Audytor i kontrola wewnętrzna

Zgodnie z treścią uchwały Rady Nadzorczej w sprawie polityki wyboru firmy audytorskiej do przeprowadzania badania sprawozdań finansowych PKO Banku Polskiego i Grupy Kapitałowej, Bank stosuje następującą politykę:

1. Maksymalny czas nieprzerwanego trwania zleceń badań ustawowych przeprowadzanych przez tę samą firmę audytorską lub firmę audytorską powiązaną z tą firmą audytorską lub jakiegokolwiek członka sieci działającej na terenie Unii Europejskiej, do której należą te firmy audytorskie, wynosi 10 lat obrotowych objętych badaniem. Maksymalny czas nieprzerwanego trwania zleceń, o którym mowa w zdaniu poprzedzającym, może ulec przedłużeniu o dwa lata, do maksymalnie 12 lat obrotowych objętym badaniem, na podstawie zgody Komisji Nadzoru Finansowego w przypadku równoczesnego zatrudnienia więcej niż jednej firmy audytorskiej w formule audytu wspólnego, pod warunkiem, że wynikiem badania ustawowego jest wspólne sprawozdanie z badania.
2. Umowę na badanie sprawozdań finansowych zawiera się na okres objęty badaniem nie krótszy niż 2 lata obrotowe, a maksymalnie na okres 3 lat obrotowych, z możliwością przedłużenia na kolejny okres objęty badaniem, wynoszący co najmniej dwa lata obrotowe.
3. Po upływie maksymalnego czasu nieprzerwanego trwania zleceń, o którym mowa w ust. 1, firma audytorska może ponownie wykonywać czynności badania ustawowego sprawozdań finansowych po upływie co najmniej 4 lat od zakończenia poprzedniego badania sprawozdań finansowych Banku oraz Grupy Kapitałowej Banku.
4. Kluczowy biegły rewident nie może przeprowadzać badania ustawowego sprawozdań finansowych za okres dłuższy niż 5 lat obrotowych objętych badaniem.
5. Kluczowy biegły rewident może ponownie przeprowadzać badanie ustawowe sprawozdań finansowych po upływie co najmniej 3 lat od zakończenia ostatniego badania ustawowego sprawozdań finansowych Banku oraz Grupy Kapitałowej Banku.

W Banku funkcjonuje system kontroli wewnętrznej, który jest elementem systemu zarządzania Bankiem. Za zaprojektowanie, wprowadzenie i funkcjonowanie adekwatnego i skutecznego systemu kontroli wewnętrznej odpowiada Zarząd Banku. Rada Nadzorcza sprawuje nadzór nad wprowadzeniem i funkcjonowaniem adekwatnego i skutecznego systemu kontroli wewnętrznej oraz ocenia jego adekwatność i skuteczność, w tym adekwatność i skuteczność funkcji kontroli, komórki do spraw zgodności oraz komórki audytu wewnętrznego. Ocena systemu kontroli wewnętrznej dokonywana jest na podstawie określonych kryteriów i z uwzględnieniem informacji przekazywanych przez Zarząd Banku, Komitet Audytu Rady Nadzorczej, komórkę do spraw zgodności i komórkę audytu wewnętrznego, ustaleń dokonanych przez biegłego rewidenta i wynikających z czynności nadzorczych uprawnionych instytucji oraz innych informacji i dokumentów istotnych z punktu widzenia adekwatności i efektywności systemu kontroli wewnętrznej. Radę Nadzorczą Banku wspiera w tym zakresie Komitet Audytu Rady Nadzorczej, który odpowiedzialny jest w szczególności za monitorowanie skuteczności systemu kontroli wewnętrznej.

Celem systemu kontroli wewnętrznej jest zapewnienie:

• przestrzegania zasad zarządzania ryzykiem w Banku,
• skuteczności i efektywności działania Banku,
• wiarygodności sprawozdawczości finansowej,
• zgodności działania Banku z powszechnie obowiązującymi przepisami prawa, przepisami wewnętrznymi Banku, rekomendacjami nadzorczymi oraz przyjętymi przez Bank standardami rynkowymi.

System kontroli wewnętrznej zorganizowany jest w Banku na trzech niezależnych od siebie poziomach:

1) pierwszy poziom tworzą struktury organizacyjne Banku realizujące działalność operacyjną, w szczególności: sprzedaż produktów i obsługę klientów oraz inne struktury organizacyjne Banku realizujące zadania operacyjne generujące ryzyko, funkcjonujące na podstawie odrębnych przepisów wewnętrznych Banku,

2) drugi poziom obejmuje działalność:

• komórki do spraw zgodności,
• wyspecjalizowanych struktur organizacyjnych Banku odpowiedzialnych za identyfikację, pomiar, kontrolę, monitorowanie i raportowanie poszczególnych rodzajów ryzyka, a także zagrożeń i nieprawidłowości, w celu zapewnienia aby działania realizowane na pierwszym poziomie były właściwie zaprojektowane, a struktury drugiego poziomu skutecznie zarządzały ryzykiem oraz wspierały efektywność działalności Banku,

3) trzeci poziom stanowi działalność komórki audytu wewnętrznego realizującej niezależne audyty elementów systemu zarządzania Bankiem, w tym systemu zarządzania ryzykiem oraz systemu kontroli wewnętrznej.

Niezależność ww. poziomów polega na organizacyjnej odrębności:

• drugiego poziomu w zakresie tworzenia rozwiązań systemowych od pierwszego poziomu,
• trzeciego poziomu od pierwszego i drugiego poziomu.

W ramach systemu kontroli wewnętrznej Bank wyodrębnia:

• funkcję kontroli,
• komórkę do spraw zgodności – Departament Zgodności,
• komórkę audytu wewnętrznego – Departament Audytu Wewnętrznego.

Funkcja kontroli zapewnia przestrzeganie mechanizmów kontrolnych dotyczących w szczególności zarządzania ryzykiem w Banku i obejmuje wszystkie jednostki Banku oraz usytuowane w nich stanowiska organizacyjne, odpowiedzialne za realizację zadań przypisanych tej funkcji.

Na funkcję kontroli składają się:

• mechanizmy kontrolne,
• niezależne monitorowanie przestrzegania mechanizmów kontrolnych,
• raportowanie w ramach funkcji kontroli.

Bank wyodrębnia, a następnie Zarząd zatwierdza procesy istotne mające istotne znaczenie dla realizacji celów systemu kontroli wewnętrznej i celów biznesowych Banku oraz zapewnia dokonywanie okresowych przeglądów procesów funkcjonujących w Banku, pod kątem ich istotności.

W procesy funkcjonujące w Banku i wspierające je systemy lub aplikacje wbudowane są mechanizmy kontrolne. Mechanizmy kontrolne dostosowane są do celów systemu kontroli wewnętrznej powiązanych z funkcjonującymi w Banku procesami, stopnia złożoności procesów, ryzyka zaistnienia nieprawidłowości oraz specyfiki prowadzonej przez Bank działalności, przy uwzględnieniu dostępnych zasobów Banku. Mechanizmy te podlegają niezależnemu monitorowaniu ich przestrzegania na wszystkich poziomach systemu kontroli wewnętrznej. Niezależne monitorowanie przestrzegania mechanizmów kontrolnych na ww. poziomach, realizowane jest jako:

• poziome - wykonywane przez jednostkę Banku w tej jednostce albo w innej jednostce na tym samym poziomie,
• pionowe - wykonywane przez jednostki Banku drugiego poziomu, względem jednostek pierwszego poziomu.

Jednostki Banku są odpowiedzialne za realizowanie określonych czynności związanych z monitorowaniem poziomym lub pionowym, w zakresie wynikającym z ich zadań i kompetencji. Niezależne monitorowanie obejmuje weryfikację bieżącą lub testowanie mechanizmów kontrolnych.

Komórka do spraw zgodności jest wyodrębnioną organizacyjnie, niezależną komórką pełniącą kluczową rolę w zakresie zapewnienia zgodności i zarządzania ryzykiem braku zgodności rozumianym jako ryzyko poniesienia sankcji prawnych, powstania strat finansowych, bądź utraty reputacji wskutek niezastosowania się Banku, pracowników Banku lub podmiotów działających w jego imieniu do powszechnie obowiązujących przepisów prawa, przepisów wewnętrznych Banku oraz przyjętych przez Bank standardów rynkowych.

Celem komórki do spraw zgodności jest kształtowanie rozwiązań w zakresie zapewnienia zgodności i zarządzania ryzykiem braku zgodności oraz identyfikacja, ocena, kontrola, monitorowanie oraz raportowanie tego ryzyka w Banku.

Audyt wewnętrzny stanowi niezależną i obiektywną działalność o charakterze zapewniającym i doradczym polegającą na systematycznej i dokonywanej w uporządkowany sposób ocenie poszczególnych obszarów działania Banku oraz wskazywaniu kierunków działań wpływających na podniesienie jakości i efektywności funkcjonowania Banku.

Celem komórki audytu jest:

1. w ramach działalności zapewniającej - dokonywanie oceny adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w ramach pierwszego i drugiego poziomu systemu kontroli wewnętrznej z uwzględnieniem adekwatności i efektywności wybranych do audytu mechanizmów kontroli ryzyka i mechanizmów kontrolnych,
2. w ramach działalności doradczej - przysporzenie wartości i usprawnienie procesów w Banku.

W Banku funkcjonują mechanizmy zapewniające niezależność komórki do spraw zgodności i komórki audytu wewnętrznego:

1. zatwierdzenie przez Zarząd i Radę Nadzorczą Karty Audytu oraz zasad zapewnienia zgodności i zarządzania ryzykiem braku zgodności,
2. podległość komórki do spraw zgodności Prezesowi Zarządu,
3. podległość funkcjonalna komórki audytu wewnętrznego Komitetowi Audytu Rady Nadzorczej oraz administracyjna Prezesowi Zarządu,
4. niepodleganie komórki audytu wewnętrznego, jako trzeciego poziomu, niezależnemu monitorowaniu ze strony jednostek organizacyjnych Banku usytuowanych w ramach drugiego poziomu systemu kontroli wewnętrznej,
5. zapewnienie dyrektorom wyżej wymienionych komórek bezpośredniego kontaktu z członkami Zarządu i Rady Nadzorczej,
6. uczestniczenie dyrektorów wyżej wymienionych komórek w posiedzeniach Zarządu,
7. uczestniczenie dyrektorów wyżej wymienionych komórek w posiedzeniach Rady Nadzorczej oraz odpowiednich Komitetów, w przypadku gdy przedmiotem ich posiedzenia są zagadnienia związane z systemem kontroli wewnętrznej lub zarządzaniem ryzykiem,
8. powoływanie i odwoływanie dyrektora komórki audytu wewnętrznego oraz dyrektora komórki do spraw zgodności wymaga uprzedniej akceptacji Rady Nadzorczej,
9. zatwierdzanie wysokości wynagrodzenia dyrektora komórki audytu wewnętrznego odpowiednio przez Radę Nadzorczą lub właściwy jej komitet,
10. zatwierdzanie wysokości wynagrodzenia (w tym premii) dyrektora komórki do spraw zgodności przez Komitet Audytu Rady Nadzorczej przy uwzględnieniu zasady, iż wynagrodzenie to nie może odbiegać od wynagrodzenia innych osób pełniących kluczowe funkcje w Banku i nie powinno być bezpośrednio uzależnione od wyników finansowych Banku,
11. informowanie KNF o zmianach na stanowisku dyrektorów wyżej wymienionych komórek wraz ze wskazaniem przyczyny zmiany,
12. zapewnienie pracownikom wyżej wymienionych komórek dostępu do wszelkich niezbędnych informacji (w tym poufnych i wrażliwych), pomieszczeń oraz systemów informatycznych (bez możliwości ingerencji w zasoby systemu), jak również komunikacji z pracownikami Banku, w zakresie, w którym uznają to za konieczne do wykonywania zadań,
13. nieuczestniczenie pracowników wyżej wymienionych komórek w realizacji bieżących zadań biznesowych,
14. zapewnianie rozwiązań w zakresie kontroli wynagrodzeń pracowników wyżej wymienionych komórek gwarantujących niezależność i obiektywizm wypełniania przez nich zadań oraz umożliwiających zatrudnianie osób o odpowiednich kwalifikacjach, doświadczeniu i umiejętnościach,
15. ochrona pracowników wyżej wymienionych komórek przed nieuzasadnionym wypowiedzeniem stosunku pracy,
16. organizacyjne wyodrębnienie wyżej wymienionych komórek oraz brak możliwości wykonywania przez pracowników tych komórek innych obowiązków niż im przypisane,
17. zapewnienie środków finansowych niezbędnych do skutecznego wykonywania zadań oraz systematycznego podnoszenia umiejętności i kwalifikacji przez pracowników wyżej wymienionych komórek.

Informacje dotyczące nieprawidłowości, wyniki ocen oraz inne istotne kwestie identyfikowane przez poszczególne elementy systemu kontroli wewnętrznej przedstawiane są w okresowych raportach przeznaczonych dla Zarządu, Komitetu Audytu Rady Nadzorczej, Komitetu ds. Ryzyka Rady Nadzorczej lub Rady Nadzorczej.

W podmiotach Grupy Kapitałowej Banku funkcjonują systemy kontroli wewnętrznej, dostosowane do specyfiki i charakteru prowadzonej przez te podmioty działalności. Podmioty te tworzą i wprowadzają regulacje wewnętrzne, w których określają w szczególności zadania dotyczące czynności kontrolnych realizowanych w ramach systemu kontroli wewnętrznej i podział odpowiedzialności za te zadania. Sposób funkcjonowania systemów kontroli wewnętrznej w spółkach uzależniony jest od wielkości i przedmiotu działalności podmiotów wchodzących w skład Grupy Kapitałowej Banku. W większości podmiotów istnieją wyodrębnione jednostki organizacyjne lub stanowiska sprawujące te funkcje, raportujące bezpośrednio do Zarządu danego podmiotu lub do Rady Nadzorczej. W przypadkach uzasadnionych profilem działalności podmiotu oraz jego strukturą organizacyjną (niewielkie podmioty z ograniczonym spektrum działania), czynności kontrolne wykonywane są przez osoby zarządzające, bez wyodrębnienia strukturalnego funkcji lub komórki kontroli wewnętrznej. W Banku uwzględnia się rolę podmiotów Grupy Kapitałowej Banku w identyfikacji procesów istotnych, pod kątem ich wpływu na zapewnianie osiągania celów systemu kontroli wewnętrznej Banku.

System kontroli wewnętrznej w PKO Banku Polskim S.A. obejmuje m.in. proces sporządzania sprawozdań finansowych, w celu zapewnienia skutecznych i rzetelnych działań, wiarygodności prezentowanych ujawnień oraz przestrzegania przepisów prawa, regulacji wewnętrznych oraz dobrych praktyk i standardów rynkowych. Na wszystkich poziomach systemu kontroli wewnętrznej pracownicy Banku stosują mechanizmy kontrolne wbudowane w procesy i systemy oraz aplikacje informatyczne wspierające realizację tych procesów. Mechanizmy te podlegają niezależnemu monitorowaniu na wszystkich poziomach systemu kontroli wewnętrznej, które obejmuje testowanie lub weryfikację bieżącą.

W procesie sporządzania sprawozdań finansowych, który jest procesem istotnym z punktu widzenia realizacji celów systemu kontroli wewnętrznej i celów biznesowych Banku, funkcjonują mechanizmy kontrolne, których przestrzeganie jest niezależnie monitorowane z częstotliwością i w zakresie określonym w matrycy funkcji kontroli dla tego procesu.

Podstawą sporządzenia skonsolidowanego sprawozdania finansowego Grupy Kapitałowej PKO Banku Polskiego S.A. jest sprawozdanie finansowe podmiotu dominującego - PKO Banku Polskiego S.A oraz informacje finansowe spółek kapitałowych i funduszy inwestycyjnych objętych konsolidacją (tzw. pakiety konsolidacyjne), uzupełnione o dodatkowe dane i ujawnienia niezbędne w procesie konsolidacji, przekazywane przez te spółki i fundusze oraz jednostki Banku biorące udział w procesie sporządzania skonsolidowanego sprawozdania finansowego.

Podstawą sporządzenia sprawozdania finansowego PKO Banku Polskiego S.A. są księgi rachunkowe Banku. Wykorzystywane są również dane źródłowe z hurtowni danych. Proces przygotowania danych finansowych na potrzeby sprawozdawczości jest zautomatyzowany, a przygotowanie danych podlega procedurom operacyjnym i akceptacyjnym. Mechanizmy kontrolne funkcjonujące w procesie sporządzania sprawozdania finansowego polegają na weryfikacji i rekoncyliacji danych sprawozdawczych z księgami rachunkowymi oraz innymi dokumentami, które są podstawą sporządzenia sprawozdania, a także z obowiązującymi przepisami w zakresie polityk rachunkowości i sporządzania sprawozdań finansowych.

Proces sporządzania sprawozdań finansowych jest cyklicznie poddawany wielostopniowej weryfikacji (w szczególności w zakresie poprawności uzgodnień rachunkowych, analizy merytorycznej i rzetelności informacji), a sprawozdania – wielostopniowemu zatwierdzeniu. W proces przetwarzania danych finansowych na potrzeby sprawozdawczości wbudowano mechanizmy kontrolne, które obejmują weryfikację poprawności i rzetelności prezentowanych danych. Szczególną weryfikacją objęte są korekty manualne, w tym również wynikające z decyzji zarządczych.

Pracownicy Banku na bieżąco monitorują zmiany w przepisach zewnętrznych dotyczących sprawozdawczości, analizują standardy rynkowe i stosują dobre praktyki, a w przypadku takiej potrzeby aktualizują przepisy wewnętrzne oraz implementują zmiany w systemach wspomagających proces sprawozdawczy.

W procesie sporządzania sprawozdań finansowych wykorzystywane są aplikacje sprawozdawcze zarówno dla celów przygotowania sprawozdania finansowego Banku jak i przeprowadzenia procesu konsolidacji i sporządzenia skonsolidowanych sprawozdań finansowych. Systemy informatyczne wykorzystywane do sporządzania sprawozdawczości spełniają wymogi cyberbezpieczeństwa.

Roczne i półroczne sprawozdania finansowe oraz kwartalne raporty okresowe (składające się z komentarza Zarządu oraz skonsolidowanego sprawozdania finansowego Grupy Kapitałowej PKO Banku Polskiego S.A. wraz ze skróconym sprawozdaniem finansowym PKO Banku Polskiego S.A.):

• podlegają przeglądowi przez Komitet Audytu Rady Nadzorczej i Radę Nadzorczą (w przypadku rocznego sprawozdania finansowego Banku i Grupy opinia Rady Nadzorczej jest wydawana w formie uchwały),
• przedkładane są Zarządowi PKO Banku Polskiego S.A., który po wstępnej akceptacji przekazuje je Komitetowi Audytu Rady Nadzorczej i Radzie Nadzorczej,
• są ostatecznie akceptowane do publikacji przez Zarząd Banku.

Sprawozdania opatrzone są kwalifikowanym podpisem elektronicznym przez wszystkich członków Zarządu.

Roczne i półroczne sprawozdania finansowe, zgodnie z powszechnie obowiązującymi przepisami prawa, podlegają odpowiednio badaniu i przeglądowi przez niezależną firmę audytorską.

Rada Nadzorcza dokonuje corocznej oceny rocznego skonsolidowanego sprawozdania finansowego Grupy Kapitałowej Banku, rocznego sprawozdania finansowego Banku oraz sprawozdania Zarządu z działalności Grupy Kapitałowej Banku, sporządzonego łącznie ze sprawozdaniem Zarządu z działalności Banku, w zakresie ich zgodności z księgami, dokumentami oraz ze stanem faktycznym, zgodnie z art. 382 §3 Kodeksu spółek handlowych.