Celem systemu kontroli wewnętrznej funkcjonującego w VeloBank S.A. jest wspomaganie procesów decyzyjnych w sposób przyczyniający się do zapewnienia skuteczności i efektywności działania Banku, wiarygodności sprawozdawczości finansowej, przestrzegania zasad zarządzania ryzykiem Banku oraz zgodności działania Banku z przepisami prawa, regulacjami ostrożnościowymi, wewnętrznymi oraz standardami rynkowymi.
Za prawidłowe zaprojektowanie, wprowadzenie i funkcjonowanie adekwatnego i skutecznego systemu kontroli wewnętrznej, dostosowanego do wielkości i profilu ryzyka wiążącego się z działalnością Banku odpowiada Zarząd Banku. Zarząd Banku zapewnia również funkcjonowanie systemu kontroli wewnętrznej w podmiotach zależnych.
Rada Nadzorcza sprawuje nadzór nad wprowadzeniem i zapewnianiem funkcjonowania systemu kontroli wewnętrznej oraz dokonuje corocznej oceny jego adekwatności i skuteczności – w tym corocznej oceny adekwatności i skuteczności funkcji kontroli, komórki do spraw zgodności oraz audytu wewnętrznego. W wykonywaniu obowiązków nadzorczych w odniesieniu do systemu kontroli wewnętrznej Rada Nadzorcza Banku jest wspomagana przez Komitet Audytu i Ryzyka Rady Nadzorczej, który monitoruje skuteczność systemu kontroli wewnętrznej i systemu zarządzania ryzykiem oraz audytu wewnętrznego, w tym w zakresie sprawozdawczości finansowej.
System kontroli wewnętrznej w Banku zorganizowany jest na trzech niezależnych poziomach, stanowiących kolejno trzy linie obrony. Na pierwszy poziom składa się zarządzanie ryzykiem w działalności operacyjnej Banku (pierwsza linia obrony), w szczególności działalność podstawowych komórek organizacyjnych realizujących sprzedaż produktów i usług oraz obsługę Klientów, a także komórki organizacyjne realizujące zadania generujące ryzyko określone w regulacjach wewnętrznych Banku. Na drugi poziom (druga linia obrony) składa się działalność:
- komórek organizacyjnych zarządzających ryzykiem,
- komórki do spraw zgodności,
- komórki odpowiedzialnej za podatki,
- komórki odpowiedzialnej za rachunkowość,
- komórki odpowiedzialnej za zarządzanie bezpieczeństwem, w tym bezpieczeństwem informacji i bezpieczeństwem środowiska teleinformatycznego,
- komórki odpowiedzialnej za czynności kontrolne w ramach operacji,
- komórki odpowiedzialnej za przedwdrożeniowe testy IT,
- komórki odpowiedzialnej za sprawozdawczość i ujawnienia,
- komórki odpowiedzialnej za określanie standardów jakości obsługi,
- komórki odpowiedzialnej za czynności kontrolne w ramach sieci sprzedaży.
Na trzeci poziom składa się działalność audytu wewnętrznego (trzecia linia obrony).
Funkcjonujący w VeloBank S.A. system kontroli wewnętrznej obejmuje:
- funkcję kontroli mającą za zadanie zapewnienie przestrzegania mechanizmów kontrolnych dotyczących w szczególności zarządzania ryzykiem w Banku, która obejmuje stanowiska, grupy ludzi lub komórki organizacyjne odpowiedzialne za realizację zadań przypisanych tej funkcji,
- komórkę do spraw zgodności mającą za zadanie identyfikację, ocenę, kontrolę i monitorowanie ryzyka braku zgodności działalności banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie,
- komórkę audytu wewnętrznego mającą za zadanie badanie i ocenę, w sposób niezależny i obiektywny, adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, z wyłączeniem komórki audytu wewnętrznego.
Funkcja kontroli to element systemu kontroli wewnętrznej, na który składają się wszystkie mechanizmy kontrolne w procesach funkcjonujących w Banku, niezależne monitorowanie przestrzegania tych mechanizmów kontrolnych oraz raportowanie w ramach funkcji kontroli. Mechanizmy kontrolne to mechanizmy kontroli wewnętrznej dostosowane do specyfiki działalności Banku i stosowane na wszystkich trzech liniach obrony. Spełniają one trzy role:
- prewencyjną poprzez zapobieganie nieprawidłowości,
- detekcyjną poprzez wykrywanie nieprawidłowości,
- korekcyjną przez korektę nieprawidłowości.
Przestrzeganie mechanizmów kontrolnych funkcjonujących we wszystkich procesach w Banku podlega niezależnemu monitorowaniu, które obejmuje weryfikację bieżącą i testowanie dopasowane do kategorii, częstotliwości, grupy i typu danego mechanizmu kontrolnego.
Rolę komórki do spraw zgodności sprawuje Departament Zgodności funkcjonujący w ramach Pionu Prezesa Banku. Departament Zgodności realizuje kluczowe zadania w zakresie zarządzania ryzykiem braku zgodności, tj.:
- bada zgodność regulacji i produktów Banku z przepisami prawa, regulacjami ostrożnościowymi i przyjętymi przez Bank standardami rynkowymi,
- prowadzi okresowe badanie zgodności regulacji wewnętrznych ze zmieniającymi się przepisami prawa i przyjętymi przez Bank standardami rynkowymi.
Proces zarządzania ryzykiem braku zgodności jest rozumiany jako zapobieganie skutkom nieprzestrzegania przepisów prawa, regulacji ostrożnościowych, regulacji wewnętrznych oraz przyjętych przez Bank standardów postępowania i obejmuje:
- identyfikację ryzyka,
- ocenę profilu ryzyka,
- monitorowanie ryzyka,
- kontrolę ryzyka,
- raportowanie o ryzyku.
W ramach funkcji kontroli, Departament Zgodności monitoruje mechanizmy kontrolne służące zapewnieniu zgodności działania Banku z przepisami prawa, regulacjami ostrożnościowymi, regulacjami wewnętrznymi i standardami rynkowymi, utrzymuje i monitoruje matrycę funkcji kontroli dla Banku poprzez określenie szablonu matrycy i wytycznych jej wypełniania, wsparcie metodyczne właścicieli procesów oraz okresową weryfikację jakości i kompletności informacji zawartych w matrycy. Matryca funkcji kontroli uwzględnia w szczególności:
- powiązanie celów ogólnych i szczegółowych systemu kontroli wewnętrznej z Procesami istotnymi,
- sposób monitorowania kluczowych mechanizmów kontrolnych,
- ocenę adekwatności i skuteczności kluczowych mechanizmów kontrolnych.
Departament Zgodności prowadzi również rejestr nieprawidłowości wykrytych w ramach systemu kontroli wewnętrznej oraz okresowo raportuje wyniki testowania pionowego kluczowych mechanizmów kontrolnych i sposób zapewnienia działania funkcji kontroli w Banku.
Trzecią linią obrony jest Departament Audytu Wewnętrznego, który świadczy w sposób niezależny i obiektywny usługi zapewniające i doradcze na rzecz Zarządu i Rady Nadzorczej, wspierając organizację w osiąganiu wytyczonych celów. Dyrektor audytu wewnętrznego podlega administracyjnie bezpośrednio Prezesowi Zarządu, a funkcjonalnie Radzie Nadzorczej co zapewnia organizacyjną niezależność. Audytorzy działają zgodnie z przepisami prawa, standardami audytu wewnętrznego oraz Kodeksem Etyki Instytutu Audytorów Wewnętrznych. Podstawowym zadaniem Audytu Wewnętrznego są czynności o charakterze zapewniającym, których celem jest dokonywanie oceny adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, poprzez prowadzone badania audytowe obejmujące całą działalność Banku. Działalność doradcza audytu wewnętrznego jest podejmowana w odniesieniu do kluczowych z punktu widzenia Banku rozwiązań systemowych.
Niezależność Departamentu Zgodności i Departamentu Audytu Wewnętrznego wynika ze Statutu Banku i wiąże się w szczególności z umiejscowieniem tych komórek w Pionie Prezesa, raportowaniem do Zarządu, Komitetu Audytu i Ryzyka Rady Nadzorczej, Rady Nadzorczej, uczestnictwem Dyrektorów tych komórek w posiedzeniach Zarządu oraz Rady Nadzorczej, jak również możliwością ich bezpośredniego kontaktu z Członkami Zarządu i Rady Nadzorczej Banku. Ponadto w Banku funkcjonuje szczegółowy tryb kontroli wynagrodzeń pracowników zatrudnionych w komórce do spraw zgodności i audytu wewnętrznego, zapewniający niezależność i obiektywizm wypełniania przez nich zadań oraz umożliwiający zatrudnianie osób o odpowiednich kwalifikacjach, doświadczeniu i umiejętnościach. Funkcjonują również mechanizmy chroniące pracowników tych komórek przed nieuzasadnionym wypowiedzeniem umowy o pracę.
Ocena adekwatności i skuteczności systemu kontroli wewnętrznej (w tym adekwatność i skuteczność funkcji kontroli, komórki do spraw zgodności oraz komórki audytu wewnętrznego), dokonywana jest przez radę nadzorczą z uwzględnieniem w szczególności:
- opinii Komitetu Audytu i Ryzyka,
- zgodności struktury organizacyjnej z zasadami funkcjonowania systemu kontroli wewnętrznej, obowiązującymi przepisami, rekomendacjami ostrożnościowymi i przyjętymi w banku standardami rynkowymi, z uwzględnieniem skali i charakteru prowadzonej przez bank działalności,
- sformalizowania rozwiązań w zakresie systemu kontroli wewnętrznej, w tym poprawności określenia zadań i celów systemu kontroli wewnętrznej,
- zapewnienia niezależności komórki do spraw zgodności oraz komórki audytu wewnętrznego,
- zapewnienia odpowiednich zasobów kadrowych do efektywnej realizacji zadań w ramach systemu kontroli wewnętrznej,
- realizacji planów pracy,
- poprawności raportowania o nieprawidłowościach identyfikowanych w ramach systemu kontroli wewnętrznej, w tym istotności nieprawidłowości, w szczególności czy wykryte niezgodności lub słabości prowadzą do wniosku, że charakter i zakres zagrożeń oraz poziom potencjalnych konsekwencji powodują nieakceptowany poziom ryzyka,
- poprawności i terminowości realizacji działań usprawniających lub naprawczych, podejmowanych w wyniku działań realizowanych przez poszczególne elementy systemu kontroli wewnętrznej, zaleceń po audytach zewnętrznych oraz zaleceń zewnętrznych organów nadzoru i kontroli,
- informacji dot. ustaleń wynikających z czynności nadzorczych, w szczególności wykonywanych przez Urząd Komisji Nadzoru Finansowego i Urząd Ochrony Konkurencji i Konsumentów,
- istotnych (z punktu widzenia adekwatności i skuteczności systemu kontroli wewnętrznej) ocen i opinii dokonywanych przez podmioty zewnętrzne – o ile takie opinie były wydawane,
- istotnych (z punktu widzenia adekwatności i skuteczności systemu kontroli wewnętrznej) informacji uzyskanych od podmiotów zależnych.
