Rozdział 4 - System kontroli wewnętrznej - System zarządzania ryzykiem i system kontroli wewnętrznej oraz polityka wynagrodzeń w bankach.
Dziennik Ustaw
Dz.U.2021.1045
Akt obowiązujący Wersja od: 10 czerwca 2021 r.
Rozdział 4
System kontroli wewnętrznej
System kontroli wewnętrznej
§ 31.
System kontroli wewnętrznej funkcjonuje w sposób zapewniający osiąganie celów, o których mowa w art. 9c ust. 1 ustawy - Prawo bankowe.§ 32.
1.
Bank wyodrębnia procesy uznane za istotne w oparciu o strategię zarządzania bankiem, model biznesowy banku, wpływ danego procesu na wynik finansowy i adekwatność kapitałową banku, strategię zarządzania ryzykiem oraz apetyt na ryzyko.2.
Bank dokonuje powiązania procesów uznanych za istotne z celami, o których mowa w art. 9c ust. 1 ustawy - Prawo bankowe.§ 33.
1.
Do obowiązków zarządu banku należy zaprojektowanie, wprowadzenie oraz zapewnianie we wszystkich jednostkach organizacyjnych, komórkach organizacyjnych i stanowiskach organizacyjnych banku funkcjonowania adekwatnego i skutecznego systemu kontroli wewnętrznej oraz zapewnianie niezależności, o której mowa w § 40, i środków finansowych, o których mowa w § 41 ust. 3.2.
Zarząd banku zapewnia funkcjonowanie systemu kontroli wewnętrznej w podmiotach zależnych.3.
Zarząd banku podejmuje działania mające na celu zapewnienie ciągłości działania systemu kontroli wewnętrznej, w tym właściwej współpracy wszystkich pracowników banku w ramach funkcji kontroli oraz współpracy z komórką do spraw zgodności, komórką audytu wewnętrznego, a także zapewnienie dostępu pracownikom tych komórek do niezbędnych dokumentów źródłowych, w tym zawierających informacje prawnie chronione w związku z wykonywaniem przez nich obowiązków służbowych.4.
W przypadku wykrycia nieprawidłowości przez system kontroli wewnętrznej zarząd banku podejmuje odpowiednie działania w celu usunięcia stwierdzonych nieprawidłowości, w tym określone środki naprawcze i dyscyplinujące.5.
W ramach zapewniania przez system kontroli wewnętrznej przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych:1)
zarząd banku odpowiada za efektywne zarządzanie w banku ryzykiem braku zgodności, rozumianym jako ryzyko skutków nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych;2)
zarząd banku odpowiada za opracowanie polityki zgodności, zapewnienie jej przestrzegania i składanie radzie nadzorczej lub komitetowi audytu, jeżeli został powołany, raportów w sprawie zarządzania w banku ryzykiem braku zgodności;3)
polityka zgodności zawiera podstawowe zasady zapewniania zgodności działania banku z przepisami prawa, regulacjami wewnętrznymi banku i standardami rynkowymi przez wszystkich pracowników banku, w tym podstawowe zasady zapewniania zgodności na pierwszym poziomie, o którym mowa w § 3 ust. 1 pkt 1, i na drugim poziomie, o którym mowa w § 3 ust. 1 pkt 2, oraz wyjaśnia główne elementy procesu zarządzania ryzykiem braku zgodności, o których mowa w § 38 pkt 4-8;4)
w przypadku wykrycia nieprawidłowości w stosowaniu polityki zgodności zarząd banku podejmuje odpowiednie działania w celu usunięcia tych nieprawidłowości, w tym środki naprawcze lub dyscyplinujące.§ 34.
Zarząd banku, nie rzadziej niż raz w roku, informuje radę nadzorczą o sposobie wypełnienia zadań, o których mowa w § 33 ust. 1.§ 35.
1.
Rada nadzorcza sprawuje nadzór nad wprowadzeniem systemu kontroli wewnętrznej.2.
W ramach nadzoru nad działalnością banku rada nadzorcza monitoruje skuteczność systemu kontroli wewnętrznej w oparciu o informacje uzyskane od komórki do spraw zgodności, komórki audytu wewnętrznego, zarządu banku oraz komitetu audytu, jeżeli został powołany.3.
Rada nadzorcza dokonuje corocznej oceny adekwatności i skuteczności systemu kontroli wewnętrznej, w tym corocznej oceny adekwatności i skuteczności funkcji kontroli, komórki do spraw zgodności oraz komórki audytu wewnętrznego.4.
Jeżeli w banku został powołany komitet audytu, rada nadzorcza przeprowadza oceny, o których mowa w ust. 3, na podstawie opinii tego komitetu.5.
W ramach zapewniania przez system kontroli wewnętrznej przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych, rada nadzorcza banku:1)
nadzoruje wykonywanie obowiązków przez zarząd dotyczących zarządzania ryzykiem braku zgodności;2)
zatwierdza politykę zgodności banku;3)
co najmniej raz w roku ocenia stopień efektywności zarządzania ryzykiem braku zgodności przez bank.§ 36.
Na funkcję kontroli, o której mowa w art. 9c ust. 2 pkt 1 ustawy - Prawo bankowe, składają się:1)
mechanizmy kontrolne;2)
niezależne monitorowanie przestrzegania mechanizmów kontrolnych;3)
raportowanie w ramach funkcji kontroli.§ 37.
1.
Bank posiada co najmniej następujące rodzaje mechanizmów kontrolnych dostosowanych do specyfiki banku:1)
procedury;2)
podział obowiązków;3)
autoryzacja, w szczególności autoryzacja operacji finansowych i gospodarczych;4)
kontrola dostępu;5)
kontrola fizyczna;6)
proces ewidencji operacji finansowych i gospodarczych w systemach: księgowym, sprawozdawczym i operacyjnym;7)
inwentaryzacja;8)
dokumentowanie odstępstw;9)
wskaźniki wydajności;10)
szkolenia;11)
zabezpieczenia prawne - możliwość złożenia pozwu w wyniku naruszenia umowy przez dostawcę lub kontrahenta lub nałożenia kar umownych;12)
ubezpieczenia - obowiązkowe lub niezbędne dla bezpiecznego i niezakłóconego prowadzenia działalności banku.2.
Bank przypisuje kluczowe mechanizmy kontrolne procesom, o których mowa w § 32.3.
Bank zapewnia dokumentację funkcji kontroli w szczególności przez:1)
rejestrowanie każdej operacji, transakcji, produktu i usługi oraz opis systemu, procesu, struktury organizacyjnej, a także struktury holdingu, o którym mowa w art. 141f ust. 1 pkt 1 ustawy - Prawo bankowe, jeżeli bank funkcjonuje w ramach takiego holdingu;2)
opis, w formie matrycy funkcji kontroli, powiązania celów, o których mowa w art. 9c ust. 1 ustawy - Prawo bankowe, z procesami w działalności banku, które przez bank zostały uznane za istotne, oraz kluczowymi mechanizmami kontrolnymi i niezależnym monitorowaniem przestrzegania tych mechanizmów kontrolnych.§ 38.
Do obowiązków komórki do spraw zgodności należy:1)
opracowanie regulaminu funkcjonowania komórki do spraw zgodności, określającego co najmniej cel, zakres i szczegółowe zasady działania komórki do spraw zgodności;2)
wykonywanie czynności określonych w pkt 4-8 na podstawie regulaminu funkcjonowania komórki do spraw zgodności oraz procedur i metodyk;3)
dokumentowanie czynności określonych w pkt 4-8;4)
identyfikowanie ryzyka braku zgodności, w szczególności przez analizę przepisów prawa, regulacji wewnętrznych banku, standardów rynkowych oraz wyników wewnętrznych postępowań wyjaśniających przeprowadzanych przez komórkę do spraw zgodności;5)
ocena ryzyka braku zgodności przez pomiar lub ocenę tego ryzyka;6)
projektowanie i wprowadzanie, bazujących na ocenie ryzyka braku zgodności, mechanizmów kontroli ryzyka braku zgodności;8)
okresowe przekazywanie raportów w zakresie ryzyka braku zgodności do zarządu i rady nadzorczej lub komitetu audytu, jeżeli został powołany.§ 39.
Do obowiązków komórki audytu wewnętrznego należy:1)
opracowanie regulaminu funkcjonowania komórki audytu wewnętrznego, określającego co najmniej cel, zakres i szczegółowe zasady działania komórki audytu wewnętrznego;2)
przeprowadzanie badań audytowych na podstawie regulaminu funkcjonowania komórki audytu wewnętrznego oraz procedur i metodyk badania;3)
przeprowadzanie badań audytowych obejmujących badanie adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w całej działalności banku, w tym mechanizmów kontroli ryzyka, o których mowa w § 7 ust. 3, oraz mechanizmów kontrolnych, o których mowa w § 37 ust. 1;4)
przeprowadzanie badań audytowych zgodnie z zakresem i częstotliwością, określonymi w planach audytu i dostosowanymi do zidentyfikowanych obszarów ryzyka i poziomu jego istotności;5)
odpowiednie dokumentowanie badania audytowego;6)
sprawdzanie efektywności realizacji zaleceń wydanych przez komórkę audytu wewnętrznego w ramach badań audytowych;7)
okresowe przekazywanie raportów do zarządu i rady nadzorczej lub komitetu audytu, jeżeli został powołany, w szczególności w zakresie realizacji planów audytu, wyników przeprowadzonych badań audytowych oraz statusu realizacji zaleceń wydanych po przeprowadzonych badaniach audytowych.§ 40.
1.
W banku funkcjonują mechanizmy zapewniające niezależność komórki audytu wewnętrznego oraz komórki do spraw zgodności.2.
Zarząd i rada nadzorcza zatwierdzają regulamin funkcjonowania komórki do spraw zgodności i komórki audytu wewnętrznego.3.
Osoba kierująca komórką audytu wewnętrznego oraz osoba kierująca komórką do spraw zgodności lub osoby je zastępujące:1)
mają zapewniony bezpośredni kontakt z członkami zarządu i rady nadzorczej;2)
uczestniczą w posiedzeniach zarządu banku, przy czym w przypadku banku będącego uczestnikiem systemu ochrony obowiązkowy udział osoby kierującej komórką audytu wewnętrznego dotyczy jedynie posiedzeń zarządu banku, których przedmiotem są zagadnienia związane z systemem kontroli wewnętrznej, w tym zapewnienie zgodności, audytu wewnętrznego lub zarządzania ryzykiem;3)
uczestniczą w posiedzeniach rady nadzorczej i komitetu audytu, jeżeli został powołany, w przypadku gdy przedmiotem posiedzenia są zagadnienia związane z systemem kontroli wewnętrznej, w tym zapewnianiem zgodności, audytem wewnętrznym lub zarządzaniem ryzykiem.4.
Powołanie osoby kierującej komórką audytu wewnętrznego oraz osoby kierującej komórką do spraw zgodności odbywa się za zgodą rady nadzorczej.5.
Odwołanie osoby kierującej komórką audytu wewnętrznego oraz osoby kierującej komórką do spraw zgodności odbywa się za zgodą rady nadzorczej po uprzednim wysłuchaniu tych osób przez radę nadzorczą.6.
W banku funkcjonuje szczegółowy tryb kontroli wynagrodzeń pracowników zatrudnionych w komórce audytu wewnętrznego oraz komórce do spraw zgodności, zapewniający niezależność i obiektywizm wypełniania przez nich zadań oraz umożliwiający zatrudnianie osób o odpowiednich kwalifikacjach, doświadczeniu i umiejętnościach, o których mowa odpowiednio w § 41 ust. 1 i 2.7.
W banku istnieją mechanizmy chroniące pracowników komórki audytu wewnętrznego i komórki do spraw zgodności przed nieuzasadnionym wypowiedzeniem umowy o pracę.8.
W przypadku zmiany na stanowisku kierującego komórką audytu wewnętrznego lub kierującego komórką do spraw zgodności bank niezwłocznie informuje o tym Komisję, wskazując przyczynę zmiany.9.
Komórka audytu wewnętrznego nie może być łączona z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w banku. Pracownicy tej komórki nie mogą wykonywać innych obowiązków niż wynikające z jej zadań.10.
Komórka do spraw zgodności nie może być łączona z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w banku. Pracownicy tej komórki nie mogą wykonywać innych obowiązków niż wynikające z jej zadań.11.
W bankach spółdzielczych zrzeszonych w bankach zrzeszających:1)
łączenie komórki do spraw zgodności jest możliwe wyłącznie z innymi komórkami organizacyjnymi, funkcjami, stanowiskami usytuowanymi na II poziomie zarządzania ryzykiem oraz systemu kontroli wewnętrznej;2)
niedozwolone jest łączenie pracy na stanowisku w komórce do spraw zgodności w więcej niż jednym banku spółdzielczym.§ 41.
1.
Pracownicy komórki audytu wewnętrznego posiadają kwalifikacje, doświadczenie i umiejętności w zakresie badania ryzyka występującego w działalności banku oraz mają dostęp do wszelkich niezbędnych informacji.2.
Pracownicy komórki do spraw zgodności posiadają kwalifikacje, doświadczenie i umiejętności w zakresie zarządzania ryzykiem braku zgodności występującym w działalności banku oraz mają dostęp do wszelkich niezbędnych informacji.3.
Zarząd jest odpowiedzialny za zapewnienie środków finansowych niezbędnych do skutecznego wykonywania zadań oraz systematycznego podnoszenia umiejętności i kwalifikacji przez pracowników komórki audytu wewnętrznego oraz komórki do spraw zgodności.§ 42.
1.
Zasady określone w § 31-41 stosuje się odpowiednio w przypadku banków spółdzielczych, w których na podstawie art. 10 ustawy - Prawo bankowe kontrola wewnętrzna jest wykonywana przez bank zrzeszający.2.
Zasady określone w § 31-41 stosuje się odpowiednio w przypadku banków spółdzielczych lub banków zrzeszających, w których na podstawie art. 22i ust. 4 ustawy z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających kontrola wewnętrzna została powierzona organowi zarządzającemu systemem ochrony.§ 43.
Przepisy rozporządzenia nie wyłączają stosowania obowiązków wynikających z innych przepisów dotyczących warunków technicznych i organizacyjnych, regulujących działalność:1)
banku prowadzącego działalność maklerską, o której mowa w art. 69 ust. 2 i 4 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2021 r. poz. 328, 355 i 680), zwanej dalej "ustawą o obrocie instrumentami finansowymi" - w zakresie wykonywania działalności maklerskiej;2)
banku powierniczego, o którym mowa w art. 3 pkt 36 ustawy o obrocie instrumentami finansowymi - w zakresie działalności związanej z prowadzeniem rachunków papierów wartościowych i rachunków zbiorczych.§ 44.
W przypadku banku, o którym mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, w zakresie czynności, o których mowa w art. 70 ust. 2 tej ustawy:1)
system kontroli wewnętrznej, poza obowiązkami określonymi w § 31-41, zapewnia:a)
badanie zgodności działalności banku i czynności wykonywanych w ramach tej działalności przez osoby powiązane, z regulacjami rynków, na których działa bank, regulacjami Krajowego Depozytu Papierów Wartościowych S.A., izb rozliczeniowych i izb rozrachunkowych, o których mowa w art. 68a ustawy o obrocie instrumentami finansowymi, oraz giełdowych izb rozrachunkowych, o których mowa w art. 2 pkt 4 ustawy z dnia 26 października 2000 r. o giełdach towarowych (Dz. U. z 2019 r. poz. 312), których uczestnikiem jest bank,b)
skuteczność procedur dotyczących przepływu informacji poufnych i informacji stanowiących tajemnicę zawodową oraz zabezpieczenia dostępu do nich,c)
skuteczność procedur dotyczących rozpatrywania skarg i wniosków klientów oraz prowadzenia rejestru skarg,d)
skuteczność procedur dotyczących przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;2)
komórka do spraw zgodności, poza obowiązkami określonymi w § 38, oraz z uwzględnieniem mechanizmów, o których mowa w § 40, i środków finansowych, o których mowa w § 41 ust. 3:a)
identyfikuje, ocenia lub mierzy, kontroluje, monitoruje i raportuje ryzyko braku zgodności z przepisami prawa regulującymi wykonywanie czynności, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, oraz doradza i świadczy bieżącą pomoc osobom, wykonującym czynności w ramach prowadzonej przez bank działalności, w wypełnianiu przez nie obowiązków zgodnie z przepisami prawa regulującymi wykonywanie tych czynności,b)
w zależności od potrzeb, nie rzadziej jednak niż raz do roku, sporządza i przesyła do zarządu i rady nadzorczej raport dotyczący zapewniania zgodności działalności banku z przepisami prawa regulującymi wykonywanie czynności, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, zawierający w szczególności opis środków podejmowanych w przypadkach niezgodności z przepisami prawa regulującymi wykonywanie tych czynności przez bank;3)
komórka audytu wewnętrznego, poza obowiązkami określonymi w § 39, oraz z uwzględnieniem mechanizmów, o których mowa w § 40, i środków finansowych, o których mowa w § 41 ust. 3:a)
przeprowadza badania audytowe obejmujące badanie stosowanych systemów oraz wdrożonych regulaminów i procedur pod względem ich prawidłowości i skuteczności w wypełnianiu przez bank obowiązków wynikających z przepisów prawa regulujących wykonywanie czynności, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, oraz sprawdza efektywność realizacji zaleceń wydanych w ramach badań audytowych,b)
w zależności od potrzeb, nie rzadziej jednak niż raz do roku, sporządza i przesyła do zarządu i rady nadzorczej raport z wykonywania przez komórkę audytu wewnętrznego powierzonych jej zadań, zawierający informacje, czy podjęto odpowiednie środki naprawcze w banku w przypadku ewentualnych nieprawidłowości.§ 45.
W przypadku banku, o którym mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, w zakresie czynności, o których mowa w art. 70 ust. 2 tej ustawy, kierujący komórką do spraw zgodności pełni jednocześnie rolę inspektora nadzoru wykonującego czynności nadzoru zgodności z prawem regulującym wykonywanie tych czynności.