Polityka zarządzania ryzykiem braku zgodności w BPI Bank Polskich Inwestycji S.A.

Transkrypt

1 Polityka zarządzania ryzykiem braku zgodności w BPI Bank Polskich Inwestycji S.A. Data wejścia w życie regulacji Nr uchwały wprowadzającej regulację Data wejścia w życie poprzedniej regulacji Nr uchwały wprowadzającej poprzednią regulację Właściciel URN 9/ Compliance Officer Strona 1 z 21

2 Spis treści: Słownik użytych pojęć i skrótów... 3 Wstęp... 4 I. Strategia zarządzania ryzykiem braku zgodności... 5 II. Istota ryzyka braku zgodności... 6 II.1. Definicja ryzyka braku zgodności... 6 II.2. Źródła oraz skutki ryzyka braku zgodności... 6 III. Cele i zasady zarządzania ryzykiem braku zgodności... 7 III.1. Cele strategiczne... 8 III.2. Cele operacyjne... 8 III.3. Zasady polityki zgodności... 8 IV. Proces zarządzania ryzykiem braku zgodności IV.1. Identyfikacja ryzyka braku zgodności IV.2. Ocena ryzyka braku zgodności IV.3. Monitorowanie ryzyka braku zgodności IV.4. Ograniczanie ryzyka braku zgodności IV.5. Raportowanie ryzyka braku zgodności V. Struktura organizacyjna zarządzania ryzykiem braku zgodności VI. Przepisy końcowe Strona 2 z 21

3 Słownik użytych pojęć i skrótów Bank IA ORM CO BPI Bank Polskich Inwestycji S.A. Dział Audytu Wewnętrznego Funkcja Ryzyka Operacyjnego Compliance Officer DRiS Departament Rachunkowości i Sprawozdawczości DZB ABI Dział Zarządu Banku i PR Administrator Bezpieczeństwa Informacji Koordynator AML Koordynator ds. przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu GNB S.A. Getin Noble Bank S.A. Dyrektywa MiFID Dyrektywa 2004/39/WE Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. w sprawie rynków instrumentów finansowych (zmieniająca dyrektywę Rady 85/611/EWG i 93/6/EWG i dyrektywę 2000/12/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady 93/22/EWG) (Dz.U. UE L 145 z dn , str. 1) Grupa Kapitałowa KNF Kodeks etyki Pracowników Kodeks ZBP Polityka Rada Nadzorcza Rekomendacja H Grupa Getin Noble Bank S.A. Komisja Nadzoru Finansowego Kodeks etyki Pracowników BPI Bank Polskich Inwestycji S.A. Kodeks Etyki Bankowej (Zasady Dobrej Praktyki Bankowej)_Związku Banków Polskich Polityka Zarządzania Ryzykiem Braku Zgodności w BPI Bank Polskich Inwestycji S.A. Rada Nadzorcza BPI Bank Polskich Inwestycji S.A. Rekomendacja H dotycząca kontroli wewnętrznej w Banku przyjęta Uchwałą Nr 180/2011 Komisji Nadzoru Finansowego z dnia 19 lipca 2011 r. (Dz. Urz. KNF z 2011 poz. 40), Rekomendacja M Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach przyjęta Uchwałą Nr 8/2013 Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 r. (Dz. Urz. KNF z 2013 poz. 6) Uchwała nr 258/2011 KNF - Uchwała Nr 258/2011 Komisji Nadzoru Finansowego z dnia 4 października 2011 r. w sprawie szczegółowych zasad funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz szczegółowych warunków szacowania przez banki kapitału wewnętrznego i dokonywania przeglądów procesu szacowania i utrzymywania kapitału wewnętrznego oraz zasad Strona 3 z 21

4 Zarząd ustalania polityki zmiennych składników wynagrodzeń osób zajmujących stanowiska kierownicze w banku (Dz. U. KNF Nr 11 poz. 42) Zarząd BPI Bank Polskich Inwestycji S.A. Wstęp 1. Bank stosuje wszystkie przepisy prawa i regulacje ostrożnościowe dotyczące instytucji finansowych, przestrzega powszechnie przyjętych standardów rynkowych i zasad postępowania na rynku finansowym oraz dokłada wszelkich starań, aby w wymaganym czasie dostosować swoją działalność do nowowprowadzanych przepisów prawa i standardów. W tym celu, na podstawie wytycznych zawartych w Uchwale nr 258/2011 KNF, Zarząd uchwalił, a Rada Nadzorcza zatwierdziła niniejszą Politykę. 2. Za realizację postanowień Polityki są odpowiedzialni wszyscy pracownicy Banku stosownie do wykonywanego przez nich zakresu obowiązków i przyznanych im uprawnień. 3. Bank wykorzystuje doświadczenie na rynku finansowym oraz uwzględnia praktyki rynkowe jako punkt odniesienia do podejmowania decyzji o poziomie swojej gotowości i zdolności do ponoszenia ryzyka braku zgodności. 4. Niniejsza Polityka definiuje główne procesy mające na celu identyfikację ryzyka braku zgodności i umożliwiające zarządzanie tym rodzajem ryzyka na wszystkich szczeblach organizacji Banku oraz określa zasady zarządzania tym ryzykiem wynikającym z działalności podmiotów wchodzących w skład Grupy Kapitałowej Banku. Polityka stanowi również zbiór wytycznych postępowania, w tym określa podstawowe zasady działania pracowników Banku. 5. Kluczowymi elementami w zarządzaniu ryzykiem braku zgodności są: 1) nadzór Rady Nadzorczej oraz obowiązek Zarządu efektywnego zarządzania ryzykiem braku zgodności, 2) zdefiniowana struktura organizacyjna określająca rolę poszczególnych jednostek organizacyjnych Banku w realizacji lub wsparciu procesu zarządzania ryzykiem, 3) dokumentacja systemu zarządzania ryzykiem braku zgodności, w tym polityki i procedury wewnętrzne oraz kodeks i standardy postępowania, 4) właściwa identyfikacja i ograniczanie ryzyka braku zgodności, 5) monitorowanie i testowanie poziomu zgodności procesów z regulacjami zewnętrznymi oraz przyjętymi standardami postępowania, 6) wykorzystanie systemu informacji zarządczej do zarządzania ryzykiem braku zgodności, 7) szkolenia z zakresu ryzyka braku zgodności, 8) ciągła współpraca z innymi jednostkami organizacyjnymi Banku. 6. Niniejsza Polityka jest podstawowym elementem dokumentacji systemu zarządzania ryzykiem braku zgodności w Banku. Istotnym elementem dokumentacji są również istniejące wewnętrzne procedury, instrukcje i regulaminy dotyczące w sposób bezpośredni lub pośredni kwestii związanych z zarządzaniem i ograniczaniem ryzyka braku zgodności w Banku. 7. Podstawowym dokumentem powiązanym z niniejszą Polityką jest Procedura zarządzania ryzykiem braku zgodności w BPI Bank Polskich Inwestycji SA. Procedura uszczegóławia zasady realizacji poszczególnych elementów procesu zarządzania ryzykiem braku zgodności w Banku, które zostały opisane w niniejszej Polityce. Do innych ważnych dokumentów stanowiących składniki dokumentacji systemu zarządzania ryzykiem braku zgodności w Banku zalicza się regulacje wewnętrzne zawierające: 1) zakresy zadań i obowiązków oraz regulaminy organizacyjne, 2) procedury tworzenia wewnętrznych aktów prawnych, 3) regulamin ewidencjonowania i rozpatrywania skarg klientów, Strona 4 z 21

5 4) zasady realizacji systemu kontroli wewnętrznej w Banku, 5) zasady weryfikacji procedur i regulaminów dotyczących funkcjonowania nowo wprowadzanych produktów do oferty Banku, 6) zasady dotyczące zarządzania konfliktem interesów, 7) zasady dotyczące przyjmowania i przekazywania prezentów i zachęt, 8) Kodeks dobrych praktyk, Kodeks etyki Pracowników BPI Bank Polskich Inwestycji S.A. oraz Kodeks Etyki Bankowej Związku Banków Polskich. I. Strategia zarządzania ryzykiem braku zgodności 1. Strategia zarządzania ryzykiem braku zgodności stosowana w Banku jest zgodna z postanowieniami Uchwały nr 258/2011 KNF, Rekomendacji M, Rekomendacji H oraz wytycznych sformułowanych w dokumencie konsultacyjnym Bazylejskiego Komitetu ds. Nadzoru Bankowego Compliance and the Compliance Function in Banks ( Zgodność i funkcja ds. zgodności w bankach ). 2. Strategia zarządzania ryzykiem braku zgodności składa się z n/w elementów: 2.1. Formalny charakter zarządzania ryzykiem braku zgodności. Zasada realizowana poprzez organizacyjne i funkcjonalne wyodrębnienie procesu zarządzania ryzykiem braku zgodności. Zarządzanie ryzykiem braku zgodności w Banku stanowi odrębny proces realizowany przez wyodrębnioną, niezależną funkcję (CO) w oparciu o opracowaną w formie pisemnej i zatwierdzoną przez Radę Nadzorczą Politykę Opracowanie polityki zarządzania ryzykiem braku zgodności. Zasada wynika z Uchwały nr 258/2011 KNF, która nakłada na Bank obowiązek wprowadzenia efektywnego procesu zarządzania ryzykiem braku zgodności, w tym przyjęcia przez Bank, stosowania i aktualizowania polityki zarządzania ryzykiem braku zgodności. Niniejsza Polityka, zgodnie z wymogami ww. Uchwały została przyjęta przez Zarząd i zatwierdzona przez Radę Nadzorczą Wyodrębnienie niezależnej funkcji ds. zarządzania ryzykiem braku zgodności. Zarząd powołał CO jako stałą i efektywnie działającą funkcję ds. zgodności. Niezależność CO oznaczająca brak okoliczności, które zagrażają bezstronnemu wykonywaniu obowiązków przez CO jest realizowana poprzez: formalny status CO oraz bezpośrednią podległość Radzie Nadzorczej, możliwość bezpośredniego raportowania Radzie Nadzorczej, obowiązek informowania Rady Nadzorczej o objęciu stanowiska i powodach odejścia CO, wynagrodzenie CO nie jest uzależnione od wyników finansowych komórek operacyjnych, dla których wykonują obowiązki z zakresu zgodności, CO ma swobodny dostęp do informacji i pracowników Banku, których pomoc jest konieczna do wywiązywania się z obowiązków w zakresie zarządzania ryzykiem braku zgodności Udostępnianie danych dotyczących ryzyka braku zgodności generowanego przez Bank podmiotowi dominującemu GNB S.A. GNB S.A. gromadzi informacje o ryzyku braku zgodności generowanym przez podmioty Grupy Kapitałowej. Dodatkowo GNB S.A. zachęca do: przyjmowania polityk w zakresie braku zgodności przez spółki zależne Banku, organizowania szkoleń z zakresu ryzyka braku Strona 5 z 21

6 zgodności, wspólnego rozwiązywania problemów związanych z interpretacją obowiązujących przepisów prawa, przestrzegania standardów Zagwarantowanie odpowiednich zasobów funkcji zarządzania ryzykiem braku zgodności Celem zasady jest zapewnienie efektywnej realizacji zadań w zakresie zarządzania ryzykiem braku zgodności. Zasada realizowana jest w Banku poprzez wyodrębnienie CO, osoby o odpowiednich kwalifikacjach zawodowych i doświadczeniu. CO posiada rzetelna wiedzę nt. ustaw, przepisów, regulacji ostrożnościowych i standardów dotyczących zgodności i ich praktycznego znaczenia dla Banku. Umiejętności zawodowe CO są podnoszone w szczególności poprzez szkolenia. Dodatkowo część zadań w ramach funkcji zgodności jest realizowana przez wykwalifikowanych specjalistów ORM i Koordynatora AML Obowiązki jednostki ds. zgodności. Istotą obowiązków CO jest wspieranie Zarządu w efektywnym zarządzaniu ryzykiem braku zgodności, w tym poprzez właściwą identyfikację, ocenę, monitorowanie, ograniczanie, raportowanie o ryzyku i szkolenie pracowników. Część obowiązków z obszaru zgodności jest realizowana przez inne funkcje, w tym ORM i Koordynatora AML przy wykorzystaniu odpowiednich mechanizmów współpracy między tymi funkcjami a CO Kontrola funkcji zarządzania ryzykiem braku zgodności przez audyt wewnętrzny. Przegląd i ocena zarządzania ryzykiem braku zgodności realizowana jest przez IA zgodnie z obowiązującym Systemem Kontroli Wewnętrznej. II. Istota ryzyka braku zgodności II.1. Definicja ryzyka braku zgodności 1. Ryzyko braku zgodności to zagrożenie poniesienia skutków nieprzestrzegania w działalności Banku przepisów prawa (ustaw, rozporządzeń, uchwał) i innych regulacji ostrożnościowych, regulacji wewnętrznych bądź przyjętych wewnętrznie standardów, zasad lub kodeksów postępowania. 2. Pojęcie ryzyka braku zgodności jest pojęciem szerszym niż definicja ryzyka prawnego jako jednego z rodzajów ryzyka operacyjnego. Istota ryzyka braku zgodności obejmuje zarówno kwestie formalno-prawne związane z niedostosowaniem regulacji wewnętrznych do przepisów prawa lub z faktem ich nieprzestrzegania, jak i kwestie z obszaru etyki zawodowej, praktyki i standardów oraz dobrych zwyczajów prowadzenia działalności biznesowej. 3. Reasumując, ryzyko braku zgodności wynika nie tylko z postępowania niezgodnego z przepisami prawa, ale również wewnętrznymi zasadami, normami i standardami oraz kodeksem etycznego postępowania, które nie mają charakteru reguł prawnych, a obowiązują wewnątrz Banku. Stosowane przez Bank podejście w tym zakresie wynika z poglądu, że negatywny odbiór praktyk realizowanych przez Bank może przyczynić się do negatywnych skutków nawet w sytuacji, gdy przepisy prawne nie zostały naruszone. II.2. Źródła oraz skutki ryzyka braku zgodności 1. Ryzyko braku zgodności jest związane z występowaniem niezgodności lub łamaniem następujących zewnętrznych regulacji prawnych: 1.1. ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t. jedn. Dz. U. z 2015 poz.128 z późn. zm.);, 1.2. ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (t. jedn. Dz. U. z 2014 r., poz. 455 ze zm.), 1.3. ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (t. jedn. Dz. U. z 2014 r., poz. 94), Strona 6 z 21

7 1.4. ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. z 2011 r., nr 126, poz.715 z późn. zm.) w zakresie zasad udzielania kredytów i udzielania klientom wiarygodnej informacji o cenie kredytu, 1.5. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn Dz.U. z 2015 r., nr 2281 z późn. zm.), 1.6. innych ustaw dotyczących działalności prowadzonej przez Bank, 1.7. innych przepisów regulujących działalność Banku oraz regulacji ostrożnościowych (w tym w szczególności Uchwał i Rekomendacji KNF i ZBP). 2. Ryzyko braku zgodności może być związane z występowaniem niezgodności lub łamaniem zasad wynikających z unormowań innych niż przepisy prawa powszechnie obowiązującego, do których zalicza się: 2.1. uchwały ostrożnościowe KNF, 2.2. standardy i praktyki rynkowe, 2.3. wewnętrzne uregulowania w Banku, 2.4. wewnętrzne kodeksy etyczne i postępowania, 2.5. umowy z klientami i kontrahentami. 3. Przyjęta w Banku definicja ryzyka braku zgodności oznacza ponoszenie negatywnych skutków wynikających z wystąpienia przypadków niezgodności lub naruszeń związanych z: 3.1. występowaniem niezgodności uregulowań wewnętrznych i standardów postępowania z obowiązującymi przepisami i regułami prawa zewnętrznego lub innymi zasadami, 3.2. występowaniem niejasności lub luk w zewnętrznych przepisach prawa, które jednocześnie mogą rzutować na możliwość zakwestionowania prawidłowości przyjętych rozwiązań w uregulowaniach wewnętrznych, 3.3. występowaniem niejasności lub luk w uregulowaniach wewnętrznych Banku, 3.4. nieświadomym i niecelowym nieprzestrzeganiem przepisów i zasad przez pracowników Banku ze względu na występujące luki lub niejasności w uregulowaniach i zasadach wewnętrznych, 3.5. celowym i świadomym nieprzestrzeganiem obowiązujących przepisów prawa i zasad oraz regulacji i standardów wewnętrznych postępowania przez Bank/pracowników Banku, 3.6. nieetycznym postępowaniem Banku/pracowników Banku wobec klientów lub kontrahentów, 3.7. wadami prawnymi umów z klientami i kontrahentami, 3.8. niedostosowaniem stosowanych przez Bank narzędzi informatycznych do zmieniających się regulacji wewnętrznych lub zewnętrznych. 4. Do najważniejszych negatywnych skutków materializacji ryzyka braku zgodności Bank zalicza: 4.1. sankcje prawne i regulaminowe, 4.2. materialne straty finansowe, 4.3. utratę reputacji i dobrego imienia oraz negatywną opinię, 4.4. wysoki poziom skarg i reklamacji, 4.5. utratę zaufania klientów, 4.6. utratę kontraktów, 4.7. sprawy sądowe, 4.8. pozbawienie wolności, 4.9. spadek wartości instrumentów kapitałowych emitowanych przez Getin Noble Banku S.A.. III. Cele i zasady zarządzania ryzykiem braku zgodności Zarządzanie ryzykiem braku zgodności w Banku jest ukierunkowane na realizację dwóch rodzajów celów: strategicznych i operacyjnych. Strona 7 z 21

8 III.1. Cele strategiczne 1. Strategicznym celem zarządzania ryzykiem braku zgodności jest: 1.1. kreowanie wizerunku Banku jako podmiotu działającego zgodnie z przepisami prawa i przyjętymi standardami postępowania oraz w sposób etyczny, uczciwy i rzetelny, 1.2. przeciwdziałanie ryzyku wystąpienia sankcji prawnych i regulaminowych lub strat finansowych, które mogą być konsekwencją naruszenia lub niewłaściwego stosowania przez Bank przepisów prawa i przyjętych norm postępowania, w tym norm etycznych, 1.3. budowanie i utrzymywanie pozytywnych relacji z innymi uczestnikami rynku, w tym z akcjonariuszami, klientami, partnerami biznesowymi i regulatorami rynku. III.2. Cele operacyjne 1. Realizacja celów operacyjnych służy osiąganiu celów strategicznych. Cele operacyjne mają charakter krótkoterminowy i są związane z bieżącym procesem zarządzania ryzykiem braku zgodności. Tabela 1. Cele operacyjne zarządzania ryzykiem braku zgodności w Getin Noble Bank SA Lp. Cel Opis Maksymalizacja skuteczności procesu zarządzania ryzykiem Dążenie do kompletnej identyfikacji ryzyka braku zgodności, najbardziej precyzyjnej oceny profilu ryzyka oraz skutecznego jego ograniczania Przestrzeganie prawa Maksymalizacja wyniku finansowego Zdefiniowanie wewnętrznych mechanizmów kontrolnych i procedur, które zapewnią przestrzeganie przez Bank prawa oraz właściwych standardów i zachowań rynkowych. Ograniczanie kosztów i strat związanych z brakiem dostosowania Banku do zasad wynikających z regulacji prawnych oraz innych zasad nie mających charakteru bezwzględnie obowiązujących przepisów prawa. 4. Promocja zasad etyki w kulturze firmowej Promowanie najwyższych standardów etyki i uczciwości w prowadzeniu działalności biznesowej. III.3. Zasady polityki zgodności 1. Realizacja celów Polityki dotyczy w szczególności następujących obszarów: 1.1. oferty produktowej oraz działań reklamowych i marketingowych, 1.2. zapobiegania angażowania się Banku w działalność niezgodną z prawem, 1.3. zapewnienia ochrony informacji, 1.4. zarządzania konfliktami interesów, 1.5. propagowania i funkcjonowania standardów etycznych, 1.6. powierzania czynności bankowych i faktycznych podmiotom zewnętrznym, 1.7. przyjmowania korzyści i prezentów oraz przyjmowania i przekazywania zachęt, Strona 8 z 21

9 1.8. rozpatrywania skarg i reklamacji klientów. 2. Zapewnienie zgodności oferty produktowej oraz działań marketingowych i reklamowych 2.1. Formułując warunki oferty produktowej oraz prowadząc sprzedaż produktów, Bank dokłada wszelkich starań, aby: konstruować produkty w zgodności z przepisami prawa, w tym nie wykorzystywać potencjalnych luk w przepisach prawa w celu omijania przepisów dot. sprawozdawczości finansowej czy unikania obciążeń podatkowych, nie stosować w regulaminach i umowach zawieranych z klientami klauzul uznanych za niedozwolone, konstruować produkty w sposób przejrzysty i łatwy do zrozumienia przez docelową grupę klientów, 2.2. udzielać klientom rzetelnej, przejrzystej i wyczerpującej informacji na temat produktu, w szczególności warunków korzystania z produktu oraz związanych z nim opłat, prowizji kosztów i potencjalnego ryzyka finansowego dla klienta, nie naruszać zasad uczciwej konkurencji, w szczególności przez stosowanie nierzetelnej lub wprowadzającej w błąd reklamy Szczegółowe zasady wprowadzania i zmiany produktów oraz tworzenia i zmiany dokumentacji z nimi związanej określają odrębne przepisy wewnętrzne. Regulacje wewnętrzne wprowadzające i zmieniające produkt w zakresie zgodności z niniejszą Polityką podlegają opiniowaniu przez CO Zapewnienie zgodności oferty produktowej oraz działań reklamowych i marketingowych Banku wymaga stałego zaangażowania i współdziałania jednostek organizacyjnych Banku, w szczególności poprzez: podejmowanie przez kierujących jednostkami organizacyjnymi Centrali Banku inicjatyw legislacyjnych w zakresie działania tych jednostek, mających na celu bieżące uwzględnianie zmian przepisów prawa, regulacji nadzorczych, ogólnie przyjętych praktyk postępowania oraz standardów etycznych w działalności bankowej, mających wpływ na działalność podległej komórki, zapoznawanie się przez pracowników z przepisami prawa, regulacjami wewnętrznymi oraz przyjętymi przez Bank standardami postępowania, a także alertami prawnymi (tj. informacjami o zmianach w otoczeniu prawnym), przestrzeganie przez pracowników Banku przepisów prawa, regulacji wewnętrznych oraz przyjętych przez Bank standardów i norm postępowania, udostępnianie informacji, dokumentów oraz zagwarantowanie przez kierujących jednostkami organizacyjnymi dostępu do podległych im pracowników w przypadku czynności realizowanych w związku z występującym ryzykiem braku zgodności przez CO. 3. Zapobieganie angażowaniu się Banku w działalność niezgodną z prawem Bank podejmuje działania zapobiegające wykorzystaniu Banku do: wprowadzenia do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł, finansowania działalności niezgodnej z prawem, w tym terroryzmu, podejmowania nieuczciwych praktyk rynkowych lub czynów nieuczciwej konkurencji W celu nie dopuszczenia do sytuacji, w której transakcje realizowane przez Bank byłyby wykorzystane do tzw. prania pieniędzy lub finansowania działalności niezgodnej z prawem, Bank: dokonuje identyfikacji klientów i analizuje transakcje w ww. zakresie, rejestruje transakcje, Strona 9 z 21

10 dokonuje zawiadomień właściwych organów o transakcjach budzących podejrzenia w ww. zakresie, wstrzymuje realizację dyspozycji klientów i blokuje ich rachunki w sytuacjach występujących podejrzeń o proceder prania pieniędzy lub związek z działalnością przestępczą, udostępniania właściwym organom informacje dotyczące klientów podejrzanych w ww. zakresie Szczegółowe zasady postępowania Banku realizowane w celu przeciwdziałania praniu pieniędzy i finansowaniu działalności niezgodnej z prawem określają odrębne regulacje wewnętrzne. Zarządzaniem ryzykiem związanym z ww. obszarem zajmuje się Koordynator AML W celu przeciwdziałania podejmowaniu nieuczciwych praktyk rynkowych lub czynów nieuczciwej konkurencji Bank prowadzi działalność z zachowaniem norm określonych w Kodeksie etyki Pracowników, Kodeksie ZBP oraz Regulaminie pracy oraz stosuje przewidziane prawem konsekwencje w stosunku do pracowników, których działanie spowodowało lub prowadziło do wystąpienia nieuczciwych praktyk rynkowych lub czynów nieuczciwej konkurencji. 4. Zapewnienie ochrony informacji 4.1. Zgodnie z obowiązującymi przepisami prawa, ochronie w Banku podlegają: dane dotyczące klientów, kontrahentów i pracowników w szczególności: a) dane osobowe klientów, kontrahentów i pracowników, b) dane objęte tajemnicą prawnie chronioną w tym tajemnicą bankową; niepublikowane informacje na temat działalności i sytuacji ekonomiczno finansowej Banku, które w przypadku ich ujawnienia mogłyby wpłynąć na wartość instrumentów finansowych emitowanych przez Getin Noble Bank S.A. (podmiot dominujący), w szczególności: a) informacje dotyczące wyników finansowych Banku, b) informacje na temat planów działalności i strategii Banku, c) informacje o istotnych transakcjach, które zostały lub mają zostać zawarte przez Bank Bank zapewnia odpowiednie warunki przechowywania i przetwarzania danych i informacji dotyczących klientów, kontrahentów i pracowników a udostępnia je jedynie uprawnionym organom, w przypadkach określonych w przepisach prawa Dostęp do informacji podlegających ochronie mogą mieć wyłącznie pracownicy, dla których jest to uzasadnione zakresem oraz specyfiką realizowanych zadań i obowiązków służbowych. W celu zapewnienia ochrony informacji Bank wykorzystuje: rozwiązania organizacyjne i proceduralne w zakresie gromadzenia, przechowywania, przetwarzania i udostępniania informacji, środki zabezpieczenia technicznego posiadanych informacji W celu zapewnienia ochrony informacji pracownicy Banku zobowiązani są stosować regulacje wewnętrzne, które dotyczą zasad i trybu postępowania w zakresie bezpieczeństwa informacji, oraz procedury produktowe w zakresie wykonywanych zadań Niedopuszczalne jest dokonywanie przez pracowników transakcji kupna lub sprzedaży instrumentów finansowych Getin Noble Banku S.A. (podmiot dominujący) ( transakcji własnych ) z wykorzystaniem niepublikowanych informacji wewnętrznych Grupy Kapitałowej GNB S.A Niezależnie od obowiązków wynikających z innych przepisów wewnętrznych, pracownicy Banku ponoszą odpowiedzialność za niewłaściwe zabezpieczenie dokumentów Strona 10 z 21

11 wytworzonych w Banku nieprzeznaczonych do rozpowszechniania przed nieuprawnionym dostępem osób trzecich. Dokumenty te nie mogą być pozostawione na stanowisku pracy (zasada czystego biurka ). Pracownicy pozostawiający na stanowisku pracy komputery lub inne przenośne urządzenia zawierające dane objęte tajemnicą prawnie chronioną w tym tajemnicą bankową powinni minimalizować ryzyko związane z ujawnieniem danych osobowych osobom trzecim, w tym innym pracownikom. W szczególności każdorazowe opuszczenie stanowiska pracy powinno skutkować zablokowaniem dostępu do niego dla osób trzecich, w tym nieujawnianie haseł dostępu tym osobom Pracownicy Banku nie mogą wykorzystywać informacji wewnętrznych oraz nazwy Banku w działalności naukowej lub społecznej, bez uzyskania wcześniejszej zgody komórek organizacyjnych, do których należy zarządzanie daną informacją Kwestie związane z zachowaniem zgodności w postępowaniu z informacjami prawnie chronionymi, w tym danymi osobowymi klientów, podlegają nadzorowi ABI. 5. Zarządzanie konfliktami interesów 5.1. Bank przeciwdziała konfliktom interesów związanym z prowadzoną działalnością, tj. przypadkom, w których może dojść lub dochodzi do sprzeczności interesów w szczególności pomiędzy: interesem Banku a interesem klienta, interesami dwóch lub więcej klientów, na rzecz których Bank realizuje usługi finansowe, interesami podmiotu powiązanego z Bankiem (w tym pracownika lub kontrahenta Banku) a Bankiem lub klientem Banku Pracownicy Banku oraz osoby występujące w imieniu Banku mają obowiązek: identyfikować sytuacje, które mogą powodować konflikt interesów, unikać podejmowania działań, które mogą doprowadzić do powstania konfliktu interesów, nie dopuszczać do wystąpienia sytuacji, w której mogłoby powstać wrażenie, że ich działania podejmowane w związku z realizacją obowiązków służbowych, są uwarunkowane sytuacją osobistą, w przypadku powzięcia informacji o zaistniałym konflikcie interesów lub możliwości jego wystąpienia - zgodnie z obowiązującymi w Banku regulacjami w szczególności należy poinformować o tym przełożonego, CO W przypadku wystąpienia lub możliwości wystąpienia konfliktu interesów Bank podejmuje zgodne z prawem działania, w celu ograniczenia potencjalnych negatywnych skutków takich konfliktów Zasady zapobiegania oraz zarządzania konfliktem interesów określają odrębne przepisy wewnętrzne, Kodeks etyki Pracowników. Potencjalne wątpliwości związane z konfliktem interesów podlegają wyjaśnieniu z CO. 6. Propagowanie i funkcjonowanie standardów etycznych 6.1. Bank w ramach ograniczania ryzyka braku zgodności opiera swoje działania, w tym postępowanie pracowników na zasadach i normach etycznych wynikających z Kodeksu etyki Pracowników oraz Kodeksu ZBP Zarząd i kadra zarządzająca, a także Rada Nadzorcza, są odpowiedzialni za promowanie wysokich standardów etycznych obowiązujących w Banku Sytuacje budzące wątpliwości o charakterze etycznym, w tym nieprzewidziane w Kodeksie etyki Pracowników a generujące ryzyko braku zgodności, pracownik zgłasza, zgodnie z Procedurą rejestracji zdarzeń operacyjnych Każdy pracownik ma prawo zgłoszenia wszelkich naruszeń norm etycznych i standardów postępowania zgodnie z Procedurą Operacyjną Program informowania o nieprawidłowościach (Whistleblowing) Pracownicy zgłaszający Strona 11 z 21

12 problemy na powyższy adres mają zagwarantowaną pełną dyskrecję. Wiedza pozyskana w trakcie rozpatrywania problemów służy wyłącznie wypracowaniu rozwiązania danej sprawy Wątpliwości co do interpretacji zasad wynikających z Kodeksu etyki Pracowników lub Kodeksu ZBP należy wyjaśniać z bezpośrednim przełożonym, a w razie potrzeby z CO. 7. Powierzanie czynności bankowych i faktycznych podmiotom zewnętrznym 7.1. W Banku zarządzanie ryzykiem związanym z powierzeniem wykonywania czynności opiera się na rzetelnej ocenie ryzyka, prowadzonej na podstawie zatwierdzonych procedur Powierzenie wykonywania czynności/zlecanie usług podmiotom zewnętrznym stosuje się w Banku w ramach działań zabezpieczających ograniczania ryzyka operacyjnego zgodnie przepisami ustawy Prawo bankowe Bank może powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu wykonywanie, w imieniu i na rzecz Banku pośrednictwa, w zakresie czynności bankowych i/lub czynności faktycznych związanych z działalnością bankową (w rozumieniu przepisów art. 6a-6d ustawy Prawo bankowe), a także wykonywanie usług niespełniających kryteriów określonych w przepisach art. 6a-6d ustawy Prawo bankowe W miarę możliwości, powierzenie czynności podmiotowi zewnętrznemu powinno nastąpić w szczególności po spełnieniu następujących warunków: W przypadku procesów, których wykonanie w części lub w całości jest powierzane podmiotom zewnętrznym, Bank posiada pisemne procedury zarządzania ryzykiem związanym z czynnościami powierzonymi Sprawdzeniu, czy powierzenie wykonywania czynności nie wpłynie niekorzystnie na ostrożne i stabilne zarządzanie Bankiem, skuteczność systemu kontroli wewnętrznej w Banku, możliwość wykonywania obowiązków przez biegłego rewidenta upoważnionego do badania sprawozdań finansowych Banku na podstawie zawartej z Bankiem umowy oraz ochronę tajemnicy prawnie chronionej. W szczególności Bank nie nawiązuje współpracy z podmiotami występującymi na liście ostrzeżeń publicznych KNF Przed zawarciem lub istotną zmianą umowy z podmiotem zewnętrznym, Bank dokonuje analizy wpływu projektowanej umowy na strategię i profil ryzyka, zdolność Banku do realizacji wymogów regulacyjnych oraz prowadzenie przez Bank działalności zgodnie z przepisami prawa Bank i przedsiębiorca posiadają plany działania zapewniające ciągłe i niezakłócone prowadzenie działalności w zakresie objętym umową, Przedsiębiorca dysponuje rozwiązaniami technicznymi i organizacyjnymi, zapewniającymi bezpieczne i prawidłowe wykonywanie powierzonych czynności, w szczególności ochronę tajemnicy prawnie chronionej Umowy z podmiotami wykonującymi zlecone czynności, zawierają zapisy, o jakości świadczonych usług, zapewniają wyraźny podział odpowiedzialności pomiędzy Bankiem, a podmiotem zewnętrznym oraz nie zawierają postanowień ograniczających lub wyłączających odpowiedzialność przedsiębiorcy w związku z niewykonaniem lub nienależytym wykonaniem tej umowy Bank prowadzi analizę działalności oraz sytuacji finansowej podmiotów, którym powierzane są czynności, pod kątem zdolności do wywiązania się z przyjętych zobowiązań oraz ryzyka operacyjnego wynikającego z ograniczonej kontroli nad tymi podmiotami Proces zarządzania ryzykiem związanym z powierzeniem wykonywania czynności przez Bank został uregulowany w odrębnych regulacjach wewnętrznych Banku w tym ramowych regulacjach obszaru ryzyka operacyjnego Bank monitoruje i kontroluje wielkości ryzyka związanego z powierzaniem czynności podmiotom zewnętrznym, nie tylko z punktu widzenia wewnętrznych potrzeb zarządczych, ale również z punktu widzenia wymogów nadzorczych. Strona 12 z 21

13 8. Przyjmowanie korzyści i prezentów oraz przyjmowanie i przekazywanie zachęt 8.1. Co do zasady, pracownicy Banku nie mogą przyjmować od klientów i osób współpracujących z Bankiem korzyści lub prezentów przeznaczonych do ich osobistego użytku, które mogą: skutkować powstaniem nieformalnego zobowiązania wobec danego klienta lub osoby współpracującej z Bankiem, powodować konflikty interesów, negatywnie wpływać na sposób wykonywania przez pracownika jego obowiązków służbowych Zabronione jest podejmowanie przez pracowników prób obejścia powyższych zakazów, w szczególności poprzez nakłanianie innych osób (np. członków rodziny) do przyjęcia prezentu W związku ze świadczeniem usług inwestycyjnych Bank nie przyjmuje lub nie przekazuje opłat, prowizji lub świadczeń niepieniężnych (zachęt), z wyłączeniem: opłat, prowizji i świadczeń niepieniężnych przyjmowanych od klienta lub osoby działającej w jego imieniu albo przekazywanych klientowi lub osobie działającej w jego imieniu np. płatność uiszczana przez klienta będąca wynagrodzeniem za usługę inwestycyjną świadczoną na jego rzecz; opłat lub prowizji niezbędnych dla świadczenia danej usługi inwestycyjnej na rzecz klienta opłat, prowizji i świadczeń niepieniężnych innych niż wskazane w punktach a i b, pod warunkiem że: a) informacja o tych opłatach, prowizjach lub świadczeniach niepieniężnych, w tym o ich istocie i wysokości lub sposobie ustalania ich wysokości, została przekazana klientowi przed zawarciem umowy o świadczenie danej usługi inwestycyjnej, b) są one przyjmowane albo przekazywane w celu poprawienia jakości usługi inwestycyjnej świadczonej przez Bank na rzecz klienta 8.4. W przypadku wątpliwości co do ewentualnej możliwości przyjęcia korzyści lub prezentu albo przyjmowania zachęt wymagana jest konsultacja z CO. 9. Rozpatrywanie skarg i reklamacji klientów 9.1. Bank dokłada wszelkich starań, aby skargi i reklamacje klientów były rozpatrywane niezwłocznie, uczciwie i rzetelnie. Skargi oraz działania podjęte w celu ich rozpatrzenia podlegają w Banku rejestracji. Pracownicy Banku zobowiązani są do stosowania zasad przyjmowania i rozpatrywania skarg, wniosków i reklamacji zgodnie z odrębnymi przepisami obowiązującymi w Banku Informacje zawarte w skargach i reklamacjach klientów podlegają okresowej analizie i są wykorzystywane w procesie zarządzania ryzykiem braku zgodności. IV. Proces zarządzania ryzykiem braku zgodności 1. Proces zarządzania obejmuje: 1.1. identyfikację ryzyka, 1.2. ocenę profilu ryzyka, 1.3. monitorowanie ryzyka, 1.4. ograniczanie ryzyka, 1.5. raportowanie o ryzyku. 2. Szczegółowe zasady realizacji procesu zarządzania ryzykiem braku zgodności w Banku określono w dokumencie Procedura zarządzania ryzykiem braku zgodności w BPI Bank Polskich Inwestycji S.A.. Strona 13 z 21

14 IV.1. Identyfikacja ryzyka braku zgodności 1. Identyfikacja ryzyka braku zgodności jest dokonywana przez wszystkich pracowników Banku w ramach realizacji obowiązków służbowych. 2. Kierownicy jednostek organizacyjnych, zgodnie ze ścieżką raportowania w ramach procesu zgłaszania zdarzeń ryzyka operacyjnego, mają obowiązek raportowania występujących przypadków zdarzeń ryzyka operacyjnego powiązanego z ryzykiem braku zgodności, które zostały zidentyfikowane przy realizacji zadań podległych jednostek. Informacje dotyczące zdarzeń operacyjnych powiązanych z ryzykiem braku zgodności są rejestrowane przez ORM w Bazie Zdarzeń Operacyjnych (będącą arkuszem kalkulacyjnym Excel) oraz Systemie risk.operon - systemie wspierającym proces zarzadzania ryzykiem operacyjnym Getin Noble Bank S.A.- jednostki nadrzędnej wobec Banku. 3. Każdy pracownik ma prawo do zgłoszenia wszelkich naruszeń prawa, regulacji wewnętrznych oraz przyjętych norm etycznych i standardów postępowania zgodnie zasadami opisanymi w odrębnych regulacjach wewnętrznych. 4. W Banku istnieje zorganizowany i uregulowany proces zbierania informacji umożliwiających ocenę i ograniczanie ryzyka braku zgodności. Za gromadzenie danych do identyfikacji ryzyka braku zgodności odpowiedzialny jest CO, którego zadaniem jest integracja w skali całego Banku informacji dotyczącej ryzyka braku zgodności, umożliwiająca skoordynowane zarządzanie tym ryzykiem. 5. CO, we współpracy z właściwymi jednostkami organizacyjnymi, dokonuje identyfikacji ryzyka braku zgodności na podstawie bieżących analiz: 5.1. obowiązujących (w tym również będących w okresie vacatio legis) przepisów powszechnie obowiązującego prawa, regulacji wewnętrznych oraz przyjętych przez Bank standardów postępowania, 5.2. wyników oraz zaleceń audytów wewnętrznych oraz kontroli zewnętrznych, na podstawie których stwierdzona została niezgodność regulacji wewnętrznych z powszechnie obowiązującymi przepisami prawa lub nieprzestrzeganie przepisów wewnętrznych przez pracowników, 5.3. sprawozdań z kontroli funkcjonalnej, 5.4. rejestru spraw sądowych, 5.5. rejestru skarg i reklamacji, 5.6. przypadków konfliktów interesów, 5.7. zdefiniowanych wskaźników ryzyka braku zgodności, 5.8. zgłoszeń dokonanych przez pracowników zgodnie z Procedurą Operacyjną Program informowania o nieprawidłowościach (Whistleblowing). IV.2. Ocena ryzyka braku zgodności 1. Za kompleksową ocenę profilu ryzyka braku zgodności w skali całego Banku odpowiedzialny jest CO. 2. Ocena profilu ryzyka oparta jest na zestawieniach statystycznych występujących przypadków niezgodności lub naruszeń z uwzględnieniem oszacowania dotkliwości skutków występującego ryzyka oraz zdefiniowanych wskaźnikach ryzyka braku zgodności. Wyniki oceny profilu ryzyka braku zgodności są gromadzone przez CO i wykorzystywane dla potrzeb monitorowania i raportowania o ryzyku. Strona 14 z 21

15 IV.3. Monitorowanie ryzyka braku zgodności 1. Monitorowanie ryzyka braku zgodności w Banku jest realizowane przez CO i polega na systematycznym obserwowaniu i śledzeniu zmian profilu ryzyka braku zgodności. Monitorowaniu podlega także skuteczność stosowanych metod ograniczania ryzyka. 2. Monitorowanie obejmuje zdefiniowane wskaźniki, określające skalę przypadków niezgodności i naruszeń oraz koszty lub straty finansowe będące skutkiem tych naruszeń jak również: 2.1. dostosowanie Banku do nowych i istniejących przepisów i standardów postępowania, 2.2. podejmowanie działań przez jednostki organizacyjne Banku w celu ograniczania zidentyfikowanego i zarejestrowanego ryzyka braku zgodności, 2.3. przestrzeganie przez pracowników regulacji wewnętrznych. 3. Istotnym elementem procesu monitorowania ryzyka jest okresowe przeprowadzanie testów zgodności regulacji wewnętrznych, w tym produktów i procedur produktowych, z przepisami prawa i przyjętymi przez Bank standardami postępowania oraz regulacjami ostrożnościowymi w tym rekomendacjami wydanymi m.in. przez KNF i ZBP, ze szczególnym uwzględnieniem zagadnień objętych zaleceniami KNF oraz przeprowadzanie testów zgodności przestrzegania przez pracowników Banku regulacji wewnętrznych. W przypadku dokumentacji zewnętrznej (tj. dokumentów opracowanych przez Bank i przekazywanych klientom, kontrahentom, osobom trzecim) analiza obejmuje również zakres stosowania dokumentacji i przyjęte definicje wyrażeń standardowych i niestandardowych, sposób publikowania dokumentacji i jej objętość, jasność przekazu i przejrzystość dokumentu, zakres w jakim wymagane jest potwierdzenie akceptacji dokumentów przez klienta. 4. Celem procesu monitorowania jest identyfikacja newralgicznych (z punktu widzenia negatywnych skutków ryzyka braku zgodności) obszarów działalności Banku, pozwalająca na podejmowanie wyprzedzających działań zaradczych, umożliwiających unikanie wystąpienia ryzyka braku zgodności. IV.4. Ograniczanie ryzyka braku zgodności 1. Proces ograniczania ryzyka braku zgodności w Banku obejmuje: działania zapobiegające występowaniu braku zgodności i naruszeń, eliminowanie zidentyfikowanych przypadków braku zgodności oraz minimalizację skutków ich wystąpienia. 2. Bank rozróżnia dwa aspekty ograniczania ryzyka braku zgodności: 2.1. prewencyjny, tj. ograniczanie ryzyka poprzez wprowadzanie rozwiązań zapewniających zgodność (minimalizujących prawdopodobieństwo wystąpienia przypadków braku zgodności). Dla ograniczania ryzyka braku zgodności w ramach aspektu prewencyjnego szczególne znaczenie ma realizowany przez CO obowiązek opiniowania dokumentacji stosowanej przez Bank (wzorców umownych, regulaminów, procedur, itp.) przed jej przyjęciem przez Zarząd oraz obowiązek identyfikacji i oceny ryzyka związanego z tworzeniem nowych produktów czy rozwijaniem nowych modeli biznesowych łagodzący, tj. zarządzanie ryzykiem po zidentyfikowaniu sytuacji wystąpienia braku zgodności, w celu złagodzenia negatywnych skutków wystąpienia ryzyka. 3. W celu ograniczania występowania ryzyka braku zgodności, Bank wykonuje następujące działania obniżające poziom prawdopodobieństwa wystąpienia i negatywne skutki występowania tego ryzyka: 3.1. informowanie o zmianach w przepisach prawa i regulacjach ostrożnościowych mające na celu dostosowanie Banku do zmieniającego się otoczenia prawnego we właściwym czasie ( Alert prawny ), 3.2. ocena ryzyka braku zgodności w związku z oferowaniem nowych produktów i usług, jak również nowymi kierunkami rozwoju działalności prowadzonej przez Bank, Strona 15 z 21

16 3.3. nadzór nad prawidłowym wdrażaniem przepisów zewnętrznych poprzez opiniowanie i potwierdzanie zgodności formalno-prawnej z przepisami wewnętrznymi, z uwzględnieniem minimalizowania ryzyka braku zgodności, w tym ryzyka wynikającego z możliwości wykorzystania luk prawnych. W przypadku wdrażania dokumentacji zewnętrznej (tj. dokumentów opracowanych przez Bank i przekazywanych klientom, kontrahentom, osobom trzecim) analiza obejmuje również zakres stosowania dokumentacji i przyjęte definicje wyrażeń standardowych i niestandardowych, sposób publikowania dokumentacji i jej objętość, jasność przekazu i przejrzystość dokumentu, zakres w jakim wymagane jest potwierdzenie akceptacji dokumentów przez klienta, 3.4. ocena zgodności z przepisami prawa przekazów informacyjnych, w tym reklamowych i marketingowych, 3.5. doradztwo dla pracowników Banku w zakresie ryzyka braku zgodności, 3.6. szkolenia z zakresu ryzyka braku zgodności, 3.7. stałe podnoszenie kwalifikacji zawodowych CO, 3.8. zapewnienie przez kierujących komórkami organizacyjnymi Banku właściwej współpracy podległej im komórki organizacyjnej z CO, w celu ograniczania wystąpienia ryzyka braku zgodności, 3.9. zapewnienie dostępu pracownikom CO do wszystkich pracowników Banku i niezbędnych informacji, w celu właściwego zarządzania ryzykiem braku zgodności przez CO, procedura obsługi reklamacji, stosowanie Kodeksu etyki Pracowników i Kodeksu ZBP, funkcjonowanie polityki bezpieczeństwa, stosowanie w Banku zasad postępowania wobec klientów. IV.5. Raportowanie ryzyka braku zgodności 1. W Banku istnieje proces raportowania ryzyka braku zgodności. Proces raportowania polega na przygotowywaniu wewnętrznych oraz zewnętrznych raportów z zakresu ryzyka braku zgodności w określonych terminach i dla określonych adresatów. 2. Celem procesu raportowania jest dostarczanie zgromadzonych, przetworzonych i uporządkowanych informacji o zarządzaniu ryzykiem braku zgodności oraz kształtowaniu się profilu tego ryzyka. 3. CO wspiera Zarząd w efektywnym zarządzaniu ryzykiem braku zgodności poprzez sporządzanie następujących raportów z zarządzania ryzykiem braku zgodności w Banku: 3.1. roczne raporty stanowią podsumowanie działań związanych z zarządzaniem ryzykiem braku zgodności podjętych w okresie sprawozdawczym oraz zawierają komentarze do najbardziej narażonych na ryzyko obszarów działalności Banku, sporządzane dla: Zarządu, Rady Nadzorczej, 3.2. miesięczne informacje sporządzane dla Komitetu ALCO, 3.3. doraźne - opracowywane niezwłocznie po stwierdzeniu niezgodności, mających szczególny wpływ na działalność i reputację Banku, wskazują zdarzenie z obszaru ryzyka braku zgodności, które wystąpiło w Banku, a także określają podjęte w Banku działania minimalizujące to ryzyko. 4. CO przekazuje z częstotliwością kwartalną raporty ryzyka braku zgodności do jednostki nadrzędnej wobec Banku GNB S.A. Ponadto informacje dotyczące zdarzeń operacyjnych powiązanych z ryzykiem braku zgodności występujących w Banku są pozyskiwane przez GNB S.A. z bazy risk.operon. Strona 16 z 21

17 V. Struktura organizacyjna zarządzania ryzykiem braku zgodności 1. Proces zarządzania ryzykiem braku zgodności jest włączony w istniejącą strukturę organizacyjną Banku. Uczestnikami procesu zarządzania ryzykiem braku zgodności są: 1.1. Rada Nadzorcza: sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności i zatwierdza niniejszą Politykę oraz wszelkie do niej zmiany, co najmniej raz w roku, ocenia efektywność zarządzania ryzykiem braku zgodności. Ocena ta dokonywana jest na protokołowanych posiedzeniach na podstawie przedłożonego przez Zarząd rocznego raportu z zarządzania ryzykiem braku zgodności, w przypadku negatywnej oceny skuteczności procesu zarządzania ryzykiem braku zgodności w Banku, może zobowiązać Zarząd do modyfikacji niniejszej Polityki Zarząd: jest odpowiedzialny za efektywne zarządzanie ryzykiem braku zgodności, wdraża i realizuje proces zarządzania ryzykiem braku zgodności, ustanawia efektywnie działającą, stałą jednostkę organizacyjną w Banku, której zadaniem jest operacyjne wspieranie Zarządu w zarządzaniu ryzykiem braku zgodności, opracowuje i aktualizuje politykę zarządzania ryzykiem braku zgodności, kontroluje przestrzeganie polityki zarządzania ryzykiem braku zgodności, podejmuje środki naprawcze i dyscyplinujących w przypadku stwierdzenia nieprawidłowości w stosowaniu polityki zgodności, składa Radzie Nadzorczej raporty z zarządzania ryzykiem braku zgodności, w celu dokonania przez Radę Nadzorczą oceny stopnia efektywności zarządzania tym ryzykiem, tworzy przyjaznego środowiska dla realizacji i rozwoju systemu zarządzania ryzykiem braku zgodności CO: jest odpowiedzialny za operacyjne zarządzanie ryzykiem braku zgodności w Banku projektuje przepisy wewnętrzne Banku w zakresie: a) zarządzania ryzykiem braku zgodności, b) zarządzania konfliktami interesów, c) przyjmowania prezentów oraz przyjmowania/przekazywania zachęt, informuje jednostki i komórki organizacyjne o zmianach w przepisach prawa i regulacjach ostrożnościowych, standardach postępowania przyjętych w środowisku bankowym i inicjuje podjęcie przez jednostki organizacyjne prac dostosowawczych; ocenia zgodność funkcjonowania Banku z przepisami prawa, regulacjami ostrożnościowymi oraz przepisami wewnętrznymi, jak również przyjętymi przez Bank standardami postępowania w ramach realizacji testów zgodności oraz formułuje rekomendacje w zakresie wyeliminowania lub odpowiedniego ograniczenia zdiagnozowanego ryzyka; opiniuje przepisy wewnętrznych w zakresie: Strona 17 z 21

18 a) zgodności formalno-prawnej i spójności wewnętrznej (z uwzględnieniem identyfikacji ryzyka wynikającego z wykorzystania luk prawnych lub innej formy obejścia obowiązujących przepisów prawa), b) zgodności z regulacjami ostrożnościowymi i stanowiskami KNF, c) zgodności z najlepszymi standardami i normami etycznymi, w tym pod kątem: przejrzystości konstrukcji produktów, łatwości zrozumienia przez grupę docelową, jednoznaczności i zrozumiałości postanowień zawartych we wzorach umownych oraz treści zamieszczanych w innych dokumentach mających znaczenie dla podjęcia przez klienta decyzji, dokonuje identyfikacji i oceny ryzyka braku zgodności w związku z tworzeniem nowych produktów i rozwijaniem nowych modeli biznesowych, dokonuje oceny, monitorowania, ograniczania ryzyka braku zgodności, gromadzi dane o ryzyku braku zgodności Banku, tworzy i monitoruje standardy etyczne, monitoruje przestrzeganie w Banku wymagań wynikających z przepisów implementujących dyrektywę MiFID do krajowych przepisów prawa, monitoruje przestrzeganie regulacji wewnętrznych przez pracowników, raportuje o ryzyku braku zgodności, przeprowadza szkolenia w zakresie ryzyka braku zgodności, doradza pracownikom Banku w zakresie ryzyka braku zgodności, koordynuje współpracę z organami nadzoru w zakresie ryzyka braku zgodności Koordynator AML: jest funkcją współpracującą z CO, projektuje przepisy wewnętrzne w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, bezpieczeństwa informacji prawnie chronionych, w tym danych dotyczących klientów, przeciwdziałania przestępczości, ryzyka operacyjnego oraz prowadzi nadzór nad wdrażaniem i funkcjonowaniem tych przepisów, realizuje działania w zakresie przeciwdziałania tzw. praniu pieniędzy i finansowaniu terroryzmu oraz naruszeniom przepisów i działań na szkodę Banku, udziela konsultacji w zakresie ochrony danych osobowych, tajemnicy bankowej i innych informacji prawnie chronionych, wdraża rozwiązania kontrolujące ryzyko braku zgodności związane z klientami i transakcjami (np. tworzy listy kontrahentów, z którymi Bank nie zamierza podejmować współpracy lub z którymi współpraca może być obarczona ryzykiem utraty reputacji), 1.5. ORM: jest funkcją ściśle współpracującą z CO współpracuje z CO w zakresie zarządzania ryzykiem braku zgodności w ramach następujących obszarów: a) umożliwienia użytkowania Bazy Zdarzeń Operacyjnych (prowadzonej przez ORM w arkuszu kalkulacyjnym Excel) oraz systemu risk.operon, Strona 18 z 21

19 b) korzystania przez funkcję zarządzania ryzykiem braku zgodności z bazy ryzyka operacyjnego w zakresie zdarzeń operacyjnych związanych z czynnikami o charakterze prawnym, c) identyfikacji i rejestrowania w systemie wspierającym proces zarządzania ryzykiem operacyjnym risk.operon zdarzeń ryzyka operacyjnego powiązanych z ryzykiem braku zgodności, d) monitorowania stanu realizowanych działań ograniczających ryzyko operacyjne powiązane z ryzykiem braku zgodności, e) opiniowania projektów wewnętrznych aktów normatywnych, regulaminów, procedur i instrukcji w zakresie ich zgodności z obowiązującymi wymaganiami zarządzania ryzykiem operacyjnym i bezpieczeństwa Banku IA okresowo przeprowadza audyt procesu zarządzania ryzykiem braku zgodności w Banku, zgodnie z odrębnymi przepisami wewnętrznymi DRiS jest odpowiedzialny za zapewnienie zgodności stosowanych przez Bank zasad rachunkowości z zewnętrznymi przepisami prawa dotyczącymi rachunkowości oraz standardami rachunkowości i sprawozdawczości finansowej DZB: ma za zadanie terminowe i merytoryczne rozpatrywanie skarg i reklamacji klientów, zarządzanie procesem skargowym w Banku oraz inicjowanie i koordynację działań prowadzących do podnoszenia jakości obsługi klientów Banku informuje CO o występujących w mediach wzmiankach nt. Banku Departament Skarbu i Obsługi Klienckiej współpracuje z CO w zakresie Polityki Poznaj swojego klienta ( KYC ), Pozostałe komórki organizacyjne są odpowiedzialne za bieżące zarządzanie ryzykiem braku zgodności poprzez: zapewnienie zgodności działania Banku z obowiązującymi przepisami prawa, regulacjami ostrożnościowymi, przepisami wewnętrznymi oraz przyjętymi przez Bank standardami postępowania, w tym poprzez podejmowanie inicjatyw legislacyjnych w zakresie działania tych jednostek, identyfikację i eliminowanie ryzyka braku zgodności powstającego w nadzorowanych przez te jednostki produktach i procesach zgodnie z odrębnymi regulacjami, podejmowanie działań mających na celu zapobieganie wystąpieniu ryzyka braku zgodności, informowanie o ujawnionych przypadkach braku zgodności i zidentyfikowanych zagrożeniach. 2. Obowiązki pracowników Banku w zakresie realizacji Polityki: 2.1. Za realizację niniejszej Polityki są odpowiedzialni wszyscy pracownicy Banku, stosownie do wykonywanego przez nich zakresu obowiązków oraz nadanych im uprawnień, w szczególności poprzez: przestrzeganie, niezależnie od zajmowanego stanowiska czy funkcji, przepisów prawa, regulacji nadzorczych, przepisów wewnętrznych Banku oraz ogólnie przyjętych praktyk postępowania i standardów, przestrzeganie zasad etycznych obowiązujących w Banku, unikanie wszelkich sytuacji mogących doprowadzić do powstania konfliktu interesów jak również wszelkich sytuacji mogących stanowić podstawę zarzutu uzyskania lub wręczenia niedozwolonych korzyści materialnych. Strona 19 z 21