Zarząd Banku zatwierdza zasady kategoryzacji nieprawidłowości oraz ustanawia kryteria oceny i skuteczności Systemu Kontroli Wewnętrznej oraz określa działania podejmowane w celu usunięcia nieprawidłowości wykrytych przez System Kontroli Wewnętrznej, w tym określone środki naprawcze i dyscyplinujące (także dyscyplinarne). Ponadto, Zarząd Banku zapewnia funkcjonowanie Systemu Kontroli Wewnętrznej w podmiotach zależnych Banku.
Ład korporacyjny
Mechanizmy kontrolne i naprawcze
Zarząd Banku jest odpowiedzialny za zaprojektowanie, wprowadzenie oraz zapewnianie we wszystkich jednostkach organizacyjnych oraz komórkach organizacyjnych Banku funkcjonowania niezależnego, adekwatnego i skutecznego Systemu Kontroli Wewnętrznej, który obejmuje funkcję kontroli, Departament Zgodności i Departament Audytu Wewnętrznego.
Zarząd Banku, podejmując działania z zakresu Kontroli Wewnętrznej, uwzględnia:
- stopień skomplikowania procesów funkcjonujących w Banku i w podmiotach zależnych;
- zasoby, którymi dysponuje Bank;
- ryzyko zaistnienia nieprawidłowości w zakresie poszczególnych procesów, w tym w szczególności w zakresie procesów istotnych;
- ocenę dotychczasowej adekwatności i skuteczności wszystkich linii obrony.
Mechanizmy kontrolne projektowane są we wszystkich procesach funkcjonujących w Banku.
Komórka organizacyjna odpowiedzialna za dany proces projektuje odpowiednie mechanizmy kontrolne mające na celu ograniczenie ryzyka nieosiągnięcia celów Systemu Kontroli Wewnętrznej w swoim procesie.
Przy projektowaniu mechanizmów kontrolnych uwzględniane są:
- zmiany otoczenia rynkowego i regulacyjnego,
- adekwatność danego rodzaju mechanizmu kontrolnego w odniesieniu do poszczególnych procesów,
- skuteczność danego rodzaju mechanizmu kontrolnego w przeszłości,
- możliwość niezależnego monitorowania danego mechanizmu kontrolnego.
Mechanizmy kontrolne są stosowane w zakresie wszystkich linii obrony i we wszystkich procesach w Banku w celu:
- prewencyjnym – poprzez zapobieganie nieprawidłowościom,
- detekcyjnym – poprzez wykrywanie nieprawidłowości,
- korekcyjnym – poprzez korektę nieprawidłowości.
Wykryte w ramach pierwszej linii obrony nieprawidłowości znaczące lub krytyczne powinny zostać niezwłocznie zaraportowane do Departamentu Zgodności, Departamentu Bezpieczeństwa Banku oraz do Departamentu Audytu Wewnętrznego. Za niezwłoczne przekazanie powyższej informacji odpowiedzialny jest kierujący komórką lub jednostką organizacyjną, która stwierdziła daną nieprawidłowość. Departament Zgodności w uzgodnieniu z Departamentem Audytu Wewnętrznego może zmienić zakres lub kategorię nieprawidłowości, w szczególności na podstawie agregacji danych pochodzących z różnych komórek lub jednostek organizacyjnych.
Departament Zgodności przekazuje niezwłocznie informację o wykrytych nieprawidłowościach, do odpowiedniej komórki organizacyjnej drugiej linii obrony odpowiedzialnej za niezależne monitorowanie procesu, w ramach którego zaistniała dana nieprawidłowość znacząca lub krytyczna.
Dyrektor Departamentu Audytu Wewnętrznego podejmuje decyzję o niezwłocznym poinformowaniu Zarządu Banku i Rady Nadzorczej o nieprawidłowościach krytycznych wykrytych w ramach pierwszej linii obrony.
Wykryte w ramach drugiej linii obrony nieprawidłowości znaczące lub krytyczne powinny zostać niezwłocznie zaraportowane do Departamentu Zgodności oraz do Departamentu Audytu Wewnętrznego. Za niezwłoczne przekazanie powyższej informacji odpowiedzialny jest kierujący jednostką drugiej linii obrony, która stwierdziła daną nieprawidłowość. Nieprawidłowości krytyczne powinny zostać zaraportowane przez komórkę drugiej linii obrony, która wykryła nieprawidłowość, dodatkowo do Zarządu Banku i Komitetu ds. Audytu przy Radzie Nadzorczej.
Wykryte w ramach trzeciej linii obrony nieprawidłowości krytyczne powinny zostać niezwłocznie zaraportowane w celach informacyjnych do Departamentu Zgodności, do Zarządu Banku oraz do Komitetu ds. Audytu. Wykryte w ramach trzeciej linii obrony nieprawidłowości znaczące powinny zostać zaraportowane w celach informacyjnych do Departamentu Zgodności.
Obowiązująca w Banku Polityka zgodności określa zasady zarządzania ryzykiem braku zgodności. Zgodnie z nimi, realizowane są czynności systemu kontroli wewnętrznej, które obejmują monitorowanie i testowanie. W wyniku realizacji tych zadań identyfikowane są nieprawidłowości, dla których ustalany jest także plan działania. Informacja o liczbie i wadze zidentyfikowanych nieprawidłowości jest przekazywana Zarządowi Banku w ramach cyklicznego raportowania Departamentu Zgodności.