Audyt wewnętrzny i zewnętrzny oraz polityka zapewnienia zgodności

Funkcjonujący w Banku system kontroli wewnętrznej zorganizowany jest w ramach tzw. trzech niezależnych linii obrony, na które składają się:

• I linia – jednostki operacyjne Banku nienależące do II i III linii obrony,
• II linia – Departament Zapewnienia Zgodności oraz pozostałe jednostki zarządzające poszczególnymi rodzajami ryzyk,
• III linia – Departament Audytu Wewnętrznego.

System kontroli wewnętrznej swym zakresem obejmuje wszystkie jednostki organizacyjne Banku oraz spółki zależne należące do grupy kapitałowej.

Głównymi celami systemu kontroli wewnętrznej są zapewnienie:

• skuteczności i efektywności działania Banku,
• wiarygodności sprawozdawczości finansowej (w tym: kompletności, prawidłowości i kompleksowości procedur administracyjnych i księgowych oraz prawidłowego i rzetelnego raportowania wewnętrznego i zewnętrznego),
• przestrzegania zasad zarządzania ryzykiem w Banku,
• zgodności działania Banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi.

Na podstawie opracowanych kryteriów wyboru, Bank wyselekcjonował procesy istotne, a następnie powiązał je z celami ogólnymi i szczegółowymi systemu kontroli wewnętrznej. Dla procesów istotnych Bank wyodrębnił mechanizmy kontrolne funkcjonujące w ramach tych procesów oraz wyselekcjonował z nich mechanizmy kontrolne o kluczowym znaczeniu dla osiągnięcia celów systemu kontroli wewnętrznej przypisanych do danego procesu. Kluczowe mechanizmy kontrolne zostały objęte monitorowaniem ich przestrzegania, wykonywanym niezależnie przez jednostki organizacyjne należące do I i II linii obrony systemu kontroli wewnętrznej.

Powiązanie celów ogólnych systemu kontroli wewnętrznej oraz wyodrębnionych w ich ramach celów szczegółowych z procesami istotnymi funkcjonującymi w Banku oraz kluczowymi mechanizmami kontrolnymi i zasadami niezależnego monitorowania ich przestrzegania, dokumentowane jest w formie Matrycy Funkcji Kontroli. Bank w Matrycy określił także odpowiedzialność poszczególnych jednostek organizacyjnych za stosowanie mechanizmów kontrolnych, jak i ich niezależne monitorowanie.

W Banku funkcjonuje sformalizowana ścieżka raportowania o wynikach monitorowań mechanizmów kontrolnych, stwierdzonych nieprawidłowościach oraz statusie realizacji środków naprawczych i dyscyplinujących. Okresowo informacje te przekazywane są także Departamentowi Audytu Wewnętrznego, Zarządowi Banku oraz Komitetowi Audytu Rady Nadzorczej.

Za zapewnienie wdrożenia i funkcjonowania adekwatnego, efektywnego i skutecznego systemu kontroli wewnętrznej odpowiada Zarząd Banku.

Rada Nadzorcza Banku sprawuje nadzór i dokonuje corocznej oceny wprowadzenia i zapewnienia adekwatnego, i skutecznego systemu kontroli wewnętrznej, w całości jak i jego części (w tym funkcji kontroli, Departamentu Zapewnienia Zgodności, Departamentu Audytu Wewnętrznego).

Departament Audytu Wewnętrznego jest w ramach systemu kontroli wewnętrznej, wyspecjalizowaną jednostką III linii obrony, która dokonuje niezależnego przeglądu procesów i kontroli wewnętrznej w Banku oraz grupie kapitałowej, weryfikując realizację zadań przypisanych  do I oraz II linii obrony.

Celem prowadzonych działań jest dostarczenie kierownictwu Banku oceny skuteczności i adekwatności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz przysporzenie wartości i usprawnienie procesów w Banku i grupie kapitałowej. W realizacji swej misji, Audyt Wewnętrzny uwzględnia strategiczne cele i zadania organizacji określone przez Zarząd i Radę Nadzorczą Banku. Proces audytu wykonywany jest według Karty Audytu oraz Metodyki Audytu Wewnętrznego, promujących międzynarodowe standardy audytu wewnętrznego i dobre praktyki sztuki bankowej.

Departament Audytu Wewnętrznego jest jednostką niezależną, podlegającą bezpośrednio Prezesowi Zarządu Banku, a wyniki swych działań raportuje Zarządowi, Komitetowi Audytu Rady Nadzorczej oraz Radzie Nadzorczej Banku.

Działalność Audytu Wewnętrznego jest działalnością planową, ciągłą, wynikającą z realizacji misji i celów oraz przyjętej Strategii Departamentu, opartą na rocznym planie audytu. Podstawę procesu planowania stanowi ocena ryzyka poszczególnych obszarów i procesów Banku, służąca identyfikacji podwyższonego ryzyka i wspomagająca określanie priorytetów oraz zasobów do realizacji zadań. Proces planowania uwzględnia konsultacje z kierownictwem wyższego szczebla oraz właścicielami kluczowych procesów. Roczny plan audytu, zatwierdzany przez Radę Nadzorczą Banku, jest realizowany w podziale kwartalnym przez doświadczonych i wykwalifikowanych profesjonalistów.

Audyt wewnętrzny wykonuje niezależną i obiektywną działalność zapewniającą i doradczą. Działalność zapewniająca jest realizowana w ramach audytów procesu, funkcji niezależnego przeglądu, audytów placówek, audytów prewencyjnych oraz postępowań wyjaśniających. Działalność zapewniająca obejmuje dokonywanie oceny adekwatności i skuteczności systemu zarządzania ryzykiem oraz systemu kontroli wewnętrznej we wszystkich obszarach aktywności bankowej. Usługi doradcze mają na celu wspieranie organizacji w realizacji jej celów i świadczone są, o ile ich charakter nie zagraża niezależności, efektywności i obiektywizmowi działalności zapewniającej audytu wewnętrznego, ani też nie jest związany z projektowaniem mechanizmów kontrolnych i systemu zarządzania ryzykiem.

W 2020 roku Departament Audytu Wewnętrznego realizował zadania audytowe w Banku, spółkach zależnych Banku oraz podmiotach zewnętrznych, którym Bank, w zakresie dopuszczonym przepisami prawa, powierzył wykonywanie czynności bankowych i związanych z działalnością bankową, a także w ramach Grupy Kapitałowej BCP. Planowa działalność Departamentu obejmowała m.in. wykonywanie audytów kluczowych procesów biznesowych i procesów wsparcia, a także audytów finansowych, placówek oraz zgodności z zewnętrznymi wymogami regulacyjnymi. Wśród zadań wykonywanych przez Departament Audytu Wewnętrznego znalazły się również postępowania wyjaśniające i audyty prewencyjne.

Wyniki prowadzonego przez Departament Audytu Wewnętrznego we współpracy z Audytorem Zewnętrznym Grupy BCP, przeglądu funkcjonowania całego systemu kontroli wewnętrznej, jak i wybranych jego elementów, są prezentowane cyklicznie i podlegają ocenie Komitetu Audytu Rady Nadzorczej Banku oraz raz do roku Radzie Nadzorczej Banku.

Wdrożone rozwiązania dotyczące systemu kontroli wewnętrznej w istotnym stopniu zabezpieczają Bank przed błędami w sprawozdawczości finansowej oraz dostarczają kierownictwu Banku informacji umożliwiających ocenę prawidłowości, wydajności i bezpieczeństwa funkcjonowania procesu sporządzania sprawozdań finansowych, mając również na celu jak najwyższą skuteczność zarządzania identyfikowanymi rodzajami ryzyka towarzyszącymi temu procesowi.

Wprowadzony przez Zarząd Banku system kontroli wewnętrznej, obejmujący swoim zakresem proces sporządzania sprawozdań finansowych, został tak przygotowany, by umożliwiał kontrolę ryzyka procesu, przy zachowaniu odpowiedniego nadzoru nad prawidłowością gromadzenia, przetwarzania i prezentowania danych niezbędnych do sporządzania sprawozdań finansowych, w zgodzie z obowiązującymi przepisami prawa.

Istotnym elementem systemu kontroli wewnętrznej w procesie sporządzania sprawozdań finansowych, jest współpraca Komitetu Audytu Rady Nadzorczej Banku z firmą audytorską realizującą usługi rewizji finansowej. Bank opracował politykę wyboru firmy audytorskiej do przeprowadzania badania oraz politykę świadczenia przez firmę audytorską przeprowadzającą badanie, przez podmioty powiązane z tą firmą audytorską oraz przez członka sieci firmy audytorskiej dozwolonych usług niebędących badaniem. Wyżej wymienione polityki zostały ujęte w dokumencie „Polityka wyboru i współpracy z firmami audytorskimi”, który został zatwierdzony przez Komitet Audytu Rady Nadzorczej w dniu 26 października 2017 roku a zaktualizowany 21 lutego 2019 r. Polityka określa:

1. zasady wyboru firmy audytorskiej do przeprowadzania:
   1. badania ustawowego tj. badania rocznego skonsolidowanego sprawozdania finansowego grupy kapitałowej Banku lub badania rocznego sprawozdania finansowego Banku, którego obowiązek przeprowadzania wynika z art. 64 ustawy z dnia 29 września 1994 roku o rachunkowości (dalej także „Ustawa o rachunkowości”), przepisów innych ustaw lub przepisów prawa Unii Europejskiej,
   2. badania dobrowolnego, tj. badania rocznego sprawozdania finansowego, które jest przeprowadzane na podstawie decyzji Banku, a nie na podstawie art. 64 Ustawy o rachunkowości, przepisów innych ustaw lub przepisów prawa Unii Europejskiej, przeprowadzane zgodnie z krajowymi lub innymi standardami badania, a także badanie rocznego skonsolidowanego sprawozdania finansowego grupy kapitałowej Banku, przeprowadzane zgodnie ze standardami innymi, niż krajowe standardy badania;
2. zasady świadczenia usług dozwolonych niebędących badaniem ustawowym lub badaniem dobrowolnym przez:
   1. firmę audytorską przeprowadzającą badanie ustawowe lub badanie dobrowolne w Banku lub w Millennium BCP,
   2. podmioty powiązane z firmą audytorską przeprowadzającą badanie ustawowe lub badanie dobrowolne w Banku lub w Millennium BCP, oraz
   3. członka sieci firmy audytorskiej przeprowadzającej badanie ustawowe lub badanie dobrowolne w Banku lub w Millennium BCP.
3. zasady współpracy Banku z firmami audytorskimi, podmiotami powiązanymi z firmą audytorską lub członkami sieci firmy audytorskiej w zakresie przeprowadzania badań ustawowych lub badań dobrowolnych oraz świadczenia usług dozwolonych.

Wyboru audytora zewnętrznego dokonuje Rada Nadzorcza, na podstawie rekomendacji Komitetu Audytu Rady Nadzorczej. Dodatkowo, mając na uwadze jakość danych finansowych prezentowanych w pozostałych publikowanych kwartalnych raportach okresowych, Bank wspólnie z audytorem zewnętrznym wdrożył procedury współpracy zapewniające konsultowanie na bieżąco istotnych kwestii związanych z ujmowaniem zdarzeń ekonomicznych w księgach i sprawozdaniach finansowych. Na posiedzeniach Komitetu Audytu Rady Nadzorczej, audytor zewnętrzny prezentuje kluczowe ustalenia dotyczące zagadnień raportowania finansowego, konsultuje z Komitetem Audytu Rady Nadzorczej drafty raportów oraz proponuje podejście do badania rocznego sprawozdania finansowego.

Bank objęty jest skonsolidowanym sprawozdaniem finansowym grupy kapitałowej Millennium BCP. W związku z tym, realizowany corocznie w Banku przegląd systemu kontroli wewnętrznej, wspierającego proces przygotowania i publikowania informacji finansowych, podlega także warunkom i wymogom nadzoru skonsolidowanego, sprawowanego przez Bank Portugalii i Europejski Bank Centralny. Audytor zewnętrzny grupy kapitałowej Millennium BCP uczestniczył w 2019 roku w przeglądzie adekwatności i efektywności części systemu kontroli wewnętrznej Banku, wspierającego proces przygotowania i publikowania informacji finansowych (sprawozdawczość finansowa) oraz wydał stosowną opinię w tym zakresie.

W dniu 26 października 2018 roku, Rada Nadzorcza Banku zatwierdziła wybór firmy Deloitte Audyt Sp. z o.o. sp. k. jako podmiotu uprawnionego do badania sprawozdań finansowych Banku Millennium S.A. oraz grupy kapitałowej Banku za lata 2019 i 2020. Umowa o badanie została zawarta w dniu 23 kwietnia 2019 roku.

Wynagrodzenie audytora z tytułu świadczonych usług na rzecz Grupy kapitałowej Banku Millennium S.A.

Usługi inne niż badanie ustawowe:

• przegląd jednostkowego oraz skonsolidowanego śródrocznego skróconego sprawozdania finansowego Banku Millennium S.A., sporządzonych na dzień 30 czerwca 2020 roku,
• przegląd śródrocznych skróconych sprawozdań finansowych funduszy inwestycyjnych Millennium TFI S.A., sporządzonych na dzień 30 czerwca 2020 roku,
• badanie dokumentacji konsolidacyjnej oraz pakietu sprawozdawczego grupy kapitałowej Banku Millennium S.A. za okres 6 miesięcy zakończony dnia 30 czerwca 2020 roku, oraz za okres 12 miesięcy, zakończony dnia 31 grudnia 2020 roku, sporządzonego zgodnie z instrukcjami i zasadami grupowymi grupy kapitałowej BCP,
• procedury weryfikacji dokumentacji konsolidacyjnej oraz pakietu sprawozdawczego grupy kapitałowej Banku Millennium S.A. za okres 3 miesięcy, zakończony dnia 31 marca 2020 roku, sporządzonego zgodnie z zasadami grupowymi,
• procedury weryfikacji dokumentacji konsolidacyjnej oraz pakietu sprawozdawczego grupy kapitałowej Banku Millennium S.A. za okres 9 miesięcy, zakończony dnia 30 września 2020 roku, sporządzonego zgodnie z zasadami grupowymi,
• usługa atestacyjna dotycząca wymogów w zakresie przechowywania aktywów klientów za rok 2020 dla Banku Millennium S.A. oraz Domu Maklerskiego Banku,
• usługa atestacyjna dotycząca oceny adekwatności systemu zarządzania ryzykiem w roku 2020 w Millennium TFI S.A.,
• usługa atestacyjna zgodna z MSUA 3000, dotycząca weryfikacji systemu kontroli wewnętrznych Banku Millennium S.A. oraz Millennium Leasing, zgodnie z instrukcjami audytora grupowego za okres od dnia 1 czerwca 2019 roku do dnia 31 maja 2020 roku,
• usługa atestacyjna zgodna z MSUA 3000: Oświadczenie niezależnego biegłego rewidenta wydane w imieniu podmiotu uprawnionego do badania sprawozdań finansowych o zgodności metod i zasad wyceny aktywów Funduszu opisanych w prospekcie informacyjnym z przepisami dotyczącymi rachunkowości funduszy inwestycyjnych, a także o zgodności i kompletności tych zasad z przyjętą przez Fundusz polityką inwestycyjną,
• usługa atestacyjna zgodna z MSUA 3000: niezależna weryfikacja danych niefinansowych prezentowanych w ramach Raportu CSR,
• Deloitte Audyt Sp. z o.o. sp. k. świadczył również usługę atestacyjną zgodną z MSUA 3000, dotyczącą weryfikacji systemów kontroli wewnętrznych Banku Millennium S.A. oraz Millennium Leasing S.A., zgodnie z instrukcjami audytora grupowego za okres od dnia 1 czerwca 2020 roku do dnia 31 stycznia 2021 roku. Kwota wynagrodzenia netto w wysokości 119 tys. zł za realizację tej usługi zostanie zaprezentowania w sprawozdaniu finansowym za okres 12 miesięcy, zakończony dnia 31 grudnia 2021 roku, ponieważ okres którego usługa dotyczy kończy się w dniu 31 stycznia 2021 roku.