrony, zarówno w odniesieniu do systemu zarządzania ryzykiem, jak i systemu kontroli wewnętrznej.
Na wszystkich trzech poziomach, w ramach systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, pracownicy Banku w ramach realizowanych czynności odpowiednio stosują mechanizmy kontrolne lub niezależnie monitorują (poziomo lub pionowo) przestrzeganie mechanizmów kontrolnych. W Banku zapewniona jest niezależność monitorowania pionowego poprzez jednoznaczne wyodrębnienie linii obrony oraz niezależność monitorowania poziomego poprzez rozdzielenie zadań dotyczących stosowania danego mechanizmu kontrolnego i niezależnego monitorowania jego przestrzegania w ramach danej linii. Za monitorowanie poziome (weryfikacja bieżąca, testowanie) w ramach danej linii odpowiedzialni są wyznaczeni pracownicy, w tym kierownicy jednostek/komórek organizacyjnych. Za monitorowanie pionowe pierwszej linii obrony przez drugą linię obrony odpowiada komórka kontroli wewnętrznej oraz komórka do spraw zgodności.
IV. Funkcja kontroli
Na funkcję kontroli składają się:
- mechanizmy kontrolne funkcjonujące w procesach Banku,
- niezależne monitorowanie przestrzegania mechanizmów kontrolnych,
- raportowanie w ramach funkcji kontroli.
Bank dokumentuje funkcje kontroli w formie matrycy funkcji kontroli.
V. Umiejscowienie, zakres zadań, niezależność komórki do spraw zgodności i komórki audytu wewnętrznego
Zapewnienie zgodności realizowane jest przez komórkę ds. zgodności poprzez wykonywanie zadań w ramach funkcji kontroli oraz poprzez zarządzanie ryzykiem braku zgodności.
Komórka ds. spraw zgodności podlega bezpośrednio Prezesowi Zarządu.
W ramach funkcji kontroli, komórka ds. zgodności odpowiedzialna jest m.in. za zapewnienie zgodności poprzez:
- weryfikację bieżącą pionową, o ile ta weryfikacja nie została przypisana innym pracownikom lub komórkom organizacyjnym w ramach drugiej linii obrony,
- testowanie pionowe przestrzegania kluczowych mechanizmów kontrolnych, zapewniających osiąganie zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.
W ramach procesu zarządzania ryzykiem braku zgodności komórka ds. zgodności:
- identyfikuje ryzyko,
- ocenia ryzyko,
- kontroluje ryzyko,
- monitoruje ryzyko,
- raportuje o ryzyku do Zarządu, Rady Nadzorczej, Komitetu Audytu oraz do Spółdzielczego Systemu Ochrony SGB.
Niezależność komórki ds. zgodności zapewniona jest m.in. poprzez:
- zatwierdzanie przez Zarząd i Radę Nadzorczą Zasad zarządzania ryzykiem braku zgodności,
- formalne wyodrębnienie komórki do spraw zgodności w strukturze organizacyjnej Banku,
- zapewnienie kierującemu komórką do spraw zgodności bezpośredniego kontaktu z członkami Zarządu i Rady Nadzorczej,
- udział kierującego komórką do spraw zgodności w posiedzeniach Zarządu i Rady Nadzorczej,
- powoływanie i odwoływanie kierującego komórką do spraw zgodności za zgodą Rady Nadzorczej,
- ochronę pracowników komórki do spraw zgodności przed nieuzasadnionym wypowiedzeniem umowy o pracę,
- zapewnienie możliwości systematycznego podnoszenia kwalifikacji, zdobywania doświadczenia, udziału w szkoleniach.
Audyt wewnętrzny, ma za zadanie badanie i ocenę w sposób niezależny i obiektywny, adekwatność i skuteczność systemu zarządzania ryzykiem i systemu kontroli wewnętrznej. Wykonywany jest przez Spółdzielczy System Ochrony SGB, stosownie do postanowień umowy Systemu Ochrony SGB.
VI. Zasady corocznej oceny skuteczności i adekwatności systemu kontroli wewnętrznej
Rada Nadzorcza dokonuje corocznej oceny adekwatności i skuteczności systemu kontroli wewnętrznej w tym funkcji kontroli, komórki ds. zgodności oraz wyników audytu przeprowadzonego przez komórkę audytu wewnętrznego
Dokonując oceny Rada Nadzorcza bierze pod uwagę informacje przekazane przez Zarząd o sposobie wypełniania zadań przez pracowników Banku w ramach funkcji kontroli oraz komórki do spraw zgodności ze szczególnym uwzględnieniem:
- adekwatności i skuteczności systemu kontroli wewnętrznej w zapewnieniu osiągania każdego z celów systemu kontroli wewnętrznej,
- skali i charakterze nieprawidłowości znaczących i krytycznych oraz najważniejszych działań zmierzających do usunięcia tych nieprawidłowości, w tym o podjętych środkach naprawczych i dyscyplinujących,
- zapewnienia niezależności komórce do spraw zgodności,
- zapewnienia środków finansowych niezbędnych do skutecznego wykonywania przez pracowników komórki zgodności oraz do systematycznego podnoszenia kwalifikacji oraz zdobywania doświadczenia i umiejętności przez pracowników tej komórki.