Wydanie Rekomendacji H dotyczącej systemu kontroli wewnętrznej w bankach.

B.1. mechanizmy kontroli ryzyka,

B.2. badanie zgodności działania banku z przepisami prawa i regulacjami wewnętrznymi,

B.3. audyt wewnętrzny.

B.1. Mechanizmy kontroli ryzyka

Rekomendacja 8

Mechanizmy identyfikacji, oceny i kontroli ryzyka, powinny uwzględniać ocenę ilościową, jakościową, brać pod uwagę szacunek wpływu ryzyka na bezpieczeństwo banku i rentowność działalności, wiarygodność sprawozdawczości oraz przestrzeganie przepisów i regulacji.

8.1. Ryzyko związane jest z prowadzeniem każdej działalności. Istotna jest zatem konieczność zidentyfikowania ryzyka i czynników (wewnętrznych i zewnętrznych) generujących to ryzyko, pomiar, jak również stała kontrola ryzyka.

8.2. Identyfikacja, pomiar i ocena ryzyka powinna wskazać, które rodzaje ryzyka bank powinien i może kontrolować i w jakim zakresie, które elementy ryzyka podlegają ocenie jakościowej, a które ocenie ilościowej. Ważną kwestią jest również identyfikacja, pomiar i ocena tych czynników zewnętrznych i wewnętrznych, które mogłyby niekorzystnie wpływać na rentowność działalności, wiarygodność sporządzanej sprawozdawczości oraz przestrzeganie przepisów i regulacji. Do czynników takich należy zaliczyć również występowanie powiązań personalnych pomiędzy pracownikami pozostającymi w relacji podległości służbowej.

8.3. W banku funkcjonują adekwatne systemy, metody, procedury/czynności kontrolne, które mają na celu niedopuszczanie do przekraczania ustalonych limitów wewnętrznych (o których mowa w uchwale KNF). Częste przekraczanie limitów jest sygnałem, że procedury, które miały zapobiegać przekraczaniu limitów, są zawodne i należy je poprawić. W przypadku stwierdzenia przekroczenia limitu, powinny być bezzwłocznie podjęte stosowne czynności przewidziane w regulaminie, które doprowadzą do obniżenia danego typu ryzyka w działalności banku. Każde przekroczenie limitu, podjęte działania oraz skutki tych działań, powinny być rejestrowane i raportowane, zgodnie z obowiązującymi w banku zasadami.

8.4. Bank powinien posiadać pisemne uzasadnienie każdej decyzji o odstąpieniu od obowiązku ustalenia procedur kontrolnych.

B.2. Badanie zgodności działania banku z przepisami prawa i regulacjami wewnętrznymi

Rekomendacja 9

Zarząd banku jest wyposażony w informacje o przepisach prawa, zasadach, regulacjach i normach, które bank musi przestrzegać, wraz z szacunkową oceną możliwego wpływu istotnych zmian w tym zakresie, na działalność banku i zapewnienie zgodności działania z tymi przepisami.

9.1. Badanie zgodności działań banku z przepisami realizowane jest przez wyspecjalizowaną komórkę.

9.2. Ryzyko braku zgodności może stanowić zagrożenie dla zysków lub kapitałów z uwagi pojawienia się konieczności poniesienia dodatkowych kosztów wynikających z np. nałożonych kar, poniesionych szkód, anulowanych kontraktów lub utraty reputacji (wiarygodności dla kontrahentów) banku.

B.3. Funkcje komórki audytu wewnętrznego

9.3. Podstawy prawne funkcjonowania oraz zadania i czynności realizowane w ramach komórki audytu wewnętrznego są zdefiniowane w ustawie - Prawo bankowe oraz uchwale KNF.

B.3.1. Usytuowanie, uprawnienia, zakres badań i odpowiedzialności komórki audytu wewnętrznego

Rekomendacja 10

Komórka audytu wewnętrznego powinna działać w oparciu o sformalizowany dokument określający cel, uprawnienia oraz zakres zadań i odpowiedzialności komórki.

10.1. Usytuowanie, uprawnienia, zakres badań i odpowiedzialności komórki audytu wewnętrznego muszą być sformalizowane, zgodne z wewnętrznymi przepisami, statutem i schematem organizacyjnym banku oraz odpowiednio udokumentowane w regulaminie kontroli, zatwierdzonym przez radę nadzorczą. Regulamin kontroli w przedmiotowym zakresie podlega okresowej weryfikacji i aktualizacji.

10.2. Komórka audytu wewnętrznego powinna posiadać opracowane procedury badania obszarów działalności banku i operacji wykonywanych przez pracowników banku, pod kątem skuteczności, adekwatności oraz efektywności i poprawności tych działań.

B.3.1.1. Usytuowanie komórki audytu wewnętrznego

Rekomendacja 11

Komórka audytu wewnętrznego powinna być usytuowana w strukturze organizacyjnej banku, w sposób gwarantujący jej wykonywanie zadań w sposób w pełni niezależny i obiektywny.

11.1. Odpowiednia pozycja komórki audytu wewnętrznego i jej niezależność powinny być zagwarantowane w statucie banku, w celu zapewnienia jej obiektywizmu i sprawnego funkcjonowania. Szczególna uwaga powinna być zwrócona na prawidłowe relacje i współpracę komórki audytu wewnętrznego z radą nadzorczą, zarządem i jednostkami organizacyjnymi banku. Istnienie powiązań personalnych osób wykonujących audyt wewnętrzny, osób pracujących na kontrolowanych stanowiskach i osób wchodzących w skład zarządu, rady nadzorczej, kierownictwa jednostek organizacyjnych banku, może mieć negatywny wpływ na przebieg i ustalenia kontroli.

11.2. Komórka audytu wewnętrznego powinna być usytuowana w banku, w sposób gwarantujący jej wykonywanie ustawowych zadań w sposób w pełni niezależny i obiektywny oraz właściwą rangę i niezależność, także z punktu widzenia warunków w pełni obiektywnej oceny. Komórka audytu wewnętrznego jest integralną częścią banku i funkcjonuje w ramach strategii i polityki ustalanej przez zarząd banku i akceptowanej przez radę nadzorczą banku. W przypadku banków spółdzielczych, audyt może być wykonywany przez bank zrzeszający.

11.3. Obiektywizm audytu wewnętrznego stanowi jedno z najważniejszych kryteriów oceny jakości pracy audytora wewnętrznego. Audytorzy wewnętrzni powinni zachować bezstronność i obiektywizm. Audytorzy wewnętrzni powinni przeprowadzać kontrole w taki sposób, aby zachować poufność wyników kontroli oraz nie zgadzać się na żadne rozwiązania lub kompromisy, które mogłyby mieć negatywny wpływ na zachowanie wysokiej jakości swojej pracy. Wyniki kontroli powinny być przedstawiane bez względu na konsekwencje, jakie mogą wywołać oraz powiązania (formalne i nieformalne), które mogą naruszać.

11.4. Właściwe usytuowanie w strukturze organizacyjnej banku powinno zapewnić komórce audytu wewnętrznego niezależność, ale nie izolację. Miejsce komórki audytu wewnętrznego w strukturze organizacyjnej banku musi umożliwiać skuteczne wykonywanie funkcji kontrolnych. Skuteczność komórki audytu wewnętrznego w dużej mierze uwarunkowana jest niezależnością audytorów wewnętrznych, o której decyduje m.in. umiejscowienie jej w strukturze organizacyjnej banku.

11.5. Kierujący komórką audytu wewnętrznego powinien bezpośrednio podlegać prezesowi zarządu banku. Efektywna współpraca zarządu, rady nadzorczej banku, komitetu audytu i komórki audytu wewnętrznego, jest niezbędna dla utrzymania kontroli wewnętrznej na wysokim poziomie.

11.6. Wiarygodność komórki audytu wewnętrznego jest wynikiem trafności opinii realizacji zaleceń, bezstronności i profesjonalizmu, a także umiejętności jej pracowników. Na prawidłowe działanie komórki audytu wewnętrznego mają wpływ m.in. takie czynniki, jak: ilość pracowników, ich przygotowanie zawodowe (kwalifikacje i doświadczenie), fluktuacja kadr. Organizacja pracy, w tym adekwatna ilość pracowników, w komórce audytu wewnętrznego, powinna wynikać ze specyfiki działalności banku.

11.7. Mechanizmy zapewniające niezależność komórki audytu wewnętrznego są określone w uchwale KNF. Należy stosować zasadę wyłączania z czynności kontrolnych pracowników komórki audytu wewnętrznego, w sytuacji zaistnienia powiązań personalnych pomiędzy kontrolowanym a kontrolującym, które mogłyby powodować jakąkolwiek wątpliwość, co do pełnego obiektywizmu kontroli. Ponadto, należy zaznaczyć, że pracownicy komórki audytu wewnętrznego, w toku wykonywania swoich zadań, nie mogą być angażowani w wykonywanie czynności operacyjnych, takich jak np. przeksięgowania, ponowna wycena składników majątku, opracowywanie procedur, itp.

B.3.1.2. Uprawnienia komórki audytu wewnętrznego

Rekomendacja 12

Audytorzy wewnętrzni powinni mieć zapewniony dostęp do wszystkich informacji i sprawozdań, niezbędnych do wykonania czynności kontrolnych, prawo do żądania ustnych i pisemnych wyjaśnień, dostęp do systemu informatycznego, sprawdzania i kopiowania dokumentów źródłowych oraz sporządzania dokumentacji roboczej.

12.1. Gwarantem skuteczności komórki audytu wewnętrznego, jest wyposażenie jej w niezbędne instrumenty do wypełniania wyznaczonych celów.

12.2. Komórka audytu wewnętrznego musi posiadać formalne uprawnienia do wykonywania swoich zadań, określone w regulaminie kontroli, zgodnym również z uchwałą KNF.

12.3. Pracownicy komórki audytu wewnętrznego powinni mieć zapewniony dostęp do wszystkich informacji (w tym również informacji poufnych i wrażliwych) i sprawozdań, pracowników banku oraz jego pomieszczeń, niezbędnych do wykonania czynności kontrolnych w sposób rzetelny i obiektywny oraz przedstawienia adekwatnych i kompletnych wyników oraz ewentualnych rekomendacji mających na celu eliminację zidentyfikowanych nieefektywności lub błędów.

12.4. Każda faza procesu kontroli, w tym też jakość prac wykonywanych przez każdego pracownika, powinny być oceniane przez kierującego kontrolą.

12.5. W toku wykonywanych czynności, audytorzy mają prawo m.in. do: sprawdzania dokumentów źródłowych, sporządzania dokumentacji roboczej, żądania ustnych i pisemnych wyjaśnień odnośnie wykonywanych czynności, będących przedmiotem kontroli i stwierdzonych podczas kontroli faktów. Ponieważ stwierdzone nieprawidłowości muszą być udokumentowane, pracownicy komórki audytu wewnętrznego muszą mieć zagwarantowaną możliwość przeglądania i kopiowania dokumentów papierowych, jak również danych zapisanych w formie innej niż papierowa (np. przetrzymywanych na nośnikach informacji takich jak pamięć USB typu Pendrive, nośniki CD/DVD lub inne), o ile jest to konieczne, otrzymywania wydruków niezbędnych danych z systemu komputerowego (np. w odniesieniu do kontroli zarządzania poszczególnymi rodzajami ryzyka, które towarzyszą systemom informatycznym). Audytorzy wewnętrzni powinni również posiadać prawa dostępu do systemu informatycznego, bez możliwości ingerencji w zasoby.

12.6. Kierujący komórką audytu wewnętrznego powinien określić tryb sporządzania dokumentacji roboczej, sposób przechowywania (archiwizacji) i udostępniania innym osobom. Sprawdzenia dokumentacji pod względem formalnym i merytorycznym powinien dokonywać kierujący komórką audytu wewnętrznego w celu uzyskania pewności, że jest ona kompletna i może stanowić podstawę do formułowania wniosków. Obowiązek sprawdzenia dokumentacji pod względem formalnym i merytorycznym może być delegowany na pracownika wyznaczonego przez kierującego komórką audytu wewnętrznego.

B.3.1.3. Zakres badań komórki audytu wewnętrznego

Rekomendacja 13

System kontroli wewnętrznej powinien być zorientowany na rozpoznanie i ocenę ryzyka całego banku. Wpływ ryzyka na poszczególne obszary funkcjonowania banku powinien być oceniany pod względem jego istotności. Komórka audytu wewnętrznego ma na celu zapewnienie, że w banku funkcjonują adekwatne systemy, metody, procedury / czynności kontrolne, które mają na celu niedopuszczanie do przekraczania m.in. ustalonych limitów wewnętrznych (o których mowa w uchwale KNF).

13.1. Praca komórki audytu wewnętrznego musi być zorientowana na ocenę funkcjonowania banku, ze szczególnym uwzględnieniem braków i nieprawidłowości w funkcjonowaniu banku oraz powinna wskazywać sposoby ich likwidacji. System kontroli wewnętrznej powinien być zorientowany na rozpoznanie i ocenę ryzyka związanego z funkcjonowaniem całego banku (w zależności od struktury organizacyjnej, badania komórki audytu wewnętrznego będą obejmować np. zarówno jednostki terenowe banku, jak i departamenty centrali), włączając w to również, zgodnie z uchwałą KNF, nadzór nad ryzykiem związanym z działalnością podmiotów zależnych banku.

13.2. Badaniu i ocenie przez audytora wewnętrznego muszą podlegać wszystkie systemy, procesy, operacje, funkcje i czynności w ramach banku. W przypadku, gdy nie jest uzasadnione badanie całego obszaru lub nie jest możliwe przeprowadzenie analizy pełnego kompletu dokumentów, ich dobór winien wynikać z oceny ryzyka (być uzasadniony).

13.3. W przypadku pracowników komórki audytu wewnętrznego, zakres czynności kontrolnych należy ustalić tak, by zapewniał on skuteczność mechanizmów kontroli wewnętrznej wbudowanych w procesy decyzyjne, systemy informatyczne, oraz procedury postępowania dotyczące każdego produktu, czy usługi znajdującej się w ofercie banku.

13.4. Wpływ ryzyka na poszczególne obszary funkcjonowania banku powinien być oceniany pod względem jego istotności, np. w przypadku stwierdzenia w toku kontroli okoliczności narażających bank na straty, przeprowadzający kontrolę powinien wystąpić z pisemnym wnioskiem o wydanie polecenia służbowego natychmiastowego usunięcia zagrożenia; natomiast w przypadku wykrycia nadużyć - należy zabezpieczyć dowody i objąć kontrolą wszystkie operacje i dokumenty za dany okres i w takim zakresie, jaki okaże się niezbędny do pełnego ustalenia rozmiarów nadużycia i poniesionych strat.

13.5. W każdej sytuacji odstąpienia od badania, należy uzasadnić przyczyny podjęcia takiej decyzji. Częstotliwość kolejnych badań w tych obszarach powinna być wyższa, niż w przypadku innych obszarów.

13.6. W celu zapewnienia sprawnego przebiegu kontroli, zgodnie z uchwałą KNF, komórka audytu wewnętrznego powinna posiadać opracowaną pisemnie metodykę prowadzenia kontroli.

13.7. Dokument określający metodykę prowadzenia kontroli, winien precyzować w szczególności:

* sposób doboru zespołów kontrolnych - wykluczający powiązania personalne pomiędzy kontrolującym a kontrolowanym,

* obszary ryzyka - dziedziny działalności bankowej charakteryzujące się możliwością wystąpienia strat, obszary organizacyjne, które mają kluczowe znaczenie dla sprawności funkcjonowania banku jako całości,

* zakres kontroli dla wyróżnionych obszarów ryzyka - w zależności od stopnia ryzyka związanego z wyróżnionym obszarem, ustala się, czy kontrola powinna mieć charakter kompleksowy, problemowy, czy doraźny,

* częstotliwość kontroli - obszary obarczone wyższym ryzykiem powinny być kontrolowane regularnie i z większą częstotliwością,

* opis zakresu badania - lista wymaganych dokumentów, kontrolowanych operacji, opis poszczególnych czynności kontrolnych,

* wzór raportu pokontrolnego - ustalający jego standardowe elementy oraz inne wymagania dotyczące tego dokumentu,

* rozdzielnik dostarczenia raportu pokontrolnego - określający adresatów raportu pokontrolnego i zapewniający przekazanie odpowiednich informacji jednostkom decyzyjnym,

* tryb sprawdzenia wykonania zaleceń pokontrolnych - w obszarach obarczonych wyższym ryzykiem, sprawdzenie wykonania zaleceń pokontrolnych powinno mieć charakter regularny, w pewnych przypadkach można dopuszczać zobowiązanie kierownictwa jednostki kontrolowanej do przekazania komórce audytu wewnętrznego - w określonym czasie - pisemnej informacji o podjętych działaniach naprawczych i ich rezultatach,

* procedurę procesu odwoławczego - tryb postępowania w przypadku, gdy kierujący jednostką kontrolowaną nie zgadza się z ustaleniami lub wnioskami z kontroli.

13.8. Komórka audytu wewnętrznego do przeprowadzania kontroli w oddziałach banku i jednostkach organizacyjnych centrali, może wykorzystywać własną mapę ryzyka banku. Pozwala ona na ocenę ryzyka za pomocą przyjętego zestawu wskaźników ryzyka oraz wskaźnika syntetycznego, charakterystycznego dla danej jednostki organizacyjnej banku.

B.3.1.4. Odpowiedzialność komórki audytu wewnętrznego

Rekomendacja 14

Odpowiedzialność komórki audytu wewnętrznego powinna być szczegółowo zdefiniowana w regulaminie kontroli.

14.1. Komórka audytu wewnętrznego ponosi odpowiedzialność określoną zakresem obowiązków wynikających z regulaminu kontroli. W szczególności, odpowiedzialność powinna dotyczyć właściwego określenia celu kontroli, zakresu, szczegółowych zasad jej przebiegu, użycia odpowiednich i opisanych metod badań, służących dokonaniu wyboru próby do kontroli, trafności i istotności ocen oraz wniosków końcowych, sposobu ich prezentacji dla odbiorców, a także zaadresowania zaleceń pokontrolnych w sposób nie budzący wątpliwości, co do obiektywizmu działań kontrolnych. Audytorzy wewnętrzni powinni wykazać się znajomością badanej problematyki, wyjaśnić wszelkie wątpliwości pojawiające się w trakcie badań, a także kontrolować terminowość i skutki podjętych działań naprawczych.

14.2. Dodatkowo, pracownicy komórki audytu wewnętrznego są odpowiedzialni za właściwe zabezpieczenie wszystkich materiałów i dokumentów zebranych w toku kontroli, w tym także ich pełne zabezpieczenie przed dostępem niepowołanych osób. W tym celu, jak również w celu archiwizacji, wszystkie dokumenty sporządzone podczas kontroli, stosownie do obowiązujących zasad w tym zakresie, powinny być rejestrowane. Potwierdzeniem kontroli może być podpis osoby dokonującej kontroli lub prowadzenie stosownej ewidencji. Audytorzy wewnętrzni mają również obowiązek sporządzania dokumentacji roboczej z kontroli, umożliwiając weryfikację wniosków zawartych w raporcie pokontrolnym. Praktycznym sposobem rejestrowania przebiegu kontroli, tj. czasu poświęconego na wykonywanie poszczególnych czynności i dokumentów wykorzystanych do badań, jest prowadzenie ewidencji/harmonogramu wykorzystania czasu pracy.

14.3. Kierujący komórką audytu wewnętrznego dokonuje oceny przeprowadzonych kontroli (pod względem ujawnienia ich słabych i mocnych stron) i na tej podstawie formułuje wnioski w zakresie usprawnienia funkcjonowania komórki audytu wewnętrznego.

14.4. Ocena efektywności działania komórki audytu wewnętrznego odbywa się na podstawie przepisów uchwały KNF. Sprawozdanie podsumowujące pracę komórki audytu wewnętrznego (przygotowane przez kierującego komórką audytu wewnętrznego) dla rady nadzorczej i prezesa zarządu, powinno być sporządzone przynajmniej raz na rok. Umożliwi ono zarządowi i radzie nadzorczej banku ocenę systemów kontroli wewnętrznej w banku, pracy audytorów wewnętrznych oraz wskaże problemy w zakresie niezależności komórki audytu wewnętrznego, czy współpracy komórki z innymi jednostkami organizacyjnymi banku. Oprócz powyższego, sprawozdanie powinno również zawierać propozycje wskazujące nowe kierunki badań w obszarze audytu wewnętrznego, czy doskonalenia procesów pracy i procedur zarządzania.

B.3.2. Zapewnienie profesjonalnego poziomu wykonywania kontroli

Rekomendacja 15

Audytorzy wewnętrzni powinni: posiadać odpowiednie kwalifikacje, doświadczenie i umiejętności do wykonywania powierzanych im zadań, cechować się odpowiednią postawą etyczną, mieć zapewnione wynagrodzenie na poziomie umożliwiającym zatrudnianie i utrzymywanie wysoko wykwalifikowanych specjalistów oraz możliwości udziału w szkoleniach, w celu podnoszenia kwalifikacji.

15.1. Szybkie tempo zmian w sektorze bankowym i pojawianie się nowych, złożonych produktów bankowych wymaga od audytorów wewnętrznych ciągłego uzupełniania wiedzy w tym zakresie, a także w zakresie technik zarządzania ryzykiem. Obowiązkiem rady nadzorczej i zarządu banku jest zapewnienie, że audytorzy wewnętrzni posiadają wystarczające kwalifikacje, doświadczenie i umiejętności do badania wszystkich istotnych rodzajów ryzyka, które występują w działalności banku (np. zapewnienie odpowiedniego przeszkolenia pracowników komórki audytu wewnętrznego, zatrudnienie specjalistów wysokiej klasy itp.). Niskiej jakości kontroli wewnętrznej nie można tłumaczyć brakiem pracowników o odpowiednich kwalifikacjach zawodowych. Zatrudniając zatem pracownika w komórce audytu wewnętrznego, należy kierować się przede wszystkim oceną merytorycznej i etycznej postawy kandydata, a następnie zapewnić mu uczestnictwo w szkoleniach, w celu podnoszenia kwalifikacji. Należy również zwrócić uwagę na możliwość zaistnienia konfliktu interesów, mogącego wynikać z faktu zatrudnienia osoby, która jest powiązana personalnie z zarządem lub radą nadzorczą, kierownictwem jednostek organizacyjnych banku. Bank powinien ustalić poziom wynagrodzeń w komórce audytu wewnętrznego na poziomie, umożliwiającym zatrudnianie wysoko wykwalifikowanych specjalistów. Jednocześnie banki powinny posiadać opracowane metody okresowego sprawdzania kwalifikacji i oceny wyników pracy audytorów wewnętrznych.

15.2. Kontrolą mogą kierować tylko osoby, które posiadają wiedzę i umiejętności, a także doświadczenie wystarczające do wykonywania czynności kontrolnych w banku, oraz których bezstronność nie może być podważana.

15.3. Kierujący komórką audytu wewnętrznego powinien mieć zagwarantowaną możliwość współpracy ze specjalistami z danej dziedziny lub uzupełnienia składu zespołu przeprowadzającego kontrolę o takich specjalistów (np. ds. systemów informatycznych, prawników), którzy będą wykonywać swoje zadania niezależnie i obiektywnie, zachowując równocześnie tajemnicę w zakresie uzyskanych podczas kontroli informacji.

15.4. W wyjątkowych przypadkach, gdy bank nie posiada zasobów pozwalających na zapewnienie odpowiedniego poziomu jakości kontroli wykonywanej przez audytorów wewnętrznych odnośnie danego obszaru, dopuszcza się możliwość korzystania ze wsparcia podmiotów zewnętrznych, dysponujących niezbędną wiedzą w tym zakresie. Należy przy tym wyraźnie podkreślić, że powyższe nie oznacza możliwości przekazania kompetencji i odpowiedzialności komórki audytu wewnętrznego w zakresie przeprowadzanej kontroli, ewentualne korzystanie ze wsparcia podmiotów zewnętrznych, może mieć bowiem tylko i wyłącznie charakter pozyskania dodatkowej wiedzy eksperckiej.

W każdym przypadku skorzystania z wyżej wymienionej możliwości, w raporcie pokontrolnym należy wyraźnie zaznaczyć, iż kontrola przeprowadzana była z wykorzystaniem zasobów zewnętrznych, jak również przedstawić szczegółowe uzasadnienie zastosowania takiego rozwiązania.

15.5. Zarząd i rada nadzorcza banku powinny zapewnić wszelką niezbędną pomoc w prawidłowym i rzetelnym wykonywaniu obowiązków przez pracowników komórki audytu wewnętrznego, w tym umożliwić podnoszenie kwalifikacji, w celu utrzymywania odpowiedniej jakości audytu wewnętrznego.

Rekomendacja 16

Działanie komórki audytu wewnętrznego powinno podlegać regularnej ocenie zewnętrznej, nie rzadziej jednak niż co pięć lat.

16.1. Działanie komórki audytu wewnętrznego powinno podlegać regularnej ocenie zewnętrznej, nie rzadziej jednak niż co pięć lat. Nadzór oczekuje, iż pierwsze takie oceny zostaną przeprowadzone nie później niż do 31 grudnia 2013 r.

B.3.3. Planowanie i wykonywanie kontroli

Rekomendacja 17

Kontrola prowadzona przez komórkę audytu wewnętrznego powinna przebiegać zgodnie z wewnętrznymi procedurami, według ustalonego porządku (obszary kontroli i harmonogram).

17.1. Kontrola wykonywana przez audyt wewnętrzny powinna przebiegać według następujących etapów:

1) planowanie,

2) przygotowanie,

3) przeprowadzenie kontroli i sformułowanie wniosków,

4) czynności pokontrolne.

17.2. Kontrola powinna przebiegać zgodnie z wewnętrznymi procedurami, według ustalonego porządku (obszary kontroli i harmonogram). Kontrola nie może nadmiernie zakłócać rytmu pracy oraz utrudniać wykonywania obowiązków przez pracowników jednostek objętych kontrolą. Kierujący komórką audytu wewnętrznego jest odpowiedzialny za właściwy nadzór kontroli, począwszy od etapu planowania do jej zakończenia, łącznie z postępowaniem pokontrolnym.

Rekomendacja 18

W planowaniu kontroli przez komórkę audytu wewnętrznego powinny być uwzględnione programy i plany kilkuletnie oraz roczne, a także harmonogramy określające zestaw czynności dotyczących poszczególnych kontroli.

18.1. W planowaniu kontroli powinny być uwzględnione programy i plany kilkuletnie oraz roczne, a także harmonogramy określające zestaw czynności dotyczących poszczególnych kontroli. Programy i plany kilkuletnie lub roczne powinny określać częstotliwość kontroli, w zależności od przyjętych w banku wyników identyfikacji zagrożeń i poziomu ryzyka. Częściej należy kontrolować obszary o zwiększonym stopniu ryzyka lub mające większe znaczenie dla funkcjonowania banku oraz zwiększać częstotliwość kontroli, jeśli ujawnione zostały znaczące/istotne nieprawidłowości i problemy, albo jeśli wprowadzono istotne zmiany w odniesieniu do oferowanych produktów i usług, metodologii, pomiaru i monitorowania ryzyka czy ogólnego profilu ryzyka banku.

18.2. Plany kilkuletnie oraz roczne, sporządzone w formie pisemnej, powinny być przedłożone do akceptacji radzie nadzorczej banku (w przypadku szczególnych badań zlecanych przez radę nadzorczą banku, dokument nie musi być zaakceptowany przez zarząd) i zatwierdzenia prezesowi zarządu. Są one również udostępnione audytorom zewnętrznym i nadzorowi bankowemu - badającym i oceniającym skuteczność systemu kontroli wewnętrznej.

18.3. Dodatkowo, plany kontroli (poza wynikami wstępnego procesu identyfikacji obszarów ryzyka), powinny uwzględniać potwierdzone zdarzenia zaobserwowane podczas monitorowania poszczególnych czynności, uwagi pracowników oraz propozycje i wymagania zarządu i rady nadzorczej banku, a także nadzoru bankowego i audytora zewnętrznego. Wskazane jest również, aby w planach kontroli zostały uwzględnione planowane zmiany zachodzące w banku, np. restrukturyzacja.

18.4. Powinny być przeprowadzane również kontrole nieplanowane, na zlecenie zarządu lub rady nadzorczej banku, we wskazanych obszarach działalności banku lub obejmujących określone zagadnienia, czy transakcje.

18.5. Plan każdej kontroli powinien być opracowany w formie harmonogramu (kolejne czynności, zadania i odpowiedzialność poszczególnych pracowników ujęte w ramy czasowe), obejmującego etap przygotowania, kontroli właściwej i działań pokontrolnych. Plan kontroli powinien wynikać z planów kilkuletnich, bądź rocznych i mieć jasno określony:

* cel,

* termin,

* przedmiot badania (np. funkcjonowanie jednostki organizacyjnej, procesu),

* procedury i metody przeprowadzenia kontroli,

* czas przeznaczony na badanie,

* podział szczegółowych zadań między członkami zespołu kontrolującego.

18.6. Plan kontroli powinien być zatwierdzony przez kierującego komórką audytu wewnętrznego.

Rekomendacja 19

W fazie przygotowania kontroli należy właściwie zaplanować czas niezbędny do przeprowadzenia kontroli oraz dokonać szczegółowego podziału zadań pomiędzy pracowników/członków zespołu kontrolującego, w celu zapewnienia odpowiedniej wydajności pracy, jakości badań.

19.1. Podjęcie czynności kontrolnych powinno być poprzedzone ustaleniem celu i zasadności przeprowadzenia kontroli. W fazie przygotowania kontroli, istotnymi elementami są:

* zebranie podstawowych informacji dotyczących obszaru poddanego kontroli, tj. struktura organizacyjna, kopie regulaminów i innych przepisów, charakter i ilość wykonywanych operacji, tryb załatwiania reklamacji i sposób ich rejestracji, które pozwolą oszacować czas niezbędny do przeprowadzenia kontroli, oraz

* wyznaczenie pracowników posiadających niezbędne kwalifikacje, wiedzę, doświadczenie i niezależną pozycję wobec kontrolowanych pracowników, aby założony cel kontroli został osiągnięty.

19.2. Właściwe zaplanowanie czasu pracy niezbędnego do przeprowadzenia kontroli oraz szczegółowy podział zadań pomiędzy pracowników/członków zespołu kontrolującego, powinny zapewnić odpowiednią wydajność pracy i jakość badań.

Rekomendacja 20

Kontrola powinna być przeprowadzana na podstawie zatwierdzonego planu i pisemnych upoważnień dostarczonych przez kierującego komórką audytu wewnętrznego, zawierających zakres i termin jej przeprowadzenia oraz poprzedzona odpowiednim powiadomieniem (z wyjątkiem kontroli niezapowiedzianych). Podczas kontroli, pracownicy weryfikują i analizują uzyskane informacje. Wszelkie uwagi i wątpliwości pojawiające się podczas kontroli powinny być na bieżąco omawiane i wyjaśniane z odpowiednimi pracownikami.

20.1. Kontrola powinna być przeprowadzana na podstawie zatwierdzonego planu i pisemnych upoważnień dostarczonych przez kierującego komórką audytu wewnętrznego, zawierających zakres i termin jej przeprowadzenia. Kontrola powinna być przeprowadzona w dniach i godzinach pracy obowiązujących w jednostce kontrolowanej. Ewentualna zmiana terminu, czy zakresu kontroli wymaga pisemnej akceptacji kierującego komórką audytu wewnętrznego lub zlecającego kontrolę. Oznacza to, że kontrola powinna być przeprowadzona po uprzednim powiadomieniu kierującego jednostką kontrolowaną (z co najmniej 3-dniowym wyprzedzeniem). Niezapowiedziane kontrole, także takie, które nie zostały ujęte w planie, powinny być przeprowadzane w przypadku podejrzeń o nadużycia (np. mogą to być kontrole zagadnień kasowo-skarbcowych, systemów rozliczeń płatniczych i kontroli systemów informatycznych) lub w przypadku konieczności przeprowadzenia badań w związku ze zdarzeniami i zmianami w środowisku banku, których nie można było przewidzieć (np. skargi klientów do KNF, UOKiK, GIODO). Audyt badając te zagadnienia, nie powinien uczestniczyć w działaniach mogących mieć wpływ na merytoryczne rozstrzyganie tego typu problemów (skarg). Skargi i reklamacje winny być rozpatrywane przez właściwe komórki merytoryczne, niezależne od tych, których dotyczą skargi lub jednostki nadrzędne, a audyt bada prawidłowość podjętych działań.

20.2. Podczas przeprowadzania kontroli, pracownicy komórki audytu wewnętrznego powinni weryfikować i analizować uzyskane informacje (np. istotne z punktu widzenia zdarzeń powodujących skutki finansowe), włączać do własnej dokumentacji roboczej kopie materiałów źródłowych oraz wyjaśnienia (w formie pisemnej) uzyskane od pracowników i kierującego jednostką kontrolowaną, na podstawie których stwierdzono nieprawidłowości i sformułowano określone wnioski, bądź zalecenia.

20.3. Wszelkie uwagi i wątpliwości pojawiające się podczas kontroli, powinny być na bieżąco omawiane i wyjaśniane z odpowiednimi pracownikami. Pisemne wyjaśnienia osób kontrolowanych powinny być dołączane do protokołu, w którym to protokole audytorzy odniosą się do stwierdzeń zawartych w takich wyjaśnieniach. Audytorzy wewnętrzni powinni dążyć do tego, aby stwierdzone nieprawidłowości były jak najszybciej usunięte, o ile jest to możliwe nawet podczas kontroli (odpowiedni zapis o tym fakcie powinien znaleźć się w raporcie pokontrolnym).

Rekomendacja 21

Zasady sporządzania raportów pokontrolnych powinny być sformalizowane.

21.1. Wymagania co do formy, zawartości, czy miejsca i terminu złożenia raportu pokontrolnego oraz częstotliwość przekazywania raportów zarządowi, radzie nadzorczej (np. zbiorczy raport kontrolny), powinny być jasno określone i sprecyzowane w regulaminie kontroli. Raport pokontrolny powinien zawierać ustalenia w pełni udokumentowane w materiale roboczym. Istotne ustalenia dotyczące nieprawidłowości, które zostały już usunięte, również powinny być w nim opisane.

21.2. Dodatkowo, raport pokontrolny powinien wskazywać istniejące niepożądane zjawiska i związane z nimi występujące już lub potencjalne ryzyka, które oddziałują lub w najbliższym czasie mogą oddziaływać na działalność banku oraz powinien zawierać zalecenia podjęcia stosownych działań. Jednym z zaleceń może być monitorowanie przez pracowników jednostki podlegającej kontroli, obszaru, w którym stwierdzono nieprawidłowości oraz informowanie komórki audytu wewnętrznego o efektach podjętych działań.

21.3. Audytorzy wewnętrzni powinni także wskazać na elementy otoczenia banku, które mogą mieć wpływ na ryzyko ponoszone przez bank.

21.4. Raport pokontrolny powinien być sporządzony terminowo, w formie pisemnej, powinien być obiektywny, zwięzły i konstruktywny. Wskazane jest, aby zawierał on następujące elementy:

* opis wykonania zaleceń i skutków podjętych działań po ostatniej kontroli,

* cel, zakres oraz przyjęte metody kontroli,

* wskazanie sposobów i metod naprawczych, wraz z terminem ich wykonania.

21.5. Stwierdzone fakty oraz opinie i wyniki kontroli powinny być omówione z kierownictwem jednostki podlegającej kontroli, przy czym w spotkaniu powinien brać udział członek zarządu nadzorujący pracę jednostki poddanej kontroli lub kierujący pionem organizacyjnym, w strukturze którego znajduje się ta jednostka. Celem spotkania jest uzyskanie stanowiska oraz dodatkowych wyjaśnień, o ile nie zostały one wcześniej uwzględnione (ustalenia mogą być omawiane z kierującym jednostką kontrolowaną w trakcie kontroli, etapami). W regulaminie kontroli powinny być ujęte rozwiązania dotyczące ewentualnego procesu odwoławczego, tzn. trybu postępowania w przypadku, gdy jednostka poddana kontroli nie zgadza się z opiniami i wnioskami z kontroli.

21.6. Raport pokontrolny nie musi posiadać akceptacji kierownictwa kontrolowanego obszaru odnośnie jego zawartości, tj. stwierdzonych nieprawidłowości, przed złożeniem raportu pokontrolnego zarządowi banku i/lub radzie nadzorczej banku. Warto przy tym dodać, że oznacza to, że audytorzy wewnętrzni powinni być przygotowani na potencjalną atmosferę konfliktu, nieufności, braku zgody czy aprobaty dla ich pracy ze strony pracowników kontrolowanych jednostek.

21.7. Kierujący komórką audytu wewnętrznego przekazuje raport pokontrolny prezesowi zarządu banku. Wskazane jest omówienie wyników kontroli na posiedzeniach zarządu. Dodatkowo, raporty pokontrolne mogą być na bieżąco udostępniane radzie nadzorczej, a informacje na temat stwierdzonych nieprawidłowości i wniosków wynikających z przeprowadzonego audytu wewnętrznego oraz działań podejmowanych w celu ich usunięcia, rada nadzorcza otrzymuje z częstotliwością określoną w ustawie - Prawo bankowe. Oprócz powyższego, rada nadzorcza otrzymuje również raporty z kontroli, które sama zleciła.

21.8. Szczegółowy zakres informacji, jakie na podstawie czynności kontroli wewnętrznej otrzymuje zarząd i rada nadzorcza, został określony w uchwale KNF.

21.9. Raport pokontrolny jest również udostępniany nadzorowi bankowemu i audytorowi zewnętrznemu.

21.10. Informacje dotyczące wyników sprawowania funkcji kontrolnych, uzyskane bezpośrednio od kierownictwa poszczególnych jednostek organizacyjnych oraz od kierującego komórką audytu wewnętrznego, powinny stanowić dla rady nadzorczej banku i jego zarządu, podstawę do zlecania kontroli określonego obszaru oraz podstawę do podejmowania decyzji w ramach racjonalnego kierowania bankiem, przy czym ważny jest stopień zagrożenia.

21.11. Audytorzy wewnętrzni ponoszą pełną odpowiedzialność za przygotowany raport pokontrolny. Odpowiedzialność audytorów wewnętrznych należy rozpatrywać również w odniesieniu do proponowanych działań naprawczych.

Rekomendacja 22

Jednostka poddana kontroli realizuje - w zakresie swoich kompetencji - zalecenia pokontrolne i jest zobowiązana do przekazania komórce audytu wewnętrznego informacji o terminach i skutkach podjętych działań naprawczych związanych z przeprowadzoną kontrolą.

22.1. Sposób sprawdzenia wykonania zaleceń pokontrolnych w trakcie następnej kontroli lub podczas odrębnego postępowania pokontrolnego, powinien wynikać z regulaminu kontroli. Jednostka poddana kontroli realizuje - w zakresie swoich kompetencji -zalecenia pokontrolne i jest zobowiązana do przekazania komórce audytu wewnętrznego informacji o terminach i skutkach podjętych działań naprawczych związanych z przeprowadzoną kontrolą.

22.2. Z uwagi, iż zalecenie kierowane może być do więcej niż jednej jednostki, regulamin kontroli powinien zawierać tryb wskazania jednostki odpowiedzialnej za realizację zaleceń.

22.3. Realizacja zaleceń pokontrolnych jest monitorowana przez komórkę audytu wewnętrznego.

B.3.4. Kontrola wewnętrzna w oddziałach banku

Rekomendacja 23

Struktura audytu wewnętrznego w banku powinna wynikać ze struktury organizacyjnej banku.

23.1. Banki stosują różne rozwiązania organizacyjne w celu przeprowadzenia badań kontrolnych w oddziałach. Badania te mogą być przeprowadzane przez zespoły audytorów wewnętrznych z centrali banku, bądź też zespoły złożone z pracowników terenowych komórki audytu wewnętrznego. Nadzór bankowy nie preferuje w tym zakresie szczególnego rozwiązania, ale rekomenduje przestrzeganie zasady, że wszyscy pracownicy wykonujący czynności kontrolne są pracownikami komórki audytu wewnętrznego i podlegają kierującemu tą jednostką w centrali banku i otrzymują wynagrodzenie, zgodnie z taryfikatorem ustalonym dla tej jednostki. Odnoszą się do nich zasady szkolenia audytorów wewnętrznych.

23.2. Jakość pracy osób zatrudnionych w oddziale banku, o ile bank zdecyduje się na utworzenie stanowiska audytu wewnętrznego w każdej jednostce organizacyjnej banku, badające jakość oddziałowego systemu kontroli wewnętrznej, powinna okresowo podlegać ocenie przełożonego komórki audytu wewnętrznego z centrali banku.

23.3. Procedury określające organizację pracy w oddziale, muszą zawierać elementy kontroli wewnętrznej. Banki powinny indywidualnie rozważyć celowość utworzenia samodzielnego stanowiska audytora wewnętrznego w danym oddziale banku. W celu zapewnienia niezależności i bezstronności, pracownik ten powinien podlegać kierującemu komórką audytu wewnętrznego (w centrali), a jego skuteczność i jakość pracy wymaga przyznania mu szczególnych uprawnień, polegających na możliwości bezpośredniego zwracania się do dyrektora oddziału o wyjaśnienie wątpliwości. Ponieważ kierujący komórką audytu wewnętrznego w centrali banku odpowiada za kontrolę wewnętrzną w całym banku, plan kontroli powinien obejmować przeprowadzanie kontroli również w oddziałach banku.

23.4. Banki jednooddziałowe bądź te, które zdecydują się na utworzenie stanowiska audytu wewnętrznego w swoich oddziałach, powinny kierować się zasadą, że pracownicy audytu posiadają pełną niezależność, odpowiednie kwalifikacje i wiedzę fachową. Przy wyborze osób na stanowiska audytorów wewnętrznych należy również zwracać szczególną uwagę na możliwości wystąpienia potencjalnych konfliktów interesów, związanym z np. czynnościami, którymi dotychczas zajmował się / zajmuje się nadal pracownik delegowany do komórki audytu, a czynnościami wykonywanymi w ramach audytu wewnętrznego (np. przeglądu należności w oddziale nie może dokonywać inspektor kredytowy, uczestniczący w procesie analizy wniosku kredytowego i przyznania kredytu). Innym obszarem potencjalnego konfliktu interesów, może być istnienie powiązań personalnych audytorów wewnętrznych oraz pracowników oddziału, w którym wykonywane są czynności kontrolne.

B.3.5. Współpraca komórki audytu wewnętrznego z nadzorem bankowym i audytorem zewnętrznym

Rekomendacja 24

Należy zapewnić właściwą koordynację działań kontrolnych w banku oraz odpowiednie warunki do współpracy z podmiotami zewnętrznymi uprawnionymi do dokonywania kontroli, celem wymiany informacji, doświadczeń i opinii.

24.1. Kierujący komórką audytu wewnętrznego powinien zapewnić właściwą koordynację działań kontrolnych w banku. Dlatego też, ustalenia pokontrolne komórki audytu wewnętrznego w banku są udostępniane nadzorowi bankowemu i audytorowi zewnętrznemu, co pozwoli ustalić, bądź zweryfikować zakres ich badań.

24.2. Podobnie, kierujący komórką audytu wewnętrznego powinien znać treść uwag, opinii i zaleceń nadzoru bankowego i audytora zewnętrznego, kierowanych do zarządu banku. Informacje te powinny być uwzględniane w bieżącej oraz planowanej działalności komórki audytu wewnętrznego i obejmować np. nowe rodzaje ryzyka, weryfikację procedur, limitów, czy badanie terminowości realizacji zaleceń wydanych przez nadzór bankowy. Współpraca między w/w podmiotami może przybierać różne formy zaakceptowane przez strony, np. wymiana doświadczeń, opiniowanie czy dyskutowanie w zakresie tworzenia i weryfikacji procedur oraz metodologii pracy audytorów.

24.3. Zarząd banku i rada nadzorcza powinny ustalić zasady współpracy komórki audytu wewnętrznego banku, którego podmiot dominujący ma siedzibę za granicą Rzeczypospolitej Polskiej lub banku z udziałem kapitału zagranicznego, z audytorami tego podmiotu dominującego / udziałowców zagranicznych, mając na uwadze, że podczas wymiany informacji może wystąpić dostęp osób trzecich do informacji prawnie chronionych.