REGULAMIN KONTROLI WEWNĘTRZNEJ I AUDYTU W BANKU ... · Protokół (dokument) testowy – dokument...
Transcript of REGULAMIN KONTROLI WEWNĘTRZNEJ I AUDYTU W BANKU ... · Protokół (dokument) testowy – dokument...
1
Załącznik do Uchwały nr 20/2019
Zarządu Banku Spółdzielczego w Mrągowie
z dnia 18 kwietnia 2017 roku
Załącznik do Uchwały nr 07/2019
Rady Nadzorczej Banku Spółdzielczego w Mrągowie
z dnia 26 kwietnia 2019 roku
REGULAMIN
KONTROLI WEWNĘTRZNEJ I AUDYTU
W BANKU SPÓŁDZIELCZYM
W MRĄGOWIE
Mrągowo, kwiecień 2019
2
Spis treści
1. Postanowienia ogólne ............................................................................................................... 3
2. Istota i podstawowe zasady kontroli wewnętrznej .............................................................. 6
3. Zadania kontroli wewnętrznej .................................................................................................. 8
4. Procedury kontroli wewnętrznej ............................................................................................... 9
5. Zasady przeprowadzania kontroli wewnętrznej ..................................................................... 11
6. Zasady działania audytu wewnętrznego ................................................................................. 13
7. Sprawozdawczość w zakresie kontroli wewnętrznej .............................................................. 17
8. Ocena zewnętrzna audytu wewnętrznego ............................................................................... 17
9. Postanowienia końcowe .......................................................................................................... 18
Załączniki:
1. Wzór matrycy funkcji kontroli,
2. Wzór planu testowania,
3. Wzór rejestru przeprowadzonych testów,
4. Wzór sprawozdania z przeprowadzonych testów,
5. Wytyczne do wyboru próby testowej,
6. Zakres testowania – Zagadnienia i problemy objęte testowaniem,
7. Zagadnienia i problemy objęte audytem wewnętrznym
8. Metodyka audytu wewnętrznego Banku Spółdzielczego w Mrągowie
9. Arkusz oceny skuteczności i adekwatności systemu kontroli wewnętrznej.
3
1. POSTANOWIENIA OGÓLNE
§ 1
Użyte w niniejszym Regulaminie pojęcia i skróty oznaczają:
1. Regulamin – niniejszy Regulamin kontroli wewnętrznej i audytu w Banku Spółdzielczym w
Mrągowie,
2. Bank - Bank Spółdzielczy w Mrągowie,
3. Pracownik – osoba zatrudniona na podstawie umowy o pracę w Banku,
4. Stanowisko uprawnione do kontroli wewnętrznej – pracownicy wyznaczeni przez Zarząd
Banku wykonujący zadania kontroli wewnętrznej,
5. Komórki organizacyjne - wewnętrzne elementy struktury organizacyjnej, zdefiniowane w
Regulaminie organizacyjnym Banku,
6. Komórka monitorująca ryzyko – Komórka ds. analiz i sprawozdawczości,
7. Komórka ds. zgodności- funkcjonujące w Banku Stanowisko ds. zgodności,
8. System kontroli wewnętrznej to powołana przez Bank funkcja kontroli, komórka ds. zgodności
oraz audyt wewnętrzny,
9. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie
wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i
dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i
ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć
cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo.
10. Komórka audytu wewnętrznego – odpowiednia komórka Banku Zrzeszającego,
11. Bank Zrzeszający – Bank Polskiej Spółdzielczości SA w Warszawie.
12. Audytor wewnętrzny – pracownik zatrudniony w odpowiedniej komórce Banku
Zrzeszającego, posiadający odpowiednią wiedzę i kwalifikacje. W przypadku audytu
technicznego bezpieczeństwa środowiska teleinformatycznego i informacji – pracownicy
posiadający odpowiednie certyfikaty w zakresie audytu bezpieczeństwa IT.
13. Audyt zewnętrzny – w szczególności jest to niezależne badanie sprawozdania finansowego
dokonywane przez biegłego rewidenta w celu sprawdzenia, czy jest ono zgodne co do formy i
treści z obowiązującymi jednostkę przepisami prawa, statutem lub umową. Celem tego badania
jest stwierdzenie, czy sprawozdanie finansowe jest prawidłowe oraz rzetelnie i jasno
przedstawia sytuację majątkową i finansową, jak też wynik finansowy oraz czy zostało
sporządzone na podstawie prawidłowo prowadzonych ksiąg rachunkowych. Audytem
zewnętrznym może też być specjalistyczne badanie (np. bezpieczeństwa systemu
informatycznego) wykonane przez niezależny podmiot zewnętrzny.
14. Konflikt interesów - okoliczności mogące doprowadzić do powstania sprzeczności między
interesem Banku, osoby powiązanej z Bankiem i obowiązkiem działania przez Bank w sposób
rzetelny, z uwzględnieniem najlepiej pojętego interesu Klienta i Banku, jak również znane
Bankowi okoliczności mogące doprowadzić do powstania sprzeczności między interesami
kilku Klientów Banku. Konflikt interesów może wystąpić również na skutek powiązań
personalnych.
15. Powiązania personalne – pokrewieństwo w linii prostej (tj. małżonkowie, wstępni, zstępni i
rodzeństwo) wśród pracowników banku oraz członków organów statutowych.
16. Kluczowy mechanizm kontrolny - mechanizm o kluczowym znaczeniu dla osiągnięcia danego
celu ogólnego lub szczegółowego systemu kontroli wewnętrznej w danym procesie, bez
przestrzegania/stosowania, którego może zaistnieć nieakceptowane przez Bank ryzyko, że taki
cel nie zostanie osiągnięty;
17. Matryca funkcji kontroli – opis powiązania celów ogólnych i wyodrębnionych w ich ramach
celów szczegółowych (o ile zostaną wyszczególnione) systemu kontroli wewnętrznej z
4
procesami istotnymi funkcjonującymi w Banku oraz kluczowymi mechanizmami kontrolnymi
i niezależnym monitorowaniem przestrzegania tych mechanizmów kontrolnych;
18. Mechanizm kontrolny - wyróżnione w ramach funkcji kontroli, wszelkie działania lub
rozwiązanie wykonywane i stosowane w ramach trzech linii obrony, w tym zwłaszcza
w ramach pierwszej linii obrony, mające za zadanie zapewnienie osiągania celów ogólnych lub
szczegółowych systemu kontroli wewnętrznej;
19. Monitorowanie pionowe – niezależne monitorowanie przez drugą linię obrony (weryfikacja
bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych w ramach pierwszej linii
obrony;
20. Monitorowanie poziome – niezależne monitorowanie w ramach danej linii obrony
(weryfikacja bieżąca lub testowanie) przestrzegania mechanizmów kontrolnych;
21. Proces – zbiór wszelkich wzajemnie powiązanych ze sobą czynności wykonywanych przez
jednostki, komórki, stanowiska organizacyjne banku oraz jego podmioty zależne, których
realizacja jest niezbędna do uzyskania określonego rezultatu (np. udzielenie kredytu, sprzedaż
wierzytelności, zaksięgowanie transakcji określonego rodzaju, sporządzanie sprawozdania
finansowego). W ramach procesów wykonywane są operacje, transakcje oraz inne czynności
niezbędne do uzyskania określonego rezultatu;
22. Protokół (dokument) testowy – dokument zawierający ustalenia i wnioski po
przeprowadzonym testowaniu wraz z uwzględnieniem kategorii stwierdzonych
nieprawidłowości;
23. Strona kontrolowana – należy przez to rozumieć pracownika Banku kierującego jednostką
kontrolowaną (w przypadku badanych komórek i/lub jednostek organizacyjnych) lub
wykonującego zadania w jednostce kontrolowanej (w przypadku badanych stanowisk pracy);
24. Strona kontrolująca – należy przez to rozumieć pracowników Banku przeprowadzających
kontrolę wewnętrzną;
25. Testowanie – porównywanie na wybranej próbie testowej stanu faktycznego ze stanem
wymaganym, dokonywane w celu oceny co najmniej przestrzegania mechanizmów
kontrolnych w odniesieniu do zakończonych czynności wykonywanych w ramach procesów
funkcjonujących w Banku. Testowanie, jako element niezależnego monitorowania w ramach
funkcji kontroli, może być monitorowaniem poziomym (testowanie poziome w ramach danej
linii obrony) lub monitorowaniem pionowym (testowanie pionowe pierwszej linii obrony przez
drugą linię obrony);
26. Weryfikacja bieżąca – porównywanie stanu faktycznego ze stanem wymaganym, dokonywane
w celu oceny co najmniej przestrzegania mechanizmów kontrolnych, przed rozpoczęciem lub
w trakcie trwających czynności wykonywanych w ramach procesów funkcjonujących w
banku. Weryfikacja bieżąca, jako element niezależnego monitorowania w ramach funkcji
kontroli, może być monitorowaniem poziomym (weryfikacja bieżąca pozioma w ramach danej
linii obrony) lub monitorowaniem pionowym (weryfikacja bieżąca pionowa pierwszej linii
obrony przez drugą linię obrony).
27. Pierwsza linia obrony (pierwszy poziom zarządzania) – komórki organizacyjne
odpowiedzialne za podejmowanie ryzyka w trakcie działalności operacyjnej.
28. Druga linia obrony (drugi poziom zarządzania) – niezależna ocena ryzyka. Na drugim
poziomie zarządzania występują następujące komórki organizacyjne, uprawnione do
przeprowadzania testowania pionowego to: pracownicy upoważnieni do wykonywania kontroli
wewnętrznej, Komórka ds. zgodności, Komórka ds. analiz i sprawozdawczości, Administrator
Bezpieczeństwa Informacji (ABI), Inspektor Ochrony Danych (IOD).
5
29. Trzecia linia obrony (trzeci poziom zarządzania) – audyt wewnętrzny (odpowiednia komórka
Banku Zrzeszającego).
§ 2
1. W Banku działa system kontroli wewnętrznej, którego celem jest wspomaganie procesów
decyzyjnych, przyczyniających się do zapewnienia:
1) skuteczności i wydajności działania Banku,
2) wiarygodności sprawozdawczości finansowej, nadzorczej oraz informacji zarządczej,
3) przestrzegania zasad zarządzania ryzykiem w Banku,
4) zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami
rynkowymi,
2. Bank wyznacza następujące mierniki realizacji celów kontroli wewnętrznej, o których mowa
w ust.1:
Lp. Cel Mierniki
1 skuteczność i efektywność działania banku Planowany wskaźnik C/I , Planowany wynik finansowy,
Planowane wskaźniki ROE, ROA
2 wiarygodność sprawozdawczości
finansowej
Ilość błędów wskazanych przez biegłego rewidenta na
podstawie badania sprawozdania finansowego, wysokość kar
za braki w zakresie sporządzania sprawozdań i informacji
przewidzianych w przepisach prawa.
3 przestrzeganie zasad zarządzania ryzykiem
w banku
Planowany poziom kredytów zagrożonych, planowane
koszty rezerw celowych, zatwierdzone przez Radę
Nadzorczą limity kosztów ryzyka operacyjnego, planowany
wskaźnik LCR
4 zgodność działania banku z przepisami
prawa, regulacjami wewnętrznymi i
standardami rynkowymi
Wskaźniki KRI obejmujące: Ilość skarg i reklamacji,
wysokość kar nałożonych na bank na skutek nie
przestrzegania przepisów
3. Akceptowalne poziomy mierników realizacji celów kontroli wewnętrznej zdefiniowane w
załączniku do Strategii działania Banku (apetyt na ryzyko), Strategii zarządzania
poszczególnymi rodzajami ryzyka (ryzyko operacyjne), w planie ekonomiczno - finansowym
oraz jako wskaźniki KRI w Instrukcji zarządzania ryzykiem operacyjnym (…).
4. Bank bada poziom skuteczności i adekwatności systemu kontroli wewnętrznej w oparciu o
wymienione w ust. 2 wskaźniki z wykorzystaniem arkusza, którego wzór stanowi załącznik
nr 9 do niniejszego Regulaminu.
§ 3
System kontroli wewnętrznej obejmuje całą działalność Banku. W ramach systemu kontroli
wewnętrznej Bank powołuje:
1. Funkcję kontroli, na którą składają się:
a. Mechanizmy kontroli realizowane w trakcie wykonywania transakcji, czynności itd.
b. Monitorowanie przestrzegania mechanizmów kontroli wewnętrznej (weryfikacja
i testowanie).
2. Stanowisko ds. zgodności, którego zadania rozpisano w Regulaminie działania Komórki ds.
zgodności (…).
3. Audyt wewnętrzny sprawowany przez Bank Zrzeszający.
§ 4
Rodzaje mechanizmów kontroli stosowanych przez Bank:
1. procedury – rozumiane jako zdefiniowany sposób określonego postępowania przez
pracowników poszczególnych jednostek, komórek i stanowisk organizacyjnych,
2. podział obowiązków – rozumiany jako podział zadań i uprawnień przypisanych pracownikom
na poszczególnych stanowiskach organizacyjnych w ramach danego procesu mający na celu
zapobieganie sytuacjom, w których pracownik kontroluje samego siebie lub istnieje potencjalny
konflikt interesów między pracownikami mającymi powiązania personalne
6
3. autoryzacja, w tym zwłaszcza autoryzacja operacji finansowych i gospodarczych – rozumiana
jako system zatwierdzania decyzji i czynności wykonywanych przez pracowników na
poszczególnych stanowiskach organizacyjnych w ramach danego procesu (np. poprzez
wprowadzenie obowiązku autoryzacji w systemie informatycznym w procesie zawierania
transakcji przekraczających określony poziom),
4. kontrola dostępu – rozumiana jako zestaw uprawnień dostępu do określonego obszaru, systemu,
procesu,
5. kontrola fizyczna – rozumiana jako zestaw uprawnień dostępu do określonego, fizycznie
wydzielonego obszaru w banku,
6. proces ewidencji operacji finansowych i gospodarczych w systemach: księgowym,
sprawozdawczym i operacyjnym – rozumiany jako rejestrowanie i przechowywanie
określonych rodzajowo danych wprowadzonych i generowanych w danym systemie,
7. inwentaryzacja – rozumiana jako porównywanie stanu faktycznego ze stanem wymaganym
odnośnie składników majątkowych i źródeł ich pochodzenia,
8. dokumentowanie odstępstw – rozumiane jako wykaz zarejestrowanych wyjątków w ramach
wykonywania określonych czynności wynikających z ustalonych przez bank zasad
postępowania,
9. organizacja szkoleń dla pracowników banku,
10. samokontrola – rozumiana jako weryfikacja prawidłowości własnych działań dokonywana
przez pracownika w toku wykonywania przez niego czynności operacyjnych.
§ 5
1. Za zorganizowanie oraz prawidłowe funkcjonowanie skutecznego systemu kontroli
wewnętrznej odpowiada Zarząd Banku.
2. Rada Nadzorcza Banku sprawuje nadzór nad systemem kontroli wewnętrznej oraz ocenia jego
adekwatność i skuteczność, na podstawie opinii Komitetu Audytu..
3. Bezpośredni nadzór nad systemem kontroli wewnętrznej w tym nad audytem wewnętrznym
sprawuje Prezes Zarządu.
2. ISTOTA I PODSTAWOWE ZASADY KONTROLI WEWNĘTRZNEJ
§ 6
1. Kontrola wewnętrzna w Banku wykonywana jest w sposób niezależny, obiektywny
i odpowiedzialny.
2. Poprzez niezależność kontroli wewnętrznej rozumieć należy warunki działania kontroli
wewnętrznej dające gwarancję, że kontrolujący bez żadnych zewnętrznych nacisków
przeprowadza kontrole według ustalonych metod, dokonuje oceny stosowania mechanizmów
kontrolnych oraz sporządza dokumentację pokontrolną. Niezależność umożliwia bezstronny i
niedwuznaczny osąd działalności poddanej kontroli.
3. Obiektywność kontroli rozumiana jest jako niezależna od czynników pozamerytorycznych
ocena dokonywana przez kontrolujących, co oznacza, że kontrolujący nie mogą być stronniczy
i nie mogą uzależniać swojej opinii w kwestii kontrolowanego tematu od opinii innych.
4. Odpowiedzialność kontroli wewnętrznej oznacza dokonywanie prawidłowej oceny,
adekwatności, skuteczności oraz efektywności i jakości wewnętrznych systemów Banku, co
oznacza prezentowanie w dokumentacji pokontrolnej sprawdzonych zadań, które wymagają
podjęcia działań naprawczych, unikanie niedomówień i nieścisłości.
5. Rada Nadzorcza Banku zapewnia, aby kontrola wewnętrzna i audyt były sprawowane z
zachowaniem zasad zapewniających unikanie konfliktów interesów, w tym z zachowaniem
zasady, że osoby przeprowadzające kontrolę wewnętrzną i audyt nie powinny być powiązane
personalnie z osobami kontrolowanymi.
§ 7 Rodzaje kontroli wewnętrznej:
7
1. Kontrola bieżąca – każdy pracownik ma obowiązek stosowania mechanizmów kontroli,
zawartych w wewnętrznych regulacjach Banku. W zakres kontroli bieżącej wchodzi również
weryfikacja bieżąca pozioma i pionowa, której wymogi są określone w procedurach Banku.
1) kontrola wstępna - każdy pracownik ma obowiązek przeprowadzania kontroli
dokumentów które otrzymuje oraz które sporządza (samokontrola), tj. badanie
dokumentów przed wykonaniem czynności, dyspozycji, mająca na celu zapobieganie
przyjęciu oraz wprowadzaniu błędnych danych;
2) kontrola bieżąca - sprawdzanie (obserwacja) przebiegu wykonywanych czynności i
stanu majątku, tzw. „kontrola na drugą rękę”
3) kontrola następna - badanie dokumentów i zapisów ewidencyjno-księgowych
odzwierciedlających czynności dokonane (post factum).
2. Kontrole planowane:
1) audyt wewnętrzny – sprawowany przez odpowiednie komórki Banku Zrzeszającego w
zakresie oceny systemu kontroli wewnętrznej, zarządzania poszczególnymi rodzajami ryzyka
oraz adekwatnością kapitałową.
2) kontrole kierownicze – testowanie poziome stosowania mechanizmów kontrolnych
sprawowane przez przełożonych w stosunku do nadzorowanych pracowników,
3) kontrole problemowe – testowanie stosowania mechanizmów kontrolnych obejmujące
badanie wybranych zagadnień lub przebiegu określonych czynności w jednej lub kilku
komórkach organizacyjnych Banku, przez wyznaczone osoby w Centrali Banku.
Testowanie poziome występuje w przypadku kontrolowania komórek organizacyjnych
przez inne komórki w ramach tej samej linii obrony. Testowanie pionowe występuje w
przypadku gdy komórki pierwszej linii obrony są kontrolowane przez komórki
organizacyjne drugiej linii obrony.
3. Kontrole doraźne – postępowania wyjaśniające podejmowane na polecenie Prezesa Zarządu
lub na wniosek Rady Nadzorczej Banku.
4. W obszarze bezpieczeństwa środowiska teleinformatycznego i informacji Zarząd może podjąć
decyzję o zlecenie audytu Bankowi Zrzeszającemu lub podmiotowi zewnętrznemu, które
zapewnią:
1) odpowiednie kwalifikacje osób przeprowadzających audyt, potwierdzone odpowiednimi
certyfikatami,
2) wykorzystanie uznanych standardów międzynarodowych i dobrych praktyk.
4. Prowadzenie postępowania wyjaśniającego w zakresie zgodności, którego schemat opisuje
obowiązujący w Banku Regulamin działania Komórki ds. zgodności (…).
§ 8
1. Funkcjonujący w Banku system kontroli wewnętrznej jest dostosowany do ogólnego profilu
ryzyka, tj. obejmuje w szczególności obszary obarczone wysokim ryzykiem.
2. Przez obszary obarczone wysokim ryzykiem należy rozumieć te obszary działania jednostek
lub komórek organizacyjnych, gdzie istnieje potencjalne niebezpieczeństwo wystąpienia
nieprawidłowości, które mogą wywoływać niepożądane skutki finansowe lub negatywne
zjawiska godzące w bezpieczeństwo i reputację funkcjonowania Banku.
3. W szczególności do obszarów obarczonych ryzykiem w banku zalicza się działalność
kredytową, obsługę klienta, rozliczenia, działalność kasowo-skarbcową, zarządzanie bankiem.
4. Do ww. obszarów należy zaliczyć również bezpieczeństwo fizyczne i informatyczne oraz
dbałość o wizerunek i dobre imię Banku.
5. Obszary działalności danej komórki organizacyjnej Banku, gdzie stwierdzono w trakcie
przeprowadzania kontroli, zarówno wewnętrznych jak i zewnętrznych szczególnie dużo błędów
i nieprawidłowości zalicza się także do obszarów obarczonych wyższym ryzykiem.
§ 9
1. W ramach systemu kontroli wewnętrznej Bank identyfikuje i ocenia ryzyko bankowe.
8
2. Proces efektywnej oceny ryzyka obejmuje:
1) określenie rodzaju i poziomu ryzyka, na które narażony jest Bank,
2) wyznaczanie limitów poziomu ryzyka oraz kontrola ich przestrzegania,
3) analizę czynników wewnętrznych i zewnętrznych, które mogą niekorzystnie wpłynąć na
poziom ryzyka,
4) określenie możliwości Banku w ograniczaniu skutków zaistniałych zdarzeń
podwyższających poziom ryzyka oraz w zapobieganiu wystąpienia takich zdarzeń
w przyszłości,
5) wskazanie, w jakim zakresie i z jaką częstotliwością Bank powinien kontrolować
określone rodzaje ryzyka,
6) określenie, które elementy ryzyka podlegają ocenie jakościowej, a które ocenie
ilościowej.
§ 10
Do przeprowadzania testowania pionowego mechanizmów kontroli wewnętrznej w Banku
uprawnieni są:
1. Członkowie Zarządu,
2. Komórka kontroli wewnętrznej,
3. Komórka ds. zgodności,
4. Upoważnieni pracownicy wyznaczeni przez Zarząd.
§ 11
1. Zarząd Banku podejmuje decyzje w ramach zarządzania Bankiem uwzględniając rezultaty
badań przeprowadzonych przez Bank zrzeszający w ramach audytu wewnętrznego oraz przez
biegłych rewidentów.
2. Zarząd Banku podejmuje decyzje dotyczące:
a. wyznaczania osób odpowiedzialnych za przeprowadzenie okresowej, co najmniej raz
w roku, weryfikacji funkcjonujących w Banku mechanizmów i procedur kontroli
wewnętrznej;
b. określenia właściwej formy dokumentowania przeprowadzonego przeglądu i oceny
efektywności wewnętrznych mechanizmów kontrolnych oraz wniosków wynikających
z tych przeglądów;
3. Rada Nadzorcza Banku zatwierdza strategię działania Banku oraz zasady ostrożnego
i stabilnego zarządzania Bankiem, w tym Regulamin Kontroli Wewnętrznej i Audytu.
4. Rada Nadzorcza sprawuje nadzór nad systemem kontroli wewnętrznej Banku oraz ocenia
adekwatność i skuteczność tego systemu.
5. Celem systemu kontroli wewnętrznej jest wspomaganie procesów decyzyjnych
przyczyniających się do zapewnienia:
a. skuteczności i efektowności działania Banku;
b. wiarygodności sprawozdawczości finansowej;
c. zgodności działania Banku z przepisami prawa i regulacjami wewnętrznymi oraz
zaleceniami wydanymi przez upoważnione zewnętrzne instytucje kontrolne.
6. Zarząd Banku odpowiada za opracowanie, wprowadzenie oraz aktualizację pisemnych
strategii oraz procedur w zakresie systemu kontroli wewnętrznej .
7. Bank posiada system kontroli wewnętrznej dostosowany do struktury organizacyjnej, który
obejmuje jednostki i komórki organizacyjne Banku.
3. ZADANIA KONTROLI WEWNĘTRZNEJ
§ 12
Testowaniem w ramach kontroli wewnętrznej obejmuje się kluczowe mechanizmy kontroli w
oparciu o:
1. dowody i dokumenty jednostkowe,
9
2. ewidencje i rejestry,
3. wydruki komputerowe, inwentarze i sprawozdawczość,
4. umowy o otwarcie rachunków bankowych wraz z niezbędną dokumentacją,
5. wnioski kredytowe z kompletem dokumentacji,
6. umowy kredytowe i umowy zabezpieczeń,
7. deklaracje członkowskie,
8. dane komputerowe, dotyczące np. terminarzy, stóp procentowych, danych osobowych,
9. umowy, porozumienia i inne dokumenty powodujące powstawanie należności i zobowiązań w
celu zapobiegania niepożądanym działaniom.
§ 13
1. Testowanie obejmuje w szczególności działania zmierzające do porównywania stanów
faktycznych ze stanami postulowanymi lub pożądanymi, wyznaczonymi przez obowiązujące
regulacje wewnętrzne Banku (strategie, plany, polityki, procedury).
2. Zakres mechanizmów kontrolnych objętych testowania jest określony w wewnętrznych
instrukcjach oraz ujęty w matrycy funkcji kontroli.
3. Szczegółowy zakres przeprowadzanych testów zawiera załącznik nr 6 do niniejszego
Regulaminu.
4. Kontrola wewnętrzna ocenia każdą kontrolowaną czynność z punktu widzenia:
1) sprawności organizacji,
2) ryzyka,
3) celowości działań,
4) efektywności,
5) rzetelności,
6) legalności.
5. Badania w ramach audytu wewnętrznego przeprowadzane są w oparciu o regulacje Banku
Zrzeszającego, z którym Bank ma zawartą umowę. Zakres audytu określa załącznik nr 2 do
niniejszego Regulaminu.
6. Ocena ryzyka braku zgodności przebiega na podstawie obowiązującego w Banku Regulaminu
działania komórki ds. braku zgodności
§ 14
1. Czynności kontrolne wykonywane w trakcie weryfikacji są realizowane we wszystkich etapach
sporządzania, obiegu i rejestracji dokumentów bankowych (przed lub w trakcie wykonywania
czynności) i mają na celu:
1) stałą analizę przebiegu i rezultatów pracy,
2) bieżące oddziaływanie i reagowanie na nieprawidłowości i uchybienia,
3) bieżące korygowanie błędów i pomyłek.
2. Czynności i badania kontrolne w ramach testowania obejmują m.in. okresowe:
1) przeglądy, analizy i oceny sporządzane dla Zarządu Banku i Rady Nadzorczej,
2) sprawdzanie przestrzegania procedur i instrukcji wewnętrznych przez poszczególne
komórki organizacyjne Banku,
3) badanie ograniczenia dostępu do aktywów trwałych,
4) sprawdzanie przestrzegania ustalonych limitów,
5) weryfikowanie systemu zatwierdzania i autoryzacji,
6) analizowanie systemu weryfikacji i uzgadniania,
7) badanie, czy występuje rozdzielenie sprzecznych ze sobą funkcji i obowiązków.
4. PROCEDURY KONTROLI WEWNĘTRZNEJ
§ 15
Procedury kontroli to analiza, ocena, przegląd, porównanie, wyciąganie wniosków i określenie
stanu faktycznego badanych obszarów działalności Banku.
10
1. Każde stanowisko w Banku podlega testowaniu stosowania kluczowych mechanizmów kontroli
co najmniej raz w roku z uwzględnieniem zapisów ustępu 2.
2. Stanowiska związane z obsługą kasowo-skarbcową podlegają testowaniu co najmniej raz w
kwartale.
§ 16
Testowanie jest prowadzone w zamkniętych cyklach procesu kontrolnego, na który składają się
następujące fazy:
1) planowanie testowania,
2) przygotowanie testowania,
3) przeprowadzenie testów,
4) postępowanie po zakończeniu testów.
§ 17
Procedura testowania stosowania mechanizmów kontroli wewnętrznej przebiega według
następującego schematu:
1. Gromadzenie informacji o kontrolowanym obszarze działalności.
2. Badanie wybranych do testowania prób kontrolnych.
3. Doradztwo i instruktaż.
4. Sporządzanie protokołu z przeprowadzonych testów.
5. Przedstawienie wyników testów.
6. Kontrola wykonania zaleceń z poprzedniej kontroli.
§ 18
1. Dobór próbki kredytów, które zostaną objęte badaniem powinien uwzględniać:
1) kredyty udzielone osobom wewnętrznym i podmiotom powiązanym z nimi kapitałowo i
organizacyjnie,
2) kredyty w sytuacji zagrożonej i windykacja,
3) największe kredyty z poszczególnych produktów kredytowych,
4) kredyty detaliczne (zgodnie z Rekomendacją „T”),
5) kredyty zabezpieczone hipotecznie,
6) kredyty wykazujące opóźnienia w spłacie,
7) kredyty restrukturyzowane,
2.Wybrana próba może być kombinacją wyżej opisanych kryteriów.
3. Wielkość zakresu badań winna być każdorazowo określona w szczegółowym planie kontroli.
4. Dodatkowe kryteria doboru próby kredytowej do badania:
1) Kwota należności
2) Przebieg spłat
3) Inne informacje
5. Kryteria doboru próby do badania spraw członkowskich – należy wybrać próbę 10-20 deklaracji
członkowskich z badanego okresu, wybór winien dotyczyć zarówno nowych członków jak i tych,
w odniesieniu do których podjęto decyzje w sprawie wykreślenia z listy członków.
§ 19
W testowaniu stosowania mechanizmów kontroli wewnętrznej stosuje się następujące techniki:
1) analizę dokumentu tj. badanie z punktu widzenia formalnego oraz merytorycznego,
2) obserwację tj. celowe i systematyczne postrzeganie badanej czynności, operacji, procesu lub
zjawiska,
3) wywiad tj. rozmowę prowadzoną z kontrolowanym,
4) przyjęcie wyjaśnień tj. zebranie informacji, których zadaniem jest naświetlenie przyczyn
i okoliczności powstania ujawnionych w toku kontroli uchybień i nieprawidłowości.
11
5) przyjęcie oświadczeń tj. otrzymanie informacji dotyczących przeważnie faktów i zjawisk
dotychczas nie znanych stronie kontrolującej, mających na celu zabezpieczenie interesu
własnego strony kontrolowanej, interesu ogólnego lub obciążenie określonych osób.
6) inwentaryzację kontrolną, oględziny, dokonanie zdjęć fotograficznych itp. tj. komisyjne
dostarczenie dowodów opartych o stany faktyczne, stwierdzone w czasie badania.
§ 20
Metody i techniki testowania dobiera się w zależności od jej specyfiki tak, aby umożliwiały,
w danych warunkach, uzyskanie określonych efektów.
5. ZASADY PRZEPROWADZANIA KONTROLI WEWNĘTRZNEJ
§ 21
Kontrola wewnętrzna polega w szczególności na:
1. Identyfikacji ryzyka, na jakie narażona jest działalność komórki organizacyjnej.
2. Wyborze działań kontrolnych, adekwatnych do poziomu ryzyka.
3. Określeniu stanu rzeczywistego.
4. Określeniu stanu obowiązującego lub najbardziej pożądanego.
5. Ocenie występujących rozbieżności między stanem rzeczywistym a stanem obowiązującym lub
pożądanym.
6. Ustaleniu przyczyn, które spowodowały wystąpienie rozbieżności.
7. Wskazaniu działań zmierzających do osiągnięcia stanu obowiązującego lub pożądanego.
8. Sprawowaniu nadzoru nad realizacją działań, podjętych w celu usprawnienia kontrolowanych
obszarów.
§ 22
Podstawowym celem funkcji kontroli wewnętrznej jest zapewnienie zgodności wykonywanych
czynności z przepisami prawa, strategią, planem, regulaminami, procedurami, limitami itp. oraz
bieżące reagowanie na uchybienia.
§ 23
Weryfikacja stosowania mechanizmów kontroli wewnętrznej sprawowana jest jako ciągła analiza
przebiegu i rezultatów pracy poszczególnych pracowników poprzez codzienne kontrolowanie
wszystkich czynności, w celu zapewnienia ich zgodności z procedurami i mechanizmami kontroli.
Stanowi ona równocześnie podstawę weryfikacji poprawności procedur i sprawności działania
mechanizmów kontrolnych na wszystkich szczeblach organizacyjnych.
§ 24
Funkcja kontroli wewnętrznej swym zakresem obejmuje w szczególności:
1. Sprawdzanie przestrzegania przepisów prawa oraz wewnętrznych regulacji i procedur, a
także wyznaczonych limitów.
2. Sprawdzanie dokładności i prawidłowości danych księgowych.
3. Sprawdzanie bezpieczeństwa operacji i fizycznych zabezpieczeń dostępu.
4. Sprawdzanie przestrzegania uprawnień i autoryzacji.
5. Sprawdzanie zgodności działań na poszczególnych stanowiskach z zakresem czynności i
odpowiedzialności.
6. Badanie, czy występuje rozdzielenie sprzecznych ze sobą funkcji i obowiązków, ze
szczególnym uwzględnieniem niezależności funkcji pomiaru, monitorowania i kontroli
ryzyka od działalności operacyjnej, która to ryzyko generuje.
§ 25
1. Efektywność funkcjonowania systemu kontroli wewnętrznej wymaga pełnego wykorzystania
istniejących w Banku przepływów informacji.
2. Wszyscy pracownicy, którym przypisano sprawowanie funkcji kontrolnych, w tym zwłaszcza
osoby zajmujące stanowiska kierownicze, zobowiązani są do bieżącego wykorzystywania
12
informacji kontrolnych i natychmiastowego podejmowania środków zaradczych w przypadku
stwierdzenia nieprawidłowości w działaniu bądź przekazywania wniosków w tych sprawach do
swoich zwierzchników.
§ 26
W przypadku ujawnienia nieprawidłowości w wyniku przeprowadzenia kontroli, osoba
kontrolująca zobowiązana jest w ramach kompetencji, podjąć niezbędne środki zmierzające do
usunięcia stwierdzonych nieprawidłowości lub – gdy nie leży to w jej kompetencjach –
zawiadomić niezwłocznie o faktach bezpośredniego przełożonego, który podejmie takie środki.
§ 27 1. Kontrola dokumentów przeprowadzona jest pod względem:
1) merytorycznym, polegającym na stwierdzaniu prawidłowości i zgodności treści dokumentów
z rzeczywistością, przez co rozumieć należy, że operacje odzwierciedlane w dokumentach
dokonywane są z zachowaniem zasad celowości, legalności, rzetelności i gospodarności,
2) formalnym, polegającym na stwierdzeniu, że badane dokumenty posiadają wszystkie typowe
dla nich elementy, a w szczególności że:
a. wystawione zostały w sposób prawidłowy,
b. podpisane zostały przez osoby do tego upoważnione,
c. zawierają inne cechy wymagane obowiązującymi przepisami,
3) rachunkowym, polegającym na ustaleniu prawidłowości zawartych w nich działań
arytmetycznych.
§ 28
1. Testowanie stosowania mechanizmów kontroli wewnętrznej wykonywane jest w sposób
planowy, tj. na podstawie zatwierdzonych planów testowania.
2. Plany testowania stosowania mechanizmów kontrolnych są sporządzane w oparciu o matrycę
funkcji kontroli wewnętrznej, której wzór stanowi załącznik nr 1 do niniejszego Regulaminu
według schematu:
1) opracowanie, następnie weryfikacja wzoru matrycy funkcji kontroli Komórkę ds.
zgodności,
2) uzupełnienie matrycy o mechanizmy kontroli zawarte w procedurach opisujących procesy –
komórki odpowiedzialne: właściciele procesów (właściciele procedur).
3) Przypisanie celów do mechanizmów kontroli,
4) Określenie zasad weryfikacji i testowania stosowania mechanizmów kontroli wewnętrznej.
5) Przygotowanie projektów planów testowania przez osoby upoważnione do przeprowadzania
kontroli na podstawie analizy mechanizmów kontroli,
6) Weryfikacja planów kontroli wewnętrznej przekazanych przez osoby wyznaczone do
przeprowadzania kontroli,
7) Opracowanie kompleksowego planu testowania dla Banku.
3. Przegląd mechanizmów kontroli dokonywany jest przez właścicieli procesów (właścicieli
regulacji) do końca każdego roku.
4. Propozycje Planów testowania przygotowane na podstawie weryfikacji mechanizmów kontroli
wewnętrznej są przygotowywane przez upoważnionych pracowników i przesyłane do Komórki
ds. zgodności / Prezesa Zarządu w terminie do 15 stycznia każdego roku.
5. W szczególnych przypadkach, wynikających z pilnych i specyficznych potrzeb, testowanie
może być wykonywana jako kontrola doraźna (nieplanowana). Kontrola doraźna jest
przeprowadzana na zlecenie Prezesa Zarządu lub Rady Nadzorczej.
6. Szczegółowy plan testowania określa:
1) temat i cel przeprowadzenia testu;
2) przewidywany termin przeprowadzenia testu,
3) Zakres testowania,
4) Procedury i metody przeprowadzania testów,
13
7. Wzór rocznego planu kontroli wewnętrznych zawiera załącznik nr 2 do niniejszego
Regulaminu.
8. Roczny plan testowania zatwierdza Zarząd Banku.
9. Zarząd w cyklach półrocznych otrzymuje sprawozdanie z realizacji planu testowania, na
podstawie którego dokonuje oceny funkcjonowania kontroli wewnętrznej w Banku.
§ 29
1. Dla udokumentowania kontroli w Banku prowadzona jest ewidencja przeprowadzonych
testów.
2. Ewidencja testów powinna zawierać następujące dane:
1) przedmiot i zakres testów,
2) datę przeprowadzenia testu,
3) stwierdzone błędy i uchybienia oraz w miarę możliwości przyczyny ich powstania,
4) wyznaczony termin usunięcia stwierdzonych błędów i uchybień,
5) nazwisko i podpis pracownika przeprowadzającego testy,
6) nazwisko i podpis pracownika /ów kontrolowanego /nych.
3. Ewidencja przechowywana jest przez osoby uprawnione do przeprowadzania testów. Wzór
ewidencji przeprowadzonych testów zawiera załącznik nr 3 do niniejszego Regulaminu.
4. Osoby uprawnione do przeprowadzania testów mogą sporządzać protokoły z
przeprowadzonych testów, które winny być podpisane przez kontrolowanego i
kontrolującego.
5. W przypadku stwierdzenia nieprawidłowości i uchybień, których nie można było usunąć w
sposób natychmiastowy, kontrolujący wydaje kontrolowanemu zalecenia, określa termin ich
wykonania, a po upływie wyznaczonego terminu kontrolujący sprawdza, czy zalecenia zostały
wykonane i odnotowuje ten fakt w ewidencji.
6. W przypadku stwierdzenia w trakcie kontroli czynów noszących znamiona przestępstwa lub
nadużycia, kontrolujący podejmuje następujące działania:
1) bezzwłocznie zawiadamia o stwierdzonym fakcie Prezesa Zarządu;
2) dokonuje zabezpieczenia dokumentów i przedmiotów stanowiących dowód tego czynu,
z czego sporządza protokół.
7. Decyzje o sposobie dalszego postępowania w związku z zaistniałą sytuacją podejmuje Zarząd.
8. Sporządzane karty do testowania w formie elektronicznej są przekazywane do Stanowiska ds.
zgodności.
9. Karty w formie papierowej są przechowywane przez osoby przeprowadzające testy.
6. ZASADY DZIAŁANIA AUDYTU WEWNĘTRZNEGO
§ 30
Podstawowe zadania audytu wewnętrznego to:
1. Ocena prawidłowości mechanizmów kontroli wewnętrznej,
2. Ocena skuteczności zarządzania ryzykiem w Banku,
3. Ocena dostosowania procesu oceny i szacowania adekwatności kapitałowej (ICAAP) do profilu,
skali oraz złożoności ryzyka Banku.
§ 31
1. Audyt wewnętrzny w Banku wykonywany jest przez odpowiednie komórki Banku
Zrzeszającego.
2. Zadaniem komórki audytu wewnętrznego jest informowanie kierownictwa Banku i jego
właścicieli o:
1) wiarygodności bankowych procedur wewnętrznych.
2) prawidłowości, adekwatności i efektywności wykorzystywanych procedur.
3) terminowości informacji otrzymywanych i emitowanych przez systemy informatyczne.
4) kompletności i poprawność systemu informacji zarządczej.
14
5) poprawności przepływu informacji pomiędzy komórkami organizacyjnymi Banku.
3. Audyt wewnętrzny jest wykonywany zgodnie z metodyką audytu wewnętrznego stanowiącą
załącznik nr 8 do niniejszego Regulaminu.
4. Pracownicy Banku Zrzeszającego przeprowadzający audyt wewnętrzny w Banku mają
zapewniony bezpośredni dostęp do Zarządu i do Rady Nadzorczej Banku.
§ 32
Zarząd Banku zapewnia profesjonalny poziom wykonywania kontroli poprzez zlecenie zadań
związanych z audytem odpowiednim komórkom Banku Zrzeszającego.
§ 33
1. Audytowi wewnętrznemu podlegają wszystkie komórki organizacyjne Banku oraz wszystkie
czynności i operacje bankowe.
2. Każdy pracownik Banku jest zobowiązany w razie przeprowadzania kontroli do pełnej
współpracy z audytorem.
3. Wyznaczony pracownik badanej komórki jest zobowiązany do zapewnienia audytorowi
odpowiednich warunków pracy i obecności kluczowych pracowników danej komórki na czas
trwania kontroli.
§ 34
Do obowiązków audytu wewnętrznego należy przede wszystkim:
1. Identyfikacja tzw. słabych punktów i wskazania potencjalnych zagrożeń.
2. Rzetelne i obiektywne wykonywanie czynności audytu wewnętrznego.
3. Sporządzanie dokumentacji kontrolnej i pokontrolnej.
4. Udzielanie kontrolowanym wyjaśnień odnoszących się do przedmiotu kontroli.
5. Przestrzeganie tajemnicy służbowej w sprawach będących przedmiotem kontroli.
6. Przestrzeganie zasad etycznych.
§ 35
Plan audytu wewnętrznego sporządza się w okresach trzyletnich oraz aktualizuje się w cyklach
rocznych zgodnie z zasadą, że wszystkie istotne obszary działania Banku, w tym ryzyka istotne
określone na podstawie przeglądu zarządczego procedury szacowania wymogów wewnętrznych są
objęte audytem nie rzadziej niż raz na 24 miesiące, z wyjątkiem audytu rozwiązań
technologicznych w obszarze bezpieczeństwa środowiska teleinformatycznego i informacji, który
odbywa się raz na 5 lat.
Plan audytu sporządza się:
1.według następującej metodyki wyznaczania obszarów (ryzyk) objętych audytem w
poszczególnych latach:
1) Bank uzależnia częstotliwość audytu ryzyk od wysokości funduszy alokowanych na dany
rodzaj ryzyka.
2) Bank co roku na etapie weryfikacji / opracowania wieloletniego planu audytu bada
wysokość wewnętrznych wymogów kapitałowych utworzonych na poszczególne rodzaje
ryzyka.
3) Im wyższy poziom wewnętrznych wymogów kapitałowych utworzonych z tytułu danego
ryzyka – tym większa częstotliwość audytu.
4) Częstotliwość audytu procesu oceny szacowania wymogów kapitałowych ocenia się na
podstawie wewnętrznego współczynnika wypłacalności: jeżeli wewnętrzny współczynnik
kapitałowy spadnie poniżej 13,50% - Bank co roku poddaje audytowi proces oceny
adekwatności kapitałowej.
5) Obszar Zarządzania, w tym ryzyko wyniku finansowego jest poddawany audytowi w
cyklach dwuletnich, a w przypadku oceny BION z ww. obszarów na poziomie powyżej 3 -
raz w roku.
2. według schematu:
15
1) Strategiczny (długoterminowy) i operacyjny (roczny) plan badań audytowych oraz ich zmiany,
powinny być przekazywane do opiniowania Zarządowi Banku oraz przedstawiane do
zatwierdzenia Radzie Nadzorczej.
2) Członkowie Zarządu mogą występować do Zarządu Banku z wnioskiem o przeprowadzenie
audytu wewnętrznego. Wystąpienia takie są podstawą zlecenia przez Zarząd przeprowadzenia
kontroli doraźnej
3) Zatwierdzony przez Radę Nadzorczą Banku plan kontroli i audytu do czasu jego realizacji nie
może być ujawniony.
§ 36
1. Zatwierdzony przez Radę Nadzorczą Banku plan kontroli jest podstawowym dokumentem, na
podstawie którego przeprowadzane są kontrole w komórkach organizacyjnych Banku przez
komórkę audytu wewnętrznego.
2. Na podstawie wyników audytu wewnętrznego Prezes Zarządu Banku wydaje zalecenia
pokontrolne, skierowanie do pracowników właściwych komórek organizacyjnych.
§ 37
1. Przed rozpoczęciem audytu odpowiednia komórka Banku Zrzeszającego zawiadamia Zarząd
Banku o planowanym terminie kontroli.
2. Kontrola odbywa się na dwóch uzależnionych od siebie i wzajemnie uzupełniających zasadach:
1) badanie dokumentów i operacji,
2) przeprowadzenie wywiadów informacyjnych z kierownictwem i pracownikami Banku
łącznie z uzyskaniem wyjaśnień w celu dołączenia do protokołu.
3. Kontrola jest przeprowadzana w sposób zapewniający jak najmniejsze zakłócenie w bieżącym
funkcjonowaniu Banku.
4. Kontrolujący dokonuje ustaleń na podstawie dowodów, do których zalicza się w szczególności
dokumenty i dowody rzeczowe, dane z ewidencji i sprawozdawczości, protokoły, oględziny, jak
również pisemne wyjaśnienia i oświadczenia.
5. Wszystkie punkty, które kontrolujący ma zamiar przedstawić w protokole pokontrolnym muszą
być omówione z komórką badaną i jej odpowiedzi zanotowane jako integralna część dokumentu
pokontrolnego (nie może być żadnych wątpliwości wokół faktów ustalonych przez
kontrolującego i zapisanych w protokole).
6. Przy oględzinach magazynu, archiwum, kontroli kasy i skarbca oraz podobnych czynnościach
jest niezbędna obecność osoby materialnie odpowiedzialnej, a w razie jej nieobecności - komisji
powołanej przez kierownika komórki kontrolowanej.
Z przebiegu tych czynności sporządza się odrębny protokół, który podpisują audytor oraz
wymienione wyżej osoby.
§ 38
1. W przypadku uzasadnionego podejrzenia lub ujawnienia przestępstwa w trakcie kontroli, audyt
wewnętrzny zobowiązany jest bezzwłocznie powiadomić Prezesa Zarządu.
2. Zawiadomienie o podejrzeniu popełnieniu przestępstwa organom ścigania składa Zarząd Banku.
§ 39
1. W trakcie kontroli przeprowadzanych w Banku przez zewnętrzne organa kontroli, wyznaczeni
pracownicy są obowiązani:
1) udostępnić kontrolującym (legitymującym się odpowiednim upoważnieniem) niezbędne
dokumenty i udzielać wyjaśnień w kontrolowanym przedmiocie,
2) powiadomić Prezesa Zarządu o rozpoczęciu kontroli,
3) sporządzić zestawienie materiałów niezbędnych do przeprowadzenia kontroli
przekazanych kontrolerom zewnętrznym,
16
4) żądać od kontrolujących sporządzenia zbiorczego zestawienia materiałów i dokumentów
bankowych (w tym kopiowanych) zabieranych poza jednostkę organizacyjną Banku po
zakończeniu działań kontrolnych,
5) po zakończeniu kontroli przekazać niezwłocznie materiały pokontrolne, podpisany
protokół bądź inny dokument Prezesowi Zarządu,
6) w wyznaczonym terminie zawiadomić Prezesa Zarządu, wydającego zalecenia o
wykonaniu lub przyczynach niewykonania zaleceń bądź wniosków pokontrolnych wraz z
kserokopią Zaleceń pokontrolnych i kopią sprawozdania z ich realizacji.
2. Fakt odbycia kontroli przez zewnętrzne organa kontrolne jest odnotowywany w rejestrze
kontroli zewnętrznych.
§ 40
1. Kontrola powinna być zakończona sporządzeniem protokołu pokontrolnego.
2. Protokół pokontrolny zawiera następujące elementy:
1) datę sporządzenia protokołu,
2) datę (termin) rozpoczęcia i zakończenia kontroli ze wskazaniem ewentualnych przerw,
3) miejsce przeprowadzenia kontroli,
4) opis wykonania zaleceń i skutków podjętych po ostatniej kontroli,
5) cel, zakres oraz przyjęte metody kontroli,
6) opis stanu faktycznego i spis dokumentów będących podstawą oceny, a także adnotacje o
sporządzonych odpisach, wyciągach i zabezpieczonych dowodach,
7) stwierdzone nieprawidłowości i ich wpływ na funkcjonowanie Banku, a w szczególności
na jego wynik finansowy i kapitał własny,
8) wskazanie przepisów, które zostały naruszone,
9) wnioski i sugestie pokontrolne, a także wskazanie sposobów i metod naprawczych.
10) wyszczególnienie załączników,
11) ewentualne zastrzeżenia dostępności protokołu pokontrolnego (np. czy służy tylko do
użytku wewnętrznego).
3. Protokół podpisują kontrolujący i Prezes Zarządu, bądź wyznaczony pracownik kontrolowanej
komórki.
4. Od wskazań zawartych w Protokole Bankowi przysługuje prawo wniesienia pisemnych uwag w
terminie określonym w Protokole.
5. Decyzje o sposobie wykorzystania wyników kontroli i proponowanych wniosków i zaleceń
opracowanych przez kontrolującego podejmuje Zarząd.
6. Na podstawie wyników kontroli Prezes Zarządu Banku wydaje Zalecenia pokontrolne,
skierowane do pracowników właściwych komórek organizacyjnych.
7. Kontrolowana komórka organizacyjna otrzymująca zalecenia pokontrolne, ponosi pełną
odpowiedzialność za ich realizację i jest zobowiązana do przekazania Prezesowi Zarządu, w
ustalonym przez Prezesa terminie w formie pisemnej informacji o wykonaniu lub przyczynach
braku wykonania zaleceń.
8. Zarząd w cyklach półrocznych przedstawia Radzie Nadzorczej sprawozdanie z realizacji audytu
wewnętrznego, zawierające takie elementy jak:
a. wykaz przeprowadzonych kontroli w ramach audytu wewnętrznego,
b. wykazane nieprawidłowości,
c. wydane zalecenia,
d. stopień realizacji zaleceń audytu wewnętrznego,
e. ocena audytu wewnętrznego.
§ 41
Sprawozdanie z audytu wewnętrznego przekazywane jest Radzie Nadzorczej w terminie
określonym w Instrukcji sporządzania informacji zarządczej.
17
7. SPRAWOZDAWCZOŚĆ W ZAKRESIE KONTROLI WEWNĘTRZNEJ
§ 42
1. Stanowisko ds. zgodności w okresach półrocznych sporządza sprawozdanie z
przeprowadzonych testów.
2. Sprawozdania z testów zawierają informacje m.in. o:
1) liczbie planowanych i wykonanych testów,
2) stwierdzonych uchybieniach i nieprawidłowościach (na podstawie analizy przyczyn
i powodów zaistnienia różnic między stanem faktycznym a obowiązującym, ich skutków
i sposobu korygowania),
3) wnioskach i zaleceniach wynikających z ustaleń kontroli,
4) dacie wydania oraz stopniu realizacji zaleceń,
5) przyczynach niepełnego wykonania planu testowania (jeżeli taka sytuacja miała
miejsce).
3. Sprawozdanie przedkładane jest Prezesowi Zarządu Banku w terminie do 10 dni roboczych
po zakończeniu półrocza.
4. Wzór sprawozdania z przeprowadzonych testów stanowi załącznik nr 4 do niniejszego
Regulaminu.
§ 43
1. Wyniki kontroli wewnętrznej i audytu wewnętrznego są przedmiotem analizy i oceny Zarządu i
Rady Nadzorczej Banku.
2. Wnioski wynikające z analiz i ocen wyników kontroli wewnętrznej Zarząd Banku uwzględnia
w bieżącej działalności.
§ 44
W oparciu o sprawozdania kontroli wewnętrznej oraz w oparciu o raport opracowany przez Prezesa
Zarządu lub osobę przez niego wyznaczoną Zarząd przeprowadza weryfikację systemu kontroli
wewnętrznej, tj. mechanizmów i procedur kontroli wewnętrznej pod kątem:
1. Skuteczności i adekwatności systemu kontroli wewnętrznej,
2. Zgodności ze strukturą organizacyjną Banku (system zależności służbowych, kontrola
kierownicza),
3. Dostosowania procedur bankowych do zmian przepisów zewnętrznych,
4. Funkcjonowania systemów informatycznych,
5. Obszarów ryzyka objętych systemem kontroli wewnętrznej,
6. Realizacji zaleceń pokontrolnych,
7. Zgodności niniejszego Regulaminu z przepisami zewnętrznymi.
§ 45
Weryfikacja, uwzględniająca ocenę skuteczności i adekwatności systemu kontroli wewnętrznej
przeprowadzana jest raz w roku do końca grudnia każdego roku, a jej wyniki w formie pisemnej
wraz z propozycją zmian są prezentowane Radzie Nadzorczej Banku oraz Komitetowi Audytu.
8. OCENA ZEWNĘTRZNA AUDYTU WEWNĘTRZNEGO
§ 46
1. Działanie komórki audytu wewnętrznego podlega okresowej ocenie zewnętrznej, nie rzadziej
niż co 5 lat.
2. Oceny zewnętrzne przeprowadzane są przez audytora zewnętrznego tj. wykwalifikowaną
niezależną osobę lub zespół spoza Banku.
3. Wyboru osoby/zespołu dokonującego oceny zewnętrznej dokonuje Zarząd.
4. W toku wykonywania oceny zewnętrznej jej wyniki omawiane są z Prezesem Zarządu.
5. Ostateczne wyniki oceny zewnętrznej przekazywane są komórce audytu wewnętrznego oraz
Prezesowi Zarządu.
6. Wyniki oceny zewnętrznej przedstawiane są Zarządowi i Radzie Nadzorczej.
18
9. POSTANOWIENIA KOŃCOWE
§ 47
Niniejszy Regulamin oraz jego zmiany zatwierdza Rada Nadzorcza Banku
§ 48
W sprawach nieuregulowanych przez niniejszy Regulamin stosuje się zapisy zawarte w:
1. Ustawie Prawo bankowe,
2. Rozporządzeniu Ministra Rozwoju i Finansów,
3. Rekomendacji H wydanej przez Komisję Nadzoru Bankowego dotyczącej kontroli wewnętrznej
w banku.
§ 49
Regulamin wchodzi w życie z dniem jego zatwierdzenia przez Radę Nadzorczą.
19
Załącznik nr 1 do Regulaminu kontroli wewnętrznej i audytu
Wzór matrycy funkcji kontroli
częstotliwość
stosowania
mechanizmu
pozioma - opis pionowa - opis Opis częstotliwość osoba odpowiedzialna opis częstotliwość osoba odpowiedzialna
Kluczowy mechanizm
kontrolny
Proces istotny (na
podstawie
Rekomendacji M)
Niezależne monitorowanie
Weryfikacja bieżąca Testowanie poziome Testowanie pionoweCel ogólny systemu
kontroli wewnętrznej
20
Załącznik nr 2 do Regulaminu kontroli wewnętrznej i audytu
Wzór planu testowania
Lp.
Nazwa stanowiska
przeprowadzającego
testowanie
Tematy kontroli
I kwartał II kwartał III kwartał IV kwartał
21
Załącznik nr 3 do Regulaminu kontroli wewnętrznej i audytu
Wzór rejestru przeprowadzonych testów
Lp. Temat kontroli
Termin
przeprowadzenia
kontroli
Kontrola
planowana
(T/N)
Zakres
kontroli Ustalenia
Wydane
zalecenia –
termin realizacji
Strona
kontrolowana
Strona
kontrolująca
22
Załącznik nr 4 do Regulaminu kontroli wewnętrznej i audytu
Wzór sprawozdania z przeprowadzonych testów
..................................................
Jednostka (komórka) organizacyjna Banku
SPRAWOZDANIE Z KONTROLI za ........... miesiąc/kwartał/półrocze/rok ................ r.
Imię, nazwisko i stanowisko służbowe osoby (osób) kontrolujących ………………
Lp. Temat kontroli
Kontrola
planowana
(Tak/Nie)
Najważniejsze
ustalenia kontroli
Wnioski
pokontrolne
Wydane
zalecenia,
data wydania
Realizacja zaleceń
(terminowość
realizacji, stopień
realizacji)
23
Załącznik nr 5 do Regulaminu kontroli wewnętrznej i audytu
Wytyczne do wyboru próby testowej
Postanowienia ogólne
§ 1. Testowanie przeprowadzane jest w odniesieniu do zakończonych czynności wykonywanych w ramach
procesów funkcjonujących w Banku lub poszczególnych etapów tych czynności, o ile z przebiegu
procesu wynika, że dany etap jest zakończony.
§ 2. 1. Przedstawione wytyczne doboru próby przyjętej do testowania obowiązują zarówno do testowania
poziomego jak i pionowego.
2. Próba wybrana do testu uzależniana jest od skali transakcji, operacji, wyliczeń, raportów danego
rodzaju, częstotliwości ich wykonywania oraz wpływu na ryzyko Banku. Określając liczebność próby,
należy mieć na uwadze, by wyniki testowania przeprowadzonego na podstawie tej liczebności dawały
możliwość wyciągania wniosków i ocen o całej populacji.
Dobór próby do testowania
§ 3. 1. Wyznaczając próbę do testowania obowiązkowo należy uwzględnić kryterium częstotliwości
wykonywania operacji/transakcji i zastosować następujące podejście do ustalenia wielkości
(liczebności) próby dla pojedynczego testowania: Częstotliwość
wykonywania
transakcji/ operacji/
raportów/ analiz
Wielkość próby podczas testowania Przykładowe transakcje/operacje
wielokrotnie w ciągu
dnia
5 – przy testach kwartalnych, półrocznych i
rocznych
przeprowadzanie operacji na rachunkach,
akceptacja faktur
codziennie 5 – przy testach kwartalnych, półrocznych i
rocznych
dzienne uzgodnienia gotówki, dzienne raporty
i analizy, dzienne uzgodnienia księgowe,
zawieranie umów o rachunek bankowy,
zawieranie umowy kredytowej, dzienne
monitoringi
miesięcznie 1 – przy testach kwartalnych i półrocznych
2 – przy testach rocznych
miesięczne raporty i analizy
kwartalnie 1 – przy testach kwartalnych i półrocznych
2 – przy testach rocznych
kwartalne raporty i analizy
rocznie/półrocznie 1 roczne/półroczne analizy, przeglądy procedur,
sprawozdania
2. Osoba przeprowadzająca testowanie nie może zmniejszyć próby do testowania, może ją natomiast
zwiększyć, jeżeli w jej ocenie występuje dodatkowe ryzyko dla Banku lub próba może nie być
reprezentatywna.
3. W przypadku braku możliwości określenia częstotliwości występowania zdarzeń ze względu na ich
specyfikę (charakter ciągły, niejednorodny – np. przestrzeganie zasad) należy zbadać dany mechanizm
kontrolny stosując metodę obserwacji bez doboru próby. Tak opisaną obserwację należy opisać w
matrycy funkcji kontroli jako próbę jednoelementową.
§ 4. Dobierając próbę do testowania należy przyjąć transakcje/ operacje/ raporty/ analizy/ zdarzenia od
ostatniego przeprowadzonego danego rodzaju testowania w ramach danej linii obrony.
§ 5. Pracownik komórki organizacyjnej umiejscowionej w II linii obrony odpowiedzialny za
przeprowadzenie testu w I linii obrony, przy wyborze próby kieruje się zasadą, aby uwzględnić w niej
część transakcji/operacji/raportów, które były przedmiotem wcześniejszego testowania poziomego w I
linii obrony. Zasada ta ma na celu sprawdzenie skuteczności testowania poziomego.
24
Załącznik nr 6 do Regulaminu kontroli wewnętrznej i audytu
Zakres testowania – Zagadnienia i problemy objęte testowaniem
Testowanie w zakresie jakości aktywów
Zakres badanych zagadnień
Przestrzeganie ustalonych procedur obowiązujących w zakresie działalności kredytowej. Badanie ich zgodności z
ostrożnościowymi regulacjami zewnętrznymi.
Badanie struktury i jakości portfela kredytowego.
Badanie ekspozycji detalicznych.
Badanie ekspozycji zabezpieczonych hipotecznie.
Badanie poziomu i trendu ekspozycji przeterminowanych.
Badanie struktury i jakości zobowiązań pozabilansowych.
Przestrzeganie przepisów zewnętrznych (UE i krajowych) oraz wewnętrznych regulaminów, instrukcji i procedur
w zakresie np.:
kompletności dokumentacji kredytowej, weryfikacji dokumentów prezentowanych przez klientów.
terminowości rozpatrywania wniosków,
oceny zdolności kredytowej na moment udzielenia kredytu i w całym okresie kredytowania (art.70 Prawa
bankowego),
podejmowania decyzji kredytowych,
adekwatności przyjętych zabezpieczeń oraz poprawność ich wyceny, ze szczególnym uwzględnieniem
zabezpieczeń hipotecznych,
zapisów umów kredytowych (art. 69 Prawa bankowego),
poprawności stosowania stóp procentowych, pobierania opłat i prowizji oraz odpowiedniego uzasadnienia
odstępstw od obowiązujących w banku tabel oprocentowania oraz opłat i prowizji (jeżeli regulacja Banku
przewiduje odstępstwa),
kredytowania osób wewnętrznych (art. 79, 79a Prawa bankowego),
monitorowania sytuacji ekonomiczno-finansowej kredytobiorców,
monitorowania terminowości spłat należności,
klasyfikacji należności do odpowiednich kategorii ryzyka,
poprawności wyceny zabezpieczeń dla potrzeb pomniejszania podstawy tworzenia rezerw celowych,
obsługi kredytów konsorcjalnych,
przestrzegania limitów koncentracji.
przestrzegania kompetencji decyzyjnych.
Przestrzeganie wewnętrznych regulaminów, instrukcji i procedur w zakresie np.:
prowadzenia rejestru wniosków kredytowych,
prowadzenia rejestru umów (kredytowych, pożyczek, gwarancji, poręczeń),
prowadzenia rejestru zabezpieczeń.
Przestrzeganie wewnętrznych regulaminów, instrukcji i procedur w zakresie np.:
terminowości dokonywania rozliczeń kredytów preferencyjnych,
poprawności sporządzania zapotrzebowania na dopłaty do kredytów preferencyjnych.
zgodności umów kredytowych z decyzjami,
stosowania odstępstw od regulacji.
Analiza procesu i efektywności restrukturyzacji i windykacji należności. Umarzanie i spisywanie należności
kredytowych w ciężar pozostałych kosztów operacyjnych.
Pozostałe zagadnienia, np.;
rozliczanie dochodów od wykupionych wierzytelności leasingowych, factoringowych i cesji
wierzytelności,
analiza kredytów spłaconych przed terminem,
zasady wprowadzania nowych produktów,
prawidłowość i terminowość wypełniania obowiązków sprawozdawczych.
Testowanie w zakresie prowadzenia rachunków bankowych:
Zakres badanych zagadnień
Przestrzeganie ustalonych procedur w zakresie prowadzenia rachunków bankowych. Badanie ich zgodności z
ostrożnościowymi regulacjami zewnętrznymi.
Monitorowanie przestrzegania przyjętych w Banku limitów.
25
Przestrzeganie przepisów zewnętrznych oraz wewnętrznych regulaminów, instrukcji i procedur w zakresie np.:
otwierania, prowadzenia i likwidacji rachunków depozytowych,
prawidłowość dokonywania operacji na rachunkach depozytowych.
Pozostałe zagadnienia:
wprowadzanie nowych produktów depozytowych,
prawidłowość i terminowość wypełniania obowiązków sprawozdawczych.
Testowanie w zakresie działalności na rynku finansowym
Zakres badanych zagadnień
Kompletność dokumentacji dotyczącej lokat składanych w Banku Zrzeszającym
Kompletność dokumentacji dotyczącej papierów wartościowych, udziałów w innych podmiotach (poprawność
klasyfikacji podmiotów, w których Bank posiada akcje i udziały).
Kredyty i pożyczki zaciągnięte w Banku Zrzeszającym i innych instytucjach finansowych (BFG) – naliczanie
prowizji i odsetek, terminowość regulowania zobowiązań.
Przestrzeganie limitów płynnościowych – płynność bieżąca
Testowanie w zakresie działalności operacyjnej (rachunki bankowe, rozliczenia
międzybankowe oraz obsługa kasowo-skarbcowa)
Zakres badanych zagadnień
Przestrzeganie przepisów zewnętrznego oraz wewnętrznych regulaminów, instrukcji i procedur.
W zakresie prowadzenia rachunków m.in:
zawieranie umów o prowadzenie rachunków,
wykonywanie stałych zleceń płatniczych,
wykorzystanie przyznanych limitów zadłużeń,
kontrola sald debetowych,
dysponowanie wkładem na wypadek śmierci,
pełnomocnictwa do dysponowania rachunkiem,
pobieranie prowizji i opłat,
blokady środków na rachunkach,
zajęcia rachunków bankowych,
zastrzeżenia w obrocie oszczędnościowym,
ewidencja i przechowywanie blankietów czekowych,
obsługa kart płatniczych.
W zakresie rozliczeń międzybankowych i międzyoddziałowych, m.in:
prowadzenie rozliczeń międzybankowych,
terminowość wykonywania zleceń na rzecz klientów,
prowadzenie rozliczeń międzyoddziałowych,
salda rozliczeń międzybankowych i międzyoddziałowych,
uznania i obciążenia do wyjaśnienia.
W zakresie obsługi kasowo-skarbcowej, m.in.:
ewidencja i przechowywanie stempli dziennych,
ewidencja różnic kasowych,
przestrzeganie ustalonych limitów pogotowia kasowego,
odprowadzanie nadwyżek gotówki,
depozyty rzeczowe,
ewidencja kluczy zamknięć skarbcowych i przekazania skarbca.
Kontrola zapasu znaków pieniężnych i zgodność salda z ewidencją księgową.
Kontrola rejestru transakcji wysokokwotowych
Testowanie w zakresie zarządzania bankiem oraz ryzyka operacyjnego
Zakres badanych zagadnień
Zarządzanie bankiem, m.in.:
kontrola prawidłowości obiegu dokumentów i terminowości wykonywania zadań,
tryb przyjmowania, rozpatrywania i załatwiania skarg i wniosków,
przestrzeganie dyscypliny pracy (listy obecności, ewidencja wyjść, ewidencja delegacji służbowych),
planowanie i wykorzystanie urlopów wypoczynkowych,
26
prowadzenie rejestrów (zatrudnionych, zwolnionych, uprawnionych do nagrody jubileuszowej),
prowadzenie ewidencji szkoleń pracowników,
wykorzystanie zakładowego funduszu świadczeń socjalnych. Ryzyko braku zgodności:
prawidłowość, terminowość funkcjonowania poczty elektronicznej,
terminowość przesyłania korespondencji,
prowadzenie rejestru regulacji wewnętrznych Banku,
aktualność rejestru uchwał organów samorządowych Banku,
Ryzyko operacyjne, m.in.:
nadawanie uprawnień użytkownikom systemu informatycznego,
weryfikacja profili uprawnień,
podział kompetencji oraz schematy podległości służbowej,
ewidencjonowanie zdarzeń zachodzących w systemie informatycznym,
postępowanie w przypadku naruszenia zasad ochrony danych,
ochrona antywirusowa,
archiwowanie danych,
ewidencja systemów informatycznych,
ewidencja grup danych,
funkcjonowanie systemu awaryjnego kontynuowania i odtwarzania pracy systemu informatycznego,
testowanie planu awaryjnego i planów ciągłości działania,
zarządzanie hasłami.
Bezpieczeństwo Banku, m.in:
stan bezpieczeństwa bhp i ppoż.,
ochrona informacji niejawnych i danych osobowych,
ubezpieczenie majątku oraz wartości pieniężnych,
bezpieczeństwo transportu wartości pieniężnych,
ochrona i zabezpieczenie obiektów bankowych i mienia,
ewidencja korespondencji przychodzącej i wychodzącej,
przechowywanie dokumentów,
ochrona pracowników i klientów.
27
Załącznik nr 7do Regulaminu kontroli wewnętrznej i audytu
Zagadnienia i problemy objęte audytem wewnętrznym
Audyt wewnętrzny w zakresie zarządzania ryzykiem operacyjnym
Zakres badanych zagadnień
Istnienie i przestrzeganie obowiązujących w banku zasad polityki, procedur i strategii dotyczącej ryzyka
operacyjnego.
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych
Ocena adekwatności polityki i procedur do wielkości i stopnia złożoności Banku
Ocena monitorowania i kontrolowania ryzyka operacyjnego
Realizacja założeń strategii działania banku w zakresie ryzyka operacyjnego. Identyfikacja przyczyn
ewentualnych trudności w realizacji założeń
Nadzór Rady Nadzorczej w zakresie zatwierdzania i nadzorowania Zarządu nad skutecznym wdrożeniem i
weryfikowaniem polityk i procedur ryzyka operacyjnego.
Ocena jakości i kompleksowości planów awaryjnych utrzymania ciągłości działania
Adekwatność i skuteczność kontroli wewnętrznej w zakresie ryzyka operacyjnego
Wymóg kapitałowy w zakresie ryzyka operacyjnego
Informacja zarządcza w zakresie ryzyka operacyjnego
Analiza ewidencji skarg klientów
Istnienie zasad polityki i procedur dotyczących technologii informatycznych
Adekwatność, funkcjonalność i bezpieczeństwo systemu informatycznego:
bezpieczeństwa systemów teleinformatycznych
analiza bezpieczeństwa danych
Ocena systemu zarządzania ryzykiem operacyjnym:
jasność i poprawność przyjętej definicji ryzyka operacyjnego
analiza polityki bezpieczeństwa i pozostałych procedur dotyczących ryzyka operacyjnego oraz
ochrona i zabezpieczenie obiektów bankowych i mienia
ocena przyjętych zasad funkcjonowania w sytuacji awaryjnej
adekwatność przyjętych zasad identyfikacji, oceny, monitorowania i zabezpieczania przed ryzykiem
operacyjnym
analiza przyjętego systemu raportowania, dostarczającego informacji niezbędnych do zarządzania tym
ryzykiem
sprawdzenie poprawności i skuteczności działania kontroli wewnętrznej
analiza ryzyka operacyjnego w sytuacjach specyficznych: zaangażowanie w nowe
produkty, nowy rodzaj działalności, zmiany w strukturze organizacyjnej,
kontrolę założeń scenariuszy testów warunków skrajnych,
kontrolę badania i weryfikacji wskaźników KRI
kontrolę przestrzegania zasad ochrony informacji oraz danych osobowych.
kontrolę działalności ABI.
Analiza jakości prowadzonej działalności operacyjnej :
działalność gotówkowa
organizacji czynności obsługi kasowo-skarbcowej,
przestrzegania zapisów Instrukcji kasowo-skarbcowej w zakresie:
o potwierdzania na piśmie przyjęcia do wiadomości i stosowania przepisów instrukcji oraz
każdorazowo zarządzeń i innych przepisów z zakresu operacji kasowo-skarbcowych przez
pracowników zatrudnionych przy czynnościach kasowo-skarbcowych,
o podpisania oświadczenia o odpowiedzialności materialnej przed przystąpieniem do czynności
kasowo-skarbcowych przez pracowników, którym powierza się wartości,
o zawarcia z Bankiem umowy o przyjęciu wspólnej odpowiedzialności materialnej przez
skarbników lub osoby przewidziane na ich zastępstwo,
przestrzegania zasad komisyjności,
przestrzegania zasad przekazywania kluczy,
przestrzegania przyjętych w Banku limitów stanu gotówki w kasie,
poprawności i skuteczności działania kontroli wewnętrznej (okresowej).
28
Działalność depozytowa
-stosowanie się do obowiązujących regulacji wewnętrznych
- poprawność zawierania umów do rachunków bankowych
- poprawność pobierania należnych opłat i prowizji
W zakresie nabywania i zbywania jednostek uczestnictwa funduszy inwestycyjnych
-stosowanie się do obowiązujących przepisów prawa
-stosowanie się do obowiązujących regulacji wewnętrznych
Zasady zarządzania ryzykiem powierzania wykonywania czynności podmiotom zewnętrznym.:
Istnienie zasad polityki i procedur w zakresie oceny, zarządzania i monitorowania czynności
powierzonych firmom zewnętrznym
Czy przed zawarciem umowy Bank ocenił ryzyko (oraz sytuację ekonomiczno-finansową
przedsiębiorcy)
Czy w czasie trwania umowy ryzyko jest na bieżąco monitorowane
Kontrola wpływu powierzenia czynności na zewnątrz na jakość i bezpieczeństwo usług świadczonych
klientom
Czy zawarte umowy nie naruszają przepisów prawa
Czy zawierając umowy wymagające zgłoszenia do KNF, dopełniono tego obowiązku ?
Ocena przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu
Przestrzeganie przyjętych procedur w zakresie wdrażania nowych produktów.
Poprawność przeprowadzania testów warunków skrajnych
Realizacja zadań związanych z zarządczym przeglądem procedur
Bezpieczeństwo środowiska teleinformatycznego i informacji:
1. Ocena organizacji zarządzania bezpieczeństwem IT, rozdzielenie funkcji, ocena poprawności zapisów w
regulacjach,
2. Ocena jakości danych,
3. Ocena wydajności i pojemności komponentów środowiska teleinformatycznego,
4. Kontrola przestrzegania procedur konfiguracji komponentów infrastruktury teleinformatycznej,
5. Kontrola zarządzania bezpieczeństwem środowiska teleinformatycznego.
Audyt wewnętrzny w zakresie zarządzania Bankiem
Zakres badanych zagadnień
Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych.
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych.
Zgodność wewnętrznych regulacji z ustawami: o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i
bankach zrzeszających, Prawo bankowe, Prawo spółdzielcze,
zgodność (spójność) zapisów w regulacjach wewnętrznych
przestrzeganie postanowień Statutu Banku i regulaminu organizacyjnego w zakresie podziału zadań i
kompetencji
zgodność działania (podejmowania decyzji) z udzielonymi pełnomocnictwami i zakresem kompetencji
prawidłowość organizacji pracy z punktu widzenia osiągania optymalnych wyników
aktualizacja bazy danych kadry rezerwowej
Poprawność prowadzenia rejestru umów, rejestru spraw sądowych.
Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego - ryzyko
biznesowe
Realizacja założeń strategii działania banku w zakresie poszczególnych obszarów działalności. Identyfikacja
przyczyn ewentualnych trudności w realizacji założeń
Poprawność technik prognozowania, analiza założeń planu finansowego i ich realizacji. Identyfikacja przyczyn
braku realizacji planu finansowego – ryzyko wyniku finansowego.
Badanie funkcjonalności struktury organizacyjnej Banku, podziału odpowiedzialności i koordynacji działań
pomiędzy poszczególnymi jednostkami organizacyjnymi i stanowiskami pracy, a także systemu tworzenia i
obiegu dokumentów i informacji.
Funkcjonowanie przyjętej organizacji w zakresie rozdzielenia funkcji decyzyjnych od wykonawczych.
Efektywność działań i realizacja zadań zaleconych komitetom problemowym działającym w Banku.
Kompletność, rzetelność i terminowość przekazywania informacji składających się na system informacji
zarządczej. Ocena jego przydatności w procesie decyzyjnym.
29
Badanie operacji z osobami wewnętrznymi – np. odsprzedaż majątku trwałego
Ocena administrowania majątkiem rzeczowym
Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych w zakresie działalności
statutowej
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych.
Realizacja postanowień statutu i uchwał ZP
Prawidłowość wykazywania funduszu udziałowego (tj. zgodność z Prawem spółdzielczym i Statutem Banku)
Polityka banku w zakresie oprocentowania udziałów członkowskich
Kompletność, rzetelność i terminowość przekazywania informacji zarządczej
Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia realizacji zaleceń
pokontrolnych
Realizacja planów szkoleń,
Prowadzenie dokumentacji i protokołów z posiedzeń organów statutowych,
Zasady opracowywania / zmian procedur bankowych
Realizacja zadań związanych z zarządczym przeglądem procedur
Polityka wynagradzania:
1. Organizacja ustalania i realizacji założeń Polityki,
2. Ocena regulacji normujących Politykę w Banku,
3. Zgodność listy osób zajmujących stanowiska kierownicze,
4. Założenia przyjęte do oceny wyników Banku, uwzględnianych w Polityce,
5. Zgodność Polityki z Regulaminem wynagradzania
Audyt wewnętrzny w zakresie zarządzania ryzykiem kredytowym
Zakres badanych zagadnień
Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych
w zakresie ryzyka kredytowego
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych
i innych norm zewnętrznych.
Przestrzeganie obowiązujących limitów
Ocena organizacji procesu zarządzania ryzykiem kredytowym, w tym zarządzania ryzykiem detalicznych
ekspozycji kredytowych zabezpieczonych hipotecznie. poprzez analizę:
zasad polityki kredytowej z uwzględnieniem zasad dot. ekspozycji kredytowych wobec gospodarstw
domowych
kompletność i adekwatność procedur kredytowych z uwzględnieniem obszaru dot. ekspozycji
kredytowych wobec gospodarstw domowych
ocena zdolności kredytowej, w tym przestrzeganie minimalnych wymogów w zakresie przyjętych
formuł oceny zdolności kredytowej, dochodów i wydatków klientów detalicznych
pełnomocnictw i limitów kredytowych
rozdzielności funkcji decyzyjnych i wykonawczych
organizacji procesu przeglądu ekspozycji kredytowych, niezależność tego przeglądu
klasyfikacji należności i zobowiązań pozabilansowych, rezerwy na ryzyko związane z działalnością
kredytową, zatwierdzania tworzonych rezerw celowych oraz decyzji o spisaniu należności w ciężar
rezerw
zarządzanie ryzykiem koncentracji i kontrahenta
procesu aktualizacji i wyceny zabezpieczeń
oceny wsparcia procesu klasyfikacji należności przez system informatyczny (głównie klasyfikacji z
uwagi na terminowość),
Analiza procesu kredytowania:
zgodność z przepisami Prawa bankowego, postanowieniami regulacji wewnętrznych oraz
ostrożnościowych (m.in. przestrzeganie zapisów art. 69,70, 71, 79)
terminowość realizowania zapisów regulacji, oraz umów kredytowych
kompletność i aktualność dokumentacji kredytowej
przeprowadzanie testów warunków skrajnych detalicznych ekspozycji kredytowych
Proces monitorowania i windykacji kredytów trudnych
Kompletność, rzetelność i terminowość przekazywania informacji zarządczej
Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia wykonania wydanych
zaleceń pokontrolnych
30
Rzetelność sprawozdawczości w zakresie działalności kredytowej
Skuteczność systemu uprawnień do akceptacji ryzyka
Poprawność przeprowadzania testów warunków skrajnych
Realizacja zadań związanych z zarządczym przeglądem procedur
Audyt wewnętrzny w zakresie zarządzania ryzykiem płynności
Zakres badanych zagadnień
Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych w zakresie ryzyka
płynności
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych.
Adekwatność systemu pomiaru ryzyka Banku, z uwzględnieniem charakteru, zakresu oraz złożoności jego
działalności. Poprawność pomiaru, identyfikowania i monitorowania ryzyka płynności.
Ocena organizacji procesu zarządzania ryzykiem płynności
Zasady polityki zarządzania ryzykiem płynności, realizacja założeń polityki
Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego leżących po
stronie nieprawidłowości w zarządzaniu ryzykiem płynności.
Efektywność i kompletność wprowadzonych limitów, przestrzeganie limitów, analiza przekroczeń limitów oraz
skuteczność mechanizmów powiadamiania o przekroczeniu limitu.
Analiza pogłębionej płynności długoterminowej
Wyliczanie i utrzymanie nadzorczych miar płynności
Lokowanie środków na rynkach finansowych
Analiza adekwatności planów awaryjnych pozyskiwania środków / utrzymywania płynności
Kompletność, rzetelność i terminowość przekazywania informacji zarządczej
Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia wykonania wydanych
zaleceń pokontrolnych
Rzetelność sprawozdawczości w zakresie ryzyka płynności
Poprawność przeprowadzania testów warunków skrajnych
Realizacja zadań związanych z zarządczym przeglądem procedur
Audyt wewnętrzny w zakresie zarządzania ryzykiem stopy procentowej
Zakres badanych zagadnień
Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych
w zakresie ryzyka stopy procentowej
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych.
Adekwatność systemu pomiaru ryzyka banku, z uwzględnieniem charakteru, zakresu oraz złożoności jego
działalności
Poprawność pomiaru, identyfikowania i monitorowania ryzyka stopy procentowej
Ocena organizacji procesu zarządzania ryzykiem stopy procentowej
Zasady polityki zarządzania ryzykiem stopy procentowej, realizacja założeń polityki
Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego leżących po
stronie nieprawidłowości w zarządzaniu ryzykiem stopy procentowej.
Poprawność przeprowadzania testów warunków skrajnych
Efektywność i kompletność wprowadzonych limitów, przestrzeganie limitów, analiza przekroczeń limitów oraz
skuteczność mechanizmów powiadamiania o przekroczeniu limitu
Kompletność, rzetelność i terminowość przekazywania informacji zarządczej
Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia realizacji wydanych zaleceń
pokontrolnych
Realizacja zadań związanych z zarządczym przeglądem procedur
Audyt wewnętrzny w zakresie wyniku finansowego oraz stosowania zasad rachunkowości
Zakres badanych zagadnień
Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych w zakresie wyniku
31
finansowego oraz zasad rachunkowości
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych.
Ocena sytuacji finansowej Banku w świetle osiąganego i prognozowanego wyniku finansowego oraz
adekwatności wyniku finansowego w odniesieniu do ponoszonego przez bank ryzyka
Ocena efektywności prowadzonej działalności
Poziom i zasadność ponoszonych kosztów, zwłaszcza kosztów działania banku
Realizacja założeń planu finansowego – identyfikacja przyczyn braku realizacji planu finansowego
Kompletność, rzetelność i terminowość przekazywania informacji zarządczej
Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej. Ocena stopnia realizacji zaleceń
pokontrolnych
Rzetelność sprawozdawczości w zakresie wyniku finansowego
Przestrzeganie podstawowych zasad rachunkowości:
poprawność przyjętych zasady rachunkowości i ich przestrzeganie
zachowania zasady współmierności przychodów i kosztów
poprawność prowadzenia ksiąg rachunkowych
ocena ciągłości stosowania zasad rachunkowości
prawidłowość wyceny aktywów i pasywów oraz ustalania wyniku finansowego
wiarygodności informacji finansowych wysyłanych do NBP
ocena ciągłości stosowania zasad rachunkowości
poddawanie sprawozdań rocznych badaniu
sporządzanie sprawozdań, których dane wynikają z ksiąg rachunkowych
Dokładność i pewność (niezawodność) systemu księgowego, sprawozdawczego i operacyjnego.
Kompletność, prawidłowość i kompleksowość procedur księgowych.
Audyt wewnętrzny w zakresie zarządzania ryzykiem braku zgodności
Zakres badanych zagadnień
Przestrzeganie obowiązujących w banku instrukcji, procedur i przepisów wewnętrznych.
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych.
Zarządzanie ryzykiem braku zgodności
Sprawdzenie stosowania się do regulacji w zakresie przyjmowania nowych regulacji wewnętrznych /czy taka
procedura istnieje/
Ocena procesu dokonywania przeglądu regulacji wewnętrznych pod kątem zgodności z przepisami prawa
Sprawdzenie stosowania się do przyjętej Polityki braku zgodności oraz Instrukcji zarządzania ryzykiem braku
zgodności
Informacja zarządcza w zakresie ryzyka braku zgodności
Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej
Realizacja zadań związanych z zarządczym przeglądem procedur
Audyt wewnętrzny w zakresie szacowania i utrzymywania kapitału wewnętrznego i dokonywania przeglądów
procesu szacowania oraz zarządzanie kapitałem
Zadania audytowe
Przestrzeganie obowiązujących w Banku instrukcji, procedur i przepisów wewnętrznych w zakresie szacowania i
utrzymywania kapitału wewnętrznego i dokonywania przeglądów tego procesu
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
zewnętrznych.
Analiza dokonywanych przeglądów ryzyk i ocena zidentyfikowanych ryzyk pod względem ich istotności
Przestrzeganie minimalnych wymogów nadzorczych
Prawidłowość wyliczenia funduszy własnych i współczynników kapitałowych
Przegląd stosowanych przez Bank zasad szacowania kapitału wewnętrznego
Analiza poprawności szacowania i utrzymywania kapitału wewnętrznego na zidentyfikowane ryzyka
Przestrzeganie obowiązującej w Banku polityki w zakresie zarządzania kapitałem
Kontrola ustalania i weryfikacji limitów alokacji kapitału
Rzetelność sprawozdawczości w zakresie kapitałów
Przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych norm
32
zewnętrznych
System pomiaru ryzyk trudno mierzalnych
Weryfikacja istotności ryzyk trudno mierzalnych
Analiza dokonywanych przeglądów ryzyk i ocena zidentyfikowanych ryzyk pod względem ich istotności
Poprawność przeprowadzania testów warunków skrajnych
Kompletność, rzetelność i terminowość przekazywania informacji zarządczej
Adekwatność, skuteczność i kompleksowość kontroli wewnętrznej
Realizacja zadań związanych z zarządczym przeglądem procedur
Audyt wewnętrzny w zakresie ryzyka wyniku finansowego
Zadania audytowe
Regulacje w zakresie zarządzania ryzykiem biznesowym – strategia, polityka, procedura
Procedura planowania
Analiza wykonania planu –sprawozdawczość wewnętrzna,
Testy warunków skrajnych w zakresie ryzyka biznesowego
Kontrola wewnętrzna w procesie planowania.
33
Załącznik nr 8 do Regulaminu kontroli wewnętrznej i audytu
METODYKA AUDYTU WEWNĘTRZNEGO
BANKU SPÓŁDZIELCZEGO
W MRĄGOWIE
34
Spis treści
strona
Dział I. Wstęp ………………………………………………………..................... 36
Rozdział 1. Odpowiedzialność komórki audytu wewnętrznego ……………… 36
Rozdział 2. Podstawowe zasady etyki audytora wewnętrznego ……………… 36
Rozdział 3. Zakres badań audytu wewnętrznego …………………………...... 37
Dział II. Organizacja i przebieg kontroli …………………………………….….. 38
Rozdział 1. Zasady planowania oraz przygotowania kontroli ………………... 38
Rozdział 2. Zasady doboru próby …………………………………………….. 38
Dział III. Zakończenie kontroli ……………….…………………………………... 39
Rozdział 1. Ewidencja kontroli ……………………………….…………......... 39
Rozdział 2. Dokumentacja robocza …………………………………………... 39
Dział IV. Raport pokontrolny …………………………………………………….. 40
Rozdział 1.
Zagadnienia wskazane do ujęcia w raporcie z kontroli poszczególnych
obszarów ……………………………………….. 40
Rozdział 2.
Pozostałe zagadnienia wskazane do ujęcia w raporcie
z kompleksowej kontroli danego obszaru………………………... 43
Rozdział 3. Raport pokontrolny – wymagania formalne ……………………... 44
Dział V. Zalecenia pokontrolne …………………………………………………………. 45
35
Dział I. Wstęp
§ 1
Niniejsza metodyka precyzuje zasady wykonywania badań kontrolnych przez komórkę audytu
wewnętrznego Banku Zrzeszającego, której powierza się wykonywanie kontroli wewnętrznej
instytucjonalnej, na mocy zawartej Umowy z Bankiem Zrzeszającym.
Rozdział 1. Odpowiedzialność komórki audytu wewnętrznego
§ 2
Przygotowując się oraz prowadząc badanie kontrolne audytor wewnętrzny ponosi
odpowiedzialność w zakresie:
1) właściwego wyboru kierunków kontroli,
2) określenia celu kontroli, doboru próby i przebiegu kontroli,
3) trafności i istotności ocen oraz wyciągniętych w trakcie kontroli wniosków,
4) poprawności prezentacji wyników kontroli,
5) ustalenia właściwych wniosków pokontrolnych,
6) właściwego zabezpieczenia wszystkich materiałów, dokumentów i informacji zebranych w
toku kontroli z jednoczesnym zachowaniem przyjętych w Banku warunków ich
ewidencjonowania i archiwizowania.
§ 3
Audytor wewnętrzny wyjaśnia wszelkie wątpliwości pojawiające się w trakcie badań, a także
kontroluje terminowość i skutki podjętych działań naprawczych i korygujących.
§ 4
Audytor wewnętrzny zobowiązany jest również do przestrzegania zasad etyki, o których mowa w
Rozdziale 2. niniejszej Metodyki.
Rozdział 2. Podstawowe zasady etyki audytora wewnętrznego § 5
1. Audytor wewnętrzny wykonuje swoje obowiązki i zadania obiektywnie, z należytą starannością,
skutecznością, ostrożnością, uczciwie i z rozwagą.
2. Audytor wewnętrzny zachowuje lojalność (wobec Banku) we wszystkich sprawach odnoszących
się do zakresu działalności Banku oraz zachowuje w tajemnicy wszystkie dane i fakty ujawnione
podczas kontroli.
3. Audytor wewnętrzny nie angażuje się świadomie w żadną działalność, która jest niegodna
sprawowanej przez niego funkcji.
4. Audytor wewnętrzny postępuje w sposób, który nie jest sprzeczny z interesami Banku lub może
mieć niekorzystny wpływ na jego możliwości zachowania obiektywizmu i niezależności w
wykonywaniu zadań i obowiązków.
5. Audytor wewnętrzny nie przyjmuje żadnych korzyści majątkowych i niemajątkowych od
kontrolowanych.
6. Audytor wewnętrzny przeprowadza kontrole zagadnień na profesjonalnym poziomie.
7. Audytor wewnętrzny jest ostrożny i rozważny w stosowaniu i wykorzystaniu informacji
uzyskanych podczas kontroli - nie wykorzystuje informacji poufnych w sposób sprzeczny z
prawem lub szkodliwy dla interesu Banku lub w celu osiągania korzyści osobistych.
8. Audytor wewnętrzny ujawnia w raporcie pokontrolnym wszystkie znane zdarzenia, fakty i
materiały.
9. Audytor wewnętrzny utrzymuje swoje kwalifikacje zawodowe na wysokim poziomie i dąży do
ich podnoszenia, jak również dba o sprawność, skuteczność i wysoką jakość pracy.
10. Audytor wewnętrzny odznacza się wysokim stopniem kompetencji, etyki zawodowej i godności.
11. Audytor wewnętrzny wykonuje swoje obowiązki zgodnie z ustalonymi standardami.
36
Rozdział 3. Zakres badań audytu wewnętrznego
§ 6
Audyt wewnętrzny powinien w szczególności obejmować dokładne i niezależne badanie
następujących obszarów działalności Banku:
1) przestrzeganie obowiązujących w Banku wewnętrznych aktów prawnych - wszystkie czynności
wykonywane przez pracowników na poszczególnych stanowiskach powinny być opracowane w
formie pisemnej, ustalona odpowiedzialność za ich wykonywanie, a także opisane dopuszczalne,
ewentualne odstępstwa od przyjętych zasad - należy także ocenić wpływ istniejących instrukcji,
procedur i przepisów wewnętrznych na funkcjonowanie Banku i generowaną sprawozdawczość
w celu wskazania ewentualnej konieczności dokonania zmian lub opracowania nowych
instrukcji, procedur i limitów ostrożnościowych itp.,
2) funkcjonującego systemu informacji zarządczej, który powinien gwarantować otrzymywanie
kompletnych, wiarygodnych i terminowych, a także użytecznych i spójnych informacji,
pomocnych przy podejmowaniu właściwych (optymalnych) decyzji,
3) skuteczność ujawniania błędów, uchybień lub innych nieprawidłowości przez pracowników
sprawujących kontrolę wewnętrzną oraz podejmowanie skutecznych działań naprawczych i
korygujących - w celu stwierdzenia czy są one efektem świadomego działania czy też ich
źródłem jest niedoskonałość procesów zarządzania, istniejących procedur, nieefektywna
organizacja pracy, niewystarczająca znajomość procedur przez pracowników lub niedostateczne
wyposażenie w niezbędny sprzęt albo nieefektywność systemów kontrolnych,
4) przestrzeganie obowiązujących przepisów prawnych, w tym regulacji ostrożnościowych i innych
norm zewnętrznych - niezbędne jest ustalenie i monitorowanie wpływu tych przepisów na
efektywność i skuteczność działania Banku, w celu wskazania sposobów i metod podniesienia
wydajności i jakości operacyjnej oraz efektywnego wykorzystania zasobów Banku,
5) realizacja celów i polityki Banku, określonych i wymaganych przez Zarząd,
6) kompletność, prawidłowość i kompleksowość procedur księgowych - procedury księgowe
powinny być poddawane regularnemu przeglądowi w celu wyeliminowania ewentualnych strat z
tytułu popełnianych błędów, nieostrożności czy opóźnień ewidencji wykonywanych operacji,
7) dokładność i pewność (niezawodność) systemu księgowego, sprawozdawczego i operacyjnego -
celem badania powinno być dostosowanie instrukcji i procedur do aktualnych potrzeb Banku,
8) adekwatność, funkcjonalność i bezpieczeństwo systemu informatycznego – celem badania jest
sprawdzenie czy Bank zapewnił przygotowanie systemów wewnętrznych Banku w zakresie
zarządzania ryzykami towarzyszącymi systemom informatycznym oraz czy zostały opracowane
adekwatne procedury zabezpieczające i kontrolne, w tym zasady funkcjonowania systemów
awaryjnych,
9) efektywność wykorzystania dostępnych środków (w tym funduszy) i zasobów we wszystkich
obszarach działalności Banku - w celu ustalenia czy posiadany majątek jest prawidłowo
wykorzystywany oraz znajduje się pod stałą i pełną kontrolą - szczególnego znaczenia nabiera
w tym kontekście zarządzanie zasobami ludzkimi, gdyż pełna identyfikacja pracownika z
Bankiem zmniejsza prawdopodobieństwo podjęcia nielegalnych działań lub zaniechania
wykonywania kontroli podstawowej,
10) ocena struktury organizacyjnej Banku, podziału odpowiedzialności i koordynacji działań
pomiędzy poszczególnymi jednostkami organizacyjnymi i stanowiskami pracy, a także systemu
tworzenia i obiegu dokumentów i informacji - badanie winno mieć na celu m.in. ocenę czy
wprowadzony podział realizowanych w Banku zadań, zapewnia niezależność funkcji pomiaru,
monitorowania i kontrolowania ryzyka od działalności operacyjnej, z której wynika
podejmowane ryzyko - ocenie powinna być także poddana zasadność, efektywność działania i
realizacja zaleceń komitetów problemowych działających w Banku,
37
11) bieżące analizowanie i ocena funkcjonowania systemów wewnętrznych Banku pod kątem
poprawy efektywności działania całego Banku (głównie systemu zarządzania ryzykiem i
systemu kontroli wewnętrznej),
12) zlecanie wykonywania niektórych czynności zewnętrznym firmom – Bank zobowiązany jest do
zachowania ostrożności w zakresie delegowania swojej działalności innym podmiotom, przy
czym przykładowe wymagania obejmują:
a) zlecenie wykonania usług musi być sporządzone w formie pisemnej i zaakceptowane przez
kierownictwo Banku,
b) Bank musi posiadać efektywną kontrolę nad zleceniobiorcą w zakresie realizacji usług,
c) Bank musi na bieżąco monitorować zdolność realizacji usług przez zleceniobiorcę,
d) Bank musi opracować plan awaryjny na wypadek niezdolności dostarczenia usług przez
zleceniobiorcę.
§7
Bank zapewnia dostęp Pracownikowi/Pracownikom komórki audytu wewnętrznego do
wewnętrznych aktów prawnych.
Dział II. Organizacja i przebieg kontroli
Rozdział 1. Zasady planowania oraz przygotowania kontroli
§8
Zasady planowania oraz przygotowania kontroli określają zapisy Regulaminu Kontroli
Wewnętrznej w Banku Spółdzielczym w Mrągowie.
Rozdział 2. Zasady doboru próby1
§ 9
W przypadku, gdy nie jest uzasadnione badanie całego obszaru lub nie jest możliwe
przeprowadzenie analizy pełnego kompletu dokumentów, audytor wewnętrzny dokonuje wyboru
próby dokumentów do kontroli.
§ 10
Wielkość badanej próby powinna uwzględniać możliwości kadrowe komórki audytu wewnętrznego
oraz czas przeznaczony na badanie kontrolne – wielkość próby powinna umożliwić wykonanie
badań z zachowaniem odpowiedniej szczegółowości.
§ 11
1. Metodą zapewnienia odpowiedniej kontroli obszarów audytu jest odpowiedni dobór próby do
badania, która powinna być uzależniona od stopnia ryzyka związanego z badanym obszarem,
jak również od dostępnych zasobów audytu i możliwości dokonania odpowiednich testów.
2. W zależności od liczebności i charakteru badanej populacji (cech, istotności, szczególnych
wymagań wynikających z charakteru zadania audytowego) doboru próby do badania dokonuje
się w sposób:
1) pełny – badaniu poddaje się wszystkie elementy populacji, niezależnie od ich cech, oceny
mechanizmów kontroli i innych kryteriów.
2) wyrywkowy – dokonuje się doboru ustalonej części badanej populacji, audytor dokonując
doboru próby zakłada, że próba posiada takie same cechy jak badana zbiorowość. Zamiast
badania wszystkich dokumentów/operacji źródłowych bada się jedynie ich część. Dobór
wyrywkowy powinien być stosowany w przypadkach, gdy nie jest uzasadnione badanie
całego obszaru lub nie jest możliwe przeprowadzenie analizy pełnego kompletu
dokumentów/operacji.
3. Sposoby doboru próby wyrywkowej:
1) Metoda wyrywkowa-subiektywna
1 Zamieszczone w tej części niniejszego dokumentu zapisy są propozycją, która może być przez
Banki modyfikowana w celu dostosowania do swoich potrzeb oraz uwzględnienia stosowanej już praktyki.
38
Wybierana próba może stanowić część (np. 10 %) badanej populacji, audytor powinien
przed doborem ustalić w jaki sposób wybiera próbki do badania:
a) ustalenie w jaki sposób zapewniane jest odpowiednie pokrycie próbkami istotnych
cech badanej populacji, np. każdego typu operacji, dokumentów, zjawisk;
b) decyzja o stosowaniu lub niestosowaniu doboru tendencyjnego – tzn. doborze do
badania określonych dokumentów, operacji, zdarzeń - o których wiadomo na
podstawie praktyki audytora, że zwierają często określone nieprawidłowości lub też
jest wysokie prawdopodobieństwo wystąpienia nieprawidłowości, z uwagi na
złożenie skargi lub przekazanie informacji o możliwych nieprawidłowościach.
W pewnych przypadkach można, a nawet należy odstąpić od planowanej wielkości
próbki, zmniejszając ją lub zwiększając, jeśli wyniki badania to sugerują.
2) Metoda statystyczna - statystyczne metody doboru próby dają pewność, że dobór próbek
ma charakter losowy, a wyniki badania umożliwiają wnioskowanie statystyczne o
cechach całej populacji, na podstawie wyników badania próby.
Dobór statystyczny składa się z następujących kroków:
a) określenie minimalnej ilości badanych elementów – określenie wielkości próby
b) dobranie elementów badanej próby – losowanie
c) sformułowanie wniosków na podstawie dokonanego badania
Stosowanie metody określania wielkości próby:
a) część (np. 10 %) badanej populacji
b) rozwarstwienie populacji i ustalenie liczebności próbek na podstawie określonej
istotności pełnej/cząstkowej oraz w oparciu o przyjęte zaufanie do systemu kontroli
wewnętrznej
Stosowane metody losowania próby:
a) prosty dobór losowy, losowanie wg liczb losowych z wykorzystaniem programu
komputerowego lub z użyciem tablic liczb losowych.
b) dobór losowy z interwałem – losowy dobór elementu do próby opiera się na
zasadzie, że do próby trafia co n - ty element wartości n określany jako interwał (I),
a pierwszy element jest wybierany w sposób losowy z przedziału od 0 do n.
4. Niezależnie od tego czy wielkość próbki została dobrana subiektywnie czy statystycznie,
jeżeli w toku badania zostanie stwierdzone, że należy ją zwiększyć lub zmniejszyć, to
należy to uczynić.
5. Sposób doboru i wybraną próbę dokumentuje się w raporcie pokontrolnym
§ 12
Zasady przeprowadzania kontroli określają zapisy Regulaminu kontroli wewnętrznej i audytu w
Mrągowie.
Dział III. Zakończenie kontroli
Rozdział 1. Ewidencja kontroli
§ 13
Po zakończeniu badania kontrolnego audytor wewnętrzny dokonuje wpisu w ewidencji kontroli
wewnętrznej (audyt wewnętrzny) odnotowując stronę kontrolowaną, stronę kontrolującą, zakres i
temat kontroli, termin przeprowadzenia kontroli oraz fakt, czy kontrola była planowana, czy też
pozaplanowa.
Rozdział 2. Dokumentacja robocza
§ 14
Audytor Wewnętrzny zobowiązany jest gromadzić niezbędną dokumentację potwierdzającą
stwierdzone w toku kontroli nieprawidłowości i ustalenia.
39
§ 15
Uporządkowana dokumentacja robocza powinna być przechowywana zgodnie z obowiązującymi
w Banku zasadami przechowywania i archiwizowania dokumentacji.
Dział IV. Raport pokontrolny
§ 16
Po zakończeniu badania kontrolnego audytor wewnętrzny sporządza raport pokontrolny, w którym
przedstawia wyniki kontroli.
Rozdział 1. Zagadnienia wskazane do ujęcia w raporcie z kontroli poszczególnych obszarów
§17
W raporcie pokontrolnym (w zależności od tematu i zakresu kontroli) należy w szczególności:
1) w zakresie ryzyka kredytowego i ryzyka koncentracji:
a) wskazać, czy Bank wdrożył regulacje określające:
kryteria oceny zdolności kredytowej klientów Banku, umożliwiające ograniczanie ryzyka
kredytowego związanego z produktami/usługami, w jakie zaangażowany jest Bank,
system klasyfikacji ekspozycji kredytowych do kategorii ryzyka i tworzenia rezerw na
ryzyko związane z działalnością Banku zgodnie z rozporządzeniem Ministra Finansów z
dnia 16 grudnia 2008 roku w sprawie zasad tworzenia rezerw na ryzyko związane z
działalnością banków (tekst jednolity Dz. U. z 2015 roku poz. 2066 z późn. zmianami),
zasady dywersyfikacji portfela ekspozycji kredytowych, stosowne do ustalonego przez
Bank dopuszczalnego poziomu ryzyka kredytowego,
pisemne procedury zarządzania ryzykiem koncentracji, o którym mowa
w § 1 pkt. 1 uchwały nr 384/2008 Komisji Nadzoru Finansowego z dnia 17 grudnia 2008
roku w sprawie wymagań dotyczących identyfikacji, monitorowania i kontroli koncentracji
zaangażowań, w tym dużych zaangażowań,
zasady zarządzania ryzykiem ekspozycji kredytowych finansujących nieruchomości oraz
zabezpieczonymi hipotecznie, zgodnie z zapisami Rekomendacji S KNF z 2013 roku
dotycząca dobrych praktyk w zakresie zarządzania ekspozycjami kredytowymi
zabezpieczonymi hipotecznie.
b) na podstawie wybranej próby (w tym również próby kredytów detalicznych, mieszkaniowych,
objętych procesem restrukturyzacji, windykacji, kredytów udzielonych przez pośredników
finansowych oraz kredytów osób wewnętrznych) ocenić:
stopień przestrzegania zapisów regulacji zewnętrznych i wewnętrznych,
organizację procesu przeglądu ekspozycji kredytowych,
poprawność klasyfikacji należności,
proces aktualizacji i wyceny zabezpieczeń,
wsparcie procesu klasyfikacji przez system informatyczny,
poprawność tworzenia rezerw celowych,
ocenić politykę Banku w zakresie zarządzania portfelem ekspozycji kredytowych
zabezpieczonych hipotecznie (poziom akceptowanego ryzyka, przyjęte limity, monitoring
portfela, monitoring wartości przyjętych zabezpieczeń – ustalenia powinny brać również
pod uwagę spostrzeżenia dokonane w toku analizy badanej próby) - strona kontrolująca
powinna dokonywać oceny uwzględniając zapisy Rekomendacji S Komisji Nadzoru
Finansowego z 2013 roku dotyczącej dobrych praktyk w zakresie zarządzania
ekspozycjami kredytowymi zabezpieczonymi hipotecznie;
c) dokonać kontroli zaangażowań powodujących ryzyko koncentracji (duże zaangażowania, tj.
przekraczające 10% funduszy własnych powinny być kontrolowane nie rzadziej niż raz w
roku) – dokonując kontroli należy brać pod uwagę m.in. zapisy Uchwały nr 208/2011 Komisji
Nadzoru Finansowego z dnia 22 sierpnia 2011 roku w sprawie szczegółowych zasad i
40
warunków uwzględniania zaangażowań przy ustalaniu przestrzegania limitu koncentracji
zaangażowań i limitu dużych zaangażowań, oraz zapisu Uchwały nr 384/2008 z dnia 17
grudnia 2008 roku w sprawie wymagań dotyczących identyfikacji, monitorowania i kontroli
koncentracji zaangażowań, w tym dużych zaangażowań;
2) w zakresie ryzyka walutowego:
wskazać, czy w Banku prawidłowo funkcjonują procedury pozwalające na pomiar i
zarządzanie tym ryzykiem;
3) w zakresie ryzyka stopy procentowej:
wskazać, czy w Banku prawidłowo funkcjonują procedury zarządzania ryzykiem
wynikającym z możliwych zmian stóp procentowych, w odniesieniu do pozycji zaliczanych
do portfela bankowego, obejmujące w szczególności testy warunków skrajnych przy
założeniu nagłej i nieoczekiwanej zmiany poziomu stóp procentowych o 200 punktów
bazowych;
4) w zakresie ryzyka operacyjnego:
a) wskazać, czy w Banku prawidłowo funkcjonują:
procedury zarządzania ryzykiem operacyjnym, w tym zasady monitorowania straty z tytułu
ryzyka operacyjnego oraz przyjęte przez Bank określenie ryzyka operacyjnego dla potrzeb
stosowania tych procedur, uwzględniające elementy, o których mowa w §1 załącznika nr 14
do Uchwały 76/2010 Komisji Nadzoru Finansowego z dnia 10 marca 2010 roku, w pakiecie
CRR/CRD IV oraz uwzględniające zdarzenia charakteryzujące się niską częstotliwością
występowania lecz wysokimi stratami,
plany utrzymania ciągłości działania zapewniające ciągłe i niezakłócone działanie Banku
oraz plany awaryjne służące zapewnieniu możliwości prowadzenia bieżącej działalności
Banku i ograniczeniu strat w przypadku wystąpienia niekorzystnych zdarzeń wewnętrznych
i zewnętrznych mogących poważnie zakłócić tę działalność,
polityka w zakresie wyboru, uzupełniania oraz monitorowania potrzeb kadrowych i
planowania zaplecza kadrowego;
b) ocenić poprawność działań podejmowanych w związku z przestrzeganiem zasad
przeciwdziałania wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących
z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałania finansowaniu terroryzmu
(wyznaczenie koordynatora, nadzoru ze strony Zarządu, poprawność rejestrowania
transakcji);
c) dokonać oceny funkcjonalności i bezpieczeństwa systemu informatycznego (ocenić m.in.
stopień ochrony dostępu do systemu informatycznego, stopień ochrony fizycznego dostępu
do pomieszczeń i sprzętu, stopień ochrony danych przez utratą, ochrony antywirusowej);
d) dokonać analizy wybranych zagadnień działalności kasowo-skarbcowej (ocenić m.in.
organizację czynności obsługi kasowo-skarbcowej, przestrzeganie zapisów Instrukcji
kasowo-skarbcowej);
5) w zakresie ryzyka płynności:
a) wskazać, czy w Banku prawidłowo funkcjonują:
procedury zarządzania płynnością płatniczą z uwzględnieniem podziału kompetencji i
odpowiedzialności,
metody identyfikacji, pomiaru oraz monitorowania płynności płatniczej,
plany awaryjne zapewniające niezakłócone prowadzenie działalności z uwzględnieniem
zachowania płynności płatniczej w przypadku wystąpienia sytuacji kryzysowych,
b) zweryfikować stopień przestrzegania zapisów Uchwały nr 386/2008 Komisji Nadzoru
Finansowego z dnia 17 grudnia 2008 roku w sprawie ustalenia wiążących banki norm
płynności;
6) w zakresie wyniku finansowego oraz przestrzegania podstawowych zasad rachunkowości:
41
a) przedstawić poziom wyniku finansowego, jego trendy oraz stopień stabilności,
rentowność prowadzonej działalności, stabilność źródeł przychodów, poziom i trend
marży odsetkowej, poziom ponoszonych kosztów;
b) ocenić możliwość zapewnienia właściwego poziomu kapitału poprzez wypracowywane
zyski;
c) przejrzeć, zapisy na wytypowanych kontach zespołu 7 „Koszty i straty” i 8 „Przychody
i zyski”, w celu identyfikacji ewentualnych zapisów niecodziennych, jak np.:
znaczące odchylenia od typowych wartości zapisów powtarzających się,
nietypowe zapisy na stronie „Winien” konta przychodów lub nietypowe zapisy na
stronie „Ma” konta kosztów,
znaczące kwoty księgowane jako „inne przychody” lub „inne koszty”, które mogą
być wynikiem otrzymanych opłat lub poniesionych strat z tytułu operacji
pozabilansowych;
d) na podstawie wybranej do badania próby dokumentów księgowych stanowiących
podstawę zapisów na kontach kosztów i przychodów, sprawdzić rzetelność ewidencji
przychodów i kosztów poprzez ustalenie m.in. czy:
dowody księgowe spełniają wymagania określone w Rozporządzeniu Ministra
Finansów w sprawie szczególnych zasad rachunkowości banków,
wewnętrzne dowody księgowe dotyczące księgi głównej, zarówno uznaniowe jak i
obciążeniowe, posiadają pełne zatwierdzenia, opisy oraz wskazania zapisu
przeciwstawnego;
e) sprawdzić, czy w badanym okresie dokonywano odpisów ekspozycji kredytowych
w ciężar utworzonych na nie rezerw celowych i przeniesienia ich do zobowiązań
pozabilansowych - jeśli tak, ustalić czy ekspozycja ta spełniała warunki określone
Rozporządzeniu Ministra Finansów w sprawie szczególnych zasad rachunkowości
banków, tj. czy:
została zaklasyfikowana do kategorii „stracone” i pozostawała w tej kategorii przez
okres co najmniej jednego roku,
utworzona na nią rezerwa celowa była równa kwocie pozostającej do spłaty;
f) sprawdzić, czy do wyniku finansowego z tytułu odsetek zgodnie z zapisami
Rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowości
banków:
zaliczono nieotrzymane w okresie sprawozdawczym przychody z tytułu należnych
Bankowi odsetek , w tym dyskonta oraz odsetek skapitalizowanych od należności
„normalnych” i należności „pod obserwacją” ,
nie zaliczono należnych Bankowi odsetek zapadłych i niezapadłych, w tym dyskonta
oraz odsetek skapitalizowanych, od należności „zagrożonych”, które do czasu ich
otrzymania lub odpisania stanowią przychody zastrzeżone;
g) przedstawić nieprawidłowości stwierdzone w ewidencji księgowej i sprawozdawczości -
określić ich ewentualny wpływ na poprawność wykazywania wyniku finansowego oraz
sytuację Banku prezentowaną w sprawozdaniach;
7) w zakresie adekwatności kapitałowej:
a) ocenić poziom i strukturę funduszy własnych, zidentyfikować podstawowe źródła
zwiększania funduszy własnych;
b) przedstawić poziom współczynników kapitałowych, ocenić trend i zidentyfikować przyczyny
powodujące ewentualne zmiany poziomu współczynników kapitałowych;
c) ustalić, czy obecny i planowany poziom zysków zatrzymanych, wyniku finansowego można
uznać za wystarczający biorąc pod uwagę skalę działalności i plany jej rozwoju;
42
d) przeanalizować zasady funkcjonowania funduszu udziałowego, prowadzoną politykę wypłaty
oprocentowania udziałów i jej wpływ na poziom kapitałów, ocenić strukturę funduszu
udziałowego, określić stopień jego koncentracji;
e) na podstawie wybranej do badania próby deklaracji członkowskich zbadać poprawność
wypełniania deklaracji członkowskich, ocenić przestrzeganie zapisów Statutu określających
zasady dokonywania wypłat/dopłat udziałów, terminowość rozliczeń z członkami, ocenić
poprawność ewidencji księgowej prowadzonej w badanym zakresie i jej zgodność ze stanem
faktycznym oraz poprawność zapisów dokonywanych w rejestrze członków;
f) ocenić poprawność procesu wyznaczania kapitału regulacyjnego, w tym m.in. poprawność
zapisów regulacji normującej ten proces, stopień ich przestrzegania, przyjętą organizację
procesu, adekwatność systemu limitów oraz systemu informacji zarządczej - uwzględnić
m.in. zapisy Uchwały nr 76/2010 Komisji Nadzoru Finansowego z dnia 10 marca 2010 roku
w sprawie zakresu i szczegółowych zasad wyznaczania wymogów kapitałowych z tytułu
poszczególnych rodzajów ryzyka (…), oraz pakietu CRR/CRD IV;
g) ocenić proces szacowania kapitału wewnętrznego w tym m.in.
poprawność zapisów regulacji normującej ten proces, stopień ich przestrzegania, przyjętą
organizację procesu, adekwatność systemu limitów oraz systemu informacji zarządczej.
Rozdział 2. Pozostałe zagadnienia wskazane do ujęcia w raporcie z kompleksowej kontroli
danego obszaru
§ 18
W raporcie z kompleksowej kontroli danego obszaru (np. kompleksowej oceny ryzyka płynności,
stopy procentowej, itp.) należy ponadto:
1) ocenić założenia strategii przyjęte w zakresie badanego obszaru - realność i spójność założeń,
stopień ich realizacji, zidentyfikować przyczyny braku realizacji założeń w poszczególnych
obszarach (ocena powinna dotyczyć zarówno założeń zawartych w głównej strategii działania
banku, jak i strategii opisanych w regulacjach dotyczących poszczególnych obszarów);
2) ocenić założenia planu finansowego (adekwatność procesu planowania) i stopień ich realizacji
(ewentualnie programu naprawczego), zidentyfikować przyczyny braku realizacji założeń,
ocenić zgodność planu finansowego z założeniami strategii działania (założenia zawarte w
planie finansowym powinny zapewniać realizację przyjętych długoterminowych założeń
strategicznych);
3) ocenić poprawność i adekwatność obowiązujących procedur dotyczących zarządzania ryzykiem
w zakresie badanego obszaru oraz pozostałych regulacji zewnętrznych normujących proces
zarządzania ryzykiem; wskazać przypadki nieprawidłowych zapisów w procedurach
(niezgodnych z regulacjami zewnętrznymi lub niezgodnych z zapisami innych regulacji
wewnętrznych); wskazać przypadki braku procedur;
4) wskazać nieprawidłowości stwierdzone w zapisach Regulaminu organizacyjnego i ich wpływ
na poprawność i efektywność rozwiązań organizacyjnych (wskazać ewentualne rozbieżności
pomiędzy zapisami Regulaminu organizacyjnego a rozwiązaniami stosowanymi w praktyce,
wskazać ewentualne niezgodności zakresów czynności z obowiązkami wynikającym z zapisów
Regulaminu organizacyjnego), określić, czy w badanym obszarze jasno wskazano podział
obowiązków (osoby odpowiedzialne za nadzór nad danym ryzykiem z ramienia Zarządu Banku
oraz za identyfikację, pomiar i monitorowanie);
5) ocenić, czy wprowadzony podział realizowanych zadań zapewnia niezależność funkcji
pomiaru, monitorowania i kontrolowania ryzyka od działalności operacyjnej, z której to ryzyko
wynika;
6) ocenić dostosowanie przyjętych metod identyfikacji, pomiaru (w tym przeprowadzania testów
warunków skrajnych) i monitorowania ryzyka, oraz częstotliwości pomiaru do profilu, skali i
złożoności ryzyka, ocenić organizację procesu identyfikacji, pomiaru i monitorowania ryzyka,
ocenić działalność komitetów/ zespołów problemowych działających w Banku;
43
7) ocenić przyjęty w Banku system limitów (ich adekwatność, kompletność, zasady ustalania,
zatwierdzania i aktualizowania, częstotliwość monitorowania i raportowania, dopuszczalne
przekroczenia, działania podejmowane w przypadku przekraczania limitów) oraz pozostałych
regulacji zewnętrznych normujących proces zarządzania badanym obszarem;
8) ocenić system informacji zarządczej, w tym poprawność formalnego opisania działania systemu
(poprzez ocenę zapisów normujących działanie systemu informacji zarządczej, ich wzajemnej
zgodności); sporządzaną informację zarządczą ocenić pod kątem jej rzetelności (czy nie
zawiera błędów), zakresu i dokładności, (czy obejmuje wszystkie ważne zagadnienia, czy nie
wymaga uzupełnienia) aktualności oraz częstotliwości (czy jest dostosowana do poziomu
ponoszonego ryzyka);
9) oraz pozostałych regulacji zewnętrznych normujących proces zarządzania badanym obszarem;
10) ocenić adekwatność i kompletność procesu przygotowawczego przeprowadzanego przed
wprowadzaniem nowych produktów finansowych w zakresie badanego obszaru;
11) ocenić skuteczność ujawniania błędów i nieprawidłowości w toku kontroli wewnętrznej oraz
skuteczność podejmowanych działań naprawczych i korygujących (na podstawie np. ewidencji,
raportów i sprawozdań z kontroli wewnętrznej w zakresie badanego obszaru oraz ustaleń
własnych);
12) ocenić adekwatność i efektywność działań komórki ds. ryzyka braku zgodności oraz
skuteczność podejmowanych działań naprawczych i korygujących (na podstawie np.
okresowych sprawozdań sporządzanych przez komórkę oraz ustaleń własnych);
13) ocenić realizację wydanych zaleceń po ostatniej przeprowadzonej kontroli wewnętrznej
instytucjonalnej (dotyczy kontroli obejmujących dane zagadnienie po raz kolejny);
14) wskazać niezbędne zmiany i usprawnienia konieczne do wprowadzenia w zakresie zarządzania
i nadzoru nad badanym obszarem;
15) ocenić przestrzeganie przyjętych w Banku zasad dotyczących polityki informacyjnej – należy
uwzględnić m.in. zapisy Uchwały nr 385/2008 Komisji Nadzoru Finansowego z dnia 17
grudnia 2008 roku w sprawie szczegółowych zasad i sposobu ogłaszania przez banki informacji
o charakterze jakościowym i ilościowym dotyczących adekwatności kapitałowej oraz zakresu
informacji podlegających ogłaszaniu;
16) ocenić przestrzeganie przepisów prawa dotyczących czynności zlecanych przez Bank do
wykonania podmiotom zewnętrznym (outsourcing).
§19
Wymienione w § 18 w punktach od 1 do 15 zagadnienia wymagają uwzględnienia w przypadku
kompleksowej kontroli danego obszaru (ryzyka kredytowego, ryzyka koncentracji zaangażowań,
operacyjnego, stopy procentowej, płynności, walutowego, obszaru wyniku finansowego i
adekwatności kapitałowej) niemniej jednak poszczególne wymienione zagadnienia mogą być
odrębnymi tematami kontroli - wówczas konieczna będzie kompleksowa ocena badanych
zagadnień w skali całego Banku (a nie jedynie wybranego obszaru).
Rozdział 3. Raport pokontrolny – wymagania formalne
§ 20
Elementy, jakie zawierać powinien raport pokontrolny wymienione zostały w Regulaminie kontroli
wewnętrznej.
§ 21
Wskazane jest, aby strona kontrolowana poinformowana została o wszystkich stwierdzonych
naruszeniach regulacji zewnętrznych oraz naruszeniach regulacji wewnętrznych jeszcze w toku
kontroli; ułatwi to przygotowanie stronie kontrolowanej ewentualnych wyjaśnień.
§ 22
1. Brak w raporcie konkretnej oceny dotyczącej danej nieprawidłowości możliwy jest jedynie w
sytuacji, kiedy rozwiązanie problemu wymaga uzyskania opinii prawnej lub eksperckiej.
44
2. O zaistnieniu sytuacji, o której mowa w ust. 1 strona kontrolowana powinna zostać
poinformowana w czasie kontroli a audytor wewnętrzny informuje o tym Zarząd.
§ 23
1. Wskazując w raporcie naruszenia regulacji wewnętrznych w badanych obszarach należy
koncentrować się na regulacjach obowiązujących na datę kontroli.
2. Do nieobowiązujących już regulacji należy odnieść się w przypadku, gdy ich nieprawidłowe
zapisy znacząco wpłynęły na stwierdzoną w toku kontroli ilość i wagę naruszeń.
3. Jeżeli w toku kontroli stwierdzono naruszenia regulacji obowiązujących w okresie
kontrolowanym lecz zastąpionych na datę kontroli (lub też po dacie kontroli, ale jednocześnie
przed dniem zakończenia czynności kontrolnych) nowymi regulacjami, wówczas należy
wskazać je, oceniając jednocześnie, czy nowo wprowadzone regulacje niwelują
nieprawidłowości w zapisach.
§ 24
Na życzenie Zarządu lub Rady Nadzorczej Banku audytor wewnętrzny zobowiązany jest do
omówienia i bliższego wyjaśnienia ustaleń zawartych w raporcie pokontrolnym.
Rozdział V. Zalecenia pokontrolne
§ 25
1. Zalecenia pokontrolne wydaje Prezes Zarządu Banku.
2. Podstawą do sformułowania treści zaleceń są ustalenia zawarte w raporcie pokontrolnym i
propozycja zaleceń pokontrolnych przygotowana przez audytora wewnętrznego.
45
Załącznik nr 9 do Regulaminu kontroli wewnętrznej i audytu
Arkusz oceny skuteczności i adekwatności systemu kontroli wewnętrznej
L.p. Cel kontroli mierniki wymagany poziom
miernika
zrealizowany
poziom miernika
oczekiwany stopień
realizacji
Ocena miernika
(zrealizowany 1,
niezrealizowany 0)
1
Zapewnienie skuteczności i
efektywności działania banku
Wynik finansowy 100% poziomu
planowanego
80% poziomu
planowanego
2 C/I Max. 80%
120% poziomu
planowanego
3 ROE 5%
80% poziomu
planowanego
4 ROA 0,1%
80% poziomu
planowanego
5
zapewnienie wiarygodności
sprawozdawczości finansowej
Ilość błędów krytycznych
wykazanych przez Firmę
Audytorską
1
5 błędów
6 Korekta wyniku finansowego o 20%
o 20%
7
Wysokość kar finansowych
nałożonych przez organy
nadzorcze
2% FW
2% FW
8
zapewnienie przestrzegania
zasad zarządzania ryzykiem w
banku
Obligo kredytów
zagrożonych Max.8%
150% poziomu
planowanego
9 Koszty rezerw celowych 100% poziomu
planowanego
150% poziomu
planowanego
10 Wskaźnik LCR Min. 120%
90% poziomu
planowanego
46
11 Koszty zdarzeń ryzyka
operacyjnego
80% utworzonego
wymogu
kapitałowego
100% utworzonego
wymogu
kapitałowego
12
zapewnienie zgodności
działania banku z przepisami
prawa, regulacjami
wewnętrznymi i standardami
rynkowymi
Suma kar finansowych
nałożonych przez instytucje
nadzorcze za błędy w
sprawozdaniach
2% FW
120% limitu
13 Ilość skarg i reklamacji powyżej 20
miesięcznie
powyżej 20
miesięcznie
14 Ilość niezrealizowanych
zaleceń audytu 5
5
15 Ilość niezrealizowanych
zaleceń kontroli KNF 5
5
Suma punktów 0
Sporządził:
Ilość punktów Ocena skuteczności SKW
12 - 15 skuteczna
8 - 11 mało skuteczna
0 – 7 nieskuteczna