regulamin kontroli wewnętrznej - BPI Bank Polskich Inwestycji SA

Transkrypt

REGULAMIN KONTROLI WEWNĘTRZNEJ
BPI Bank Polskich Inwestycji S.A.
Regulamin przyjęty Uchwałą Rady Nadzorczej nr 15/2013
SPIS TREŚCI
1.
POSTANOWIENIA OGÓLNE. ...................................................................................................................3
2.
GŁÓWNE ZAŁOŻENIA DOTYCZĄCE SYSTEMÓW KONTROLI WEWNĘTRZNEJ. ..................3
3.
SPOSÓB SPRAWOWANIA KONTROLI FUNKCJONALNEJ. .............................................................4
4.
SPOSÓB SPRAWOWANIA KONTROLI INSTYTUCJONALNEJ. ......................................................6
5.
ZADANIA AUDYTORA WEWNĘTRZNEGO..........................................................................................7
6.
RODZAJE
I
ZAKRES
KONTROLI
PROWADZONYCH
PRZEZ
AUDYTORA
WEWNĘTRZNEGO, JEGO UPRAWNIENIA I ZAKRES ODPOWIEDZIALNOŚCI. .......................8
7.
OBOWIĄZKI I PRAWA KONTROLOWANYCH KOMÓREK ORGANIZACYJNYCH. ...............10
8.
ZAKRES KONTROLI PROWADZONYCH PRZEZ AUDYTORA WEWNĘTRZNEGO. ...............10
9.
PROCES KONTROLI KOMÓREK ORGANIZACYJNYCH. ..............................................................11
10. INFORMOWANIE
ORGANÓW
BANKU
O
DZIAŁALNOŚCI
AUDYTORA
WEWNĘTRZNEGO. .......................................................................................................................... 14
11. POSTANOWIENIA KOŃCOWE. .............................................................................................................14
strona 2 z 14
1.
POSTANOWIENIA OGÓLNE.
1.1
Wdrożenie i utrzymywanie adekwatnych do działalności Banku systemów kontroli wewnętrznej ma na
celu zapewnienie bezpieczeństwa i stabilności funkcjonowania oraz harmonijny rozwój BPI Banku
Polskich Inwestycji S.A. (zwanego dalej „Bankiem”).
1.2
Za realizację tego zadania odpowiedzialna jest Rada Nadzorcza wraz z Zarządem Banku oraz wszystkie
jego komórki organizacyjne.
1.3
Kontrola wewnętrzna w Banku umocowana jest w oparciu o następujące zapisy prawne: art. 9, 9a-9f
Prawa Bankowego, Rekomendacja H Komisji Nadzoru Finansowego, Uchwały 258/2011 z 4
października 2011 roku Komisji Nadzoru Finansowego, § 24 Statutu Banku, Wytyczne nr 40 Komitetu
Bazylejskiego – Struktura Systemów Kontroli Wewnętrznej w Instytucjach Bankowych oraz
Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego.
2.
GŁÓWNE ZAŁOŻENIA DOTYCZĄCE SYSTEMÓW KONTROLI WEWNĘTRZNEJ.
2.1
System kontroli wewnętrznej ma na celu zapewnienie zgodności podejmowanych przez Bank działań i
przeprowadzanych operacji z przepisami prawa, zarówno zewnętrznymi jak i wewnętrznymi,
prawidłowości identyfikacji i monitorowania ryzyk występujących w działalności Banku, a także
zapewnienie dostarczania wiarygodnych i kompletnych informacji.
2.2
System kontroli wewnętrznej to struktury organizacyjne oraz wykonywane przez nie procesy służące
realizacji celów kontroli wewnętrznej. System kontroli wewnętrznej stanowi wsparcie dla Zarządu
Banku we właściwym kierowaniu Bankiem i narzędzie dla Rady Nadzorczej w nadzorowaniu
działalności Banku.
2.3
Dla osiągnięcia swoich celów kontrola wewnętrzna identyfikuje występujące w Banku obszary ryzyka i
dokonuje oceny czy są one przez właściwe komórki organizacyjne dostrzeżone, zrozumiane,
monitorowane i właściwie zarządzane.
2.4
Skuteczność kontroli wewnętrznej opiera się na następujących filarach:
2.5
2.4.1
Świadomości potrzeby kontroli wśród kierownictwa i pracowników Banku,
2.4.2
Odpowiedniej strukturze organizacyjnej, zapewniającej właściwy podział kompetencji i
odpowiedzialności, a zwłaszcza eliminacji wykonywania przez tego samego pracownika lub
komórkę organizacyjną czynności będących ze sobą w konflikcie (sprzecznych),
2.4.3
Wykonywaniu z odpowiednią częstotliwością czynności kontrolnych,
2.4.4
Szybkim wdrażaniu postępowań naprawczych i eliminowaniu błędów na przyszłość,
2.4.5
Kompleksowości - oznaczającej uczestnictwo w procesie kontroli wewnętrznej wszystkich
pracowników i wszystkich komórek organizacyjnych Banku.
Na system kontroli wewnętrznej składają się dwa niezależne elementy:
2.5.1
Kontrola funkcjonalna,
2.5.2
Kontrola instytucjonalna.
strona 3 z 14
3.
SPOSÓB SPRAWOWANIA KONTROLI FUNKCJONALNEJ.
3.1
Kontrola funkcjonalna dotyczy całokształtu działalności Banku i jest sprawowana przez każdego
pracownika w zakresie jakości i poprawności wykonywanych czynności. Celem kontroli funkcjonalnej
jest stała weryfikacja poprawności działania banku na wszystkich szczeblach organizacyjnych,
obejmująca m.in. proces przestrzegania wewnętrznych procedur, limitów, fizycznych zabezpieczeń
dostępu, uprawomocnienia i autoryzacji. Ma także zapewnić bieżące reagowanie na pojawiające się
nieprawidłowości, w tym nieprawidłowości dotyczące przyjętych mechanizmów i procedur kontrolnych.
3.2
Za poprawność zorganizowania i działania kontroli funkcjonalnej odpowiada kierujący daną komórką
organizacyjną Banku.
3.3
Kontrola funkcjonalna składa się z następujących elementów:
3.4
3.3.1
samokontrola – przeprowadzana przez pracownika wykonującego daną czynność. Obowiązek
samokontroli jest jednym z podstawowych obowiązków pracowniczych na każdym stanowisku
pracy,
3.3.2
akceptacja operacji „na drugą rękę”, tam gdzie procedury takiej akceptacji wymagają, to jest
powtórne sprawdzenie dokumentów lub operacji pod względem formalnym, merytorycznym i
rachunkowym przed ich podpisaniem bądź wykonaniem,
3.3.3
kontrola przez przełożonego – weryfikacja poprawności przeprowadzonych przez pracownika
operacji lub transakcji. Kontrola ta jest jednym z podstawowych obowiązków kierujących
komórkami organizacyjnymi na wszystkich szczeblach,
3.3.4
kontrola wzajemna – dotyczy procesów prowadzonych wspólnie przez dwie (lub więcej)
komórki organizacyjne.
Sprawowanie kontroli funkcjonalnej odbywa się w dwóch etapach:
3.4.1
Czynności kontrolne wykonywane są przez pracownika przed i w trakcie wykonywania
czynności (kontrola „ex ante”). Do czynności tych należy: sprawdzenie czy operacja, którą
zamierza się wykonać jest legalna w świetle przepisów zewnętrznych oraz wewnętrznych
przepisów Banku, czy mieści się w przyjętych limitach, czy posiadana dokumentacja jest
rzetelna i kompletna (w szczególności sprawdzenie kompletności i jakości dokumentacji
załączonej do wniosku kredytowego, projektów umów i innych dokumentów powodujących
powstanie zobowiązań) oraz czy sama operacja jest wykonana poprawnie. W ramach tej
kontroli mieści się akceptacja operacji – na tzw. „drugą rękę”.
3.4.2
Sprawdzenie przez przełożonego (lub innego pracownika) zgodności przeprowadzonej operacji
z dokumentami źródłowymi (kontrola „ex post”) – tzw. kontrola następna. Kontrola ta ma na
celu ponowne zweryfikowanie poprawności przeprowadzonej operacji. O częstotliwości i
zakresie kontroli ex post decyduje kierujący komórką organizacyjną (o którym mowa w Punkcie
3.2. powyżej) na podstawie przeprowadzonej przez siebie analizy i oceny ryzyka danego
obszaru. Kontrola następna może dotyczyć jedynie niektórych aspektów badanego zagadnienia
(wycinkowa) lub całokształtu problematyki związanej z realizacją procesu czy procedury
bankowej (kompleksowa).
strona 4 z 14
3.4.3
Świadectwem przeprowadzonej akceptacji jest podpis pracownika wykonującego i pracownika
akceptującego daną operację lub stosowna akceptacja elektroniczna – tam gdzie przewidziano
taką możliwość.
3.4.4
Świadectwem przeprowadzenia kontroli następnej jest adnotacja na kontrolowanym
dokumencie lub notatka służbowa, potwierdzająca jej wykonanie – opatrzone podpisem osoby
kontrolującej oraz datą przeprowadzenia kontroli.
3.5
Wszelkie działania związane z prowadzeniem kontroli funkcjonalnej wraz z ich udokumentowaniem
podlegają ocenie przez Audytora Wewnętrznego.
3.6
Kierujący komórkami organizacyjnymi, obowiązani są, w cyklu kwartalnym – do końca miesiąca
następnego po zakończeniu kwartału, przedstawić Audytorowi Wewnętrznemu syntetyczną informację
obejmującą wykonanie kontroli wewnętrznej następnej w danej jednostce.
3.7
W przypadku ujawnienia nieprawidłowości w trakcie kontroli ex ante, kontrolujący:
3.8
3.9
(a)
zwraca nieprawidłowe dokumenty właściwym komórkom organizacyjnym/ lub
pracownikom z wnioskiem o uzupełnienie, zmianę lub wyjaśnienie przyczyn
nieprawidłowości,
(b)
odmawia podpisu dokumentów niezgodnych z obowiązującymi
(zewnętrznymi lub wewnętrznymi) i zawiadamia przełożonego,
(c)
podejmuje inne czynności mające na celu usunięcie nieprawidłowości.
przepisami
W przypadku stwierdzenia w trakcie kontroli ex ante bądź ex post nieprawidłowości mających charakter
nadużycia, przestępstwa lub naruszenia obowiązków pracowniczych należy:
(a)
zawiadomić niezwłocznie bezpośredniego przełożonego oraz Audytora Wewnętrznego,
(b)
zabezpieczyć dokumenty lub przedmioty stanowiące dowód nieprawidłowości.
Audytor Wewnętrzny otrzymawszy zawiadomienia o nieprawidłowości mającej charakter nadużycia,
przestępstwa lub naruszenia obowiązków pracowniczych niezwłocznie przeprowadza postępowanie
wyjaśniające w celu:
(a)
ustalenia przyczyn i okoliczności nieprawidłowości oraz osób za nie odpowiedzialnych,
(b)
określenia skutków finansowych nadużycia lub przestępstwa,
(c)
zaproponowania działań mających na celu wyeliminowanie podobnych zdarzeń w
przyszłości,
(d)
podjęcia dalszych działań w porozumieniu z Zarządem Banku.
strona 5 z 14
4.
SPOSÓB SPRAWOWANIA KONTROLI INSTYTUCJONALNEJ.
4.1
Kontrola instytucjonalna wykonywana jest przez niezależną, wyspecjalizowaną komórkę organizacyjną
działającą w Banku – Audytora Wewnętrznego.
4.2
Zadaniem kontroli instytucjonalnej jest badanie i ocena, w sposób niezależny i obiektywny,
adekwatności i skuteczności systemu kontroli wewnętrznej oraz opiniowanie zarządzania Bankiem, w
tym skuteczności zarządzania ryzykiem związanym z działalnością Banku, sprawdzanie zgodności z
przepisami zewnętrznymi i wewnętrznymi działalności Banku jako całości, działań poszczególnych
komórek organizacyjnych oraz badanie organizacji i koordynacji działań pomiędzy komórkami
organizacyjnymi.
4.3
Częstotliwość przeprowadzanych kontroli zależy od zidentyfikowanych w danych obszarach poziomów
ryzyka:
4.4
4.5
4.6
4.3.1
W przypadku stwierdzonego wysokiego poziomu ryzyka danego obszaru działalności Banku –
audyt należy przeprowadzać przynajmniej raz na 12 miesięcy,
4.3.2
W przypadku stwierdzonego średniego poziomu ryzyka danego obszaru działalności Banku –
audyt należy przeprowadzać przynajmniej raz na 24 miesiące,
4.3.3
W przypadku stwierdzonego niskiego poziomu ryzyka danego obszaru działalności Banku –
audyt należy przeprowadzać przynajmniej raz na 36 miesięcy,
Efektywne działanie kontroli instytucjonalnej jest uwarunkowane niezależnością, bezstronnością i
fachowością Audytora Wewnętrznego. Dla wypełnienia tych warunków w Banku przyjęto następujące
założenia dotyczące pełnienia funkcji kontrolnych przez Audytora Wewnętrznego:
4.4.1
stanowisko Audytora Wewnętrznego jest podporządkowane bezpośrednio Prezesowi Zarządu
Banku,
4.4.2
Audytor Wewnętrzny nie uczestniczy w żadnych działaniach operacyjnych Banku,
4.4.3
powołanie i odwołanie Audytora Wewnętrznego podlega zatwierdzeniu przez Radę Nadzorczą
Banku. Informacja ta podawana jest również do Komisji Nadzoru Finansowego,
4.4.4
osoba piastująca stanowisko Audytora Wewnętrznego spełnia wysokie standardy norm
etycznych i kwalifikacji zawodowych. Zarząd Banku wspomaga Audytora Wewnętrznego w
ciągłym podnoszeniu kwalifikacji zawodowych,
4.4.5
Audytor Wewnętrzny uczestniczy w posiedzeniach Zarządu Banku i Rady Nadzorczej Banku
dotyczących spraw związanych z kontrolą wewnętrzną.
Audyt wewnętrzny prowadzony jest w oparciu o dwa rodzaje planów kontroli:
4.5.1
trzyletnie strategiczne plany kontroli, zawierające plany kontroli wszystkich obszarów
działalności Banku,
4.5.2
roczne plany kontroli, zawierające szczegółowe plany kontroli obszarów działalności
wynikających z planu trzyletniego.
Plany kontroli są zatwierdzane przez Zarząd, w terminie do końca stycznia roku, którego dotyczy plan
roczny i podlegają akceptacji przez Radę Nadzorczą Banku na pierwszym po tej dacie posiedzeniu Rady.
strona 6 z 14
4.7
Audytor Wewnętrzny ma obowiązek przeprowadzać na zlecenie Prezesa Zarządu lub Rady Nadzorczej
kontrole nieprzewidziane w planach kontroli wewnętrznej (kontrole doraźne).
4.8
Audytor Wewnętrzny ma prawo występowania do kierowników komórek organizacyjnych Banku o
przekazywanie danych dotyczących prowadzonej działalności. Przekazanie takich danych powinno
nastąpić bez zbędnej zwłoki.
5.
ZADANIA AUDYTORA WEWNĘTRZNEGO.
5.1
Do zadań Audytora Wewnętrznego należy:
5.1.1
dostarczanie władzom Banku niezależnej i obiektywnej oceny sposobu jego zorganizowania i
funkcjonowania, zwłaszcza poprzez ocenę mechanizmów, procedur i skuteczności kontroli
wewnętrznej w Banku;
5.1.2
zapewnienie realizacji polityki kierownictwa Banku;
5.1.3
zapobieganie powstawania strat, błędów i nadużyć finansowych;
5.1.4
ujawnianie wszelkich braków i nieprawidłowości w działalności Banku;
5.1.5
zapewnienie zgodności wszystkich działań z ustawodawstwem zewnętrznym, regulacjami
wewnętrznymi Banku oraz zasadami wiedzy fachowej;
5.1.6
współpraca z organami nadzoru bankowego, audytem wewnętrznym Grupy GNB, audytorami
zewnętrznymi oraz innymi instytucjami, stosownie do zaleceń Prezesa Zarządu Banku;
5.1.7
opiniowanie wydawanych w Banku przepisów wewnętrznych;
5.1.8
badanie prawidłowości i rzetelności sprawozdań i informacji składanych przez Bank;
5.1.9
opracowywanie, przy uwzględnieniu analizy ryzyka i wniosków Zarządu Banku i Rady
Nadzorczej, projektów rocznego i trzyletniego planu kontroli wewnętrznych. Plany te są
przedstawiane Zarządowi Banku do dnia 15 stycznia roku, którego dotyczy plan roczny, lub na
pierwszym posiedzeniu Zarządu w danym roku.
5.1.10
przeprowadzanie kontroli w komórkach organizacyjnych, sporządzanie materiałów z kontroli i
zaleceń pokontrolnych oraz przeprowadzanie postępowań pokontrolnych,
5.2
Naczelnym priorytetem przeprowadzanych badań i ocen jest odniesienie do ryzyk występujących w
Banku.
5.3
Audytor Wewnętrzny wykonuje swoje obowiązki obiektywnie, rzetelnie i z rozwagą. Formułując w toku
kontroli wnioski zobowiązany jest je uzasadnić i bronić wyrażonego zdania. Jest zobowiązany do
zachowania lojalności wobec Banku we wszystkich sprawach dotyczących zakresu działalności Banku
oraz zachować w tajemnicy, wobec osób nieupoważnionych, wszystkie fakty ujawnione w trakcie
kontroli.
strona 7 z 14
6.
RODZAJE I ZAKRES KONTROLI PROWADZONYCH PRZEZ AUDYTORA WEWNĘTRZNEGO,
JEGO UPRAWNIENIA I ZAKRES ODPOWIEDZIALNOŚCI.
6.1
Zakres zadań Audytora Wewnętrznego obejmuje w szczególności:
6.1.1
6.2
kontrolę przestrzegania przepisów dotyczących ochrony interesów Banku oraz bezpieczeństwa i
prawidłowości operacji bankowych przez:
(a)
ocenę struktur organizacyjnych Banku, ze szczególnym uwzględnieniem ich dostosowania
do zmieniających się warunków,
(b)
ocenę prawidłowości podziałów kompetencji oraz kontrolę ich przestrzegania,
(c)
ocenę wewnętrznej spójności obowiązujących zarządzeń,
(d)
kontrolę przestrzegania, przez wszystkie jednostki organizacyjne Banku, obowiązujących
przepisów wewnętrznych,
(e)
kontrolę prawidłowości wykonywania i księgowania operacji bankowych oraz ich
zgodności z przepisami wewnętrznymi Banku,
(f)
ocenę przestrzegania ustalonych procedur formalno-prawnych
merytorycznej w działalności kredytowej, gwarancyjnej itp.,
(g)
kontrolę stanu zabezpieczenia tajemnicy bankowej przed przypadkowym lub celowym jej
naruszeniem,
(h)
kontrola i ocena bezpieczeństwa systemów informatycznych oraz informacji w nich
zawartych,
(i)
kontrolę właściwego obiegu informacji w Banku, a szczególnie informowanie zarządu o
stwierdzonych nieprawidłowościach;
oraz
zasadności
6.1.2
Przedkładanie projektów zaleceń pokontrolnych mających na celu eliminację stwierdzonych
nieprawidłowości wraz z propozycją zmiany błędnej praktyki oraz prowadzenie rekontroli.
6.1.3
Współpraca z organami nadzoru bankowego, audytem wewnętrznym Grupy GNB, audytorami
zewnętrznymi oraz innymi instytucjami.
6.1.4
Możliwość, w uzasadnionych przypadkach, wnioskowania o zlecenie przeprowadzenia audytu
wewnętrznego wybranego obszaru działalności Banku, zewnętrznym firmom audytorskim.
Audytor Wewnętrzny realizuje swoje zadania poprzez:
6.2.1
kompleksowe kontrole komórek organizacyjnych Banku – planowane lub doraźne, dotyczące
wszystkich procedur operacyjnych i produktów występujących w badanej komórce
organizacyjnej,
6.2.2
problemowe (tematyczne) kontrole komórek organizacyjnych Banku – planowane lub doraźne,
dotyczące wybranego procesu, produktu lub operacji,
6.2.3
postępowanie wyjaśniające lub sprawdzające.
strona 8 z 14
6.3
Kontrole doraźne – odbywają się na zlecenie Prezesa Zarządu, Zarządu bądź Rady Nadzorczej Banku i
obejmują dowolne tematy wskazane w zleceniu kontroli.
6.4
Dla wykonywania zadań kontrolnych w sposób kompletny i skuteczny Audytor Wewnętrzny otrzymuje
na czas kontroli danej komórki organizacyjnej następujące uprawnienia do:
6.4.1
przebywania w siedzibie kontrolowanej komórki organizacyjnej, łącznie z dostępem do
pomieszczeń o charakterze specjalnym.
6.4.2
nieograniczonego dostępu do dokumentacji źródłowej i roboczej z prawem ich kopiowania oraz
zatrzymywania oryginałów dokumentów (za pisemnym potwierdzeniem odbioru),
6.4.3
nieograniczonego dostępu do systemu informatycznego, jednak bez prawa ingerencji w zapisy,
6.4.4
otrzymywania wydruków z tego systemu,
6.4.5
żądania pisemnych i ustnych wyjaśnień od kierującego oraz od pracowników komórki
organizacyjnej,
6.4.6
dostępu do informacji niejawnych,
6.4.7
asystowania przy wszelkich czynnościach związanych z działalnością kontrolowanej komórki
organizacyjnej Banku,
6.4.8
występowania z wnioskiem o powołanie rzeczoznawców, jeżeli okaże się to konieczne,
6.4.9
występowania w razie konieczności do kierującego kontrolowaną komórką organizacyjną o
wydanie doraźnych poleceń (o charakterze tymczasowym) w celu zminimalizowania szkód lub
ograniczenia stwierdzonych ryzyk,
6.4.10
rozszerzenia zakresu kontroli, jeżeli okaże się to konieczne w toku kontroli, zawiadamiając o
tym niezwłocznie kierującego komórką organizacyjną Banku i zamieszczając na tę okoliczność
odpowiednią adnotację w raporcie z kontroli.
6.5
Częstotliwość kontroli poszczególnych zagadnień jest zróżnicowana i wynika z profilu ryzyka danej
jednostki, procesu, produktu.
6.6
Odpowiedzialność Audytora Wewnętrznego.
6.6.1
Na Audytorze Wewnętrznym spoczywa odpowiedzialność za przeprowadzenie kontroli w
sposób skuteczny i w miarę możliwości jak najmniej zakłócający codzienną pracę
kontrolowanej jednostki.
6.6.2
Szczególną odpowiedzialność Audytor Wewnętrzny ponosi za:
(a)
właściwe zaplanowanie i przeprowadzenie kontroli,
(b)
jasne zaprezentowanie wyników kontroli wraz z wnioskami,
(c)
odpowiednie zabezpieczenie materiałów zebranych podczas kontroli, ze szczególnym
uwzględnieniem zabezpieczenia materiałów niejawnych.
strona 9 z 14
7.
OBOWIĄZKI I PRAWA KONTROLOWANYCH KOMÓREK ORGANIZACYJNYCH.
7.1
Kontrolowane komórki organizacyjne mają następujące obowiązki i prawa:
7.1.1
zapewnienie dostępu do wszelkich materiałów związanych z kontrolowanym obszarem,
7.1.2
niezwłoczne udzielanie kontrolującemu wyjaśnień ustnych lub pisemnych,
7.1.3
zapoznanie się z protokołem pokontrolnym, ewentualne zgłoszenie uwag – zgodnie z
postanowieniami punktu 9.7 niniejszego Regulaminu.,
7.1.4
terminowa realizacja zaleceń pokontrolnych oraz terminowe składanie informacji dotyczących
realizacji zaleceń.
8.
ZAKRES KONTROLI PROWADZONYCH PRZEZ AUDYTORA WEWNĘTRZNEGO.
8.1
Zakres badań kontrolnych zależy od oceny przez Audytora Wewnętrznego poziomu ryzyka i jego
istotności mierzonej możliwym wpływem (bezpośrednim lub pośrednim) na wynik finansowy Banku.
8.2
Identyfikacja ryzyka, wskazanie obszarów zwiększonego ryzyka, opracowanie metod jego mierzenia i
ograniczania należy do zadań wymienionych poniżej komórek organizacyjnych Banku:
8.3
8.2.1
Dział Zarządzania Ryzykiem Kredytowym - w zakresie ryzyka kredytowego,
8.2.2
Dział Controllingu – w zakresie ryzyk rynkowych (stopy procentowej i kursowego) oraz ryzyka
płynności,
8.2.3
Koordynator ds. zarządzania ryzykiem operacyjnym i BCP (kontynuowania działalności na
wypadek awarii) – w zakresie ryzyk operacyjnych.
W celu właściwego i efektywnego wykonywania swoich zadań Audytor Wewnętrzny opracowuje
metodologię audytu wewnętrznego, zatwierdzaną przez Prezesa Zarządu Banku. Dokument ten zawiera
w szczególności:
8.3.1
opis obszarów ryzyka – te dziedziny działalności, które charakteryzują się możliwością
wystąpienia strat, z uwzględnieniem poziomu istotności dla funkcjonowania banku,
8.3.2
określenie zakresu kontroli dla zidentyfikowanych obszarów ryzyka i częstotliwość kontroli,
8.3.3
sposób doboru próby do badania, w przypadku, gdy nie jest możliwe zbadanie całego zbioru,
8.3.4
opis badania, tj. co jest sprawdzane, listy dokumentów, rejestry operacji, itp.,
8.3.5
wzór raportu pokontrolnego i jego rozdzielnik,
8.3.6
procedura apelacji od ustaleń pokontrolnych,
8.3.7
sposób sprawdzania realizacji zaleceń pokontrolnych.
strona 10 z 14
9.
PROCES KONTROLI KOMÓREK ORGANIZACYJNYCH.
9.1
Przygotowanie kontroli.
9.2
9.1.1
Na tym etapie Audytor Wewnętrzny zbiera wszelkie informacje niezbędne do zbadania danej
komórki organizacyjnej, takie jak przepisy zewnętrzne i wewnętrzne regulujące działanie danej
komórki, stosowane przez tą komórkę procedury oraz wszelką dokumentację związaną z
prowadzonymi przez tę komórkę operacjami.
9.1.2
W ramach przygotowania kontroli Audytor Wewnętrzny sporządza harmonogram kontroli.
Harmonogram taki powinien zawierać:
(a)
cel kontroli, wskazujący badany obszar ryzyka.
(b)
czas trwania kontroli, z podaniem daty rozpoczęcia i zakończenia,
(c)
przedmiot kontroli,
(d)
metodę kontroli.
Przeprowadzenie kontroli.
9.2.1
Audytor Wewnętrzny powiadamia kierującego komórką organizacyjna o planowanym
rozpoczęciu kontroli co najmniej na 3 dni naprzód. Nie dotyczy to kontroli doraźnych, gdzie
występuje podejrzenie przekroczenia uprawnień lub powstania nadużyć.
9.2.2
Podstawą do przeprowadzenia audytu jest pisemne zarządzenie kontroli, wskazujące termin,
zakres audytu oraz skład zespołu audytorskiego – wydane przez Prezesa Zarządu Banku lub
osobę go zastępującą. Zarządzenie kontroli może zostać wydane także przez Radę Nadzorczą
Banku.
9.2.3
W pracach audytorskich oprócz Audytora Wewnętrznego mogą brać także udział inne osoby,
imiennie wskazane w zarządzeniu kontroli. Przy doborze innych osób do prac audytorskich
należy mieć na uwadze zapewnienie niezależności i obiektywizmu badań oraz zachowanie
tajemnicy bankowej.
9.2.4
Audytor Wewnętrzny prowadzi dokumentację kontroli według schematu opisanego w
metodologii audytu wewnętrznego.
9.2.5
W trakcie przeprowadzania kontroli Audytor Wewnętrzny korzysta z dokumentów
zgromadzonych na wcześniejszym etapie, dokumentów pozyskanych w trakcie
przeprowadzanej kontroli, informacji pozyskanych od kierującego i pracowników komórki
organizacyjnej. Informacje te mogą być przekazane w formie ustnej lub pisemnej. Na podstawie
informacji ustnych Audytor Wewnętrzny może sporządzić notatkę. Notatka taka jest
podpisywana przez Audytora Wewnętrznego oraz pracownika lub kierującego daną komórką
organizacyjną
9.2.6
Wszystkie uzyskane informacje, nasuwające podejrzenie popełnienia przestępstwa, wymagają
zbadania ich wiarygodności przez Audytora Wewnętrznego w toku kontroli.
9.2.7
W razie ujawnienia w toku kontroli znamion przestępstwa, Audytor Wewnętrzny niezwłocznie
informuje o tym fakcie Zarząd Banku.
strona 11 z 14
9.2.8
W razie stwierdzenia w toku przeprowadzania kontroli okoliczności stanowiących zagrożenie
dla interesów Banku (strat lub niekontrolowanej ekspozycji na różne ryzyka), Audytor
Wewnętrzny bezzwłocznie informuje o tym kierującego daną komórką organizacyjną oraz
Zarząd Banku.
9.2.9
Kontrola wewnętrzna nie powinna trwać dłużej niż 60 dni kalendarzowych. W uzasadnionych
przypadkach okres ten może być przedłużony przez zarządzającego przeprowadzenie kontroli.
9.3
Kontrola wewnętrzna przeprowadzana jest w czasie pracy obowiązującym w kontrolowanej komórce
organizacyjnej Banku, w sposób w miarę możliwości niekolidujący z normalnym tokiem pracy. W razie
konieczności przeprowadzenia kontroli poza godzinami pracy, jak również w dni wolne od pracy,
Audytor Wewnętrzny zawiadamia o tym kierującego kontrolowaną komórką organizacyjną Banku, który
wydaje swoim pracownikom odpowiednie dyspozycje.
9.4
W razie zbiegu kontroli wewnętrznej z kontrolą przeprowadzaną przez inne organy, należy kontrolę
wewnętrzną przeprowadzić w terminie późniejszym. Jeżeli nie jest to możliwe, procesy kontrolne
prowadzone są niezależnie.
9.5
Sporządzenie Raportu pokontrolnego.
9.6
9.5.1
Po zakończeniu kontroli Audytor Wewnętrzny przygotowuje na piśmie dokument „Raport
pokontrolny”.
9.5.2
Raport pokontrolny powinien zawierać:
(a)
opis czynności wykonywanych przez daną komórkę organizacyjną,
(b)
listę regulacji i procedur na podstawie, których działa dana komórka,
(c)
jaki był cel i zakres kontroli, a w przypadku kontroli doraźnych także wskazywać na
przyczynę przeprowadzenia takiej kontroli,
(d)
ustalenia dokonane podczas kontroli, ze szczególnym uwzględnieniem stwierdzonych
nieprawidłowości, Ustalenia muszą być oparte na materiale źródłowym i w pełni
udokumentowane,
(e)
opis działań naprawczych podjętych na podstawie zaleceń po poprzedniej kontroli, z
zaznaczeniem zaleceń niezrealizowanych (o ile są),
(f)
nieprawidłowości, które zostały usunięte w trakcie kontroli muszą również znaleźć się w
Raporcie, jednak z zaznaczeniem, że już zostały usunięte,
(g)
opis zjawisk niepożądanych, o ile mogą obecnie bądź w przyszłości stać się dla Banku
źródłem ryzyka,
(h)
zalecenia pokontrolne i termin ich wykonania.
Przekazanie Raportu pokontrolnego.
9.6.1
Raport pokontrolny jest przekazywany kierującemu skontrolowaną komórką organizacyjną w
terminie 14 dni od zakończenia kontroli.
strona 12 z 14
9.6.2
9.7
9.8
W terminie 7 dni od dostarczenia Raportu pokontrolnego powinien zostać on omówiony na
spotkaniu Audytora Wewnętrznego z kierującym komórką organizacyjną i opcjonalnie z jej
pracownikami. Pożądane jest, aby w spotkaniu takim brał udział członek Zarządu nadzorujący
pion, w którym znajduje się skontrolowana komórka organizacyjna.
Przyjęcie Raportu pokontrolnego.
9.7.1
Przyjęcie przez kierującego skontrolowaną komórką organizacyjną bez zastrzeżeń Raportu
pokontrolnego i zawartych w nim ustaleń następuje poprzez złożenie podpisu pod Raportem
przez kierującego komórką organizacyjną. Podpisanie Raportu pokontrolnego powinno nastąpić
w terminie 14 dni od jego otrzymania.
9.7.2
Jeżeli kierujący komórką organizacyjną nie zgadza się z ustaleniami pokontrolnymi podpisuje
Raport z adnotacją „zgłaszam zastrzeżenia do następujących ustaleń pokontrolnych”. W takim
wypadku kierujący komórką organizacyjną obowiązany jest do przedstawienia Audytorowi
Wewnętrznemu dokumentu, zawierającego opis zastrzeżeń do ustaleń pokontrolnych, w
terminie 14 dni od otrzymania Raportu pokontrolnego.
9.7.3
W ciągu 7 dni od otrzymania opisu zastrzeżeń Audytor Wewnętrzny pisemnie ustosunkowuje
się do tych zastrzeżeń.
9.7.4
Podpisany Raport pokontrolny, wraz z ewentualnymi zgłoszonymi zastrzeżeniami i
odniesieniem się do nich Audytora Wewnętrznego, jest dostarczany niezwłocznie Prezesowi
Zarządu oraz pozostałym członkom Zarządu Banku. W terminie 1 miesiąca od dostarczenia
Zarząd powinien przedyskutować raport na posiedzeniu oraz podjąć decyzję o sposobie
wykorzystania wniosków i wykonania zaleceń pokontrolnych. Integralną częścią tej decyzji jest
przypisanie poziomu ryzyka w odniesieniu do poszczególnych ustaleń pokontrolnych (wysokie,
niskie, średnie). Propozycje przypisania poziomów ryzyka składa Audytor Wewnętrzny.
Realizacja zaleceń pokontrolnych.
9.8.1
Kierujący komórką organizacyjną, która otrzymała zalecenia pokontrolne odpowiada za
przygotowanie i wdrożenie postępowania naprawczego. Terminy wdrażania zmian w ramach
postępowania naprawczego uzależnione są od poziomu ryzyka przypisanego do danego
ustalenia pokontrolnego:
(a)
wysokie – niezwłocznie,
(b)
średnie – do 3 miesięcy,
(c)
niskie – do 6 miesięcy.
9.8.2
Plan naprawczy podlega zatwierdzeniu przez członka Zarządu nadzorującego daną komórkę
organizacyjną, z uwzględnieniem terminów realizacji określonych w punkcie 9.8.1.
Zatwierdzony plan naprawczy komórka organizacyjna Banku przekazuje do wiadomości
Audytora Wewnętrznego.
9.8.3
Audytor Wewnętrzny prowadzi rejestr wydanych zaleceń i monitoruje ich realizację. W tym
celu komórki organizacyjne przygotowują dla Audytora Wewnętrznego miesięczne raporty w
zakresie realizacji zaleceń pokontrolnych.
strona 13 z 14
9.8.4
Opóźnienie lub brak realizacji zalecenia mającego nadany poziom ryzyka „wysoki” jest
niezwłocznie raportowane przez Audytora Wewnętrznego do Zarządu Banku. W pozostałych
przypadkach Audytor Wewnętrzny prowadzi postępowanie zgodnie z obowiązującą procedurą.
9.8.5
Decyzje o uznaniu zalecenia za zrealizowane podejmuje Audytor Wewnętrzny na podstawie
zgłoszenia o zamknięciu realizacji zalecenia dokonanego przez kierującego komórką
organizacyjną i po zapoznaniu się z dokumentami potwierdzającymi ten fakt.
10.
INFORMOWANIE ORGANÓW BANKU O DZIAŁALNOŚCI AUDYTORA WEWNĘTRZNEGO.
10.1
W cyklu kwartalnym – do końca miesiąca następnego po upływie kwartału sprawozdawczego - Audytor
Wewnętrzny składa Prezesowi Zarządowi Banku raport o zaawansowaniu realizacji zaleceń
pokontrolnych przez komórki organizacyjne Banku.
10.2
W cyklu rocznym – do końca marca roku następnego po okresie sprawozdawczym - Audytor
Wewnętrzny składa Zarządowi zbiorczy raport o funkcjonowaniu kontroli wewnętrznej w Banku w roku
poprzednim, w tym na temat zaawansowania wykonania kontroli planowych.
10.3
Co najmniej dwa razy do roku Audytor Wewnętrzny uczestniczy w posiedzeniach Rady Nadzorczej
Banku przedstawiając informację na temat funkcjonowania kontroli wewnętrznej w Banku,
wynikających z niej wniosków oraz podjętych w związku z tym działań.
11.
POSTANOWIENIA KOŃCOWE.
11.1
Niniejszy Regulamin oraz inne przepisy regulujące działalność komórki kontroli wewnętrznej są zgodne
z przepisami zewnętrznymi i podlegają zatwierdzeniu przez Zarząd Banku.
11.2
Niniejszy Regulamin wchodzi w życie po zatwierdzeniu przez Radę Nadzorczą.
strona 14 z 14

regulamin kontroli wewnętrznej - BPI Bank Polskich Inwestycji SA

Transkrypt

Podobne dokumenty

Audytor ekologiczny - Wojewódzki Urząd Pracy w Białymstoku

Program_Konferencji - Polski Instytut Kontroli Wewnętrznej

POLICJA WARMIŃSKO-MAZURSKA ZESPÓŁ AUDYTU

AUDYTOR WEWNĘTRZNY PN-EN ISO 9001:2009