§ 40
1. Planowanie testowania opiera się na analizie zadań oraz ocenie poziomu ryzyka bankowego w ramach danego procesu, przy uwzględnieniu w szczególności:
1) specyfiki danego procesu oraz roli danej komórki organizacyjnej w procesie, a także ilości i złożoności wykonywanych czynności i operacji,
2) czynności dominujących w działalności komórki organizacyjnej,
3) czynności i operacji, o znacznym ryzyku wystąpienia uchybień i nieprawidłowości, a także możliwości popełnienia czynów, które mogą spowodować stratę dla Banku i/lub klientów,
4) nowych rodzajów świadczonych usług lub nowo wprowadzonych produktów, 5) stanu zatrudnienia,
6) obszarów działalności, w których stwierdzono uchybienia i nieprawidłowości w toku wcześniejszych testów (kontroli funkcjonalnych lub audytu wewnętrznego ) oraz kontroli i audytów zewnętrznych,
7) zakresu i wyników poprzednich czynności testowania, 8) bezpieczeństwa systemów informatycznych.
2. Obszary działalności obarczone wyższym ryzykiem powinny być testowane (kontrolowane) regularnie i z większą częstotliwością.
3. Przez obszary obarczone wyższym ryzykiem należy rozumieć te procesy lub ich obszary (czynności, operacje) gdzie istnieje potencjalne niebezpieczeństwo wystąpienia nieprawidłowości, które mogą wywołać niepożądane skutki finansowe lub negatywne zjawiska godzące w bezpieczne funkcjonowanie Banku.
4. Procesy lub ich obszary (czynności lub operacje), gdzie stwierdzono w trakcie przeprowadzania testów (kontroli), zarówno wewnętrznych jak i zewnętrznych szczególnie dużo błędów i nieprawidłowości zalicza się także do obszarów obarczonych wyższym ryzykiem.
5. Częstotliwość testowania może zostać zwiększona, jeśli ujawnione zostały poważne słabości i problemy, albo jeśli wprowadzono duże zmiany w odniesieniu do oferowanych produktów i usług, metodologii, pomiaru i monitorowania ryzyka, czy ogólnego profilu ryzyka w Banku.
§ 41
1. Testowanie stosowania mechanizmów kontroli wewnętrznej w Banku wykonywane jest w sposób planowy, tj. na podstawie zatwierdzonego rocznego Planu testów (kontroli funkcjonalnej).
2. Plan testów (kontroli funkcjonalnej) opracowywany jest w układzie zgodnym ze strukturą organizacyjną zawartą w Regulaminie organizacyjnym Banku, na podstawie czynności testowania ujętych w matrycy funkcji kontroli zatwierdzonej przez Zarząd.
3. Plan testów (kontroli funkcjonalnej) stosowania mechanizmów kontrolnych są sporządzane w oparciu o matrycę funkcji kontroli wewnętrznej, której wzór stanowi Załącznik nr 1 do niniejszego Regulaminu według schematu:
1) opracowanie, następnie weryfikacja wzoru matrycy funkcji kontroli przez Komórkę ds.
zgodności,
2) uzupełnienie matrycy o mechanizmy kontroli zawarte w procedurach opisujących procesy - komórki odpowiedzialne: właściciele procesów (właściciele procedur),
3) przypisanie mechanizmów kontroli celom systemu kontroli wewnętrznej,
4) określenie zasad weryfikacji i testowania stosowania mechanizmów kontroli wewnętrznej,
5) akceptacja matrycy kontroli przez Prezesa Zarządu, 6) zatwierdzenie matrycy kontroli przez Zarząd Banku,
7) przygotowanie w terminie do dnia 10 grudnia każdego roku kalendarzowego, przez osoby na stanowiskach kierowniczych, ewentualnych dodatkowych propozycji tematów do rocznych planów testów (kontroli funkcjonalnej), które nie wynikają z procesów istotnych ujętych w matrycy funkcji kontroli,
8) weryfikacja przedstawionych propozycji, o których mowa w pkt. 6, przez Stanowisko organizacyjno - administracyjne - ds. zgodności (Komórka ds. zgodności),
9) opracowanie propozycji kompleksowego rocznego Planu testów (kontroli funkcjonalnej) dla Banku przez Stanowisko organizacyjno - administracyjne – ds.
zgodności, na podstawie matrycy funkcji kontroli oraz zweryfikowanych pozytywnie dodatkowych propozycji tematów do rocznych planów testów, o których mowa w pkt.7.
4. Propozycja kompleksowego rocznego Planu testów (kontroli funkcjonalnej) oraz Planu kontroli instytucjonalnej zlecanej komórce kontroli Banku Zrzeszającego, jest przygotowywana przez pracownika Stanowiska organizacyjno - administracyjnego - ds.
zgodności we współpracy z pracownikami zajmującymi stanowiska kierownicze, a następnie przekazywana do akceptacji Prezesowi Zarządu.
5. Roczny Plan testów (kontroli funkcjonalnej) oraz Plan kontroli instytucjonalnej zatwierdzany jest przez Zarząd Banku, w terminie do 31 grudnia każdego roku kalendarzowego.
6. Szczegółowy Plan testów (kontroli funkcjonalnej) określa:
1) temat testu /kontroli,
2) nazwę komórki organizacyjnej objętej testowaniem, 3) częstotliwość testowania/kontroli,
4) kontrolującego (nazwę komórki organizacyjnej przeprowadzającej test), 5) określenie rodzaju testowania (poziome, pionowe).
7. Wzór rocznego Planu testów (kontroli funkcjonalnych) zawiera Załącznik nr 2 do niniejszego Regulaminu.
8. W szczególnych przypadkach, wynikających z pilnych i specyficznych potrzeb, kontrola następna może być wykonywana jako kontrola nieplanowana. Kontrola doraźna jest przeprowadzana na zlecenie Prezesa Zarządu lub Rady Nadzorczej.
§ 42
1. Właściciele procesów (właściciele procedur) oraz inne osoby, które są istotnie zaangażowane w realizację procesów i mechanizmów kontrolnych, zwłaszcza procesów istotnych uwzględnionych w matrycy kontroli, są zobowiązane do bieżącej współpracy z pracownikiem Komórki ds. zgodności odpowiedzialnym za zarządzanie matrycą funkcji kontroli.
2. Bieżąca współpraca o której mowa w ust. 1 dotyczy w szczególności przekazywania informacji o:
1) ustanowieniu lub zmianie kluczowych mechanizmów kontrolnych w procesach istotnych,
2) przypisania obowiązku niezależnego monitorowania przestrzegania kluczowych mechanizmów kontrolnych lub zmiany zakresu tego obowiązku (w przypadku ustanowienia lub zmiany kluczowego mechanizmu kontrolnego),
3) ustanowienia lub zmiany procesów istotnych,
4) inne informacje istotnie wpływające na zakres procesów istotnych w matrycy i ich propozycji niezależnego monitorowania."
3. Przegląd mechanizmów kontroli dokonywany jest przez właścicieli procesów (właścicieli procedur), a jego wyniki (w tym informacja o braku zmian) przekazywane są pracownikowi Komórki ds. zgodności, w terminie do dnia 15 listopada każdego roku kalendarzowego.
4. W przypadku gdy w wyniku przeprowadzonego przeglądu, o którym mowa w ust. 3, właściciele procesów (właściciele procedur) nie wnieśli w terminie do dnia 15 listopada roku kalendarzowego propozycji zmian do zatwierdzonej przez Zarząd Banku matrycy funkcji kontroli, obowiązuje ona również na rok następny.
5. W przypadku przekazania przez właścicieli procesów (właścicieli procedur) pracownikowi Komórki ds. ryzyka informacji, o których mowa w ust. 8, aktualizuje on matrycę funkcji kontroli.
6. Zaktualizowana matryca funkcji kontroli zostaje przedstawiona do akceptacji Prezesa Zarządu, a następnie podlega zatwierdzeniu przez Zarząd Banku, w terminie do dnia 30 listopada roku kalendarzowego, w którym dokonano jej aktualizacji.
7. Postępowanie w zakresie przygotowania i zatwierdzenia rocznego Planu testowania przebiega zgodnie z zapisami § 41 ust. 3 pkt. 6,7 i 8 oraz § 41 ust. 4 i ust. 5.
13. ZASADY KATEGORYZACJA NIEPRAWIDŁOWOŚCI WYKRYTYCH PRZEZ