System Kontroli Wewnętrznej

System Kontroli Wewnętrznej

Opis Systemu Kontroli Wewnętrznej funkcjonujący w Banku Ochrony Środowiska S.A.

I.  Podstawy prawne.

W Banku Ochrony Środowiska S.A. funkcjonuje system kontroli wewnętrznej, którego podstawy, zasady i cele wynikają z przepisów prawa powszechnie obowiązującego i wytycznych Komisji Nadzoru Finansowego, tj.

  • (a) Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz.U.2017.1876),
  • (b) Rozporządzenie Ministra Rozwoju i Finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (Dz.U.2017.637),
  • (c) Uchwała Nr 141/2017 Komisji Nadzoru Finansowego z dnia 25 kwietnia 2017 r. w sprawie wydania Rekomendacji H dotyczącej systemu kontroli wewnętrznejw bankach (Dziennik Urzędowy Komisji Nadzoru Finansowego z dnia 28 kwietnia 2017 r., poz. 7).


II.  Cele i zakres systemu kontroli wewnętrznej.

Bank wyodrębnia cztery cele ogólne systemu kontroli wewnętrznej, których osiągnięcie powinno być zapewniane przez system kontroli wewnętrznej oraz wyodrębnione w ich ramach cele szczegółowe.

Celami ogólnymi systemu kontroli wewnętrznej w Banku jest zapewnienie:

  • (a) skuteczności i efektywności działania Banku;
  • (b) wiarygodności sprawozdawczości finansowej;
  • (c) przestrzegania zasad zarządzania ryzykiem w Banku;
  • (d) zgodności działania banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.

Bank do każdego celu ogólnego określa cele szczegółowe, uwzględniając co najmniej takie aspekty, jak:

  • (a) zakres i stopień złożoności działalności Banku,
  • (b) zakres stosowania określonych przepisów prawa, standardów rynkowych oraz obowiązujących w Banku przepisów wewnętrznych, do których przestrzegania zobowiązany jest Bank,
  • (c) stopień osiągania planów operacyjnych i biznesowych przyjętych w Banku,
  • (d) kompletność, prawidłowość i kompleksowość procedur księgowych,
  • (e) jakość (dokładność i niezawodność) systemów: księgowego, sprawozdawczego i operacyjnego,
  • (f) adekwatność, funkcjonalność i bezpieczeństwo środowiska teleinformatycznego,
  • (g) struktura organizacyjna Banku, podział kompetencji i zasady koordynacji działań pomiędzy poszczególnymi jednostkami, komórkami, stanowiskami organizacyjnymi,
  • (h) system tworzenia i obiegu dokumentów i informacji,
  • (i) zakres czynności powierzonych przez Bank do wykonania podmiotom zewnętrznym.


Bank określa cele szczegółowe, między innymi w oparciu o listę ryzyk monitorowanych i mierzonych w ramach procesu oceny adekwatności kapitałowej (ICAAP). Cele szczegółowe podlegają regularnym przeglądom, co najmniej raz do roku po zakończeniu przeglądu procesu oceny adekwatności kapitałowej. Szczegółowe zasady określania i dokonywania przeglądu celów szczegółowych określa przyjęta w Banku Metodyka identyfikacji i oceny mechanizmów kontrolnych w istotnych procesach Banku.

III.  Rola Zarządu Banku, Rady Nadzorczej i Komitetu Audytu Wewnętrznego.

Zarząd Banku projektuje, wprowadza oraz zapewnia działanie systemu kontroli wewnętrznej oraz procedur anonimowego zgłaszania naruszeń prawa a także procedur i standardów etycznych w szczególności przez:

  • (a) zapewnienie struktury organizacyjnej dostosowanej do wielkości i profilu ponoszonego ryzyka i umożliwiającej skuteczne wykonywanie zadań,
  • (b) opracowanie, przyjęcie i powiązanie strategii zarządzania Bankiem z systemem zarządzania ryzykiem, systemem kontroli wewnętrznej, polityką wynagrodzeń oraz procesem szacowania kapitału wewnętrznego i utrzymywania poziomu funduszy własnych na poziomie nie niższym niż oszacowany kapitał wewnętrzny Banku,
  • (c) opracowanie, przyjęcie i wdrożenie strategii i polityk oraz zapewnienie wdrożenia planów, zgodnie z przyjętymi zasadami legislacji wewnętrznej, oraz monitorowanie ich przestrzegania,
  • (d) ustanowienie odpowiednich zasad raportowania, w tym zasad raportowania Zarządu do Rady Nadzorczej i Komitetu Audytu,
  • (e) zapewnienie przejrzystości działań Banku oraz przyjęcie i wprowadzenie zasad polityki informacyjnej,
  • (f) wprowadzanie niezbędnych korekt i udoskonaleń systemu zarządzania w przypadku zmiany wielkości i profilu ryzyka w działalności Banku oraz czynników otoczenia gospodarczego lub wykrycia nieprawidłowości w funkcjonowaniu systemu zarządzania.

Zarząd Banku zapewnia zgodność działania Banku z obowiązującymi przepisami prawa, z uwzględnieniem działania Banku na podstawie przepisów prawa innego państwa
i powiązań Banku z innymi podmiotami, które mogłyby utrudnić skuteczne zarządzanie Bankiem.

W ramach zapewniania przez system kontroli wewnętrznej przestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych:

  • (a) Zarząd Banku odpowiada za efektywne zarządzanie w Banku ryzykiem braku zgodności, rozumianym jako ryzyko skutków nieprzestrzegania przepisów prawa, regulacji wewnętrznych oraz standardów rynkowych,
  • (b)  Zarząd Banku odpowiada za opracowanie polityki zgodności, zapewnienie jej przestrzegania i składanie Radzie Nadzorczej lub Komitetowi Audytu raportów
  • w sprawie zarządzania w Banku ryzykiem braku zgodności,
  • (c)  W przypadku wykrycia nieprawidłowości w stosowaniu polityki zgodności Zarząd Banku podejmuje odpowiednie działania w celu usunięcia tych nieprawidłowości,
  • w tym środki naprawcze lub dyscyplinujące.
  • (d)  Rada Nadzorcza sprawuje stały nadzór nad działalnością Banku, w tym sprawuje nadzór nad wprowadzeniem systemu kontroli wewnętrznej oraz procedur anonimowego zgłaszania naruszeń prawa oraz obowiązujących w Banku procedur i standardów etycznych oraz ocenia ich adekwatność i skuteczność. W celu realizacji tych zadań Rada Nadzorcza w szczególności:
    • (i) wybiera członków Zarządu posiadających odpowiednie kwalifikacje do sprawowania wyznaczonych im funkcji,
    • (ii) zatwierdza przyjętą przez Zarząd strategię zarządzania Bankiem oraz nadzoruje jej przestrzeganie,
    • (iii) monitoruje skuteczność czynności wykonywanych przez członków Zarządu
      w związku z realizacją ich zadań w zakresie systemu zarządzania, w tym systemu kontroli wewnętrznej,
    • (iv) nadzoruje przestrzeganie w Banku polityk, procedur i planów.
  • (e) Rada Nadzorcza powołuje spośród swoich członków Komitet Audytu Wewnętrznego. Komitet Audytu sprawuje bezpośredni nadzór nad działalnością komórki audytu wewnętrznego oraz monitoruje adekwatność i skuteczność systemu kontroli wewnętrznej, w tym komórki audytu wewnętrznego i komórki do spraw zgodności i funkcji kontroli. Komitet Audytu stanowi organ opiniodawczy Rady Nadzorczej.


IV.  Koncepcja trzech linii obrony.

Funkcjonujący w Banku system zarządzania ryzykiem i system kontroli wewnętrznej zorganizowane są w Banku na trzech, niezależnych poziomach, gdzie:

  • (a) na pierwszą linię obrony składa się zarządzanie ryzykiem w działalności operacyjnej Banku,
  • (b) na drugą linię obrony składa się co najmniej zarządzanie ryzykiem przez pracowników na specjalnie powoływanych do tego stanowiskach lub w komórkach organizacyjnych, niezależnie od zarządzania ryzykiem na pierwszej linii obrony oraz działalność komórki do spraw zgodności,
  • (c) na trzecią linię obrony składa się działalność komórki audytu wewnętrznego.

Kierujący komórką organizacyjną Banku na pierwszej linii obrony odpowiedzialny jest za niezwłoczne raportowanie o nieprawidłowościach znaczących lub krytycznych, wykrytych w ramach pierwszej linii obrony, do komórki drugiej linii obrony odpowiedzialnej za testowanie pionowe procesu lub podprocesu, w ramach którego zaistniała dana nieprawidłowość oraz do komórki audytu wewnętrznego, a w przypadku nieprawidłowości krytycznych również do Zarządu Banku.

Do drugiej linii obrony w Banku należą:

  • (a) komórka do spraw zgodności,
  • (b) komórki organizacyjna odpowiedzialna za zarządzanie ryzykiem,
  • (c) komórka do spraw obsługi prawnej,
  • (d) komórka do spraw bezpieczeństwa.

Kierujący komórką organizacyjną Banku na drugiej linii obrony odpowiedzialny jest za niezwłoczne raportowanie o nieprawidłowościach znaczących lub krytycznych, wykrytych w ramach drugiej linii obrony, do komórki audytu wewnętrznego, a w przypadku nieprawidłowości krytycznych również do Zarządu Banku i Komitetu Audytu Wewnętrznego. Natomiast, w ramach trzeciej linii obrony, kierujący komórką audytu wewnętrznego odpowiedzialny jest za niezwłoczne raportowanie o nieprawidłowościach krytycznych wykrytych w ramach trzeciej linii obrony do Zarządu Banku.

V.  Funkcja kontroli.

W ramach funkcji kontroli Bank wyodrębnia mechanizmy kontrolne mające za zadanie zapewnianie osiągania celów ogólnych i szczegółowych systemu kontroli wewnętrznej we wszystkich procesach funkcjonujących Banku. Mechanizmy kontrolne są projektowane i wdrażane w poszczególnych obszarach działalności Banku, procesach, operacjach, transakcjach w ramach  wprowadzania przepisów wewnętrznych, zgodnie z Zasadami legislacji wewnętrznej. W ramach wprowadzania przepisów wewnętrznych w Banku dokonuje się także dokumentowania projektowania i wdrażania mechanizmów kontrolnych.

Bank projektuje mechanizmy kontrolne uwzględniając:

  • (a) zmiany otoczenia rynkowego i regulacyjnego,
  • (b) adekwatność danego rodzaju mechanizmu kontrolnego w odniesieniu do poszczególnych procesów,
  • (c) skuteczność danego rodzaju mechanizmu kontrolnego w przeszłości,
  • (d) możliwość niezależnego monitorowania danego mechanizmu kontrolnego.

Bank dostosowuje mechanizmy kontrolne do procesów funkcjonujących w Banku do określonych celów systemu kontroli wewnętrznej, stopnia złożoności procesów, ryzyka zaistnienia nieprawidłowości, uwzględniając dostępne zasoby Banku.

VI.  Komórka do spraw zgodności i komórka audytu wewnętrznego w systemie kontroli wewnętrznej.

W Banku komórką do spraw zgodności jest Biuro Zgodności, które zostało usytuowane w strukturze Banku w sposób, który gwarantuje niezależność tej komórce organizacyjnej. Biuro Zgodności jest odpowiedzialne za realizację procesu zarządzania ryzykiem braku zgodności, który obejmuje identyfikację, ocenę, kontrolę, monitorowanie oraz raportowanie o ryzyku braku zgodności. Do podstawowych informacji wykorzystywanych w ramach identyfikacji ryzyka braku zgodności należą:

  • (a) zmiany przepisów prawa, regulacji wewnętrznych i standardów rynkowych,
  • (b) prowadzone w Banku rejestry i dokumentacje,
  • (c) informacje uzyskiwane od innych komórek organizacyjnych, w ramach wykonywania przypisanych im obowiązków, w tym zwłaszcza w ramach realizowanego przez te komórki procesu niezależnego monitorowania,
  • (d) ustalenia dokonane przez Biuro Zgodności, w związku z bieżącą weryfikacją oraz testowaniem,
  • (e) wyniki wewnętrznych postępowań wyjaśniających przeprowadzanych przez komórki organizacyjne Banku,
  • (f) nieprawidłowości zidentyfikowane przez Bank w ramach wszystkich trzech linii obrony,
  • (g) informacje pochodzące z anonimowego kanału powiadamiania o naruszeniach,
  • (h) ustalenia wynikające z czynności nadzorczych wykonywanych przez uprawnione instytucje oraz czynności realizowanych przez inne upoważnione instytucje.

Dyrektor Biura Zgodności, jako kierujący komórką do spraw zgodności opracował regulamin funkcjonowania tej komórki, który określa, m.in:

  • (a) organizowanie systemu zarządzania ryzykiem braku zgodności w Banku,
  • (b) projektowanie przepisów wewnętrznych Banku z zakresu zarządzania ryzykiem braku zgodności, w tym założeń i polityki oraz zasad zarządzania ryzykiem braku zgodności w Banku,
  • (c) zarządzanie dostosowaniem Banku do zmian w zakresie przepisów prawa powszechnie obowiązującego oraz rekomendacji i wytycznych zewnętrznych organów nadzoru i kontroli oraz wsparcie komórek organizacyjnych Centrali w zakresie realizowanych przez nie działań dostosowawczych,
  • (d) monitorowanie zgodności działania Banku z przepisami powszechnie obowiązującego prawa, przepisami wewnętrznymi Banku i oraz przyjętymi przez Bank standardami postępowania,
  • (e) identyfikowanie, monitorowanie, pomiar, ocena, oraz raportowanie ryzyka braku zgodności, w szczególności poprzez przeprowadzanie testów zgodności, i przygotowywanie rekomendacji działań w zakresie zarządzania ryzykiem braku zgodności,
  • (f) projektowanie i wdrażanie, bazujących na ocenie ryzyka braku zgodności, mechanizmów kontroli ryzyka braku zgodności,
  • (g) identyfikowanie ryzyka braku zgodności związanego z oferowaniem przez Bank produktów, w tym produktów ubezpieczeniowych,
  • (h) gromadzenie danych o ryzyku braku zgodności w Banku i Grupie Kapitałowej BOŚ S.A.
  • (i) współpraca z podmiotami Grupy Kapitałowej BOŚ S.A. w zakresie zarządzania ryzykiem braku zgodności,
  • (j) projektowanie Kodeksu etyki BOŚ S.A. i wdrażanie standardów etycznych,
  • (k) systemowe zarządzanie realizacją zadań Banku wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
  • (l) opracowywanie projektów przepisów wewnętrznych Banku w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu,
  • (m) realizacja zadań wynikających z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz współpraca, w tym zakresie z jednostkami organizacyjnymi Banku, organami i instytucjami zewnętrznymi, w szczególności z Generalnym Inspektorem Informacji Finansowej,
  • (n) opracowywanie zasad wykonywania kontroli wewnętrznej w Banku, oraz zasad identyfikacji i oceny mechanizmów kontrolnych,
  • (o) wykonywanie kontroli wewnętrznych, w tym testowanie przestrzegania mechanizmów kontrolnych,
  • (p) informowanie o wynikach testowania kluczowych mechanizmów kontrolnych
  • w zakresie ryzyka braku zgodności, efektywności mechanizmów kontrolnych oraz wynikach testowania, zgodnie z przepisami wewnętrznymi Banku,
  • (q) projektowanie przepisów wewnętrznych Banku dotyczących anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w Banku procedur i standardów etycznych, uwzględniając obowiązujące wymogi zewnętrzne w tym zakresie,
  • (r) kształtowanie zasad postępowania w przypadku kontroli i pism zewnętrznych organów nadzoru i kontroli oraz zasad raportowania do władz Banku w tym zakresie.

W Banku komórką audytu wewnętrznego jest Departament Audytu Wewnętrznego, który jest odpowiedzialny za dokonywanie w sposób obiektywny i niezależny oceny adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w całej działalności Banku.

Departament Audytu Wewnętrznego w ramach badań audytowych systemu kontroli wewnętrznej bierze pod uwagę w szczególności wyniki oraz skuteczność i adekwatność weryfikacji bieżącej i testowania przestrzegania mechanizmów kontrolnych przez komórki organizacyjne w ramach pierwszej i drugiej linii obrony.

Audyt wewnętrzny jest integralnym i niezależnym elementem systemu kontroli wewnętrznej w Banku, usytuowanym na trzecim poziomie w strukturze tego systemu. Audyt wewnętrzny realizowany jest przez Departament Audytu Wewnętrznego, wydzieloną w strukturze organizacyjnej Banku w sposób gwarantujący pełną jej niezależność i obiektywizm wykonywanych zadań, bezpośrednio organizacyjne podporządkowaną Prezesowi Zarządu, nad którą nadzór merytoryczny sprawuje Komitet Audytu. Departament Audytu Wewnętrznego nie może być łączony z innymi komórkami organizacyjnymi, funkcjami i stanowiskami w Banku.

Pracownicy tej komórki nie mogą wykonywać innych obowiązków niż wynikające z jej zadań. Departament Audytu Wewnętrznego dokonuje oceny realizacji procesów i przyczynia się do ich usprawnienia, w tym w szczególności procesów biznesowych, procesów zarządzania ryzykiem i procesów zarządczych oraz stosowanych w ich przebiegu mechanizmów kontrolnych.

VII.  Zasady corocznej oceny skuteczności i adekwatności systemu kontroli wewnętrznej, dokonywanej przez Radę Nadzorczą.

Rada Nadzorcza dokonuje, na podstawie opinii Komitetu Audytu Wewnętrznego, corocznej oceny adekwatności i skuteczności systemu kontroli wewnętrznej, w tym corocznej oceny adekwatności i skuteczności funkcji kontroli, Biura Zgodności oraz Departamentu Audytu Wewnętrznego. W ramach nadzoru nad działalnością Banku Rada Nadzorcza monitoruje skuteczność systemu kontroli wewnętrznej w oparciu o informacje uzyskane od Biura Zgodności, Departamentu Audytu Wewnętrznego, Zarządu Banku oraz Komitetu Audytu Wewnętrznego.