regulamin kontroli wewnętrznej - BPI Bank Polskich Inwestycji SA
Transkrypt
regulamin kontroli wewnętrznej - BPI Bank Polskich Inwestycji SA
REGULAMIN KONTROLI WEWNĘTRZNEJ BPI Bank Polskich Inwestycji S.A. Regulamin przyjęty Uchwałą Rady Nadzorczej nr 15/2013 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ SPIS TREŚCI 1. POSTANOWIENIA OGÓLNE. ...................................................................................................................3 2. GŁÓWNE ZAŁOŻENIA DOTYCZĄCE SYSTEMÓW KONTROLI WEWNĘTRZNEJ. ..................3 3. SPOSÓB SPRAWOWANIA KONTROLI FUNKCJONALNEJ. .............................................................4 4. SPOSÓB SPRAWOWANIA KONTROLI INSTYTUCJONALNEJ. ......................................................6 5. ZADANIA AUDYTORA WEWNĘTRZNEGO..........................................................................................7 6. RODZAJE I ZAKRES KONTROLI PROWADZONYCH PRZEZ AUDYTORA WEWNĘTRZNEGO, JEGO UPRAWNIENIA I ZAKRES ODPOWIEDZIALNOŚCI. .......................8 7. OBOWIĄZKI I PRAWA KONTROLOWANYCH KOMÓREK ORGANIZACYJNYCH. ...............10 8. ZAKRES KONTROLI PROWADZONYCH PRZEZ AUDYTORA WEWNĘTRZNEGO. ...............10 9. PROCES KONTROLI KOMÓREK ORGANIZACYJNYCH. ..............................................................11 10. INFORMOWANIE ORGANÓW BANKU O DZIAŁALNOŚCI AUDYTORA WEWNĘTRZNEGO. .......................................................................................................................... 14 11. POSTANOWIENIA KOŃCOWE. .............................................................................................................14 strona 2 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 1. POSTANOWIENIA OGÓLNE. 1.1 Wdrożenie i utrzymywanie adekwatnych do działalności Banku systemów kontroli wewnętrznej ma na celu zapewnienie bezpieczeństwa i stabilności funkcjonowania oraz harmonijny rozwój BPI Banku Polskich Inwestycji S.A. (zwanego dalej „Bankiem”). 1.2 Za realizację tego zadania odpowiedzialna jest Rada Nadzorcza wraz z Zarządem Banku oraz wszystkie jego komórki organizacyjne. 1.3 Kontrola wewnętrzna w Banku umocowana jest w oparciu o następujące zapisy prawne: art. 9, 9a-9f Prawa Bankowego, Rekomendacja H Komisji Nadzoru Finansowego, Uchwały 258/2011 z 4 października 2011 roku Komisji Nadzoru Finansowego, § 24 Statutu Banku, Wytyczne nr 40 Komitetu Bazylejskiego – Struktura Systemów Kontroli Wewnętrznej w Instytucjach Bankowych oraz Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego. 2. GŁÓWNE ZAŁOŻENIA DOTYCZĄCE SYSTEMÓW KONTROLI WEWNĘTRZNEJ. 2.1 System kontroli wewnętrznej ma na celu zapewnienie zgodności podejmowanych przez Bank działań i przeprowadzanych operacji z przepisami prawa, zarówno zewnętrznymi jak i wewnętrznymi, prawidłowości identyfikacji i monitorowania ryzyk występujących w działalności Banku, a także zapewnienie dostarczania wiarygodnych i kompletnych informacji. 2.2 System kontroli wewnętrznej to struktury organizacyjne oraz wykonywane przez nie procesy służące realizacji celów kontroli wewnętrznej. System kontroli wewnętrznej stanowi wsparcie dla Zarządu Banku we właściwym kierowaniu Bankiem i narzędzie dla Rady Nadzorczej w nadzorowaniu działalności Banku. 2.3 Dla osiągnięcia swoich celów kontrola wewnętrzna identyfikuje występujące w Banku obszary ryzyka i dokonuje oceny czy są one przez właściwe komórki organizacyjne dostrzeżone, zrozumiane, monitorowane i właściwie zarządzane. 2.4 Skuteczność kontroli wewnętrznej opiera się na następujących filarach: 2.5 2.4.1 Świadomości potrzeby kontroli wśród kierownictwa i pracowników Banku, 2.4.2 Odpowiedniej strukturze organizacyjnej, zapewniającej właściwy podział kompetencji i odpowiedzialności, a zwłaszcza eliminacji wykonywania przez tego samego pracownika lub komórkę organizacyjną czynności będących ze sobą w konflikcie (sprzecznych), 2.4.3 Wykonywaniu z odpowiednią częstotliwością czynności kontrolnych, 2.4.4 Szybkim wdrażaniu postępowań naprawczych i eliminowaniu błędów na przyszłość, 2.4.5 Kompleksowości - oznaczającej uczestnictwo w procesie kontroli wewnętrznej wszystkich pracowników i wszystkich komórek organizacyjnych Banku. Na system kontroli wewnętrznej składają się dwa niezależne elementy: 2.5.1 Kontrola funkcjonalna, 2.5.2 Kontrola instytucjonalna. strona 3 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 3. SPOSÓB SPRAWOWANIA KONTROLI FUNKCJONALNEJ. 3.1 Kontrola funkcjonalna dotyczy całokształtu działalności Banku i jest sprawowana przez każdego pracownika w zakresie jakości i poprawności wykonywanych czynności. Celem kontroli funkcjonalnej jest stała weryfikacja poprawności działania banku na wszystkich szczeblach organizacyjnych, obejmująca m.in. proces przestrzegania wewnętrznych procedur, limitów, fizycznych zabezpieczeń dostępu, uprawomocnienia i autoryzacji. Ma także zapewnić bieżące reagowanie na pojawiające się nieprawidłowości, w tym nieprawidłowości dotyczące przyjętych mechanizmów i procedur kontrolnych. 3.2 Za poprawność zorganizowania i działania kontroli funkcjonalnej odpowiada kierujący daną komórką organizacyjną Banku. 3.3 Kontrola funkcjonalna składa się z następujących elementów: 3.4 3.3.1 samokontrola – przeprowadzana przez pracownika wykonującego daną czynność. Obowiązek samokontroli jest jednym z podstawowych obowiązków pracowniczych na każdym stanowisku pracy, 3.3.2 akceptacja operacji „na drugą rękę”, tam gdzie procedury takiej akceptacji wymagają, to jest powtórne sprawdzenie dokumentów lub operacji pod względem formalnym, merytorycznym i rachunkowym przed ich podpisaniem bądź wykonaniem, 3.3.3 kontrola przez przełożonego – weryfikacja poprawności przeprowadzonych przez pracownika operacji lub transakcji. Kontrola ta jest jednym z podstawowych obowiązków kierujących komórkami organizacyjnymi na wszystkich szczeblach, 3.3.4 kontrola wzajemna – dotyczy procesów prowadzonych wspólnie przez dwie (lub więcej) komórki organizacyjne. Sprawowanie kontroli funkcjonalnej odbywa się w dwóch etapach: 3.4.1 Czynności kontrolne wykonywane są przez pracownika przed i w trakcie wykonywania czynności (kontrola „ex ante”). Do czynności tych należy: sprawdzenie czy operacja, którą zamierza się wykonać jest legalna w świetle przepisów zewnętrznych oraz wewnętrznych przepisów Banku, czy mieści się w przyjętych limitach, czy posiadana dokumentacja jest rzetelna i kompletna (w szczególności sprawdzenie kompletności i jakości dokumentacji załączonej do wniosku kredytowego, projektów umów i innych dokumentów powodujących powstanie zobowiązań) oraz czy sama operacja jest wykonana poprawnie. W ramach tej kontroli mieści się akceptacja operacji – na tzw. „drugą rękę”. 3.4.2 Sprawdzenie przez przełożonego (lub innego pracownika) zgodności przeprowadzonej operacji z dokumentami źródłowymi (kontrola „ex post”) – tzw. kontrola następna. Kontrola ta ma na celu ponowne zweryfikowanie poprawności przeprowadzonej operacji. O częstotliwości i zakresie kontroli ex post decyduje kierujący komórką organizacyjną (o którym mowa w Punkcie 3.2. powyżej) na podstawie przeprowadzonej przez siebie analizy i oceny ryzyka danego obszaru. Kontrola następna może dotyczyć jedynie niektórych aspektów badanego zagadnienia (wycinkowa) lub całokształtu problematyki związanej z realizacją procesu czy procedury bankowej (kompleksowa). strona 4 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 3.4.3 Świadectwem przeprowadzonej akceptacji jest podpis pracownika wykonującego i pracownika akceptującego daną operację lub stosowna akceptacja elektroniczna – tam gdzie przewidziano taką możliwość. 3.4.4 Świadectwem przeprowadzenia kontroli następnej jest adnotacja na kontrolowanym dokumencie lub notatka służbowa, potwierdzająca jej wykonanie – opatrzone podpisem osoby kontrolującej oraz datą przeprowadzenia kontroli. 3.5 Wszelkie działania związane z prowadzeniem kontroli funkcjonalnej wraz z ich udokumentowaniem podlegają ocenie przez Audytora Wewnętrznego. 3.6 Kierujący komórkami organizacyjnymi, obowiązani są, w cyklu kwartalnym – do końca miesiąca następnego po zakończeniu kwartału, przedstawić Audytorowi Wewnętrznemu syntetyczną informację obejmującą wykonanie kontroli wewnętrznej następnej w danej jednostce. 3.7 W przypadku ujawnienia nieprawidłowości w trakcie kontroli ex ante, kontrolujący: 3.8 3.9 (a) zwraca nieprawidłowe dokumenty właściwym komórkom organizacyjnym/ lub pracownikom z wnioskiem o uzupełnienie, zmianę lub wyjaśnienie przyczyn nieprawidłowości, (b) odmawia podpisu dokumentów niezgodnych z obowiązującymi (zewnętrznymi lub wewnętrznymi) i zawiadamia przełożonego, (c) podejmuje inne czynności mające na celu usunięcie nieprawidłowości. przepisami W przypadku stwierdzenia w trakcie kontroli ex ante bądź ex post nieprawidłowości mających charakter nadużycia, przestępstwa lub naruszenia obowiązków pracowniczych należy: (a) zawiadomić niezwłocznie bezpośredniego przełożonego oraz Audytora Wewnętrznego, (b) zabezpieczyć dokumenty lub przedmioty stanowiące dowód nieprawidłowości. Audytor Wewnętrzny otrzymawszy zawiadomienia o nieprawidłowości mającej charakter nadużycia, przestępstwa lub naruszenia obowiązków pracowniczych niezwłocznie przeprowadza postępowanie wyjaśniające w celu: (a) ustalenia przyczyn i okoliczności nieprawidłowości oraz osób za nie odpowiedzialnych, (b) określenia skutków finansowych nadużycia lub przestępstwa, (c) zaproponowania działań mających na celu wyeliminowanie podobnych zdarzeń w przyszłości, (d) podjęcia dalszych działań w porozumieniu z Zarządem Banku. strona 5 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 4. SPOSÓB SPRAWOWANIA KONTROLI INSTYTUCJONALNEJ. 4.1 Kontrola instytucjonalna wykonywana jest przez niezależną, wyspecjalizowaną komórkę organizacyjną działającą w Banku – Audytora Wewnętrznego. 4.2 Zadaniem kontroli instytucjonalnej jest badanie i ocena, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu kontroli wewnętrznej oraz opiniowanie zarządzania Bankiem, w tym skuteczności zarządzania ryzykiem związanym z działalnością Banku, sprawdzanie zgodności z przepisami zewnętrznymi i wewnętrznymi działalności Banku jako całości, działań poszczególnych komórek organizacyjnych oraz badanie organizacji i koordynacji działań pomiędzy komórkami organizacyjnymi. 4.3 Częstotliwość przeprowadzanych kontroli zależy od zidentyfikowanych w danych obszarach poziomów ryzyka: 4.4 4.5 4.6 4.3.1 W przypadku stwierdzonego wysokiego poziomu ryzyka danego obszaru działalności Banku – audyt należy przeprowadzać przynajmniej raz na 12 miesięcy, 4.3.2 W przypadku stwierdzonego średniego poziomu ryzyka danego obszaru działalności Banku – audyt należy przeprowadzać przynajmniej raz na 24 miesiące, 4.3.3 W przypadku stwierdzonego niskiego poziomu ryzyka danego obszaru działalności Banku – audyt należy przeprowadzać przynajmniej raz na 36 miesięcy, Efektywne działanie kontroli instytucjonalnej jest uwarunkowane niezależnością, bezstronnością i fachowością Audytora Wewnętrznego. Dla wypełnienia tych warunków w Banku przyjęto następujące założenia dotyczące pełnienia funkcji kontrolnych przez Audytora Wewnętrznego: 4.4.1 stanowisko Audytora Wewnętrznego jest podporządkowane bezpośrednio Prezesowi Zarządu Banku, 4.4.2 Audytor Wewnętrzny nie uczestniczy w żadnych działaniach operacyjnych Banku, 4.4.3 powołanie i odwołanie Audytora Wewnętrznego podlega zatwierdzeniu przez Radę Nadzorczą Banku. Informacja ta podawana jest również do Komisji Nadzoru Finansowego, 4.4.4 osoba piastująca stanowisko Audytora Wewnętrznego spełnia wysokie standardy norm etycznych i kwalifikacji zawodowych. Zarząd Banku wspomaga Audytora Wewnętrznego w ciągłym podnoszeniu kwalifikacji zawodowych, 4.4.5 Audytor Wewnętrzny uczestniczy w posiedzeniach Zarządu Banku i Rady Nadzorczej Banku dotyczących spraw związanych z kontrolą wewnętrzną. Audyt wewnętrzny prowadzony jest w oparciu o dwa rodzaje planów kontroli: 4.5.1 trzyletnie strategiczne plany kontroli, zawierające plany kontroli wszystkich obszarów działalności Banku, 4.5.2 roczne plany kontroli, zawierające szczegółowe plany kontroli obszarów działalności wynikających z planu trzyletniego. Plany kontroli są zatwierdzane przez Zarząd, w terminie do końca stycznia roku, którego dotyczy plan roczny i podlegają akceptacji przez Radę Nadzorczą Banku na pierwszym po tej dacie posiedzeniu Rady. strona 6 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 4.7 Audytor Wewnętrzny ma obowiązek przeprowadzać na zlecenie Prezesa Zarządu lub Rady Nadzorczej kontrole nieprzewidziane w planach kontroli wewnętrznej (kontrole doraźne). 4.8 Audytor Wewnętrzny ma prawo występowania do kierowników komórek organizacyjnych Banku o przekazywanie danych dotyczących prowadzonej działalności. Przekazanie takich danych powinno nastąpić bez zbędnej zwłoki. 5. ZADANIA AUDYTORA WEWNĘTRZNEGO. 5.1 Do zadań Audytora Wewnętrznego należy: 5.1.1 dostarczanie władzom Banku niezależnej i obiektywnej oceny sposobu jego zorganizowania i funkcjonowania, zwłaszcza poprzez ocenę mechanizmów, procedur i skuteczności kontroli wewnętrznej w Banku; 5.1.2 zapewnienie realizacji polityki kierownictwa Banku; 5.1.3 zapobieganie powstawania strat, błędów i nadużyć finansowych; 5.1.4 ujawnianie wszelkich braków i nieprawidłowości w działalności Banku; 5.1.5 zapewnienie zgodności wszystkich działań z ustawodawstwem zewnętrznym, regulacjami wewnętrznymi Banku oraz zasadami wiedzy fachowej; 5.1.6 współpraca z organami nadzoru bankowego, audytem wewnętrznym Grupy GNB, audytorami zewnętrznymi oraz innymi instytucjami, stosownie do zaleceń Prezesa Zarządu Banku; 5.1.7 opiniowanie wydawanych w Banku przepisów wewnętrznych; 5.1.8 badanie prawidłowości i rzetelności sprawozdań i informacji składanych przez Bank; 5.1.9 opracowywanie, przy uwzględnieniu analizy ryzyka i wniosków Zarządu Banku i Rady Nadzorczej, projektów rocznego i trzyletniego planu kontroli wewnętrznych. Plany te są przedstawiane Zarządowi Banku do dnia 15 stycznia roku, którego dotyczy plan roczny, lub na pierwszym posiedzeniu Zarządu w danym roku. 5.1.10 przeprowadzanie kontroli w komórkach organizacyjnych, sporządzanie materiałów z kontroli i zaleceń pokontrolnych oraz przeprowadzanie postępowań pokontrolnych, 5.2 Naczelnym priorytetem przeprowadzanych badań i ocen jest odniesienie do ryzyk występujących w Banku. 5.3 Audytor Wewnętrzny wykonuje swoje obowiązki obiektywnie, rzetelnie i z rozwagą. Formułując w toku kontroli wnioski zobowiązany jest je uzasadnić i bronić wyrażonego zdania. Jest zobowiązany do zachowania lojalności wobec Banku we wszystkich sprawach dotyczących zakresu działalności Banku oraz zachować w tajemnicy, wobec osób nieupoważnionych, wszystkie fakty ujawnione w trakcie kontroli. strona 7 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 6. RODZAJE I ZAKRES KONTROLI PROWADZONYCH PRZEZ AUDYTORA WEWNĘTRZNEGO, JEGO UPRAWNIENIA I ZAKRES ODPOWIEDZIALNOŚCI. 6.1 Zakres zadań Audytora Wewnętrznego obejmuje w szczególności: 6.1.1 6.2 kontrolę przestrzegania przepisów dotyczących ochrony interesów Banku oraz bezpieczeństwa i prawidłowości operacji bankowych przez: (a) ocenę struktur organizacyjnych Banku, ze szczególnym uwzględnieniem ich dostosowania do zmieniających się warunków, (b) ocenę prawidłowości podziałów kompetencji oraz kontrolę ich przestrzegania, (c) ocenę wewnętrznej spójności obowiązujących zarządzeń, (d) kontrolę przestrzegania, przez wszystkie jednostki organizacyjne Banku, obowiązujących przepisów wewnętrznych, (e) kontrolę prawidłowości wykonywania i księgowania operacji bankowych oraz ich zgodności z przepisami wewnętrznymi Banku, (f) ocenę przestrzegania ustalonych procedur formalno-prawnych merytorycznej w działalności kredytowej, gwarancyjnej itp., (g) kontrolę stanu zabezpieczenia tajemnicy bankowej przed przypadkowym lub celowym jej naruszeniem, (h) kontrola i ocena bezpieczeństwa systemów informatycznych oraz informacji w nich zawartych, (i) kontrolę właściwego obiegu informacji w Banku, a szczególnie informowanie zarządu o stwierdzonych nieprawidłowościach; oraz zasadności 6.1.2 Przedkładanie projektów zaleceń pokontrolnych mających na celu eliminację stwierdzonych nieprawidłowości wraz z propozycją zmiany błędnej praktyki oraz prowadzenie rekontroli. 6.1.3 Współpraca z organami nadzoru bankowego, audytem wewnętrznym Grupy GNB, audytorami zewnętrznymi oraz innymi instytucjami. 6.1.4 Możliwość, w uzasadnionych przypadkach, wnioskowania o zlecenie przeprowadzenia audytu wewnętrznego wybranego obszaru działalności Banku, zewnętrznym firmom audytorskim. Audytor Wewnętrzny realizuje swoje zadania poprzez: 6.2.1 kompleksowe kontrole komórek organizacyjnych Banku – planowane lub doraźne, dotyczące wszystkich procedur operacyjnych i produktów występujących w badanej komórce organizacyjnej, 6.2.2 problemowe (tematyczne) kontrole komórek organizacyjnych Banku – planowane lub doraźne, dotyczące wybranego procesu, produktu lub operacji, 6.2.3 postępowanie wyjaśniające lub sprawdzające. strona 8 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 6.3 Kontrole doraźne – odbywają się na zlecenie Prezesa Zarządu, Zarządu bądź Rady Nadzorczej Banku i obejmują dowolne tematy wskazane w zleceniu kontroli. 6.4 Dla wykonywania zadań kontrolnych w sposób kompletny i skuteczny Audytor Wewnętrzny otrzymuje na czas kontroli danej komórki organizacyjnej następujące uprawnienia do: 6.4.1 przebywania w siedzibie kontrolowanej komórki organizacyjnej, łącznie z dostępem do pomieszczeń o charakterze specjalnym. 6.4.2 nieograniczonego dostępu do dokumentacji źródłowej i roboczej z prawem ich kopiowania oraz zatrzymywania oryginałów dokumentów (za pisemnym potwierdzeniem odbioru), 6.4.3 nieograniczonego dostępu do systemu informatycznego, jednak bez prawa ingerencji w zapisy, 6.4.4 otrzymywania wydruków z tego systemu, 6.4.5 żądania pisemnych i ustnych wyjaśnień od kierującego oraz od pracowników komórki organizacyjnej, 6.4.6 dostępu do informacji niejawnych, 6.4.7 asystowania przy wszelkich czynnościach związanych z działalnością kontrolowanej komórki organizacyjnej Banku, 6.4.8 występowania z wnioskiem o powołanie rzeczoznawców, jeżeli okaże się to konieczne, 6.4.9 występowania w razie konieczności do kierującego kontrolowaną komórką organizacyjną o wydanie doraźnych poleceń (o charakterze tymczasowym) w celu zminimalizowania szkód lub ograniczenia stwierdzonych ryzyk, 6.4.10 rozszerzenia zakresu kontroli, jeżeli okaże się to konieczne w toku kontroli, zawiadamiając o tym niezwłocznie kierującego komórką organizacyjną Banku i zamieszczając na tę okoliczność odpowiednią adnotację w raporcie z kontroli. 6.5 Częstotliwość kontroli poszczególnych zagadnień jest zróżnicowana i wynika z profilu ryzyka danej jednostki, procesu, produktu. 6.6 Odpowiedzialność Audytora Wewnętrznego. 6.6.1 Na Audytorze Wewnętrznym spoczywa odpowiedzialność za przeprowadzenie kontroli w sposób skuteczny i w miarę możliwości jak najmniej zakłócający codzienną pracę kontrolowanej jednostki. 6.6.2 Szczególną odpowiedzialność Audytor Wewnętrzny ponosi za: (a) właściwe zaplanowanie i przeprowadzenie kontroli, (b) jasne zaprezentowanie wyników kontroli wraz z wnioskami, (c) odpowiednie zabezpieczenie materiałów zebranych podczas kontroli, ze szczególnym uwzględnieniem zabezpieczenia materiałów niejawnych. strona 9 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 7. OBOWIĄZKI I PRAWA KONTROLOWANYCH KOMÓREK ORGANIZACYJNYCH. 7.1 Kontrolowane komórki organizacyjne mają następujące obowiązki i prawa: 7.1.1 zapewnienie dostępu do wszelkich materiałów związanych z kontrolowanym obszarem, 7.1.2 niezwłoczne udzielanie kontrolującemu wyjaśnień ustnych lub pisemnych, 7.1.3 zapoznanie się z protokołem pokontrolnym, ewentualne zgłoszenie uwag – zgodnie z postanowieniami punktu 9.7 niniejszego Regulaminu., 7.1.4 terminowa realizacja zaleceń pokontrolnych oraz terminowe składanie informacji dotyczących realizacji zaleceń. 8. ZAKRES KONTROLI PROWADZONYCH PRZEZ AUDYTORA WEWNĘTRZNEGO. 8.1 Zakres badań kontrolnych zależy od oceny przez Audytora Wewnętrznego poziomu ryzyka i jego istotności mierzonej możliwym wpływem (bezpośrednim lub pośrednim) na wynik finansowy Banku. 8.2 Identyfikacja ryzyka, wskazanie obszarów zwiększonego ryzyka, opracowanie metod jego mierzenia i ograniczania należy do zadań wymienionych poniżej komórek organizacyjnych Banku: 8.3 8.2.1 Dział Zarządzania Ryzykiem Kredytowym - w zakresie ryzyka kredytowego, 8.2.2 Dział Controllingu – w zakresie ryzyk rynkowych (stopy procentowej i kursowego) oraz ryzyka płynności, 8.2.3 Koordynator ds. zarządzania ryzykiem operacyjnym i BCP (kontynuowania działalności na wypadek awarii) – w zakresie ryzyk operacyjnych. W celu właściwego i efektywnego wykonywania swoich zadań Audytor Wewnętrzny opracowuje metodologię audytu wewnętrznego, zatwierdzaną przez Prezesa Zarządu Banku. Dokument ten zawiera w szczególności: 8.3.1 opis obszarów ryzyka – te dziedziny działalności, które charakteryzują się możliwością wystąpienia strat, z uwzględnieniem poziomu istotności dla funkcjonowania banku, 8.3.2 określenie zakresu kontroli dla zidentyfikowanych obszarów ryzyka i częstotliwość kontroli, 8.3.3 sposób doboru próby do badania, w przypadku, gdy nie jest możliwe zbadanie całego zbioru, 8.3.4 opis badania, tj. co jest sprawdzane, listy dokumentów, rejestry operacji, itp., 8.3.5 wzór raportu pokontrolnego i jego rozdzielnik, 8.3.6 procedura apelacji od ustaleń pokontrolnych, 8.3.7 sposób sprawdzania realizacji zaleceń pokontrolnych. strona 10 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 9. PROCES KONTROLI KOMÓREK ORGANIZACYJNYCH. 9.1 Przygotowanie kontroli. 9.2 9.1.1 Na tym etapie Audytor Wewnętrzny zbiera wszelkie informacje niezbędne do zbadania danej komórki organizacyjnej, takie jak przepisy zewnętrzne i wewnętrzne regulujące działanie danej komórki, stosowane przez tą komórkę procedury oraz wszelką dokumentację związaną z prowadzonymi przez tę komórkę operacjami. 9.1.2 W ramach przygotowania kontroli Audytor Wewnętrzny sporządza harmonogram kontroli. Harmonogram taki powinien zawierać: (a) cel kontroli, wskazujący badany obszar ryzyka. (b) czas trwania kontroli, z podaniem daty rozpoczęcia i zakończenia, (c) przedmiot kontroli, (d) metodę kontroli. Przeprowadzenie kontroli. 9.2.1 Audytor Wewnętrzny powiadamia kierującego komórką organizacyjna o planowanym rozpoczęciu kontroli co najmniej na 3 dni naprzód. Nie dotyczy to kontroli doraźnych, gdzie występuje podejrzenie przekroczenia uprawnień lub powstania nadużyć. 9.2.2 Podstawą do przeprowadzenia audytu jest pisemne zarządzenie kontroli, wskazujące termin, zakres audytu oraz skład zespołu audytorskiego – wydane przez Prezesa Zarządu Banku lub osobę go zastępującą. Zarządzenie kontroli może zostać wydane także przez Radę Nadzorczą Banku. 9.2.3 W pracach audytorskich oprócz Audytora Wewnętrznego mogą brać także udział inne osoby, imiennie wskazane w zarządzeniu kontroli. Przy doborze innych osób do prac audytorskich należy mieć na uwadze zapewnienie niezależności i obiektywizmu badań oraz zachowanie tajemnicy bankowej. 9.2.4 Audytor Wewnętrzny prowadzi dokumentację kontroli według schematu opisanego w metodologii audytu wewnętrznego. 9.2.5 W trakcie przeprowadzania kontroli Audytor Wewnętrzny korzysta z dokumentów zgromadzonych na wcześniejszym etapie, dokumentów pozyskanych w trakcie przeprowadzanej kontroli, informacji pozyskanych od kierującego i pracowników komórki organizacyjnej. Informacje te mogą być przekazane w formie ustnej lub pisemnej. Na podstawie informacji ustnych Audytor Wewnętrzny może sporządzić notatkę. Notatka taka jest podpisywana przez Audytora Wewnętrznego oraz pracownika lub kierującego daną komórką organizacyjną 9.2.6 Wszystkie uzyskane informacje, nasuwające podejrzenie popełnienia przestępstwa, wymagają zbadania ich wiarygodności przez Audytora Wewnętrznego w toku kontroli. 9.2.7 W razie ujawnienia w toku kontroli znamion przestępstwa, Audytor Wewnętrzny niezwłocznie informuje o tym fakcie Zarząd Banku. strona 11 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 9.2.8 W razie stwierdzenia w toku przeprowadzania kontroli okoliczności stanowiących zagrożenie dla interesów Banku (strat lub niekontrolowanej ekspozycji na różne ryzyka), Audytor Wewnętrzny bezzwłocznie informuje o tym kierującego daną komórką organizacyjną oraz Zarząd Banku. 9.2.9 Kontrola wewnętrzna nie powinna trwać dłużej niż 60 dni kalendarzowych. W uzasadnionych przypadkach okres ten może być przedłużony przez zarządzającego przeprowadzenie kontroli. 9.3 Kontrola wewnętrzna przeprowadzana jest w czasie pracy obowiązującym w kontrolowanej komórce organizacyjnej Banku, w sposób w miarę możliwości niekolidujący z normalnym tokiem pracy. W razie konieczności przeprowadzenia kontroli poza godzinami pracy, jak również w dni wolne od pracy, Audytor Wewnętrzny zawiadamia o tym kierującego kontrolowaną komórką organizacyjną Banku, który wydaje swoim pracownikom odpowiednie dyspozycje. 9.4 W razie zbiegu kontroli wewnętrznej z kontrolą przeprowadzaną przez inne organy, należy kontrolę wewnętrzną przeprowadzić w terminie późniejszym. Jeżeli nie jest to możliwe, procesy kontrolne prowadzone są niezależnie. 9.5 Sporządzenie Raportu pokontrolnego. 9.6 9.5.1 Po zakończeniu kontroli Audytor Wewnętrzny przygotowuje na piśmie dokument „Raport pokontrolny”. 9.5.2 Raport pokontrolny powinien zawierać: (a) opis czynności wykonywanych przez daną komórkę organizacyjną, (b) listę regulacji i procedur na podstawie, których działa dana komórka, (c) jaki był cel i zakres kontroli, a w przypadku kontroli doraźnych także wskazywać na przyczynę przeprowadzenia takiej kontroli, (d) ustalenia dokonane podczas kontroli, ze szczególnym uwzględnieniem stwierdzonych nieprawidłowości, Ustalenia muszą być oparte na materiale źródłowym i w pełni udokumentowane, (e) opis działań naprawczych podjętych na podstawie zaleceń po poprzedniej kontroli, z zaznaczeniem zaleceń niezrealizowanych (o ile są), (f) nieprawidłowości, które zostały usunięte w trakcie kontroli muszą również znaleźć się w Raporcie, jednak z zaznaczeniem, że już zostały usunięte, (g) opis zjawisk niepożądanych, o ile mogą obecnie bądź w przyszłości stać się dla Banku źródłem ryzyka, (h) zalecenia pokontrolne i termin ich wykonania. Przekazanie Raportu pokontrolnego. 9.6.1 Raport pokontrolny jest przekazywany kierującemu skontrolowaną komórką organizacyjną w terminie 14 dni od zakończenia kontroli. strona 12 z 14 BPI Bank Polskich Inwestycji S.A. 9.6.2 9.7 9.8 REGULAMIN KONTROLI WEWNĘTRZNEJ W terminie 7 dni od dostarczenia Raportu pokontrolnego powinien zostać on omówiony na spotkaniu Audytora Wewnętrznego z kierującym komórką organizacyjną i opcjonalnie z jej pracownikami. Pożądane jest, aby w spotkaniu takim brał udział członek Zarządu nadzorujący pion, w którym znajduje się skontrolowana komórka organizacyjna. Przyjęcie Raportu pokontrolnego. 9.7.1 Przyjęcie przez kierującego skontrolowaną komórką organizacyjną bez zastrzeżeń Raportu pokontrolnego i zawartych w nim ustaleń następuje poprzez złożenie podpisu pod Raportem przez kierującego komórką organizacyjną. Podpisanie Raportu pokontrolnego powinno nastąpić w terminie 14 dni od jego otrzymania. 9.7.2 Jeżeli kierujący komórką organizacyjną nie zgadza się z ustaleniami pokontrolnymi podpisuje Raport z adnotacją „zgłaszam zastrzeżenia do następujących ustaleń pokontrolnych”. W takim wypadku kierujący komórką organizacyjną obowiązany jest do przedstawienia Audytorowi Wewnętrznemu dokumentu, zawierającego opis zastrzeżeń do ustaleń pokontrolnych, w terminie 14 dni od otrzymania Raportu pokontrolnego. 9.7.3 W ciągu 7 dni od otrzymania opisu zastrzeżeń Audytor Wewnętrzny pisemnie ustosunkowuje się do tych zastrzeżeń. 9.7.4 Podpisany Raport pokontrolny, wraz z ewentualnymi zgłoszonymi zastrzeżeniami i odniesieniem się do nich Audytora Wewnętrznego, jest dostarczany niezwłocznie Prezesowi Zarządu oraz pozostałym członkom Zarządu Banku. W terminie 1 miesiąca od dostarczenia Zarząd powinien przedyskutować raport na posiedzeniu oraz podjąć decyzję o sposobie wykorzystania wniosków i wykonania zaleceń pokontrolnych. Integralną częścią tej decyzji jest przypisanie poziomu ryzyka w odniesieniu do poszczególnych ustaleń pokontrolnych (wysokie, niskie, średnie). Propozycje przypisania poziomów ryzyka składa Audytor Wewnętrzny. Realizacja zaleceń pokontrolnych. 9.8.1 Kierujący komórką organizacyjną, która otrzymała zalecenia pokontrolne odpowiada za przygotowanie i wdrożenie postępowania naprawczego. Terminy wdrażania zmian w ramach postępowania naprawczego uzależnione są od poziomu ryzyka przypisanego do danego ustalenia pokontrolnego: (a) wysokie – niezwłocznie, (b) średnie – do 3 miesięcy, (c) niskie – do 6 miesięcy. 9.8.2 Plan naprawczy podlega zatwierdzeniu przez członka Zarządu nadzorującego daną komórkę organizacyjną, z uwzględnieniem terminów realizacji określonych w punkcie 9.8.1. Zatwierdzony plan naprawczy komórka organizacyjna Banku przekazuje do wiadomości Audytora Wewnętrznego. 9.8.3 Audytor Wewnętrzny prowadzi rejestr wydanych zaleceń i monitoruje ich realizację. W tym celu komórki organizacyjne przygotowują dla Audytora Wewnętrznego miesięczne raporty w zakresie realizacji zaleceń pokontrolnych. strona 13 z 14 BPI Bank Polskich Inwestycji S.A. REGULAMIN KONTROLI WEWNĘTRZNEJ 9.8.4 Opóźnienie lub brak realizacji zalecenia mającego nadany poziom ryzyka „wysoki” jest niezwłocznie raportowane przez Audytora Wewnętrznego do Zarządu Banku. W pozostałych przypadkach Audytor Wewnętrzny prowadzi postępowanie zgodnie z obowiązującą procedurą. 9.8.5 Decyzje o uznaniu zalecenia za zrealizowane podejmuje Audytor Wewnętrzny na podstawie zgłoszenia o zamknięciu realizacji zalecenia dokonanego przez kierującego komórką organizacyjną i po zapoznaniu się z dokumentami potwierdzającymi ten fakt. 10. INFORMOWANIE ORGANÓW BANKU O DZIAŁALNOŚCI AUDYTORA WEWNĘTRZNEGO. 10.1 W cyklu kwartalnym – do końca miesiąca następnego po upływie kwartału sprawozdawczego - Audytor Wewnętrzny składa Prezesowi Zarządowi Banku raport o zaawansowaniu realizacji zaleceń pokontrolnych przez komórki organizacyjne Banku. 10.2 W cyklu rocznym – do końca marca roku następnego po okresie sprawozdawczym - Audytor Wewnętrzny składa Zarządowi zbiorczy raport o funkcjonowaniu kontroli wewnętrznej w Banku w roku poprzednim, w tym na temat zaawansowania wykonania kontroli planowych. 10.3 Co najmniej dwa razy do roku Audytor Wewnętrzny uczestniczy w posiedzeniach Rady Nadzorczej Banku przedstawiając informację na temat funkcjonowania kontroli wewnętrznej w Banku, wynikających z niej wniosków oraz podjętych w związku z tym działań. 11. POSTANOWIENIA KOŃCOWE. 11.1 Niniejszy Regulamin oraz inne przepisy regulujące działalność komórki kontroli wewnętrznej są zgodne z przepisami zewnętrznymi i podlegają zatwierdzeniu przez Zarząd Banku. 11.2 Niniejszy Regulamin wchodzi w życie po zatwierdzeniu przez Radę Nadzorczą. strona 14 z 14