System kontroli wewnętrznej

Zarząd Banku zaprojektował, wprowadził i zapewnił adekwatny i skuteczny system kontroli wewnętrznej stanowiący element systemu zarządzania Bankiem. Rada Nadzorcza, wspierana w swych działaniach przez Komitet Audytu, sprawuje nadzór nad wprowadzeniem i funkcjonowaniem systemu kontroli wewnętrznej oraz ocenia jego adekwatność i skuteczność, w tym adekwatność i skuteczność funkcji kontroli i komórki do spraw zgodności.

Celem systemu kontroli wewnętrznej jest zapewnienie:

1) skuteczności i efektywności działania Banku, 2) wiarygodności sprawozdawczości finansowej,

3) przestrzegania zasad zarządzania ryzykiem w Banku,

4) zgodności działania Banku z powszechnie obowiązującymi przepisami prawa, przepisami wewnętrznymi Banku, rekomendacjami nadzorczymi oraz przyjętymi przez Bank standardami rynkowymi.

System kontroli wewnętrznej w Banku działa w oparciu o trzy niezależne od siebie poziomy (linie obrony):

1) pierwszą linię obrony tworzą jednostki i komórki organizacyjne Banku realizujące działalność operacyjną (w szczególności sprzedaż produktów i obsługę klientów), w tym przede wszystkim oddziały, Departament Klienta Biznesowego, Biuro Klienta Indywidualnego i Płatności oraz Departament Skarbu.

Bieżące zarządzanie ryzykiem realizowane przez pierwszą linię obrony odpiera zagrożenia identyfikowane w istniejącej relacji procesów. Zagrożone cele, harmonogramy, budżety są identyfikowane i oceniane. Szacowany jest ich faktyczny wpływ na cele organizacji. Role pierwszej linii są bezpośrednio dostosowane do dostarczania produktów lub usług klientom organizacji, w tym funkcji wsparcia.

Linia ta odpowiada za opracowanie, wdrożenie i wykonywanie mechanizmów kontrolnych mających za zadanie zapewnienie osiągania celów ogólnych i szczegółowych systemu kontroli wewnętrznej.

W ramach tej linii wykonywany jest również niezależny monitoring przestrzegania mechanizmów kontrolnych w postaci weryfikacji bieżącej i/lub testowania poziomego (tylko w ramach własnej komórki lub dodatkowo w ramach własnej linii obrony). Pierwsza linia obrony odpowiedzialna jest za przestrzeganie zasad wynikających z zatwierdzonych polityk, regulaminów, instrukcji i procedur. W zakres odpowiedzialności pierwszej linii obrony wchodzi między innymi analiza, kontrola oraz zarządzanie ryzykami w procesach, w tym również w odniesieniu do działań zleconych na zewnątrz (outsourcing);

2) drugą linię obrony stanowi:

a) działalność komórki do spraw zgodności, b) działalność komórki kontroli wewnętrznej,

c) zarządzanie ryzykiem przez pracowników na specjalnie powołanych do tego stanowiskach lub w komórkach organizacyjnych, tj. Departament Ryzyka Bankowego, Departament Rozwoju i Kontrolingu, Departament Strategii Projektów i Cyberbezpieczeństwa, Departament Ryzyka Kredytowego, Inspektor Ochrony Danych.

Działania realizowane w tej linii obrony obejmują identyfikację, pomiar, kontrolę, monitorowanie i raportowanie poszczególnych rodzajów ryzyka, a także stwierdzanych zagrożeń i nieprawidłowości – zadania realizowane na podstawie obowiązujących zasad, metodyk i procedur; celem tych struktur jest zapewnienie by działania realizowane na pierwszym poziomie były właściwie zaprojektowane i skutecznie ograniczały ryzyko, wspierały pomiar i analizę ryzyka oraz efektywność działalności.

Druga linia obrony realizuje zadania wynikające z funkcji kontroli drugiej linii obrony oraz wspiera pierwszą linię obrony w osiąganiu celów systemu kontroli wewnętrznej.

Odpowiada w szczególności za:

 wydawanie regulacji z zakresu systemu kontroli i zarządzania ryzykiem (w tym analizę zgodności z regulacjami zewnętrznymi) oraz zapewnienie metod i narzędzi w ramach systemu kontroli wewnętrznej,

 zatwierdzenie decyzji pierwszej linii dotyczących wdrażania lub usuwania mechanizmów kontrolnych,

 monitorowanie stosowania przez pierwszą linię obrony regulacji z zakresu systemu kontroli wewnętrznej,

 monitoring poziomy przestrzegania mechanizmów kontrolnych w ramach drugiej linii obrony,

 monitoring pionowy pierwszej linii obrony w zakresie przestrzegania mechanizmów kontrolnych.

Jednostki drugiej linii obrony w ramach działań kontrolnych dokonują własnej niezależnej oceny efektywności funkcjonowania pierwszej linii obrony poprzez:

inspekcje, testy, przeglądy i inne formy kontroli;

3) trzecią linię obrony stanowi działalność audytu wewnętrznego realizowanego przez Spółdzielczy System Ochrony SGB – jego zadaniem jest realizowanie niezależnych audytów obejmujących elementy systemu zarządzania Bankiem, w tym systemu zarządzania ryzykiem oraz systemu kontroli wewnętrznej.

_________________________________________________________________

Schemat 2.1. System kontroli wewnętrznej (linie obrony) wraz z organami nadzorującymi

W Banku zapewniono niezależność monitorowania pionowego poprzez jednoznaczne wyodrębnienie linii obrony oraz niezależność monitorowania poziomego poprzez rozdzielenie zadań dotyczących stosowania danego mechanizmu kontrolnego i niezależnego monitorowania jego przestrzegania w ramach danej linii.

Za monitorowanie poziome (weryfikacja bieżąca, testowanie poziome) w ramach danej linii obrony odpowiedzialni są wyznaczeni pracownicy, w tym kierujący jednostką/komórką organizacyjną. Za monitorowanie pionowe pierwszej linii obrony przez drugą linię obrony odpowiadają: komórka kontroli wewnętrznej, komórki zarządzające ryzykiem oraz komórka do spraw zgodności.

W ramach systemu kontroli wewnętrznej w Banku wyodrębniono:

1) funkcję kontroli,

2) komórkę ds. zapewnienia zgodności, 3) komórkę audytu wewnętrznego.

Funkcja kontroli zapewnia przestrzeganie mechanizmów kontrolnych dotyczących w szczególności zarządzania ryzykiem w Banku i obejmuje wszystkie jednostki Banku oraz usytuowane w nich stanowiska organizacyjne, odpowiedzialne za realizację zadań przypisanych tej funkcji.

Na funkcję kontroli wewnętrznej w Banku składają się:

1) wszystkie mechanizmy kontrolne funkcjonujące w procesach Banku, 2) niezależne monitorowanie przestrzegania tych mechanizmów kontrolnych, 3) raportowanie w ramach funkcji kontroli.

W Banku została ustalona i zatwierdzona przez Zarząd lista procesów istotnych mających istotne znaczenie dla realizacji celów systemu kontroli wewnętrznej i celów biznesowych Banku. Dokonywane są okresowe przeglądy procesów funkcjonujących w Banku, pod kątem ich istotności.

W procesy funkcjonujące w Banku i wspierające je systemy lub aplikacje wbudowane zostały mechanizmy kontrolne dostosowane do celów systemu kontroli wewnętrznej oraz do specyfiki prowadzonej przez Bank działalności. Mechanizmy te podlegają niezależnemu monitorowaniu

na wszystkich poziomach systemu kontroli wewnętrznej. Niezależne monitorowanie obejmuje testowanie i ocenę adekwatności i efektywności oraz weryfikację bieżącą i okresową.

W ramach funkcji kontroli zadania związane z niezależnym monitorowaniem oraz koordynowaniem testowania wykonywanego przez komórki organizacyjne Banku, realizuje Departament Kontroli Wewnętrznej (DKW).

Działania kontroli wewnętrznej unormowane zostały w Regulaminie organizacyjnym, Regulaminie kontroli wewnętrznej, Instrukcji funkcjonowania Departamentu Kontroli Wewnętrznej oraz niezależnego monitorowania przez DKW mechanizmów kontrolnych, Instrukcji monitorowania przestrzegania mechanizmów kontrolnych realizowanego przez komórki organizacyjne SGB-Banku S.A.

Zarząd i Rada Nadzorcza otrzymują okresowo przygotowywane przez Departament Kontroli Wewnętrznej sprawozdania o ustaleniach i działaniach podjętych w celu usunięcia nieprawidłowości stwierdzanych w toku kontroli wewnętrznych i zewnętrznych oraz audytu wewnętrznego.

Komórka ds. zapewnienia zgodności jest kluczowym elementem procesu zapewnienia zgodności stanowiącego jeden z celów systemu kontroli wewnętrznej.

Zapewnienie zgodności realizowane jest poprzez wykonywanie zadań w ramach funkcji kontroli oraz poprzez zarządzanie ryzykiem braku zgodności.

Działania komórki do spraw zgodności unormowane zostały w szczególności w Regulaminie funkcjonowania komórki do spraw zgodności, Zasadach zgodności oraz Polityce Zgodności.

Audyt wewnętrzny wykonywany jest na zasadach określonych w Umowie Systemu Ochrony SGB przez Spółdzielczy System Ochrony SGB (IPS-SGB), którego uczestnikiem jest SGB-Bank S.A. i SGB-Banki Spółdzielcze Grupy SGB. Informacja o ustaleniach audytu przeprowadzonego w Banku przekazywana jest Zarządowi i Radzie Nadzorczej.

Ocena systemu kontroli wewnętrznej dokonywana jest corocznie przez Radę Nadzorczą na podstawie ustalonych kryteriów i z uwzględnieniem informacji przekazywanych przez Zarząd Banku, komórkę kontroli wewnętrznej i komórkę do spraw zgodności, ustaleń dokonanych przez biegłego rewidenta i wynikających z czynności nadzorczych uprawnionych instytucji oraz innych istotnych w tym obszarze informacji i dokumentów.

W podmiotach zależnych Banku funkcjonują systemy kontroli wewnętrznej, dostosowane do specyfiki i charakteru prowadzonej przez te podmioty działalności. Podmioty te tworzą i wprowadzają regulacje wewnętrzne, w których określają w szczególności zadania dotyczące czynności kontrolnych realizowanych w ramach systemu kontroli wewnętrznej.

_________________________________________________________________

2.6. Ocena członków organu zarządzającego, oceny odpowiedniości; informacja