Generalny Inspektorat Nadzoru Bankowego



Pobieranie 152.39 Kb.
Strona1/3
Data08.05.2016
Rozmiar152.39 Kb.
  1   2   3


Narodowy Bank Polski

Generalny Inspektorat Nadzoru Bankowego




NBP

STRUKTURA SYSTEMÓW KONTROLI WEWNĘTRZNEJ W INSTYTUCJACH BANKOWYCH


FRAMEWORK FOR INTERNAL CONTROL SYSTEMS IN BANKING ORGANISATIONS, No. 40

KOMITET BAZYLEJSKI ds. NADZORU BANKOWEGO




Bazylea, wrzesień 1998

Nota od wydawcy


Generalny Inspektorat Nadzoru Bankowego dołożył wszelkich starań, aby zapewnić wysoką jakość tłumaczenia na język polski załączonego tekstu. Ze względu na złożoność poruszanej problematyki oraz występujący czasem brak odpowiedników w języku polskim terminów i pojęć angielskich użytych w tekście oryginalnym niektóre terminy mogą być przetłumaczone w alternatywny sposób. W razie wątpliwości rozstrzygający jest tekst oryginału angielskiego dostępny na stronie internetowej Banku Rozrachunków Międzynarodowych: www.bis.org

Tłumaczenie: Jerzy Wróblewski


Korekta merytoryczna: Krzysztof Markowski


Tłumaczenie finansowane ze środków funduszu Phare.

Podgrupa Zarządzania Ryzykiem


Bazylejskiego Komitetu Nadzoru Bankowego

Współprzewodniczący:

Mr. Roger Cole – Federal Reserve Board, Washington, D.C.

Ms. Christine Cumming – Federal Reserve Bank of New York





Banque Nationale de Begique, Brussels

Mr. Philip Lefčvre

Commission Bancaire et Financière, Brussels

Mr. Jos Meuleman

Office of the Superintendent of Financial Institutions, Ottawa

Ms. Aina Liepins

Commision Bancaire, Paris

Ms. Brigitte Declercy

Deutsche Bundesbank, Frankfurt am Mein

Ms. Magdalene Heid

Bundesaufsichtsamt für das Kreditwesen, Berlin

Mr. Uwe Neumann

Banca d’Italia, Rome

Mr. Paolo Pesca

Bank of Japan, Tokyo

Mr. Noriyuki Tomioka

Financial Supervisory Agency, Tokyo

Mr. Kozo Ishimura

Banque Centrale du Luxembourg

Ms. Isabelle Goubin

De Nederlandsche Bank, Amsterdam

Mr. Job Swank

De Nederlandsche Bank, Amsterdam

Mr. Paul Benschop

Finansinspektionen, Stockholm

Mr. Jan Hedquist

Eidgenössiche Bankenkommission, Bern

Ms. Renate Lischer

Financial Services Authority, London

Mr. Stan Bereza

Federal Deposit Insurance Corporation, Washington, D.C.

Mr. Mark Schmidt

Office of the Comptroller of the Currency, Washington, D.C.

Mr. Kurt Wilhelm

European Commission, Brussels

Mr. Nicholas Cook

Secretariat of the Basle Committee on Banking Supervision,

Bank for International Settlements



Ms. Betsy Roberts


Spis treści






Strona

Wstęp


1

I. Informacje ogólne


5

II. Zadania i rola struktury kontroli wewnętrznej


7

III. Główne elementy procesu kontroli wewnętrznej

8

A. Nadzór ze strony kierownictwa i kultura kontroli

8

1. Rada

2. Zarząd

3. Kultura kontroli


8

9

10



B. Poznanie i ocena ryzyka

C. Czynności kontrolne i rozdział obowiązków

D. Informacja i jej przekazywanie (komunikacja)

E. Czynności monitorowania i korygowanie wad




11

12

14



16

IV. Ocena systemów kontroli wewnętrznej przez władze nadzorcze


18

V. Rola i zakres odpowiedzialności audytorów zewnętrznych


21

Załącznik I

Materiały źródłowe


22

Załącznik II

Doświadczenia nadzorcze zgromadzone z niepowodzeń kontroli wewnętrznej

23


Struktura systemów kontroli wewnętrznej w instytucjach bankowych
Wstęp

1. W ramach swoich ciągłych prac mających na celu odniesienie się do bankowych zagadnień nadzorczych oraz wzbogacenie nadzoru poprzez wytyczne zachęcające do solidnych praktyk zarządzania ryzykiem, Komitet Bazylejski Nadzoru Bankowego publikuje niniejszą strukturę oceny systemów kontroli wewnętrznej. Sys1em efektywnych wewnętrznych czynników kontrolnych stanowi krytyczny składnik zarządzania bankiem oraz fundament bezpiecznych i solidnych operacji instytucji bankowych. System silnych wewnętrznych czynników kontrolnych może pomóc w zapewnieniu realizacji celów i zadania instytucji bankowej, osiągnąnięcia celów rentowności długoterminowej oraz utrzymania wiarygodnej sprawozdawczość finansowej i zarządczej. System taki może również pomóc w zapewnieniu przestrzegania przez bank ustaw i przepisów, jak również wewnętrznych zasad, planów, reguł i procedur oraz zmniejszenia ryzyka nieoczekiwanych strat lub szkody dla reputacji banku. Dokument opisuje zasadnicze elementy solidnego systemu kontroli wewnętrznej, bazując na doświadczeniu krajów członkowskich oraz na zasadach ustalonych we wcześniejszych publikacjach Komitetu. Jego zadaniem jest nakreślenie szeregu zasad do wykorzystania przez władze nadzorcze w procesie oceny systemów kontroli wewnętrznej banku.

2. Komitet Bazylejski, wspólnie z instytucjami nadzoru bankowego na całym świecie, skoncentrował uwagę na znaczeniu solidnych wewnętrznych czynników kontrolnych. Wzrost zainteresowania wewnętrznymi czynnikami kontrolnymi po części wynika z istotnych strat poniesionych przez kilka instytucji bankowych. Analiza problemów związanych z tymi stratami wskazuje, że można było prawdopodobnie ich uniknąć, gdyby banki posiadały efektywne systemy kontroli wewnętrznej. Takie systemy zapobiegłyby problemom, które doprowadziły do strat lub umożliwiłyby ich wcześniejsze wykrycie, ograniczając przez to szkody dla instytucji bankowej. Opracowując niniejsze zasady Komitet korzystał z doświadczeń zdobytych na podstawie sytuacji banków z problemami w poszczególnych krajach członkowskich.

3. Oczekuje się, że niniejsze zasady będą ogólnie stosowane, a władze nadzorcze powinny je wykorzystywać w ocenach własnych metod i nadzorczych procedur monitorowania sposobu kształtowania przez banki struktur systemów kontroli wewnętrznej. O ile dokładny sposób podejścia wybrany przez poszczególne instytucje nadzorcze będzie zależał od szeregu czynników, obejmujących ich techniki nadzorcze na miejscu i zza biurka oraz stopień wykorzystania także audytorów zewnętrznych w funkcji nadzorczej, wszyscy członkowie Komitetu Bazylejskiego zgadzają się, że zasady przedstawione w niniejszym dokumencie powinny być wykorzystywane do oceny systemu kontroli wewnętrznej banku.

4. Komitet Bazylejski udostępnia niniejszy dokument władzom nadzorczym na całym świecie w przekonaniu, że przedstawione zasady będą użyteczną strukturą efektywnego nadzoru systemów kontroli wewnętrznej. Uogólniając, Komitet podkreśla, że solidne wewnętrzne czynniki kontrolne mają zasadnicze znaczenie dla ostrożnego działania banków oraz dla wzmacniania stabilności systemu finansowego jako całości. O ile Komitet uznaje, że nie wszystkie instytucje mogły wdrożyć wszystkie aspekty tej struktury, banki pracują nad jej przyjęciem.

5. Wytyczne opublikowane uprzednio przez Komitet Bazylejski zazwyczaj obejmowały omówienie wewnętrznych czynników kontrolnych wpływających na specyficzne obszary działalności bankowej, takie jak ryzyko stopy procentowej oraz działalność handlowa i w zakresie instrumentów pochodnych. Natomiast niniejsze wytyczne przedstawiają strukturę zalecaną przez Komitet Bazylejski instytucjom nadzorczym do oceny wewnętrznych czynników kontrolnych całej działalności bilansowej i pozabilansowej banków i skonsolidowanych instytucji bankowych. Wytyczne nie koncentrują się na specyficznych obszarach lub czynnościach w instytucjach bankowych. Szczegółowe zastosowanie zależy od charakteru, złożoności i ryzyka działalności banku.



6. Komitet przedstawia informacje ogólne w części I, zadania i rolę struktury kontroli wewnętrznej - w Części II a w częściach III i IV niniejszego dokumentu - ustala trzynaście zasad zalecanych bankowym władzom nadzorczym przy ocenianiu systemów kontroli wewnętrznej banków. Ponadto, Załącznik I podaje wykaz materiałów źródłowych a Załącznik II - doświadczenia nadzorcze wynikające z przeszłych niepowodzeń kontroli wewnętrznej.
Zasady oceny systemów kontroli wewnętrznej
Nadzór ze strony kierownictwa i kultura kontroli

Zasada 1:

Rada powinna być odpowiedzialna za:

  • zatwierdzanie i okresowe przeglądanie ogólnych strategii działalności oraz istotnych zasad wewnętrznych banku;

  • rozumienie głównych rodzajów ryzyka podejmowanych przez bank,

  • ustalanie akceptowalnych poziomów tych rodzajów ryzyka oraz zapewnienie, że zarząd podejmuje kroki konieczne dla ich identyfikowania, mierzenia, monitorowania i kontrolowania;

  • zatwierdzanie struktury organizacyjnej;

  • zapewnianie, że zarząd monitoruje efektywność systemu kontroli wewnętrznej.

Rada ponosi ostateczną odpowiedzialność za zapewnienie, że ustanowiono i utrzymuje się efektywny system kontroli wewnętrznej.

Zasada 2:

Zarząd powinien być odpowiedzialny za:

  • wdrażanie strategii i zasad wewnętrznych zatwierdzonych przez radę;

  • opracowanie procesów identyfikacji, pomiaru, monitorowania i kontroli ryzyka ponoszonego przez bank;

  • utrzymywanie struktury organizacyjnej, która jasno przyporządkowuje odpowiedzialność, uprawnienia i relacje podległości;

  • zapewnienie efektywnej realizacji delegowanego zakresu odpowiedzialności;

  • ustalanie odpowiednich zasad kontroli wewnętrznej;

  • monitorowanie adekwatności i efektywności systemu kontroli wewnętrznej.

Zasada 3:

Rada i zarząd są odpowiedzialne za promowanie wysokich norm etycznych i uczciwości oraz za ustalenie kultury wewnątrz instytucji, która uwydatnia i demonstruje wszystkim poziomom pracowników znaczenie wewnętrznych czynników kontrolnych. Wszyscy pracownicy w instytucji bankowej powinni rozumieć swoją rolę w procesie kontroli wewnętrznej oraz w pełni angażować się w ten proces.

Poznanie i ocena ryzyka

Zasada 4:

Efektywny system kontroli wewnętrznej wymaga rozpoznania i ciągłej oceny ważnych rodzajów ryzyka, mogących niekorzystnie wpłynąć na osiągnięcie celów banku. Ocena ta powinna obejmować wszystkie rodzaje ryzyka stojące przed bankiem oraz skonsolidowaną instytucją bankową (to znaczy ryzyko kredytowe, ryzyko kraju i transferu, ryzyko rynkowe, ryzyko stopy procentowej, ryzyko płynności, ryzyko operacyjne, ryzyko prawne oraz ryzyko reputacji). Może istnieć konieczność przeglądu wewnętrznych czynników kontrolnych dla właściwego odniesienia się do wszelkich nowych lub wcześniej niekontrolowanych rodzajów ryzyka.
Czynności kontrolne i rozdział obowiązków

Zasada 5:

Czynności kontrolne powinny stanowić integralną część codziennej działalności banku. Efektywny system kontroli wewnętrznej wymaga ustanowienia odpowiedniej struktury kontrolnej, z czynnościami kontrolnymi zdefiniowanymi na każdym poziomie działalności. Powinny one obejmować:

  • przeglądy na najwyższym poziomie;

  • odpowiednie czynniki kontrolne działalności różnych departamentów lub wydziałów;

  • fizyczne czynniki kontrolne;

  • sprawdzanie przestrzegania limitów zaangażowań oraz śledzenia nieprzestrzegania;

  • system zatwierdzeń i autoryzacji;

  • system weryfikacji i uzgodnień.

Zasada 6:

Efektywny system kontroli wewnętrznej wymaga wprowadzenia odpowiedniego rozdziału obowiązków oraz by pracownikom nie przypisywano sprzecznych zakresów odpowiedzialności. Obszary potencjalnych konfliktów interesów powinny być identyfikowane, minimalizowane i powinny podlegać starannemu, niezależnemu monitorowaniu.
Informacja i jej przekazywanie (komunikacja)

Zasada 7:

Skuteczny system kontroli wewnętrznej wymaga posiadania adekwatnych i wszechstronnych wewnętrznych danych finansowych, operacyjnych i dotyczących zgodności, jak również zewnętrznych informacji rynkowych o wydarzeniach i warunkach istotnych przy podejmowaniu decyzji. Informacje powinny być wiarygodne, aktualne, dostępne oraz dostarczane w spójnym formacie.

Zasada 8:

Skuteczny system kontroli wewnętrznej wymaga istnienia wiarygodnych systemów informatycznych, obejmujących wszystkie istotne rodzaje działalności banku. Systemy te, łącznie z systemami składowania i wykorzystania danych w postaci elektronicznej, muszą być bezpieczne, niezależnie monitorowane oraz wspierane przez adekwatne rozwiązania awaryjne.

Zasada 9:

Skuteczny system kontroli wewnętrznej wymaga efektywnych kanałów komunikacji w celu zapewnienia, że wszyscy pracownicy w pełni rozumieją i przestrzegają zasady wewnętrzne i procedury wpływające na ich obowiązki i zakres odpowiedzialności, oraz iż inne stosowne informacje docierają do właściwych pracowników.
Czynności monitorowania i korygowanie wad

Zasada 10:

Ogólna efektywność wewnętrznych czynników kontrolnych banku powinna być monitorowana w sposób ciągły. Monitorowanie kluczowych rodzajów ryzyka powinno stanowić element codziennej działalności banku jak również okresowych ocen rodzajów działalności oraz rewizji wewnętrznej.

Zasada 11:

Powinna istnieć efektywna i wszechstronna rewizja wewnętrzna systemu kontroli wewnętrznej wykonywana przez niezależnych operacyjnie, właściwie wyszkolo-nych i kompetentnych pracowników. Funkcja rewizji wewnętrznej, jako element monitorowania systemu wewnętrznych czynników kontrolnych, powinna podlegać bezpośrednio radzie lub jej komitetowi rewizji oraz zarządowi.

Zasada 12:

Wady kontroli wewnętrznej, czy to zidentyfikowane przez rodzaje działalności, rewizję wewnętrzną lub inny personel kontrolny, powinny być raportowane na bieżąco właściwemu poziomowi kierownictwa oraz szybko załatwiane. Istotne wady kontroli wewnętrznej powinny być raportowane zarządowi oraz radzie.
Ocena systemów kontroli wewnętrznej przez władze nadzorcze

Zasada 13:

Instytucje nadzorcze powinny wymagać, by wszystkie banki, niezależnie od wielkości, posiadały efektywny system wewnętrznych czynników kontrolnych, który jest spójny z charakterem, złożonością oraz ryzykiem nieodłącznym od ich działalności bilansowej i pozabilansowej oraz który reaguje na zmiany w środowisku i warunkach banku. W przypadkach, kiedy instytucje nadzorcze stwierdzą, że system kontroli wewnętrznej banku nie jest adekwatny lub efektywny dla konkretnego profilu ryzyka tego banku (na przykład nie obejmuje wszystkich zasad zawartych w niniejszym dokumencie), powinny one podjąć odpowiednie działania.


I. Informacje ogólne
1. Komitet Bazylejski przebadał ostatnie problemy bankowe w celu zidentyfikowania głównych źródeł wad kontroli wewnętrznej. Zidentyfikowane problemy uwypuklają konieczność zwrócenia większej uwagi przez członków rad i zarządów, rewidentów wewnętrznych i zewnętrznych, oraz nadzorców bankowych na wzmocnienie systemów kontroli wewnętrznej oraz ustawiczne ocenianie ich skuteczności. Kilka ostatnich przypadków pokazuje, że nieodpowiednie wewnętrzne czynniki kontrolne mogą prowadzić do znaczących strat dla banków.

2. Rodzaje załamań kontroli obserwowane zazwyczaj w przypadkach banków z problemami mogą być zgrupowane w pięciu kategoriach:



  • Brak adekwatnego nadzoru ze strony kierownictwa i odpowiedzialności zwierzchniej oraz niepowodzenie w rozwinięciu silnej kultury kontroli w banku. Przypadki poważnych strat, bez wyjątku, odzwierciedlają zaniedbanie przez kierownictwo oraz rozluźnienie kultury kontroli w banku, niewystarczające wytyczne i nadzór ze strony rady i zarządu oraz brak wyraźnej odpowiedzialności zwierzchniej kierownictwa poprzez przydział ról i odpowiedzialności. Przypadki te odzwierciedlają również brak właściwych zachęt dla kierownictwa do prowadzenia silnego nadzoru bezpośredniego i utrzymywanie wysokiego poziomu świadomości kontroli w obszarach działalności.

  • Nieadekwatne poznanie i ocena ryzyka pewnych rodzajów działalności bankowej, czy to bilansowej, czy pozabilansowej. Wiele instytucji bankowych, które poniosły poważne straty, zaniedbało poznanie i ocenę ryzyka nowych produktów i rodzajów działalności, lub zaktualizowanie swoich ocen ryzyka kiedy w środowisku lub warunkach działalności wystąpiły znaczące zmiany. Wiele niedawnych przypadków podkreśla fakt, że systemy kontroli dobrze działające w przypadku tradycyjnych lub prostych produktów nie są w stanie poradzić sobie z produktami bardziej zaawansowanymi lub skomplikowanymi.

  • Brak lub niepowodzenie kluczowych struktur i czynności kontrolnych, takich jak rozdział obowiązków, zatwierdzenia, weryfikacje, uzgodnienia oraz przeglądy wyników operacyjnych. W szczególności brak rozdziału obowiązków odegrał główną rolę w znaczących stratach, które zdarzyły się bankom.

  • Nieadekwatny przekaz informacji pomiędzy szczeblami kierownictwa w banku, szczególnie w zakresie przekazywania problemów "do góry". Aby zasady wewnętrzne i procedury były efektywne, powinny być efektywnie przekazywane wszystkim pracownikom zaangażowanym w jakąś działalność. Niektóre ze strat w bankach wystąpiły, ponieważ stosowni pracownicy nie znali lub nie rozumieli zasad wewnętrznych banku. W kilku przypadkach informacje o niewłaściwych działaniach, które powinny być zgłoszone do góry poprzez szczeble organizacyjne, nie były przekazywane radzie lub zarządowi aż do czasu, kiedy problemy stały się poważne. W innych przypadkach, informacje w sprawozdaniach dla kierownictwa nie były zupełne lub dokładne, tworząc fałszywie korzystne wrażenie o sytuacji firmy.

  • Nieadekwatne lub nieefektywne programy rewizji i czynności monitorowania. W wielu przypadkach rewizje nie były wystarczająco rygorystyczne, by zidentyfikować i zgłosić słabości kontroli związanych z bankami posiadającymi problemy. W innych przypadkach, nawet pomimo tego, że rewidenci zgłosili problemy, nie było mechanizmu zapewniającego, że kierownictwo skorygowało wady.

3. Struktura kontroli wewnętrznych stanowiąca podstawę niniejszych wytycznych jest oparta na praktykach aktualnie stosowanych w wielu dużych bankach, firmach zajmujących się papierami wartościowymi oraz spółkach niefinansowych oraz w ich firmach audytorskich. Ponadto, niniejsza struktura oceny jest spójna ze zwiększonym naciskiem bankowych instytucji nadzorczych na ocenę zarządzania ryzykiem oraz procesy kontroli wewnętrznej instytucji bankowych. Ważne jest podkreślenie, że to rada i zarząd banku ponoszą odpowiedzialność za zapewnienie, że w banku istnieją adekwatne wewnętrzne czynniki kontrolne oraz za popieranie środowiska, w którym poszczególne osoby rozumieją i wypełniają swoją odpowiedzialność w tym obszarze. Z kolei bankowe instytucje nadzorcze ponoszą odpowiedzialność za ocenę zaangażowania rady i zarządu banku w proces kontroli wewnętrznej.

II. Zadania i rola struktury kontroli wewnętrznej
4. Kontrola wewnętrzna jest procesem realizowanym przez radę2, zarząd oraz wszystkie szczeble pracowników. Nie jest to jedynie procedura lub zasada wewnętrzna wykonywana w jakimś momencie, ale jest raczej ciągłym działaniem na wszystkich szczeblach banku. Rada i zarząd ponoszą odpowiedzialność za ustanowienie właściwej kultury mającej na celu ułatwienia efektywnego procesu kontroli wewnętrznej oraz za ciągłe monitorowanie jego efektywności; jednakże każda osoba w instytucji musi uczestniczyć w tym procesie. Główne zadania procesu kontroli wewnętrznej można podzielić na następujące kategorie:

1. wydajność 3 skuteczność działań (zadania dotyczące wyników);

2. wiarygodność, kompletność oraz aktualność informacji finansowych i zarządczych (zadania dotyczące informacji); oraz

3. przestrzeganie właściwych ustaw i przepisów (zadania dotyczące zgodności).

5. Zadania dotyczące wyników dotyczą efektywności i wydajności banku w zakresie wykorzystywania aktywów i innych zasobów oraz w zakresie ochrony banku przed stratą. Proces kontroli wewnętrznej stara się zapewnić, by pracownicy w całej instytucji pracowali dla osiągnięcia swoich celów w sposób wydajny i uczciwy, bez niezmierzonych lub zbędnych kosztów oraz nie przedkładając niczyich interesów (takich jak interesy pracownika, sprzedawcy lub klienta) nad interesy banku.

6. Zadania dotyczące informacji odnoszą się do przygotowania aktualnych, wiarygodnych, stosownych sprawozdań niezbędnych do podejmowania decyzji w instytucji bankowej. Odnoszą się one również do zapotrzebowania na wiarygodne sprawozdania roczne, inne sprawozdania finansowe i inne raporty finansowe oraz sprawozdania dla akcjonariuszy, instytucji nadzorczych oraz innych instytucji zewnętrznych. Informacje otrzymywane przez zarząd, radę, akcjonariuszy i instytucje nadzorcze powinny posiadać wystarczającą jakość i integralność, tak by odbiorcy mogli polegać na tych informacjach przy podejmowaniu decyzji. Określenie „wiarygodność”, w odniesieniu do sprawozdań finansowych, dotyczy przygotowania sprawozdań przedstawianych rzetelnie i opartych na wszechstronnych i dobrze zdefiniowanych zasadach i regułach rachunkowości.

7. Zadania dotyczące zgodności zapewniają, że cała instytucja bankowa przestrzega właściwych ustaw i przepisów, wymagań nadzorczych oraz zasad i procedur wewnętrznych. To zadanie musi być spełnione w celu ochrony firmy (marki) i reputacji banku.
III. Główne elementy procesu kontroli wewnętrznej
8. Proces kontroli wewnętrznej, który historycznie stanowił mechanizm redukowania przypadków oszustwa, sprzeniewierzenia i błędów, stał się ostatnio bardziej obszerny, odnosząc się do różnych rodzajów ryzyka stojących przed instytucjami bankowymi. Obecnie uznaje się, że solidny proces kontroli wewnętrznej ma krytyczne znaczenie dla zdolności banku do wypełniania swoich ustalonych celów oraz do utrzymania zdolności finansowego przetrwania.

9. Kontrola wewnętrzna składa się z pięciu wzajemnie powiązanych elementów:

1. nadzór ze strony kierownictwa i kultura kontroli;

2. poznanie i ocena ryzyka;

3. czynności kontrolne i rozdział obowiązków;

4. informacja i jej przekazywanie (komunikacja);

5. czynności monitorowania i korygowanie wad.

Problemy obserwowane przy okazji ostatnich dużych strat w bankach mogą być dopasowane do tych pięciu elementów. Ich efektywne funkcjonowanie ma zasadnicze znaczenie dla osiągania zadań dotyczących wyników banku, informacji oraz zgodności.


A. Nadzór ze strony kierownictwa i kultura kontroli
1. Rada

Zasada 1: Rada powinna być odpowiedzialna za:

  • zatwierdzanie i okresowe przeglądanie ogólnych strategii działalności oraz istotnych zasad wewnętrznych banku;

  • rozumienie głównych rodzajów ryzyka podejmowanych przez bank,

  • ustalanie akceptowalnych poziomów tych rodzajów ryzyka oraz zapewnienie, że zarząd podejmuje kroki konieczne dla ich identyfikowania, mierzenia, monitorowania i kontrolowania;

  • zatwierdzanie struktury organizacyjnej;

  • zapewnianie, że zarząd monitoruje efektywność systemu kontroli wewnętrznej.

Rada ponosi ostateczną odpowiedzialność za zapewnienie, że ustanowiono i utrzymuje się efektywny system kontroli wewnętrznej.

10. Rada wyposaża zarząd w uprawnienia do kierowania, ustalania wytycznych i nadzorowania. Jest odpowiedzialna za zatwierdzanie i weryfikację ogólnych strategii działalności, istotnych zasad wewnętrznych instytucji oraz struktury organizacyjnej. Rada ponosi ostateczną odpowiedzialność za zapewnienie, że ustanowiono i utrzymuje się adekwatny i skuteczny system wewnętrznych czynników kontrolnych. Członkowie rady powinni być obiektywni, zdolni i dociekliwi, powinni posiadać wiedzę lub doświadczenie w zakresie działalności banku i rodzajów ryzyka ponoszonego przez bank. W krajach, gdzie istnieje możliwość wyboru, rada powinna się składać z części członków, którzy nie są związani z codziennym zarządzaniem bankiem. Silna, aktywna rada, szczególnie w powiązaniu z efektywnymi kanałami komunikacji oddolnej oraz szerokimi funkcjami finansowymi, prawnymi i rewizyjnymi, stanowi ważny mechanizm zapewniający naprawę problemów mogących obniżyć efektywność systemu kontroli wewnętrznej.

11. Rada powinna uwzględniać w swojej działalności (1) okresowe dyskusje z zarządem dotyczące skuteczności systemu kontroli wewnętrznej, (2) terminowy przegląd ocen kontroli wewnętrznych dokonywanych przez zarząd, rewidentów wewnętrznych oraz rewidentów zewnętrznych, (3) okresowe dzioałania mające na celu zapewnienie, że zarząd szybko zrealizował zalecenia i obawy wyrażone przez audytorów i władze nadzorcze odnośnie słabości kontroli wewnętrznej, oraz (4) okresowy przegląd stosowności strategii banku i limitów ryzyka.

12. Jedną z możliwości wykorzystywanych przez banki w wielu krajach jest ustanowienie niezależnego komitetu rewizji, którego celem jest wspomaganie rady w wykonywaniu jej zakresu odpowiedzialności. Ustanowienie komitetu rewizji pozwala na szczegółowe zbadanie informacji i sprawozdań bez potrzeby zajmowania czasu wszystkich członków rady. Komitet rewizji jest zazwyczaj odpowiedzialny za nadzorowanie procesu sprawozdawczości finansowej oraz systemu kontroli wewnętrznej. Jako część tej odpowiedzialności, komitet rewizji zazwyczaj nadzoruje działalność departamentu rewizji wewnętrznej banku i służy pomocą jako bezpośredni kontakt z tym departaqmentem, a także angażuje się i służy jako podstawowy kontakt z audytorami zewnętrznymi. W krajach, gdzie istnieje taka możliwość wyboru, komitet powinien się składać głównie lub całkowicie z zewnętrznych członków rady (tzn. członków rady, którzy nie są zatrudnieni przez bank lub przez jakikolwiek z jego podmiotów stowarzyszonych) posiadających wiedzę o sprawozdawczości finansowej oraz wewnętrznych czynnikach kontrolnych. Należy zauważyć, że w żadnym razie utworzenie komitetu rewizji nie powinno stanowić przeniesienia obowiązków z całej rady, która sama jest prawnie upoważniony do podejmowania decyzji.


2. Zarząd

Zasada 2: Zarząd powinien być odpowiedzialny za:

  • wdrażanie strategii i zasad wewnętrznych zatwierdzonych przez radę;

  • opracowanie procesów identyfikacji, pomiaru, monitorowania i kontroli ryzyka ponoszonego przez bank;

  • utrzymywanie struktury organizacyjnej, która jasno przyporządkowuje odpowiedzialność, uprawnienia i relacje podległości;

  • zapewnienie efektywnej realizacji delegowanego zakres odpowiedzialności;

  • ustalanie odpowiednich zasad kontroli wewnętrznej;

  • monitorowanie adekwatności i efektywności systemu kontroli wewnętrznej.

13. Zarząd ponosi odpowiedzialność za wykonywanie dyrektyw rady, obejmujących wdrożenie strategii i zasad wewnętrznych oraz ustanowienie efektywnego systemu kontroli wewnętrznej. Członkowie zarządu zazwyczaj delegują odpowiedzialność za ustanowienie bardziej szczegółowych zasad wewnętrznych i procedur kontroli wewnętrznej na osoby odpowiedzialne za poszczególne komórki działalności. Delegacja stanowi zasadniczą część zarządzania; jest jednak ważne, aby zarząd upewniał się, że kierownicy, którym delegowano te odpowiedzialności, rozwijają i wzmocniają właściwe zasady wewnętrzne i procedury.

14. Przestrzeganie ustanowionego systemu kontroli wewnętrznej zależy bardzo mocno od dobrze udokumentowanej i zakomunikowanej struktury organizacyjnej, która wyraźnie ukazuje linie podległości i nadrzędności oraz zapewnia skuteczne przekazywanie informacji w całej instytucji. Przydział obowiązków i odpowiedzialności powinien zapewnić, że nie będzie luk w liniach podległości oraz że skuteczny poziom kontroli kierownictwa obejmuje wszystkie szczeble banku i jego różne rodzaje działalności.

15. Jest ważne, by zarząd podejmował kroki mające na celu zapewnienie powierzania czynności wykwalifikowanym pracownikom z niezbędnym doświadczeniem i potencjałem merytorycznym. Pracownicy w funkcjach kontrolnych muszą być właściwie wynagradzani. Szkolenie pracowników i umiejętności powinny być regularnie aktualizowane. Zarząd powinien inicjować zasady wynagradzania i promowania, które wynagradzają właściwe zachowania i minimalizują zachęty dla pracowników do ignorowania lub przekraczania mechanizmów kontroli wewnętrznej.
3. Kultura kontroli

Zasada 3: Rada i zarząd są odpowiedzialne za promowanie wysokich norm etycznych i uczciwości oraz za ustalenie kultury wewnątrz instytucji, która uwydatnia i demonstruje wszystkim poziomom pracowników znaczenie wewnętrznych czynników kontrolnych. Wszyscy pracownicy w instytucji bankowej powinni rozumieć swoją rolę w procesie kontroli wewnętrznej oraz w pełni angażować się w ten proces.

16. Zasadniczym elementem efektywnego systemu kontroli wewnętrznej jest silna kultura kontroli. Rada i zarząd są odpowiedzialne za podkreślanie znaczenia kontroli wewnętrznej poprzez swoje działania i słowa. Obejmuje to wartości etyczne wykazywane przez kierownictwo w ich postępowaniu w biznesie, zarówno wewnątrz jak i na zewnątrz instytucji. Słowa, nastawienia i działania rady i zarządu wpływają na uczciwość, etykę i inne aspekty kultury kontroli banku.

17. W różnym stopniu każdy pracownik banku jest odpowiedzialny za kontrolę wewnętrzną. Prawie wszyscy pracownicy generują informacje wykorzystywane w systemie kontroli wewnętrznej lub podejmują inne działania niezbędne do wykonywania kontroli. Zasadniczym elementem silnego systemu kontroli wewnętrznej jest uznanie przez wszystkich pracowników potrzeby efektywnego wykonywania swojego zakresu odpowiedzialności oraz komunikowania odpowiedniemu szczeblowi kierownictwa o wszelkich zauważonych problemach w operacjach, przypadkach nieprzestrzegania kodeksu postępowania lub innych naruszeniach zasad wewnętrznych lub działaniach nielegalnych. Można to najlepiej osiągnąć poprzez sformułowanie procedur operacyjnych w jasno napisanej dokumentacji dostępnej wszystkim właściwym pracownikom. Zasadnicze znaczenie ma to, by wszyscy pracownicy w banku rozumieli znaczenie kontroli wewnętrznej i byli aktywnie zaangażowani w ten proces.

18. Przy wzmacnianiu wartości etycznych instytucje bankowe powinny unikać zasad wewnętrznych i praktyk, które mogą w sposób nieumyślny dawać zachęty lub pokusy do niewłaściwych działań. Przykłady takich zasad wewnętrznych i praktyk obejmują niewłaściwy nacisk na cele związane z wynikami lub inne wyniki operacyjne, szczególnie krótkoterminowe, ignorujące ryzyko długoterminowe; systemy wynagradzania które nadmiernie zależą od wyników krótkoterminowych; nieskuteczny rozdział obowiązków lub inne czynniki kontrolne, które mogłyby pozwolić na nadużycie zasobów lub zatajenie słabych wyników; oraz nieistotne lub nadmiernie uciążliwe kary za niewłaściwe zachowania.

19. O ile posiadanie silnej kultury kontroli wewnętrznej nie gwarantuje osiągnięcia przez instytucję jej celów, to brak takiej kultury zwiększa możliwości przeoczenia błędów błędów lub wystąpienia nieprawidłowości.
B. Poznanie i ocena ryzyka
Zasada 4: Efektywny system kontroli wewnętrznej wymaga rozpoznania i ciągłej oceny ważnych rodzajów ryzyka, mogących niekorzystnie wpłynąć na osiągnięcie celów banku. Ocena ta powinna obejmować wszystkie rodzaje ryzyka stojące przed bankiem oraz skonsolidowaną instytucją bankową (to znaczy ryzyko kredytowe, ryzyko kraju i transferu, ryzyko rynkowe, ryzyko stopy procentowej, ryzyko płynności, ryzyko operacyjne, ryzyko prawne oraz ryzyko reputacji). Może istnieć konieczność przeglądu wewnętrznych czynników kontrolnych dla właściwego odniesienia się do wszelkich nowych lub wcześniej niekontrolowanych rodzajów ryzyka.

20. Działalnością banków jest podejmowanie ryzyka. W konsekwencji konieczne jest rozpoznawanie i ustawiczne ocenianie ryzyka w ramach systemu kontroli wewnętrznej. Z perspektywy kontroli wewnętrznej ocena ryzyka powinna identyfikować i oszacować czynniki wewnętrzne i zewnętrzne, które mogłyby niekorzystnie wpłynąć na osiągnięcie zadań instytucji bankowej dotyczących wyników, informacji oraz zgodności. Proces ten powinien obejmować wszystkie rodzaje ryzyka stojące przed bankiem i działać na wszystkich szczeblach w banku. Różni się od procesu zarządzania ryzykiem, który zazwyczaj skupia się bardziej na przeglądzie strategii działalności opracowanych w celu zmaksymalizowania stosunku ryzyko/dochód w różnych obszarach banku.

21. Efektywna ocena ryzyka identyfikuje i rozważa czynniki wewnętrzne (takie jak złożoność struktury organizacyjnej, charakter działalności banku, jakość personelu, zmiany organizacyjne i rotację kadr) oraz czynniki zewnętrzne (takie jak zmieniające się warunki gospodarcze, zmiany w sektorze i postępy technologiczne), które mogłyby niekorzystnie wpłynąć na osiągnięcie celów banku. Ocena ryzyka powinna być prowadzona na szczeblu poszczególnych transakcji oraz dla szerokiego spektrum rodzajów działalności i podmiotów zależnych skonsolidowanej instytucji bankowej. Może to być osiągnięte różnymi metodami. Efektywna ocena ryzyka odnosi się zarówno do mierzalnych i niemierzalnych aspektów ryzyka oraz waży koszty kontroli w stosunku do zapewnianych korzyści.

22. Proces oceny ryzyka obejmuje także szacowanie ryzyka w celu ustalenia, które rodzaje dają się kontrolować przez bank, a które nie. W przypadku tych rodzajów ryzyka, które dają się kontrolować, bank musi ocenić czy zaakceptować te rodzaje ryzyka lub stopień, w którym chce zmniejszyć ryzyko poprzez procedury kontroli. W przypadku tych rodzajów ryzyka, które nie dają się kontrolować, bank musi zdecydować, czy je zaakceptować, czy też wycofać się z rozważanej działalności lub ograniczyć jej poziom.



23. Aby ocena ryzyka, a zatem także system kontroli wewnętrznej, pozostały efektywne, zarząd powinien stale oceniać rodzaje ryzyka wpływające na osiągnięcie jego celów i reagować na zmieniające się okoliczności i warunki. Może istnieć potrzeba, aby wewnętrzne czynniki kontrolne były rewidowane w celu właściwego odniesienia się do wszelkich nowych lub poprzednio niekontrolowanych rodzajów ryzyka. Na przykład, w miarę występowania innowacji finansowych bank powinien oceniać nowe instrumenty finansowe oraz transakcje rynkowe i rozważać rodzaje ryzyka związane z tymi rodzajami działalności. Często te rodzaje ryzyka mogą być najlepiej rozpoznane w ramach analizy wpływu różnych scenariuszy (gospodarczych i innych) na przepływy pieniężne i zyski z instrumentów finansowych i transakcji. Przemyślana analiza pełnego wachlarza możliwych problemów, od niezrozumienia klienta do niepowodzenia operacyjnego, wskażą na ważne aspekty kontrolne.
C. Czynności kontrolne i rozdział obowiązków
Zasada 5: Czynności kontrolne powinny stanowić integralną część codziennej działalności banku. Efektywny system kontroli wewnętrznej wymaga ustanowienia odpowiedniej struktury kontrolnej, z czynnościami kontrolnymi zdefiniowanymi na każdym poziomie działalności. Powinny one obejmować:

  • przeglądy na najwyższym poziomie;

  • odpowiednie czynniki kontrolne działalności różnych departamentów lub wydziałów;

  • fizyczne czynniki kontrolne;

  • sprawdzanie przestrzegania limitów zaangażowań oraz śledzenia nieprzestrzegania;

  • system zatwierdzeń i autoryzacji;

  • system weryfikacji i uzgodnień.

24. Czynności kontrolne są zaprojektowane i wdrażane w celu odniesienia się do rodzajów ryzyka, które bank zidentyfikował poprzez opisany powyżej proces oceny ryzyka. Działania kontrolne obejmują dwa kroki: (1) ustanowienie zasad wewnętrznych i procedur kontroli; oraz (2) sprawdzanie przestrzegania zasad wewnętrznych i procedur kontrolnych. Działania kontrolne obejmują wszystkie szczeble pracowników banku, z uwzględnieniem zarządu jak również personel operacyjny. Przykłady działań kontrolnych obejmują:

  • Przeglądy na najwyższym szczeblu - Rady i zarząd często wymagają prezentacji i sprawozdań z wyników umożliwiających im dokonanie oceny postępu banku w kierunku osiągnięcia swoich celów. Na przykład, zarząd może przeglądać raporty przedstawiające rzeczywiste wyniki finansowe osiągnięte do danego momentu na tle planu. Pytania stawiane przez zarząd w wyniku tych przeglądów oraz następujące po nich odpowiedzi niższych szczebli kierownictwa reprezentują działanie kontrolne, które może wykryć problemy takie jak słabości kontroli, błędy w sprawozdawczości finansowej oraz działania o charakterze oszustwa.

  • Czynniki kontrolne obszarów działalności - Kierownictwo szczebla departamentu lub wydziału otrzymuje i przegląda standardowe raporty nt. wyników i wyjątków w ujęciu dziennym, tygodniowym lub miesięcznym. Przeglądy funkcjonalne dokonywane są częściej niż przeglądy na najwyższym szczeblu i są bardziej szczegółowe. Na przykład, kierownik kredytów komercyjnych może przeglądać tygodniowe sprawozdania o wykroczeniach, otrzymanych płatnościach oraz odsetkach zarobionych na portfelu, podczas gdy wyższy urzędnik kredytowy może przeglądać podobne raporty w ujęciu miesięcznym i w bardziej sumarycznej postaci, obejmującej wszystkie obszary kredytowania. Jak w przypadku przeglądów na najwyższym szczeblu, pytania stawiane w wyniku przeglądania tych raportów i odpowiedzi na te pytania reprezentują działania kontrolne.

  • Fizyczne czynniki kontrolne - Fizyczne czynniki kontrolne ogólnie skupiają się na ograniczaniu dostępu do aktywów rzeczowych, w tym gotówki i papierów wartościowych. Czynności kontrolne obejmują ograniczenia fizyczne, podwójny dozór oraz okresowe inwentaryzacje.

  • Przestrzeganie limitów zaangażowań - Ustanowienie limitów ostrożnościowych dla zaangażowań stanowi ważny aspekt zarządzania ryzykiem. Na przykład, przestrzeganie limitów dla pożyczkobiorców i innych kontrahentów redukuje koncentrację ryzyka kredytowego banku i pomaga zróżnicować jego profil ryzyka. W konsekwencji ważnym aspektem wewnętrznych czynników kontrolnych jest proces oceny przestrzegania takich limitów oraz analiza przypadków nieprzestrzegania.

  • Zatwierdzenia i autoryzacje - Wymaganie zatwierdzenia lub autoryzacji transakcji powyżej pewnych limitów zapewnia, że odpowiedni szczebel kierownictwa wie o transakcji lub sytuacji oraz pomaga ustalić odpowiedzialność zwierzchnią.

  • Weryfikacje i uzgodnienia - Weryfikacje szczegółów transakcji i czynności oraz wyników modeli zarządzania ryzykiem używanych przez bank stanowią ważne czynności kontrolne. Okresowe uzgodnienia, takie jak porównywanie przepływów pieniężnych do rejestrów rachunków i sprawozdań, mogą zidentyfikować działania i rejestry wymagające korekty. W konsekwencji wyniki tych weryfikacji powinny być przekazywane odpowiedniemu szczeblowi kierownictwa, kiedykolwiek zostaną wykryte problemy lub potencjalne problemy.

25. Czynności kontrolne są najbardziej efektywne, kiedy są postrzegane przez kierownictwo i wszystkich innych pracowników raczej jako integralna część, a nie dodatek do codziennej działalności banku. Kiedy czynniki kontrolne są postrzegane jako dodatek do codziennej działalności, są często uważane za mniej ważne i mogą nie być wykonywane w sytuacjach, kiedy poszczególne osoby odczuwają nacisk na zakończenie czynności w ograniczonym czasie. Ponadto czynniki kontrolne stanowiące integralną część codziennej działalności umożliwiają szybkie reakcje na zmieniające się warunki i unikanie zbędnych kosztów. Jako element rozwijania odpowiedniej kultury kontroli w banku, zarząd powinien zapewnić, by adekwatne czynności kontrolne stanowiły integralną część codziennych funkcji wszystkich właściwych pracowników.

26. Nie wystarczy aby zarząd po prostu ustanowił odpowiednie zasady wewnętrzne i procedury dla różnych działań i pionów banku. Musi on regularnie zapewniać przestrzeganie tych zasad wewnętrznych i procedur we wszystkich obszarach banku, a także ustalać, czy istniejące zasady wewnętrzne i procedury pozostają adekwatne. Jest to zazwyczaj główna rola departamentu rewizji wewnętrznej.


Zasada 6: Efektywny system kontroli wewnętrznej wymaga wprowadzenia odpowiedniego rozdziału obowiązków oraz by pracownikom nie przypisywano sprzecznych zakresów odpowiedzialności. Obszary potencjalnych konfliktów interesów powinny być identyfikowane, minimalizowane i powinny podlegać starannemu, niezależnemu monitorowaniu.

27. W trakcie przeglądania poważnych strat bankowych spowodowanych przez niewłaściwe wewnętrzne czynniki kontrolne, instytucje nadzorcze zazwyczaj stwierdzają, że jedną z głównych przyczyn takich strat jest brak adekwatnego rozdziału obowiązków. Przydzielenie sprzecznych obowiązków jednej osobie (na przykład, odpowiedzialności zarówno za front jak i back office pionu handlowego) daje tej osobie dostęp do wartościowych aktywów i możliwość manipulowania danymi finansowymi w celu odniesienia osobistych korzyści lub zatajenia strat. W konsekwencji, pewne obowiązki w banku powinny być rozdzielone, w możliwym stopniu, pomiędzy różne osoby w celu zmniejszenia ryzyka manipulowania danymi finansowymi lub sprzeniewierzenia aktywów.

28. Rozdział obowiązków nie jest ograniczony do sytuacji związanych z jednoczesną kontrolą front i back office przez jedną osobę. Może on również spowodować poważne problemy, kiedy nie ma odpowiednich czynników kontrolnych w tych przypadkach, kiedy jakaś osoba jest odpowiedzialna za:


  • zatwierdzanie wypłat środków i rzeczywiste wypłaty;

  • rachunki klienta i własne;

  • transakcje zarówno w portfelach "bankowym" i "handlowym";

  • nieformalne udzielanie informacji klientom o ich pozycjach, przy jednoczesnym marketingu dla tych samych klientów;

  • ocenianie adekwatności dokumentacji kredytowej i monitorowanie pożyczkobiorcy po udzieleniu pożyczki; oraz

  • wszelkie inne obszary gdzie pojawiają się znaczące konflikty interesów i nie są łagodzone przez inne czynniki.

29. Obszary potencjalnego konfliktu należy zidentyfikować, zminimalizować i poddać starannemu monitorowaniu przez niezależną stronę trzecią. Powinny występować także okresowe przeglądy zakresów odpowiedzialności oraz funkcji kluczowych osób w celu zapewnienia, że nie mogą zatajać niewłaściwych działań.
D. Informacja i jej przekazywanie (komunikacja)
Zasada 7: Skuteczny system kontroli wewnętrznej wymaga posiadania adekwatnych i wszechstronnych wewnętrznych danych finansowych, operacyjnych i dotyczących zgodności, jak również zewnętrznych informacji rynkowych o wydarzeniach i warunkach istotnych przy podejmowaniu decyzji. Informacje powinny być wiarygodne, aktualne, dostępne oraz dostarczane w spójnym formacie.

30. Adekwatne informacje i efektywna komunikacja mają zasadnicze znaczenie dla właściwego funkcjonowania systemu kontroli wewnętrznej. Z perspektywy banku, aby informacje były użyteczne, muszą być adekwatne, wiarygodne, aktualne, dostępne i dostarczane w spójnym formacie. Informacje obejmują wewnętrzne dane finansowe, operacyjne i dotyczące zgodności, jak również zewnętrzne informacje rynkowe o wydarzeniach i warunkach istotnych przy podejmowaniu decyzji. Informacje wewnętrzne stanowią część procesu prowadzenia rejestrów, który powinien obejmować ustalone procedury przechowywania rejestrów.


Zasada 8: Skuteczny system kontroli wewnętrznej wymaga istnienia wiarygodnych systemów informatycznych, obejmujących wszystkie istotne rodzaje działalności banku. Systemy te, łącznie z systemami składowania i wykorzystania danych w postaci elektronicznej, muszą być bezpieczne, niezależnie monitorowane oraz wspierane przez adekwatne rozwiązania awaryjne.

31. Krytycznym elementem działalności banku jest zorganizowanie i utrzymywanie systemów informacji zarządczej obejmujących pełny zakres jego działalności. Te informacje są zazwyczaj przekazywane poprzez środki zarówno elektroniczne jak i nieelektroniczne. Banki w szczególności muszą sobie zdawać sprawę z wymogów organizacyjnych i kontroli wewnętrznej związanych z przetwarzaniem informacji w postaci elektronicznej oraz z konieczności posiadania adekwatnego świadectwa kontroli. Na podejmowanie decyzji przez kierownictwo mogą mieć niekorzystny wpływ informacje niewiarygodne lub fałszywe dostarczane przez źle zaprojektowane i kontrolowane systemy.

32. Elektroniczne systemy informatyczne oraz wykorzystanie technologii informatycznej generują ryzyko, które muszą być skutecznie kontrolowane przez banki aby uniknąć zaburzeń działalności i potencjalnych strat. Ponieważ przetwarzanie transakcji i aplikacje operacyjne rozszerzyły się poza użycie środowiska komputerów centralnych na systemy rozproszone dla funkcji mających krytyczne znaczenie dla działalności, wielkość ryzyka również się zwiększyła. Czynniki kontrolne systemów informatycznych i technologii powinny obejmować zarówno czynniki kontrolne ogólne, jak i aplikacji. Ogólne czynniki kontrolne dotyczą systemów komputerowych (na przykład, komputer centralny, klient/serwer oraz stacje robocze końcowego użytkownika) oraz zapewniają ich ciągłą, właściwą pracę. Ogólne czynniki kontrolne obejmują wewnętrzne procedury tworzenia kopii zapasowych i odzyskiwania, rozwój oprogramowania i zasady nabywania, procedury konserwacji/ pielęgnacji (kontrola zmian) oraz fizyczne/logiczne czynniki kontrolne bezpieczeństwa dostępu. Czynniki kontrolne aplikacji są skomputeryzowanymi krokami w ramach aplikacji programowych i innych procedur manualnych, kontrolującymi przetwarzanie transakcji i działalności biznesowej. Czynniki kontrolne aplikacji obejmują, na przykład, kontrole edycji oraz specjalne czynniki kontrolne dostępu unikalne dla systemu firmy (rodzaju działalności). Bez adekwatnych czynników kontrolnych systemów informatycznych i technologii, obejmujących opracowywane systemy, banki mogłyby doświadczyć utraty danych i programów z powodu nieodpowiednich fizycznych i elektronicznych zabezpieczeń, awarii sprzętu lub systemów oraz nieadekwatnych wewnętrznych procedur tworzenia kopii zapasowych i odzyskiwania.

33. Oprócz powyższych rodzajów ryzyka i czynników kontrolnych, istnieją nieodłączne rodzaje ryzyka związane z utratą lub wydłużonym zaburzeniem usług spowodowanym przez czynniki pozostające poza kontrolą banku. Ponieważ świadczenie usług klientom instytucjonalnym i indywidualnym stanowi kluczowe zagadnienia dotyczące transakcji, strategii i reputacji, w skrajnych przypadkach problemy takie mogą spowodować poważne trudności dla banków, a nawet zagrozić ich zdolności do prowadzenia kluczowych czynności handlowych. Możliwość ta wymaga od banku ustanowienia planów wznowienia działalności i planów awaryjnych z wykorzystaniem alternatywnego urządzenia zewnętrznego, obejmujących odzyskanie systemów o krytycznym znaczeniu, wspierane przez zewnętrznego dostawcę usług. Możliwość utraty lub wydłużonego zaburzenia krytycznych operacji handlowych wymaga wysiłku w skali całej instytucji odnośnie planowania sytuacji awaryjnych, obejmującego kierownictwo firmy i nie skupionego na scentralizowanych operacjach komputerowych. Plany wznowienia działalności muszą być okresowo testowane w celu zapewnienia funkcjonalności planu w przypadku nieoczekiwanej katastrofy.


Zasada 9: Skuteczny system kontroli wewnętrznej wymaga efektywnych kanałów komunikacji w celu zapewnienia, że wszyscy pracownicy w pełni rozumieją i przestrzegają zasady wewnętrzne i procedury wpływające na ich obowiązki i zakres odpowiedzialności, oraz iż inne stosowne informacje docierają do właściwych pracowników.

34. Bez efektywnej komunikacji informacje są bezużyteczne. Zarządy banków powinny ustanowić skuteczne ścieżki komunikacji w celu zapewnienia, że niezbędne informacje docierają do właściwych ludzi. Te informacje wiążą się zarówno z zasadami wewnętrznymi i procedurami operacyjnymi banku jak również informacjami dotyczącymi rzeczywistych wyników operacyjnych instytucji.

35. Struktura organizacyjna banku powinna ułatwiać adekwatny przepływ informacji - w górę, w dół oraz w poprzek instytucji. Struktura ułatwiająca ten przepływ zapewnia, że informacja przepływa w górę, tak by rada i zarząd zdawały sobie sprawę z ryzyka działalności i wyników operacyjnych banku. Informacje przepływające w dół organizacji zapewniają, że zadania, strategie i oczekiwania banku, jak również jego ustalone zasady i procedury, są przekazywane niższym szczeblom kierownictwa i personelu operacyjnego. To przekazywanie ma zasadnicze znaczenie dla osiągnięcia skonsolidowanego wysiłku wszystkich pracowników banku w celu wypełnienia zadań banku. Przekazywanie informacji w poprzek instytucji jest wreszcie konieczne dla zapewnienia, że informacjami znanymi przez jeden wydział lub departament można się podzielić z innymi wydziałami lub departamentami, na które mają wpływ.
E. Czynności monitorowania i korygowanie wad
Zasada 10: Ogólna efektywność wewnętrznych czynników kontrolnych banku powinna być monitorowana w sposób ciągły. Monitorowanie kluczowych rodzajów ryzyka powinno stanowić element codziennej działalności banku jak również okresowych ocen rodzajów działalności oraz rewizji wewnętrznej.

36. Ponieważ bankowość jest dynamicznym, gwałtownie rozwijającym się sektorem, banki muszą ustawicznie monitorować i oceniać swoje systemy kontroli wewnętrznej w świetle zmieniających się warunków wewnętrznych i zewnętrznych i muszą w miarę potrzeby wzbogacać te systemy, aby utrzymać ich efektywność. W złożonych międzynarodowych instytucjach zarząd musi zapewnić, że funkcja monitorowania jest w instytucji właściwie zdefiniowana i posiada właściwą strukturę.

37. Monitorowanie efektywności wewnętrznych czynników kontrolnych może być wykonywane przez pracowników z kilku różnych obszarów, obejmujących samą funkcję rodzaju działalności, kontrolę finansową oraz rewizję wewnętrzną. Z tego powodu jest ważne, by zarząd wyraźnie określił, którzy pracownicy są odpowiedzialni za które funkcje monitorowania. Monitorowanie powinno stanowić część codziennych czynności banku, obejmuje jednak także okresowe oceny ogólnego procesu kontroli wewnętrznej. Częstotliwość monitorowania różnych rodzajów działalności banku powinna być ustalona na podstawie analizy związanych z nimi rodzajów ryzyka oraz na podstawie częstotliwości i charakteru zmian występujących w środowisku operacyjnym.

38. Ustawiczne czynności monitorowania mogą przynosić korzyści szybkiego wykrycia i skorygowania wad systemu kontroli wewnętrznej. Monitorowanie takie jest najbardziej skuteczne, kiedy system kontroli wewnętrznej jest zintegrowany ze środowiskiem operacyjnym i generuje regularne raporty stanowiące podstawę przeglądu. Przykłady ciągłego monitorowania obejmują przegląd i zatwierdzanie zapisów księgowych (w dzienniku) oraz przegląd przez kierownictwo i zatwierdzanie raportów dotyczących wyjątków.

39. W przeciwieństwie do tego, odrębne oceny zazwyczaj wykrywają problemy dopiero po fakcie; jednakże odrębne oceny pozwalają instytucji na świeże, wszechstronne spojrzenie na efektywność systemu kontroli wewnętrznej a konkretnie na efektywność czynności monitorowania. Oceny te mogą być dokonywane przez pracowników z kilku różnych obszarów, obejmujących samą funkcję rodzaju działalności, kontrolę finansową oraz rewizję wewnętrzną. Odrębne oceny systemu kontroli wewnętrznej przybierają często postać samooceny, kiedy osoby odpowiedzialne za szczególną funkcję ustalają efektywność czynników kontrolnych dla swojej działalności. Dokumentacja i wyniki ocen są następnie przeglądane przez zarząd. Wszystkie szczeble przeglądu powinny być adekwatnie udokumentowane i przekazane w sposób bieżący właściwemu szczeblowi kierownictwa.
Zasada 11: Powinna istnieć efektywna i wszechstronna rewizja wewnętrzna systemu kontroli wewnętrznej wykonywana przez niezależnych operacyjnie, właściwie wyszkolo-nych i kompetentnych pracowników. Funkcja rewizji wewnętrznej, jako element monitorowania systemu wewnętrznych czynników kontrolnych, powinna podlegać bezpośrednio radzie lub jej komitetowi rewizji oraz zarządowi.

40. Funkcja rewizji wewnętrznej stanowi ważną część ciągłego monitorowania systemu wewnętrznych czynników kontrolnych, ponieważ zapewnia ona niezależną ocenę adekwatności i przestrzegania ustalonych zasad wewnętrznych i procedur. Krytyczne znaczenie ma niezależność funkcji rewizji wewnętrznej od codziennej działalności banku oraz dostęp rewizji do wszystkich rodzajów działalności prowadzonych przez instytucję bankową, z uwzględnieniem jej oddziałów i podmiotów zależnych.

41. Poprzez bezpośrednie podporządkowanie radzie lub jej komitetowi rewizji oraz zarządowi, rewidenci wewnętrzni dostarczają bezstronnych informacji o działaniach operacyjnych. Ze względu na ważny charakter tej funkcji, rewizja wewnętrzna musi być obsadzona przez kompetentne, dobrze wyszkolone osoby, które jasno rozumieją swoją rolę i zakres odpowiedzialności. Częstotliwość i zakres przeglądu rewizji wewnętrznej oraz testowanie wewnętrznych czynników kontrolnych w banku powinno być spójne z charakterem, złożonością oraz ryzykiem działań instytucji.
42. Ważne jest, by funkcja rewizji wewnętrznej podlegała bezpośrednio najwyższym szczeblom instytucji bankowej, zazwyczaj radzie lub jego komitetowi rewizji oraz zarządowi. Pozwala to na właściwe funkcjonowanie kierowania przedsiębiorstwem poprzez przekazywanie radzie informacji, które w żaden sposób nie są zniekształcone przez szczeble zarządzania, których dotyczą raporty. Rada powinna również wzmocnić niezależność rewidentów wewnętrznych poprzez ustalanie ich wynagrodzenia lub środków planowanych w budżecie, raczej przez radę lub najwyższe szczeble kierownictwa, niż przez kierowników, na których wpływa praca rewidentów wewnętrznych.
Zasada 12: Wady kontroli wewnętrznej, czy to zidentyfikowane przez rodzaje działalności, rewizję wewnętrzną lub inny personel kontrolny, powinny być raportowane na bieżąco właściwemu poziomowi kierownictwa oraz szybko załatwiane. Istotne wady kontroli wewnętrznej powinny być raportowane zarządowi oraz radzie.

43. Wady kontroli wewnętrznej lub nieefektywnie kontrolowane ryzyko powinny być zgłaszane odpowiedniej(im) osobie(om) natychmiast po ich zidentyfikowaniu, przy czym poważne sprawy - zgłaszane zarządowi i radzie. Po zgłoszeniu, ważne jest by zarząd korygował wady na bieżąco. Rewidenci wewnętrzni powinni prowadzić przeglądy kontrolne lub inne odpowiednie formy monitorowania oraz niezwłocznie informować zarząd lub radę o jakichkolwiek nieskorygowanych wadach. Aby zapewnić, że zajęto się na bieżąco wszystkimi wadami, zarząd powinien być odpowiedzialne za ustanowienie systemu śledzenia słabości kontroli wewnętrznej i działań podjętych dla ich naprawy.

44. Rada i zarząd powinny okresowo otrzymywać raporty podsumowujące wszystkie zagadnienia kontroli, które zostały zidentyfikowane. Zagadnienia, które wydają się być nieistotne, kiedy rozpatruje się osobno indywidualne procesy kontrolne, mogą wskazywać na tendencje, które mogłyby, po powiązaniu, stać się znaczącą wadą kontroli, gdyby się do niej nie odniesiono na bieżąco.

  1   2   3


©absta.pl 2016
wyślij wiadomość

    Strona główna