REGULAMIN KONTROLI WEWNĘTRZNEJ I AUDYTU W BANKU ... · Protokół (dokument) testowy – dokument...

1

Załącznik do Uchwały nr 20/2019

Zarządu Banku Spółdzielczego w Mrągowie

z dnia 18 kwietnia 2017 roku

Załącznik do Uchwały nr 07/2019

Rady Nadzorczej Banku Spółdzielczego w Mrągowie

z dnia 26 kwietnia 2019 roku

REGULAMIN

KONTROLI WEWNĘTRZNEJ I AUDYTU

W BANKU SPÓŁDZIELCZYM

W MRĄGOWIE

Mrągowo, kwiecień 2019

2

Spis treści

1. Postanowienia ogólne ............................................................................................................... 3

2. Istota i podstawowe zasady kontroli wewnętrznej .............................................................. 6

3. Zadania kontroli wewnętrznej .................................................................................................. 8

4. Procedury kontroli wewnętrznej ............................................................................................... 9

5. Zasady przeprowadzania kontroli wewnętrznej ..................................................................... 11

6. Zasady działania audytu wewnętrznego ................................................................................. 13

7. Sprawozdawczość w zakresie kontroli wewnętrznej .............................................................. 17

8. Ocena zewnętrzna audytu wewnętrznego ............................................................................... 17

9. Postanowienia końcowe .......................................................................................................... 18

Załączniki:

1. Wzór matrycy funkcji kontroli,

2. Wzór planu testowania,

3. Wzór rejestru przeprowadzonych testów,

4. Wzór sprawozdania z przeprowadzonych testów,

5. Wytyczne do wyboru próby testowej,

6. Zakres testowania – Zagadnienia i problemy objęte testowaniem,

7. Zagadnienia i problemy objęte audytem wewnętrznym

8. Metodyka audytu wewnętrznego Banku Spółdzielczego w Mrągowie

9. Arkusz oceny skuteczności i adekwatności systemu kontroli wewnętrznej.

3

1. POSTANOWIENIA OGÓLNE

§ 1

Użyte w niniejszym Regulaminie pojęcia i skróty oznaczają:

1. Regulamin – niniejszy Regulamin kontroli wewnętrznej i audytu w Banku Spółdzielczym w

Mrągowie,

2. Bank - Bank Spółdzielczy w Mrągowie,

3. Pracownik – osoba zatrudniona na podstawie umowy o pracę w Banku,

4. Stanowisko uprawnione do kontroli wewnętrznej – pracownicy wyznaczeni przez Zarząd

Banku wykonujący zadania kontroli wewnętrznej,

5. Komórki organizacyjne - wewnętrzne elementy struktury organizacyjnej, zdefiniowane w

Regulaminie organizacyjnym Banku,

6. Komórka monitorująca ryzyko – Komórka ds. analiz i sprawozdawczości,

7. Komórka ds. zgodności- funkcjonujące w Banku Stanowisko ds. zgodności,

8. System kontroli wewnętrznej to powołana przez Bank funkcja kontroli, komórka ds. zgodności

oraz audyt wewnętrzny,

9. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie

wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i

dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i

ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć

cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo.

10. Komórka audytu wewnętrznego – odpowiednia komórka Banku Zrzeszającego,

11. Bank Zrzeszający – Bank Polskiej Spółdzielczości SA w Warszawie.

12. Audytor wewnętrzny – pracownik zatrudniony w odpowiedniej komórce Banku

Zrzeszającego, posiadający odpowiednią wiedzę i kwalifikacje. W przypadku audytu

technicznego bezpieczeństwa środowiska teleinformatycznego i informacji – pracownicy

posiadający odpowiednie certyfikaty w zakresie audytu bezpieczeństwa IT.

13. Audyt zewnętrzny – w szczególności jest to niezależne badanie sprawozdania finansowego

dokonywane przez biegłego rewidenta w celu sprawdzenia, czy jest ono zgodne co do formy i

treści z obowiązującymi jednostkę przepisami prawa, statutem lub umową. Celem tego badania

jest stwierdzenie, czy sprawozdanie finansowe jest prawidłowe oraz rzetelnie i jasno

przedstawia sytuację majątkową i finansową, jak też wynik finansowy oraz czy zostało

sporządzone na podstawie prawidłowo prowadzonych ksiąg rachunkowych. Audytem

zewnętrznym może też być specjalistyczne badanie (np. bezpieczeństwa systemu

informatycznego) wykonane przez niezależny podmiot zewnętrzny.

14. Konflikt interesów - okoliczności mogące doprowadzić do powstania sprzeczności między

interesem Banku, osoby powiązanej z Bankiem i obowiązkiem działania przez Bank w sposób

rzetelny, z uwzględnieniem najlepiej pojętego interesu Klienta i Banku, jak również znane

Bankowi okoliczności mogące doprowadzić do powstania sprzeczności między interesami

kilku Klientów Banku. Konflikt interesów może wystąpić również na skutek powiązań

personalnych.

15. Powiązania personalne – pokrewieństwo w linii prostej (tj. małżonkowie, wstępni, zstępni i

rodzeństwo) wśród pracowników banku oraz członków organów statutowych.

16. Kluczowy mechanizm kontrolny - mechanizm o kluczowym znaczeniu dla osiągnięcia danego

celu ogólnego lub szczegółowego systemu kontroli wewnętrznej w danym procesie, bez

przestrzegania/stosowania, którego może zaistnieć nieakceptowane przez Bank ryzyko, że taki

cel nie zostanie osiągnięty;

17. Matryca funkcji kontroli – opis powiązania celów ogólnych i wyodrębnionych w ich ramach

celów szczegółowych (o ile zostaną wyszczególnione) systemu kontroli wewnętrznej z

4

procesami istotnymi funkcjonującymi w Banku oraz kluczowymi mechanizmami kontrolnymi

i niezależnym monitorowaniem przestrzegania tych mechanizmów kontrolnych;

18. Mechanizm kontrolny - wyróżnione w ramach funkcji kontroli, wszelkie działania lub

rozwiązanie wykonywane i stosowane w ramach trzech linii obrony, w tym zwłaszcza

w ramach pierwszej linii obrony, mające za zadanie zapewnienie osiągania celów ogólnych lub

szczegółowych systemu kontroli wewnętrznej;

19. Monitorowanie pionowe – niezależne monitorowanie przez drugą linię obrony (weryfikacja

bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych w ramach pierwszej linii

obrony;

20. Monitorowanie poziome – niezależne monitorowanie w ramach danej linii obrony

(weryfikacja bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych;

21. Proces – zbiór wszelkich wzajemnie powiązanych ze sobą czynności wykonywanych przez

jednostki, komórki, stanowiska organizacyjne banku oraz jego podmioty zależne, których

realizacja jest niezbędna do uzyskania określonego rezultatu (np. udzielenie kredytu, sprzedaż

wierzytelności, zaksięgowanie transakcji określonego rodzaju, sporządzanie sprawozdania

finansowego). W ramach procesów wykonywane są operacje, transakcje oraz inne czynności

niezbędne do uzyskania określonego rezultatu;

22. Protokół (dokument) testowy – dokument zawierający ustalenia i wnioski po

przeprowadzonym testowaniu wraz z uwzględnieniem kategorii stwierdzonych

nieprawidłowości;

23. Strona kontrolowana – należy przez to rozumieć pracownika Banku kierującego jednostką

kontrolowaną (w przypadku badanych komórek i/lub jednostek organizacyjnych) lub

wykonującego zadania w jednostce kontrolowanej (w przypadku badanych stanowisk pracy);

24. Strona kontrolująca – należy przez to rozumieć pracowników Banku przeprowadzających

kontrolę wewnętrzną;

25. Testowanie – porównywanie na wybranej próbie testowej stanu faktycznego ze stanem

wymaganym, dokonywane w celu oceny co najmniej przestrzegania mechanizmów

kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów

funkcjonujących w Banku. Testowanie, jako element niezależnego monitorowania w ramach

funkcji kontroli, może być monitorowaniem poziomym (testowanie poziome w ramach danej

linii obrony) lub monitorowaniem pionowym (testowanie pionowe pierwszej linii obrony przez

drugą linię obrony);

26. Weryfikacja bieżąca – porównywanie stanu faktycznego ze stanem wymaganym, dokonywane

w celu oceny co najmniej przestrzegania mechanizmów kontrolnych, przed rozpoczęciem lub

w trakcie trwających czynności wykonywanych w ramach procesów funkcjonujących w

banku. Weryfikacja bieżąca, jako element niezależnego monitorowania w ramach funkcji

kontroli, może być monitorowaniem poziomym (weryfikacja bieżąca pozioma w ramach danej

linii obrony) lub monitorowaniem pionowym (weryfikacja bieżąca pionowa pierwszej linii

obrony przez drugą linię obrony).

27. Pierwsza linia obrony (pierwszy poziom zarządzania) – komórki organizacyjne

odpowiedzialne za podejmowanie ryzyka w trakcie działalności operacyjnej.

28. Druga linia obrony (drugi poziom zarządzania) – niezależna ocena ryzyka. Na drugim

poziomie zarządzania występują następujące komórki organizacyjne, uprawnione do

przeprowadzania testowania pionowego to: pracownicy upoważnieni do wykonywania kontroli

wewnętrznej, Komórka ds. zgodności, Komórka ds. analiz i sprawozdawczości, Administrator

Bezpieczeństwa Informacji (ABI), Inspektor Ochrony Danych (IOD).

5

29. Trzecia linia obrony (trzeci poziom zarządzania) – audyt wewnętrzny (odpowiednia komórka

Banku Zrzeszającego).

§ 2

1. W Banku działa system kontroli wewnętrznej, którego celem jest wspomaganie procesów

decyzyjnych, przyczyniających się do zapewnienia:

1) skuteczności i wydajności działania Banku,

2) wiarygodności sprawozdawczości finansowej, nadzorczej oraz informacji zarządczej,

3) przestrzegania zasad zarządzania ryzykiem w Banku,

4) zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami

rynkowymi,

2. Bank wyznacza następujące mierniki realizacji celów kontroli wewnętrznej, o których mowa

w ust.1:

Lp. Cel Mierniki

1 skuteczność i efektywność działania banku Planowany wskaźnik C/I , Planowany wynik finansowy,

Planowane wskaźniki ROE, ROA

2 wiarygodność sprawozdawczości

finansowej

Ilość błędów wskazanych przez biegłego rewidenta na

podstawie badania sprawozdania finansowego, wysokość kar

za braki w zakresie sporządzania sprawozdań i informacji

przewidzianych w przepisach prawa.

3 przestrzeganie zasad zarządzania ryzykiem

w banku

Planowany poziom kredytów zagrożonych, planowane

koszty rezerw celowych, zatwierdzone przez Radę

Nadzorczą limity kosztów ryzyka operacyjnego, planowany

wskaźnik LCR

4 zgodność działania banku z przepisami

prawa, regulacjami wewnętrznymi i

standardami rynkowymi

Wskaźniki KRI obejmujące: Ilość skarg i reklamacji,

wysokość kar nałożonych na bank na skutek nie

przestrzegania przepisów

3. Akceptowalne poziomy mierników realizacji celów kontroli wewnętrznej zdefiniowane w

załączniku do Strategii działania Banku (apetyt na ryzyko), Strategii zarządzania

poszczególnymi rodzajami ryzyka (ryzyko operacyjne), w planie ekonomiczno - finansowym

oraz jako wskaźniki KRI w Instrukcji zarządzania ryzykiem operacyjnym (…).

4. Bank bada poziom skuteczności i adekwatności systemu kontroli wewnętrznej w oparciu o

wymienione w ust. 2 wskaźniki z wykorzystaniem arkusza, którego wzór stanowi załącznik

nr 9 do niniejszego Regulaminu.

§ 3

System kontroli wewnętrznej obejmuje całą działalność Banku. W ramach systemu kontroli

wewnętrznej Bank powołuje:

1. Funkcję kontroli, na którą składają się:

a. Mechanizmy kontroli realizowane w trakcie wykonywania transakcji, czynności itd.

b. Monitorowanie przestrzegania mechanizmów kontroli wewnętrznej (weryfikacja

i testowanie).

2. Stanowisko ds. zgodności, którego zadania rozpisano w Regulaminie działania Komórki ds.

zgodności (…).

3. Audyt wewnętrzny sprawowany przez Bank Zrzeszający.

§ 4

Rodzaje mechanizmów kontroli stosowanych przez Bank:

1. procedury – rozumiane jako zdefiniowany sposób określonego postępowania przez

pracowników poszczególnych jednostek, komórek i stanowisk organizacyjnych,

2. podział obowiązków – rozumiany jako podział zadań i uprawnień przypisanych pracownikom

na poszczególnych stanowiskach organizacyjnych w ramach danego procesu mający na celu

zapobieganie sytuacjom, w których pracownik kontroluje samego siebie lub istnieje potencjalny

konflikt interesów między pracownikami mającymi powiązania personalne

6

3. autoryzacja, w tym zwłaszcza autoryzacja operacji finansowych i gospodarczych – rozumiana

jako system zatwierdzania decyzji i czynności wykonywanych przez pracowników na

poszczególnych stanowiskach organizacyjnych w ramach danego procesu (np. poprzez

wprowadzenie obowiązku autoryzacji w systemie informatycznym w procesie zawierania

transakcji przekraczających określony poziom),

4. kontrola dostępu – rozumiana jako zestaw uprawnień dostępu do określonego obszaru, systemu,

procesu,

5. kontrola fizyczna – rozumiana jako zestaw uprawnień dostępu do określonego, fizycznie

wydzielonego obszaru w banku,

6. proces ewidencji operacji finansowych i gospodarczych w systemach: księgowym,

sprawozdawczym i operacyjnym – rozumiany jako rejestrowanie i przechowywanie

określonych rodzajowo danych wprowadzonych i generowanych w danym systemie,

7. inwentaryzacja – rozumiana jako porównywanie stanu faktycznego ze stanem wymaganym

odnośnie składników majątkowych i źródeł ich pochodzenia,

8. dokumentowanie odstępstw – rozumiane jako wykaz zarejestrowanych wyjątków w ramach

wykonywania określonych czynności wynikających z ustalonych przez bank zasad

postępowania,

9. organizacja szkoleń dla pracowników banku,

10. samokontrola – rozumiana jako weryfikacja prawidłowości własnych działań dokonywana

przez pracownika w toku wykonywania przez niego czynności operacyjnych.

§ 5

1. Za zorganizowanie oraz prawidłowe funkcjonowanie skutecznego systemu kontroli

wewnętrznej odpowiada Zarząd Banku.

2. Rada Nadzorcza Banku sprawuje nadzór nad systemem kontroli wewnętrznej oraz ocenia jego

adekwatność i skuteczność, na podstawie opinii Komitetu Audytu..

3. Bezpośredni nadzór nad systemem kontroli wewnętrznej w tym nad audytem wewnętrznym

sprawuje Prezes Zarządu.

2. ISTOTA I PODSTAWOWE ZASADY KONTROLI WEWNĘTRZNEJ

§ 6

1. Kontrola wewnętrzna w Banku wykonywana jest w sposób niezależny, obiektywny

i odpowiedzialny.

2. Poprzez niezależność kontroli wewnętrznej rozumieć należy warunki działania kontroli

wewnętrznej dające gwarancję, że kontrolujący bez żadnych zewnętrznych nacisków

przeprowadza kontrole według ustalonych metod, dokonuje oceny stosowania mechanizmów

kontrolnych oraz sporządza dokumentację pokontrolną. Niezależność umożliwia bezstronny i

niedwuznaczny osąd działalności poddanej kontroli.

3. Obiektywność kontroli rozumiana jest jako niezależna od czynników pozamerytorycznych

ocena dokonywana przez kontrolujących, co oznacza, że kontrolujący nie mogą być stronniczy

i nie mogą uzależniać swojej opinii w kwestii kontrolowanego tematu od opinii innych.

4. Odpowiedzialność kontroli wewnętrznej oznacza dokonywanie prawidłowej oceny,

adekwatności, skuteczności oraz efektywności i jakości wewnętrznych systemów Banku, co

oznacza prezentowanie w dokumentacji pokontrolnej sprawdzonych zadań, które wymagają

podjęcia działań naprawczych, unikanie niedomówień i nieścisłości.

5. Rada Nadzorcza Banku zapewnia, aby kontrola wewnętrzna i audyt były sprawowane z

zachowaniem zasad zapewniających unikanie konfliktów interesów, w tym z zachowaniem

zasady, że osoby przeprowadzające kontrolę wewnętrzną i audyt nie powinny być powiązane

personalnie z osobami kontrolowanymi.

§ 7 Rodzaje kontroli wewnętrznej:

7

1. Kontrola bieżąca – każdy pracownik ma obowiązek stosowania mechanizmów kontroli,

zawartych w wewnętrznych regulacjach Banku. W zakres kontroli bieżącej wchodzi również

weryfikacja bieżąca pozioma i pionowa, której wymogi są określone w procedurach Banku.

1) kontrola wstępna - każdy pracownik ma obowiązek przeprowadzania kontroli

dokumentów które otrzymuje oraz które sporządza (samokontrola), tj. badanie

dokumentów przed wykonaniem czynności, dyspozycji, mająca na celu zapobieganie

przyjęciu oraz wprowadzaniu błędnych danych;

2) kontrola bieżąca - sprawdzanie (obserwacja) przebiegu wykonywanych czynności i

stanu majątku, tzw. „kontrola na drugą rękę”

3) kontrola następna - badanie dokumentów i zapisów ewidencyjno-księgowych

odzwierciedlających czynności dokonane (post factum).

2. Kontrole planowane:

1) audyt wewnętrzny – sprawowany przez odpowiednie komórki Banku Zrzeszającego w

zakresie oceny systemu kontroli wewnętrznej, zarządzania poszczególnymi rodzajami ryzyka

oraz adekwatnością kapitałową.

2) kontrole kierownicze – testowanie poziome stosowania mechanizmów kontrolnych

sprawowane przez przełożonych w stosunku do nadzorowanych pracowników,

3) kontrole problemowe – testowanie stosowania mechanizmów kontrolnych obejmujące

badanie wybranych zagadnień lub przebiegu określonych czynności w jednej lub kilku

komórkach organizacyjnych Banku, przez wyznaczone osoby w Centrali Banku.

Testowanie poziome występuje w przypadku kontrolowania komórek organizacyjnych

przez inne komórki w ramach tej samej linii obrony. Testowanie pionowe występuje w

przypadku gdy komórki pierwszej linii obrony są kontrolowane przez komórki

organizacyjne drugiej linii obrony.

3. Kontrole doraźne – postępowania wyjaśniające podejmowane na polecenie Prezesa Zarządu

lub na wniosek Rady Nadzorczej Banku.

4. W obszarze bezpieczeństwa środowiska teleinformatycznego i informacji Zarząd może podjąć

decyzję o zlecenie audytu Bankowi Zrzeszającemu lub podmiotowi zewnętrznemu, które

zapewnią:

1) odpowiednie kwalifikacje osób przeprowadzających audyt, potwierdzone odpowiednimi

certyfikatami,

2) wykorzystanie uznanych standardów międzynarodowych i dobrych praktyk.

4. Prowadzenie postępowania wyjaśniającego w zakresie zgodności, którego schemat opisuje

obowiązujący w Banku Regulamin działania Komórki ds. zgodności (…).

§ 8

1. Funkcjonujący w Banku system kontroli wewnętrznej jest dostosowany do ogólnego profilu

ryzyka, tj. obejmuje w szczególności obszary obarczone wysokim ryzykiem.

2. Przez obszary obarczone wysokim ryzykiem należy rozumieć te obszary działania jednostek

lub komórek organizacyjnych, gdzie istnieje potencjalne niebezpieczeństwo wystąpienia

nieprawidłowości, które mogą wywoływać niepożądane skutki finansowe lub negatywne

zjawiska godzące w bezpieczeństwo i reputację funkcjonowania Banku.

3. W szczególności do obszarów obarczonych ryzykiem w banku zalicza się działalność

kredytową, obsługę klienta, rozliczenia, działalność kasowo-skarbcową, zarządzanie bankiem.

4. Do ww. obszarów należy zaliczyć również bezpieczeństwo fizyczne i informatyczne oraz

dbałość o wizerunek i dobre imię Banku.

5. Obszary działalności danej komórki organizacyjnej Banku, gdzie stwierdzono w trakcie

przeprowadzania kontroli, zarówno wewnętrznych jak i zewnętrznych szczególnie dużo błędów

i nieprawidłowości zalicza się także do obszarów obarczonych wyższym ryzykiem.

§ 9

1. W ramach systemu kontroli wewnętrznej Bank identyfikuje i ocenia ryzyko bankowe.

8

2. Proces efektywnej oceny ryzyka obejmuje:

1) określenie rodzaju i poziomu ryzyka, na które narażony jest Bank,

2) wyznaczanie limitów poziomu ryzyka oraz kontrola ich przestrzegania,

3) analizę czynników wewnętrznych i zewnętrznych, które mogą niekorzystnie wpłynąć na

poziom ryzyka,

4) określenie możliwości Banku w ograniczaniu skutków zaistniałych zdarzeń

podwyższających poziom ryzyka oraz w zapobieganiu wystąpienia takich zdarzeń

w przyszłości,

5) wskazanie, w jakim zakresie i z jaką częstotliwością Bank powinien kontrolować

określone rodzaje ryzyka,

6) określenie, które elementy ryzyka podlegają ocenie jakościowej, a które ocenie

ilościowej.

§ 10

Do przeprowadzania testowania pionowego mechanizmów kontroli wewnętrznej w Banku

uprawnieni są:

1. Członkowie Zarządu,

2. Komórka kontroli wewnętrznej,

3. Komórka ds. zgodności,

4. Upoważnieni pracownicy wyznaczeni przez Zarząd.

§ 11

1. Zarząd Banku podejmuje decyzje w ramach zarządzania Bankiem uwzględniając rezultaty

badań przeprowadzonych przez Bank zrzeszający w ramach audytu wewnętrznego oraz przez

biegłych rewidentów.

2. Zarząd Banku podejmuje decyzje dotyczące:

a. wyznaczania osób odpowiedzialnych za przeprowadzenie okresowej, co najmniej raz

w roku, weryfikacji funkcjonujących w Banku mechanizmów i procedur kontroli

wewnętrznej;

b. określenia właściwej formy dokumentowania przeprowadzonego przeglądu i oceny

efektywności wewnętrznych mechanizmów kontrolnych oraz wniosków wynikających

z tych przeglądów;

3. Rada Nadzorcza Banku zatwierdza strategię działania Banku oraz zasady ostrożnego

i stabilnego zarządzania Bankiem, w tym Regulamin Kontroli Wewnętrznej i Audytu.

4. Rada Nadzorcza sprawuje nadzór nad systemem kontroli wewnętrznej Banku oraz ocenia

adekwatność i skuteczność tego systemu.

5. Celem systemu kontroli wewnętrznej jest wspomaganie procesów decyzyjnych

przyczyniających się do zapewnienia:

a. skuteczności i efektowności działania Banku;

b. wiarygodności sprawozdawczości finansowej;

c. zgodności działania Banku z przepisami prawa i regulacjami wewnętrznymi oraz

zaleceniami wydanymi przez upoważnione zewnętrzne instytucje kontrolne.

6. Zarząd Banku odpowiada za opracowanie, wprowadzenie oraz aktualizację pisemnych

strategii oraz procedur w zakresie systemu kontroli wewnętrznej .

7. Bank posiada system kontroli wewnętrznej dostosowany do struktury organizacyjnej, który

obejmuje jednostki i komórki organizacyjne Banku.

3. ZADANIA KONTROLI WEWNĘTRZNEJ

§ 12

Testowaniem w ramach kontroli wewnętrznej obejmuje się kluczowe mechanizmy kontroli w

oparciu o:

1. dowody i dokumenty jednostkowe,

9

2. ewidencje i rejestry,

3. wydruki komputerowe, inwentarze i sprawozdawczość,

4. umowy o otwarcie rachunków bankowych wraz z niezbędną dokumentacją,

5. wnioski kredytowe z kompletem dokumentacji,

6. umowy kredytowe i umowy zabezpieczeń,

7. deklaracje członkowskie,

8. dane komputerowe, dotyczące np. terminarzy, stóp procentowych, danych osobowych,

9. umowy, porozumienia i inne dokumenty powodujące powstawanie należności i zobowiązań w

celu zapobiegania niepożądanym działaniom.

§ 13

1. Testowanie obejmuje w szczególności działania zmierzające do porównywania stanów

faktycznych ze stanami postulowanymi lub pożądanymi, wyznaczonymi przez obowiązujące

regulacje wewnętrzne Banku (strategie, plany, polityki, procedury).

2. Zakres mechanizmów kontrolnych objętych testowania jest określony w wewnętrznych

instrukcjach oraz ujęty w matrycy funkcji kontroli.

3. Szczegółowy zakres przeprowadzanych testów zawiera załącznik nr 6 do niniejszego

Regulaminu.

4. Kontrola wewnętrzna ocenia każdą kontrolowaną czynność z punktu widzenia:

1) sprawności organizacji,

2) ryzyka,

3) celowości działań,

4) efektywności,

5) rzetelności,

6) legalności.

5. Badania w ramach audytu wewnętrznego przeprowadzane są w oparciu o regulacje Banku

Zrzeszającego, z którym Bank ma zawartą umowę. Zakres audytu określa załącznik nr 2 do

niniejszego Regulaminu.

6. Ocena ryzyka braku zgodności przebiega na podstawie obowiązującego w Banku Regulaminu

działania komórki ds. braku zgodności

§ 14

1. Czynności kontrolne wykonywane w trakcie weryfikacji są realizowane we wszystkich etapach

sporządzania, obiegu i rejestracji dokumentów bankowych (przed lub w trakcie wykonywania

czynności) i mają na celu:

1) stałą analizę przebiegu i rezultatów pracy,

2) bieżące oddziaływanie i reagowanie na nieprawidłowości i uchybienia,

3) bieżące korygowanie błędów i pomyłek.

2. Czynności i badania kontrolne w ramach testowania obejmują m.in. okresowe:

1) przeglądy, analizy i oceny sporządzane dla Zarządu Banku i Rady Nadzorczej,

2) sprawdzanie przestrzegania procedur i instrukcji wewnętrznych przez poszczególne

komórki organizacyjne Banku,

3) badanie ograniczenia dostępu do aktywów trwałych,

4) sprawdzanie przestrzegania ustalonych limitów,

5) weryfikowanie systemu zatwierdzania i autoryzacji,

6) analizowanie systemu weryfikacji i uzgadniania,

7) badanie, czy występuje rozdzielenie sprzecznych ze sobą funkcji i obowiązków.

4. PROCEDURY KONTROLI WEWNĘTRZNEJ

§ 15

Procedury kontroli to analiza, ocena, przegląd, porównanie, wyciąganie wniosków i określenie

stanu faktycznego badanych obszarów działalności Banku.

10

1. Każde stanowisko w Banku podlega testowaniu stosowania kluczowych mechanizmów kontroli

co najmniej raz w roku z uwzględnieniem zapisów ustępu 2.

2. Stanowiska związane z obsługą kasowo-skarbcową podlegają testowaniu co najmniej raz w

kwartale.

§ 16

Testowanie jest prowadzone w zamkniętych cyklach procesu kontrolnego, na który składają się

następujące fazy:

1) planowanie testowania,

2) przygotowanie testowania,

3) przeprowadzenie testów,

4) postępowanie po zakończeniu testów.

§ 17

Procedura testowania stosowania mechanizmów kontroli wewnętrznej przebiega według

następującego schematu:

1. Gromadzenie informacji o kontrolowanym obszarze działalności.

2. Badanie wybranych do testowania prób kontrolnych.

3. Doradztwo i instruktaż.

4. Sporządzanie protokołu z przeprowadzonych testów.

5. Przedstawienie wyników testów.

6. Kontrola wykonania zaleceń z poprzedniej kontroli.

§ 18

1. Dobór próbki kredytów, które zostaną objęte badaniem powinien uwzględniać:

1) kredyty udzielone osobom wewnętrznym i podmiotom powiązanym z nimi kapitałowo i

organizacyjnie,

2) kredyty w sytuacji zagrożonej i windykacja,

3) największe kredyty z poszczególnych produktów kredytowych,

4) kredyty detaliczne (zgodnie z Rekomendacją „T”),

5) kredyty zabezpieczone hipotecznie,

6) kredyty wykazujące opóźnienia w spłacie,

7) kredyty restrukturyzowane,

2.Wybrana próba może być kombinacją wyżej opisanych kryteriów.

3. Wielkość zakresu badań winna być każdorazowo określona w szczegółowym planie kontroli.

4. Dodatkowe kryteria doboru próby kredytowej do badania:

1) Kwota należności

2) Przebieg spłat

3) Inne informacje

5. Kryteria doboru próby do badania spraw członkowskich – należy wybrać próbę 10-20 deklaracji

członkowskich z badanego okresu, wybór winien dotyczyć zarówno nowych członków jak i tych,

w odniesieniu do których podjęto decyzje w sprawie wykreślenia z listy członków.

§ 19

W testowaniu stosowania mechanizmów kontroli wewnętrznej stosuje się następujące techniki:

1) analizę dokumentu tj. badanie z punktu widzenia formalnego oraz merytorycznego,

2) obserwację tj. celowe i systematyczne postrzeganie badanej czynności, operacji, procesu lub

zjawiska,

3) wywiad tj. rozmowę prowadzoną z kontrolowanym,

4) przyjęcie wyjaśnień tj. zebranie informacji, których zadaniem jest naświetlenie przyczyn

i okoliczności powstania ujawnionych w toku kontroli uchybień i nieprawidłowości.

11

5) przyjęcie oświadczeń tj. otrzymanie informacji dotyczących przeważnie faktów i zjawisk

dotychczas nie znanych stronie kontrolującej, mających na celu zabezpieczenie interesu

własnego strony kontrolowanej, interesu ogólnego lub obciążenie określonych osób.

6) inwentaryzację kontrolną, oględziny, dokonanie zdjęć fotograficznych itp. tj. komisyjne

dostarczenie dowodów opartych o stany faktyczne, stwierdzone w czasie badania.

§ 20

Metody i techniki testowania dobiera się w zależności od jej specyfiki tak, aby umożliwiały,

w danych warunkach, uzyskanie określonych efektów.

5. ZASADY PRZEPROWADZANIA KONTROLI WEWNĘTRZNEJ

§ 21

Kontrola wewnętrzna polega w szczególności na:

1. Identyfikacji ryzyka, na jakie narażona jest działalność komórki organizacyjnej.

2. Wyborze działań kontrolnych, adekwatnych do poziomu ryzyka.

3. Określeniu stanu rzeczywistego.

4. Określeniu stanu obowiązującego lub najbardziej pożądanego.

5. Ocenie występujących rozbieżności między stanem rzeczywistym a stanem obowiązującym lub

pożądanym.

6. Ustaleniu przyczyn, które spowodowały wystąpienie rozbieżności.

7. Wskazaniu działań zmierzających do osiągnięcia stanu obowiązującego lub pożądanego.

8. Sprawowaniu nadzoru nad realizacją działań, podjętych w celu usprawnienia kontrolowanych

obszarów.

§ 22

Podstawowym celem funkcji kontroli wewnętrznej jest zapewnienie zgodności wykonywanych

czynności z przepisami prawa, strategią, planem, regulaminami, procedurami, limitami itp. oraz

bieżące reagowanie na uchybienia.

§ 23

Weryfikacja stosowania mechanizmów kontroli wewnętrznej sprawowana jest jako ciągła analiza

przebiegu i rezultatów pracy poszczególnych pracowników poprzez codzienne kontrolowanie

wszystkich czynności, w celu zapewnienia ich zgodności z procedurami i mechanizmami kontroli.

Stanowi ona równocześnie podstawę weryfikacji poprawności procedur i sprawności działania

mechanizmów kontrolnych na wszystkich szczeblach organizacyjnych.

§ 24

Funkcja kontroli wewnętrznej swym zakresem obejmuje w szczególności:

1. Sprawdzanie przestrzegania przepisów prawa oraz wewnętrznych regulacji i procedur, a

także wyznaczonych limitów.

2. Sprawdzanie dokładności i prawidłowości danych księgowych.

3. Sprawdzanie bezpieczeństwa operacji i fizycznych zabezpieczeń dostępu.

4. Sprawdzanie przestrzegania uprawnień i autoryzacji.

5. Sprawdzanie zgodności działań na poszczególnych stanowiskach z zakresem czynności i

odpowiedzialności.

6. Badanie, czy występuje rozdzielenie sprzecznych ze sobą funkcji i obowiązków, ze

szczególnym uwzględnieniem niezależności funkcji pomiaru, monitorowania i kontroli

ryzyka od działalności operacyjnej, która to ryzyko generuje.

§ 25

1. Efektywność funkcjonowania systemu kontroli wewnętrznej wymaga pełnego wykorzystania

istniejących w Banku przepływów informacji.

2. Wszyscy pracownicy, którym przypisano sprawowanie funkcji kontrolnych, w tym zwłaszcza

osoby zajmujące stanowiska kierownicze, zobowiązani są do bieżącego wykorzystywania

12

informacji kontrolnych i natychmiastowego podejmowania środków zaradczych w przypadku

stwierdzenia nieprawidłowości w działaniu bądź przekazywania wniosków w tych sprawach do

swoich zwierzchników.

§ 26

W przypadku ujawnienia nieprawidłowości w wyniku przeprowadzenia kontroli, osoba

kontrolująca zobowiązana jest w ramach kompetencji, podjąć niezbędne środki zmierzające do

usunięcia stwierdzonych nieprawidłowości lub – gdy nie leży to w jej kompetencjach –

zawiadomić niezwłocznie o faktach bezpośredniego przełożonego, który podejmie takie środki.

§ 27 1. Kontrola dokumentów przeprowadzona jest pod względem:

1) merytorycznym, polegającym na stwierdzaniu prawidłowości i zgodności treści dokumentów

z rzeczywistością, przez co rozumieć należy, że operacje odzwierciedlane w dokumentach

dokonywane są z zachowaniem zasad celowości, legalności, rzetelności i gospodarności,

2) formalnym, polegającym na stwierdzeniu, że badane dokumenty posiadają wszystkie typowe

dla nich elementy, a w szczególności że:

a. wystawione zostały w sposób prawidłowy,

b. podpisane zostały przez osoby do tego upoważnione,

c. zawierają inne cechy wymagane obowiązującymi przepisami,

3) rachunkowym, polegającym na ustaleniu prawidłowości zawartych w nich działań

arytmetycznych.

§ 28

1. Testowanie stosowania mechanizmów kontroli wewnętrznej wykonywane jest w sposób

planowy, tj. na podstawie zatwierdzonych planów testowania.

2. Plany testowania stosowania mechanizmów kontrolnych są sporządzane w oparciu o matrycę

funkcji kontroli wewnętrznej, której wzór stanowi załącznik nr 1 do niniejszego Regulaminu

według schematu:

1) opracowanie, następnie weryfikacja wzoru matrycy funkcji kontroli Komórkę ds.

zgodności,

2) uzupełnienie matrycy o mechanizmy kontroli zawarte w procedurach opisujących procesy –

komórki odpowiedzialne: właściciele procesów (właściciele procedur).

3) Przypisanie celów do mechanizmów kontroli,

4) Określenie zasad weryfikacji i testowania stosowania mechanizmów kontroli wewnętrznej.

5) Przygotowanie projektów planów testowania przez osoby upoważnione do przeprowadzania

kontroli na podstawie analizy mechanizmów kontroli,

6) Weryfikacja planów kontroli wewnętrznej przekazanych przez osoby wyznaczone do

przeprowadzania kontroli,

7) Opracowanie kompleksowego planu testowania dla Banku.

3. Przegląd mechanizmów kontroli dokonywany jest przez właścicieli procesów (właścicieli

regulacji) do końca każdego roku.

4. Propozycje Planów testowania przygotowane na podstawie weryfikacji mechanizmów kontroli

wewnętrznej są przygotowywane przez upoważnionych pracowników i przesyłane do Komórki

ds. zgodności / Prezesa Zarządu w terminie do 15 stycznia każdego roku.

5. W szczególnych przypadkach, wynikających z pilnych i specyficznych potrzeb, testowanie

może być wykonywana jako kontrola doraźna (nieplanowana). Kontrola doraźna jest

przeprowadzana na zlecenie Prezesa Zarządu lub Rady Nadzorczej.

6. Szczegółowy plan testowania określa:

1) temat i cel przeprowadzenia testu;

2) przewidywany termin przeprowadzenia testu,

3) Zakres testowania,

4) Procedury i metody przeprowadzania testów,

13

7. Wzór rocznego planu kontroli wewnętrznych zawiera załącznik nr 2 do niniejszego

Regulaminu.

8. Roczny plan testowania zatwierdza Zarząd Banku.

9. Zarząd w cyklach półrocznych otrzymuje sprawozdanie z realizacji planu testowania, na

podstawie którego dokonuje oceny funkcjonowania kontroli wewnętrznej w Banku.

§ 29

1. Dla udokumentowania kontroli w Banku prowadzona jest ewidencja przeprowadzonych

testów.

2. Ewidencja testów powinna zawierać następujące dane:

1) przedmiot i zakres testów,

2) datę przeprowadzenia testu,

3) stwierdzone błędy i uchybienia oraz w miarę możliwości przyczyny ich powstania,

4) wyznaczony termin usunięcia stwierdzonych błędów i uchybień,

5) nazwisko i podpis pracownika przeprowadzającego testy,

6) nazwisko i podpis pracownika /ów kontrolowanego /nych.

3. Ewidencja przechowywana jest przez osoby uprawnione do przeprowadzania testów. Wzór

ewidencji przeprowadzonych testów zawiera załącznik nr 3 do niniejszego Regulaminu.

4. Osoby uprawnione do przeprowadzania testów mogą sporządzać protokoły z

przeprowadzonych testów, które winny być podpisane przez kontrolowanego i

kontrolującego.

5. W przypadku stwierdzenia nieprawidłowości i uchybień, których nie można było usunąć w

sposób natychmiastowy, kontrolujący wydaje kontrolowanemu zalecenia, określa termin ich

wykonania, a po upływie wyznaczonego terminu kontrolujący sprawdza, czy zalecenia zostały

wykonane i odnotowuje ten fakt w ewidencji.

6. W przypadku stwierdzenia w trakcie kontroli czynów noszących znamiona przestępstwa lub

nadużycia, kontrolujący podejmuje następujące działania:

1) bezzwłocznie zawiadamia o stwierdzonym fakcie Prezesa Zarządu;

2) dokonuje zabezpieczenia dokumentów i przedmiotów stanowiących dowód tego czynu,

z czego sporządza protokół.

7. Decyzje o sposobie dalszego postępowania w związku z zaistniałą sytuacją podejmuje Zarząd.

8. Sporządzane karty do testowania w formie elektronicznej są przekazywane do Stanowiska ds.

zgodności.

9. Karty w formie papierowej są przechowywane przez osoby przeprowadzające testy.

6. ZASADY DZIAŁANIA AUDYTU WEWNĘTRZNEGO

§ 30

Podstawowe zadania audytu wewnętrznego to:

1. Ocena prawidłowości mechanizmów kontroli wewnętrznej,

2. Ocena skuteczności zarządzania ryzykiem w Banku,

3. Ocena dostosowania procesu oceny i szacowania adekwatności kapitałowej (ICAAP) do profilu,

skali oraz złożoności ryzyka Banku.

§ 31

1. Audyt wewnętrzny w Banku wykonywany jest przez odpowiednie komórki Banku

Zrzeszającego.

2. Zadaniem komórki audytu wewnętrznego jest informowanie kierownictwa Banku i jego

właścicieli o:

1) wiarygodności bankowych procedur wewnętrznych.

2) prawidłowości, adekwatności i efektywności wykorzystywanych procedur.

3) terminowości informacji otrzymywanych i emitowanych przez systemy informatyczne.

4) kompletności i poprawność systemu informacji zarządczej.

14

5) poprawności przepływu informacji pomiędzy komórkami organizacyjnymi Banku.

3. Audyt wewnętrzny jest wykonywany zgodnie z metodyką audytu wewnętrznego stanowiącą

załącznik nr 8 do niniejszego Regulaminu.

4. Pracownicy Banku Zrzeszającego przeprowadzający audyt wewnętrzny w Banku mają

zapewniony bezpośredni dostęp do Zarządu i do Rady Nadzorczej Banku.

§ 32

Zarząd Banku zapewnia profesjonalny poziom wykonywania kontroli poprzez zlecenie zadań

związanych z audytem odpowiednim komórkom Banku Zrzeszającego.

§ 33

1. Audytowi wewnętrznemu podlegają wszystkie komórki organizacyjne Banku oraz wszystkie

czynności i operacje bankowe.

2. Każdy pracownik Banku jest zobowiązany w razie przeprowadzania kontroli do pełnej

współpracy z audytorem.

3. Wyznaczony pracownik badanej komórki jest zobowiązany do zapewnienia audytorowi

odpowiednich warunków pracy i obecności kluczowych pracowników danej komórki na czas

trwania kontroli.

§ 34

Do obowiązków audytu wewnętrznego należy przede wszystkim:

1. Identyfikacja tzw. słabych punktów i wskazania potencjalnych zagrożeń.

2. Rzetelne i obiektywne wykonywanie czynności audytu wewnętrznego.

3. Sporządzanie dokumentacji kontrolnej i pokontrolnej.

4. Udzielanie kontrolowanym wyjaśnień odnoszących się do przedmiotu kontroli.

5. Przestrzeganie tajemnicy służbowej w sprawach będących przedmiotem kontroli.

6. Przestrzeganie zasad etycznych.

§ 35

Plan audytu wewnętrznego sporządza się w okresach trzyletnich oraz aktualizuje się w cyklach

rocznych zgodnie z zasadą, że wszystkie istotne obszary działania Banku, w tym ryzyka istotne

określone na podstawie przeglądu zarządczego procedury szacowania wymogów wewnętrznych są

objęte audytem nie rzadziej niż raz na 24 miesiące, z wyjątkiem audytu rozwiązań

technologicznych w obszarze bezpieczeństwa środowiska teleinformatycznego i informacji, który

odbywa się raz na 5 lat.

Plan audytu sporządza się:

1.według następującej metodyki wyznaczania obszarów (ryzyk) objętych audytem w

poszczególnych latach:

1) Bank uzależnia częstotliwość audytu ryzyk od wysokości funduszy alokowanych na dany

rodzaj ryzyka.

2) Bank co roku na etapie weryfikacji / opracowania wieloletniego planu audytu bada

wysokość wewnętrznych wymogów kapitałowych utworzonych na poszczególne rodzaje

ryzyka.

3) Im wyższy poziom wewnętrznych wymogów kapitałowych utworzonych z tytułu danego

ryzyka – tym większa częstotliwość audytu.

4) Częstotliwość audytu procesu oceny szacowania wymogów kapitałowych ocenia się na

podstawie wewnętrznego współczynnika wypłacalności: jeżeli wewnętrzny współczynnik

kapitałowy spadnie poniżej 13,50% - Bank co roku poddaje audytowi proces oceny

adekwatności kapitałowej.

5) Obszar Zarządzania, w tym ryzyko wyniku finansowego jest poddawany audytowi w

cyklach dwuletnich, a w przypadku oceny BION z ww. obszarów na poziomie powyżej 3 -

raz w roku.

2. według schematu:

15

1) Strategiczny (długoterminowy) i operacyjny (roczny) plan badań audytowych oraz ich zmiany,

powinny być przekazywane do opiniowania Zarządowi Banku oraz przedstawiane do

zatwierdzenia Radzie Nadzorczej.

2) Członkowie Zarządu mogą występować do Zarządu Banku z wnioskiem o przeprowadzenie

audytu wewnętrznego. Wystąpienia takie są podstawą zlecenia przez Zarząd przeprowadzenia

kontroli doraźnej

3) Zatwierdzony przez Radę Nadzorczą Banku plan kontroli i audytu do czasu jego realizacji nie

może być ujawniony.

§ 36

1. Zatwierdzony przez Radę Nadzorczą Banku plan kontroli jest podstawowym dokumentem, na

podstawie którego przeprowadzane są kontrole w komórkach organizacyjnych Banku przez

komórkę audytu wewnętrznego.

2. Na podstawie wyników audytu wewnętrznego Prezes Zarządu Banku wydaje zalecenia

pokontrolne, skierowanie do pracowników właściwych komórek organizacyjnych.

§ 37

1. Przed rozpoczęciem audytu odpowiednia komórka Banku Zrzeszającego zawiadamia Zarząd

Banku o planowanym terminie kontroli.

2. Kontrola odbywa się na dwóch uzależnionych od siebie i wzajemnie uzupełniających zasadach:

1) badanie dokumentów i operacji,

2) przeprowadzenie wywiadów informacyjnych z kierownictwem i pracownikami Banku

łącznie z uzyskaniem wyjaśnień w celu dołączenia do protokołu.

3. Kontrola jest przeprowadzana w sposób zapewniający jak najmniejsze zakłócenie w bieżącym

funkcjonowaniu Banku.

4. Kontrolujący dokonuje ustaleń na podstawie dowodów, do których zalicza się w szczególności

dokumenty i dowody rzeczowe, dane z ewidencji i sprawozdawczości, protokoły, oględziny, jak

również pisemne wyjaśnienia i oświadczenia.

5. Wszystkie punkty, które kontrolujący ma zamiar przedstawić w protokole pokontrolnym muszą

być omówione z komórką badaną i jej odpowiedzi zanotowane jako integralna część dokumentu

pokontrolnego (nie może być żadnych wątpliwości wokół faktów ustalonych przez

kontrolującego i zapisanych w protokole).

6. Przy oględzinach magazynu, archiwum, kontroli kasy i skarbca oraz podobnych czynnościach

jest niezbędna obecność osoby materialnie odpowiedzialnej, a w razie jej nieobecności - komisji

powołanej przez kierownika komórki kontrolowanej.

Z przebiegu tych czynności sporządza się odrębny protokół, który podpisują audytor oraz

wymienione wyżej osoby.

§ 38

1. W przypadku uzasadnionego podejrzenia lub ujawnienia przestępstwa w trakcie kontroli, audyt

wewnętrzny zobowiązany jest bezzwłocznie powiadomić Prezesa Zarządu.

2. Zawiadomienie o podejrzeniu popełnieniu przestępstwa organom ścigania składa Zarząd Banku.

§ 39

1. W trakcie kontroli przeprowadzanych w Banku przez zewnętrzne organa kontroli, wyznaczeni

pracownicy są obowiązani:

1) udostępnić kontrolującym (legitymującym się odpowiednim upoważnieniem) niezbędne

dokumenty i udzielać wyjaśnień w kontrolowanym przedmiocie,

2) powiadomić Prezesa Zarządu o rozpoczęciu kontroli,

3) sporządzić zestawienie materiałów niezbędnych do przeprowadzenia kontroli

przekazanych kontrolerom zewnętrznym,

16

4) żądać od kontrolujących sporządzenia zbiorczego zestawienia materiałów i dokumentów

bankowych (w tym kopiowanych) zabieranych poza jednostkę organizacyjną Banku po

zakończeniu działań kontrolnych,

5) po zakończeniu kontroli przekazać niezwłocznie materiały pokontrolne, podpisany

protokół bądź inny dokument Prezesowi Zarządu,

6) w wyznaczonym terminie zawiadomić Prezesa Zarządu, wydającego zalecenia o

wykonaniu lub przyczynach niewykonania zaleceń bądź wniosków pokontrolnych wraz z

kserokopią Zaleceń pokontrolnych i kopią sprawozdania z ich realizacji.

2. Fakt odbycia kontroli przez zewnętrzne organa kontrolne jest odnotowywany w rejestrze

kontroli zewnętrznych.

§ 40

1. Kontrola powinna być zakończona sporządzeniem protokołu pokontrolnego.

2. Protokół pokontrolny zawiera następujące elementy:

1) datę sporządzenia protokołu,

2) datę (termin) rozpoczęcia i zakończenia kontroli ze wskazaniem ewentualnych przerw,

3) miejsce przeprowadzenia kontroli,

4) opis wykonania zaleceń i skutków podjętych po ostatniej kontroli,

5) cel, zakres oraz przyjęte metody kontroli,

6) opis stanu faktycznego i spis dokumentów będących podstawą oceny, a także adnotacje o

sporządzonych odpisach, wyciągach i zabezpieczonych dowodach,

7) stwierdzone nieprawidłowości i ich wpływ na funkcjonowanie Banku, a w szczególności

na jego wynik finansowy i kapitał własny,

8) wskazanie przepisów, które zostały naruszone,

9) wnioski i sugestie pokontrolne, a także wskazanie sposobów i metod naprawczych.

10) wyszczególnienie załączników,

11) ewentualne zastrzeżenia dostępności protokołu pokontrolnego (np. czy służy tylko do

użytku wewnętrznego).

3. Protokół podpisują kontrolujący i Prezes Zarządu, bądź wyznaczony pracownik kontrolowanej

komórki.

4. Od wskazań zawartych w Protokole Bankowi przysługuje prawo wniesienia pisemnych uwag w

terminie określonym w Protokole.

5. Decyzje o sposobie wykorzystania wyników kontroli i proponowanych wniosków i zaleceń

opracowanych przez kontrolującego podejmuje Zarząd.

6. Na podstawie wyników kontroli Prezes Zarządu Banku wydaje Zalecenia pokontrolne,

skierowane do pracowników właściwych komórek organizacyjnych.

7. Kontrolowana komórka organizacyjna otrzymująca zalecenia pokontrolne, ponosi pełną

odpowiedzialność za ich realizację i jest zobowiązana do przekazania Prezesowi Zarządu, w

ustalonym przez Prezesa terminie w formie pisemnej informacji o wykonaniu lub przyczynach

braku wykonania zaleceń.

8. Zarząd w cyklach półrocznych przedstawia Radzie Nadzorczej sprawozdanie z realizacji audytu

wewnętrznego, zawierające takie elementy jak:

a. wykaz przeprowadzonych kontroli w ramach audytu wewnętrznego,

b. wykazane nieprawidłowości,

c. wydane zalecenia,

d. stopień realizacji zaleceń audytu wewnętrznego,

e. ocena audytu wewnętrznego.

§ 41

Sprawozdanie z audytu wewnętrznego przekazywane jest Radzie Nadzorczej w terminie

określonym w Instrukcji sporządzania informacji zarządczej.

17

7. SPRAWOZDAWCZOŚĆ W ZAKRESIE KONTROLI WEWNĘTRZNEJ

§ 42

1. Stanowisko ds. zgodności w okresach półrocznych sporządza sprawozdanie z

przeprowadzonych testów.

2. Sprawozdania z testów zawierają informacje m.in. o:

1) liczbie planowanych i wykonanych testów,

2) stwierdzonych uchybieniach i nieprawidłowościach (na podstawie analizy przyczyn

i powodów zaistnienia różnic między stanem faktycznym a obowiązującym, ich skutków

i sposobu korygowania),

3) wnioskach i zaleceniach wynikających z ustaleń kontroli,

4) dacie wydania oraz stopniu realizacji zaleceń,

5) przyczynach niepełnego wykonania planu testowania (jeżeli taka sytuacja miała

miejsce).

3. Sprawozdanie przedkładane jest Prezesowi Zarządu Banku w terminie do 10 dni roboczych

po zakończeniu półrocza.

4. Wzór sprawozdania z przeprowadzonych testów stanowi załącznik nr 4 do niniejszego

Regulaminu.

§ 43

1. Wyniki kontroli wewnętrznej i audytu wewnętrznego są przedmiotem analizy i oceny Zarządu i

Rady Nadzorczej Banku.

2. Wnioski wynikające z analiz i ocen wyników kontroli wewnętrznej Zarząd Banku uwzględnia

w bieżącej działalności.

§ 44

W oparciu o sprawozdania kontroli wewnętrznej oraz w oparciu o raport opracowany przez Prezesa

Zarządu lub osobę przez niego wyznaczoną Zarząd przeprowadza weryfikację systemu kontroli

wewnętrznej, tj. mechanizmów i procedur kontroli wewnętrznej pod kątem:

1. Skuteczności i adekwatności systemu kontroli wewnętrznej,

2. Zgodności ze strukturą organizacyjną Banku (system zależności służbowych, kontrola

kierownicza),

3. Dostosowania procedur bankowych do zmian przepisów zewnętrznych,

4. Funkcjonowania systemów informatycznych,

5. Obszarów ryzyka objętych systemem kontroli wewnętrznej,

6. Realizacji zaleceń pokontrolnych,

7. Zgodności niniejszego Regulaminu z przepisami zewnętrznymi.

§ 45

Weryfikacja, uwzględniająca ocenę skuteczności i adekwatności systemu kontroli wewnętrznej

przeprowadzana jest raz w roku do końca grudnia każdego roku, a jej wyniki w formie pisemnej

wraz z propozycją zmian są prezentowane Radzie Nadzorczej Banku oraz Komitetowi Audytu.

8. OCENA ZEWNĘTRZNA AUDYTU WEWNĘTRZNEGO

§ 46

1. Działanie komórki audytu wewnętrznego podlega okresowej ocenie zewnętrznej, nie rzadziej

niż co 5 lat.

2. Oceny zewnętrzne przeprowadzane są przez audytora zewnętrznego tj. wykwalifikowaną

niezależną osobę lub zespół spoza Banku.

3. Wyboru osoby/zespołu dokonującego oceny zewnętrznej dokonuje Zarząd.

4. W toku wykonywania oceny zewnętrznej jej wyniki omawiane są z Prezesem Zarządu.

5. Ostateczne wyniki oceny zewnętrznej przekazywane są komórce audytu wewnętrznego oraz

Prezesowi Zarządu.

6. Wyniki oceny zewnętrznej przedstawiane są Zarządowi i Radzie Nadzorczej.

18

9. POSTANOWIENIA KOŃCOWE

§ 47

Niniejszy Regulamin oraz jego zmiany zatwierdza Rada Nadzorcza Banku

§ 48

W sprawach nieuregulowanych przez niniejszy Regulamin stosuje się zapisy zawarte w:

1. Ustawie Prawo bankowe,

2. Rozporządzeniu Ministra Rozwoju i Finansów,

3. Rekomendacji H wydanej przez Komisję Nadzoru Bankowego dotyczącej kontroli wewnętrznej

w banku.

§ 49

Regulamin wchodzi w życie z dniem jego zatwierdzenia przez Radę Nadzorczą.

19

Załącznik nr 1 do Regulaminu kontroli wewnętrznej i audytu

Wzór matrycy funkcji kontroli

częstotliwość

stosowania

mechanizmu

pozioma - opis pionowa - opis Opis częstotliwość osoba odpowiedzialna opis częstotliwość osoba odpowiedzialna

Kluczowy mechanizm

kontrolny

Proces istotny (na

podstawie

Rekomendacji M)

Niezależne monitorowanie

Weryfikacja bieżąca Testowanie poziome Testowanie pionoweCel ogólny systemu

kontroli wewnętrznej

20


Wzór planu testowania

Lp.

Nazwa stanowiska

przeprowadzającego

testowanie

Tematy kontroli

I kwartał II kwartał III kwartał IV kwartał

21


Wzór rejestru przeprowadzonych testów

Lp. Temat kontroli

Termin

przeprowadzenia

kontroli

Kontrola

planowana

(T/N)

Zakres

kontroli Ustalenia

Wydane

zalecenia –

termin realizacji

Strona

kontrolowana

Strona

kontrolująca

22


Wzór sprawozdania z przeprowadzonych testów

..................................................

Jednostka (komórka) organizacyjna Banku

SPRAWOZDANIE Z KONTROLI za ........... miesiąc/kwartał/półrocze/rok ................ r.

Imię, nazwisko i stanowisko służbowe osoby (osób) kontrolujących ………………

Lp. Temat kontroli

Kontrola

planowana

(Tak/Nie)

Najważniejsze

ustalenia kontroli

Wnioski

pokontrolne

Wydane

zalecenia,

data wydania

Realizacja zaleceń

(terminowość

realizacji, stopień

realizacji)

23


Wytyczne do wyboru próby testowej

Postanowienia ogólne

§ 1. Testowanie przeprowadzane jest w odniesieniu do zakończonych czynności wykonywanych w ramach

procesów funkcjonujących w Banku lub poszczególnych etapów tych czynności, o ile z przebiegu

procesu wynika, że dany etap jest zakończony.

§ 2. 1. Przedstawione wytyczne doboru próby przyjętej do testowania obowiązują zarówno do testowania

poziomego jak i pionowego.

2. Próba wybrana do testu uzależniana jest od skali transakcji, operacji, wyliczeń, raportów danego

rodzaju, częstotliwości ich wykonywania oraz wpływu na ryzyko Banku. Określając liczebność próby,

należy mieć na uwadze, by wyniki testowania przeprowadzonego na podstawie tej liczebności dawały

możliwość wyciągania wniosków i ocen o całej populacji.

Dobór próby do testowania

§ 3. 1. Wyznaczając próbę do testowania obowiązkowo należy uwzględnić kryterium częstotliwości

wykonywania operacji/transakcji i zastosować następujące podejście do ustalenia wielkości

(liczebności) próby dla pojedynczego testowania: Częstotliwość

wykonywania

transakcji/ operacji/

raportów/ analiz

Wielkość próby podczas testowania Przykładowe transakcje/operacje

wielokrotnie w ciągu

dnia

5 – przy testach kwartalnych, półrocznych i

rocznych

przeprowadzanie operacji na rachunkach,

akceptacja faktur

codziennie 5 – przy testach kwartalnych, półrocznych i

rocznych

dzienne uzgodnienia gotówki, dzienne raporty

i analizy, dzienne uzgodnienia księgowe,

zawieranie umów o rachunek bankowy,

zawieranie umowy kredytowej, dzienne

monitoringi

miesięcznie 1 – przy testach kwartalnych i półrocznych

2 – przy testach rocznych

miesięczne raporty i analizy

kwartalnie 1 – przy testach kwartalnych i półrocznych

2 – przy testach rocznych

kwartalne raporty i analizy

rocznie/półrocznie 1 roczne/półroczne analizy, przeglądy procedur,

sprawozdania

2. Osoba przeprowadzająca testowanie nie może zmniejszyć próby do testowania, może ją natomiast

zwiększyć, jeżeli w jej ocenie występuje dodatkowe ryzyko dla Banku lub próba może nie być

reprezentatywna.

3. W przypadku braku możliwości określenia częstotliwości występowania zdarzeń ze względu na ich

specyfikę (charakter ciągły, niejednorodny – np. przestrzeganie zasad) należy zbadać dany mechanizm

kontrolny stosując metodę obserwacji bez doboru próby. Tak opisaną obserwację należy opisać w

matrycy funkcji kontroli jako próbę jednoelementową.

§ 4. Dobierając próbę do testowania należy przyjąć transakcje/ operacje/ raporty/ analizy/ zdarzenia od

ostatniego przeprowadzonego danego rodzaju testowania w ramach danej linii obrony.

§ 5. Pracownik komórki organizacyjnej umiejscowionej w II linii obrony odpowiedzialny za

przeprowadzenie testu w I linii obrony, przy wyborze próby kieruje się zasadą, aby uwzględnić w niej

część transakcji/operacji/raportów, które były przedmiotem wcześniejszego testowania poziomego w I

linii obrony. Zasada ta ma na celu sprawdzenie skuteczności testowania poziomego.

24


Zakres testowania – Zagadnienia i problemy objęte testowaniem

Testowanie w zakresie jakości aktywów

Zakres badanych zagadnień

Przestrzeganie ustalonych procedur obowiązujących w zakresie działalności kredytowej. Badanie ich zgodności z

ostrożnościowymi regulacjami zewnętrznymi.

Badanie struktury i jakości portfela kredytowego.

Badanie ekspozycji detalicznych.

Badanie ekspozycji zabezpieczonych hipotecznie.

Badanie poziomu i trendu ekspozycji przeterminowanych.

Badanie struktury i jakości zobowiązań pozabilansowych.

Przestrzeganie przepisów zewnętrznych (UE i krajowych) oraz wewnętrznych regulaminów, instrukcji i procedur

w zakresie np.:

kompletności dokumentacji kredytowej, weryfikacji dokumentów prezentowanych przez klientów.

terminowości rozpatrywania wniosków,

oceny zdolności kredytowej na moment udzielenia kredytu i w całym okresie kredytowania (art.70 Prawa

bankowego),

podejmowania decyzji kredytowych,

adekwatności przyjętych zabezpieczeń oraz poprawność ich wyceny, ze szczególnym uwzględnieniem

zabezpieczeń hipotecznych,

zapisów umów kredytowych (art. 69 Prawa bankowego),

poprawności stosowania stóp procentowych, pobierania opłat i prowizji oraz odpowiedniego uzasadnienia

odstępstw od obowiązujących w banku tabel oprocentowania oraz opłat i prowizji (jeżeli regulacja Banku

przewiduje odstępstwa),

kredytowania osób wewnętrznych (art. 79, 79a Prawa bankowego),

monitorowania sytuacji ekonomiczno-finansowej kredytobiorców,

monitorowania terminowości spłat należności,

klasyfikacji należności do odpowiednich kategorii ryzyka,

poprawności wyceny zabezpieczeń dla potrzeb pomniejszania podstawy tworzenia rezerw celowych,

obsługi kredytów konsorcjalnych,

przestrzegania limitów koncentracji.

przestrzegania kompetencji decyzyjnych.

Przestrzeganie wewnętrznych regulaminów, instrukcji i procedur w zakresie np.:

prowadzenia rejestru wniosków kredytowych,

prowadzenia rejestru umów (kredytowych, pożyczek, gwarancji, poręczeń),

prowadzenia rejestru zabezpieczeń.

Przestrzeganie wewnętrznych regulaminów, instrukcji i procedur w zakresie np.:

terminowości dokonywania rozliczeń kredytów preferencyjnych,

poprawności sporządzania zapotrzebowania na dopłaty do kredytów preferencyjnych.

zgodności umów kredytowych z decyzjami,

stosowania odstępstw od regulacji.

Analiza procesu i efektywności restrukturyzacji i windykacji należności. Umarzanie i spisywanie należności

kredytowych w ciężar pozostałych kosztów operacyjnych.

Pozostałe zagadnienia, np.;

rozliczanie dochodów od wykupionych wierzytelności leasingowych, factoringowych i cesji

wierzytelności,

analiza kredytów spłaconych przed terminem,

zasady wprowadzania nowych produktów,

prawidłowość i terminowość wypełniania obowiązków sprawozdawczych.

Testowanie w zakresie prowadzenia rachunków bankowych:


Przestrzeganie ustalonych procedur w zakresie prowadzenia rachunków bankowych. Badanie ich zgodności z

ostrożnościowymi regulacjami zewnętrznymi.

Monitorowanie przestrzegania przyjętych w Banku limitów.

25

Przestrzeganie przepisów zewnętrznych oraz wewnętrznych regulaminów, instrukcji i procedur w zakresie np.:

otwierania, prowadzenia i likwidacji rachunków depozytowych,

prawidłowość dokonywania operacji na rachunkach depozytowych.

Pozostałe zagadnienia:

wprowadzanie nowych produktów depozytowych,

prawidłowość i terminowość wypełniania obowiązków sprawozdawczych.

Testowanie w zakresie działalności na rynku finansowym


Kompletność dokumentacji dotyczącej lokat składanych w Banku Zrzeszającym

Kompletność dokumentacji dotyczącej papierów wartościowych, udziałów w innych podmiotach (poprawność

klasyfikacji podmiotów, w których Bank posiada akcje i udziały).

Kredyty i pożyczki zaciągnięte w Banku Zrzeszającym i innych instytucjach finansowych (BFG) – naliczanie

prowizji i odsetek, terminowość regulowania zobowiązań.

Przestrzeganie limitów płynnościowych – płynność bieżąca

Testowanie w zakresie działalności operacyjnej (rachunki bankowe, rozliczenia

międzybankowe oraz obsługa kasowo-skarbcowa)


Przestrzeganie przepisów zewnętrznego oraz wewnętrznych regulaminów, instrukcji i procedur.

W zakresie prowadzenia rachunków m.in:

zawieranie umów o prowadzenie rachunków,

wykonywanie stałych zleceń płatniczych,

wykorzystanie przyznanych limitów zadłużeń,

kontrola sald debetowych,

dysponowanie wkładem na wypadek śmierci,

pełnomocnictwa do dysponowania rachunkiem,

pobieranie prowizji i opłat,

blokady środków na rachunkach,

zajęcia rachunków bankowych,

zastrzeżenia w obrocie oszczędnościowym,

ewidencja i przechowywanie blankietów czekowych,

obsługa kart płatniczych.

W zakresie rozliczeń międzybankowych i międzyoddziałowych, m.in:

prowadzenie rozliczeń międzybankowych,

terminowość wykonywania zleceń na rzecz klientów,

prowadzenie rozliczeń międzyoddziałowych,

salda rozliczeń międzybankowych i międzyoddziałowych,

uznania i obciążenia do wyjaśnienia.

W zakresie obsługi kasowo-skarbcowej, m.in.:

ewidencja i przechowywanie stempli dziennych,

ewidencja różnic kasowych,

przestrzeganie ustalonych limitów pogotowia kasowego,

odprowadzanie nadwyżek gotówki,

depozyty rzeczowe,

ewidencja kluczy zamknięć skarbcowych i przekazania skarbca.

Kontrola zapasu znaków pieniężnych i zgodność salda z ewidencją księgową.

Kontrola rejestru transakcji wysokokwotowych

Testowanie w zakresie zarządzania bankiem oraz ryzyka operacyjnego


Zarządzanie bankiem, m.in.:

kontrola prawidłowości obiegu dokumentów i terminowości wykonywania zadań,

tryb przyjmowania, rozpatrywania i załatwiania skarg i wniosków,

przestrzeganie dyscypliny pracy (listy obecności, ewidencja wyjść, ewidencja delegacji służbowych),

planowanie i wykorzystanie urlopów wypoczynkowych,

26

prowadzenie rejestrów (zatrudnionych, zwolnionych, uprawnionych do nagrody jubileuszowej),

prowadzenie ewidencji szkoleń pracowników,

wykorzystanie zakładowego funduszu świadczeń socjalnych. Ryzyko braku zgodności:

prawidłowość, terminowość funkcjonowania poczty elektronicznej,

terminowość przesyłania korespondencji,

prowadzenie rejestru regulacji wewnętrznych Banku,

aktualność rejestru uchwał organów samorządowych Banku,

Ryzyko operacyjne, m.in.:

nadawanie uprawnień użytkownikom systemu informatycznego,

weryfikacja profili uprawnień,

podział kompetencji oraz schematy podległości służbowej,

ewidencjonowanie zdarzeń zachodzących w systemie informatycznym,

postępowanie w przypadku naruszenia zasad ochrony danych,

ochrona antywirusowa,

archiwowanie danych,

ewidencja systemów informatycznych,

ewidencja grup danych,

funkcjonowanie systemu awaryjnego kontynuowania i odtwarzania pracy systemu informatycznego,

testowanie planu awaryjnego i planów ciągłości działania,

zarządzanie hasłami.

Bezpieczeństwo Banku, m.in:

stan bezpieczeństwa bhp i ppoż.,

ochrona informacji niejawnych i danych osobowych,

ubezpieczenie majątku oraz wartości pieniężnych,

bezpieczeństwo transportu wartości pieniężnych,

ochrona i zabezpieczenie obiektów bankowych i mienia,

ewidencja korespondencji przychodzącej i wychodzącej,

przechowywanie dokumentów,

ochrona pracowników i klientów.

27

Załącznik nr 7do Regulaminu kontroli wewnętrznej i audytu

Zagadnienia i problemy objęte audytem wewnętrznym

Audyt wewnętrzny w zakresie zarządzania ryzykiem operacyjnym


Istnienie i przestrzeganie obowiązujących w banku zasad polityki, procedur i strategii dotyczącej ryzyka

operacyjnego.

Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm

zewnętrznych

Ocena adekwatności polityki i procedur do wielkości i stopnia złożoności Banku

Ocena monitorowania i kontrolowania ryzyka operacyjnego

Realizacja założeń strategii działania banku w zakresie ryzyka operacyjnego. Identyfikacja przyczyn

ewentualnych trudności w realizacji założeń

Nadzór Rady Nadzorczej w zakresie zatwierdzania i nadzorowania Zarządu nad skutecznym wdrożeniem i

weryfikowaniem polityk i procedur ryzyka operacyjnego.

Ocena jakości i kompleksowości planów awaryjnych utrzymania ciągłości działania

Adekwatność i skuteczność kontroli wewnętrznej w zakresie ryzyka operacyjnego

Wymóg kapitałowy w zakresie ryzyka operacyjnego

Informacja zarządcza w zakresie ryzyka operacyjnego

Analiza ewidencji skarg klientów

Istnienie zasad polityki i procedur dotyczących technologii informatycznych

Adekwatność, funkcjonalność i bezpieczeństwo systemu informatycznego:

bezpieczeństwa systemów teleinformatycznych

analiza bezpieczeństwa danych

Ocena systemu zarządzania ryzykiem operacyjnym:

jasność i poprawność przyjętej definicji ryzyka operacyjnego

analiza polityki bezpieczeństwa i pozostałych procedur dotyczących ryzyka operacyjnego oraz

ochrona i zabezpieczenie obiektów bankowych i mienia

ocena przyjętych zasad funkcjonowania w sytuacji awaryjnej

adekwatność przyjętych zasad identyfikacji, oceny, monitorowania i zabezpieczania przed ryzykiem

operacyjnym

analiza przyjętego systemu raportowania, dostarczającego informacji niezbędnych do zarządzania tym

ryzykiem

sprawdzenie poprawności i skuteczności działania kontroli wewnętrznej

analiza ryzyka operacyjnego w sytuacjach specyficznych: zaangażowanie w nowe

produkty, nowy rodzaj działalności, zmiany w strukturze organizacyjnej,

kontrolę założeń scenariuszy testów warunków skrajnych,

kontrolę badania i weryfikacji wskaźników KRI

kontrolę przestrzegania zasad ochrony informacji oraz danych osobowych.

kontrolę działalności ABI.

Analiza jakości prowadzonej działalności operacyjnej :

działalność gotówkowa

organizacji czynności obsługi kasowo-skarbcowej,

przestrzegania zapisów Instrukcji kasowo-skarbcowej w zakresie:

o potwierdzania na piśmie przyjęcia do wiadomości i stosowania przepisów instrukcji oraz

każdorazowo zarządzeń i innych przepisów z zakresu operacji kasowo-skarbcowych przez

pracowników zatrudnionych przy czynnościach kasowo-skarbcowych,

o podpisania oświadczenia o odpowiedzialności materialnej przed przystąpieniem do czynności

kasowo-skarbcowych przez pracowników, którym powierza się wartości,

o zawarcia z Bankiem umowy o przyjęciu wspólnej odpowiedzialności materialnej przez

skarbników lub osoby przewidziane na ich zastępstwo,

przestrzegania zasad komisyjności,

przestrzegania zasad przekazywania kluczy,

przestrzegania przyjętych w Banku limitów stanu gotówki w kasie,

poprawności i skuteczności działania kontroli wewnętrznej (okresowej).

28

Działalność depozytowa

-stosowanie się do obowiązujących regulacji wewnętrznych

- poprawność zawierania umów do rachunków bankowych

- poprawność pobierania należnych opłat i prowizji

W zakresie nabywania i zbywania jednostek uczestnictwa funduszy inwestycyjnych

-stosowanie się do obowiązujących przepisów prawa

-stosowanie się do obowiązujących regulacji wewnętrznych

Zasady zarządzania ryzykiem powierzania wykonywania czynności podmiotom zewnętrznym.:

Istnienie zasad polityki i procedur w zakresie oceny, zarządzania i monitorowania czynności

powierzonych firmom zewnętrznym

Czy przed zawarciem umowy Bank ocenił ryzyko (oraz sytuację ekonomiczno-finansową

przedsiębiorcy)

Czy w czasie trwania umowy ryzyko jest na bieżąco monitorowane

Kontrola wpływu powierzenia czynności na zewnątrz na jakość i bezpieczeństwo usług świadczonych

klientom

Czy zawarte umowy nie naruszają przepisów prawa

Czy zawierając umowy wymagające zgłoszenia do KNF, dopełniono tego obowiązku ?

Ocena przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu

Przestrzeganie przyjętych procedur w zakresie wdrażania nowych produktów.

Poprawność przeprowadzania testów warunków skrajnych

Realizacja zadań związanych z zarządczym przeglądem procedur

Bezpieczeństwo środowiska teleinformatycznego i informacji:

1. Ocena organizacji zarządzania bezpieczeństwem IT, rozdzielenie funkcji, ocena poprawności zapisów w

regulacjach,

2. Ocena jakości danych,

3. Ocena wydajności i pojemności komponentów środowiska teleinformatycznego,

4. Kontrola przestrzegania procedur konfiguracji komponentów infrastruktury teleinformatycznej,

5. Kontrola zarządzania bezpieczeństwem środowiska teleinformatycznego.

Audyt wewnętrzny w zakresie zarządzania Bankiem


Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych.


zewnętrznych.

Zgodność wewnętrznych regulacji z ustawami: o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i

bankach zrzeszających, Prawo bankowe, Prawo spółdzielcze,

zgodność (spójność) zapisów w regulacjach wewnętrznych

przestrzeganie postanowień Statutu Banku i regulaminu organizacyjnego w zakresie podziału zadań i

kompetencji

zgodność działania (podejmowania decyzji) z udzielonymi pełnomocnictwami i zakresem kompetencji

prawidłowość organizacji pracy z punktu widzenia osiągania optymalnych wyników

aktualizacja bazy danych kadry rezerwowej

Poprawność prowadzenia rejestru umów, rejestru spraw sądowych.

Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego - ryzyko

biznesowe

Realizacja założeń strategii działania banku w zakresie poszczególnych obszarów działalności. Identyfikacja

przyczyn ewentualnych trudności w realizacji założeń

Poprawność technik prognozowania, analiza założeń planu finansowego i ich realizacji. Identyfikacja przyczyn

braku realizacji planu finansowego – ryzyko wyniku finansowego.

Badanie funkcjonalności struktury organizacyjnej Banku, podziału odpowiedzialności i koordynacji działań

pomiędzy poszczególnymi jednostkami organizacyjnymi i stanowiskami pracy, a także systemu tworzenia i

obiegu dokumentów i informacji.

Funkcjonowanie przyjętej organizacji w zakresie rozdzielenia funkcji decyzyjnych od wykonawczych.

Efektywność działań i realizacja zadań zaleconych komitetom problemowym działającym w Banku.

Kompletność, rzetelność i terminowość przekazywania informacji składających się na system informacji

zarządczej. Ocena jego przydatności w procesie decyzyjnym.

29

Badanie operacji z osobami wewnętrznymi – np. odsprzedaż majątku trwałego

Ocena administrowania majątkiem rzeczowym

Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych w zakresie działalności

statutowej


zewnętrznych.

Realizacja postanowień statutu i uchwał ZP

Prawidłowość wykazywania funduszu udziałowego (tj. zgodność z Prawem spółdzielczym i Statutem Banku)

Polityka banku w zakresie oprocentowania udziałów członkowskich

Kompletność, rzetelność i terminowość przekazywania informacji zarządczej

Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia realizacji zaleceń

pokontrolnych

Realizacja planów szkoleń,

Prowadzenie dokumentacji i protokołów z posiedzeń organów statutowych,

Zasady opracowywania / zmian procedur bankowych


Polityka wynagradzania:

1. Organizacja ustalania i realizacji założeń Polityki,

2. Ocena regulacji normujących Politykę w Banku,

3. Zgodność listy osób zajmujących stanowiska kierownicze,

4. Założenia przyjęte do oceny wyników Banku, uwzględnianych w Polityce,

5. Zgodność Polityki z Regulaminem wynagradzania

Audyt wewnętrzny w zakresie zarządzania ryzykiem kredytowym


Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych

w zakresie ryzyka kredytowego

Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych

i innych norm zewnętrznych.

Przestrzeganie obowiązujących limitów

Ocena organizacji procesu zarządzania ryzykiem kredytowym, w tym zarządzania ryzykiem detalicznych

ekspozycji kredytowych zabezpieczonych hipotecznie. poprzez analizę:

zasad polityki kredytowej z uwzględnieniem zasad dot. ekspozycji kredytowych wobec gospodarstw

domowych

kompletność i adekwatność procedur kredytowych z uwzględnieniem obszaru dot. ekspozycji

kredytowych wobec gospodarstw domowych

ocena zdolności kredytowej, w tym przestrzeganie minimalnych wymogów w zakresie przyjętych

formuł oceny zdolności kredytowej, dochodów i wydatków klientów detalicznych

pełnomocnictw i limitów kredytowych

rozdzielności funkcji decyzyjnych i wykonawczych

organizacji procesu przeglądu ekspozycji kredytowych, niezależność tego przeglądu

klasyfikacji należności i zobowiązań pozabilansowych, rezerwy na ryzyko związane z działalnością

kredytową, zatwierdzania tworzonych rezerw celowych oraz decyzji o spisaniu należności w ciężar

rezerw

zarządzanie ryzykiem koncentracji i kontrahenta

procesu aktualizacji i wyceny zabezpieczeń

oceny wsparcia procesu klasyfikacji należności przez system informatyczny (głównie klasyfikacji z

uwagi na terminowość),

Analiza procesu kredytowania:

zgodność z przepisami Prawa bankowego, postanowieniami regulacji wewnętrznych oraz

ostrożnościowych (m.in. przestrzeganie zapisów art. 69,70, 71, 79)

terminowość realizowania zapisów regulacji, oraz umów kredytowych

kompletność i aktualność dokumentacji kredytowej

przeprowadzanie testów warunków skrajnych detalicznych ekspozycji kredytowych

Proces monitorowania i windykacji kredytów trudnych


Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia wykonania wydanych

zaleceń pokontrolnych

30

Rzetelność sprawozdawczości w zakresie działalności kredytowej

Skuteczność systemu uprawnień do akceptacji ryzyka



Audyt wewnętrzny w zakresie zarządzania ryzykiem płynności


Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych w zakresie ryzyka

płynności


zewnętrznych.

Adekwatność systemu pomiaru ryzyka Banku, z uwzględnieniem charakteru, zakresu oraz złożoności jego

działalności. Poprawność pomiaru, identyfikowania i monitorowania ryzyka płynności.

Ocena organizacji procesu zarządzania ryzykiem płynności

Zasady polityki zarządzania ryzykiem płynności, realizacja założeń polityki

Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego leżących po

stronie nieprawidłowości w zarządzaniu ryzykiem płynności.

Efektywność i kompletność wprowadzonych limitów, przestrzeganie limitów, analiza przekroczeń limitów oraz

skuteczność mechanizmów powiadamiania o przekroczeniu limitu.

Analiza pogłębionej płynności długoterminowej

Wyliczanie i utrzymanie nadzorczych miar płynności

Lokowanie środków na rynkach finansowych

Analiza adekwatności planów awaryjnych pozyskiwania środków / utrzymywania płynności


Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia wykonania wydanych

zaleceń pokontrolnych

Rzetelność sprawozdawczości w zakresie ryzyka płynności



Audyt wewnętrzny w zakresie zarządzania ryzykiem stopy procentowej


Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych

w zakresie ryzyka stopy procentowej


zewnętrznych.

Adekwatność systemu pomiaru ryzyka banku, z uwzględnieniem charakteru, zakresu oraz złożoności jego

działalności

Poprawność pomiaru, identyfikowania i monitorowania ryzyka stopy procentowej

Ocena organizacji procesu zarządzania ryzykiem stopy procentowej

Zasady polityki zarządzania ryzykiem stopy procentowej, realizacja założeń polityki

Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego leżących po

stronie nieprawidłowości w zarządzaniu ryzykiem stopy procentowej.


Efektywność i kompletność wprowadzonych limitów, przestrzeganie limitów, analiza przekroczeń limitów oraz

skuteczność mechanizmów powiadamiania o przekroczeniu limitu


Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia realizacji wydanych zaleceń

pokontrolnych


Audyt wewnętrzny w zakresie wyniku finansowego oraz stosowania zasad rachunkowości


Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych w zakresie wyniku

31

finansowego oraz zasad rachunkowości


zewnętrznych.

Ocena sytuacji finansowej Banku w świetle osiąganego i prognozowanego wyniku finansowego oraz

adekwatności wyniku finansowego w odniesieniu do ponoszonego przez bank ryzyka

Ocena efektywności prowadzonej działalności

Poziom i zasadność ponoszonych kosztów, zwłaszcza kosztów działania banku

Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego


Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia realizacji zaleceń

pokontrolnych

Rzetelność sprawozdawczości w zakresie wyniku finansowego

Przestrzeganie podstawowych zasad rachunkowości:

poprawność przyjętych zasady rachunkowości i ich przestrzeganie

zachowania zasady współmierności przychodów i kosztów

poprawność prowadzenia ksiąg rachunkowych

ocena ciągłości stosowania zasad rachunkowości

prawidłowość wyceny aktywów i pasywów oraz ustalania wyniku finansowego

wiarygodności informacji finansowych wysyłanych do NBP

ocena ciągłości stosowania zasad rachunkowości

poddawanie sprawozdań rocznych badaniu

sporządzanie sprawozdań, których dane wynikają z ksiąg rachunkowych

Dokładność i pewność (niezawodność) systemu księgowego, sprawozdawczego i operacyjnego.

Kompletność, prawidłowość i kompleksowość procedur księgowych.

Audyt wewnętrzny w zakresie zarządzania ryzykiem braku zgodności


Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych.


zewnętrznych.

Zarządzanie ryzykiem braku zgodności

Sprawdzenie stosowania się do regulacji w zakresie przyjmowania nowych regulacji wewnętrznych /czy taka

procedura istnieje/

Ocena procesu dokonywania przeglądu regulacji wewnętrznych pod kątem zgodności z przepisami prawa

Sprawdzenie stosowania się do przyjętej Polityki braku zgodności oraz Instrukcji zarządzania ryzykiem braku

zgodności

Informacja zarządcza w zakresie ryzyka braku zgodności

Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej


Audyt wewnętrzny w zakresie szacowania i utrzymywania kapitału wewnętrznego i dokonywania przeglądów

procesu szacowania oraz zarządzanie kapitałem

Zadania audytowe

Przestrzeganie obowiązujących w Banku instrukcji, procedur i przepisów wewnętrznych w zakresie szacowania i

utrzymywania kapitału wewnętrznego i dokonywania przeglądów tego procesu


zewnętrznych.

Analiza dokonywanych przeglądów ryzyk i ocena zidentyfikowanych ryzyk pod względem ich istotności

Przestrzeganie minimalnych wymogów nadzorczych

Prawidłowość wyliczenia funduszy własnych i współczynników kapitałowych

Przegląd stosowanych przez Bank zasad szacowania kapitału wewnętrznego

Analiza poprawności szacowania i utrzymywania kapitału wewnętrznego na zidentyfikowane ryzyka

Przestrzeganie obowiązującej w Banku polityki w zakresie zarządzania kapitałem

Kontrola ustalania i weryfikacji limitów alokacji kapitału

Rzetelność sprawozdawczości w zakresie kapitałów


32

zewnętrznych

System pomiaru ryzyk trudno mierzalnych

Weryfikacja istotności ryzyk trudno mierzalnych

Analiza dokonywanych przeglądów ryzyk i ocena zidentyfikowanych ryzyk pod względem ich istotności



Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej


Audyt wewnętrzny w zakresie ryzyka wyniku finansowego

Zadania audytowe

Regulacje w zakresie zarządzania ryzykiem biznesowym – strategia, polityka, procedura

Procedura planowania

Analiza wykonania planu –sprawozdawczość wewnętrzna,

Testy warunków skrajnych w zakresie ryzyka biznesowego

Kontrola wewnętrzna w procesie planowania.

33


METODYKA AUDYTU WEWNĘTRZNEGO

BANKU SPÓŁDZIELCZEGO

W MRĄGOWIE

34

Spis treści

strona

Dział I. Wstęp ………………………………………………………..................... 36

Rozdział 1. Odpowiedzialność komórki audytu wewnętrznego ……………… 36

Rozdział 2. Podstawowe zasady etyki audytora wewnętrznego ……………… 36

Rozdział 3. Zakres badań audytu wewnętrznego …………………………...... 37

Dział II. Organizacja i przebieg kontroli …………………………………….….. 38

Rozdział 1. Zasady planowania oraz przygotowania kontroli ………………... 38

Rozdział 2. Zasady doboru próby …………………………………………….. 38

Dział III. Zakończenie kontroli ……………….…………………………………... 39

Rozdział 1. Ewidencja kontroli ……………………………….…………......... 39

Rozdział 2. Dokumentacja robocza …………………………………………... 39

Dział IV. Raport pokontrolny …………………………………………………….. 40

Rozdział 1.

Zagadnienia wskazane do ujęcia w raporcie z kontroli poszczególnych

obszarów ……………………………………….. 40

Rozdział 2.

Pozostałe zagadnienia wskazane do ujęcia w raporcie

z kompleksowej kontroli danego obszaru………………………... 43

Rozdział 3. Raport pokontrolny – wymagania formalne ……………………... 44

Dział V. Zalecenia pokontrolne …………………………………………………………. 45

35

Dział I. Wstęp

§ 1

Niniejsza metodyka precyzuje zasady wykonywania badań kontrolnych przez komórkę audytu

wewnętrznego Banku Zrzeszającego, której powierza się wykonywanie kontroli wewnętrznej

instytucjonalnej, na mocy zawartej Umowy z Bankiem Zrzeszającym.

Rozdział 1. Odpowiedzialność komórki audytu wewnętrznego

§ 2

Przygotowując się oraz prowadząc badanie kontrolne audytor wewnętrzny ponosi

odpowiedzialność w zakresie:

1) właściwego wyboru kierunków kontroli,

2) określenia celu kontroli, doboru próby i przebiegu kontroli,

3) trafności i istotności ocen oraz wyciągniętych w trakcie kontroli wniosków,

4) poprawności prezentacji wyników kontroli,

5) ustalenia właściwych wniosków pokontrolnych,

6) właściwego zabezpieczenia wszystkich materiałów, dokumentów i informacji zebranych w

toku kontroli z jednoczesnym zachowaniem przyjętych w Banku warunków ich

ewidencjonowania i archiwizowania.

§ 3

Audytor wewnętrzny wyjaśnia wszelkie wątpliwości pojawiające się w trakcie badań, a także

kontroluje terminowość i skutki podjętych działań naprawczych i korygujących.

§ 4

Audytor wewnętrzny zobowiązany jest również do przestrzegania zasad etyki, o których mowa w

Rozdziale 2. niniejszej Metodyki.

Rozdział 2. Podstawowe zasady etyki audytora wewnętrznego § 5

1. Audytor wewnętrzny wykonuje swoje obowiązki i zadania obiektywnie, z należytą starannością,

skutecznością, ostrożnością, uczciwie i z rozwagą.

2. Audytor wewnętrzny zachowuje lojalność (wobec Banku) we wszystkich sprawach odnoszących

się do zakresu działalności Banku oraz zachowuje w tajemnicy wszystkie dane i fakty ujawnione

podczas kontroli.

3. Audytor wewnętrzny nie angażuje się świadomie w żadną działalność, która jest niegodna

sprawowanej przez niego funkcji.

4. Audytor wewnętrzny postępuje w sposób, który nie jest sprzeczny z interesami Banku lub może

mieć niekorzystny wpływ na jego możliwości zachowania obiektywizmu i niezależności w

wykonywaniu zadań i obowiązków.

5. Audytor wewnętrzny nie przyjmuje żadnych korzyści majątkowych i niemajątkowych od

kontrolowanych.

6. Audytor wewnętrzny przeprowadza kontrole zagadnień na profesjonalnym poziomie.

7. Audytor wewnętrzny jest ostrożny i rozważny w stosowaniu i wykorzystaniu informacji

uzyskanych podczas kontroli - nie wykorzystuje informacji poufnych w sposób sprzeczny z

prawem lub szkodliwy dla interesu Banku lub w celu osiągania korzyści osobistych.

8. Audytor wewnętrzny ujawnia w raporcie pokontrolnym wszystkie znane zdarzenia, fakty i

materiały.

9. Audytor wewnętrzny utrzymuje swoje kwalifikacje zawodowe na wysokim poziomie i dąży do

ich podnoszenia, jak również dba o sprawność, skuteczność i wysoką jakość pracy.

10. Audytor wewnętrzny odznacza się wysokim stopniem kompetencji, etyki zawodowej i godności.

11. Audytor wewnętrzny wykonuje swoje obowiązki zgodnie z ustalonymi standardami.

36

Rozdział 3. Zakres badań audytu wewnętrznego

§ 6

Audyt wewnętrzny powinien w szczególności obejmować dokładne i niezależne badanie

następujących obszarów działalności Banku:

1) przestrzeganie obowiązujących w Banku wewnętrznych aktów prawnych - wszystkie czynności

wykonywane przez pracowników na poszczególnych stanowiskach powinny być opracowane w

formie pisemnej, ustalona odpowiedzialność za ich wykonywanie, a także opisane dopuszczalne,

ewentualne odstępstwa od przyjętych zasad - należy także ocenić wpływ istniejących instrukcji,

procedur i przepisów wewnętrznych na funkcjonowanie Banku i generowaną sprawozdawczość

w celu wskazania ewentualnej konieczności dokonania zmian lub opracowania nowych

instrukcji, procedur i limitów ostrożnościowych itp.,

2) funkcjonującego systemu informacji zarządczej, który powinien gwarantować otrzymywanie

kompletnych, wiarygodnych i terminowych, a także użytecznych i spójnych informacji,

pomocnych przy podejmowaniu właściwych (optymalnych) decyzji,

3) skuteczność ujawniania błędów, uchybień lub innych nieprawidłowości przez pracowników

sprawujących kontrolę wewnętrzną oraz podejmowanie skutecznych działań naprawczych i

korygujących - w celu stwierdzenia czy są one efektem świadomego działania czy też ich

źródłem jest niedoskonałość procesów zarządzania, istniejących procedur, nieefektywna

organizacja pracy, niewystarczająca znajomość procedur przez pracowników lub niedostateczne

wyposażenie w niezbędny sprzęt albo nieefektywność systemów kontrolnych,

4) przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych

norm zewnętrznych - niezbędne jest ustalenie i monitorowanie wpływu tych przepisów na

efektywność i skuteczność działania Banku, w celu wskazania sposobów i metod podniesienia

wydajności i jakości operacyjnej oraz efektywnego wykorzystania zasobów Banku,

5) realizacja celów i polityki Banku, określonych i wymaganych przez Zarząd,

6) kompletność, prawidłowość i kompleksowość procedur księgowych - procedury księgowe

powinny być poddawane regularnemu przeglądowi w celu wyeliminowania ewentualnych strat z

tytułu popełnianych błędów, nieostrożności czy opóźnień ewidencji wykonywanych operacji,

7) dokładność i pewność (niezawodność) systemu księgowego, sprawozdawczego i operacyjnego -

celem badania powinno być dostosowanie instrukcji i procedur do aktualnych potrzeb Banku,

8) adekwatność, funkcjonalność i bezpieczeństwo systemu informatycznego – celem badania jest

sprawdzenie czy Bank zapewnił przygotowanie systemów wewnętrznych Banku w zakresie

zarządzania ryzykami towarzyszącymi systemom informatycznym oraz czy zostały opracowane

adekwatne procedury zabezpieczające i kontrolne, w tym zasady funkcjonowania systemów

awaryjnych,

9) efektywność wykorzystania dostępnych środków (w tym funduszy) i zasobów we wszystkich

obszarach działalności Banku - w celu ustalenia czy posiadany majątek jest prawidłowo

wykorzystywany oraz znajduje się pod stałą i pełną kontrolą - szczególnego znaczenia nabiera

w tym kontekście zarządzanie zasobami ludzkimi, gdyż pełna identyfikacja pracownika z

Bankiem zmniejsza prawdopodobieństwo podjęcia nielegalnych działań lub zaniechania

wykonywania kontroli podstawowej,

10) ocena struktury organizacyjnej Banku, podziału odpowiedzialności i koordynacji działań

pomiędzy poszczególnymi jednostkami organizacyjnymi i stanowiskami pracy, a także systemu

tworzenia i obiegu dokumentów i informacji - badanie winno mieć na celu m.in. ocenę czy

wprowadzony podział realizowanych w Banku zadań, zapewnia niezależność funkcji pomiaru,

monitorowania i kontrolowania ryzyka od działalności operacyjnej, z której wynika

podejmowane ryzyko - ocenie powinna być także poddana zasadność, efektywność działania i

realizacja zaleceń komitetów problemowych działających w Banku,

37

11) bieżące analizowanie i ocena funkcjonowania systemów wewnętrznych Banku pod kątem

poprawy efektywności działania całego Banku (głównie systemu zarządzania ryzykiem i

systemu kontroli wewnętrznej),

12) zlecanie wykonywania niektórych czynności zewnętrznym firmom – Bank zobowiązany jest do

zachowania ostrożności w zakresie delegowania swojej działalności innym podmiotom, przy

czym przykładowe wymagania obejmują:

a) zlecenie wykonania usług musi być sporządzone w formie pisemnej i zaakceptowane przez

kierownictwo Banku,

b) Bank musi posiadać efektywną kontrolę nad zleceniobiorcą w zakresie realizacji usług,

c) Bank musi na bieżąco monitorować zdolność realizacji usług przez zleceniobiorcę,

d) Bank musi opracować plan awaryjny na wypadek niezdolności dostarczenia usług przez

zleceniobiorcę.

§7

Bank zapewnia dostęp Pracownikowi/Pracownikom komórki audytu wewnętrznego do

wewnętrznych aktów prawnych.

Dział II. Organizacja i przebieg kontroli

Rozdział 1. Zasady planowania oraz przygotowania kontroli

§8

Zasady planowania oraz przygotowania kontroli określają zapisy Regulaminu Kontroli

Wewnętrznej w Banku Spółdzielczym w Mrągowie.

Rozdział 2. Zasady doboru próby1

§ 9

W przypadku, gdy nie jest uzasadnione badanie całego obszaru lub nie jest możliwe

przeprowadzenie analizy pełnego kompletu dokumentów, audytor wewnętrzny dokonuje wyboru

próby dokumentów do kontroli.

§ 10

Wielkość badanej próby powinna uwzględniać możliwości kadrowe komórki audytu wewnętrznego

oraz czas przeznaczony na badanie kontrolne – wielkość próby powinna umożliwić wykonanie

badań z zachowaniem odpowiedniej szczegółowości.

§ 11

1. Metodą zapewnienia odpowiedniej kontroli obszarów audytu jest odpowiedni dobór próby do

badania, która powinna być uzależniona od stopnia ryzyka związanego z badanym obszarem,

jak również od dostępnych zasobów audytu i możliwości dokonania odpowiednich testów.

2. W zależności od liczebności i charakteru badanej populacji (cech, istotności, szczególnych

wymagań wynikających z charakteru zadania audytowego) doboru próby do badania dokonuje

się w sposób:

1) pełny – badaniu poddaje się wszystkie elementy populacji, niezależnie od ich cech, oceny

mechanizmów kontroli i innych kryteriów.

2) wyrywkowy – dokonuje się doboru ustalonej części badanej populacji, audytor dokonując

doboru próby zakłada, że próba posiada takie same cechy jak badana zbiorowość. Zamiast

badania wszystkich dokumentów/operacji źródłowych bada się jedynie ich część. Dobór

wyrywkowy powinien być stosowany w przypadkach, gdy nie jest uzasadnione badanie

całego obszaru lub nie jest możliwe przeprowadzenie analizy pełnego kompletu

dokumentów/operacji.

3. Sposoby doboru próby wyrywkowej:

1) Metoda wyrywkowa-subiektywna

1 Zamieszczone w tej części niniejszego dokumentu zapisy są propozycją, która może być przez

Banki modyfikowana w celu dostosowania do swoich potrzeb oraz uwzględnienia stosowanej już praktyki.

38

Wybierana próba może stanowić część (np. 10 %) badanej populacji, audytor powinien

przed doborem ustalić w jaki sposób wybiera próbki do badania:

a) ustalenie w jaki sposób zapewniane jest odpowiednie pokrycie próbkami istotnych

cech badanej populacji, np. każdego typu operacji, dokumentów, zjawisk;

b) decyzja o stosowaniu lub niestosowaniu doboru tendencyjnego – tzn. doborze do

badania określonych dokumentów, operacji, zdarzeń - o których wiadomo na

podstawie praktyki audytora, że zwierają często określone nieprawidłowości lub też

jest wysokie prawdopodobieństwo wystąpienia nieprawidłowości, z uwagi na

złożenie skargi lub przekazanie informacji o możliwych nieprawidłowościach.

W pewnych przypadkach można, a nawet należy odstąpić od planowanej wielkości

próbki, zmniejszając ją lub zwiększając, jeśli wyniki badania to sugerują.

2) Metoda statystyczna - statystyczne metody doboru próby dają pewność, że dobór próbek

ma charakter losowy, a wyniki badania umożliwiają wnioskowanie statystyczne o

cechach całej populacji, na podstawie wyników badania próby.

Dobór statystyczny składa się z następujących kroków:

a) określenie minimalnej ilości badanych elementów – określenie wielkości próby

b) dobranie elementów badanej próby – losowanie

c) sformułowanie wniosków na podstawie dokonanego badania

Stosowanie metody określania wielkości próby:

a) część (np. 10 %) badanej populacji

b) rozwarstwienie populacji i ustalenie liczebności próbek na podstawie określonej

istotności pełnej/cząstkowej oraz w oparciu o przyjęte zaufanie do systemu kontroli

wewnętrznej

Stosowane metody losowania próby:

a) prosty dobór losowy, losowanie wg liczb losowych z wykorzystaniem programu

komputerowego lub z użyciem tablic liczb losowych.

b) dobór losowy z interwałem – losowy dobór elementu do próby opiera się na

zasadzie, że do próby trafia co n - ty element wartości n określany jako interwał (I),

a pierwszy element jest wybierany w sposób losowy z przedziału od 0 do n.

4. Niezależnie od tego czy wielkość próbki została dobrana subiektywnie czy statystycznie,

jeżeli w toku badania zostanie stwierdzone, że należy ją zwiększyć lub zmniejszyć, to

należy to uczynić.

5. Sposób doboru i wybraną próbę dokumentuje się w raporcie pokontrolnym

§ 12

Zasady przeprowadzania kontroli określają zapisy Regulaminu kontroli wewnętrznej i audytu w

Mrągowie.

Dział III. Zakończenie kontroli

Rozdział 1. Ewidencja kontroli

§ 13

Po zakończeniu badania kontrolnego audytor wewnętrzny dokonuje wpisu w ewidencji kontroli

wewnętrznej (audyt wewnętrzny) odnotowując stronę kontrolowaną, stronę kontrolującą, zakres i

temat kontroli, termin przeprowadzenia kontroli oraz fakt, czy kontrola była planowana, czy też

pozaplanowa.

Rozdział 2. Dokumentacja robocza

§ 14

Audytor Wewnętrzny zobowiązany jest gromadzić niezbędną dokumentację potwierdzającą

stwierdzone w toku kontroli nieprawidłowości i ustalenia.

39

§ 15

Uporządkowana dokumentacja robocza powinna być przechowywana zgodnie z obowiązującymi

w Banku zasadami przechowywania i archiwizowania dokumentacji.

Dział IV. Raport pokontrolny

§ 16

Po zakończeniu badania kontrolnego audytor wewnętrzny sporządza raport pokontrolny, w którym

przedstawia wyniki kontroli.

Rozdział 1. Zagadnienia wskazane do ujęcia w raporcie z kontroli poszczególnych obszarów

§17

W raporcie pokontrolnym (w zależności od tematu i zakresu kontroli) należy w szczególności:

1) w zakresie ryzyka kredytowego i ryzyka koncentracji:

a) wskazać, czy Bank wdrożył regulacje określające:

kryteria oceny zdolności kredytowej klientów Banku, umożliwiające ograniczanie ryzyka

kredytowego związanego z produktami/usługami, w jakie zaangażowany jest Bank,

system klasyfikacji ekspozycji kredytowych do kategorii ryzyka i tworzenia rezerw na

ryzyko związane z działalnością Banku zgodnie z rozporządzeniem Ministra Finansów z

dnia 16 grudnia 2008 roku w sprawie zasad tworzenia rezerw na ryzyko związane z

działalnością banków (tekst jednolity Dz. U. z 2015 roku poz. 2066 z późn. zmianami),

zasady dywersyfikacji portfela ekspozycji kredytowych, stosowne do ustalonego przez

Bank dopuszczalnego poziomu ryzyka kredytowego,

pisemne procedury zarządzania ryzykiem koncentracji, o którym mowa

w § 1 pkt. 1 uchwały nr 384/2008 Komisji Nadzoru Finansowego z dnia 17 grudnia 2008

roku w sprawie wymagań dotyczących identyfikacji, monitorowania i kontroli koncentracji

zaangażowań, w tym dużych zaangażowań,

zasady zarządzania ryzykiem ekspozycji kredytowych finansujących nieruchomości oraz

zabezpieczonymi hipotecznie, zgodnie z zapisami Rekomendacji S KNF z 2013 roku

dotycząca dobrych praktyk w zakresie zarządzania ekspozycjami kredytowymi

zabezpieczonymi hipotecznie.

b) na podstawie wybranej próby (w tym również próby kredytów detalicznych, mieszkaniowych,

objętych procesem restrukturyzacji, windykacji, kredytów udzielonych przez pośredników

finansowych oraz kredytów osób wewnętrznych) ocenić:

stopień przestrzegania zapisów regulacji zewnętrznych i wewnętrznych,

organizację procesu przeglądu ekspozycji kredytowych,

poprawność klasyfikacji należności,

proces aktualizacji i wyceny zabezpieczeń,

wsparcie procesu klasyfikacji przez system informatyczny,

poprawność tworzenia rezerw celowych,

ocenić politykę Banku w zakresie zarządzania portfelem ekspozycji kredytowych

zabezpieczonych hipotecznie (poziom akceptowanego ryzyka, przyjęte limity, monitoring

portfela, monitoring wartości przyjętych zabezpieczeń – ustalenia powinny brać również

pod uwagę spostrzeżenia dokonane w toku analizy badanej próby) - strona kontrolująca

powinna dokonywać oceny uwzględniając zapisy Rekomendacji S Komisji Nadzoru

Finansowego z 2013 roku dotyczącej dobrych praktyk w zakresie zarządzania

ekspozycjami kredytowymi zabezpieczonymi hipotecznie;

c) dokonać kontroli zaangażowań powodujących ryzyko koncentracji (duże zaangażowania, tj.

przekraczające 10% funduszy własnych powinny być kontrolowane nie rzadziej niż raz w

roku) – dokonując kontroli należy brać pod uwagę m.in. zapisy Uchwały nr 208/2011 Komisji

Nadzoru Finansowego z dnia 22 sierpnia 2011 roku w sprawie szczegółowych zasad i

40

warunków uwzględniania zaangażowań przy ustalaniu przestrzegania limitu koncentracji

zaangażowań i limitu dużych zaangażowań, oraz zapisu Uchwały nr 384/2008 z dnia 17

grudnia 2008 roku w sprawie wymagań dotyczących identyfikacji, monitorowania i kontroli

koncentracji zaangażowań, w tym dużych zaangażowań;

2) w zakresie ryzyka walutowego:

wskazać, czy w Banku prawidłowo funkcjonują procedury pozwalające na pomiar i

zarządzanie tym ryzykiem;

3) w zakresie ryzyka stopy procentowej:

wskazać, czy w Banku prawidłowo funkcjonują procedury zarządzania ryzykiem

wynikającym z możliwych zmian stóp procentowych, w odniesieniu do pozycji zaliczanych

do portfela bankowego, obejmujące w szczególności testy warunków skrajnych przy

założeniu nagłej i nieoczekiwanej zmiany poziomu stóp procentowych o 200 punktów

bazowych;

4) w zakresie ryzyka operacyjnego:

a) wskazać, czy w Banku prawidłowo funkcjonują:

procedury zarządzania ryzykiem operacyjnym, w tym zasady monitorowania straty z tytułu

ryzyka operacyjnego oraz przyjęte przez Bank określenie ryzyka operacyjnego dla potrzeb

stosowania tych procedur, uwzględniające elementy, o których mowa w §1 załącznika nr 14

do Uchwały 76/2010 Komisji Nadzoru Finansowego z dnia 10 marca 2010 roku, w pakiecie

CRR/CRD IV oraz uwzględniające zdarzenia charakteryzujące się niską częstotliwością

występowania lecz wysokimi stratami,

plany utrzymania ciągłości działania zapewniające ciągłe i niezakłócone działanie Banku

oraz plany awaryjne służące zapewnieniu możliwości prowadzenia bieżącej działalności

Banku i ograniczeniu strat w przypadku wystąpienia niekorzystnych zdarzeń wewnętrznych

i zewnętrznych mogących poważnie zakłócić tę działalność,

polityka w zakresie wyboru, uzupełniania oraz monitorowania potrzeb kadrowych i

planowania zaplecza kadrowego;

b) ocenić poprawność działań podejmowanych w związku z przestrzeganiem zasad

przeciwdziałania wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących

z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałania finansowaniu terroryzmu

(wyznaczenie koordynatora, nadzoru ze strony Zarządu, poprawność rejestrowania

transakcji);

c) dokonać oceny funkcjonalności i bezpieczeństwa systemu informatycznego (ocenić m.in.

stopień ochrony dostępu do systemu informatycznego, stopień ochrony fizycznego dostępu

do pomieszczeń i sprzętu, stopień ochrony danych przez utratą, ochrony antywirusowej);

d) dokonać analizy wybranych zagadnień działalności kasowo-skarbcowej (ocenić m.in.

organizację czynności obsługi kasowo-skarbcowej, przestrzeganie zapisów Instrukcji

kasowo-skarbcowej);

5) w zakresie ryzyka płynności:

a) wskazać, czy w Banku prawidłowo funkcjonują:

procedury zarządzania płynnością płatniczą z uwzględnieniem podziału kompetencji i

odpowiedzialności,

metody identyfikacji, pomiaru oraz monitorowania płynności płatniczej,

plany awaryjne zapewniające niezakłócone prowadzenie działalności z uwzględnieniem

zachowania płynności płatniczej w przypadku wystąpienia sytuacji kryzysowych,

b) zweryfikować stopień przestrzegania zapisów Uchwały nr 386/2008 Komisji Nadzoru

Finansowego z dnia 17 grudnia 2008 roku w sprawie ustalenia wiążących banki norm

płynności;

6) w zakresie wyniku finansowego oraz przestrzegania podstawowych zasad rachunkowości:

41

a) przedstawić poziom wyniku finansowego, jego trendy oraz stopień stabilności,

rentowność prowadzonej działalności, stabilność źródeł przychodów, poziom i trend

marży odsetkowej, poziom ponoszonych kosztów;

b) ocenić możliwość zapewnienia właściwego poziomu kapitału poprzez wypracowywane

zyski;

c) przejrzeć, zapisy na wytypowanych kontach zespołu 7 „Koszty i straty” i 8 „Przychody

i zyski”, w celu identyfikacji ewentualnych zapisów niecodziennych, jak np.:

znaczące odchylenia od typowych wartości zapisów powtarzających się,

nietypowe zapisy na stronie „Winien” konta przychodów lub nietypowe zapisy na

stronie „Ma” konta kosztów,

znaczące kwoty księgowane jako „inne przychody” lub „inne koszty”, które mogą

być wynikiem otrzymanych opłat lub poniesionych strat z tytułu operacji

pozabilansowych;

d) na podstawie wybranej do badania próby dokumentów księgowych stanowiących

podstawę zapisów na kontach kosztów i przychodów, sprawdzić rzetelność ewidencji

przychodów i kosztów poprzez ustalenie m.in. czy:

dowody księgowe spełniają wymagania określone w Rozporządzeniu Ministra

Finansów w sprawie szczególnych zasad rachunkowości banków,

wewnętrzne dowody księgowe dotyczące księgi głównej, zarówno uznaniowe jak i

obciążeniowe, posiadają pełne zatwierdzenia, opisy oraz wskazania zapisu

przeciwstawnego;

e) sprawdzić, czy w badanym okresie dokonywano odpisów ekspozycji kredytowych

w ciężar utworzonych na nie rezerw celowych i przeniesienia ich do zobowiązań

pozabilansowych - jeśli tak, ustalić czy ekspozycja ta spełniała warunki określone

Rozporządzeniu Ministra Finansów w sprawie szczególnych zasad rachunkowości

banków, tj. czy:

została zaklasyfikowana do kategorii „stracone” i pozostawała w tej kategorii przez

okres co najmniej jednego roku,

utworzona na nią rezerwa celowa była równa kwocie pozostającej do spłaty;

f) sprawdzić, czy do wyniku finansowego z tytułu odsetek zgodnie z zapisami

Rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowości

banków:

zaliczono nieotrzymane w okresie sprawozdawczym przychody z tytułu należnych

Bankowi odsetek , w tym dyskonta oraz odsetek skapitalizowanych od należności

„normalnych” i należności „pod obserwacją” ,

nie zaliczono należnych Bankowi odsetek zapadłych i niezapadłych, w tym dyskonta

oraz odsetek skapitalizowanych, od należności „zagrożonych”, które do czasu ich

otrzymania lub odpisania stanowią przychody zastrzeżone;

g) przedstawić nieprawidłowości stwierdzone w ewidencji księgowej i sprawozdawczości -

określić ich ewentualny wpływ na poprawność wykazywania wyniku finansowego oraz

sytuację Banku prezentowaną w sprawozdaniach;

7) w zakresie adekwatności kapitałowej:

a) ocenić poziom i strukturę funduszy własnych, zidentyfikować podstawowe źródła

zwiększania funduszy własnych;

b) przedstawić poziom współczynników kapitałowych, ocenić trend i zidentyfikować przyczyny

powodujące ewentualne zmiany poziomu współczynników kapitałowych;

c) ustalić, czy obecny i planowany poziom zysków zatrzymanych, wyniku finansowego można

uznać za wystarczający biorąc pod uwagę skalę działalności i plany jej rozwoju;

42

d) przeanalizować zasady funkcjonowania funduszu udziałowego, prowadzoną politykę wypłaty

oprocentowania udziałów i jej wpływ na poziom kapitałów, ocenić strukturę funduszu

udziałowego, określić stopień jego koncentracji;

e) na podstawie wybranej do badania próby deklaracji członkowskich zbadać poprawność

wypełniania deklaracji członkowskich, ocenić przestrzeganie zapisów Statutu określających

zasady dokonywania wypłat/dopłat udziałów, terminowość rozliczeń z członkami, ocenić

poprawność ewidencji księgowej prowadzonej w badanym zakresie i jej zgodność ze stanem

faktycznym oraz poprawność zapisów dokonywanych w rejestrze członków;

f) ocenić poprawność procesu wyznaczania kapitału regulacyjnego, w tym m.in. poprawność

zapisów regulacji normującej ten proces, stopień ich przestrzegania, przyjętą organizację

procesu, adekwatność systemu limitów oraz systemu informacji zarządczej - uwzględnić

m.in. zapisy Uchwały nr 76/2010 Komisji Nadzoru Finansowego z dnia 10 marca 2010 roku

w sprawie zakresu i szczegółowych zasad wyznaczania wymogów kapitałowych z tytułu

poszczególnych rodzajów ryzyka (…), oraz pakietu CRR/CRD IV;

g) ocenić proces szacowania kapitału wewnętrznego w tym m.in.

poprawność zapisów regulacji normującej ten proces, stopień ich przestrzegania, przyjętą

organizację procesu, adekwatność systemu limitów oraz systemu informacji zarządczej.

Rozdział 2. Pozostałe zagadnienia wskazane do ujęcia w raporcie z kompleksowej kontroli

danego obszaru

§ 18

W raporcie z kompleksowej kontroli danego obszaru (np. kompleksowej oceny ryzyka płynności,

stopy procentowej, itp.) należy ponadto:

1) ocenić założenia strategii przyjęte w zakresie badanego obszaru - realność i spójność założeń,

stopień ich realizacji, zidentyfikować przyczyny braku realizacji założeń w poszczególnych

obszarach (ocena powinna dotyczyć zarówno założeń zawartych w głównej strategii działania

banku, jak i strategii opisanych w regulacjach dotyczących poszczególnych obszarów);

2) ocenić założenia planu finansowego (adekwatność procesu planowania) i stopień ich realizacji

(ewentualnie programu naprawczego), zidentyfikować przyczyny braku realizacji założeń,

ocenić zgodność planu finansowego z założeniami strategii działania (założenia zawarte w

planie finansowym powinny zapewniać realizację przyjętych długoterminowych założeń

strategicznych);

3) ocenić poprawność i adekwatność obowiązujących procedur dotyczących zarządzania ryzykiem

w zakresie badanego obszaru oraz pozostałych regulacji zewnętrznych normujących proces

zarządzania ryzykiem; wskazać przypadki nieprawidłowych zapisów w procedurach

(niezgodnych z regulacjami zewnętrznymi lub niezgodnych z zapisami innych regulacji

wewnętrznych); wskazać przypadki braku procedur;

4) wskazać nieprawidłowości stwierdzone w zapisach Regulaminu organizacyjnego i ich wpływ

na poprawność i efektywność rozwiązań organizacyjnych (wskazać ewentualne rozbieżności

pomiędzy zapisami Regulaminu organizacyjnego a rozwiązaniami stosowanymi w praktyce,

wskazać ewentualne niezgodności zakresów czynności z obowiązkami wynikającym z zapisów

Regulaminu organizacyjnego), określić, czy w badanym obszarze jasno wskazano podział

obowiązków (osoby odpowiedzialne za nadzór nad danym ryzykiem z ramienia Zarządu Banku

oraz za identyfikację, pomiar i monitorowanie);

5) ocenić, czy wprowadzony podział realizowanych zadań zapewnia niezależność funkcji

pomiaru, monitorowania i kontrolowania ryzyka od działalności operacyjnej, z której to ryzyko

wynika;

6) ocenić dostosowanie przyjętych metod identyfikacji, pomiaru (w tym przeprowadzania testów

warunków skrajnych) i monitorowania ryzyka, oraz częstotliwości pomiaru do profilu, skali i

złożoności ryzyka, ocenić organizację procesu identyfikacji, pomiaru i monitorowania ryzyka,

ocenić działalność komitetów/ zespołów problemowych działających w Banku;

43

7) ocenić przyjęty w Banku system limitów (ich adekwatność, kompletność, zasady ustalania,

zatwierdzania i aktualizowania, częstotliwość monitorowania i raportowania, dopuszczalne

przekroczenia, działania podejmowane w przypadku przekraczania limitów) oraz pozostałych

regulacji zewnętrznych normujących proces zarządzania badanym obszarem;

8) ocenić system informacji zarządczej, w tym poprawność formalnego opisania działania systemu

(poprzez ocenę zapisów normujących działanie systemu informacji zarządczej, ich wzajemnej

zgodności); sporządzaną informację zarządczą ocenić pod kątem jej rzetelności (czy nie

zawiera błędów), zakresu i dokładności, (czy obejmuje wszystkie ważne zagadnienia, czy nie

wymaga uzupełnienia) aktualności oraz częstotliwości (czy jest dostosowana do poziomu

ponoszonego ryzyka);

9) oraz pozostałych regulacji zewnętrznych normujących proces zarządzania badanym obszarem;

10) ocenić adekwatność i kompletność procesu przygotowawczego przeprowadzanego przed

wprowadzaniem nowych produktów finansowych w zakresie badanego obszaru;

11) ocenić skuteczność ujawniania błędów i nieprawidłowości w toku kontroli wewnętrznej oraz

skuteczność podejmowanych działań naprawczych i korygujących (na podstawie np. ewidencji,

raportów i sprawozdań z kontroli wewnętrznej w zakresie badanego obszaru oraz ustaleń

własnych);

12) ocenić adekwatność i efektywność działań komórki ds. ryzyka braku zgodności oraz

skuteczność podejmowanych działań naprawczych i korygujących (na podstawie np.

okresowych sprawozdań sporządzanych przez komórkę oraz ustaleń własnych);

13) ocenić realizację wydanych zaleceń po ostatniej przeprowadzonej kontroli wewnętrznej

instytucjonalnej (dotyczy kontroli obejmujących dane zagadnienie po raz kolejny);

14) wskazać niezbędne zmiany i usprawnienia konieczne do wprowadzenia w zakresie zarządzania

i nadzoru nad badanym obszarem;

15) ocenić przestrzeganie przyjętych w Banku zasad dotyczących polityki informacyjnej – należy

uwzględnić m.in. zapisy Uchwały nr 385/2008 Komisji Nadzoru Finansowego z dnia 17

grudnia 2008 roku w sprawie szczegółowych zasad i sposobu ogłaszania przez banki informacji

o charakterze jakościowym i ilościowym dotyczących adekwatności kapitałowej oraz zakresu

informacji podlegających ogłaszaniu;

16) ocenić przestrzeganie przepisów prawa dotyczących czynności zlecanych przez Bank do

wykonania podmiotom zewnętrznym (outsourcing).

§19

Wymienione w § 18 w punktach od 1 do 15 zagadnienia wymagają uwzględnienia w przypadku

kompleksowej kontroli danego obszaru (ryzyka kredytowego, ryzyka koncentracji zaangażowań,

operacyjnego, stopy procentowej, płynności, walutowego, obszaru wyniku finansowego i

adekwatności kapitałowej) niemniej jednak poszczególne wymienione zagadnienia mogą być

odrębnymi tematami kontroli - wówczas konieczna będzie kompleksowa ocena badanych

zagadnień w skali całego Banku (a nie jedynie wybranego obszaru).

Rozdział 3. Raport pokontrolny – wymagania formalne

§ 20

Elementy, jakie zawierać powinien raport pokontrolny wymienione zostały w Regulaminie kontroli

wewnętrznej.

§ 21

Wskazane jest, aby strona kontrolowana poinformowana została o wszystkich stwierdzonych

naruszeniach regulacji zewnętrznych oraz naruszeniach regulacji wewnętrznych jeszcze w toku

kontroli; ułatwi to przygotowanie stronie kontrolowanej ewentualnych wyjaśnień.

§ 22

1. Brak w raporcie konkretnej oceny dotyczącej danej nieprawidłowości możliwy jest jedynie w

sytuacji, kiedy rozwiązanie problemu wymaga uzyskania opinii prawnej lub eksperckiej.

44

2. O zaistnieniu sytuacji, o której mowa w ust. 1 strona kontrolowana powinna zostać

poinformowana w czasie kontroli a audytor wewnętrzny informuje o tym Zarząd.

§ 23

1. Wskazując w raporcie naruszenia regulacji wewnętrznych w badanych obszarach należy

koncentrować się na regulacjach obowiązujących na datę kontroli.

2. Do nieobowiązujących już regulacji należy odnieść się w przypadku, gdy ich nieprawidłowe

zapisy znacząco wpłynęły na stwierdzoną w toku kontroli ilość i wagę naruszeń.

3. Jeżeli w toku kontroli stwierdzono naruszenia regulacji obowiązujących w okresie

kontrolowanym lecz zastąpionych na datę kontroli (lub też po dacie kontroli, ale jednocześnie

przed dniem zakończenia czynności kontrolnych) nowymi regulacjami, wówczas należy

wskazać je, oceniając jednocześnie, czy nowo wprowadzone regulacje niwelują

nieprawidłowości w zapisach.

§ 24

Na życzenie Zarządu lub Rady Nadzorczej Banku audytor wewnętrzny zobowiązany jest do

omówienia i bliższego wyjaśnienia ustaleń zawartych w raporcie pokontrolnym.

Rozdział V. Zalecenia pokontrolne

§ 25

1. Zalecenia pokontrolne wydaje Prezes Zarządu Banku.

2. Podstawą do sformułowania treści zaleceń są ustalenia zawarte w raporcie pokontrolnym i

propozycja zaleceń pokontrolnych przygotowana przez audytora wewnętrznego.

45


Arkusz oceny skuteczności i adekwatności systemu kontroli wewnętrznej

L.p. Cel kontroli mierniki wymagany poziom

miernika

zrealizowany

poziom miernika

oczekiwany stopień

realizacji

Ocena miernika

(zrealizowany 1,

niezrealizowany 0)

1

Zapewnienie skuteczności i

efektywności działania banku

Wynik finansowy 100% poziomu

planowanego

80% poziomu

planowanego

2 C/I Max. 80%

120% poziomu

planowanego

3 ROE 5%

80% poziomu

planowanego

4 ROA 0,1%

80% poziomu

planowanego

5

zapewnienie wiarygodności

sprawozdawczości finansowej

Ilość błędów krytycznych

wykazanych przez Firmę

Audytorską

1

5 błędów

6 Korekta wyniku finansowego o 20%

o 20%

7

Wysokość kar finansowych

nałożonych przez organy

nadzorcze

2% FW

2% FW

8

zapewnienie przestrzegania

zasad zarządzania ryzykiem w

banku

Obligo kredytów

zagrożonych Max.8%

150% poziomu

planowanego

9 Koszty rezerw celowych 100% poziomu

planowanego

150% poziomu

planowanego

10 Wskaźnik LCR Min. 120%

90% poziomu

planowanego

46

11 Koszty zdarzeń ryzyka

operacyjnego

80% utworzonego

wymogu

kapitałowego

100% utworzonego

wymogu

kapitałowego

12

zapewnienie zgodności

działania banku z przepisami

prawa, regulacjami

wewnętrznymi i standardami

rynkowymi

Suma kar finansowych

nałożonych przez instytucje

nadzorcze za błędy w

sprawozdaniach

2% FW

120% limitu

13 Ilość skarg i reklamacji powyżej 20

miesięcznie

powyżej 20

miesięcznie

14 Ilość niezrealizowanych

zaleceń audytu 5

5

15 Ilość niezrealizowanych

zaleceń kontroli KNF 5

5

Suma punktów 0

Sporządził:

Ilość punktów Ocena skuteczności SKW

12 - 15 skuteczna

8 - 11 mało skuteczna

0 – 7 nieskuteczna

REGULAMIN KONTROLI WEWNĘTRZNEJ I AUDYTU W BANKU ... · Protokół (dokument) testowy – dokument...

Documents

Transcript of REGULAMIN KONTROLI WEWNĘTRZNEJ I AUDYTU W BANKU ... · Protokół (dokument) testowy – dokument...