System kontroli wewnętrznej obejmuje wszystkie jednostki organizacyjne Banku i jest dostosowany do charakteru i profilu ryzyka i skali działalności Banku.

Zarząd Banku odpowiada za zaprojektowanie, wprowadzenie oraz zapewnienie we wszystkich jednostkach/komórkach/stanowiskach organizacyjnych Banku, funkcjonowanie adekwatnego i skutecznego systemu kontroli wewnętrznej, który obejmuje funkcję kontroli i komórkę do spraw zgodności.

Rada Nadzorcza sprawuje nadzór nad wprowadzeniem i zapewnieniem funkcjonowania adekwatnego systemu kontroli wewnętrznej oraz odpowiedzialna jest za monitorowanie jego skuteczności.

Funkcjonujący w Banku system zarządzania ryzykiem i system kontroli wewnętrznej są zorganizowane na trzech, niezależnych i wzajemnie uzupełniających się liniach obrony (poziomach).

Na pierwszą linię obrony składa się operacyjne zarządzanie ryzykiem, powstałym w związku z działalnością prowadzoną przez Bank. Komórki pierwszej linii obrony odpowiedzialne są za projektowanie i zapewnienie przestrzegania mechanizmów kontrolnych, w szczególności w procesach biznesowych funkcjonujących w Banku oraz zgodności postępowania z regulacjami.

Na drugą linię obrony składa się zarządzanie przez pracowników na specjalnie powołanych do tego stanowiskach i komórkach organizacyjnych niezależne od operacyjnego zarządzania ryzykiem na pierwszym poziomie. Druga linia obrony odpowiedzialna jest m.in. za monitorowanie bieżące przyjętych mechanizmów kontrolnych, przeprowadzanie pionowych testów mechanizmów kontrolnych, ocenę adekwatności i skuteczności mechanizmów kontrolnych, matryce funkcji kontroli, prowadzenie rejestru nieprawidłowości znaczących i krytycznych oraz raportowanie o tych nieprawidłowościach.

Trzecią linię obrony stanowi audyt wewnętrzny realizowany przez Spółdzielczy System Ochrony SGB. Audyt wewnętrzny odpowiedzialny jest za badanie oraz ocenę adekwatności i skuteczności mechanizmów kontroli i niezależnego monitorowania ich przestrzegania odpowiednio w ramach pierwszej i drugiej linii obrony, zarówno w odniesieniu do systemu zarządzania ryzykiem, jak i systemu kontroli wewnętrznej.

Celem systemu kontroli wewnętrznej Banku jest wspomaganie zarządzania Bankiem, realizacja wyznaczonych celów, w tym usprawnianie realizacji zadań Banku oraz zapewnienie bezpieczeństwa i stabilnego jego funkcjonowania, przyczyniające się w szczególności do zapewnienia:

1. skuteczności i efektywności działania Banku,
2. wiarygodności sprawozdawczości finansowej,
3. przestrzegania zasad zarządzania ryzykiem w Banku,
4. zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.

W ramach systemu kontroli wewnętrznej w Banku wyodrębniona jest:

1. funkcja kontroli, na którą składają się wszystkie mechanizmy kontrolne w procesach funkcjonujących w Banku, niezależne monitorowanie przestrzegania tych mechanizmów kontrolnych oraz raportowanie w ramach funkcji kontroli,
2. komórka do spraw zgodności, której zadaniem jest identyfikacja, ocena, kontrola i monitorowanie ryzyka braku zgodności działalności Banku z przepisami zewnętrznymi, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie,
3. niezależną komórkę audytu wewnętrznego – komórka Spółdzielni Systemu Ochrony SGB wykonująca zadania związane z przeprowadzaniem audytu w Systemie Ochrony.

Na wszystkich poziomach, w ramach systemu zarządzania ryzykiem i systemu kontroli wewnętrznej stosowane są odpowiednie mechanizmy kontrolne lub niezależne monitorowanie ich przestrzegania.

Mechanizmy kontrolne przyjęte w Banku wbudowane są w funkcjonujące procesy, czynności, w codzienną działalność operacyjną Banku. Proces projektowania, zatwierdzania i wprowadzania w Banku mechanizmów kontrolnych jest odpowiednio udokumentowany i umożliwia przypisanie komórkom organizacyjnym odpowiedzialności za realizację zadań w poszczególnych etapach tego procesu.

W Banku zapewniona jest niezależność monitorowania pionowego poprzez jednoznaczne wyodrębnienie linii obrony oraz poziomego poprzez rozdzielenie zadań dotyczących stosowania danego mechanizmu kontrolnego i niezależnego monitorowania jego przestrzegania w ramach danej linii. Za monitorowanie odpowiednio: poziome (weryfikacja bieżąca, testowanie) w ramach danej linii odpowiedzialni są wyznaczeni pracownicy, w tym kierownicy jednostek/komórek organizacyjnych oraz pionowe pierwszej linii obrony przez drugą linię obrony odpowiada komórka do spraw zgodności oraz wyznaczeni pracownicy. Monitorowanie przestrzegania mechanizmów kontrolnych obejmuje weryfikację bieżącą i testowanie w ramach monitorowania pionowego i poziomego z uwzględnieniem:

• celów systemu kontroli wewnętrznej,
• złożoności procesów, w tym zwłaszcza procesów istotnych,
• liczby, rodzaju i stopnia złożoności mechanizmów kontrolnych,
• ryzyka zaistnienia nieprawidłowości,
• zasobów poszczególnych linii obrony, w tym kwalifikacji, doświadczenia i umiejętności pracowników tych linii,
• zasady proporcjonalności.

Podstawowym narzędziem do operacyjnego zarządzania systemem kontroli w Banku jest matryca funkcji kontroli, w której powiązano cele ogólne systemu kontroli wewnętrznej i wyodrębnione w ich ramach cele szczegółowe z procesami istotnymi wraz z wpisanymi w te procesy kluczowymi mechanizmami kontrolnymi i niezależnym monitorowaniem tych mechanizmów.

Bank określił kategorie nieprawidłowości wykrytych przez system kontroli wewnętrznej, biorąc pod uwagę ich negatywny wpływ na zapewnienie osiągania określonych celów systemu kontroli wewnętrznej. Nadanie odpowiedniej kategorii nieprawidłowości stwierdzonej, w ramach niezależnego monitorowania, polega na oszacowaniu poziomu ryzyka związanego z tą nieprawidłowością. W Banku prowadzony jest rejestr wszystkich nieprawidłowości znaczących i krytycznych. Wykryte w ramach pierwszej linii obrony nieprawidłowości znaczące lub krytyczne, są niezwłocznie raportowane do komórki organizacyjnej drugiej linii obrony, odpowiedzialnej za niezależne monitorowanie procesu, w ramach którego zaistniała dana nieprawidłowość znacząca lub krytyczna, a w przypadku nieprawidłowości krytycznych również do Zarządu Banku oraz komórki audytu wewnętrznego. Stwierdzone w ramach drugiej linii obrony nieprawidłowości znaczące lub krytyczne, są niezwłocznie raportowane do Zarządu Banku i Rady Nadzorczej, a w przypadku nieprawidłowości krytycznych również do komórki audytu wewnętrznego.

Zarząd i Rada Nadzorcza otrzymuje w okresach półrocznych informacje o wynikach testowania pionowego i poziomego przestrzegania kluczowych mechanizmów kontrolnych z uwzględnieniem m.in. zestawienia wykrytych nieprawidłowości znaczących i krytycznych oraz informacji dotyczących efektów działań podjętych w celu usunięcia tych nieprawidłowości.

Zgodnie z Umową Systemu Ochrony komórka audytu wewnętrznego przygotowuje syntetyczną informację o najistotniejszych nieprawidłowościach, stwierdzanych w trakcie audytów wewnętrznych i w okresach półrocznych przekazuje do Banku. Bank wykorzystuje ww. informacje w celu poprawy jakości wykonywanych usług i obniżenia poziomu ryzyka prowadzonej działalności.

Rada Nadzorcza dokonuje corocznej oceny adekwatności i skuteczności systemu kontroli wewnętrznej, w tym funkcji kontroli, komórki do spraw zgodności oraz wyników audytu przeprowadzonego przez komórkę audytu wewnętrznego. Dokonując oceny, Rada Nadzorczej bierze pod uwagę informacje przekazane przez Zarząd o sposobie wypełniania zadań przez pracowników Banku w ramach funkcji kontroli oraz komórki do spraw zgodności ze szczególnym uwzględnieniem:

• adekwatności i skuteczności systemu kontroli wewnętrznej w zapewnieniu osiągania każdego z celów systemu kontroli wewnętrznej,
• skali i charakterze nieprawidłowości znaczących i krytycznych oraz najważniejszych działań zmierzających do usunięcia tych nieprawidłowości, w tym o podjętych środkach naprawczych i dyscyplinujących,
• zapewnienia niezależności komórce do spraw zgodności,
• zapewnienia środków finansowych niezbędnych do skutecznego wykonywania przez pracowników komórki zgodności oraz do systematycznego podnoszenia kwalifikacji oraz zdobywania doświadczenia i umiejętności przez pracowników tej komórki.