System kontroli wewnętrznej w Banku Spółdzielczym w Grudusku obejmuje wszystkie jednostki organizacyjne Banku i jest dostosowany do charakteru i profilu ryzyka i skali działalności Banku.

Zarząd Banku odpowiada za zaprojektowanie, wprowadzenie oraz zapewnienie we wszystkich jednostkach/komórkach/stanowiskach organizacyjnych Banku, funkcjonowanie adekwatnego i skutecznego systemu kontroli wewnętrznej, który obejmuje funkcję kontroli i komórkę do spraw zgodności.

Rada Nadzorcza sprawuje nadzór nad wprowadzeniem i zapewnieniem funkcjonowania adekwatnego systemu kontroli wewnętrznej oraz odpowiedzialna jest za monitorowanie jego skuteczności.

Funkcjonujący w Banku system zarządzania ryzykiem i system kontroli wewnętrznej są zorganizowane na trzech, niezależnych i wzajemnie uzupełniających się liniach obrony (poziomach).

Na pierwszą linię obrony składa się operacyjne zarządzanie ryzykiem powstałym w związku z działalnością prowadzoną przez Bank. Pierwsza linia obrony odpowiedzialna jest m.in. za zapewnienie zgodności wykonywanych czynności z procedurami wewnętrznymi, a także bieżące reagowanie na stwierdzone nieprawidłowości oraz monitorowanie mechanizmów kontrolnych, w szczególności w procesach biznesowych funkcjonujących w Banku.

Na drugą linię obrony składa się stanowisko ds. kontroli wewnętrznej i monitoringu, stanowisko do spraw ryzyk bankowych wykonujące zadania komórki do spraw zgodności, niezależnie od operacyjnego zarządzania ryzykiem na pierwszym poziomie oraz koordynator w procesie zapobiegania praniu pieniędzy i finansowaniu terroryzmu. Druga linia obrony odpowiedzialna jest w szczególności za: monitorowanie bieżące przyjętych mechanizmów kontrolnych(limity, wskaźniki), przeprowadzanie poziomych testów przestrzegania mechanizmów kontrolnych w ramach II linii obrony, przeprowadzanie pionowych testów mechanizmów kontrolnych, ocenę adekwatności i skuteczności mechanizmów kontrolnych, administrowanie matrycą funkcji kontroli, prowadzenie rejestru nieprawidłowości znaczących i krytycznych, raportowanie nieprawidłowości znaczących i krytycznych.

Trzecią linię obrony stanowi audyt wewnętrzny realizowany przez Spółdzielczy System Ochrony SGB. Trzecia linia obrony odpowiedzialna jest za badanie oraz ocenę adekwatności i skuteczności mechanizmów kontroli i niezależnego monitorowania ich przestrzegania odpowiednio w ramach pierwszej i drugiej linii obrony, zarówno w odniesieniu do systemu zarządzania ryzykiem, jak i systemu kontroli wewnętrznej.

Celem systemu kontroli wewnętrznej Banku jest wspomaganie zarządzania Bankiem, realizacja wyznaczonych celów, w tym usprawnianie realizacji zadań Banku oraz zapewnienie bezpieczeństwa i stabilnego jego funkcjonowania, przyczyniające się w szczególności do zapewnienia:

1. skuteczności i efektywności działania Banku,

2. wiarygodności sprawozdawczości finansowej,

3. przestrzegania zasad zarządzania ryzykiem w Banku,

4. zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi. 

Na wszystkich poziomach, w ramach systemu zarządzania ryzykiem i systemu kontroli wewnętrznej stosowane są odpowiednie mechanizmy kontrolne lub niezależne monitorowanie ich przestrzegania.

Mechanizmy kontrolne przyjęte w Banku wbudowane są w funkcjonujące procesy, czynności, w codzienną działalność operacyjną Banku. Proces projektowania, zatwierdzania i wprowadzania w Banku mechanizmów kontrolnych jest odpowiednio udokumentowany i umożliwia przypisanie komórkom organizacyjnym odpowiedzialności za realizację zadań w poszczególnych etapach tego procesu.

W Banku zapewniona jest niezależność monitorowania pionowego poprzez jednoznaczne wyodrębnienie linii obrony oraz poziomego poprzez rozdzielenie zadań dotyczących stosowania danego mechanizmu kontrolnego i niezależnego monitorowania jego przestrzegania w ramach danej linii. Za monitorowanie odpowiednio: poziome (weryfikacja bieżąca, testowanie) w ramach danej linii odpowiedzialni są wyznaczeni pracownicy, w tym kierownicy jednostek/komórek organizacyjnych oraz pionowe pierwszej linii obrony przez drugą linię obrony odpowiada stanowisko ds. kontroli wewnętrznej i monitoringu, komórka do spraw zgodności, oraz koordynator przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (w zakresie prania pieniędzy). Monitorowanie przestrzegania mechanizmów kontrolnych obejmuje weryfikację bieżącą i testowanie w ramach monitorowania pionowego i poziomego z uwzględnieniem:

• celów systemu kontroli wewnętrznej,

• złożoności procesów, w tym zwłaszcza procesów istotnych,

• liczby, rodzaju i stopnia złożoności mechanizmów kontrolnych,

• ryzyka zaistnienia nieprawidłowości, − zasobów poszczególnych linii obrony, w tym kwalifikacji, doświadczenia i umiejętności pracowników tych linii, 

• zasady proporcjonalności. 

Podstawowym narzędziem do operacyjnego zarządzania systemem kontroli w Banku jest matryca funkcji kontroli, w której powiązano cele ogólne systemu kontroli wewnętrznej i wyodrębnione w ich ramach cele szczegółowe z procesami istotnymi wraz z wpisanymi w te procesy kluczowymi mechanizmami kontrolnymi i niezależnym monitorowaniem tych mechanizmów.

Bank określił kategorie nieprawidłowości wykrytych przez system kontroli wewnętrznej, biorąc pod uwagę ich negatywny wpływ na zapewnienie osiągania określonych celów systemu kontroli wewnętrznej. Nadanie odpowiedniej kategorii nieprawidłowości stwierdzonej, w ramach niezależnego monitorowania, polega na oszacowaniu poziomu ryzyka związanego z tą nieprawidłowością. W Banku prowadzony jest rejestr wszystkich nieprawidłowości znaczących i krytycznych. Wykryte w ramach pierwszej linii obrony nieprawidłowości znaczące lub krytyczne, są niezwłocznie raportowane do komórki organizacyjnej drugiej linii obrony, odpowiedzialnej za niezależne monitorowanie procesu, w ramach którego zaistniała dana nieprawidłowość znacząca lub krytyczna, a w przypadku nieprawidłowości krytycznych również do Zarządu Banku oraz komórki audytu wewnętrznego. Stwierdzone w ramach drugiej linii obrony nieprawidłowości znaczące lub krytyczne, są niezwłocznie raportowane do Zarządu Banku i Rady Nadzorczej, a w przypadku nieprawidłowości krytycznych również do komórki audytu wewnętrznego.

Zarząd i Rada Nadzorcza otrzymuje w okresach półrocznych informacje o wynikach testowania pionowego i poziomego przestrzegania kluczowych mechanizmów kontrolnych z uwzględnieniem m.in. zestawienia wykrytych nieprawidłowości znaczących i krytycznych oraz informacji dotyczących efektów działań podjętych w celu usunięcia tych nieprawidłowości.

Zgodnie z Umową Systemu Ochrony komórka audytu wewnętrznego przygotowuje syntetyczną informację o najistotniejszych nieprawidłowościach, stwierdzanych w trakcie audytów wewnętrznych i w okresach półrocznych przekazuje do Banku. Bank wykorzystuje ww. informacje w celu poprawy jakości wykonywanych usług i obniżenia poziomu ryzyka prowadzonej działalności.

Rada Nadzorcza dokonuje corocznej oceny adekwatności i skuteczności systemu kontroli wewnętrznej, w tym funkcji kontroli, komórki do spraw zgodności oraz wyników audytu przeprowadzonego przez komórkę audytu wewnętrznego. Dokonując oceny, Rada Nadzorcza bierze pod uwagę informacje przekazane przez Zarząd o sposobie wypełniania zadań przez pracowników Banku w ramach funkcji kontroli oraz komórki do spraw zgodności ze szczególnym uwzględnieniem:

• adekwatności i skuteczności systemu kontroli wewnętrznej w zapewnieniu osiągania każdego z celów systemu kontroli wewnętrznej,

• skali i charakterze nieprawidłowości znaczących i krytycznych oraz najważniejszych działań zmierzających do usunięcia tych nieprawidłowości, w tym o podjętych środkach naprawczych i dyscyplinujących,

• zapewnienia niezależności komórce do spraw zgodności,

• zapewnienia środków finansowych niezbędnych do skutecznego wykonywania przez pracownika komórki zgodności oraz do systematycznego podnoszenia kwalifikacji oraz zdobywania doświadczenia i umiejętności przez pracownika tej komórki.