Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach systemu zarządzania, w Banku funkcjonuje system zarządzania ryzykiem i system kontroli wewnętrznej. 2. System kontroli wewnętrznej jest to ogół rozwiązań i działań zapewniających realizację ustawowo określonych celów systemu kontroli wewnętrznej, a jednocześnie wspomagających zarządzanie Bankiem, przyczyniających się do skutecznej realizacji jego zadań oraz zapewnienia bezpieczeństwa i stabilności funkcjonowania Banku. 3. System kontroli wewnętrznej obejmuje wszystkie komórki organizacyjne Banku i jest dostosowany do charakteru, profilu ryzyka i skali prowadzonej działalności. 4. System kontroli wewnętrznej wspiera Radę Nadzorczą, Zarząd i pracowników Banku w prawidłowym, efektywnym i skutecznym wykonywaniu obowiązków. II. Cele i struktura systemu kontroli wewnętrznej 1. Celami ogólnymi systemu kontroli wewnętrznej są: a. zapewnienie skuteczności i efektywności działania Banku, b. zapewnienie wiarygodności sprawozdawczości finansowej, c. zapewnienie przestrzegania zasad zarządzania ryzykiem w Banku, d. zapewnienie zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi. 2. W ramach systemu kontroli wewnętrznej Bank wyodrębnia: a. funkcję kontroli mającą za zadanie zapewnienie przestrzegania mechanizmów kontrolnych dotyczących w szczególności zarządzania ryzykiem w Banku, b. komórkę do spraw zgodności mającą za zadanie identyfikację, ocenę, kontrolę i monitorowanie ryzyka braku zgodności w działalności Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie, c. komórkę audytu wewnętrznego, której zadaniem jest badanie i ocena, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w całej działalności Banku. 3. System kontroli wewnętrznej oraz system zarzadzania ryzykiem w Banku, zorganizowane są na trzech niezależnych i wzajemnie uzupełniających się poziomach (liniach obrony): a. pierwsza linia obrony dotyczy zarządzania ryzykiem w działalności operacyjnej Banku, na podstawie między innymi ustanowionych limitów, zgodności działania z powszechnie obowiązującymi przepisami prawa, przepisami wewnętrznymi Banku oraz przyjętymi w Banku standardami rynkowymi i opiera się na jednostkach biznesowych (generujących przychody), których funkcjonowanie tworzy różne rodzaje ryzyka, wpływające na osiąganie celów przez Bank. b. na drugą linie obrony składa się zarzadzanie ryzykiem w dedykowanych stanowiskach lub komórkach organizacyjnych niezależnie od zarządzania ryzykiem na pierwszej linii oraz działalność komórki do spraw zgodności. Druga linia istnieje w celu wspierania kierownictwa swoim doświadczeniem, doskonalenia procesów i monitorowania pierwszej linii pod kątem zapewnienia, że ryzyko i kontrola są skutecznie zarządzane. c. na trzecią linię obrony składa się działalność komórki audytu wewnętrznego mającą za zadanie badanie i ocenę, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej. 1
4. Na wszystkich trzech liniach obrony, w ramach systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, pracownicy Banku, w ramach przypisanych im obowiązków służbowych, stosują mechanizmy kontrolne lub niezależnie monitorują przestrzeganie mechanizmów kontrolnych. 5. Uczestnikami systemu kontroli wewnętrznej w Banku są: a. Rada Nadzorcza, b. Komitet Audytu Rady Nadzorczej, c. Zarząd Banku, d. Stanowisko ds. Zgodności (komórka ds. zgodności), e. Departament Audytu Wewnętrznego (komórka audytu wewnętrznego), f. wszyscy pracownicy Banku. III. Rola Rady Nadzorczej, Komitetu Audytu i Zarządu Banku 1. Rada Nadzorcza sprawuje nadzór nad wprowadzeniem i zapewnieniem funkcjonowania systemu kontroli wewnętrznej oraz corocznie ocenia adekwatność i skuteczność tego systemu, w tym adekwatność i skuteczność funkcji kontroli, Stanowiska ds. Zgodności oraz Departamentu Audytu Wewnętrznego. 2. Komitet Audytu Rady Nadzorczej monitoruje skuteczność systemu kontroli wewnętrznej w oparciu o informacje uzyskane od Stanowiska ds. Zgodności, Departamentu Audytu Wewnętrznego i Zarządu Banku. W zakresie monitorowania audytu wewnętrznego oraz zapewniania zgodności Komitet Audytu sprawuje nadzór nad organizacją w Banku funkcji audytu wewnętrznego i funkcji zapewnienia zgodności, ze szczególnym uwzględnieniem kwestii ich niezależności. Komitet Audytu ma prawo żądania informacji, wyjaśnień i przekazywania dokumentów niezbędnych do wykonywania zadań w zakresie sprawozdawczości finansowej. 3. Zarząd Banku odpowiada za zaprojektowanie, wprowadzenie oraz zapewnienie, w odniesieniu do wszystkich komórek i stanowisk organizacyjnych Banku, funkcjonowania adekwatnego i skutecznego systemu kontroli wewnętrznej, obejmującego funkcję kontroli, Stanowisko ds. Zgodności i Departament Audytu Wewnętrznego oraz stworzenia odpowiednich ram organizacyjnych i finansowych dla ich niezależnego i sprawnego działania. 4. Definiując, wprowadzając i zapewniając funkcjonowanie adekwatnego i skutecznego systemu kontroli wewnętrznej Zarząd Banku uwzględnia: a. stopień skomplikowania procesów funkcjonujących w Banku, b. zasoby, którymi dysponuje, c. poziom ryzyka zaistnienia nieprawidłowości w zakresie poszczególnych procesów, przede wszystkim w odniesieniu do procesów uznanych za istotne, d. ocenę funkcjonowania pierwszego, drugiego i trzeciego niezależnego poziomu kontroli wewnętrznej i zarządzania ryzykiem. 5. Zarząd Banku podejmuje działania zapewniające ciągłość działania systemu kontroli wewnętrznej, w tym właściwej współpracy wszystkich pracowników Banku w ramach funkcji kontroli oraz współpracy ze Stanowiskiem ds. Zgodności i Departamentem Audytu Wewnętrznego. Bank zapewnia pracownikom tych komórek w ramach wykonywania przez nich obowiązków służbowych, dostęp do niezbędnych dokumentów źródłowych, pomieszczeń i osób zawierających /posiadających informacje, w tym prawnie chronione. 2
IV. Funkcja kontroli 1. Na funkcję kontroli składają się wszystkie mechanizmy kontrolne w funkcjonujących w Banku procesach, niezależne monitorowanie ich przestrzegania oraz raportowanie w ramach funkcji kontroli. 2. W Banku zapewnia się realizację celów systemu kontroli wewnętrznej poprzez funkcjonowanie mechanizmów kontrolnych, dostosowanych do specyfiki danego obszaru działalności Banku, przebiegu i stopnia złożoności procesów, występującego ryzyka oraz skali i istotności nieprawidłowości, efektywności systemów informatycznych wspomagających procesy, dostępności zasobów ludzkich i sprawowanego nadzoru. 3. Do podstawowych rodzajów niezależnego monitorowania przestrzegania mechanizmów kontrolnych należą: a. monitorowanie poziome w ramach pierwszej linii obrony oraz monitorowanie pionowe pierwszej linii obrony przez drugą linię obrony, b. monitorowanie poziome w ramach drugiej linii obrony c. monitorowanie poziome w ramach trzeciej linii, poprzez funkcjonowanie programu zapewnienia jakości. 4. Weryfikacja bieżąca polega na porównywaniu stanu faktycznego ze stanem wymaganym, dokonywanym w celu oceny przestrzegania mechanizmów kontrolnych przed rozpoczęciem lub w trakcie wykonywanych czynności. Jest dokonywana w sposób ciągły w ramach procesów funkcjonujących w Banku. 5. Testowanie dotyczy porównywania na wybranej próbie testowej stanu faktycznego ze stanem oczekiwanym, dokonywane w celu oceny przestrzegania mechanizmów kontrolnych w odniesieniu do zakończonych czynności lub poszczególnych etapów tych czynności. 6. Mechanizmy kontrolne są odpowiednio stosowane na wszystkich trzech niezależnych poziomach, we wszystkich procesach funkcjonujących w Banku, spełniając rolę: a. prewencyjną - poprzez zapobieganie nieprawidłowościom, b. detekcyjną - poprzez wykrywanie nieprawidłowości, c. korekcyjną - w drodze korygowania nieprawidłowości. V. Zapewnienie zgodności 1. Bank wyodrębnia niezależną komórkę organizacyjną - Stanowisko ds. zgodności, której podstawowym zadaniem jest właściwe zapewnianie przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych poprzez funkcję kontroli oraz zarządzanie ryzykiem braku zgodności. Umiejscowienie Stanowiska ds. zgodności w strukturze organizacyjnej gwarantuje jego niezależność. Stanowisko ds. zgodności znajduje się w drugiej linii obrony. 2. Do najważniejszych obowiązków Stanowiska ds. zgodności należą: a. zapewnienie zgodności poprzez niezależne monitorowanie i raportowanie przestrzegania mechanizmów kontrolnych, zwłaszcza w formie weryfikacji bieżącej pionowej i testowania pionowego w dedykowanych obszarach, b. przeprowadzanie w jednostkach organizacyjnych Banku kontroli (testowanie pionowe) w zakresie zgodności regulacji wewnętrznych i sposobu działania z przepisami prawa oraz standardami postępowania przyjętymi przez Bank, c. identyfikowanie ryzyka braku zgodności, w szczególności poprzez analizę przepisów prawa, regulacji wewnętrznych, standardów rynkowych oraz prowadzonych wewnętrznych postępowań wyjaśniających, d. ocena ryzyka braku zgodności poprzez pomiar lub szacowanie tego ryzyka, 3
e. projektowanie i wprowadzanie, bazujących na ocenie ryzyka braku zgodności mechanizmów kontroli ryzyka braku zgodności, f. monitorowanie wielkości i profilu ryzyka braku zgodności po zastosowaniu mechanizmów kontroli ryzyka braku zgodności, g. okresowe przekazywanie raportów w zakresie ryzyka braku zgodności do Zarządu i Rady Nadzorczej. 3. Stanowisko ds. zgodności odpowiada za stosowanie wybranych rodzajów mechanizmów kontroli ryzyka braku zgodności t.j.: a. analizę nowych produktów i usług wprowadzanych do oferty Banku, b. koordynowanie procesu informowania o zmianach w przepisach prawa, regulacjach wewnętrznych i standardach rynkowych, c. uczestnictwo w kluczowych projektach wdrożeniowych w kontekście zapewnienia zgodności, d. przeprowadzanie lub zlecanie szkoleń dla pracowników, e. określanie wskaźników ryzyka braku zgodności, f. wydawanie wytycznych i zaleceń. 4. Każdy pracownik Banku jest zobowiązany do przestrzegania przepisów prawa, obowiązujących w Banku procedur i reguł etyki biznesowej oraz do niezwłocznego zgłaszania wszelkich przypadków ich naruszenia lub niezgodności. Bank zapewnia rozwiązania umożliwiające anonimowość dokonywania takich zgłoszeń oraz bezwzględnie wyklucza stosowanie wobec pracownika, który w dobrej wierze dokonał zgłoszenia naruszenia, jakichkolwiek działań o charakterze represyjnym, dyskryminacyjnym lub innych rodzajów niesprawiedliwego traktowania. VI. Audyt wewnętrzny 1. Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej Banku. Polega na systematycznej i uporządkowanej ocenie procesów: zarzadzania ryzykiem, kontroli wewnętrznej i ładu organizacyjnego i przyczynia się do poprawy ich działania. Pomaga Bankowi osiągnąć zakładane cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo. 2. Bank na trzecim poziomie wyodrębnia niezależny Departament Audytu Wewnętrznego, który realizuje zadania w ramach prowadzonej działalności zapewniającej oraz działalności doradczej. 3. W ramach działalności zapewniającej Departament Audytu Wewnętrznego jest odpowiedzialny za dokonywanie oceny adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w całej działalności Banku poprzez przeprowadzanie badań audytowych ujętych w obowiązującej Karcie Audytu, procedurach i metodykach procesu audytowego. Na proces audytowy składają się : a. plany audytu, b. przygotowanie badania audytowego, c. przeprowadzenie badania audytowego i zaraportowanie jego wyników, d. monitorowanie terminowości i efektywności realizacji wydanych zaleceń poaudytowych. 4. W ramach działalności doradczej Departament Audytu Wewnętrznego może przysparzać wartości i usprawnień w odniesieniu do działalności Banku, o ile działalność taka nie zagraża niezależności, efektywności i obiektywizmowi działalności zapewniającej oraz : a. podejmowana jest na wniosek Zarządu lub Rady Nadzorczej, 4
b. podejmowana jest w odniesieniu do kluczowych, z punktu widzenia Banku, rozwiązań o charakterze systemowym, c. nie jest podejmowana w odniesieniu do projektowania i zatwierdzania procedur i metodyk stosowanych w Banku, d. skutkuje jedynie niewiążącymi opiniami wydawanymi przez Departament Audytu Wewnętrznego, e. podejmowana jest z uwzględnieniem dostępnych zasobów i jest limitowana (nie ma charakteru działalności wiodącej). Departament Audytu Wewnętrznego nie przyjmuje odpowiedzialności za działania podejmowane na bazie wyników usług doradczych. 5. W odniesieniu do systemu zarzadzania ryzykiem, proces audytowy obejmuje ocenę adekwatności i skuteczności systemu zarządzania ryzykiem, odpowiednio na pierwszej i drugiej linii obrony, z uwzględnieniem adekwatności i skuteczności wybranych do badania audytowego mechanizmów kontroli ryzyka stosowanych w ramach tych linii. 6. W odniesieniu do systemu kontroli wewnętrznej, proces audytowy obejmuje ocenę adekwatności i skuteczności systemu kontroli wewnętrznej, odpowiednio na pierwszej i drugiej linii obrony, z uwzględnieniem adekwatności i skuteczności wybranych do badania mechanizmów kontrolnych i niezależnego monitorowania ich przestrzegania w ramach pierwszej i drugiej linii obrony. 7. Istotną kwestią dla właściwego funkcjonowania Departamentu Audytu Wewnętrznego jest zagwarantowanie jego niezależności - podlega funkcjonalnie Radzie Nadzorczej i administracyjnie Prezesowi Zarządu. Departament Audytu Wewnętrznego nie podlega niezależnemu monitorowaniu ze strony jakichkolwiek komórek organizacyjnych usytuowanych w ramach pierwszej i drugiej linii obrony. 8. Departament Audytu Wewnętrznego nie może być łączony z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w Banku. Pracownicy tej komórki nie mogą wykonywać innych obowiązków niż wynikające z jej zadań zapewniających i doradczych, w tym zwłaszcza nie powinni wykonywać żadnych czynności operacyjnych. VII. Ocena adekwatności i skuteczności systemu kontroli wewnętrznej 1. Zarząd Banku ustanawia szczegółowe kryteria oceny adekwatności i skuteczności systemu kontroli wewnętrznej, które są zatwierdzane przez Radę Nadzorczą. Przedmiotowe kryteria są stosowane w ramach wszystkich linii obrony oraz podlegają okresowej aktualizacji. 2. Przez adekwatność systemu kontroli wewnętrznej Bank rozumie zgodność jego struktury i zasad funkcjonowania z obowiązującymi przepisami prawa, regulacjami oraz spełnianie powszechnie akceptowanych norm profesjonalnej praktyki i standardów rynkowych. 3. Przez skuteczność systemu kontroli wewnętrznej Bank rozumie efektywną realizację wszystkich ustawowych celów systemu kontroli wewnętrznej określonych w art. 9c ustawy Prawo bankowe. 4. Ocena adekwatności i skuteczności systemu kontroli wewnętrznej w Banku jest dokonywana w oparciu o następujące czynniki jakościowe i ilościowe: 1) poziom realizacji planu audytów, 2) poziom realizacji planu testów zgodności, 3) ilość błędów znaczących i krytycznych identyfikowanych w ramach monitorowania, 4) terminowość realizacji wydanych zaleceń, 5) kwota strat operacyjnych zrealizowanych / kwota strat operacyjnych zaplanowanych, 6) poziom udokumentowania i zaraportowania przeprowadzenia niezależnego monitorowania (testowania pionowego) kluczowych mechanizmów kontrolnych w ciągu ostatnich 12 miesięcy w łącznej liczbie zaplanowanych i zgłoszonych testów, 5
7) poziom oceny BION, 8) poziom zewnętrznej oceny okresowej kompetentnego i niezależnego podmiotu zewnętrznego w zakresie kompleksowego przeglądu działalności Departamentu Audytu Wewnętrznego, 9) rodzaj opinii wydanej przez biegłego rewidenta badającego ostatnie roczne sprawozdanie finansowe Banku. 6