slovenski inŠtitut za revizijo ljubljana · revizija se jenanašala na proces prip rave razkritij...

SLOVENSKI INŠTITUT ZA REVIZIJO

LJUBLJANA

ZAKLJUČNO DELO

ZA STROKOVNI NAZIV PREIZKUŠENI NOTRANJI REVIZOR

NOTRANJE REVIDIRANJE

SKLADNOSTI PROCESA RAZKRIVANJA INFORMACIJ

V BANKI Z ZAKONODAJO IN INTERNIMI PREDPISI

DECEMBER 2016 JANA ŽAGAR

2

IZJAVA

Jana Žagar, vpisana v izobraževalni program za pridobitev strokovnega naziva preizkušeni notranji revizor, izjavljam, da sem avtorica tega zaključnega dela in skladno s 1. odstavkom 21. člena Zakona o avtorskih in sorodnih pravicah dovoljujem objavo zaključnega dela na spletnih straneh Slovenskega inštituta za revizijo.

V Mariboru, 6. december 2016 Podpis:

3

Kazalo vsebine

Uvod ........................................................................................................................................................ 5 1. Teoretični vidik notranjega revidiranja procesa razkrivanja informacij .......................................... 8

1.1. Predstavitev banke ................................................................................................................... 8 1.2. Predstavitev področja revidiranja ............................................................................................ 8 1.3. Namen in pomen razkrivanja informacij ............................................................................... 11 1.4. Razkrivanje informacij v bankah in hranilnicah .................................................................... 11

1.4.1. Predstavitev podlag za razkrivanje informacij .............................................................. 12 1.4.2. Vrste razkritij ................................................................................................................. 13 1.4.3. Pogostost razkritij .......................................................................................................... 23 1.4.4. Uporaba pravil zaupnosti, poslovne skrivnosti in nepomembnosti razkritih informacij 24

1.5. Notranje revidiranje razkritij v banki .................................................................................... 26 1.5.1. Podlage za izvajanje notranjega revidiranja v banki ..................................................... 27 1.5.2. Pomen notranjega revidiranja razkritij v banki ............................................................. 28 1.5.3. Metodologija notranjega revidiranja ............................................................................. 31 1.5.4. Podlaga za izvedbo notranje revizije razkritij ............................................................... 33

2. Praktični vidik notranjega revidiranja procesa razkrivanja informacij.......................................... 34 2.1. Načrtovanje posla .................................................................................................................. 34

2.1.1. Opredelitev ciljev in obsega posla ................................................................................. 34 2.1.2. Razumevanje področja revidiranja ................................................................................ 35 2.1.3. Prepoznavanje in ocena tveganj .................................................................................... 38

2.1.3.1. Ocena ključnih tveganj prevar in informacijske tehnologije ................................. 41 2.1.4. Razporeditev virov pri poslu ......................................................................................... 43 2.1.5. Delovni program posla .................................................................................................. 44

2.2. Izvedba posla ......................................................................................................................... 44 2.2.1. Prepoznavanje informacij .............................................................................................. 45 2.2.2. Ovrednotenje informacij in izdelava izidov o poslu ...................................................... 46

2.3. Poročanje o izidih posla......................................................................................................... 48 2.3.1. Izdelava gradiva za zaključni sestanek .......................................................................... 49 2.3.2. Zaključni sestanek ......................................................................................................... 51 2.3.3. Izdelava osnutka revizijskega poročila in končnega revizijskega poročila ................... 52 2.3.4. Izdaja končnega revizijskega poročila ........................................................................... 52

2.4. Oblikovanje revizijskega gradiva o opravljenem poslu ........................................................ 52 2.5. Nadziranje posla .................................................................................................................... 53 2.6. Spremljanje napredovanja ..................................................................................................... 53

3. Sklep .............................................................................................................................................. 54 4. Literatura in viri ............................................................................................................................. 55

4

Kazalo preglednic Stran Preglednica 1: Pregled podlag za pripravo razkritij 12 Preglednica 2: Vrste razkritij in podlage za posamezna razkritja 13 Preglednica 3: struktura delovnega gradiva 46 Preglednica 4: Pregled zaključkov po COSO sestavinah in skupna ocena sistema notranjega kontroliranja 47

Preglednica 5: Struktura poročila 49

Kazalo slik Stran Slika 1: Grafični prikaz zahtev Basel III 9 Slika 2: Odgovornost za upravljanje tveganj/ 3 obrambne linije 29 Slika 3: Vloga notranje revizije pri ocenjevanju in upravljanju tveganj v skladu s priporočili IIA 30

Slika 4: COSO – sestavine in načela 32 Slika 5: organizacijska shema banke z označenimi organizacijskimi enotami, vključenimi v proces razkrivanja informacij 36

Slika 6: Matrika tveganj in strategija obvladovanja tveganj 39

Kazalo prilog Stran Priloga 1: Izvedbeni načrt 57 Priloga 2: Diagram poteka aktivnosti s seznamom kontrolnih ciljev, tveganj, kontrol, sodil 59 Priloga 3: Najava notranje revizije 64 Priloga 4: Ocena tveganj 65 Priloga 5: Delovni program posla 75 Priloga 6: Primer delovnega lista z ugotovitvami preizkušanja notranjih kontrol 90 Priloga 7: Izsek iz končnega revizijskega poročila – mnenje 91

5

Uvod

V zaključni nalogi je obravnavana izvedba revizije razkritij banke v skladu s zahtevami Uredbe (EU) št. 575/2013 EVROPSKEGA PARLAMENTA IN SVETA, z dne 26. junija 2013 o bonitetnih zahtevah za kreditne institucije in investicijska podjetja ter o spremembi Uredbe (EU) št. 648/2012. Konec junija 2013 sta bili objavljeni Direktiva 2013/36/EU (CRD IV) in Uredba (EU) št. 575/2013 (CRR), ki v EU bančno zakonodajo prenašata vsebino Basla III. Cilj obeh dokumentov je zagotoviti finančno stabilnost in okrepiti predpise bančnega sektorja. Enotni pravilnik (Single Rule Book) zagotavlja strog in enoten regulativni okvir, ki omogoča lažje delovanje notranjega trga in preprečuje možnosti za regulativno arbitražo. Uredba CRR se je začela uporabljati prvega januarja 2014 in se v državah članicah uporablja neposredno, kar pomeni, da njena vsebina ni bila prenesena v nacionalno zakonodajo. Direktiva CRD IV je bila prenesena v slovenski pravni red preko Zakona o bančništvu (ZBan-2) in na njegovi podlagi izdanih podzakonskih aktov. Razkrivanje informacij za banke in hranilnice ureja uredba CRR, zato je z njeno veljavnostjo prenehal veljati Sklep Banke Slovenije o razkritjih za banke in hranilnice, ki je predhodno urejal pravila razkrivanja informacij. Namen zahtev po razkritju informacij tržnim udeležencem je zagotoviti zanesljive in popolne informacije glede nagnjenosti k prevzemanju tveganj (v nadaljevanju profil tveganosti banke)Namen in cilji

Namen zaključne naloge je na praktičnem primeru prikazati razumevanje in uporabiti teoretična znanja, pridobljena na izobraževanju za strokovni naziv preizkušeni notranji revizor ter prikaz pridobljenih praktičnih znanj pri opravljanju notranjega revidiranja v banki.

Cilj zaključne naloge je izvesti notranjerevizijski posel v skladu z pravili notranjega revidiranja ter pridobiti strokovni naziv preizkušeni notranji revizor. S tem želim dokazati, da sem sposobna samostojno izvesti posel notranjega revidiranja v skladu s pravili notranjega revidiranja.

V zaključni nalogi je prikazana izvedba notranjerevizijskega posla dajanja zagotovil. Notranja revizija se nanaša na presojo procesa razkrivanja informacij. Banke so namreč zavezane, da v skladu z določili zakonodaje razkrivajo informacije iz področij upravljanja tveganj, korporativnega upravljanja in preudarne politike prejemkov. Vsebina in obseg razkritij sta določeni z zakonodajo, pri čemer le-ta v podrobnosti ne določa procesa priprave razkritij. Institucije, ki so zavezane k razkrivanju informacij morajo sprejeti politiko za uskladitev z zahtevami glede razkritij iz osmega dela uredbe CRR, imeti morajo politike za ocenjevanje primernosti razkritij, vključno z njihovim preverjanjem in pogostostjo. Institucije morajo imeti tudi politike za ocenjevanje, ali njihova razkritja udeležencem na trgu celovito prikazujejo njihov profil tveganosti. Iz procesa razkrivanja informacij izhajajo številna tveganja, kot je tveganje neskladnosti z zakonodajo in posledično so predvidene sankcije, tveganje nepravilnih in nepopolnih razkritij, kar ima za posledico neustrezno prikazan profil tveganosti banke in neustrezne informacije tržnim udeležencem. Za obvladovanje tveganj je pomembno, da banka vzpostavi proces z vgrajenimi notranjimi kontrolami, ki bodo ob njihovem delovanju zagotavljale pravilnost in popolnost razkritij ter skladnost z zahtevami zakonodaje. S tem je zagotovljeno, da banka razkrije zakonsko opredeljene informacije in zagotovi razkritje dodatnih informacij, ki z uredbo niso posebej zahtevane, vse z namenom zagotovitve zanesljivih in popolnih informacij v zvezi s profilom tveganosti, pri čemer pa ne sme izkoriščati možnosti opredelitve informacije za zaupne ali poslovne skrivnosti z očitnim namenom izogibanja njihovega razkritja. Revizija se nanaša na proces priprave razkritij od začetne faze pregleda potrebnih razkritij informacij, presoje morebitnega izvzema iz razkritij ob izpolnitvi pogojev za opredelitev informacije za nepomembno, zaupno ali poslovno skrivnost, priprave rokovnika z pregledom vsebine razkritij, rokov in odgovornimi osebami, potrditvijo odgovorne osebe, zbiranjem informacij, ki bodo predmet razkritij, presoje popolnosti, njihovega pregleda, potrditve, vse do izdaje in objave končne verzije. Podlaga za določitev obsega revizije je ocena tveganj iz katere

http://ec.europa.eu/internal_market/bank/regcapital/legislation_in_force_en.htm

6

izhaja, da je bistveno presoditi proces priprave razkritij informacij ter posebej presojati razkritje tistih informacij, ki se razkrivajo prvič in tistih informacij, za katere so ostali dajalci zagotovil ugotovili pomanjkljivosti oz. nepopolna razkritja.

Pri izdelavi zaključne naloge za pridobitev strokovnega naziva preizkušena notranja revizorka sem na praktičnem primeru preizkusila in ovrednotila notranje kontrole v procesu razkrivanja informacij z namenom zagotavljanja skladnosti z zakonodajo.

Naloga je razdeljena na teoretični in praktični del. V teoretičnem delu so predstavljena teoretična izhodišča in podlage notranjega revidiranja. V prvem delu je predstavljena organizacija v kateri se izvaja notranje revidiranje, teoretična izhodišča področja revidiranja kot so zakonodajni okvir in notranji predpisi, v nadaljevanju je predstavljen proces, ki je predmet revidiranja. Posebno poglavje je namenjeno predstavitvi teorije izvajanja notranjerevizijskega posla in metodologije COSO. V praktičnem delu je predstavljena izvedba notranjerevizijskega posla, in sicer načrtovanja, izvedba in poročanje ter spremljanje napredovanja. V praktičnem delu so podane konkretne ugotovitve glede uresničitve zadanih ciljev in predlagane izboljšave na področju razkritij za banke in hranilnice.

Namen notranje revizije je opraviti preverjalni posel skladno s pravili notranjega revidiranja in izboljšati skladnost delovanja z internimi akti in zakonodajo. Posebna pozornost je dana učinkovitosti in uspešnosti delovanja notranjih kontrol, ki omejujejo tveganje neskladnosti z zakonodajo (nepravilna in nepopolna razkritja).

Cilj notranje revizije je podati zagotovilo o skladnosti delovanja revidiranega področja glede na obvladovanje ključnih tveganj ter učinkovitost in uspešnost notranjih kontrol. Priporočila so podana na podlagi proučitve stanja, sodil, vzrokov razlik in učinkov neusklajenega delovanja.

Cilje notranje revizije sem razdelila na podrobne oziroma delne cilje, ki so:

- proučiti in oceniti skladnost delovanja glede na interne predpise in zakonodajo, - podati zagotovilo o delovanju notranjih kontrol in s tem spoznavne podlage za izboljšanje

delovanja notranjih kontrol, ki so potrebne za obvladovanje tveganj v revidiranem procesu, - podati neodvisno mnenje o skladnosti postopkov z zakonodajo, internimi predpisi in

delovanju notranjih kontrol.

Cilje notranje revizije sem dosegla z objektivno presojo revizijskih dokazov, ki jih bom pridobila z uporabo revizijskih tehnik, opredeljenih v delovnem načrtu. Na podlagi revizijskih dokazov sem pripravila izide posla in podala neodvisno mnenje upravi banke o ustreznosti in uspešnosti obvladovanja tveganj proučevanega procesa.

Predpostavke in omejitve

Notranjerevizijski posel sem izvedla na podlagi potrjenega letnega načrta notranjega revidiranja. Pri izvedbi notranjerevizijskega posla sem upoštevala Hierarhijo pravil notranjega revidiranja, pri tem pa temeljila zlasti na Mednarodnih standardih strokovnega ravnanja pri notranjem revidiranju. Pri ocenjevanju obstoja in delovanja notranjih kontrol sem uporabila metodologijo COSO (posodobljena 2013). Skladnost delovanja sem presojala na podlagi takrat veljavnih internih pravil in zakonodaje, zlasti:

- Politika razkritij, interni akt 2015 - Zakon o bančništvu in podzakonski akti, - Uredba CRR in izvedbeni akti.

7

Druge predpostavke in omejitve:

- revizija se nanaša na letna razkritja informacij za poslovno leto 2015, - pravilnost razkritij se je presojala v smislu konsistentnosti z letnim poročilom banke in

skupine za leto 2015, - testiranje popolnosti in pravilnosti razkritij je izvedeno na primeru razkritij za poslovno leto

2015, in sicer se je pravilnost testirala v smislu konsistentnosti informacij z letnim poročilom za leto 2015 ter konsistentnosti z rednimi poročili regulatorju (BS/ECB), popolnost pa se je testirala v smislu razkritij vseh zahtevanih informacij v skladu z osmim delom CRR,

- pri opredelitvi tveganj revidiranega področja sem izhajala iz ocene tveganj banke za leto 2015.

Posebej poudarjam, da so ugotovitve in spoznanja o stanju v izbrani banki prilagojene glede na dejstvo, da bo zaključna naloga javno objavljena na spletni strani Slovenskega inštituta za revizijo.

Revizija se je nanašala na proces priprave razkritij in ni zajela testiranja razkritih informacij v smislu ustreznosti sistema upravljanja tveganj, ustreznosti notranjega in korporativnega upravljanja, ustreznosti politike razkritij. Pri navedenem notranji revizor temelji na že opravljenih notranjih revizijah področij, ki so predmet razkrivanja informacij, opravljenih pregledih regulatorja ter podanemu zagotovilu zunanjega revizorja o resničnosti in poštenosti računovodskih izkazov ter izdanem mnenju zunanjega revizorja glede sistema upravljanja tveganj, v skladu s standardom 2050 in svetovalnim napotkom 2050-3 Opiranje na delo drugih dajalcev zagotovil.

Metodika proučevanja in preiskovanja

V nalogi je prikazan postopek izvedbe posla dajanja zagotovil. Gre za obliko poslovnega preiskovanja saj bo raziskava osredotočena na pretekla, sedanja in bodoča poslovna dogajanja, stanja ter uspehe v izbrani banki. Pri pripravi naloge sem uporabila teoretično in izkustveno metodo.

Naloga je razdeljena na teoretični in praktični del. V teoretičnem delu naloge je šlo za proučevanje poslovanja banke, področja revidiranja in teoretičnih pravil izvajanja notranjerevizijskega posla. Teoretični del temelji zlasti na proučevanju zakonodaje iz področja splošnega bančnega poslovanja in razkrivanja informacij ter literaturi iz področja notranjega revidiranja. V teoretičnem delu sem uporabila tako metodo kompilacije kot komparacije.

Spoznanja teoretičnega dela so podlaga za praktični del zaključne naloge. V praktičnem delu so bile v okviru analitičnega načina uporabljene deduktivne kot induktivne metode.

8

1. Teoretični vidik notranjega revidiranja procesa razkrivanja informacij

1.1. Predstavitev banke

Obravnavana banka je univerzalna poslovna banka, ki deluje na območju Republike Slovenije in je pridobila dovoljenje za opravljanje storitev v skladu z Zakonom o bančništvu (v nadaljevanju ZBan-2). Organizirana je kot delniška družba in ima vzpostavljen dvotirni sistem upravljanja (vir spletna stran Banke Slovenije).

Banka kot univerzalna banka opravlja klasične bančne storitve (dajanje kreditov in sprejemanje depozitov). Poleg tega ima dovoljenje za opravljanje vzajemno priznanih (storitve so opredeljene v 5. členu ZBan-2) in dodatnih finančnih storitev (storitve so opredeljene v 6. členu ZBan-2).

Banka spada med sistemsko pomembne banke, kar pomeni, da je pod neposrednim nadzorom Evropske centralne banke (v nadaljevanju ECB). ECB je 4. novembra 2014 prevzela neposredni nadzor nad 129 pomembnimi bankami v sodelujočih državah, kar predstavlja 82% bilančne vsote bank v evrskem območju. Za vsako sistemsko pomembno banko je imenovana združena nadzorniška skupina (t.i. joint supervisory team - JST), ki jo vodi koordinator iz ECB, na nacionalni ravni pa delo JST koordinira podkoordinator iz Banke Slovenije.

ECB ima pooblastila za: - izvajanje nadzorniških/inšpekcijskih pregledov - izdajo in odvzem dovoljenja za opravljanje bančnih storitev - oceno pridobitve in odsvojitve kvalificiranih deležev - skrb za spoštovanje bonitetnih pravil EU - določanje višjih kapitalskih zahtev (»blažilnike«), če je to potrebno, da bi zmanjšala finančna

tveganja.

1.2. Predstavitev področja revidiranja

Praktični primer revizije se nanaša na skladnost procesa razkrivanja informacij z zakonodajo in internimi akti. Zahteve razkrivanja informacij iz Basla III1. Basel III je nastal kot odgovor na pomanjkljivosti Basla II, ki so se odrazile v času aktualne finančne krize.

Aktualna finančna kriza je bila dober pokazatelj šibkosti v obstoječih globalnih bančnih regulativah ter slabosti uveljavljenih praks v upravljanju z bančnimi tveganji. V odgovor nastali krizi, so regulatorne oblasti poskusile omiliti in zmanjšati vpliv krize z namenom dviga stabilnosti finančnih in bančnih trgov ter preprečiti negativne posledice prenosa v realno gospodarstvo.

Regulacija bank, v okviru zahtev Basel III od bank in investicijskih družb zahteva več kakovostnejšega kapitala, s katerim bodo banke lahko pokrivale morebitne izgube v prihodnosti. Kot dodatno zavarovanje pred izgubami morajo banke vzdrževati dodatne kapitalske rezerve, potrebno bo znižanje finančnega vzvoda, omejeno in bolj regulirano je trudi trgovanje z izvedenimi finančnimi instrumenti. Večja pozornost je namenjena tudi področju likvidnosti, upravljanja denarnih tokov in zagotavljanja ustrezne kratkoročne in dolgoročne likvidnosti bank. Pričakovano je učinkovitejše upravljanje bank, manjša možnost njihovega propada, večja varnost depozitov, za zanesljiva podjetja pa tudi v stresnih obdobjih možnost kreditne aktivnosti.

1 Dogovor za okrepitev kapitalskih standardov, ki ga je sprejel Baselski odbor za bančni nadzor (ang. The Basel Comitte for Banking Suprevision). Izvajanje zahtev Basla III je postopno, z začetkom 1. januarja 2013 vse do 1. Januarja 2019.

9

V nadaljevanju predstavljamo glavne elemente zahtev Basel III. Sestoji iz treh stebrov, ki so bili v osnovi vzpostavljeni že z Baslom II, kar je predstavljalo velik napredek v primerjavi z Baslom II. Basel III je obdržal princip treh stebrov, ko so s celovitimi posegi in nadgradnjo ključnih elementov dosegli status pomembnejših reformnih paketov.

Baselski komite je kot glavne cilje Basla III navedel:

- Izboljšanje zmogljivosti na področju absorbiranja šokov bančnega sektorja, ki izhajajo iz finančnih ali ekonomskih vzrokov ne glede na njihov izvor;

- Izboljšanje upravljanja s tveganji in vodenja; - Povečanje transparentnosti bank.

Te smernice predstavljajo krovno vodilo tri-stebrnega sistema zahtev Basel III.

Slika 1: Grafični prikaz zahtev Basel III

Vse

ban

ke

Kapitalske zahteve Likvidnostne zahteve Steber I Steber II Steber III

Kapital Kritje prevzetih tveganj

Finančni vzvod

Upravljanje tveganj in

nadzor

Tržna disciplina

Globalni likvidnostni standard in

nadzor Kvaliteta in

višina kapitala

Listinjenje

Količnik finančnega

vzvoda

Dodatne zahteve stebra II

Zahtevana razkritja

Količnik likvidnostnega

kritja Absorpcija kapitalskih

izgub v točki, ko ni več sposobna delovati

Trgovalna knjiga

Količnik neto stabilnega

financiranja

Varovalni kapitalski blažilnik

Kreditno tveganje nasprotne

stranke

Smernice upravljanja

likvidnostnega tveganja in

nadzora

Proticiklični kapitalski blažilnik

Izpostavljenost banke do centralnih nasprotnih

strank

Spremljava nadzornika

SIFI

s Poleg zgoraj navedenih kapitalskih in likvidnostnih zahtev Basla III morajo sistemsko pomembne banke (SIFIs) zagotavljati dodatni kapital, ki omogoča večjo varnost v primeru

potencialnih izgub.

Vir: Basel Committee on Banking Supervision reforms

Prvi steber se tako nanaša na regulatorne kapitalske zahteve. Banka mora zagotavljati kapital za pokrivanje tveganj, in sicer kreditnih, tržnih (vključno z valutnim tveganjem) in operativnih. Banka lahko v okviru prvega stebra uporablja različne pristope za izračun kapitalskih zahtev za posamezne vrste tveganj. Možni pristopi so enostavni, standardizirani ali napredni pristop. Drugi steber je vpeljal

10

zahteve v zvezi z upravljanjem tveganj v banki in procesom ocenjevanja notranjega kapitala. Pomembno namreč je, da banka pozna tveganja, ki jim je izpostavljena, jih zna izmeriti ali oceniti, se odločiti v kolikšni meri je pripravljena tveganja sprejemati, vzpostaviti mehanizme obvladovanja tveganj ter seveda redno spremljavo in poročanje o tveganjih. Glede na profil tveganosti mora oceniti potrebni notranji kapital. Proces ocenjevanja notranjega kapitala je v okviru drugega stebra nadzorovan s strani nadzornika, v okviru vsakoletnega procesa ocenjevanja in merjenja tveganj. Gre za t.i. proces nadzorniškega pregledovanja in ovrednotenja (SREP - Supervisory Review and Evaluation Process). Povzema vse ugotovitve nadzornikov v posameznem letu in nalaga bankam določene obveznosti. V okviru procesa nadzornik pridobi informacije glede izpolnjevanja kapitalskih zahtev banke in upravljanja tveganj. V odločitvi SREP, ki jo nadzornik ob koncu procesa pošlje banki, so določeni glavni cilji glede na ugotovljene probleme. Banka jih mora nato v določenem časovnem obdobju odpraviti.

Zaradi enake obravnave bank je ključno, da se vse banke merijo z enakim »vatlom«. SREP nadzornikom ponuja poenoten sklop orodji, s katerimi preverjajo profil tveganosti banke s štirih različnih vidikov.

Poslovni model: nadzorniki ocenjujejo vzdržnost ustroja vsake banke oziroma, z drugimi besedami, ali se banka ukvarja s široko paleto aktivnosti ali pa se osredotoča samo na nekaj poslovnih dejavnosti. Denimo banka, ki se osredotoča samo na ladijski tovorni prevoz, je lahko zelo izpostavljena upočasnitvi svetovne trgovinske menjave oziroma preveč radodarnemu kreditiranju ladjarjev, zato mora to tveganje dobro upravljati.

Upravljanje in vodenje banke ter upravljanje tveganj: nadzorniki si pogledajo organizacijsko strukturo banke tako, da spremljajo upravljalne organe in preverjajo, ali se tveganja primerno upravljajo.

Tveganje v zvezi s kapitalom: nadzorniki analizirajo, ali ima banka zadostno varnostno mrežo, s katero lahko absorbira izgube, ki na primer izhajajo iz hekerskega napada na računalniški sistem, iz strmega padca cen nafte ali iz nezmožnosti posojilojemalcev, da pravočasno odplačajo posojilo.

Tveganje v zvezi z likvidnostjo in financiranjem: nadzorniki preverjajo, ali je banka sposobna pokriti ad hoc potrebe po gotovini, na primer v času gospodarske negotovosti, ko bi lahko imetniki vlog dvignili veliko več denarja kot običajno.

Skupne nadzorniške skupine stalno izvajajo proces nadzorniškega pregledovanja in ovrednotenja, posamezno odločitev SREP pa pripravijo enkrat letno. Vsaka banka prejme dopis, v katerem so določeni specifični ukrepi, ki jih mora izvesti v naslednjem letu.

Odločitev SREP je prilagojena profilu vsake posamezne banke. Na splošno mora vsaka banka izpolnjevati zakonske zahteve, ki določajo minimalni znesek kapitala, ki ga mora imeti. To se imenuje »prvi steber«. Tukaj v igro vstopi SREP. Nadzornik lahko v odločitvi SREP, ki je prilagojena posamezni banki, od te banke zahteva, da ima dodatni kapital, oziroma ji določi kvalitativne zahteve (to se imenuje »drugi steber«). Slednje se lahko nanašajo na strukturo upravljanja in vodenja banke ali na njene upravljalne organe. (Vir spletna stran Evropske centralne banke)

Tretji steber pa predstavlja tržna disciplina. Tema je podrobneje obdelana v naslednjih poglavjih zaključne naloge.

11

1.3. Namen in pomen razkrivanja informacij

Tržna disciplina je že dolgo razpoznavna usmeritev Baselskega komiteja. Zagotavljanje informacij o glavnih postavkah tveganj drugim udeležencem trga je ključni gradnik trdnega in vzdržnega bančnega sistema. Objava podrobnih podatkov zmanjšuje asimetrijo informacij ter omogoča enostavnejšo primerjavo med bankami. Glavni namen razkritij je promocija tržne discipline skozi regulatorne zahteve poročanja. Baselski komite je pri zahtevah tretjega stebra v okviru Basla III storil velik korak naprej. V okviru Basla II so bila razkritja omejena zlasti na zahteve stebra I, pri katerem so morale banke razkriti le informacije o ukrepih na področju tveganj, z njimi povezane tveganju prilagojene aktive ter o kapitalskih zahtevah. Kljub temu, da je imel trg na voljo omejene informacije, pa je finančna kriza pokazala njihovo nezadostnost, saj zainteresirani javnosti niso podale zadovoljivih podatkov o tveganosti banke in kapitalski moči. Baselski komite je na podlagi teh spoznanj začel z revizijo stebra, v katerega so bila vključena spoznanja krize. Z revizijo zahtev stebra III je Baselski komite želel izboljšati tudi primerljivost med bankami večjo doslednost pri pripravi razkritij. Za posamezne banke, kakor tudi celotni bančni sektor je z nadgrajenimi zahtevami dosežena večja transparentnost internih bančnih metodologij in oblikovanja kapitalskih modelov. Večja pozornost je namenjena obliki razkritij v smislu predpisanih predlog oz. preglednic, s čimer bo dosežena večja primerljivost med bankami. Pri tem je še vedno dopuščena določena mera svobode v smislu možnosti dodatnih komentarjev o posebnostih profila tveganja določene banke. Problem specifičnosti skušajo rešiti s predstavitvijo sistema hierarhije razkritij, kjer so predpisane preglednice predlagane za razkritje kvantitativnih informacij, ki se smatrajo za pomembne pri analizi zahtevanega regulatornega bančnega kapitala. Predlog modificiranega stebra III zajema dvanajst preglednic razkritij ter petintrideset obrazcev, ki skupaj predstavljajo sedeminštirideset razkritij. Preglednice z bolj fleksibilnim formatom se nanašajo na tiste informacije, ki so obravnavane kot pomembne, a ne ključne pri analizi regulatorne kapitalske ustreznosti banke. Omogočena je možnost vključitve komentarja o kvalitativnem delu razkritij, kjer se lahko predstavijo specifične okoliščine banke ter njihov profil tveganja. Baselski komite daje večji poudarek tudi časovni komponenti poročanja, saj so časovni roki objav za vsako preglednico točno določeni. Osnovni namen obširnejših zahtev pa predstavlja tudi celostna predstavitev podatkov o razkritjih, ki udeležencem omogoča celovit pregled stanja banke.

1.4. Razkrivanje informacij v bankah in hranilnicah

Banke so v skladu z zakonodajo zavezane k razkrivanju informacij. ZBan-2 v 88. členu zahtevanih dodatnih razkritij napotuje na uredbo CRR, kjer so v osmem delu opredeljene zahteve glede razkrivanja informacij. Informacije morajo biti razkrite na javnih spletnih straneh. Razkritja se objavijo hkrati z letnim poročilom.

Zakonodaja posebej ne določa mesta razkritja. Banke imajo različno prakso. Nekatere so se odločila za razkrivanje informacij v letnem poročilu, druge razkrivajo zahtevane informacije v posebnem poročilu in tretje se odločajo za kombinirano varianto, kar pomeni, da so razkritja v ločenem dokumentu, v kolikor pa so posamezna razkritja že v celoti ali deloma v letnem poročilu, jih v posebnem dokumentu ne razkrivajo ponovno ampak navedejo samo sklic na letno poročilo. V primeru kadar se banke odločijo za vključitev razkritij po CRR v letno poročilo je pomembno, da je jasno razvidno katera razkritja so razkritja po CRR. Banka v tem primeru običajno izdela vodilno preglednico v kateri navede vsa zahtevana razkritja in kje v letnem poročilu je to razkritje navedeno (navede točko in stran v letnem poročilu). Preglednica se običajno doda na koncu letnega poročila.

Pri pripravi razkritij je pomembno slediti petim načelom, ki so jasnost, celovitost, uporabna vrednost, časovna doslednost in primerljivost.

12

Razkritja so jasna kadar so predstavljena na način, razumljiv zainteresirani javnosti (investitorji, analitiki, stranke, ostala javnost). Primerno je, da so zapletena področja pojasnjena na enostaven in razumljiv način, pri čemer so lahko vključeni dodatni komentarji. Razkritja morajo celovito opisovati glavna področja poslovanja bank in glavna področja izpostavljenosti tveganjem, ki posledično izhajajo iz področij poslovanja bank. Podkrepljena morajo biti s podatki in opisnimi informacijami. Banka mora opisati pomembne spremembe v izpostavljenosti tveganjem v obdobju od zadnjega poročanja. Razvidne morajo biti informacije glede sistema upravljanja tveganj. Uprave bank se lahko individualno odločajo za dodatna opisna pojasnila, kadar želijo uporabnikom v večji meri približati in dodatno pojasniti razkrite informacije. Razkritja so namenjena zainteresirani javnosti zato je potrebno zasledovati cilj, da dajejo uporabne informacije, preko katerih bo imela javnost predstavo o izpostavljenosti tveganjem banke ter pristopu banke k upravljanju teh tveganj. Pomembna je časovna doslednost razkritij, kar pomeni, da se objavljajo informacije aktualne v obdobju na katerega se poročanje nanaša. Primerno je posebej izpostaviti spremembe v primerjavi s preteklim poročanjem, lahko se navedejo tudi pričakovane spremembe v prihodnosti. Za zainteresirano javnost je pomembna primerljivost razkritij med različnimi bankami. Trenutno so razkritja le deloma primerljiva, saj za večino informacij ni predpisane oblike in podrobnejše vsebine in je oblika ter vsebina prepuščena presoji posamezne banke. Z izdajo novih smernic bo zagotovljena večja primerljivost, saj le-te podrobno določajo obliko in vsebina kvantitativnih razkritij ter podrobneje opišejo vsebino in obseg kvalitativnih razkritij. Poleg tega je jasno opredeljena tudi pogostost objave posameznih razkritij. (Povzeto po: Revised Pillar 3 disclosure requirement, Basel Basel Committee on Banking Supervision, januar 2015) 1.4.1. Predstavitev podlag za razkrivanje informacij

Banka razkriva informacije v skladu z zahtevami zakonodaje. Temeljna zakonska podlaga, ki določa zahteve glede razkrivanja informacij je Uredba št. 575/2013 o bonitetnih zahtevah za kreditne institucije in investicijska podjetja (v nadaljevanju CRR). Uporabljati se je začela prvega januarja 2014. CRR se v državah članicah uporablja neposredno, kar pomeni, da njena vsebina ni bila prenesena v nacionalno zakonodajo v obliki zakona ali podzakonskih predpisov. Z veljavnostjo CRR so prenehali veljati nekateri sklepi Banke Slovenije, ki so urejali vsebino, ki je sedaj opredeljena v CRR. Med drugimi je prenehal veljati tudi sklep o razkritjih s strani bank in hranilnic, ki je predhodno urejal obveznosti razkrivanja informacij. Poleg uredbe se v državah članicah neposredno uporabljajo tudi regulativni in izvedbeni tehnični standardi (v nadaljevanju standardi RTS/ITS), ki določajo podrobnejše zahteve glede izvajanja različnih področij zahtev uredbe CRR in direktive CRD IV ali pa opredelitvi načina uporabe teh zahtev. (Povzeto po: Vsebina pisma za banke in hranilnice v zvezi s pričetkom uporabe CRR/CRD IV, bankam poslano 14.1.2014)

CRR opredeljuje zahteve glede razkrivanja informacij v 8 delu, pri čemer podrobno ni opredeljena oblika zahtevanih razkritij. Podrobneje vsebino zahtev in v nekaterih primerih tudi obliko urejajo standardi RTS/ITS.

Preglednica 1: Pregled podlag za pripravo razkritij

Temeljne podlage ZBan-2, Ur. l. RS, št. 25/15 Uredba št. 575/2013 o bonitetnih zahtevah za kreditne institucije in investicijska podjetja, 26. junij 2013 Izvedene podlage IZVEDBENA UREDBA KOMISIJE (EU) št. 1423/2013 z dne 20. decembra 2013 o določitvi izvedbenih tehničnih standardov glede zahtev po razkritju o kapitalu za institucije v skladu

13

z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta Delegirana uredba komisije z dne 28. maja 2105 glede regulativnih tehničnih standardov za razkritje informacij v zvezi s skladnostjo institucij z zahtevo za proticikličen kapitalski blažilnik v skladu s členom 440 Smernice o razkritju obremenjenih in neobremenjenih sredstev, EBA, 27.6.2014 IZVEDBENA UREDBA KOMISIJE (EU) 2016/200 z dne 15. februarja 2016 o določitvi izvedbenih tehničnih standardov glede razkritja količnika finančnega vzvoda za institucije v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta Smernice o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij v skladu s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013, EBA, 23. december 2014 Interne podlage banke Politika razkritij 1.4.2. Vrste razkritij

Zahtevana razkritja so opredeljena v delu 8 uredbe CRR. Nanašajo se upravljanje tveganj na nivoju skupine. Banka razkrije informacije glede ciljev in politik upravljanja tveganj ter informacije glede specifičnih tveganj, ki se nanašajo na področje kapitala in kapitalske zahteve, kreditno tveganje, tržno tveganje, operativno tveganje, likvidnostno tveganje. Poleg tega je velik poudarek tudi na razkritjih v zvezi s politiko prejemkov. Vsebinsko se razkritja nanašajo na bonitetne zahteve, ki so podrobneje predpisane z direktivo CRR in v nacionalni zakonodaji v Sklepu Banke Slovenije o ureditvi notranjega upravljanja, upravljalnem organu in procesu ocenjevanja ustreznega notranjega kapitala za banke in hranilnice. Namen razkritij je, da banke predstavijo javnosti svoj profil tveganosti, nagnjenost k prevzemanju tveganj ter sistem upravljanja tveganj, ki sestoji iz aktivnosti identifikacije tveganj, njihovega merjenja/ocenjevanja, omejevanja ter spremljave in poročanja. Novost, ki jo je prinesla uredba CRR sta izjavi upravljalnega organa:

- o ustreznosti ureditev upravljanja tveganj institucije, ki zagotavlja, da vzpostavljeni sistemi za upravljanje tveganj ustrezajo profilu in strategiji institucije;

- strnjena izjava upravljalnega organa o tveganju, v kateri je kratko in jedrnato opisan celoten profil tveganosti institucije, povezan s poslovno strategijo. Ta izjava vključuje ključne kazalnike in podatke, ki zunanjim zainteresiranim stranem zagotavljajo celosten vpogled v način, kako institucija upravlja tveganja, razkrivajo pa tudi, kako je profil tveganosti institucije povezan z ravnijo sprejemljivega tveganja, ki jo določi upravljalni organ.

Preglednica 2: Vrste razkritij in podlage za posamezna razkritja

Razkritje Podlaga Tehnična merila za razkritje in preglednost Cilji in politike upravljanja tveganj Uredba CRR, člen 435 1. Institucije razkrijejo svoje cilje in politike glede upravljanja tveganj za vsako posamezno vrsto tveganj, vključno s tveganji iz tega naslova. Ta razkritja vključujejo:

(a) strategije in procese za upravljanje teh tveganj; (b) strukturo in organizacijo ustrezne funkcije za upravljanje tveganj, vključno z informacijami o njeni hierarhiji in statusu, ali druge ustrezne ureditve;

(c) obseg in naravo poročanja o tveganjih in sistemih merjenja;

(d) politike za varovanje pred tveganjem in njegovo

14

zmanjševanje ter strategije in procese za spremljanje stalne učinkovitosti varovanj pred tveganji in zmanjševanj tveganj; (e) izjavo upravljalnega organa o ustreznosti ureditev upravljanja tveganj institucije, ki zagotavlja, da vzpostavljeni sistemi za upravljanje tveganj ustrezajo profilu in strategiji institucije;SL 27.6.2013 Uradni list Evropske unije L 176/255

(f) strnjeno izjavo upravljalnega organa o tveganju, v kateri je kratko in jedrnato opisan celoten profil tveganosti institucije, povezan s poslovno strategijo. Ta izjava vključuje ključne kazalnike in podatke, ki zunanjim zainteresiranim stranem zagotavljajo celosten vpogled v način, kako institucija upravlja tveganja, razkrivajo pa tudi, kako je profil tveganosti institucije povezan z ravnijo sprejemljivega tveganja, ki jo določi upravljalni organ.

2. Institucije razkrijejo naslednje informacije glede ureditev upravljanja, vključno z rednimi, vsaj letnimi posodobitvami:

(a) število direktorskih mest, ki jih zasedajo člani upravljalnega organa;

(b) politiko zaposlovanja za izbor članov upravljalnega organa ter njihovo dejansko znanje, veščine in izkušnje;

(c) politiko glede raznolikosti pri izboru članov upravljalnega organa, splošne in konkretne cilje te politike ter v kolikšni meri so bili doseženi;

(d) ali je institucija ustanovila ločen odbor za tveganja ali ne ter kolikokrat se je odbor za tveganja sestal;

(e) opis toka informacij glede tveganj do upravljalnega organa.

Področje uporabe Uredba CRR, člen 436 Institucije razkrijejo naslednje informacije v zvezi s področjem uporabe zahtev te uredbe v skladu z Direktivo 2013/36EU:

(a) ime institucije, za katero veljajo zahteve te uredbe;

(b) pregled razlik v podlagi konsolidacije za računovodske in bonitetne namene, s kratkim opisom zadevnih subjektov in obrazložitvijo, ali so: (i) polno konsolidirane, (ii) sorazmerno konsolidirane, (iii) odbite od kapitala, (iv) niti konsolidirane niti odbite;

(c) vse trenutne ali predvidene pomembne praktične ali pravne ovire za takojšnji prenos kapitala ali poravnavo obveznosti med nadrejeno osebo in podrejenimi družbami;

(d) zbirni znesek, za katerega je dejanski kapital nižji od zahtevanega v vseh podrejenih družbah, ki niso vključene v konsolidacijo, in ime ali imena teh

15

podrejenih družb; (e) po potrebi okoliščine za uporabo določb členov 7 in 9.

Kapital Uredba CRR, člen 437 1. Institucije razkrijejo naslednje informacije v zvezi s kapitalom:

(a) celovito uskladitev postavk navadnega lastniškega temeljnega kapitala, postavk dodatnega temeljnega kapitala, postavk dodatnega kapitala ter filtrov in odbitkov v skladu s členi 32 do 35, 36, 56, 66 ter 79, ki se nanašajo na kapital institucije, z bilanco stanja v revidiranih finančnih izkazih institucije;

IZVEDBENA UREDBA KOMISIJE (EU) št. 1423/2013 z dne 20. decembra 2013 o določitvi izvedbenih tehničnih standardov glede zahtev po razkritju o kapitalu za institucije v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta

(b) opis glavnih značilnosti instrumentov navadnega lastniškega temeljnega kapitala in instrumentov dodatnega temeljnega kapitala ter instrumentov dodatnega kapitala, ki jih izda institucija;


(c) vsa določila in pogoje za vse instrumente navadnega lastniškega temeljnega kapitala, instrumente dodatnega temeljnega kapitala ter instrumente dodatnega kapitala;

(d) ločeno razkritje narave in zneskov (): (i) vsakega bonitetnega filtra, ki se uporablja v skladu s členi 32 do 35; (ii) vsakega odbitka v skladu s členi 36, 56 in 66; (iii) postavk, ki niso odbite v skladu s členi 47, 48, 56, 66 in 79;


(e) opis vseh omejitev, ki se uporabljajo za izračun kapitala v skladu s to uredbo, ter instrumentov, bonitetnih filtrov in odbitkov, za katere veljajo te omejitve;


(f) kadar institucije razkrijejo kapitalske količnike, izračunane z uporabo sestavin kapitala, določenih na drugačni osnovi kot v tej uredbi, celovito obrazložitev osnove, na kateri so izračunani ti kapitalski količniki.

Kapitalske zahteve Uredba CRR, člen 438 Institucije razkrijejo naslednje informacije v zvezi s skladnostjo institucije z zahtevami iz člena 92 te uredbe in člena 73 Direktive 2013/36EU:

(a) povzetek pristopa institucije k ocenjevanju ustreznosti njenega notranjega kapitala za podporo obstoječih in prihodnjih dejavnosti;

(b) na zahtevo zadevnega pristojnega organa rezultat procesa ocenjevanja ustreznega notranjega kapitala institucije, vključno s sestavo pribitkov iz zahtev po dodatnem kapitalu, na podlagi procesa nadzorniškega pregledovanja iz točke (a) člena 104(1) Direktive 2013/36/EU;

(c) za institucije, ki izračunavajo zneske tveganju

16

prilagojenih izpostavljenosti v skladu s poglavjem 2 naslova II dela 3, 8 % zneskov tveganju prilagojenih izpostavljenosti za vsako kategorijo izpostavljenosti iz člena 112; (d) za institucije, ki izračunavajo zneske tveganju prilagojenih izpostavljenosti v skladu s poglavjem 3 naslova II dela 3 (pristop IRB), 8 % zneskov tveganju prilagojenih izpostavljenosti za vsako kategorijo izpostavljenosti, določeno v členu 147; za kategorijo izpostavljenosti na drobno ta zahteva velja za vsako od podkategorij izpostavljenosti, ki ustreza različnim korelacijam iz člena 154(1) do (4). Za kategorijo izpostavljenosti iz naslova lastniških instrumentov se ta zahteva uporablja za: (i) vsak pristop iz člena 155; (ii) izpostavljenosti, s katerimi se trguje na borzi, izpostavljenosti iz naslova lastniških instrumentov nejavnih družb v dovolj razpršenih portfeljih in druge izpostavljenosti, (iii) izpostavljenosti, ki so predmet prehodnega obdobja v zvezi s kapitalskimi zahtevami; (iv) izpostavljenosti, za katere se uporabljajo predhodna pravila o kapitalskih zahtevah;

(e) kapitalske zahteve, izračunane v skladu s točkama (b) in (c) člena 92(3);

(f) kapitalske zahteve, izračunane v skladu s poglavji 2, 3 in 4, naslova III dela 3 in ločeno razkrite.

Institucije, ki izračunavajo zneske tveganju prilagojenih izpostavljenosti v skladu s členom 153(5) ali 155(2) razkrijejo izpostavljenosti, razvrščene v vsako kategorijo iz razpredelnice 1 v členu 153(5), ali dodeljene vsaki uteži tveganja iz člena 155(2).

Izpostavljenost kreditnemu tveganju nasprotne stranke

439. člen Uredbe CRR

Institucije razkrijejo naslednje informacije v zvezi z izpostavljenostjo institucije kreditnemu tveganju nasprotne stranke iz poglavja 6 naslova II, dela 3:

(a) obrazložitev uporabljene metodologije za določanje notranjega kapitala in kreditnih limitov za kreditne izpostavljenosti do nasprotne stranke;

(b) obrazložitev politik za zagotavljanje zavarovanja s premoženjem in ustvarjanja kreditnih rezerv;

(c) obrazložitev politik v zvezi z izpostavljenostmi tveganju neugodnih gibanj;

(d) obrazložitev glede vpliva obsega zavarovanja s premoženjem, ki bi ga morala institucija zagotoviti v primeru znižanja ocene bonitetne ocene;

(e) bruto pozitivno pošteno vrednost pogodb, učinke pobota, pobotane tekoče kreditne izpostavljenosti, prejeto zavarovanje s premoženjem in neto kreditno izpostavljenost iz

17

naslova izvedenih finančnih instrumentov. Neto kreditna izpostavljenost iz naslova izvedenih finančnih instrumentov je kreditna izpostavljenost pri poslih z izvedenimi finančnimi instrumenti, po upoštevanju učinkov iz pravno izvršljivih pogodb o pobotu in dogovorov o zavarovanju s premoženjem; (f) mere vrednosti izpostavljenosti po metodah, določenih v oddelkih 3 do 6 poglavja 6 naslova II, dela 3, odvisno od metode, ki je uporabljena;

(g) hipotetično vrednost varovanj v obliki kreditnih izvedenih finančnih instrumentov in porazdelitev tekoče kreditne izpostavljenosti po vrstah kreditne izpostavljenosti;

(h) hipotetične zneske poslov s kreditnimi izvedenimi finančnimi instrumenti, ločene glede na uporabo za lastni kreditni portfelj institucije in za njene posredniške dejavnosti, vključno s porazdelitvijo uporabljenih produktov kreditnih izvedenih finančnih instrumentov, dodatno razčlenjenih glede nakupljeno in prodano zavarovanje znotraj posamezne skupine produktov; razkritje 6.8

(i) oceno vrednosti α, če je institucija dobila dovoljenje pristojnih organov za oceno vrednosti α.

Kapitalski blažilniki2 Uredba CRR, člen 440 Delegirana uredba komisije z dne 28. maja 2105 glede regulativnih tehničnih standardov za razkritje informacij v zvezi s skladnostjo institucij z zahtevo za proticikličen kapitalski blažilnik v skladu s členom 440

1. Institucija razkrije naslednje informacije glede izpolnjevanja zahtev za proticiklične kapitalske blažilnike iz poglavja 4 naslova VII Direktive 2013/36EU:

(a) geografsko porazdelitev njenih kreditnih izpostavljenosti, ustreznih za izračun proticikličnih kapitalskih blažilnikov;SL 27.6.2013 Uradni list Evropske unije L 176/257

(b) znesek posamezni instituciji lastnega proticikličnega kapitalskega blažilnika.

Kazalniki splošnega sistemskega pomena Uredba CRR, člen 441 Popravki zaradi kreditnega tveganja Uredba CRR, člen 442 Institucije razkrijejo naslednje informacije o

2 Na podlagi sklepa Sveta Banke Slovenije, sprejetega na 546. seji, dne 8. 12. 2015 Banka Slovenija uvaja makrobonitetni ukrep proticiklični kapitalski blažilnik (v nadaljevanju blažilnik). Ukrep je v veljavi od 1. 1. 2016 dalje. Namen instrumenta je zaščititi bančni sistem pred morebitnimi izgubami takrat, kadar so le-te povezane s povečanjem tveganj v sistemu zaradi čezmerne rasti kreditiranja. Tako neposredno povečuje odpornost bančnega sistema ter preprečuje čezmerno rast kreditiranja. Blažilnik se aktivira, kadar je čezmerna rast kreditiranja povezana s povečanjem tveganj v sistemu. Vrednost blažilnika se lahko giblje med 0 % in 2,5 % zneska skupne izpostavljenosti tveganjem (izjemoma tudi više). Odvisna je od višine tveganj v sistemu. Ob obratu kreditnega cikla ali znižanju tveganj se vrednost blažilnika ali zniža ali v celoti sprosti (0 %). Ob sprostitvi (ali znižanju) nižja vrednost blažilnika bankam omogoči absorpcijo morebitnih izgub. Obenem se zmanjša tveganje, da bi regulatorni kapital omejeval ponudbo kreditov.

18

izpostavljenosti institucije kreditnemu tveganju in tveganju zmanjšanja vrednosti: (a) opredelitev "zapadlosti" in "oslabljenosti" za računovodske namene;

(b) opis pristopov in metod, sprejetih za določanje posebnih in splošnih popravkov zaradi kreditnega tveganja;

(c) skupni znesek izpostavljenosti po računovodskih pobotih in brez upoštevanja učinkov iz naslova zmanjšanja kreditnega tveganja ter povprečni znesek izpostavljenosti skozi obdobje, razčlenjen na različne vrste kategorij izpostavljenosti;

(d) geografsko porazdelitev izpostavljenosti, razčlenjenih v pomembna območja po pomembnih kategorijah izpostavljenosti, in po potrebi tudi dodatne podrobnosti;

(e) porazdelitev izpostavljenosti glede na gospodarsko panogo ali vrsto nasprotne stranke, razčlenjenih po kategorijah izpostavljenosti, vključno s prikazom izpostavljenosti do MSP, ter po potrebi dodatne podrobnosti;

(f) razčlenitev vseh izpostavljenosti po preostali zapadlosti, razčlenjenih glede na kategorije izpostavljenosti, ter po potrebi dodatne podrobnosti;

(g) glede na pomembno gospodarsko panogo ali vrsto nasprotne stranke, znesek: (i) oslabljenih izpostavljenosti in zapadlih izpostavljenosti, navedenih ločeno, (ii) posebnih in splošnih popravkov zaradi kreditnega tveganja; (iii) oblikovanih posebnih in splošnih popravkov zaradi kreditnega tveganja v obdobju poročanja;

(h) znesek oslabljenih izpostavljenosti in zapadlih izpostavljenosti, navedenih ločeno in razčlenjenih glede na pomembna geografska območja, če je to praktično izvedljivo, vključno z zneski posebnih in splošnih popravkov zaradi kreditnega tveganja v zvezi z vsakim geografskim območjem;

(i) prikaz sprememb posebnih in splošnih popravkov zaradi kreditnega tveganja za oslabljene izpostavljenosti, navedenih ločeno. Informacije obsegajo: (i) opis vrste posebnih in splošnih popravkov zaradi kreditnega tveganja; (ii) začetna stanja, (iii) zneske popravkov zaradi kreditnega tveganja v obdobju poročanja; (iv) zneske ocenjenih bodočih izgub od izpostavljenosti v obdobju poročanja, morebitne druge popravke, vključno s popravki iz naslova sprememb v menjalnih tečajih, poslovnih združitev, nakupov in prodaj podrejenih družb in prenose med

19

popravki zaradi kreditnega tveganja; (v) končna stanja. Posebni popravki zaradi kreditnega tveganja in poplačila, evidentirana neposredno v izkazu poslovnega izida, se razkrijejo ločeno. Neobremenjena sredstva Uredba CRR, člen 443

Smernice o razkritju obremenjenih in neobremenjenih sredstev, EBA, 27.6.2014

Uporaba ECAI Uredba CRR, člen 444 Za institucije, ki izračunavajo zneske tveganju prilagojenih izpostavljenosti v skladu s poglavjem 2 naslova II dela 3 se razkrijejo naslednje informacije za vsako kategorijo izpostavljenosti, določeno v členu 112;

(a) firme imenovanih ECAI in ECA ter razloge za morebitne spremembe;

(b) kategorije izpostavljenosti, za katere se uporablja posamezna ECAI ali ECA;

(c) opis procesa določanja uteži tveganja za izpostavljenosti, ki niso vključene v trgovalno knjigo, na podlagi bonitetnih ocen izdajatelja in izdaje;

(d) vzporeditev zunanje bonitetne ocene vsake imenovane ECAI ali ECA s stopnjami kreditne kakovosti, predpisanimi v poglavju 2 naslova II dela 3, ob upoštevanju, da te informacije ni treba razkriti, če je institucija usklajena s standardno shemo vzporeditve, ki jo objavi EBA;

(e) vrednosti izpostavljenosti in vrednosti izpostavljenosti po upoštevanju učinkov zmanjšanja kreditnega tveganja, povezanih z vsako stopnjo kreditne kakovosti, predpisane v poglavju 2 naslova II dela 3, kakor tudi vrednosti odbitkov od kapitala.

Izpostavljenost tržnemu tveganju Uredba CRR, člen 445 Institucije, ki svoje kapitalske zahteve izračunavajo v skladu s točkama (b) in (c) člena 92(3), razkrijejo svoje zahteve ločeno za vsako tveganje, navedeno v teh določbah. Poleg tega se ločeno razkrije tudi kapitalska zahteva za posebno obrestno tveganje pozicij v listinjenju.

Operativno tveganje Uredba CRR, člen 446 Institucije razkrijejo pristope za izračun kapitalskih zahtev za operativno tveganje, za katere institucija izpolnjuje pogoje; opis metodologije iz člena 312(2), če jo institucija uporablja, vključno z obrazložitvijo ustreznih notranjih in zunanjih dejavnikov, ki jih institucija upošteva v pristopu merjenja, ter v primeru delne uporabe, področje in obseg uporabe različnih uporabljenih metodologij.

Izpostavljenosti iz naslova lastniških instrumentov, ki niso vključeni v trgovalno knjigo

Uredba CRR, člen 447

Institucije v zvezi z izpostavljenostmi iz naslova

20

lastniških instrumentov, ki niso vključeni v trgovalno knjigo, razkrijejo naslednje informacije: (a) razlikovanje med izpostavljenostmi glede na njihove namene, vključno z razlogi v zvezi s kapitalskimi dobički in strateškimi razlogi, ter pregled uporabljenih računovodskih tehnik in metodologij vrednotenja, vključno s ključnimi predpostavkami in praksami, ki vplivajo na vrednotenje, ter kakršnimi koli pomembnimi spremembami teh praks;

(b) vrednost v bilanci stanja, pošteno vrednost in za tiste, s katerimi se trguje na borzi, primerjavo s tržno ceno, če se ta pomembno razlikuje od poštene vrednosti;

(c) vrste, naravo in zneske izpostavljenosti, s katerimi se trguje na borzi, izpostavljenosti iz naslova lastniških instrumentov nejavnih družb v dovolj razpršenih portfeljih in drugih izpostavljenostih;

(d) kumulativno realizirane dobičke ali izgube, ki izhajajo iz prodaj in likvidacij v zadevnem obdobju; in

(e) skupni znesek nerealiziranih dobičkov ali izgub, skupni znesek latentnih dobičkov ali izgub iz prevrednotenja in katerega koli od teh zneskov, ki je vključen v temeljni ali dodatni kapital.

Izpostavljenost obrestnemu tveganju pri postavkah, ki niso vključene v trgovalno knjigo


Institucije razkrijejo naslednje informacije o izpostavljenosti obrestnem tveganju pri postavkah, ki niso vključene v trgovalno knjigo:

(a) naravo tveganja obrestne mere in ključne predpostavke (vključno s predpostavkami o predčasnih odplačilih kreditov in gibanju nezapadlih vlog) ter pogostostjo merjenja obrestnega tveganja;

(b) spremembe v donosih, ekonomsko vrednost ali drugo ustrezno merilo, ki ga uporablja vodstvo v primeru naglega zvišanja ali znižanja obrestne mere v skladu z metodo vodstva za merjenje obrestnega tveganja, razčlenjene glede na valuto.SL 27.6.2013 Uradni list Evropske unije L 176/259

Izpostavljenost pozicijam v listinjenju Uredba CRR, člen 449 Politika prejemkov Uredba CRR, člen 450 1. Institucije razkrijejo vsaj naslednje informacije v zvezi s politiko prejemkov in prakso institucije za tiste kategorije zaposlenih, katerega profesionalne dejavnosti imajo pomemben vpliv na profil tveganja:

(a) informacije o procesu odločanja, ki se uporablja pri določanju politike prejemkov, in število sestankov, ki jih je v poslovnem letu opravil glavni organ za nadzor prejemkov, vključno z, če je to primerno, informacijami o sestavi in pooblastilih

21

komisije za prejemke, zunanjem svetovalcu, katerega storitve so se uporabljale pri določanju politike prejemkov, in vlogo relevantnih zainteresiranih strani; (b) informacije o povezavi med plačilom in uspešnostjo;

(c) najpomembnejše značilnosti zasnove sistema prejemkov, vključno z informacijami o merilih, uporabljenih za merjenje uspešnosti in prilagoditev zaradi tveganja, politiki odloga in merilih za dodelitev pravice do izplačila;

(d) razmerje med fiksnimi in variabilnimi prejemki, določeno v skladu s členom 94(1)(g) Direktive 36/2013.

(e) informacije o merilih uspešnosti, na katerih temelji pravica do delnic, opcij ali variabilnih sestavin prejemkov;

(f) glavne parametre in utemeljitev za vsako shemo variabilnih sestavin in druge nedenarne ugodnosti:

(g) združene kvantitativne informacije o prejemkih, razčlenjene po področju poslovanja;

(h) združene kvantitativne informacije o prejemkih, razčlenjene glede na višje vodstvo in zaposlene, katerih dejavnosti imajo pomemben vpliv na profil tveganosti institucije, pri čemer je navedeno naslednje: (i) zneski prejemkov za finančno leto, razdeljeni na fiksne in variabilne prejemke, in število upravičencev; razkritje (ii) zneski in oblika variabilnih prejemkov, ločeno na gotovino, delnice, z delnicami povezane instrumente ter druge vrste teh prejemkov; (iii) zneski neporavnanih odloženih prejemkov, ločeno na del z in del brez dodeljene pravice do izplačila; (iv) zneski odloženih prejemkov, dodeljeni v finančnem letu, izplačani in zmanjšani s prilagoditvijo glede na uspešnost; (v) novi pogodbeno vnaprej dogovorjeni variabilni prejemki in odpravnine v finančnem letu, in število upravičencev do teh plačil;SL 27.6.2013 Uradni list Evropske unije L 176/261 (vi) zneski odpravnin, dodeljenih med finančnim letom, število upravičencev in najvišja takšna dodelitev posamezni osebi;

(i) število posameznikov, ki se jim izplača 1 milijon EUR ali več na finančno leto, za izplačilo med 1 milijonom EUR in 5 milijoni EUR, razdeljeno na obroke po 500 000 EUR, in za izplačilo 5 milijonov EUR ali več, razdeljeno na obroke po 1 milijon EUR;

(j) na zahtevo države članice ali pristojnega organa celotni prejemek vsakega člana upravljalnega organa ali višjega vodstva.

22

2. Za institucije, ki izstopajo zaradi svoje velikosti, notranje organizacije in narave, področja in zapletenosti svojih dejavnosti, se kvantitativne informacije iz tega člena prav tako javno objavijo na ravni članov upravljalnega organa institucije.

Finančni vzvod Uredba CRR, člen 451 IZVEDBENA UREDBA KOMISIJE (EU) 2016/200 z dne 15. februarja 2016 o določitvi izvedbenih tehničnih standardov glede razkritja količnika finančnega vzvoda za institucije v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta

1. Institucije razkrijejo naslednje informacije v zvezi s količnikom finančnega vzvoda, izračunanega v skladu s členom 429, ter o tem, kako obvladujejo tveganje prekomernega finančnega vzvoda:

(a) količnik finančnega vzvoda in kako institucija uporablja člen 499(2) in (3); (b) razčlenitev mere skupne izpostavljenosti in usklajenost te mere z zadevnimi informacijami, razkritimi v objavljenih računovodskih izkazih; (c) kadar je to ustrezno, znesek fiduciarnih postavk, za katere je bilo odpravljeno pripoznanje, v skladu s členom 429(11); (d) opis procesov, ki se uporabljajo za upravljanje tveganj prekomernega finančnega vzvoda; (e) opis dejavnikov, ki so vplivali na količnik finančnega vzvoda v obdobju, na katerega se nanaša razkriti količnik finančnega vzvoda.

Kvalifikacijske zahteve za uporabo določenih instrumentov ali metodologij

Uporaba pristopa IRB pri kreditnih tveganjih Uredba CRR, člen 452 Uporaba tehnik za zmanjševanje kreditnih tveganj Uredba CRR, člen 453 Institucije, ki uporabljajo tehnike za zmanjševanje kreditnih tveganj, razkrijejo naslednje informacije:

(a) politike in procese za bilančni in zunajbilančni pobot ter navedbo obsega, v katerem ga uporabljajo;

(b) politike in procese za vrednotenje in upravljanje zavarovanja s premoženjem;

(c) opis glavnih vrst zavarovanja s premoženjem, ki jih sprejema institucija;

(d) glavne vrste izdajateljev jamstva in nasprotnih strank pri izvedenih finančnih instrumentih ter njihovo kreditno kakovost;

(e) informacije o koncentracijah tržnega ali kreditnega tveganja v okviru prevzetega zmanjševanja kreditnega tveganja;SL 27.6.2013 Uradni list Evropske unije L 176/263

(f) za institucije, ki izračunavajo zneske tveganju prilagojenih izpostavljenosti v skladu s standardiziranim pristopom ali pristopom IRB, ne

23

zagotavljajo pa lastnih ocen LGD ali konverzijskih faktorjev glede na kategorijo izpostavljenosti, ločeno za vsako kategorijo izpostavljenosti, skupno vrednost izpostavljenosti (po bilančnem ali zunajbilančnem pobotu, če se uporabljata), ki jo krije – po uporabi prilagoditev za nestanovitnost – primerno zavarovanje s finančnim premoženjem in druga primerna zavarovanja s premoženjem; (g) za institucije, ki izračunavajo zneske tveganju prilagojenih izpostavljenosti v skladu s standardiziranim pristopom ali pristopom IRB, ločeno za vsako kategorijo izpostavljenosti, skupno izpostavljenost (po bilančnem ali zunajbilančnem pobotu, če se uporabljata), ki je krita z jamstvi ali kreditnimi izvedenimi finančnimi instrumenti. Za kategorijo izpostavljenosti iz naslova lastniških instrumentov ta zahteva velja za vse pristope iz člena 155.

Uporaba naprednih pristopov za merjenje operativnega tveganja

Institucije, ki uporabljajo pristope AMA iz členov 321 do 324 za izračun kapitalskih zahtev za operativno tveganje, razkrijejo opis uporabe zavarovanj in drugih oblik prenosa tveganja za namene zmanjševanja tega tveganja.


Uporaba notranjih modelov za tržna tveganja Uredba CRR, člen 455 1.4.3. Pogostost razkritij

Banke razkritja v zahtevani vsebini pripravijo in objavijo enkrat letno, posamezna razkritja pa tudi pogosteje. Same odločajo glede vrste informacij in ravni podrobnosti, ki jih bodo razkrile za zagotavljanje informacij o svojem poslovanju in profilu tveganja. Kljub temu bi morale banke posvetiti večjo pozornost presoji potrebe po pogostejšem razkrivanju informacij. V skladu z dokumentom Smernice organa EBA o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij v skladu s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013 morajo posebno pozornost tovrstni presoji nameniti banke, ki izpolnjujejo pogoje:

- institucija je ena od treh največjih institucij v državi, - konsolidirana sredstva institucije presegajo 30 milijard EUR, - štiriletno povprečje bilančne vsote institucije presega 20% štiriletnega povprečja BDP njene

domače države članice, - institucija ima konsolidirane izpostavljenosti v skladu s členom 429 Uredbe (EU) 575/2013, ki

presegajo 200 milijard EUR ali enakovreden znesek v tuji valuti z uporabo referenčnega deviznega tečaja, ki ga objavi ECB in velja ob koncu poslovnega leta.

Glede na določila Smernic o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij bi morale biti posamezne informacije razkrite pogosteje kot letno:

- informacije v zvezi s kapitalom in ustreznimi količniki v skladu s členom 437 in členom 439 Uredbe CRR,

- informacije v zvezi s kapitalskimi zahtevami v skladu s točkami c do f člena 438 Uredbe CRR, - informacije o količniku finančnega vzvoda v skladu s 451. členom Uredbe CRR,

24

- informacije o izpostavljenosti tveganjem, zlasti kvantitativne informacije o notranjih modelih v skladu s 452 d, e in f členom Uredbe CRR (IRB pristop),

- informacije o drugih podatkih, ki se hitro spreminjajo, in podatkih iz dela 8 Uredbe CRR, ki so se v obdobju poročanja znatno spremenili,

- informacije za katere banka ugotovi potrebo po pogostejšem razkrivanju zaradi potrebe po predstavitvi celovitega profila tveganja udeležencem na trgu.

Januarja 2015 je Baselski odbor izdal prenovljene zahteve v zvezi s stebrom 3, na osnovi tega dokumenta je EBA pripravila Smernice glede zahtevanih razkritij v skladu z osmim delom CRR – dokument je v obliki osnutka za razpravo. V marcu 2016 je baselski odbor izdal drugi del prenovljenih zahtev glede razkritij, ki se nanašajo na lastni kapital, finančni vzvod, likvidnost in druga sredstva. Medtem ko prvi dokument iz januarja 2015 podrobno obdela razkritja iz vidika smernic razkrivanja informacij, povezave z letnimi računovodskimi izkazi, upravljanja tveganj, tvegane aktive, kreditnega tveganja, obvladovanja kreditnega tveganja, kreditnega tveganja nasprotne stranke, listinjenja in tržnega tveganja. Pričakuje se, da bo končni dokument izdan do konca leta 2016 in se bo uporabljal pri pripravi razkritij za leto 2017. Iz navedenih dokumentov je razvidna smer sprememb glede zahtevanih razkritij. Z uvedbo novih smernic je pričakovati večjo primerljivost med bankami, saj se v večji meri predpisuje oblika in vsebina razkritij, dodatno je tudi določena pogostost razkrivanja informacij. Natančno je določeno katera zahtevana razkritja v skladu z osmim delom CRR je potrebno objaviti letno in katera pogosteje in na katero časovno obdobje. (Povzeto po: Revised Pillar 3 disclosure requirement, Basel Basel Committee on Banking Supervision, januar 2015) 1.4.4. Uporaba pravil zaupnosti, poslovne skrivnosti in nepomembnosti razkritih informacij

V Uredbi CRR je v 432. členu opredeljena obravnava pomembnih, zaupnih informacij in informacij, ki so poslovna skrivnost. Banka lahko iz razkritij izpusti informacije, ki so nepomembne, zaupne ali predstavljajo poslovno skrivnost banke. Banka lahko opusti razkritje nepomembnih informacij, ki se nanašajo na tehnična merila za preglednost razkritij (naslov II 8. dela uredbe CRR) razen predpisanih razkritij kapitala (437. člen CRR), politike glede raznolikosti pri izboru članov upravljalnega organa (435.2.c CRR), splošne in konkretne cilje te politike ter v kolikšni meri so bili doseženi in politike prejemkov (450. člen CRR). V nadaljevanju izhaja iz 432. člena CRR, da lahko banka izpusti iz razkritij informacije, ki se štejejo za zaupne ali so poslovna skrivnost in se nanašajo na tehnična merila za preglednost razkritij (naslov II 8. dela uredbe CRR) in na klasifikacijske zahteve za uporabo določenih instrumentov ali metodologij (naslov III 8. dela uredbe CRR), razen predpisanih razkritij kapitala in politike prejemkov.

V decembru 2014 je EBA izdala Smernice o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij v skladu s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013. Junija 2015 pa je bil sprejet sklep Banke Slovenije o uporabi teh smernic. V skladu s smernicami mora banka vzpostaviti postopek za oceno primernosti razkritij vključno z njihovo pogostostjo ter postopkom o uporabi opustitev razkritij. Dejavniki, ki se upoštevajo pri presoji pomembnosti, poslovne skrivnosti in zaupnosti informacij so opredeljeni v Smernicah o pomembnosti, poslovni skrivnosti in zaupnosti ter pogostosti razkritij.

Iz smernic tako izhaja postopek v zvezi s presojo uporabe pravil zaupnosti in poslovne skrivnosti ter nepomembnosti informacije. Pri tem poudarjajo da naj bo postopek sorazmeren z velikostjo, obsegom poslovanja in obsegom dejavnosti banke ter skladen z notranjo organizacijo. Za vzpostavljen postopek je tako pomembno:

25

- da ga odobri upravljalni organ ali njena imenovana komisija, - opredeliti je potrebno organizacijsko enoto ali enote, višje vodstvo ali njegove komisije in

zaposlene, odgovorne za načrtovanje, izvajanje in pregledovanje politik o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij,

- zagotoviti, da se vložek vseh zadevnih enot in funkcij npr. funkcij upravljanja tveganj, enote skladnosti poslovanja in katerihkoli drugih pomembnih funkcij, upošteva pri načrtovanju, izvajanju in pregledovanju politik,

- zagotoviti, da so višje vodstvo in njegove komisije odgovorne za sprejetje končne odločitve o tem, ali podatek opustiti oziroma ali šteti pogostost za primerno, po tem, ko se upoštevajo ustrezno utemeljeni predlogi, ki jih sprejmejo ustrezna organizacijska enota ali enote in zaposleni, zadolženi za izvajanje politik o pomembnosti, poslovni skrivnosti in zaupnosti ter pogostosti razkritij,

- opredeliti postopek poročanja o izvajanju politik o pomembnosti, poslovni skrivnosti in zaupnosti ter pogostosti razkritij,

- določiti ustrezno raven preglednosti za vsako opustitev ali ustrezno pogostost.

Pomembno je, da se v celoti hranijo in dokumentirajo dokazila o izvajanju postopka in ocenah glede poslovne skrivnosti, zaupnosti, pomembnosti in pogostosti razkritij z namenom, da se zagotovi sledljivost in preglednosti izvajanja politike razkritij ter posebej pravil glede izjem (uporabe pravil zaupnosti, poslovne skrivnosti, pomembnosti in pogostosti).

Pri oceni pomembnosti je potrebno izhajati iz:

- izvaja se redno oziroma vsaj enkrat letno, - ocena se izvede tako za kvantitativna kot kvalitativna zahtevana razkritja, - pomembnost bi bilo potrebno oceniti na ravni vsake posamezne zahteve po razkritju in kjer je

primerno na zbirni osnovi. Pomembno je oceniti ali bi kumulativni učinek opustitve posebnih zahtev po razkritju, ki se posamično štejejo za nepomembne, povzročil opustitev informacij, ki bi lahko vplivala na poslovne odločitve uporabnikov,

- pri ocenjevanju pomembnosti je potrebno upoštevati tudi širše okoliščine npr. vliv gospodarskega in političnega okolja,

- pomembnost bi morala temeljiti na konceptu prilagojenemu uporabniku, saj posamezna zahteva po razkritju morda ni pomembna za banko, je pa pomembna za uporabnika. Obseg razkritih informacij je zato potrebno prilagoditi potrebam uporabnikov ter presoditi učinek razkritij na njihovo razumevanje banke in njenega profila tveganja,

- pomembnost bi bilo potrebno oceniti iz vidika posebne narave in namena zahtev, ki se ocenjujejo. Merila se ne bi smela uporabiti na enak način za vse zahteve po razkritjih. Zlasti so pomembna različna merila za ocenjevanje kvalitativnih in kvantitativnih razkritij,

- pomembnost bi morala temeljiti na konceptu, značilnem za banko, - pomembnost ni odvisna le od velikosti. Povezana je s kvantitativnim pomenom v smislu

količine in/ali kvalitativnim pomenom v smislu narave zadevne informacije kot so izpostavljenosti ali tveganja, ki so lahko pomembna zaradi svoje narave ali obsega. Ocena pomembnosti, ki temelji le na kvantitativnih pristopih se ne bi smela šteti kot primerna,

- pri ocenjevanju pomembnosti je bistveno, da se skozi čas ne ocenjuje vedno z istimi merili, saj se okolje v katerem deluje banka spreminja – tako notranje kot zunanje okolje, spreminja se tudi izpostavljenost tveganjem.

Banka lahko določi dodatna pravila za ocenjevanje pomembnosti. Pomembno je opredeliti kdo oceno pomembnosti izvaja in kakšna merila lahko uporabi pri tem. Banka določi merila za ocenjevanje

26

pomembnosti v odvisnosti od velikosti in obsega poslovanja. V konkretni banki merila presoje pomembnosti informacij niso bila opredeljena, razlog je bil v tem, da je banka razkrila vse predpisane informacije ne glede na možnost izvzetja glede na pomembnost.

Pri možni opustitvi razkritij se lahko uporabi tud pravilo zaupnosti ali poslovne skrivnosti informacije. Pri tem je potrebno upoštevati:

- vpliv razkrite informacije na morebitno oslabitev konkurenčnega položaja (informacije o produktih in sistemih, informacije povezane s konkurenčno pomembnimi poslovnimi pogoji ali poslovnimi okoliščinami),

- splošno tveganje morebitne slabitve konkurenčnosti ne bi smelo biti samo po sebi razlog za opustitev razkritja,

- opustitev razkritja se ne bi smela uporabiti za izogibanje razkritju informacije, ki bi škodile banki na trgu, ker te informacije odražajo neugoden profil tveganj,

- upoštevati bi bilo potrebno oslabitev konkurenčnega položaja na primer v smislu velikosti, obsega poslovanja in področja dejavnosti. Banke bi morale utemeljiti kako bi razkritje teh informacij zagotovilo preveč vpogleda v njihove poslovne strukture.

Pri ocenjevanju zaupnosti informacij je potrebno upoštevati naslednje:

- primeri v kateri je informacija ocenjena kot zaupna in posledično nerazkrita bi morali biti izjeme,

- splošno sklicevanje na zaupnost ni zadostni razlog nerazkrivanja. Potrebno je opredeliti in analizirati v kolikšni meri bi razkritje vplivalo na pravice bančnih strank ali nasprotnih strank oziroma bi pomenilo kršitev zakonsko določenih obveznosti glede zaupnosti. Pri analiziranju bi bilo potrebno upoštevati tudi mnenje pravnih strokovnjakov.

V primeru opustitve razkritja iz utemeljenih razlogov mora banka zagotoviti dodatna razkritja. Kadar oceni, da je razlog za opustitev nepomembnost informacije mora to jasno navesti. Kadar informacija ni razkrita, ker je ocenjena za poslovno skrivnosti ali zaupno informacijo je potrebno jasno razkriti vrsto informacij in zahteve po razkritju, ki je bila tako ocenjena, obrazložiti zakaj informacija ni razkrita (na osnovi česa je bila ocenjena za poslovno skrivnost ali zaupno informacijo). Navesti je potrebno več splošnih informacij o vsebini zahteve po razkritju. Navedeno pomeni, da se zapiše primerno razkritje pri čemer se upošteva vidik zaupnosti in poslovne skrivnosti na prime ne navedejo se imena posameznih strank, informacije se združijo. Po uporabi pravila zaupnosti in poslovne skrivnosti informacij je pomembno, da se s splošnimi razkritji, ki upoštevajo navedena načela uporabnikom omogoči vpogled in razumevanje profila tveganosti banke v obdobju na katerega se razkritja nanašajo.

1.5. Notranje revidiranje razkritij v banki

Z veljavnostjo 1. januar 2007 je Banka Slovenija izdala Sklep o razkritjih s strani bank in hranilnic. S sklepom so bila opredeljena razkritja informacij, ki morajo biti javno objavljene vsaj enkrat letno. Informacije so se v skladu s sklepom lahko razkrile v letnem poročilu ali samostojnem dokumentu. V kolikor so bile informacije razkrite v samostojnem dokumentu je moral biti le-ta javno objavljen hkrati z letnim poročilom. Iz 8. člena sklepa je izhajalo, dav kolikor so razkritja objavljena v samostojnem dokumentu njihovo verodostojnost preveri služba notranje revizije, kar je potrebno v dokumentu tudi navesti. V kolikor so razkritja sestavni del letnega poročila pa jih preveri pooblaščeni revizor. Obravnavana banka je razkritja v ločenem dokumentu prvič pripravila za leto 2009 in jih prvič javno objavila hkrati z letnim poročilom za leto 2009. Javna objava je bila aprila 2010. Za spremembo se je banka odločila zaradi obsega zahtevanih razkritij, ki bi posledično vplivala tudi na obseg letnega

27

poročila, ki je že tako obsežno. Drugi vidik ločenega poročila pa je večja preglednost nad razkritji, ki predstavljajo ločeno zaokroženo celoto. Z nastankom ločenega poročila z razkritji je nastopila tudi zakonska obveznost notranje revizije za preverjanje verodostojnosti razkritij. Od takrat notranja revizija letno izvaja revizijo skladnosti procesa razkrivanja informacij v skladu z zakonodajo in internimi akti. Revizija je vključena v letni načrt dela notranje revizije kot zakonsko obvezna revizija.

1.5.1. Podlage za izvajanje notranjega revidiranja v banki

Delovanje in naloge notranje revizije v bankah je zakonsko opredeljeno in izhaja iz ZBan-2, šestega poglavja, ki se nanaša na ureditev notranjega upravljanja in ustrezni notranji kapital. Podrobneje je področje delovanja, naloge in odgovornosti notranje revizije urejeno v Sklepu o ureditvi notranjega upravljanja, upravljalnem organu in procesu ocenjevanja ustreznega notranjega kapitala za banke in hranilnice. Zakon tako določa, da mora uprava organizirati službo notranje revizije kot samostojni organizacijski del, ki je neposredno podrejen upravi banke ter organizacijsko in funkcionalno ločen od ostalih organizacijskih delov banke. Naloge, namen in pomen morajo biti opredeljene v internem aktu, ki ga sprejme uprava banke v soglasju z nadzornim svetom.

Iz zakona izhajajo naloge notranje revizije v banki, ki so:

- spremljanje in ocenjevanje učinkovitosti ureditve notranjega upravljanja; - presojo procesa ocenjevanja ustreznega notranjega kapitala glede na lastno oceno tveganj

banke; - presojo zanesljivosti informacijskega sistema, vključno z elektronskim informacijskim

sistemom in elektronskimi bančnimi storitvami; - presojo zanesljivosti in verodostojnosti računovodskih evidenc in finančnih poročil; - preverjanje popolnosti, zanesljivosti in pravočasnosti poročanja v skladu s predpisi; - preverjanje skladnosti ravnanja banke s predpisi, internimi akti in ukrepi, sprejetimi na njihovi

podlagi; - izvajanje posebnih preiskav.

Namen delovanja notranje revizije v banki je zagotavljanje neodvisne ocene upravi banke, nadzornemu svetu, revizijski komisiji, višjemu vodstvu, glede kakovosti in učinkovitosti ureditve notranjega upravljanja, vključno s sistemi in procesi upravljanja tveganj ter notranjimi kontrolami banke. Notranja revizija je v podporo in pomoč upravi banke in nadzornemu svetu pri varovanju dolgoročnih interesov banke ter zaščiti njenega ugleda.

Zakon posebej določa, da notranja revizija zavezana delovati v skladu s standardi strokovnega ravnanja pri notranjem revidiranju, kodeksom načel notranjega revidiranja in kodeksom poklicne etike. Za namene zagotovitve skladnosti s tem določilom zakonodaje notranja revizija banke izdela program zagotavljanja kakovosti delovanja notranje revizije, ki sestoji iz notranjih in zunanjih presoj. Na osnovi izvajanja programa zagotavljanja kakovosti delovanja notranje revizije pridobi notranja revizija, uprava banke in nadzorni svet zagotovilo o skladnosti delovanja notranje revizije s pravili stroke. Rezultat opravljenih presoj so tudi podana priporočila in možne izboljšave, ki vplivajo na izboljšanje kakovosti delovanja notranje revizije.

ZBan-2 v nadaljevanju podaja tudi zahteve glede kadrovske strukture notranje revizije, pri čemer je novost ZBan-2 določilo, da mora imeti vsaj en zaposleni, ki opravlja naloge notranjega revidiranja naziv preizkušeni notranji revizor ali preizkušena notranja revizorka. Hkrati mora imeti tudi ustrezne lastnosti in izkušnje za opravljanje nalog notranjega revidiranja v banki v skladu z dobrimi praksami in visokimi etičnimi standardi. Zakon posebej pa sklep določata pravila glede imenovanja in razrešitve

28

direktorja notranje revizije. Le-tega imenuje ali razreši uprava banke s soglasjem nadzornega sveta. Direktor notranje revizije spada med ključne kadre banke za katere se izdela ocena primernosti kandidata (fit & proper).

Bistveno za delovanje notranje revizije je njena neodvisnost, zato mora uprava zagotoviti, da notranja revizija:

- uresničuje in koordinira naloge notranjega revidiranja na lastno pobudo, na vseh področjih, dejavnostih, procesih in funkcijah banke, vključno s funkcijo upravljanja tveganj in službo skladnosti poslovanja, ne da bi bili pri tem zaposleni službe notranje revizije izpostavljeni kakršnim koli poskusom neprimernega vplivanja ali pritiskov s strani člana upravljalnega organa ali člana višjega vodstva, z namenom oslabitve neodvisnega delovanja službe notranje revizije;

- ne sodeluje neposredno pri določanju, razvoju, vzpostavitvi in izvajanju notranjih kontrol - ima pravico dostopa do vseh prostorov, zaposlenih, informacij in podatkov banke.

Z namenom uresničevanja učinkovitosti notranje revizije mora uprava banke zagotoviti:

- dosledno in pravočasno obravnavo vseh predloženih poročil, ugotovitev in predlogov ukrepov te službe ter od višjega vodstva zahtevati ustrezno odpravo ugotovljenih kršitev in nepravilnosti v skladu z dogovorjenimi roki. Morebitno neupoštevanje priporočil službe notranje revizije ter morebitne zamude pri odpravi ugotovljenih nepravilnosti glede na dogovorjene roke mora biti pisno utemeljeno s strani naslovnika priporočil službe notranje revizije;

- pravočasno obveščanje službe notranje revizije glede vseh pomembnih odločitev (npr. uvajanje novih produktov, uporaba pomembnih zunanjih izvajalcev, sprememba informacijske tehnologije) ter pomembnih tveganj banke. Služba notranje revizije te informacije upošteva pri oceni tveganj za namen letnega načrta dela.

Nadzorni svet mora, z namenom uresničevanja neodvisnega delovanja službe notranje revizije, spremljati uspešnost in učinkovitost izvajanja nalog notranjega revidiranja službe notranje revizije na podlagi:

- obravnave poročil notranjega revidiranja; - rednih sestankov (npr. na kvartalni ravni) med predsednikom nadzornega sveta oziroma

predsednikom revizijske komisije in vodjo službe notranje revizije. Ti sestanki morajo potekati brez prisotnosti članov uprave, njihovih pooblaščencev ali drugega višjega vodstva.

Banka mora vodji službe notranje revizije zagotoviti dostop do zapisnikov sej nadzornega sveta.

Notranja revizija izvaja svoje naloge na podlagi letnega načrta dela, ki je zasnovan na oceni tveganj. Letni načrt sprejme uprava banke s soglasjem nadzornega sveta. Letni načrt mora obsegati področja poslovanja na katerih bodo opravljene revizije in opis vsebine načrtovanih revizij po posameznih področjih. O izvajanju letnega načrta dela notranja revizija poroča najmanj polletno in letno. Poročila se predložijo upravi in nadzornemu svetu.

1.5.2. Pomen notranjega revidiranja razkritij v banki

Revizija razkritij je bila zakonsko obvezna revizija. Banka Slovenije je s Sklepom o razkritjih za banke in hranilnice opredelila, da verodostojnost razkritij preveri notranja revizija v kolikor so razkritja objavljena v samostojnem dokumentu. V kolikor so razkritja sestavni del letnega poročila jih

29

pregleda zunanji revizor. Kaj pomeni pregled razkritij s strani zunanjega revizorja je Slovenski inštitut za revizijo opredelil v Stališču 8 – Revizorjev pregled in poročanje o letnem poročilu ter drugih zakonskih in regulativnih zahtevah bank in hranilnic. V zvezi z razkritji je v stališču navedeno, da zunanji revizor pri revizijskem pregledu razkritij preverja:

- ali ima banka izdelane in sprejete ustrezne politike o razkritjih banke, - obseg in pogostosti razkritij v skladu s sprejetimi politikami, - obseg in vsebino informacij, ki so predmet razkritij v skladu s sprejetimi politikami.

Razkrivanje informacije je ključnega pomena za doseganje tržne discipline. Banke na tak način omogočijo zainteresirani javnosti vpogled v celoten sistem upravljanja tveganja, metodologije in pristope spremljanja in merjenja tveganj ter »apetit« banke za prevzemanje tveganj. Razkrivanje navedenih informacij je bistvenega pomena zlasti glede na pretekle negativne izkušnje, ko so banke v veliki meri imele previsoki »apetit« za prevzemanje tveganj. Opažamo, da je v zadnjem obdobju velik poudarek na ureditvi področja upravljanja tveganj in jasni določitvi mej, govorimo o t.i. RAS – Risk Apetite Statement, kar pomeni tveganje, ki ga je banka pripravljena sprejeti z namenom uresničitve zastavljenih ciljev. V bankah celotni proces upravljanja tveganj poteka v okviru procesa ocenjevanja notranjega kapitala (ICAAP – internal capital adequacy assessment process). V okviru procesa banke identificirajo tveganja, jih merijo/ocenjujejo in ugotavljajo potrebni kapital za pokrivanje identificiranih tveganj. Po drugi strani banke vzpostavljajo ustrezen sistem notranjega upravljanja, ki se odraža tudi preko vzpostavitve organiziranosti po sistemu treh obrambnih linij.

Slika 2: Odgovornost za upravljanje tveganj/ 3 obrambne linije

Vir: KPMG predstavitev Kakovostna notranja revizija je lahko pomembni prispevek pri nadzoru poslovanja družbe, Posvet združenja nadzornikov Slovenije, september 2013

V modelu treh obrambnih linijah ima vsak organ in organizacijska enota, ki spada v posamezno obrambno linijo svoje naloge in odgovornosti.

http://beta1.finance.si/pics/cache_li/linije-9.1421176355.jpg

30

Družbo vodi uprava, ki zasleduje dolgoročni uspeh družbe prek zagotavljanja optimalnega vodenja in upravljanja tveganj. Uprava opredeli raven tveganja, ki ga bo družba sprejela, odgovorna je za vzpostavitev in delovanje kontrolnega okolja, daje usmeritve višjemu poslovodstvu, ki predstavlja vodstveno raven, podrejeno neposredno upravi banke, glede upravljanja tveganj, odgovorna je za vzpostavitev primerne organiziranosti družbe in kadrov, ki so usposobljeni za pravočasno odkrivanje in merjenje/ocenjevanje tveganj, nadzira odstopanje dejanske ravni izpostavljenosti tveganjem od želene. Raven tveganja, ki ga bo družba sprejela je odvisna od vrste poslov s katerimi se banka ukvarja in razpoložljivega kapitala. Vsak posel predstavlja za banko določeno tveganje in posledično pomeni porabo kapitala. Raven tveganja, ki ga družba sprejema se tako odraža preko vzpostavljenega limitnega sistema, ki pomeni koliko kapitala namerava banka nameniti za pokrivanje posameznih tveganj.

Višje poslovodstvo je odgovorno za vzpostavitev postopkov upravljanja tveganj na področjih za katera je odgovorno. Njegova naloga je vzpostavitev odzivov na identificirana tveganja. Možni odzivi so izogibanje, prenos, porazdelitev, zmanjšanje tveganja. Pomembno je, da višje poslovodstvo na posameznih področjih poslovanja imenuje skrbnike tveganj. Za uspešno upravljanje tveganj je pomembno, da višje poslovodstvo poskrbi za vzpostavitev in delovanje notranjih kontrol ter imenuje skrbnike sistema notranjih kontrol, ki imajo na nivoju prve linije nadzor nad učinkovitostjo in uspešnostjo vzpostavljenih notranjih kontrol, imajo možnost predlaganja ukinitve oziroma vzpostavitve nove kontrole.

Funkcija upravljanja tveganj spodbuja in spremlja uvajanje postopkov obvladovanja tveganj, pomaga poslovodstvu pri opredelitvi izpostavljenosti posameznim tveganjem, razvoju sistema poročanja o tveganjih, neodvisno poroča upravi o napredku pri upravljanju tveganj. Funkcija upravljanja tveganj spada v drugo obrambno linijo, kamor se uvršča tudi skladnost poslovanja, v bankah pogosto tudi informacijska in fizična varnost ter službe za upravljanje tveganja prevar. Pri funkcijah druge obrambne linije mora biti posebna pozornost namenjena nalogam in odgovornostim zlasti iz vidika, da ne prihaja do mešanja izvajalske in nadzorne funkcije, kar je lahko problematično zlasti v primeru kadar je ena oseba hkrati deloma odgovorna in zadolžena za operativno izvajanje in hkrati za nadzor. Z uvedbo ZBan-2 in posebej Sklepom o notranjem upravljanju je bila posebna pozornost namenjena opredelitvi nalog in odgovornosti ter organiziranosti funkcij druge in tretje obrambne linije. Z navedeno zakonodajo je bila funkcijam druge obrambne linije zagotovljena neodvisnost in možnost neposrednega kontakta z nadzornim svetom. Dodatno neodvisnost zagotavlja tem funkcijam tudi pristop pri imenovanju/razreševanju vodij, ki jih imenuje/razreši uprava banke s soglasjem nadzornega sveta.

V tretjo obrambno linijo se uvršča notranja revizija. Vloga notranje revizije pri ocenjevanju in upravljanju tveganj je pregledno razvidna iz spodnje slike.

Slika 3: Vloga notranje revizije pri ocenjevanju in upravljanju tveganj v skladu s priporočili IIA

Ključne vloge Legitimne vloge Nedovoljene vloge Dajanje zagotovil o obvladovanju tveganj Dajanje zagotovil o ustreznosti obvladovanja in ocenjevanja tveganj

Spodbujanje prepoznavanja in ocenjevanja tveganj Svetovanje poslovodstvu pri določanju primernih ukrepov za obvladovanje tveganj

Določanje ravni sprejemljive stopnje tveganj Vzpostavitev in uvedba upravljanja tveganji Zagotavljanje ustreznosti

31

Ocenjevanje upravljanja tveganj Ocenjevanje poročanja o izpostavljenosti ključnim tveganjem Pregledovanje in revidiranje obvladovanja ključnih tveganj

Koordiniranje aktivnosti, povezanih z uvajanjem upravljanja s tveganji Vzdrževanje in razvoj sistema obvladovanja tveganj Podpora vzpostavitvi upravljanja tveganj Priprava predloga strategije upravljanja tveganj, ki jo potrdi uprava

upravljanja tveganj Sprejemanje ukrepov za obvladovanje tveganj Uresničevanje ukrepov za obvladovanje tveganj Odgovornost za upravljanje tveganj

Vir: IIA Slovenski inštitut

Pomembno je, da je iz razkritij razviden sistem upravljanja tveganj banke in podrobnejša razkritja, ki se nanašajo na posamezne vrste tveganj. Vloga notranje revizije pri reviziji razkritij se nanaša predvsem na vidik skladnosti, kar pomeni, da se presoja ali so razkritja pripravljena v skladu z zahtevami zakonodaje. Poleg tega je vloga notranje revizije presoja procesa priprave razkritij v smislu ali je proces vzpostavljen in se izvaja na tak način, da zagotavlja popolnost, pravilnost in pravočasnost razkritij.

1.5.3. Metodologija notranjega revidiranja

Notranja revizija banke za ovrednotenje sistema notranjih kontrol uporablja COSO metodologijo. Izbiro metodologije COSO – celovit okvir notranjega kontroliranja priporočajo tudi standardi v okviru vrednotenja notranjih kontrol. (Vir: Milan Jagrič, SIRIUS 5/2014)

Comitte of Sponzoring Organizations of the Treadway Commission (COSO) je leta 1992 izdal dokument Internal Control – Integrated Framework (celovit okvir notranjega kontrolirana). COSO je postal največkrat uporabljen model pri vpeljavi in izvajanju sistema notranjih kontrol ter ocenjevanju uspešnosti le-tega. V dvajsetih letih uporabe je prišlo do pomembnih sprememb pri poslovanju, ki so bile posledica sprememb v poslovnem okolju, naraščajoče število prevar, spremembe na področju informacijske tehnologije, globalizacija. COSO je zaradi tega izdal v letu 2013 prenovljeni dokument, ki naj bi še povečal učinkovitost in uspešnost delovanja notranjih kontrol.

COSO je v osnovi namenjen poslovodstvu, organom nadzora, deležnikom, ki sodelujejo in se srečujejo z organizacijo pri njihovih nalogah v zvezi z notranjim kontroliranjem.

Notranje kontroliranje je proces, ki ga uresničujejo organi nadzora, poslovodstva in drugo osebje organizacije z namenom, da poskrbijo za sprejemljivo zagotovilo o doseganju ciljev glede delovanja, poročanja in skladnosti.

Poslovodstvu in organom nadzora metodologija daje:

- način za uporabo notranjega kontroliranja na ravni organizacije, poslovne enote ali funkcije, - na načelih zasnovan način, ki zagotavlja prožnost in omogoča presojo pri vzpostavljanju,

uveljavljanju in izvajanju notranjega kontroliranja na načelih, ki jih je mogoče uporabiti na ravni organizacije, poslovne enote ali funkcije,

- zahteve za uspešen sistem notranjega kontroliranja s proučevanjem, kako so sestavine in načela prisotna in delujejo in kako lahko sestavine delujejo skupaj,

32

- način za ugotavljanje in analizo tveganj ter za pripravo in upravljanje ustreznih odzivov na tveganja znotraj sprejemljivih ravni in z večjo osredotočenostjo na ukrepe za preprečevanje prevar,

- priložnost za razširitev uporabe notranjega kontroliranja poleg računovodskega poročanja še na druge oblike poročanja, delovanje in cilje skladnosti,

- priložnost za izločitev neuspešnih, odvečnih ali neučinkovitih kontrol, ki najmanj prispevajo k zmanjševanju tveganj za doseganje ciljev organizacije.

Zunanjim deležnikom in drugim uporaba metodologije daje:

- večje zaupanje v nadzor nadzornega organa nad sistemom notranjih kontrol, - večje zaupanje v doseganje ciljev organizacije, - večje zaupanje v sposobnost organizacije, da prepoznava, analizira in se odziva na tveganje in

spremembe v poslovnih in delovnih okoljih, - večje razumevanje zahtev uspešnega sistema notranjega kontroliranja, - večje razumevanje, da lahko poslovodstvo na osnovi presoje izloči neuspešne, odvečne ali

neučinkovite kontrole.

V COSO modelu obstaja neposredno razmerje med cilji, ki so to, kar si organizacija prizadeva doseči in sestavinami, ki predstavljajo tisto, kar je potrebno za doseganje ciljev in organizacijskim ustrojem organizacije. Opredeljuje tri skupine ciljev, ki so delovanje, poročanje in skladnost ter pet sestavin, ki so kontrolno okolje, ocenjevanje tveganj, kontrolne aktivnosti, informiranje in komuniciranje, aktivnosti spremljanja. Tretjo dimenzijo predstavlja organizacijski ustroj – raven organizacije, oddelka, poslovne enote, funkcije. Okvir postavlja 17 načel, ki predstavljajo temeljne zasnove, povezane z vsako sestavino. Za razumevanje načel je dodanih 77 usmeritev.

Slika 4: COSO – sestavine in načela

Sestavine Načela

Kontrolno okolje

1. Organ nadzora, poslovodstvo in drugo osebje izkazuje zavezanost neoporečnosti in etičnim vrednotam.

2. Organ nadzora izkazuje neodvisnost od poslovodstva in izvaja nadzor nad razvojem in uspešnostjo notranjega kontroliranja.

3. Poslovodstvo pod nadzorom nadzornega organa vzpostavlja organizacijski ustroj, linije poročanja ter pooblastila in odgovornosti za doseganje ciljev.

4. Organizacija izkazuje zavezanost, da pritegne, razvija in zadrži sposobne posameznike v skladu s cilji.

5. Od posameznikov se zahteva odgovorno izvajanje nalog notranjega kontroliranja pri doseganju ciljev organizacije.

Ocenjevanje tveganj

6. Organizacija dovolj jasno določi cilje, tako da je mogoče prepoznavati in ocenjevati tveganja povezana s cilji.

7. Organizacija ugotavlja tveganja za doseganja ciljev in analizira tveganja kot podlago za odločanje, kako naj se tveganja obvladujejo.

8. Organizacija prouči možnosti za prevare pri ocenjevanju tveganj za doseganje ciljev.

9. Organizacija ugotavlja in ocenjuje spremembe, ki bi lahko pomembno vplivale na sistem notranjega kontroliranja.

33

Kontrolne aktivnosti

10. Organizacija izbira in razvija kontrolne aktivnosti, ki prispevajo k ublažitvi tveganj za doseganje ciljev na sprejemljivo raven.

11. Organizacija izbira in razvija splošne kontrolne aktivnosti za tehnologijo v podporo za doseganje ciljev.

12. Pričakovanja organizacije so opredeljena v usmeritvah in se izvajajo s kontrolnimi aktivnostmi in postopki.

Informiranje in komuniciranje

13. Organizacija pridobi ali ustvari in uporablja ustrezne kakovostne informacije v podporo delovanju notranjega kontroliranja.

14. Organizacija interno sporoča informacije, potrebne v podporo delovanju notranjega kontroliranja, vključno s cilji in nalogami za notranje kontroliranje.

15. Organizacija komunicira z zunanjimi strankami v zvezi z zadevami, ki vplivajo na delovanje notranjega kontroliranja.

Spremljanje 16. Organizacija izbira, razvija in izvaja tekoče in/ali ločeno

ocenjevanje za potrditev, da so sestavine notranjega kontroliranja prisotne in delujejo.

17. Organizacija ovrednoti in pravočasno sporoči pomanjkljivosti notranjega kontroliranja tistim strankam, ki so odgovorne za popravno ukrepanje, vključno s poslovodstvom in organom nadzora, kot je ustrezno.

Vir: Internal Control Integrated Framework, maj 2013

1.5.4. Podlaga za izvedbo notranje revizije razkritij

Notranja revizija banke izvaja notranje revizije na podlagi letnega načrta. Izvajajo se tudi revizije, ki niso bile načrtovane in predvidene z letnim načrtom. V tem primeru govorimo o tako imenovanih izrednih revizijah, ki se izvedejo na podlagi sklepa uprave banke/nadzornega sveta. Obveznost priprave letnega načrta notranjega revidiranja izhaja tudi iz zakonodaje (ZBan-2). Letni načrt temelji na oceni tveganj. Banka enkrat letno izdela oceno tveganj, katere rezultat je profil tveganosti banke. Ocene se podajo za identificirana tveganja, pri čemer se za posamezna tveganja ocenjujejo posamezne grožnje, in sicer iz vidika verjetnosti nastanka in posledice. Na nivoju posamezne grožnje so opredeljene notranje kontrole, ki so tudi predmet ocenjevanja. Skupna ocena nam poda nivo preostalega tveganja. Preostalo tveganje je inherentno tveganje z upoštevanjem kvalitete obvladovanja. (vir: interno gradivo banke) Pri letnem načrtovanju se upoštevajo poleg profila tveganosti banke še drugi kriteriji, kot so strategija banke, finančni in poslovni načrt, ugotovitve in priporočila zunanje revizije in ECB/Banke Slovenije, pomembne organizacijske in kadrovske spremembe, spremembe na področju informacijske tehnologije, spremembe v obsegu poslovanja, pretečen čas od zadnje izvedene revizije. V letni načrt se avtomatsko vključijo vse zakonsko predpisane revizije. Število in obseg revizij se določi v odvisnosti od razpoložljivih kadrovskih virov notranje revizije. Glede na možnost izrednih revizij se v letnem načrtu rezervirajo viri tudi za izredne revizije. Za letno načrtovanje je odgovorna direktorica notranje revizije. Letni načrt se predloži upravi banke, revizijski komisiji in nadzornemu svetu. Letni načrt potrdi uprava banke s soglasjem nadzornega sveta.

Izvajanje posamezne revizije temelji na letnem načrtu, v katerem so opredeljene revizije po področjih in enotah, opredeljen je potrebni čas za izvedbo revizije, revizijska skupina. Iz letnega načrta je razvidna tudi ocena tveganja.

Notranja revizija razkritij je bila v letni načrt za leto 2015 vključena kot zakonsko obvezna revizija.

34

2. Praktični vidik notranjega revidiranja procesa razkrivanja informacij

V praktičnem delu so prikazane faze izvedbe posla, ki si sledijo v zaporedju:

- načrtovanje revizijskega posla, - izvedba revizijskega posla - poročanje o ugotovitvah in priporočilih - spremljanje odzivov na ugotovitve in priporočila

Navedene faze izvedbe posla opredeljujejo tudi Standardi strokovnega ravnanja pri notranjem revidiranju (v nadaljevanju SNR). Navedene faze so obravnavane s standardih delovanja od 2200 do 2600. Revizijski posli se v banki izvajajo na podlagi internih pravil, ki sledijo pravilom stroke – SNR, Kodeks poklicne etike notranjih revizorjev in Kodeks notranjerevizijskih načel.

2.1. Načrtovanje posla

SNR 2200 – načrtovanje posla Notranji revizorji morajo pripraviti in dokumentirati načrt za vsak posel, vključno z njegovimi cilji, obsegom, časom in razporeditvijo dela.

V skladu s standardi strokovnega ravnanja pri notranjem revidiranju (v nadaljevanju SNR) je potrebno pri načrtovanju upoštevati cilje dejavnosti, pomembna tveganja, ustreznost in uspešnost upravljanja dejavnosti, upravljanja tveganj in kontrolnih dejavnosti v primerjavi z ustreznim okvirjem ali modelom ter priložnosti za pomembnejše izboljšave pri upravljanju dejavnosti, upravljanju tveganj in kontrolnih postopkih.

Faza načrtovanja je izredno pomembni del celotnega postopka izvedbe revizijskega posla. Že v fazi načrtovanja notranji revizor pridobi ključne informacije, pomembne za poznavanje področja revidiranja in posledično izvedbo ocene tveganj. Cilji revizijskega posla so okvirno opredeljeni že v okviru letnega načrta, vendar jih je v okviru te faze potrebno ponovno presoditi iz vidika primernosti opredelitve in natančneje opredeliti. Zaključna faza tega postopka je izdelava na tveganjih temelječega delovnega programa posla.

2.1.1. Opredelitev ciljev in obsega posla

SNR 2210 – cilji posla Pri vsakem poslu morajo biti opredeljeni cilji.

SNR 2220 – obseg posla Dogovorjeni obseg mora zadoščati za dosego ciljev posla.

Cilji posla morajo biti rezultat ocene tveganj revidiranega področja, ki ga opravi notranji revizor. Pri opredelitvi ciljev upošteva verjetnost pomembnih napak, prevar, neskladnosti s pravili in drugih tveganj. Za vrednotenje mora notranji revizor uporabljati sodila kot so zakonodaja, interna pravila ali druge podlage.

Cilj notranje revizije je podati zagotovilo o skladnosti delovanja revidiranega področja glede na obvladovanje ključnih tveganj ter učinkovitost in uspešnost notranjih kontrol. Cilje notranje revizije sem razdelila na podrobne oziroma delne cilje, ki so:

- proučiti in oceniti skladnost delovanja glede na interne predpise in zakonodajo,

35

- podati zagotovilo o delovanju notranjih kontrol in s tem spoznavne podlage za izboljšanje delovanja notranjih kontrol, ki so potrebne za obvladovanje tveganj v revidiranem procesu,

- podati neodvisno mnenje o skladnosti postopkov z zakonodajo, internimi predpisi in delovanju notranjih kontrol.

Skladnost delovanja sem presojala na podlagi takrat (v času revidiranja) veljavnih internih pravil in zakonodaje, zlasti:

- Politika razkritij, interni akt 2015 - Zakon o bančništvu in podzakonski akti, - Uredba CRR in izvedbeni akti.

Druge predpostavke in omejitve, ki vplivajo na obseg posla:

- revizija se nanaša na letna razkritja informacij za poslovno leto 2015, - pravilnost razkritij se je presojala v smislu konsistentnosti z letnim poročilom banke in

skupine za leto 2015, - testiranje popolnosti in pravilnosti razkritij je izvedeno na primeru razkritij za poslovno leto

2015, in sicer se je pravilnost testirala v smislu konsistentnosti informacij z letnim poročilom za leto 2015 ter konsistentnosti z rednimi poročili regulatorju (BS/ECB), popolnost pa se je testirala v smislu razkritij vseh zahtevanih informacij v skladu z osmim delom CRR,

- pri opredelitvi tveganj revidiranega področja sem izhajala iz profila tveganosti banke za leto 2015.

Revizija se je nanašala na proces priprave razkritij in ni zajela testiranja razkritih informacij v smislu ustreznosti sistema upravljanja tveganj, ustreznosti notranjega in korporativnega upravljanja, ustreznosti politike razkritij. Pri navedenem notranji revizor temelji na že opravljenih notranjih revizijah področij, ki so predmet razkrivanja informacij, opravljenih pregledih regulatorja ter podanemu zagotovilu zunanjega revizorja o resničnosti in poštenosti računovodskih izkazov ter izdanem mnenju zunanjega revizorja glede sistema upravljanja tveganj, v skladu s standardom 2050 in svetovalnim napotkom 2050-3 Opiranje na delo drugih dajalcev zagotovil.

SNR 2050 – vodja notranje revizije naj deli informacije in usklajuje dejavnosti z drugimi notranjimi in zunanjimi izvajalci storitev dajanja zagotovil in svetovanja, da zagotovi ustrezno pokritje in čimbolj zmanjša podvajanje dela.

Glede na zastavljene cilje in obseg je bilo možno opredeliti potrebne vire. Vse navedeno se dokumentira v obliki izvedbenega načrta. Izvedbeni načrt izdela vodja revizijske skupine, ki je imenovana za izvedbo posameznega revizijskega posla, potrdi ga direktor notranje revizije. Izvedbeni načrt dejansko predstavlja načrt vseh del, ki jih morajo člani revizijske skupine opraviti z namenom izpolnitve zastavljenih ciljev revizijskega posla. Izdelan izvedbeni načrt je v prilogi naloge.

2.1.2. Razumevanje področja revidiranja

V fazi načrtovanja je pomembno dobro spoznati področje revidiranja. V tej fazi si je potrebno pridobiti podatke o organiziranosti in kadrih revidiranega področja, poteku procesa dela in notranjih kontrolah, pridobiti in proučiti je potrebno interne akte revidiranega področja in veljavno zakonodajo. Pridobiti in pregledati je potrebno morebitna obstoječa pretekla poročila notranje revizije, poročila ECB/BS, ki so se nanašala na revidirano področje ter morebitne ugotovitve in priporočila zunanjega revizorja.

36

Slika 5: organizacijska shema banke z označenimi organizacijskimi enotami (označene so z modro barvo), vključenimi v proces razkrivanja informacij

Nadzorni svet Obravnava razkritij pred javno objavo Komisije nadzornega sveta Obravnava razkritij pred javno objavo Uprava banke Potrditev rokovnika Potrditev izjem pri razkrivanju informacij Potrditev dokumenta z razkritji Kabinet uprave Priprava razkritij glede politike prejemkov Javna objava na Seo-netu in spletni strani banke Center za notranjo revizijo Podaja neodvisnega zagotovila glede skladnosti procesa razkrivanja informacij Sektor upravljanja tveganih terjatev Sektor marketinga in korporativnega komuniciranja Center za upravljanje Skupine Posredovanje pri pridobivanju informacij za namene razkritij pri družbah, ki so članice skupine NKBM Služba skladnosti poslovanja Priprava razkritij glede upravljalnega organa Služba za preprečevanje pranja denarja Področja poslovanja Področje poslovanja z gospodarskimi družbami Področje poslovne mreže Področje finančnih trgov Razkritja glede obremenjenih/neobremenjenih sredstev Področje upravljanja tveganj Koordinator priprave razkritij Priprave razkritij iz področij upravljanja kreditnega, tržnega, operativnega, obrestnega, likvidnostnega tveganja Področje financ Odgovornost za politiko razkritij Podatki glede družb v skupini Razkritja iz področja politike prejemkov Področje razvoja, spremljave in podpore poslovanja banke Področje korporativnega upravljanja Razkritja iz področja politike prejemkov Področje upravljanja z informacijsko tehnološkimi storitvami Interna javna objava obravnavanih in potrjenih politik

Predmet razkrivanja so informacije, ki se nanašajo na sistem upravljanja tveganj na nivoju skupine. V procesu njihove priprave zato sodeluje večje število organizacijskih enot pri čemer je zelo pomembno, da je glede na obseg opredeljen koordinator priprave, ki zbrana razkritja združi v enotni dokument in ima nadzor nad popolnostjo razkritij in poskrbi za izvedbo nadaljnjih postopkov vse do končne javne objave. V trenutno vzpostavljenem procesu je koordinator sektor upravljanja nekreditnih tveganj. V

37

proces priprave razkritij je vključena tudi notranja revizija v smislu neodvisnega dajalca zagotovil upravi in nadzornemu svetu.

Proces priprave razkritij se začne s postopkom pregleda zakonskih podlag za pripravo razkritij. Pregled podlag za pripravo razkritij je razviden iz Preglednice 2. V tej fazi se v postopek vključi koordinator priprave razkritij, ki je zaposleni iz sektorja upravljanja nekreditnih tveganj. Rezultat dela koordinatorja v tej fazi procesa je rokovnik. Iz rokovnika so razvidne planirane aktivnosti, roki in odgovorne osebe za pripravo razkritij ter javno objavo. Roki se uskladijo z roki priprave letnega poročila, saj se razkritja javno objavijo hkrati z objavo letnega poročila. Izdelani rokovnik se predloži v potrditev upravi banke. Izdela se skupni rokovnik tako za pripravo razkritij kot za pripravo letnega poročila. S pripravo skupnega rokovnika se banka izogne morebitnim neskladjem pri opredelitvi rokov izdelave, obravnave in javne objave obeh poročil ter se že sproti pregledajo morebitna podvajanja razkritij v letnem poročilu z razkritji v dokumentu razkritij. Izdelani rokovnik pred predložitvijo upravi banke pregleda skupna komisija za razkritja in letno poročilo. Rokovnik pregleda iz vidika usklajenosti rokov, popolnosti opredeljenih aktivnosti, pravilno opredeljenih odgovornih oseb. Po potrditvi komisije (razvidna je iz zapisnika komisije) se rokovnik predloži upravi banke. Gradivo za obravnavo na upravi banke pripravita koordinatorja priprave razkritij in letnega poročila. Po potrditvi na upravi, koordinator priprave razkritij obvesti dogovorne osebe za izvedbo v rokovniku načrtovanih aktivnosti. Odgovorne osebe za pripravo posameznih razkritij le-te pripravijo in jih posredujejo koordinatorju, ki jih združuje v skupni dokument. Pri tem se ne uporablja posebna informacijska podpora, ki bi bila v pomoč pri združevanju razkritij v enotni dokument. Koordinator razkritja tudi pregleda in po potrebi zahteva dopolnitve ali popravke. Razkritja, ki se podvajajo, kar pomeni, da so že sestavni del letnega poročila in so zahtevana tudi v skladu z zahtevami CRR, se ne podvajajo v obeh dokumentih, ampak se dokument razkritij sklicuje na letno poročilo. Ta podvajanja so identificirana že ob pripravi rokovnika in tudi razvidna iz rokovnika. Pri podvojenih zakritjih je naloga koordinatorja, da se poveže s koordinatorjem za pripravo letnega poročila zaradi pridobitve podatkov za navedbo sklica. Sklic mora namreč natančno napotiti bralca na drugi dokument (naziv dokumenta, stran, številka poglavja, številka preglednice). Izdelani dokument z razkritji pred predložitvijo v obravnavo pregleda komisija za razkritja in letno poročilo. Pregleda ga iz vidika popolnosti in konsistentnosti z letnim poročilom. Popolnost se preverja na osnovi primerjave z rokovnikom, pomeni ali so razkrite vse informacije, ki so bile navedene v rokovniku. Po pregledu dokumenta z razkritji na komisiji za razkritja in letno poročilo se dokument predloži upravi banke. Po obravnavi na upravi banke se dokument z razkritji hkrati z letnim poročilom predloži v obravnavo revizijski komisiji. Dokument revizijski komisiji predstavi uprava banke in izvršilni direktor področja upravljanja tveganj. Dokument z razkritji se predloži tudi komisiji nadzornega sveta za tveganja zaradi vsebine, ki se nanaša predvsem na področje upravljanja tveganj na nivoju skupine. V kolikor imata komisiji pripombe na dokument je to razvidno iz zapisnika komisij. V kolikor se zahtevajo dopolnitve je to razvidno iz sklepa komisij. Po obravnavi na sejah nadzornega sveta se dokument z mnenjem revizijske komisije in komisije nadzornega sveta za tveganja predloži nadzornemu svetu. Po obravnavi na nadzornem svetu je dokument dokončni in sledi samo še javna objava, ki se izvede hkrati z letnim poročilom. Obvestilo o izpolnjenih pogojih za javno objavo posreduje v kabinet uprave koordinator priprave razkritij hkrati s končnim dokumentom, ki je predmet javne objave. Postopek priprave razkritij je predmet obravnave na različnih nivojih in komisijah – razprava in sklepi so razvidni iz zapisnikov sej in sklepov.

Diagram poteka z opisom kontrolnih ciljev, tveganj, notranjih kontrol in sodil je v prilogi 2.

38

Na osnovi popisa procesa smo v začetni fazi revizije opredelili kontrolne cilje, tveganja in notranje kontrole in podali oceno tveganj in notranjih kontrol – pri notranjih kontrolah smo ocenjevali ali so vzpostavljene in ali delujejo. Pri tem smo zaznali tudi potrebne izboljšave v sistemu notranjih kontrol.

2.1.3. Prepoznavanje in ocena tveganj

2210.A1 - Notranji revizorji morajo izdelati začetno oceno tveganj, ki se nanašajo na pregledovano dejavnost. Cilji posla morajo odražati izide te ocene.

2210.A2 - Pri pripravi ciljev posla morajo notranji revizorji upoštevati verjetnost pomembnih napak, prevar, neskladnosti s pravili in drugih tveganj.

2210.A3 - Za ovrednotenje upravljanja organizacije, upravljanja tveganj in kontrol so potrebna ustrezna sodila. Notranji revizorji se morajo prepričati, v kolikšnem obsegu sta vodstvo in/ali organ nadzora uvedla ustrezna sodila za ugotavljanje, ali so naloge in cilji uresničeni. Če so ta sodila ustrezna, jih morajo notranji revizorji uporabljati pri svojem ocenjevanju. Če pa niso ustrezna, morajo notranji revizorji v sodelovanju z vodstvom in/ali organom nadzora pripraviti ustrezna sodila za ocenjevanje.

Banka na nivoju skupine izdela profil tveganosti, ki temelji na oceni tveganj, ki se izvede enkrat letno. Za potrebe ocene tveganj zato izhajamo iz profila tveganosti, z namenom pridobitve pregleda nad izpostavljenimi grožnjami, ki ogrožajo doseganje ciljev pri poročanju. Za potrebe notranjega revidiranja oceno tveganja, ki izhaja iz profila še dopolnimo. Profil se namreč izdeluje na višjem nivoju in se nanaša na notranje in zunanje poročanje na nivoju skupine in posebej ne opredeljuje tveganj na področju razkrivanja informacij. Za namene izdelave ocene tveganj na področju priprave razkritij smo na osnovi proučitve zakonskih podlag, internih aktov, razgovorov pridobili ključne informacije, potrebne za opredelitev kontrolnih ciljev, tveganj in notranjih kontrol, kar smo opredelili in ocenili po vseh petih sestavinah – kontrolno okolje, ocenjevanje tveganj, kontrolne aktivnosti, informiranje in komuniciranje ter spremljanje.

Tveganja smo ocenjevali iz vidika verjetnosti nastanka in vpliva in pri tem izhajali iz spodaj navedenih kriterijev.

Ocena verjetnosti uresničitve dogodka, ki bi negativno vplival na doseganje ciljev v procesu:

- majhna (M): majhna verjetnost (med 0% in 25%) pomeni, da se dogodek še ni zgodil, - srednja (S): srednja verjetnost (med 25% in 70%) pomeni, da se je dogodek zgodil že vsaj

enkrat pri pripravi razkritij za pretekla leta in lahko pričakujemo, da se bo še zgodil, - velika (V): velika verjetnost (več kot 70%) , pomeni, da se dogodek zgodil že večkrat zgodil

pri pripravi razkritij in lahko pričakujemo, da se bo še večkrat ponovil.

Ocena vpliva, ki se izraža kot finančna posledica nezaželenega dogodka na doseganje zastavljenih ciljev (izguba ugleda, kazenske sankcije):

- majhen (M): izguba ugleda pri strankah banke (prejete posamezne pritožbe), ki pa nima vpliva na izgubo strank, srednji (S): izguba ugleda banke pri nadzornih inštitucijah velik (V): izguba ugleda banke pri zainteresirani javnosti, ki se lahko odraža tudi v izgubi strank, kazenske sankcije od 25.000 do 250.000 EUR..

Slika 6 prikazuje matriko ocenjevanja tveganj, kot je bila uporabljena za oceno tveganj v procesu gotovinskega poslovanja. Višina tveganja je kombinacija verjetnosti in vpliva.

39

Slika 6: Matrika tveganj in strategija obvladovanja tveganj vp

liv

V – velik

MV – obvladovanje tveganja ali prenos

SV – obvladovanje, prenos ali izogibanje

tveganja

VV – prenos tveganja ali izogibanje

S - srednji

MS -sprejem tveganja

SS – obvladovanje tveganja

VS – obvladovanje, prenos ali izogibanje

tveganja

M- majhen

MM – sprejem tveganja

SM – sprejem tveganja

VM – obvladovanje tveganja in pogostejše spremljanje

M- majhna S-srednja V-velika

verjetnost

vir: interno gradivo banke

Velika verjetnost in velik vpliv predstavljata visoko tveganje. Na drugi strani pa majhna verjetnost in majhen vpliv izkazujeta nizko tveganje. Na podlagi zgoraj predstavljene matrike sem oblikovala tri ravni ocene tveganj glede na verjetnost in vpliv: - nizko tveganje (MM, MS, SM), ki ga banka sprejema, - srednje tveganje (SS, MV, VM), ki ga banka obvladuje, izvaja pogostejšo spremljavo ali ga tudi

prenaša na druge, - visoko tveganje (VV, SV, VS), ki ga banka obvladuje, prenaša ali se mu izogiba.

V skladu z zgoraj zapisano metodologijo smo ocenili tveganja po vseh sestavinah. Večina tveganj se po skupni oceni uvršča v srednje tveganje. Tveganj, ki so bila ocenjena kot nizka v nadaljnjem postopku revidiranja nismo obravnavali. V nadaljevanju smo opredelili notranje kontrole za obvladovanje tveganj. Vsakemu tveganju smo opredelili vsaj eno notranjo kontrolo in jo ocenili iz dveh vidikov, in sicer je pomembno, da je vzpostavljena in da deluje. Pri tem nam je bilo v nadaljnjem postopku presoje pomembni vidik ali je načrtovana primerna kontrola, se pravi kontrola, s katero se prepoznano tveganje dejansko obvladuje. Ocena notranjih kontrol je razvidna iz delovnega programa, ki je v prilogi 4.

Iz ocene tveganj in notranjih kontrol ugotavljamo, da so v proces kontrole vgrajene vendar niso v vseh pogledih učinkovite (prava kontrola na pravem mestu).

COSO metodologija določa tri temeljne presoje vrednotenja uspešnosti sistema notranjih kontrol (Jagrič, 2014, gradivo za izobraževanje SIR):

- Ali so bile na podlagi izvedenih revizijskih postopkov odkrite pomembne pomanjkljivosti in bistvene slabosti?

- Ali so bile narejene korektivne aktivnosti in potrebne izboljšave? - Ali še vedno obstaja nesprejemljiva raven preostalega tveganja?

Pomanjkljivosti sistema notranjih kontrol so lahko posledica slabosti pri oblikovanju notranjih kontrol ali pri njihovem delovanju. Kontrolne pomanjkljivosti zajemajo vse pomanjkljivosti, tako pomembne pomanjkljivosti in bistvene slabosti, kakor tudi kontrolne slabosti, kar pomeni, da je potrebno najprej

40

opredeliti vse kontrolne pomanjkljivosti in šele nato pristopiti k njihovemu vrednotenju (Jagrič 2014, gradivo za izobraževanje SIR, prosojnice).

Pomembna pomanjkljivost je kontrolna pomanjkljivost ali kombinacija pomanjkljivosti, ki predstavlja več kot šibko verjetnost (upravičeno možno ali verjetno, da bo nastopil bodoči dogodek), da napake, pomote ali prevare ne bodo pravočasno odkrite ali preprečene.

Bistvena slabost je pomembna pomanjkljivost ali kombinacija pomembnih pomanjkljivosti, ki predstavlja več kot šibko verjetnost oziroma veliko verjetnost, da pomembne napake, pomote ali prevare ne bodo pravočasno odkrite ali preprečene.

Kontrolna slabost obstaja v primeru ko načrtovana ali delujoča kontrola ne omogoča tekom rednega delovanja, pravočasno preprečiti ali odkriti napake (primer slabosti načrtovanih kontrol: manjkajoče kontrole, neprimerno oblikovana kontrola; primer slabosti delujočih kontrol: kontrole ne delujejo kot je bilo načrtovano, zadolžena oseba za kontrolo nima pooblastil ali znanj).

Skupno oceno ustreznosti delovanja sistema notranjega kontroliranja sem oblikovala na podlagi ugotovitev delovanja posameznih sestavin, ki so predstavljene v delovnem programu posla. Notranje kontrole sem ocenjevala z vidika oblikovanja in delovanja.

Ustreznost oblikovanja notranjih kontrol smo ocenjevali v fazi načrtovanja (razumevanje revidiranca, prepoznavanje in ocenitev tveganj). Rezultati ocenjevanja so razvidni iz ocene tveganj in opredelitve ključnih notranjih kontrol (priloga 4). Oblikovanje notranjih kontrol smo ocenjevali z vidika ustreznosti:

- DA – ustrezne (notranja kontrola obstaja in je ustrezna, banka lahko dosega svoje kontrolne cilje),

- DELNO – delno ustrezne (notranja kontrola obstaja in je delno ustrezna, banka lahko delno dosega svoje kontrolne cilje),

- NE – neustrezne (notranja kontrola ne obstaja oziroma je neustrezno oblikovana, banka ne more dosegati svojih kontrolnih ciljev).

Tako izdelana ocena je bila podlaga za določitev obsega tveganj, ki so bila vključena v nadaljnje revizijske postopke. Pri določitvi obsega sta sodelovala naročnik posla in pa lastnik revidiranega procesa.

Učinkovitost delovanja notranjih kontrol smo ocenjevala v fazi izvedbe na podlagi testiranja (preizkušanja) kontrol. Testiranje delovanja notranjih kontrol je podlaga za podajo ocene njihovega delovanja. Notranje kontrole smo testirali na podlagi pregleda dokumentacije (rokovnik, dokument z razkritji, zapisniki in sklepi komisij, ki so vključene v proces priprave razkritij, gradivo, ki je podlaga za pripravo dokumenta z razkritji) ter skozi opravljene razgovore z odgovornimi osebami.

Testiranje je potekalo na razkritjih za leto 2015, in je zajemalo:

- pridobitev in pregled Politike razkritij iz vidika jasnosti in popolnosti opredelitve postopka priprave razkritij, odgovornih oseb, pogostosti razkritij, obveznosti javne objave in možnosti nerazkrivanja informacij,

- pridobitev in pregled rokovnika priprave razkritij za leto 2015 in primerjava z zahtevami zakonodaje, preveritev skladnosti rokov priprave razkritij in letnega poročila, preveritev ustreznosti opredeljenih odgovornih oseb za pripravo razkritij),

41

- pridobitev in pregled zapisnikov in sklepov komisij, ki so vključena v pripravo razkritij in njihovo odobritev (komisija za razkritja in letno poročilo, uprava banke, komisiji nadzornega sveta in nadzorni svet),

- pridobitev in pregled dokumenta z razkritji in podlag za pripravo. Podlaga za pripravo je dokumentacija, ki jo hrani koordinator in sestoji iz razkritij, prejetih s strani odgovornih oseb za pripravo razkritij. Dokument z razkritji se preveri iz vidika popolnosti (ali so zajeta vsa zakonsko predpisana razkritja), pravilnosti (ali so razkritja konsistentna z letnim poročilom) in ali razkritja dajejo jasno in realno sliko profila tveganosti banke (preveri se upoštevanje ugotovitev in priporočil regulatorja, upoštevanje ugotovitev in priporočil notranje revizije v zvezi z opravljenimi revizijami na področju upravljanja tveganj).

Rezultati ocenjevanja so razvidni iz delovnega programa posla (priloga 5). Učinkovitost delovanja notranjih kontrol sem ocenjevala z vidika njihove prisotnosti in delovanja. Prisotne pomeni, da sestavine in načela obstajajo in so implementirana v proces (DA, DELNO, NE), da delujejo pomeni, da notranje kontrole učinkovito delujejo in bodo delovale v bodoče (DA, DELNO, NE).

Na podlagi tega je podana končna oceno ustreznosti delovanja posamezne notranje kontrole za posamezno sestavino notranjih kontrol:

- ustrezna notranja kontrola; ustrezno oblikovana, prisotna, učinkovito in uspešno deluje; banka lahko dosega svoje kontrolne cilje,

- delno ustrezna notranja kontrola; delno oblikovana in/ali delno prisotna in/ali delno učinkovito in uspešno deluje; banka delno dosega svoje kontrolne cilje,

- neustrezna notranja kontrola; ni oblikovana in/ali ni prisotna in/ali ne deluje učinkovito in uspešno; banka ne dosega svojih kontrolnih ciljev.

Ocena ustreznosti notranjih kontrol je prav tako razvidna iz delovnega programa posla (priloga 5).

2.1.3.1. Ocena ključnih tveganj prevar in informacijske tehnologije

SNR 2060 - Poročanje poslovodstvu in organu nadzora Vodja notranje revizije mora redno poročati poslovodstvu in organu nadzora o namenu, pristojnosti in nalogah notranje revizije ter o izvajanju njenega načrta. Poročati mora tudi o pomembni izpostavljenosti tveganjem in drugih zadevah kontroliranja, vključno s tveganji prevare, vprašanji upravljanja in drugimi zadevami, ki jih potrebujeta ali zahtevata poslovodstvo in organ nadzora.

2120.A1 - Notranja revizija mora oceniti izpostavljenost tveganju, ki se nanaša na upravljanje, delovanje in informacijske sisteme organizacije, pri čemer upošteva:

• doseganje strateških ciljev organizacije, • zanesljivost in neoporečnost računovodskih in poslovnih informacij, • uspešnost in učinkovitost delovanja in programov, • varovanje premoženja, • skladnost z zakoni, drugimi predpisi, usmeritvami, postopki in pogodbami.

Prevara (fraud) Vsako nezakonito dejanje, za katero je značilna goljufija, utaja ali izraba zaupanja. Taka dejanja niso odvisna od grožnje z nasiljem ali fizične prisile. Prevare zagrešijo stranke in organizacije, da si pridobijo denar, posest ali storitve, da se izognejo plačilu ali izgubi storitev ali da zaščitijo svojo osebno ali poslovno prednost

42

1210.A2 - Notranji revizorji morajo imeti dovolj znanja, da ocenijo tveganje prevare in način njegovega obravnavanja v organizaciji, vendar se od njih ne pričakuje, da bi imeli strokovno znanje osebe, katere glavna naloga je odkrivati in preiskovati prevare.

2120.A2 - Notranja revizija mora oceniti možnost pojava prevare in ravnanje organizacije s tveganjem prevare.

Kontrole informacijske tehnologije (information technology controls) Kontrole, ki podpirajo poslovodenje in upravljanje organizacije ter zagotavljajo splošen in strokoven nadzor nad notranjim ustrojem informacijske tehnologije, kot so uporabniški programi, informacije, infrastruktura in ljudje.

Upravljanje informacijske tehnologije (information technology governance) Sestavljajo ga vodenje, organizacijski ustroj in postopki, ki zagotavljajo, da informacijska tehnologija v organizaciji podpira strategije in cilje organizacije

1210.A3 - Notranji revizorji morajo dovolj dobro poznati ključna tveganja informacijske tehnologije ter kontrole in razpoložljive tehnološko zasnovane revizijske metode za izvedbo dodeljenega posla. Vendar pa se od vseh notranjih revizorjev ne pričakuje, da bi imeli strokovno znanje in izkušnje notranjega revizorja, katerega glavna naloga je revidiranje informacijske tehnologije.

2110.A2 - Notranja revizija mora presoditi, ali upravljanje informacijske tehnologije v organizaciji podpira strategije in cilje organizacije

Pri oceni tveganj in delovnem programu smo opredelili tudi tveganje prevare in informacijske tehnologije. Z vidika prevar je treba notranjo revizijo razumeti kot dejavnost, ki dovolj zgodaj opozori na nevarnosti v organizaciji, in sicer na možnost pojava prevar ter na morebitno pomanjkljivost glede ravnanja tveganj prevar (Koletnik 2015, gradivo za izobraževanje SIR). Za revizorja je pomembno tudi, da pozna ključne opozorilne znake (rdeče zastavice), saj vodijo do indicev in pobud na tistih področjih kjer en ali več takih indikatorjev kaže na neobičajne, nestandardne in nelogične dogodke, stanja ali procese.

- Značilni razlogi za nastanek prevare: pritisk - motiv (pritisk doseganja pozicije, doseganje planskih ciljev, pritisk doseganja pričakovanj tretje stranke)

- priložnost (pomanjkljivosti notranjih kontrol, ne predpisani postopki preiskovanja prevar v splošnih aktih in v individualni pogodbi, velik obseg denarja v blagajni)

- odnos izpostavljene osebe do poštenosti (toleriranje neprimernega obnašanja)

V novejšem obdobju se pojavljata še dva dejavnika, in sicer konkurenčnost ter aroganca oziroma nedoslednost (Jagrič, 2014, gradivo za izobraževanje SIR, prosojnice).

Pri karakteristikah prepoznavanja možnih prisotnih prevar si lahko pomagamo predvsem z odgovori na vprašanja kdo, kaj, kdaj, kje in zakaj.

Oceno tveganja prevar in IT tehnologije smo vključili v oceno tveganj. Na revidiranem področju so prevare lahko posledica nejasno opredeljenega procesa in notranjih kontrol ter nedosledno izvedenih nalog organov upravljanja in nadzora banke. Prevara se lahko odrazi skozi namerno zavajanje javnosti, in sicer preko namerno napačnih razkritij oziramo razkritij, ki niso skladna s profilom tveganosti banke npr. banka prikaže nižjo nagnjenost k prevzemanju tveganj kot je dejanska. Za banko je tako pomembno, da ima jasna interna pravila in jasno opredeljene odgovornosti posameznikov in

43

organov, ki so vključeni v proces razkrivanja informacij. Hkrati je pomembno, da ima banka na nivoju organizacije vzpostavljen sistem tako preventivnega odkrivanja prevar kot raziskovanja potencialnih prevar, ki so bile sporočene preko vzpostavljenih anonimnih linij za sporočanje potencialnih prevar. Možnost sporočanja imajo vsi zaposleni banke, prav tako se v sistem zajamejo potencialne prevare sporočene s strani zunanjih strank preko sistema reklamacij. Poleg omenjenega je pomembno, da banka vzpostavi jasna pravila ravnanja (etični kodeks) v katerem se zavzame za ničelno toleranco do prevar. Kodeks mora biti dostopen vsem zaposlenim, ki morajo biti z njim seznanjeni. Za seznanitev je banka poskrbela z izvedenimi izobraževanji za vse zaposlene banke. Sam etični kodeks sam po sebi ne prinese spremembe v ravnanju zaposlenih, zelo pomembni je zgled »z vrha«. Se pravi pripadnost etičnim pravilom organov upravljanja in nadzora ter višjega vodstva banke.

Na podlagi poznavanja procesa in ocene tveganj smo opredelili in ocenili tveganja, ki so povezana s prevarami in lahko vplivajo na skladnost procesa razkrivanja informacij z zakonodajo in internimi akti. Prevare se v procesu razkrivanja informacij odrazijo kot dejanja:

- namerno nepravilna in neresnična razkritja, ki zavajajo zainteresirano javnost glede profila tveganosti banke,

- razkritja namerno niso javno objavljena ali so objavljena z zamikom in ne nudijo pravočasno informacije zainteresirani javnosti.

Za preprečevanje prevar je banka tako vzpostavila ukrepe:

- prave ljudi na prava mesta (izvajneje fit&proper politike),

- vzpostavljen sistem preventivnega odkrivanja prevar,

- vzpostavljena jasna pravila in postopki ter notranje kontrole priprave razkritij.

Opredeli in ocenili smo tudi tveganja informacijske tehnologije. Priprava razkritij ni informacijsko podprta s posebno informacijsko podporo, razkritja se ročno združujejo v enotni dokument.

2.1.4. Razporeditev virov pri poslu

SNR 2230 – Razporeditev virov pri poslu Notranji revizorji morajo določiti ustrezne in zadostne vire za dosego ciljev posla, in sicer na podlagi ocene narave in zapletenosti vsakega posameznega posla, časovnih omejitev in razpoložljivih virov.

Svetovalni napotek 2230-1(razporeditev virov pri poslu) določa, da mora notranji revizor pri določitvi ustreznosti in zadostnosti virov upoštevati:

- število in izkušenost notranjih revizorjev, - njihova znanja, veščine in druge sposobnosti za izvajanje posla, - razpoložljivost zunanjih izvajalcev, če so potrebna dodatna znanja in sposobnosti, - potrebo po usposabljanju revizorjev, ko se vsaka dodelitev poslu uporablja kot podlaga za

razvoj stroke v podjetju.

Revizija je bila planirana že v letnem načrtu za leto 2015. Opredeljen je bil potrebni čas za izvedbo revizije in število revizorjev, ki bodo revizijo opravili. Glede na oceno tveganj in notranjih kontrol se lahko prilagodi tudi potrebni čas za izvedbo revizije in število revizorjev, ki bodo revizijo opravljali. V primeru konkretne revizije navedeno ni bilo potrebno. Revizijo izvaja en revizor, planiran čas za izvedbo revizije je 240 ur oziroma 30 dni. Pri izvedbi te revizije je bilo zelo pomembno izbrati revizorja z znanjem iz področja upravljanja tveganj banke. Zaradi področja revidiranja, ki zahteva

44

dobro poznavanje banke, sistema organiziranosti, delovanja in profila tveganosti revizije nikakor ne more opravljati revizor začetnik oziroma revizor, ki je ozko specializiran za posamezna področja revidiranja.

Na osnovi vseh prej navedenih faz izdelamo izvedbeni načrt. Izvedbeni načrt potrdi vodja notranje revizije.

Izvedbeni načrt vsebuje osnovne podatke o reviziji, kot so naziv revizije, oznaka, revizijska ekipa. V nadaljevanju so opredeljene posamezne aktivnosti, ki jih revizor izvede po fazah priprave na revizijo, izvedbe, poročanja in spremljave. V kolikor revizijsko ekipo sestavlja več revizorjev, se pri aktivnostih opredeli kateri revizor bo izvajal posamezno aktivnost. V konkretnem primeru navedeno ni potrebno, saj revizijo izvaja samo en revizor. Nadzor nad njim izvaja vodja notranje revizije.

Izdelan izvedbeni načrt konkretne revizije je priloga 1 te naloge.

2.1.5. Delovni program posla

SNR 2240 - Delovni program posla Notranji revizorji morajo pripraviti in dokumentirati program dela, s katerim se dosežejo cilji posla. Notranji revizorji pripravijo delovni program, ki vodi revizorja pri izvajanju revizije s ciljem doseganja zastavljenih ciljev revizije. Delovni program vključuje postopke za prepoznavanje, proučitev, ovrednotenje in dokumentiranje informacij. Delovni program mora biti odobren pred izvedbo, vsaka sprememba pa mora biti takoj odobren

Delovni program predstavlja delovno usmeritev in načrt delovnih nalog, ki prispeva k večji preglednosti in strokovnosti poslov revidiranja, vodji notranje revizije pa predstavlja osnovo za nadzor nad izvajanjem posla. Delovni program dejansko služi tudi kot dokazilo za izvedbo posla.

Delovni program revizije smo pripravili na osnovi pridobljenih informacij o predmetu revizije, predhodno zastavljenih ciljev in obsega posla. Za metodo vrednotenja smo uporabili COSO metodologijo (2013). Program je pripravljen na način, da v obliki preglednice prikazuje celoten potek aktivnosti revizorjev, ki so bile izvedene v izvedbeni fazi revizije. Pri vsaki lastnosti sestavin notranjih kontrol in načelih so prikazana vprašanja kot točke usmeritev oziroma kontrolni cilji za te sestavine, z vzporedno navedbo revizijskih postopkov, ki so bili načrtovani za pridobitev odgovorov na ta vprašanja. Iz delovnega programa so vidna ključna tveganja in ocena tveganj, , notranje kontrole, postopki, ki so bili potrebni za doseganje ciljev, ocena prisotnosti in delovanja notranjih kontrol, oznaka dokumentacije, označba izvajalca in nadzornika z datumom (pd – podpis, datum) ter izdana priporočila. Vodja notranje revizije je delovni program pregledal, odobril in podpisal.

Delovni program se tekom revizije lahko spreminja. Vsaka sprememba mora biti ustrezno odobrena s strani vodje notranje revizije. Tekom izvedbe notranje revizije delovnega programa nisem spreminjala.

Delovni program posla je predstavljen v prilogi 3.

2.2. Izvedba posla

2300 - Izvajanje posla Notranji revizorji morajo prepoznati, proučiti, ovrednotiti in dokumentirati dovolj informacij za dosego ciljev posla.

45

2310 - Prepoznavanje informacij Notranji revizorji morajo prepoznati zadostne, zanesljive, ustrezne in uporabne informacije za dosego ciljev posla.

Pojasnilo Zadostne informacije vsebujejo dejstva, so ustrezne in prepričljive, tako da preudarna in obveščena oseba lahko pride do enakih sklepov kot revizor. Zanesljive informacije so najboljše dosegljive informacije, ki jih je mogoče pridobiti z uporabo ustreznih metod. Ustrezne informacije podpirajo opažanja in priporočila pri sprejetem poslu ter so skladne s cilji posla. Uporabne informacije pomagajo organizaciji dosegati njene cilje.

SNR 2320 - Proučitev in ovrednotenje Notranji revizorji morajo utemeljiti svoje sklepe in izide posla z ustrezno proučitvijo in ovrednotenjem pridobljenih informacij.

SNR 2330 - Dokumentiranje informacij Notranji revizorji morajo dokumentirati ustrezne informacije, ki podpirajo sklepe in izide posla.

2330.A1 - Vodja notranje revizije mora nadzirati dostop do zapisov o poslu. Preden razkrije te zapise zunanjim strankam, mora pridobiti odobritev poslovodstva in/ali pravnega svetovalca, če je to primerno.

2330.A2 - Vodja notranje revizije mora pripraviti zahteve o hrambi zapisov posla ne glede na sredstvo, na katerem je posamezen zapis shranjen. Take zahteve o hrambi morajo biti v skladu z navodili organizacije ter vsemi ustreznimi predpisi ali drugimi zahtevami.

2330.C1 - Vodja notranje revizije mora pripraviti usmeritve za varovanje in hrambo zapisov o poslu svetovanja ter njihovo razkrivanje notranjim in zunanjim strankam. Te usmeritve morajo biti v skladu z navodili organizacije ter vsemi ustreznimi predpisi ali drugimi zahtevami.

SNR 2340 - Nadziranje posla Posle je treba ustrezno nadzirati, da se zagotovi, da so cilji doseženi, da je zagotovljena kakovost in se zaposleni strokovno izpopolnjujejo.

Pojasnilo Obseg zahtevanega nadziranja je odvisen od strokovnosti in izkušenj notranjih revizorjev ter od zapletenosti posla. Vodja notranje revizije je splošno odgovoren za nadziranje posla ne glede na to, ali ga opravlja notranja revizija sama ali ga zanjo opravi kdo drug, lahko pa imenuje ustrezno izkušene člane notranje revizije, da opravijo pregled. Ustrezne dokaze o nadziranju je treba dokumentirati in hraniti.

2.2.1. Prepoznavanje informacij

Večina informacij, potrebnih za dosego ciljev revizije je bilo pridobljenih že v fazi priprave na revizijo. V fazi priprave na revizijo smo tako pridobili in pregledali zakonodajo in podzakonske akte, standarde in smernice, ki opredeljujejo področje razkrivanja informacij banke. Akte smo pregledali, saj nam predstavljajo osnovno sodilo pri vrednotenju informacij. Pridobili smo tudi interne akte, ki določajo proces priprave razkritij v banki, pristojnosti in odgovornosti posameznikov (Politika razkritij). Dodatno smo že v fazi priprave na revizijo in dodatno v fazi izvedbe pridobili dokumentacijo, na osnovi katere smo presojali proces priprave razkritij za leto 2015. Ključni dokument so razkritja za leto 2015, rokovnik priprave razkritij in letnega poročila, zapisniki komisij,

46

odborov in drugih organov, vključenih v proces priprave razkritij. Dodatne informacije so bile pridobljena z razgovori z odgovornimi osebami (koordinator priprave razkritij, posamezne osebe, ki so odgovorne za pripravo posameznih razkritij).

Glede na začetno omejitev pri testiranju podatkov smo si pridobili in pregledali poročila notranje revizije, ki so se nanašala na področja upravljanja tveganj, ki so predmet razkrivanja ter poročila zunanjih nadzornikov in revizorjev računovodskih izkazov, ki se nanašajo na področja upravljanja tveganj. Gre za uporabo standarda 2050 in svetovalni napotek 2050-3 Opiranje na delo drugih dajalcev zagotovil. Zanašamo se na ugotovitve dajalcev zagotovil za katere ocenjujemo, da so neodvisni, nepristranski in strokovni.

Revizijski postopki in potrebne informacije za dosego ciljev revizije so podrobno razvidni iz delovnega programa, stolpec revizijski postopki.

Zbrane informacije je potrebno ustrezno označiti in dokumentirati. Vse informacije se hranijo v elektronski obliki, saj so večinoma že pridobljene v elektronski obliki, v kolikor pa so pridobljene v fizični obliki se dokument skenira. Dokumenti se hranijo v elektronskih mapah, ki so označene v skladu s spodnjo preglednico.

Preglednica 3: struktura delovnega gradiva

Oznaka delovnega gradiva

Delovno gradivo

P POROČANJE P.1 končno revizijsko poročilo P.2 osnutek P.3 usklajevanje z odgovornimi osebami, delovno gradivo P.4 spremljava priporočil N NAČRTOVANJE N.1 podlage za pripravo programa N.2 delovni program posla I IZVEDBA I.1 dokumentacija o preizkušanju notranjih kontrol

I.2 ovrednotenje notranjih kontrol I.3 ugotovitve in priporočila O OSTALO O.1 vprašalnik o zadovoljstvu O.2 uporabljeni viri, literatura Vir: Interni predpis notranjerevizijskega izvajalca v banki x

2.2.2. Ovrednotenje informacij in izdelava izidov o poslu

Pridobljene informacije so zadostne, zanesljive, ustrezne in uporabne zato smo jih ovrednotili in na osnovi tega podali zaključke.

Namen proučitve in ovrednotenja informacij je oblikovati utemeljene izide posla, zato so cilji teh postopkov bili usmerjeni k pridobitvi odgovorov na sledeča vprašanja o notranjih kontrolah (Jagrič 2014, gradivo za izobraževanje SIR, prosojnice):

- Ali so ključne kontrole ustrezno načrtovane?

47

- Ali načrtovane ključne kontrole delujejo uspešno? - Ali je izpostavljeno tveganje omejeno na sprejemljivo raven? - Ali ključne notranje kontrole podpirajo doseganje ciljev?

Ustrezne notranje kontrole so kontrole, ki omogočajo doseganje zastavljenih ciljev revidiranega procesa, medtem, ko so učinkovite notranje kontrole tiste načrtovane notranje kontrole, ki zagotavljajo doseganje teh ciljev. Pomanjkljivost notranjih kontrol nastopi v primeru, ko kontrole ne morejo preprečiti ali pravočasno preprečiti ali pravočasno odkriti napačnega delovanja posameznih aktivnosti v procesu.

Na podlagi izvedenih revizijskih postopkov in pridobljenih revizijskih dokazov mora revizor priti do logičnih zaključkov. Zaključke smo podali po posameznih sestavinah v skladu s COSO metodologijo.

Preglednica 4: Pregled zaključkov po COSO sestavinah in skupna ocena sistema notranjega kontroliranja

Kontrolno okolje Kontrolno okolje sestavlja zavezanost k integriteti in etičnim vrednotam, odgovornost organov vodenja in nadzora za uspešnost notranjih kontrol, učinkovito organizacijsko strukturo, jasno opredeljene pristojnosti in odgovornosti ter učinkovito upravljanje kadrov. Cilj sestavine je ugotoviti: - ali ima banka vzpostavljene ustrezne standarde na področju neoporečnosti in etičnih vrednot in ali jih izvaja, - ali so vzpostavljeni parametri, ki omogočajo nadzor nad notranjim kontroliranjem, - ali je vzpostavljen ustrezen organizacijski ustroj banke ter določene linije poročanja ter - ali so dodeljena ustrezna pooblastila in razmejene odgovornosti, - ali je ustrezno upravljanje s kadri ter zagotovljen njihov razvoj in - ali so jasne njihove odgovornosti.

Zaključki: Notranje kontrole so vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru kontrolnega okolja. Notranje kontrole so ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Ugotavljamo, da ima banka vzpostavljena etična pravila, ki so v obliki kodeksa javno objavljena in dostopna vsem zaposlenim banke. Kodeks je bil predstavljen vsem zaposlenim banke na internih izobraževanjih, na katerih je bila prisotna tudi uprava banke, ki je predstavila tudi svojo zavezanost veljavnim etičnim pravilom, kar pomembno prispeva k dobremu zgledu »iz vrha«. Iz kodeksa izhaja ničelna toleranca do kršitev kodeksa, vzpostavljen je sistem anonimnega javljanja kršitev in reševanja kršitev za kar je zadolžen sektor skladnosti. Banka je vzpostavila tudi politiko ocenjevanja primernosti (fit&proper) ključnih kadrov na osnovi katere se presoja primernost potencialnih kandidatov za nadzorni svet, upravo banke, izvršilne direktorje in druge kadre, ki so opredeljeni kot ključni kadri. Na tak način banka zagotavlja, da so na ta mesta imenovani kadri, ki izpolnjuje pogoje glede znanja, osebnostnih in drugih lastnosti. Navedeno je pomembno tudi za področje, ki je predmet revidiranja, saj so v postopke razkrivanja informacij aktivno vključene tudi vodstvene ravni banke (vključno z upravo in nadzornim svetom), ki odločajo o jasni in objektivni predstavitvi profila tveganosti banke in upravljanja s tveganji. Za namene opredelitve odgovornosti in procesa priprave razkritij ter notranjih kontrol je banka pripravila in odobrila Politiko razkritij. Ocenjevanje tveganj Ocenjevanje tveganj zahteva določanje primernih ciljev, zaznavanje in analiziranje tveganj, ocenjevanje tveganja prevar ter vrednotenje in razvrščanje tveganj. Cilj sestavine je ugotoviti: - ali ima bank določene cilje ter prepoznava in ocenjuje tveganja, - ali banka identificira in analizira tveganja, - ali banka ocenjuje tveganja prevar ter - ali banka ugotavlja in ocenjuje spremembe, ki bi lahko pomembno vplivale na sistem notranjega kontroliranja. Zaključki: Notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru ocene tveganj. Notranje kontrole so v glavnem ustrezne, delujejo učinkovito in uspešno. Notranje kontrole v glavnem delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Banka ima na nivoju skupine vzpostavljen proces ocenjevanja tveganj, ki je podprt z ustreznimi internimi akti. Postopek se izvaja enkrat letno, zajeti so vsi organizacijski nivoji banke in družb v skupini. Kontrolne aktivnosti Kontrolne aktivnosti vključujejo izbiranje in razvijanje kontrolnih aktivnosti, aktivnosti za informacijsko tehnologijo ter razvijanje politik in postopkov kontroliranja za uspešno delovanje revidiranega področja. Sestavino kontrolne aktivnosti podpirajo načela in so usmerjena v ugotavljanje: - ali ima banka izbrane in razvite kontrolne aktivnosti, ki prispevajo k ublažitvi tveganj za doseganje ciljev na sprejemljivo raven, - ali ima izbrane in razvite splošne kontrolne aktivnosti za tehnologijo ter - opredeljene usmeritve in ali se kontrole aktivnosti in postopki dejansko izvajajo. Zaključki: Notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru kontrolnih

48

aktivnosti. Notranje kontrole so v glavnem ustrezne, delujejo učinkovito in uspešno. Notranje kontrole v delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Pomanjkljivosti ugotavljamo pri preveč splošni opredelitvi pravil pomembnosti, poslovni skrivnosti in zaupnosti informacij. Banka je vzpostavila ustrezne podlage za pripravo razkritij in opredelila postopke in notranje kontrole, ki se v glavnem izvajajo. Postopki in kontrole se nanašajo na celotni proces od priprave podlag za razkrivanje informacij do javne objave. Kljub dejstvu, da so notranje kontrole za pokrivanje ključnih tveganj vzpostavljene in delujejo vidimo možnosti za izboljšave, in sicer pri opredelitvi skupnega koordinatorja za pripravo letnega poročila in razkritij in pri vzpostavitvi informacijske podpore za namene priprave razkritij. Informiranje in komuniciranje Informiranje in komuniciranje predpisuje uporabo kakovostnih informacij, pomembnih za revidirano področje ter ustrezno komuniciranje. Cilj sestavine je tako ugotoviti: - ali banka pridobiva oziroma ustvarja kakovostne informacije in kako jih uporablja ter - ali ima banka vzpostavljeno ustrezno notranje in zunanje komuniciranje. Zaključki: Notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru informiranja in komuniciranja. Notranje kontrole so v glavnem ustrezne, delujejo učinkovito in uspešno. Notranje kontrole v glavnem delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Pomanjkljivosti ugotavljamo pri vsebini politiki razkritij, in sicer so preveč splošno opredeljena pravila opustitve razkritij. Spremljanje Spremljanje aktivnosti zajema izvajanje nadziranja kontrolnega sistema in sporočanje pomanjkljivosti odgovornim za upravljanje sistema. Cilj sestavine je ugotoviti: - ali ima banka izbrane oziroma razvita tekoča in/ali ločena ocenjevanja za potrditev, da so sestavine notranjega kontroliranja prisotne

in delujejo ter - ali ima banka vzpostavljeno ustrezno vrednotenje in pravočasno poročanje o pomanjkljivostih notranjega kontroliranja tistim

strankam, ki so odgovorne za popravno ukrepanje. Zaključki: Notranje kontrole so vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru spremljanja. Notranje kontrole so ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Banka ima na revidiranem področju opredeljeno politiko, ki opredeljuje odgovornosti glede spremljanja na revidiranem področju. Vzpostavljeno ima komisijo, ki spremlja in nadzira izvajanje postopka priprave razkritij, o morebitnih pomanjkljivostih poroča upravi banke in nadzornemu svetu. Skupna ocena sistema notranjega kontroliranja Načela sestavin notranjega kontroliranja delujejo večinoma ustrezno z izjemo kontrolnih aktivnosti in aktivnosti informiranja in komuniciranja, ki delujejo delno ustrezno. Sistem notranjih kontrol kot celota deluje večinoma ustrezno pri zagotavljanju skladnosti priprave razkritij z zakonodajo in internimi akti. Ugotovljene pomanjkljivosti kumulativno ne pomenijo hude pomanjkljivosti.

2.3. Poročanje o izidih posla

SNR 2400 - Poročanje o izidih Notranji revizorji morajo poročati o izidih poslov.

SNR 2410 - Sodila za poročanje Sporočanje mora vključevati tako cilje in obseg posla kot tudi ustrezne sklepe, priporočila in načrte ukrepanja.

2410.A1 - Končno sporočilo o izidih posla mora vsebovati, kjer je to primerno, mnenje in/ali sklepe notranjih revizorjev. Izdano mnenje ali sklep mora upoštevati pričakovanja poslovodstva, organa nadzora in drugih deležnikov ter mora biti podprto z zadostnimi, zanesljivimi, ustreznimi in koristnimi informacijami.

2410.A2 - Notranje revizorje se spodbuja, da pri poročanju o poslu potrdijo tudi zadovoljivo delovanje.

2410.A3 - Pri razkrivanju izidov posla strankam zunaj organizacije morajo biti pri poročanju upoštevane omejitve razširjanja in uporabe izidov.

SNR 2420 - Kakovost sporočil Sporočila morajo biti točna, nepristranska, jasna, jedrnata, ustvarjalna, popolna in pravočasna. SNR 2421 - Napake in izpustitve Če vsebuje končno sporočilo pomembno napako ali izpustitev, mora vodja notranje revizije sporočiti popravljene informacije vsem strankam, ki so prejele izvirno sporočilo.

49

SNR 2440 - Razširjanje izidov Vodja notranje revizije mora izide sporočiti ustreznim strankam.

2440.A1 - Vodja notranje revizije je odgovoren za sporočanje končnih izidov strankam, ki lahko zagotovijo, da bodo izidi ustrezno upoštevani.

2440.A2 - Če zakonski ali drugi predpisi ne zahtevajo drugače, mora vodja notranje revizije pred razkritjem izidov strankam zunaj organizacije:

- oceniti možna tveganja za organizacijo, - opraviti posvet s poslovodstvom in/ali pravnim svetovalcem, če je to primerno, - kontrolirati razširjanje z omejevanjem uporabe izidov.

Poročanje je zelo pomembna faza revizije. V poročilu revizor predstavi bistvene podatke o reviziji in se opredeli do ugotovitev. Poročilo je namenjeno odgovornim osebam revidiranega področja. V obravnavani banki je postopek poročanja razdeljen na več faz in sestoji iz priprave gradiva za zaključni sestanek, ki je predmet obravnave na zaključnem sestanku in oblikovno že izdelano kot končno revizijsko poročilo. Po zaključnem sestanku se izdela osnutek revizijskega poročila in po potrditvi osnutka še končno revizijsko poročilo, ki se posreduje odgovornim osebam revidirane enote in upravi banke.

2.3.1. Izdelava gradiva za zaključni sestanek

V skladu z internimi pravili banke, ki se nanašajo na notranje revidiranje se odgovornim osebam revidirane enote hkrati z vabilom na zaključni sestanek posreduje gradivo za zaključni sestanek. V preteklosti za izvedbo zaključnega sestanka nismo predhodno posredovali gradiva ampak samo predstavili ugotovitve revizorja. Takšni zaključni sestanki so bili neučinkoviti, saj so se tako odgovorne osebe v tej fazi dejansko samo seznanile z ugotovitvami revizorja, večina usklajevanja in pripomb pa je bila podana šele v fazi osnutka revizijskega poročila. Tudi glede na pripombe odgovornih oseb revidiranih enot smo tako uvedli gradivo na zaključni sestanek, ki ga odgovorne osebe prejemajo pred zaključnim sestankom in se imajo možnost na njega pripraviti. Večina nesoglasij je tako rešena že v fazi zaključnega sestanka.

Gradivo za zaključni sestanek pripravimo v strukturi in obliki končnega revizijskega poročila. Samo iz naziva poročila je razvidno, da gre za gradivo za zaključni sestanek.

Preglednica 5: Struktura poročila

Uvodna stran Na prvi strani je naveden naziv poročila (delovno gradiva, osnutek ali končno poročilo) s točnim naslovom revizije. V nadaljevanju so navedeni osnovni podatki o področju revidiranja z navedbo odgovornih oseb. Navedeni so osnovni podatki o reviziji in vodja revizijske skupine.

Predmet revizije Iz poglavje je razvidno na kaj se revizija nanaša (obseg in omejitve), sodila.

Sklepno revizorjevo mnenje Navedeno je revizorjevo mnenje, ki je lahko pozitivno, mnenje s pridržkom ali negativno mnenje.

Ugotovitve in priporočila Navedena je kratka ugotovitev, trenutno stanje, sodilo, posledica in vzrok, priporočilo. Navedena je stopnja ugotovljene pomanjkljivosti, odgovorna oseba in rok izvršitve priporočila.

Podrobne ugotovitve Podrobne ugotovitve so v bistvu priloga revizijskega poročila in so namenjena neposredno odgovornim

50

področja revidiranja (posameznim izvajalcem, vodjem, direktorjem). Višjim vodstvenim nivojem (izvršilnim direktorjem) in upravi banke jih posredujemo samo na njihovo izrecno zahtevo.

Ugotovitve in priporočila so rangirana v skladu z lestvico:

Tveganje Visoko Pomanjkljivost Bistvena Kriterij -neskladnost z zakonskimi in internimi predpisi banke (kršitve zakonodaje in

internih predpisov, ki so opredeljene kot hujše kršitve, ki imajo za posledico kazenske sankcije in vpliv na ugled banke in posledično vplivajo na doseganje dolgoročnih ciljev banke) -notranje kontrole niso vzpostavljene in/ali ne delujejo, tveganja niso obvladovana in imajo velik vpliv na uspešnost in učinkovitost delovanja revidiranega področja

Tveganje Srednje Pomanjkljivost Pomembna Kriterij -delna neskladnost zakonskimi in internimi predpisi banke (manjše in sistemske

kršitve internih pravil, ki niso kritične, vendar kljub temu pomembno vplivajo na doseganje ciljev banke) -notranje kontrole so delno vzpostavljene oziroma delujejo pomanjkljivo, tveganja so delno obvladovana in lahko pomembno vplivajo na uspešnost in učinkovitost delovanja revidiranega področja

Tveganje Majhno Pomanjkljivost Majhna Kriterij -manjše neskladnosti z internimi predpisi banke (manjše in posamične

pomanjkljivosti pri delovanju in obstoju notranjih kontrol, s čimer niso pravočasno preprečene in odkrite manjše kršitve internih predpisov) -notranje kontrole so vzpostavljene, vendar so bile ugotovljene manjše pomanjkljivosti v njihovem delovanju ali notranje kontrole niso v celoti vzpostavljene vendar se izvajajo; tveganja so obvladovana, pomanjkljivosti ne vplivajo bistveno na uspešnost in učinkovitost revidiranega področja

Struktura poročila je bila prilagojena potrebam prejemnikov poročil, saj so njim tudi namenjena in jim morajo nuditi pričakovane informacije.

Bistveni del poročila je revizorjevo mnenje s povzetkom. Podane so lahko različne stopnje zagotovila – pozitivno ali negativno zagotovilo ali mnenje s pridržkom.

Pri podajanju pozitivnega zagotovila, revizor poda jasno mnenje, ki je lahko tudi dvojno; notranje kontrole so ali niso uspešne v določeni situaciji, oziroma tveganja so ali niso uspešno obvladovana. Negativno zagotovilo, pomeni, da revizor ni pridobil ničesar v povezavi s ciljem delovanja, kar bi vplivalo na oceno neuspešnosti notranjih kontrol ali neprimernost obvladovanja tveganj (Jagrič 2014, gradivo za izobraževanje SIR, prosojnice). Mnenje s pridržkom podamo v primeru, kadar nastopi izjema, vendar še vedno verjamemo, da je sistem notranjih kontrol uspešen. Mnenje lahko revizor tudi zavrne v primeru, ko revizor ne more pridobiti ustreznih informacij, ki jih zahteva plan revidiranja.

Mnenje se daje v skladu s standardi za posamezno vrsto posla, v skladu s Standardom 2450 (celovita mnenja) pa se lahko poda tudi celovito mnenje, ki predstavlja strokovno presojo za določeno obdobje , ki navadno temelji na več opravljenih revizijskih poslih. Običajno ga izda vodja notranje revizije. V

51

primeru opravljenega posla je bilo podano neodvisno mnenje o skladnosti postopkov z zakonodajo in internimi akti ter delovanju notranjih kontrol pri procesu priprave razkritij za leto 2015.

Pri izdelavi mnenja smo tako upoštevali naslednje kriterije: - pozitivno mnenje; delovanje notranjih kontrol je ustrezno oziroma večinoma ustrezno,

prisotne so kontrolne pomanjkljivosti, ki ne vplivajo pomembno na delovanje in na skladnost procesa z zakonodajo in internimi akti,

- mnenje s pridržkom; delovanje notranjih kontrol je deloma ustrezno, prisotne so pomembne pomanjkljivosti, lahko tudi bistvene slabosti, ki kumulativno ne pomenijo poglavitne pomanjkljivosti, obstajajo neskladnosti z zakonodajo in internimi akti,

- negativno mnenje; delovanje notranjih kontrol ni ustrezno, prisotne so bistvene slabosti, ki vplivajo na neskladno delovanje sestavin notranjega kontroliranja, ali poglavitne pomanjkljivosti, obstajajo pomembne neskladnosti z zakonodajo in internimi akti.

Mnenje je sestavljeno iz 4 odstavkov, ki vključujejo naslednje vsebine: - prvi odstavek: predmet revizije, cilj revidiranja, razlogi za revizijo, podlage – standardi; - drugi odstavek: definiranje področja preizkušanja in vrednotenja sestavin notranjih kontrol

(delovanje, poročanje ali skladnost) ter procese in aktivnosti, ki so bili zajeti; sodila za vrednotenje tveganj in notranjih kontrol;

- tretji odstavek: mnenje za posamezen revizijski cilj ter celotno mnenje na predmet revidiranja; - četrti odstavek: ime odgovornega revizorja, izjava glede zadostnosti in primernosti revizijskih

postopkov in dokazov, ki upoštevajo zahteve standardov in so ustrezni za podajo mnenja. Gradivo za zaključni sestanek vsebuje vse elemente končnega revizijskega poročila. Izdela ga vodja revizijske skupine. Pred posredovanjem odgovornim osebam ga pregleda vodja notranje revizije.

2.3.2. Zaključni sestanek

Vabilo na zaključni sestanek se posreduje hkrati z delovnim gradivom. Na sestanek so vabljene odgovorne osebe revidiranih področij, kar ne pomeni samo direktorjev posameznih sektorjev ampak tudi neposredno odgovornih vodij in izvajalcev, ki so odgovorni za posamezno področje dela. V primeru revizije razkritij so bili na zaključni sestanek povabljeni:

- direktorica sektorja računovodstva – kot odgovorna oseba za politiko razkritij in pripravo letnega poročila – računovodski del

- direktor sektorja nekreditnih tveganja – kot odgovorna oseba za pripravo razkritij - analitik iz sektorja nekreditnih tveganj – kot koordinator priprave razkritij - direktorica kontrolinga – kot odgovorna oseba za pripravo rokovnika in pripravo letnega

poročila – poslovno poročilo, - analitik iz sektorja kontrolinga – kot neposredno odgovoren za pripravo rokovnika

Na zaključnem sestanku so na strani notranje revizije prisotni vodja notranje revizije, vodja revizijske skupine in po potrebi še ostali člani revizijske skupine.

Ob posredovanju vabila na zaključni sestanek prejemnike vabila pozovemo tudi za že pisno posredovanje pripomb na gradivo za zaključni sestanek in posredovanje podporne dokumentacije.

Tema pogovora zaključnega sestanka je v prvi vrsti predstavitev ugotovitev revizorja, pregled predlaganih priporočil, uskladitev odgovornih oseb za njihovo izvršitev in uskladitev rokov izvršitve priporočil. Odgovorne osebe revidirane enote imajo na zaključnem sestanku možnost predstaviti svoje

52

poglede in pripombe, ki jih morajo podpreti s podporno dokumentacijo. Upoštevanje pripomb je stvar presoje notranjega revizorja. Vsekakor pa je cilj zaključnega sestanka popolna uskladitev z odgovornimi osebami revidirane enote. V kolikor soglasje ni možno se navedeno razkrije v končnem revizijskem poročilu.

O izvedbi zaključnega sestanka se vodi zapisnik. Pomembno je, da so iz zapisnika razvidne morebitne pripombe revidirane enote in soglasnost/nesoglasnost glede podanih pripomb. Zapisnik zaključnega sestanka podpišejo vsi udeleženci le-tega. Potrjeni in podpisani zapisnik zaključnega sestanka se hrani v revizijskem gradivu.

Pri konkretni reviziji je bilo na zaključnem sestanku doseženo popolno soglasje glede ugotovitev in priporočil notranjega revizorja.

2.3.3. Izdelava osnutka revizijskega poročila in končnega revizijskega poročila

Po izvedem zaključnem sestanku in potrjenem zapisniku zaključnega sestanka se izdela osnutek revizijskega poročila. Struktura osnutka je identična strukturi gradiva za zaključni sestanek. Pred posredovanjem odgovornim osebam osnutek pregleda in potrdi vodja notranje revizije. Odgovornim osebam revidirane enote običajno posredujemo osnutek revizijskega poročila iz katerega so razvidne spremembe v primerjavi z gradivom za zaključni sestanek. Skupaj z osnutkom revizijskega poročila odgovornim osebam posredujemo tudi obrazec s podpisom katerega potrjujejo, da se strinjajo z osnutkom revizijskega poročila, kar je v nadaljevanju podlaga za pripravo končnega revizijskega poročila. Glede na to, da je že v fazi obravnave gradiva za zaključni sestanek ugotovljeno soglasje ali nesoglasje glede ugotovitev revizorja je običajno, da dodatnih pripomb v fazi osnutka revizijskega poročila s strani odgovornih oseb revidirane enote ni, oziroma so pripombe zgolj izjema in ne pravilo (v primeru kadar se odgovorna oseba iz upravičenih razlogov ni mogla udeležiti zaključnega sestanka).

2.3.4. Izdaja končnega revizijskega poročila

Podlaga za izdajo končnega revizijskega poročila je zaključen postopek usklajevanja osnutka revizijskega poročila. Struktura končnega revizijskega poročila je identična strukturi gradiva za zaključni sestanek in osnutka revizijskega poročila. Pred posredovanjem končno poročilo pregleda in potrdi vodja notranje revizije. Končno revizijsko poročilo prejmejo uprava banke, pristojni izvršilni direktorji, pristojni direktorji revidiranih enot. Izvod končnega poročila se hrani v arhivu notranje revizije.

2.4. Oblikovanje revizijskega gradiva o opravljenem poslu

Za vsak revizijski posel se v notranji reviziji vodi gradivo, pridobljeno pri izvajanju revizije in na katerem temeljijo revizorjeve ugotovitve in zaključki. Revizijsko gradivo mora biti takšno in tako urejeno, da bi lahko neka tretja oseba na osnovi gradiva prišla do istih zaključkov kot revizor. Zato je pomembno, da je revizijsko gradivo dosledno urejeno in označeno.

V primeru konkretne revizije je vso gradivo v elektronski obliki, označeno tako kot je opisano že v poglavju 2.2.1.

Gradivo pregleda vodja notranje revizije, kar je razvidno iz delovnega programa.

53

2.5. Nadziranje posla

Vodja notranje revizije ali od njega pooblaščena oseba mora v skladu 2340 – Nadziranje posla, izvajati nadzor s ciljem zagotovitve, da se revizija izvaja v skladu z načrtovanimi cilji, kakovosti izvedbe revizije, ustrezno strokovno izobraženost revizorjev, ki revizijo izvajajo. Kakovost izvedbe revizije se meri skozi skladnost s standardi in drugimi strokovnimi podlagami ter usmerjenostjo k zadovoljstvu strank notranje revizije.

Vodja notranje revizije izvaja sprotni nadzor nad izvajanjem notranje revizije, ki se odraža preko potrjevanja izvedbenega načrta, delovnega programa, gradiva revizije, zaključkov revizorja, ki so navedeni v gradivu za zaključni sestanek, osnutku in končnem revizijskem poročilu. Vodja notranje revizije je prisoten tudi pri izvedbi zaključnega sestanka. Ne glede na navedene aktivnosti nadzora vodje notranje revizije, vodja revizijske skupine izvaja postopke sprotnega poročanja vodji notranje revizije na skupnih sestankih notranje revizije ali na individualnem sestanku z vodjo notranje revizije.

Z namenom zagotavljanja kakovosti posamezne notranje revizije (posla) in kakovosti delovanja notranje revizije ima notranja revizija vzpostavljen program zagotavljanja kakovosti. Program sestoji iz postopkov interne in zunanje presoje. V postopke interne presoje so zajeti vprašalniki o zadovoljstvu strank. Gre za vprašalnik, ki ga vodja revizijske skupine posreduje odgovornim osebam revidirane enote po zaključeni posamezni reviziji. Vprašalnik vsebuje tako imenovana zaprta in odprta vprašanje, ki se nanašajo na izvedbo posamezne revizije in morebitne predloge za izboljšanje. Enkrat letno notranja revizija izvede celovito oceno kakovosti delovanja, in sicer v obliki samoocene iz vidika skladnosti delovanja s standardi in drugimi pravili stroke. Pridobi tudi oceno ključnih deležnikov, ki so uprava banke, člani nadzornega sveta in člani revizijske komisije. Na podlagi zbranih ocen izdela v skladu z metodologijo banke oceno stopnje razvitosti notranje revizije. O izvedeni notranji oceni izdela poročilo z ugotovitvami in predlaganimi izboljšavami in ga predloži upravi banke, revizijski komisiji in nadzornemu svetu. V skladu z metodologijo banke se zunanja presoja izvede vsakih pet let, izvede jo neodvisni zunanji izvajalec. V postopke izbora je vključena tudi revizijska komisija. Poročilo o izvedeni zunanji presoji s predlaganimi priporočili in izboljšavami se predloži upravi banke, revizijski komisiji in nadzornemu svetu. Opredelijo se roki izvedbe priporočil, o izvrševanju poroča vodja notranje revizije v rednih kvartalih poročilih upravi in nadzornemu svetu.

2.6. Spremljanje napredovanja

Notranji revizor mora spremljati izvedbo korektivnih aktivnosti, da bi ugotovil ali je poslovodstvo izvedlo ukrepe in uresničilo priporočila notranje revizije. Pri tem revizor ugotavlja ali so zaželeni izidi doseženi in ali je poslovodstvo sprejelo tveganje neukrepanja ter ni realiziralo ukrepov in uresničilo priporočil (SNR 2500.A1-1 Nadaljnje spremljanje).

Spremljanje izvajanja priporočil spremlja vodja revizijske ekipe, ki je izvedla revizijo. Vodja revizijske ekipe v procesu spremljanja presoja izvršene ukrepe poslovodstva, v kolikor presodi, da le ti pomenijo izvršitev priporočila, priporočilo evidentira kot izvršeno.

O izvrševanju priporočil vodja notranje revizije poroča upravi banke. Poročanje je redno, kar pomeni, vsaj enkrat mesečno. Posebno pozornost v poročilu je namenjeno neizvršenim priporočilom. V kolikor uprava banke sprejeme odločitev, da sprejema tveganje, ki je posledica neizvršitve priporočila, vodja notranje revizije priporočilo zapre in ga ne poroča več kot neizvršenega s tem, da evidentira, da priporočilo ni bilo izvršeno in, da je poslovodstvo sprejelo tveganje.

54

V primeru obravnavane revizije smo na osnovi spremljave izvajanja ugotovili, da so odgovorne osebe izvršile vsa priporočila.

3. Sklep

Namen zaključne naloge je bil na praktičnem primeru prikazati razumevanje in uporabo znanj, ki sem jih pridobila na izobraževanjih za pridobitev strokovnega naziva preizkušena notranja revizorka in skozi delovne izkušnje v notranji reviziji banke. S predstavljeno zaključno nalogo je namen dosežen. V skladu z zastavljenim ciljem zaključne naloge je bil izveden notranjerevizijski posel dajanja zagotovil. Izvedba posla je prikazana z upoštevanjem predpisanih stopenj notranjega revidiranja in korakov revidiranja znotraj posamezne stopnje. Revizija je izvedena v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju ter drugimi strokovnimi in etičnimi pravili. Temelji na COSO metodologiji, ki temelji na petih medsebojno povezanih sestavinah upravljanja tveganj.

V zaključni nalogi sem pridobljena znanja uporabila na praktičnem primeru notranje revizije, za izvedbo katere sem proučila predpise iz področja razkrivanja informacij za banke. V teoretičnem delu sem predstavila teoretične podlage razkrivanja informacij in revidiranja področja razkrivanja informacij. V praktičnem delu sem predstavila posamezne stopnje notranjega revidiranja in sedemnajst korakov za izvedbo revizije. Revizija se je nanašala na skladnost procesa priprave razkritij z zakonodajo in internimi akti. Z revizijo sem ugotovila ali prihaja do vrzeli v sistemu notranjih kontrol, ki zagotavljajo skladnost procesa z zakonodajo in internimi akti. Na osnovi ugotovitev sem podala priporočila za odpravo ugotovljenih neskladnosti oziroma priporočila za izboljšanje sistema notranjih kontrol in s tem dosegla zastavljene cilje notranje revizije.

Poslovodstvo je sprejelo končno revizijsko poročilo. Strinjajo se s priporočili in o njihovem izvajanju poročajo notranji reviziji.

55

4. Literatura in viri 1. Celovit okvir notranjega kontroliranja, povzetek, 2013, maj 2. Jagrič, Milan, 2014, Delovni program posla in COSO 2013, SIRIUS, 5/2014

3. Jošt, Andrejka, 2014, Delovanje službe notranje revizije in Basel III, SIRIUS 1/2014

4. Doles, Jernej, b.l., Deset stvari, ki jih je dobro vedeti o novi evropski kapitalski direktivi in

uredbi – CRD IV in CRR

5. EBA FINAL draft Regulatory Tehnical Standards on disclosure of information in relation to the compliance of institutions with the requirement for a countercyclical capital buffer under Article 440 of Regulation (EU) No 575/2013

6. EBA Report on Banks transparency in their 2014 pillar 3 reports, 2015

7. Jagrič M., Koletnik F., Vezjak B., Romih M., Toman Pfajfar T., 2014 in 2015, Gradovo za

izobraževanje za strokovni naziv preizkušeni notranji revizor, Slovenski inštitut za revizijo

8. How the COSO framework can help, Comitte of sponsorin Organizations of the Tradeway Commission, 2014, februar

9. Logar, Matej, 2015, Implementacija akordov Basel III v slovenski bančni sistem, magistrsko

delo, Matej Logar

10. Interna gradiva banke v zvezi z razkritjem informacij v skladu z osmim delom CRR

11. Interna gradiva banke v zvezi z upravljanjem tveganj

12. Interna gradiva banke v zvezi z notranjim revidiranjem

13. Izvedbena uredba komisije (EU) o določitvi izvedbenih tehničnih standardov glede razkritja količnika finančnega vzvoda za institucije v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta 2016/200 z dne 15. februarja 2016

14. Izvedbena uredba komisije (EU) o določitvi izvedbenih tehničnih standardov glede zahtev po

razkritju o kapitalu za institucije v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta, št. 1423/2013 z dne 20. decembra 2013

15. Kodeks notranjerevizijskih načel, Slovenski inštitut za revizijo, 2011

16. Kodeks poklicne etike notranjih revizorjev, Slovenski inštitut za revizijo, 2011

17. Leveraging COSO across the three lines of defense, IIA, Douglas J. Anderson, Gina Eubanks,

julij 2015

18. Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, veljavni od 1.1.2013

19. Non-Financial Reporting, Building trust with internal audit, Enhancing Governance through internal audit, 2014

20. Koletnik, Franc, 2007, Notranje revidiranje, Koletnik Franc, Slovenski inštitut za revizijo, Ljubljana

56

21. Doles, Jernej, 2013, Nova evropska zakonodaja, Jernej Doles, Bančni vestnik, letnik 62,

številka 10, oktober

22. Nose, Barbara, 2014, Odkrivanje prevar, SIRIUS, 4/2014

23. Razkritja bank in hranilnic za leto 2015 (javno objavljena na spletnih straneh bank)

24. Revised Pillar 3 disclosure requirement, Basel Basel Committee on Banking Supervision, januar 2015

25. Smernice o razkritju obremenjenih in neobremenjenih sredstev, EBA, 2014, junij

26. Smernice EBA o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij v

skladu s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013, december 2014

27. The Updated COSO Internal Control Framework, Frequently Asked Questions, Second Edition, Protiviti

28. Uredba (EU) Evropskega parlamenta in sveta o bonitetnih zahtevah za kreditne institucije in

investicijska podjetja ter o spremembi Uredbe (EU) št. 648/2012, št. 575/2013 z dne 26. junija 2013

29. Vloga nadzornih organov pri zunanjih in notranjih revizijah ter drugih sorodnih storitvah, Tina Kolenc Praznik, Katarina Kadunc, SIRIUS, 4/2015

30. Vsebina pisma za banke in hranilnice v zvezi s pričetkom uporabe CRR/CRD IV, bankam

poslano 17.1.2014, Banka Slovenije

31. Zakon o bančništvu, Ur. l. RS, št. 25/15

57

Priloga 1: Izvedbeni načrt Banka, Služba notranje revizije

oznaka delovnega gradiva: XX

dokument: IZVEDBENI NAČRT področje: RAZKRIVANJE INFORMACIJ oznaka notranje revizije: 6/2016 člani revizijske skupine: vodja Jana Žagar zap. št.

revizijska aktivnost načrtovan čas v urah

izvajalec

PRIPRAVA NA REVIZIJO 1. Opredelitev ciljev in obsega posla. 4 JŽ 2. Najava revizije 1 JŽ 3. Izvedba aktivnost za razumevanje revidiranca v obliki:

a) pregled veljavne zakonodaje, b) pregled stalnega dosjeja za področje revidiranja in poročil preteklih

notranje revizijskih pregledov, pregledov Banke Slovenije, notranjih revizij iz področja upravljanja tveganj,

c) pregled internih aktov iz področja revidiranja, d) priprava na uvodni sestanek.

22 JŽ

4. Uvodni sestanek z odgovornimi osebami revidiranega področja 3

JŽ

6. Popis procesa na osnovi razgovorov z odgovornimi osebami (naris in popis procesa z notranjimi kontrolami.

8

JŽ

8. Spoznavanje ciljev procesa, prepoznavanje in ocenitev tveganj na revidiranem področju ter primernosti načrtovanih notranjih kontrol.

16 JŽ

9. Presoja obstoja indikatorjev prevar na revidiranem področju in opredelitev plana preizkušanja.

4 JŽ

10. Priprava revizijskega (delovnega) programa na podlagi ocene tveganj in notranjih kontrol.

20 JŽ

11. Potrditev revizijskega programa s strani vodje notranje revizije. Vodja NR IZVEDBA

12. Izvedba postopkov pridobivanja dokazov, proučitev in ovrednotenje informacij po delovnem programu. Sprotno dokumentiranje ugotovitev o slabostih in pomanjkljivostih ter predlogov za izboljšave. Sprotna priprava delovnih listov.

88 JŽ

13. Na podlagi ugotovitev izdelava zaključkov v obliki ocen ustreznosti notranjih kontrol. Ob zaključku dela na terenu odgovorne osebe revidiranega področja seznaniti s prvimi ugotovitvami revizijskega postopka.

16 JŽ

POROČANJE 14. Priprava gradiva za zaključni sestanek, pregled gradiva s strani vodje notranje

revizije, posredovanje vabila na zaključni sestanek z gradivom, izvedba zaključnega sestanka, zapisnik zaključnega sestanka.

32 JŽ Vodja NR

15. Priprava osnutka revizijskega poročila, pregled osnutka s strani vodje notranje revizije, posredovanje osnutka odgovornim osebam področja revidiranja.

8 JŽ Vodja NR

16. Pridobiti pisne pripombe, mnenja oziroma potrditve. Kritična presoja novih pripomb in vključitev v končno poročilo.

4 JŽ

17. Priprava in razdelitev končnega revizijskega poročila o opravljeni notranji reviziji, pregled končnega revizijskega poročila s strani vodje notranje revizije

4 JŽ Vodja NR

58

18. Ureditev in priprava za elektronsko arhiviranje delovnih papirjev in pridobljenih revizijskih dokazov. Upoštevanje opredeljene strukture za pisno in elektronsko dokumentacijo.

8 JŽ

19. Arhiviranje dokumentacije v aplikaciji za podporo izvajanja notranje revizijskega postopka.

2 JŽ

20. Vodja notranje revizije pregleda in potrdi izvedene notranjerevizijske aktivnosti. Vodja NR SKUPAJ REVIZORJEVE URE:

240

SPREMLJANJE IZVAJANJA PRIPOROČIL 21. Pridobitev poročil odgovornih oseb za izvedbo priporočil o izvedenih

aktivnostih. Po potrebi preveritev pridobljenih informacij in evidentiranje ugotovitev o odpravi pomanjkljivosti.

JŽ

datum priprave: x.y.2016 datum odobritve: x.y..2016 pripravila: odobril: Jana Žagar, vodja revizijske skupine AB, vodja notranje revizije podpis: podpis:

59

Priloga 2: Diagram poteka aktivnosti s seznamom kontrolnih ciljev, tveganj, kontrol, sodil

Izvajalci aktivnosti:

koordinator priprave razkritij



komisija za pripravo razkritij in letnega poročila

uprava banke


direktorji organizacijskih enot (sektor upravljanja tveganj, kabinet uprave, kadrovska služba, sektor računovodstva, sektor skladnosti poslovanja, sektor zakladništva)

koordinaror priprave razkritij

komisija za pripravo razkritij in letnega poročila

uprava banke

nadzorni svet + komisija za tveganja in revizijska komisija


kabinet uprave

skladnost z zakonodajo

pregled zahtev zakonodaje

opredelitevodgovornih oseb in

rokov

izdelava ocene pomembnosti, zauponosti in

poslovne skrivnosti

rokovnik

ocena pomembnosti, zaupnosti in poslovne

skrivnosti

potrditev rokovnika in ocene

obveščanjeodgovornih oseb

priprava posameznihrazkritij

dokument z razkritji

potrditev razkritij

obveščanje odgovornih oseb za

javno objavo

javna objava spletna stran banke

pravočasnost

popolnost

jasnost in preglednost

11

2

2

pravilnost in zanesljivost

3

4

5

3

4

5

3

zbiranje razkritij in združevanje

zapisniki in sklepi

zapisniki in sklepi

začetek

konec

javnoobjavljena razkritja

66

Legenda

tveganje kontrola vrzel

začetek/kone cilj aktivnost dokument elektronski

60

Seznam kontrolnih ciljev (KC), tveganj (T), notranjih kontrol (NK) in sodil v procesu priprave razkritij:

KC3-1 Skladnost z zakonodajo

T3-1 Tveganje kršitve zakonodaje

NK3-1 Banka opredeli postopek priprave razkritij v internem aktu Politika razkritij. Odgovorna oseba za pripravo dokumenta je direktorica sektorja računovodstva. V politiki razkritij so opredeljeni postopki priprave dokumenta z razkritji, odgovornosti posameznikov v postopku priprave, postopki pregleda in potrjevanja dokumenta, mesto javne objave. Poleg tega se v dokumentu opredeli pogostost posameznih razkritij (letno, polletno, četrtletno) in možne izjeme glede razkrivanja informacij. Politiko razkritij obravnava odbor za potrjevanje politik. Po potrditvi na odboru odgovorna oseba za politiko (direktorica sektorja računovodstva) dokument predloži v potrditev upravi banke. Dokument je predmet obravnave tudi nadzornega sveta in predhodno komisije za tveganja in revizijske komisije. Politika temelji na zahtevah zakonodaje.

NK3-2 Postopek priprave razkritij se začne z pregledom zakonodaje. Koordinator priprave razkritij pregleda zahteve zakonodaje in pripravi nabor zahtevanih razkritij v obliki rokovnika.

NK3-3 Pripravljen nabor zahtevanih razkritij se predloži komisiji za razkritja in letno poročilo, ki rokovnik pregleda iz vidika skladnosti z zakonodajo. V komisiji za razkritja in letno poročilo so predstavniki sektorja računovodstva, sektorja kontrolinga, sektorja upravljanja nekreditnih tveganj, sektorja skladnosti poslovanja. Na sejah komisije je prisoten tudi predstavnik notranje revizije, ki pa nima izvajalske in odločevalske funkcije. O sejah komisije za razkritja in letno poročilo se vodi zapisnik iz katerega je razvidna razprava in odločitve (sklepi) članov komisije.

Sodila:

- Uredba CRR, junij 2013 - Smernice EBA o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij v skladu

s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013, december 2014 - Politika razkritij, interni akt, zadnja veljavna verzija, 2015

KC3-2 Pravočasnost priprave razkritij

T3-2 Tveganje nepravočasne objave

NK3-4 Koordinator opredeli roke priprave razkritij po pripravi nabora razkritij opredeli roke njihove priprave ter roke izvedbe vseh aktivnosti od začetka do javne objave. Roke uskladi z aktivnostmi priprave letnega poročila zaradi zahteve po hkratni javni objavi letnega poročila in razkritij.

NK3-5 Komisija za razkritja in letno poročilo pregleda rokovnik in roke ter preveri skladnost rokov z roki aktivnostmi za pripravo letnega poročila ter usklajenostjo z dogovorjenimi roki z zunanjimi revizorji. O seji komisije se vodi zapisnik iz katerega je razvidna razprava in odločitve (sklepi) članov komisije.

1

1

2

2

61

Sodila:



KC3-3 Razkritja so popolna

T3-3 Kršitev pravil zaupnosti, poslovne skrivnosti in pomembnosti

NK3-6 V skladu z zakonodajo je potrebno izvesti oceno zaupnosti, poslovne skrivnosti in pomembnosti informacij, ki so predmet razkrivanja. V skladu z zakonodajo ima namreč banka možnost izpustitve razkritja, kadar je le-to nepomembno, zaupna informacija ali poslovna skrivnost. Predlog možnih nerazkrivanj informacij pripravi koordinator že ob pripravi nabora zahtevanih razkritij. Obravnavana banka je v letu 2015 razkrila vse zahtevane informacije in ni izkoristila možnosti nerazkrivanja v skladu z načeli pomembnosti, zaupnosti in poslovne skrivnosti.

NK3-7 Ob obravnavi rokovnika komisija za razkritja in letno poročilo pregleda in potrdi izjeme glede razkrivanja informacij. Navedeno je posebej razvidno iz zapisnika seje komisije.

Sodila:



V politiki razkritij ni dovolj natančno opredeljena uporaba načel pomembnosti, zaupnosti in poslovne skrivnosti ter pogoji za izvzetja v teh primerih. V politiki je samo v splošnem opredeljena možnost nerazkrivanja informacij v primerih kadar gre nepomembno informacijo, informacijo, ki je zaupna ali informacijo, ki predstavlja poslovno skrivnost. Iz dokumentacije (dokumentacija, ki jo koordinator predloži komisiji za razkritja in letno poročilo ter iz zapisnikov sej komisije za razkritja in letno poročilo) je razvidno, da odgovorne osebe uporabo načel poznajo in poznajo postopke presoje ter o tem razpravljajo in sprejmejo odločitev. V primeru za leto 2015 banka ni uporabila načel pomembnosti, poslovne skrivnosti ali zaupnosti informacij z namenom izpustitve razkritij ampak je razkrila vse zakonsko predpisane informacije in dodatne informacije za lažje razumevanje razkritij.

Sodila:



KC3-4 Razkritja so pravilna in zanesljiva

3

3

3

4

62

T3-4 Razkritja so nepravilna T3-5 Razkritja se podvajajo z letnim poročilom

NK3-8 V politiki razkritij so opredeljene odgovornosti posameznikov v zvezi s pripravo razkritij. Posamezna razkritja tako pripravljajo odgovorne osebe posameznih organizacijskih enot, ki izvajajo postopke v zvezi s področji, ki so predmet razkrivanja. Neodvisno kontrolo izvaja koordinator, ki zbira posamezna razkritja in jih združuje v skupni dokument. Pripravljena razkritja so predmet celovitega pregleda komisije za razkritja in letno poročilo. Ugotovitve in razprava v zvezi z razkritji je razvidna iz zapisnika seje komisije. Razkritja so nadalje še predmet obravnave na upravi banke, nadzornem svetu in predhodno na komisiji za tveganja ter revizijski komisiji. Dodatno neodvisno zagotovilo je podano tudi na osnovi opravljene notranje revizije razkritij za leto 2015.

NK3-9 Dokument z razkritji se dopolnjuje z letnim poročilom zato je pomembno, da so razkritja po CRR konsistentna z razkritji v letnem poročilu. Koordinator zato pregleda konsistentnost z letnim poročilom pred predložitvijo razkritij komisiji za razkritja in letno poročilo.

NK3-10 Koordinator zbira razkritja in jih združuje v enotni dokument ter jih pred predajo komisiji za razkritja pregleda in v primeru ugotovljenih nepravilnosti, nepopolnosti zahteva dopolnitve in popravke.

NK3-11 Dokument z razkritji pregleda komisija za razkritja in letno poročilo ter pripravi predlog za obravnavo na upravi banke. Razprava ter odločitve (sklepi) članov komisije so razvidni iz zapisnika seje komisije.

Sodila:


s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013, december 2014 - Izvedbena uredba komisije (EU) o določitvi izvedbenih tehničnih standardov glede razkritja

količnika finančnega vzvoda za institucije v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta 2016/200 z dne 15. februarja 2016

- Izvedbena uredba komisije (EU) o določitvi izvedbenih tehničnih standardov glede zahtev po razkritju o kapitalu za institucije v skladu z Uredbo (EU) št. 575/2013 Evropskega parlamenta in Sveta, št. 1423/2013 z dne 20. decembra 2013

KC3-5 Razkritja so jasna in pregledna

T3-6 Razkritja ne nudijo jasnih in nedvoumnih informacij zainteresirani javnosti T3-7 Nadzorni organ ne izvaja zakonsko določenih nalog in odgovornosti

NK3-12 Razkritja pregleda komisija za razkritja za letno poročilo ter so predmet obravnave in potrjevanja na upravi banke, nadzornem svetu in komisijah nadzornega sveta (za tveganja in revizijska komisija)

5

4

5

63

NK3-13 Pred javno objavo se dokument z razkritji predloži v obravnavo revizijski komisiji hkrati z letnim poročilom, komisiji za tveganja in z mnenjem obeh komisij se dokument predloži nadzornemu svetu.

Sodila:


s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013, december 2014 - Revised Pillar 3 disclosure requirement, Basel Committee on Banking Supervision, januar 2015

KC3-6 Razkritja so javno objavljena hkrati z letnim poročilom

T3-8 Nadzorni organ ne izvaja zakonsko določenih nalog in odgovornosti T3-9 Zainteresirana javnost ne pridobi istočasno celovite informacije glede poslovanja banke in njenega profila tveganosti NK3-14 Pred javno objavo se dokument z razkritji predloži v obravnavo revizijski komisiji hkrati z letnim poročilom, komisiji za tveganja in z mnenjem obeh komisij se dokument predloži nadzornemu svetu. Na sejah komisij in nadzornega sveta je prisotna uprava banke in izvršilni direktor področja upravljanja tveganj, ki predstavita dokument (razkritja) članom komisij in nadzornega sveta in podajajo pojasnila na vprašanja članov komisij in nadzornega sveta. Razprava in sklepi so razvidni iz zapisnikov sej komisij in nadzornega sveta. Sklep nadzornega sveta, s katerim potrdi razkritja je podlaga za javno objavo dokumenta.

NK3-15 Kabinet uprave banke je zadolžen za obveščanje odgovornih oseb o sprejetih sklepih nadzornega sveta. V skladu z opredeljenimi odgovornostmi v Politiki razkritij o sprejetem sklepu obvestijo člane komisije za razkritja in letno poročilo. Člani komisije s sklepom zadolžijo koordinatorja za pripravo končne verzije razkritij in posredovanje v kabinet uprave banke, ki je odgovoren za hkratno javno objavo letnega poročila in razkritij na spletni strani banke.

Sodila:


s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013, december 2014 - Revised Pillar 3 disclosure requirement, Basel Committee on Banking Supervision, januar 2015

6

6

64

Priloga 3: Najava notranje revizije

Banka X d.d. Služba za notranjo revizijo

oznaka delovnega gradiva: XX

dokument: NAJAVA NOTRANJERE REVIZIJE področje: RAZKRIVANJE INFORMACIJ revidirane organizacijske enote: - oznaka notranje revizije: 5/2016 PREJEMNIKI - izvršilni direktor področja upravljanja tveganj A.A. Elektronska pošta - direktor sektorja upravljanja z nekreditnimi tveganji B.B. Elektronska pošta - direktor sektorja računovodstva C.C. Elektronska pošta - direktor sektorja kontrolinga D.D. Elektronska pošta - koordinator priprave razbitij E.E. Elektronska pošta VSEBINA NAJAVE podlaga za začetek notranje revizije

Letni načrt službe notranje revizije za leto 2016

predmet in obseg Revizija se nanaša na skladnost procesa priprave razkritij z zakonodajo in internimi akti. Predmet revizije bodo razkritja za leto 2015.

cilji notranje revizije - proučiti in oceniti skladnost delovanja glede na interne predpise in zakonodajo,

- podati zagotovilo o delovanju notranjih kontrol in s tem spoznavne podlage za izboljšanje delovanja notranjih kontrol, ki so potrebne za obvladovanje tveganj v revidiranem procesu,

- podati neodvisno mnenje o skladnosti postopkov z zakonodajo, internimi predpisi in delovanju notranjih kontrol.

načrtovan čas trajanja revizije Začetek revizije: X .X. 2016 Izvedba zaključnega sestanka: X. X. .2016 Izdaja končnega revizijskega poročila: X.X. 2016

uvodni sestank X.X. 2016 izvajalci revizijskih postopkov

vodja revizijske skupine, Jana Žagar

PRILOGE - Teme uvodnega sestanka datum: X. X. 2016 pripravila: Jana Žagar, vodje revizijske skupine Vodja notranje revizije: A.B.

65

Priloga 4: Ocena tveganj

Sestavine Ravni

aktivnosti Tveganja

Ocena tveganj Načrtovana notranja kontrola

Notranja kontrola L

astnik kontrole

Nadzor

Načela Verjetnost

Vpliv

Ocena

Kontrolni cilji

1.Kontrolno okolje 1.Zavezanost načelom neoporečnosti in etičnih vrednot

Zgled iz vrha KC1-1 Transparentni postopke izbora uprave in ključnih kadrov

O T1-1 Banka ni opredelila postopkov izbora ključnih kadrov

M V MV DA NK1-1 Banka je sprejela Fit&Proper politiko, ki jo je odobrila uprava banke in nadzorni svet. S politiko je opredelila odgovornosti za izvajanje politike. Opredelila je kadre in pozicije za katere je obvezen postopek ocene primernosti.Oblikovala je komisijo, ki izvaja postopke Fit&Proper in o tem poroča tudi BS/ECB

Direktor sektorja skladnos

ti poslovan

ja

AB

Sprejem kodeksa ravnanja KC1-2 Priprava, sprejem kodeksa in seznanitev zaposlenih s kodeksom

O T1-2 Zaposleni niso seznanjeni s kodeksom ravnanja

M V MV DA NK1-2 Banka je izdelala kodeks, ki je ustrezno odobren. Kodeks je javno objavljen in dostopen vsem zaposlenim preko intraneta. Banka je izvedla izobraževanje za vse zaposlene glede vsebine in izvajanja pravil kodeksa ter vzpostavljenega sistema spremljanja kršitev kodeksa. Izobraževanja so obvezna za vse zaposlene.


ti poslovan

ja

AB

Spremljanje in ocenjevanje spoštovanja kodeksa KC1-3 Vzpostavljeni so postopki javljanja kršitev kodeksa

O T1-3 Banka ni opredelila in nima vzpostavljenih postopkov javljanja kršitev kodeksa

M V MV DA NK1-3 Banka je v kodeksu opredelila sistem spremljanja izvajanja kodeksa. Sistem je vzpostavila in ga izvaja služba skladnosti poslovanja. S sistemom je seznanila vse zaposlene na obveznih izobraževanjih glede vsebine kodeksa.


ti poslovan

ja

AB

Odstopanja od veljavnega kodeksa KC1-4 Postopki ravnanja v primeru zaznanih odstopanj so vzpostavljeni

O T1-4 Prihaja do odstopanj od kodeksa, ki niso zaznana

M V MV DA NK1-4 Vzpostavljena je anonimna linija javljanja kršitev kodeksa.


ti poslovan

ja

AB

2.Nadzor nad razvojem in delovanjem notranjih kontrol

Odgovornost nadzora KC1-5 Jasno

P T1-5 Zaradi nejasnih odgovornosti prihaja do

M V MV DA NK1-5 Banka je pripravila politiko razkritij v kateri je jasno opredelila

Direktor sektorja računovodstva

AB

66

opredeljene odgovornosti posameznih nivojev nadzora glede razkrivanja informacij

nepopolnih razkrivanj informacij

odgovornosti v zvezi z razkrivanjem informacij. Dokument je ustrezno odobren in dostopen zaposlenim banke na intranetu

Ustrezna sestava organov nadzora in znanja KC1-6 Vzpostavljeni so postopki fit&proper za nadzorne organe, organe upravljanja in druge ključne kadre

O T1-6 Nadzorni organi nimajo zadostnega znanja za presojo ustreznosti procesa priprave razkritij

M V MV DA NK1-6 Banka ima izdelano Fit&Proper politiko. Kriteriji za oceno primernosti vključujejo tudi oceno izkušenj in znanj kandidatov, ki so predmet ocene.

direktor sektorja skladnos

ti poslovan

ja

AB

Izvajanje nadzora nad izvajanjem kontrolnih aktivnosti KC1-7 Vzpostavljen je sistem nadzora nad izvajanjem kontrolnih aktivnosti

P T1-7 Kontrolne aktivnosti so opredeljene vendar se ne izvajajo

M V MV DA NK1-7 Opredeljene odgovornosti v politiki razkritij


AB

3.Organizacijski ustroj, linije poročanja, pristojnosti in odgovornosti za doseganje ciljev

Upoštevanje vseh struktur v družbe KC1-8 Proces priprave razkritij je opredeljen tako, da zagotavlja, da so v proces vključene ustrezne organizacijske enote

P T1-8 Razkritja so nepopolna in neskladna z zakonodajo, ker niso bile prepoznane vse organizacijske enote, ki morajo biti vključene v proces priprave razkritij

M V MV DA NK1-8 Jasno opredeljen proces priprave razkritij


AB

Vzpostavitev nivojev poročanja KC1-9 Proces priprave razkritij opredeljuje linije poročanja glede razkrivanja informacij

P T1-9 Objavljena so razkritja, ki niso bila interno ustrezno poročana in odobrena

M V MV DA NK1-9 Jasno opredeljen rokovnik, ki je ustrezno odobren in vključuje vse aktivnosti, roke in odgovorne osebe od priprave in vse do objave dokumenta

KRL AB

Opredelitev odgovornosti in pristojnosti KC1-10 Jasno so opredeljene pristojnosti sodelujočih pri pripravi razkritij

P T1-10 Proces priprave razkritij je netransparenten zaradi nejasno opredeljenih odgovornosti

M S MS DA NK1-10 Ustrezno odobrena in objavljena Politika razkritij z jasno opredeljenimi odgovornostmi.


-

4.Razvoj in upravljanje kadrov

Vzpostavitev politik, pravil in postopkov KC1-11 Izdelana in potrjena politika razkritij in politika pogostosti objave razkritij ter uporabe načel pomembnosti,

P T1-11 Banka nima jasno opredeljenega procesa priprave, potrditve in objave razkritij, ker nima izdelane politike.

M V MV DA NK1-11 Izdelana, odobrena in interno javno objavljena Politika razkritij

Uprava banke

AB

67

poslovne skrivnosti in zaupnosti Izvajanje pristojnosti in odgovornosti ter poročanje o pomanjkljivostih KC1-12 Vzpostavljeni postopki nadzora nad izvajanjem politike razkritij

P T1-12 Proces se ne izvaja skladno s politiko razkritij, ker ni vzpostavljenega nadzora

M V MV DA NK1-12 Vzpostavljena komisija, ki izvaja nadzor nad postopki priprave razkritij

Uprava banke

AB

Stimuliranje posameznikov KC1-13 Vzpostavljeni so postopki nagrajevanja

O T1-13 Banka nima vzpostavljenega ustreznega sistema nagrajevanja zaposlenih

M S MS DA NK1-13 Na ravni banke je vzpostavljen sistem nagrajevanja zaposlenih. Nagrajevanje se izvaja po točno določeni metodologiji, ki jo izvajajo nadrejeni.

Služba za kadre

AB

Plan napredovanja in nadomeščanja KC1-14 Ustrezni sitem napredovanja in nadomeščanja zaposlenih

O T1-14 Kadrovsko tveganje

M S MS DA NK1-14 Vzpostavljena odgovornost vodstva za zaznavanje kadrovskega tveganja in predlog ukrepov, ki jih izvede kadrovska služba

direktorji

organizacijskih enot

AB

5.Določitev odgovornosti

Spodbujanje odgovornega ravnanja KC1-15 Jasno opredeljene odgovornosti v procesu priprave, potrjevanja in objave razkritij

P T1-15 Nepravilna, nepopolna, nepravočasna razkritja

M V MV DA NK1-15 Izdelana, potrjena in objavljena politika razkritij. Izdelan in potrjen rokovnik priprave razkritij z navedenimi aktivnostmi, roki in odgovornimi osebami.

Komisija za

razkritja in letno poročilo

AB

Vzpostavitev sistema nagrajevanja in ocena izvajanja sistema nagrajevanja KC1-16 Vzpostavljeni so postopki nagrajevanja

O T1-16 Banka nima vzpostavljenih postopkov nagrajevanja

M S MS DA NK1-16 Banka ima vzpostavljene postopke nagrajevanja zaposlenih.

Služba za kadre

AB

Delovanja pod velikim pritiskom KC1-17 Ustrezno opredeljen proces priprave razkritij

P T1-17 Nepravilna, nepopolna, nepravočasna razkritja

M V MV DA NK1-17 Pravočasno izdelan rokovnik z usklajenimi in opredeljenimi roki za izvedbo potrebnih aktivnosti in odgovornimi osebami za izvedbo.

Komisija za


AB

2.Ocena tvganj 6.Določitev in ocena tveganj glede na zastavljene cilje

Skladnost z zakonodajo in drugimi pravili KC2-1 Ustrezno opredeljen proces, ki zagotavlja skladnost z zakonodajo

P T2-1 Neskladnost z zahtevami zakonodaje

M V MV DA NK2-1 Jasno opredeljene odgovornosti glede zagotavljanja skladnosti z zakonodajo.

Direktor sektorja

za skladnos

t poslovan

ja

AB

Upoštevanje stopnje natančnosti KC2-2 Jasno

P T2-2 Nepopolna razkritja, razkritja, ki so

M V MV DELNO NK2-2 Jasno opredeljena pravila razkrivanja informacij v Politiki razkritij.


AB

68

opredeljena pravila razkrivanja informacij

nekonsistentna z razkritji v letnem poročilu

Odražanje delovanja organizacije KC2-3 Jasno opredeljena pravila pomembnosti razkritih informacij ter upoštevanja pravil zaupnosti in poslovne skrivnosti

P T2-3 Neupravičena opustitev razkrivanja informacij

M V MV DELNO NK2-3 Jasno opredeljena pravila pogostosti, pomembnosti, poslovne skrivnosti in zaupnosti informacij. Razkritje opustitve informacije in utemeljitev za namene poročanja upravi in nadzornim organom ter pridobitev njihove odobritve.


AB

7.Prepoznavanje in ocenjevanje tveganj

Upoštevati različne organizacijske nivoje KC2-4 Ustrezen sistem prepoznavanja tveganj

P T2-4 Banka ni vzpostavila procesa prepoznavanja tveganj

M V MV DA NK2-4 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije. V proces so vključene vse organizacijske enote banke (najnižji nivo je nivo sektorja).

Direktor sektorja upravlja

nja tveganj

AB

Upoštevati vpliv zunanjih in notranjih dejavnikov KC2-5 Upoštevanje tako notranjih kot zunanjih dejavnikov pri prepoznavanju tveganj

O T2-5 Banka ni vzpostavila ustreznega procesa prepoznavanja tveganj

M V MV DA NK2-5 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije.


nja tveganj

AB

Vključiti primerno vodstveno raven KC2-6 V proces prepoznavanja tveganj vključiti ustrezne vodstvene ravni

O T2-6 Vodstvene ravni se ne zavedajo izpostavljenosti tveganjem, ker v proces niso vključene

M V MV DA NK2-6 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije. V proces so vključene vse vodstvene ravni banke (od direktorja sektorja do uprave).

Direktor sektorja upravljanja tveganj

AB

Ocena pomembnosti zaznanega tveganja KC2-7 Vzpostavljen je sistem ocenjevanja tveganj iz vidika verjetnosti nastanka in posledice

O T2-7 Banka tveganja prepozna vendar nima vzpostavljenega sistema ocenjevanja tveganj in zato ne razpolaga z informacijo o pomembnosti vpliva tveganja na dosego ciljev

M V MV DA NK2-7 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije. Tveganja se ocenjujejo na dveh ravneh – nivo uporabnika in nivo sektorja upravljanja tveganj. Prevlada ocena sektorja upravljanja tveganj kot neodvisne enote za upravljanje tveganj.


nja tveganj

AB

Opredelitev odziva na tveganje KC2-8 Opredeljeni so ustrezni postopki odzivanja na tveganje

O T2-8 Tveganja so prepoznana vendar jih banka ne upravlja z njimi

M V MV DA NK2-8 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije.


nja tveganj

AB

8.Ocenjevanje tveganja prevare

Upoštevanje različnih vrst možnih prevar KC2-9 Vzpostavljen

O T2-9 Banka nima vzpostavljenega preventivnega

M S MS DA NK2-9 Banka ima vzpostavljen proces preprečevanja prevar in ustanovljeno ločeno organizacijsko enoto,

Direktor sektorja korporati

vne varnosti

-

69

ustrezni proces preprečevanja prevar.

ravnanja v smislu preprečevanja prevar

ki proces izvaja. Govorimo o tako imenovanem avtomatiziranem sistemu preprečevanja prevar.

Oceniti spodbude in pritiske KC2-10 Vzpostavljen ustrezni proces odkrivanja prevar

O T2-10 Prevare niso odkrite in raziskane

M S MS DA NK2-10 Banka ima vzpostavljene linije anonimnega obveščanja o prevarah. Možnost sporočanja imajo vsi zaposleni banke. V sistem se prav tako poročajo reklamacije zunanjih strank, ki se nanašajo na potencialne prevare.

Direktor sektorja korporati

vne varnosti

-

Oceniti priložnosti KC2-11 Vzpostavljen ustrezni postopek priprave razkritij z vgrajenimi notranjimi kontrolami

P T2-11 Razkritja so namerno nepravilna s čimer zainteresirana javnost nima jasne slike glede profila tveganosti banke

M V MV DA NK2-11 Banka ima vzpostavljen postopek priprave razkritij v vgrajenimi notranjimi kontrolami, ki zagotavljajo, da so razkritja pravilna, popolna in pravočasna.


AB

9.Prepoznavanje in ocenjevanje sprememb, ki bi lahko vplivale na spremembe v sistemu notranjih kontrol

Ocena sprememb v zunanjem okolju K2-12 Spremljanje sprememb zakonodaje

P T2-12 Vzpostavljene in delujoče kontrole so neustrezne

S V SV DA NK2-12 Banka ima vzpostavljen postopek priprave razkritij z jasno opredeljenimi odgovornostmi.


AB

Ocena sprememb poslovnega modela K2-13 Spremljanje sprememb pri pristopih banke pri upravljanju tveganj

P T2-13 Razkritja niso skladna z dejanskimi pristopi banke k upravljanju tveganj

M V MV DA NK2-13 Banka ima opredeljen rokovnik z navedbo zahtevanih razkritij in odgovornimi osebami za pripravo razkritij, skladnih z aktualnimi pristopi banke.

Komisija za


AB

3.Kontrolne aktivnosti

10.Izbira in razvoj kontrolnih aktivnosti, ki prispevajo k zniževanju tveganj na sprejemljivo raven


P T3-1 Tveganje kršitve zakonodaje

M V MV DA NK3-1 Opredeljen postopek priprave razkritij v Politiki razkritij.


AB



M V MV DA NK3-2 Koordinator priprave razkritij pregleda zahteve zakonodaje in pripravi nabor zahtevanih razkritij v obliki rokovnika.

Koordinator

priprave razkritij

AB



M V MV DA NK3-3 Komisija za pripravo razkritij in letnega poročila pregleda in preveri skladnost rokovnika z zahtevami zakonodaje.

Komisija za razkritja in letno poročilo

AB

KC3-2 Pravočasnost P T3-2 Tveganje M V MV DA NK3-4 Koordinator Koordin AB

70

priprave razkritij nepravočasne objave

opredeli roke priprave razkritij in jih uskladi z roke priprave letnega poročila, njihovega potrjevanja in javne objave.

ator priprave razkritij


P T3-2 Tveganje nepravočasne objave

M V MV DA NK3-5 Pregled in potrditev rokovnika z roki in odgovornimi osebami

Komisija za


AB


P T3-3 Kršitev pravil zaupnosti, poslovne skrivnosti in pomembnosti

M V MV DA NK3-6 Ocena zaupnosti, poslovne skrivnosti in pomembnosti informacij

Koordinator

priprave razkritij

AB


P T3-3 Kršitev pravil zaupnosti, poslovne skrivnosti in pomembnosti

M V MV DA NK3-7 Pregled in potrditev ocene

Komisija za


AB


P T3-4 Razkritja so nepravilna

M V MV DA NK3-8 Koordinator v rokovniku opredeli odgovorne osebe za pripravo posameznih razkritij

Koordinator

priprave razkritij

AB


P T3-5 Razkritja se podvajajo z letnim poročilom

M V MV DA NK3-9 Priprava skupnega rokovnika za letno poročilo

Koordinator

priprave razkritij

AB



M V MV DA NK3-10 Določitev koordinatorja priprave dokumenta z razkritji

direktor sektorja računovodstva

AB



M V MV DA NK3-11 Dokument z razkritji pregleda komisija za razkritja in letno poročilo ter pripravi predlog za obravnavo na upravi banke

Komisija za


AB


P T3-6 Razkritja ne nudijo jasnih in nedvoumnih informacij zainteresirani javnosti

M V MV DA NK3-12 Razkritja pregleda komisija za razkritja za letno poročilo ter so predmet obravnave in potrjevanja na upravi banke, nadzornem svetu in komisijah nadzornega sveta (za tveganja in revizijska komisija)

Komisija za

razkritja in letno

poročilo, uprava banke,

nadzorni svet

AB


P T3-7 Nadzorni organ ne izvaja zakonsko določenih nalog in odgovornosti

M V MV DA NK3-13 Pred javno objavo se dokument z razkritji predloži v obravnavo revizijski komisiji hkrati z letnim poročilom, komisiji za tveganja in z mnenjem obeh komisij se dokument predloži nadzornemu svetu.

Uprava banke,

nadzorni svet

AB


P T3-8 Nadzorni organ ne izvaja zakonsko določenih nalog in odgovornosti

M V MV DA NK3-14 Pred javno objavo se dokument z razkritji predloži v obravnavo revizijski komisiji hkrati z letnim poročilom, komisiji za tveganja in z mnenjem obeh komisij se dokument predloži nadzornemu svetu.

Uprava banke,

nadzorni svet

AB

KC3-6 Razkritja so P T3-15 M S MS DA NK3-15 V politiki so Kabinet AB

71

javno objavljena hkrati z letnim poročilom

Zainteresirana javnost ne pridobi istočasno celovite informacije glede poslovanja banke in njenega profila tveganosti

opredeljene odgovornosti glede javne objave dokumenta.

uprave

11.Izbira in razvoj splošnih kontrolnih aktivnosti informacijske tehnologije z namenom doseganja zastavljenih ciljev

KC3-7 Podprtost procesa priprave razkritij z informacijsko podporo

P T3-16 Možnost namerne in nenamerne napake pri združevanju razkritij v enotni dokument

S S SS DA NK3-16 Banka ima vzpostavljene kontrole v procesu, ki preprečujejo namerne in nenamerne napake – gre za kontrole enotne koordinacije priprave razkritij, pregled s strani komisije za razkritja in letno poročilo, obravnava na Odboru za potrjevanje politik.


AB

KC3-8 Opredelitev dostopnih pravic do tehnološke podpore

O T3-17 Nepooblaščeni dostop do informacij

M M MM DA NK3-17 Banka ima vzpostavljen proces dodeljevanja dostopov na podlagi odobritve nadrejenega in lastnika aplikacije.

Direktor sektorja informat

ike

AB

KC3-9 Ustrezen proces dodelitve dostopa po načelu najmanj dovoljenega

O T3-18 Dostop do informacij, ki niso nujno potrebne za delo

M M MM DA NK3-18 Banka ima vzpostavljen proces dodeljevanja dostopov na podlagi odobritve nadrejenega in lastnika aplikacije.

Direktor sektorja informat

ike

AB

12.Opredelitev kontrol skozi politike in druge interne akte

KC3-10 Vzpostavitev politike razkritij

P T3-20 Banka nima jasno opredeljenega procesa priprave razkritij in pristojnosti in odgovornosti posameznikov v procesu

M V MV DA NK3-20 Banka ima izdelano, odobreno in interno javno objavljeno politiko razkritij.


AB

KC3-11 Opredelitev odgovornosti za izvajanje politike

P T3-21 Politika se ne izvaja tako kot je opredeljena

M V MV DA NK3-21 V politiki razkritij so jasno opredeljene odgovornosti


AB

KC3-12 Vzpostavitev postopkov letnega pregleda in posodabljanja politike

P T3-22 Politika ni skladna z dejanskim stanjem

S S SS DA NK3-22 V politiki je opredeljena obveznost letnega pregleda politike. Opredeljeni so odgovorne osebe, ki so zadolžene za letni pregled. V banki so opredeljeni skrbniki vseh politik, ki pozivajo odgovorne osebe za izvedbo letnega pregleda. Pregledane politike se obravnavajo na seji odbora za potrjevanje.


AB

72

Vsako politiko pred potrditvijo pregleda tudi skladnost.

KC3-13 Potrditev politike razkritij

P T3-23 Politika ni ustrezno odobrena in posledično ni zavezujoča za uporabo

M S MS DA NK3-23 Banka ima vzpostavljena pravila upravljanja s politikami, ima imenovanega skrbnika politik, ki izvaja postopek upravljanja politike in skrbi za pregled nad izvajanjem rednega posodabljanja in obravnave na odboru za potrjevanje politik.


nja tveganj

AB

4.Informiranje in komuniciranje

13.Zagotavljanje in uporaba kvalitetnih informacij

Zahteve glede poročanja KC4-1 Opredelitev pogostosti razkrivanja informacij

P T4-1 Zainteresirana javnost nima na razpolago informacij

M V MV DA NK4-1 V politiki razkritij je opredeljena pogostost razkrivanja posameznih informacij


AB

Zagotavljanje ustreznih podatkov za informiranje KC4-2 Nabor zakonskih zahtev glede razkrivanja informacij

P T4-2 Razkritja niso skladna z zahtevami zakonodaje

M V MV DA NK4-2 Priprava rokovnika z zahtevanimi razkritji

Koordinator

priprave razkritij

AB

Vzpostavitev procesa, ki zagotavlja kvaliteto informacij KC4-3 Opredeljen in vzpostavljen proces priprave, potrditve in objave razkritij

P T4-3 Razkritja niso skladna z dejanskim profilom tveganosti banke

S V SV DA NK4-3 Jasni proces priprave, pregleda, obravnave in potrjevanja razkritij.


AB

14.Interno komuniciranje v podporo delovanju notranjih kontrol

Proces komunikacije glede notranjih kontrol KC4-4 Predložitev dokumenta z razkritji upravi/revizijski komisiji/komisiji za tveganja/nadzornemu svetu z razkritjem procesa priprave dokumenta in kontrole

P T4-4 Uprava in nadzorni organ nima zagotovila glede pravilnosti, popolnosti razkritih informacij

M V MV DA NK4-4 Proces priprave razkritij je predstavljen v dokumentu razkritij ali predstavljen v gradivu za obravnavo na seji uprave/komisij nadzornega sveta/nadzornega sveta.

Komisija za


AB

Komuniciranje z upravo in nadzornimi organi KC4-5 Obveščanje uprave in nadzornih organov glede ugotovitev zunanjih nadzornikov (BS/ECB)

P T4-5 Uprava in nadzorni svet nista seznanjena z ugotovitvami nadzornih institucij in nista seznanjena s potrebnimi korektivnimi ukrepi

M V MV DA NK4-5 Banka ima vzpostavljen proces pretoka informacij s strani nadzornih institucij.

Kabinet uprave

AB

15.Eksterno

73

komuniciranje Proces komunikacije z zunanjimi strankami KC4-6 Pripravljen dokument z razkritji je zapisan jasno in razumljivo

P T4-6 Zainteresirana javnost ne pridobi jasne informacije glede profila tveganosti banke – tveganje ugleda

M V MV DA NK4-6 Vzpostavljena je enotna koordinacija priprave razkritij, nadzor komisije za pripravo, obravnava na odboru za potrjevanje politik, revizijski komisiji, komisiji za tveganja, nadzornemu svetu.


AB

Proces komunikacije z zunanjimi strankami KC4-7 Dokument z razkritji je javno objavljen

P T4-7 Netransparentno poslovanje banke

M V MV DA NK4-7 Dokument z razkritji se javno objavi in je dostopen na spletni strani banke.

Kabinet uprave

AB

5.Spremljanje 16.Izbira, razvoj in redno izvajanje ovrednotenja obstoja in delovanja notranjih kontrol

Izvajanje različnih sprotnih in ločenih ovrednotenj sistema notranjih kontrol KC5-1 Vzpostavitev skupne komisije za letno poročilo in pregled razkritij

P T5-1 Notranje kontrole niso vzpostavljene, notranje kontrole so vzpostavljene in se ne izvajajo

S V SV DA NK5-1 Banka je vzpostavila skupno komisijo za letno poročilo in razkrivanje informacij. V komisiji so predstavniki kontrolinga, upravljanja tveganj, skladnosti in notranje revizije, računovodstva.

Uprava banke

AB

Upoštevanje sprememb KC5-2 Vzpostavitev odgovornosti za spremembo procesa priprave razkritij in notranjih kontrol

P T5-2 Vzpostavljene kontrole niso aktualne in potrebne

S S SS DA NK5-2 Banka ima vzpostavljen postopek letnega pregleda politik v okviru katere se pregleda tudi aktualnost vzpostavljenega procesa.


nja tveganj

AB

Razumevanje sistema KC5-3 Predstavitev sistema priprave razkritij in notranjih kontrol upravi in nadzornim organom ter razkritje zunanji javnosti v dokumentu z razkritji

P T5-3 Nezaupanje v pravilnost razkritij in ustrezno prikazan profil tveganosti banke

M V MV DA NK5-3 Banka ima vzpostavljen postopek obravnave razkritij na odboru za potrjevanje politik, kjer je prisotna tudi uprava banke ter na seja revizijske komisije, komisije za tveganja in nadzornem svetu. Dokument z razkritji predstavi izvršilni direktor področja upravljanja tveganj in po potrebi direktor skladnosti poslovanja.

Kabinet uprave

AB

Objektivno periodično ločeno ocenjevanje KC5-4 Zagotavljanje pregledov notranje revizije, pregledi BS/ECB

P T5-4 Nadzorni organi in uprava banke ne razpolagata z zagotovilom glede pravilnosti in popolnosti razkritih informacij

M V MV DA NK5-4 Dokument razkritij je regulatorno obvezni dokument in kot tako podvržen pregledu BS/ECB. V skladu z analizo tveganj opravi notranja revizija pregled razkrivanja informacij. Dodatno zagotovilo pridobi nadzorni organ skozi sodelovanje in poročanje upravljanja tveganj in skladnosti poslovanja kot druge

Direktor notranje revizije, direktor sektorja upravlja

nja tveganj

AB

74

obrambne linije. 17.Poročanje ugotovljenih pomanjkljivosti z namenom odprave pomanjkljivosti

Poročanje o pomanjkljivostih, sprejem popravljalnih ukrepov in spremljava izvajanja popravljalnih ukrepov KC5-5 Ugotovljene pomanjkljivosti so poročane ustreznim vodstvenim ravnem, predlagani so korektivni ukrepi (priporočila), zagotovljena je spremljava in poročanje o izvajanju korektivnih ukrepov.

O T5-5 Ugotovljene nepravilnosti niso poročane in posledično niso predlagani in spremljani korektivni ukrepi za odpravo

M V MV DA NK5-5 Banka ima vzpostavljen pristop poročanja upravi o ugotovitvah BS/ECB. Na osnovi ugotovitev se pripravi predlog popravljalnih ukrepov, ki jih odobri uprava. Za spremljavo izvajanja popravljalnih ukrepov je zadolžena notranja revizija. V primeru izvedene notranje revizije se poroča v prvi fazi upravi o ugotovitvah in priporočilih ter sproti poroča o izvajanju priporočil. Nadzorni organ je seznanjen s pomanjkljivostmi, priporočili in izvajanju priporočil skozi kvartarno poročanje.

Direktor notranje revizije, direktor sektorja skladnos

ti poslovan

ja

AB

Legenda: AKTIVNOST: O - aktivnost na ravni organizacije P - aktivnost na ravni revidiranega področja

VERJETNOST, VPLIV: M - majhna verjetnost, vpliv S - srednja verjetnost, vpliv V - visoka verjetnost, vpliv

OCENA tveganja: VV, SV, VS – visoko tveganje MV, VM, SS – srednje tveganje MS, SM, MM – nizko tveganje

75

Priloga 5: Delovni program posla

DELOVNI PROGRAM POSLA Oznaka:RP5/16 Naziv revizije: Skladnost procesa razkrivanja informacij v banki z zakonodajo in internimi predpisi Cilji notranje revizije:

- proučiti in oceniti skladnost delovanja glede na interne predpise in zakonodajo, - podati zagotovilo o delovanju notranjih kontrol in s tem spoznavne podlage za izboljšanje delovanja notranjih kontrol, ki so potrebne za

obvladovanje tveganj v revidiranem procesu, - podati neodvisno mnenje o skladnosti postopkov z zakonodajo, internimi predpisi in delovanju notranjih kontrol.

Datum priprave: xy Pripravila: Jana Žagar Datum potrditve:xy Potrdila: AB, vodja notranje revizije

Sestavine

Tveganja

Ocena tveganj

Notranje kontrole

Revizijski postopki

Dokum

entacija

Nadzor

Priporočila

Načela

Opis

Prisotne

Delujejo

Kontrolni cilji

1.Kontrolno okolje Ustrezno - notranje kontrole so vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru kontrolnega okolja. Notranje kontrole so ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Ugotavljamo, da ima banka vzpostavljena etična pravila, ki so v obliki kodeksa javno objavljena in dostopna vsem zaposlenim banke. Kodeks je bil predstavljen vsem zaposlenim banke na internih izobraževanjih, na katerih je bila prisotna tudi uprava banke, ki je predstavila tudi svojo zavezanost veljavnim etičnim pravilom, kar pomembno prispeva k dobremu zgledu »iz vrha«. Iz kodeksa izhaja ničelna toleranca do kršitev kodeksa, vzpostavljen je sistem anonimnega javljanja kršitev in reševanja kršitev za kar je zadolžen sektor skladnosti. Banka je vzpostavila tudi politiko ocenjevanja primernosti (fit&proper) ključnih kadrov na osnovi katere se presoja primernost potencialnih kandidatov za nadzorni svet, upravo banke, izvršilne direktorje in druge kadre, ki so opredeljeni kot ključni kadri. Na tak način banka zagotavlja, da so na ta mesta imenovani kadri, ki izpolnjuje pogoje glede znanja, osebnostnih in drugih lastnosti. Navedeno je pomembno tudi za področje, ki je predmet revidiranja, saj so v postopke razkrivanja informacij aktivno vključene tudi vodstvene ravni banke (vključno z upravo in nadzornim svetom), ki odločajo o jasni in objektivni predstavitvi profila tveganosti banke in upravljanja s tveganji. Za namene opredelitve odgovornosti in procesa priprave razkritij ter notranjih kontrol je banka pripravila in odobrila Politiko razkritij.

1.Zavezanost načelom neoporečnosti in etičnih vrednot

Zgled iz vrha KC1-1 Transparentni postopke izbora uprave in ključnih kadrov

T1-1 Banka ni opredelila postopkov izbora ključnih kadrov

MV NK1-1 Banka je sprejela Fit&Proper politiko, ki jo je odobrila uprava banke in nadzorni svet. S politiko je opredelila odgovornosti za izvajanje politike. Opredelila je kadre in pozicije za katere je obvezen postopek ocene primernosti.Oblikovala je komisijo, ki izvaja postopke Fit&Proper in o tem poroča tudi BS/ECB

DA DA Pridobitev in pregled poročil komisije za oceno primernosti. Pregled skladnosti z veljavno politiko fit&proper.

KO-1

AB

Sprejem kodeksa ravnanja KC1-2 Priprava, sprejem kodeksa in seznanitev zaposlenih s kodeksom

T1-2 Zaposleni niso seznanjeni s kodeksom ravnanja

MV NK1-2 Banka je izdelala kodeks, ki je ustrezno odobren. Kodeks je javno objavljen in dostopen vsem zaposlenim preko intraneta. Banka je izvedla izobraževanje za vse zaposlene

DA DA Pridobitev kodeksa, preveritev dostopnosti vsem zaposlenim, preveritev seznanjenosti zaposlenih – navedeno preverimo tako ali je kadrovska služba pripravila in posredovala vabila za izobraževanje vseh

KO-2

AB

76

glede vsebine in izvajanja pravil kodeksa ter vzpostavljenega sistema spremljanja kršitev kodeksa. Izobraževanja so obvezna za vse zaposlene.

zaposlenih in ali obstajajo liste prisotnosti oz. evidenca zaposlenih, ki se izobraževanja še niso udeležili.

Spremljanje in ocenjevanje spoštovanja kodeksa KC1-3 Vzpostavljeni so postopki javljanja kršitev kodeksa

T1-3 Banka ni opredelila in nima vzpostavljenih postopkov javljanja kršitev kodeksa

MV NK1-3 Banka je v kodeksu opredelila sistem spremljanja izvajanja kodeksa. Sistem je vzpostavila in ga izvaja služba skladnosti poslovanja. S sistemom je seznanila vse zaposlene na obveznih izobraževanjih glede vsebine kodeksa.

DA DA Pridobitev in preveritev programa izobraževanja v zvezi s kodeksom. Preveritev interno javno dostopne informacije vsem zaposlenim glede sporočanja kršitev kodeksa.

KO-2

AB

Odstopanja od veljavnega kodeksa KC1-4 Postopki ravnanja v primeru zaznanih odstopanj so vzpostavljeni

T1-4 Prihaja do odstopanj od kodeksa, ki niso zaznana

MV NK1-4 Vzpostavljena je anonimna linija javljanja kršitev kodeksa.

DA DA Pridobitev poročila skladnosti za določeno obdobje glede sporočenih kršitev kodeksa pri čemer je potrebno pridobiti še podatek kako je bila kršitev sporočena skladnosti in podatek o statusu javljene kršitve (npr. še neobdelana, v obravnavi, rešena, poročana).

KO-2

AB

2.Nadzor nad razvojem in delovanjem notranjih kontrol

Odgovornost nadzora KC1-5 Jasno opredeljene odgovornosti posameznih nivojev nadzora glede razkrivanja informacij

T1-5 Zaradi nejasnih odgovornosti prihaja do nepopolnih razkrivanj informacij

MV NK1-5 Banka je pripravila politiko razkritij v kateri je jasno opredelila odgovornosti v zvezi z razkrivanjem informacij. Dokument je ustrezno odobren in dostopen zaposlenim banke na intranetu

DA DA Pridobitev Politike razkritij in pregled vsebine, preveriti ali je bil dokument ustrezno odobren. Pridobiti zapisnike sej organov, ki so zadolženi za obravnavo in potrditev politike.

KO-3

AB

Ustrezna sestava organov nadzora in znanja KC1-6 Vzpostavljeni so postopki fit&proper za nadzorne organe, organe upravljanja in druge ključne kadre

T1-6 Nadzorni organi nimajo zadostnega znanja za presojo ustreznosti procesa priprave razkritij

MV NK1-6 Banka ima izdelano Fit&Proper politiko. Kriteriji za oceno primernosti vključujejo tudi oceno izkušenj in znanj kandidatov, ki so predmet ocene.

DA DA Pridobitev politike in pridobitev podrobnih kriterijev za presojo ustreznosti.

KO-3

AB

Izvajanje nadzora nad izvajanjem kontrolnih aktivnosti KC1-7 Vzpostavljen je sistem nadzora nad

T1-7 Kontrolne aktivnosti so opredeljene vendar se ne izvajajo

MV NK1-7 Opredeljene odgovornosti v politiki razkritij

DA DA Pridobitev politike razkritij in presoja vsebine politike.

KO-3

KO-4

AB

77

izvajanjem kontrolnih aktivnosti 3.Organizacijski ustroj, linije poročanja, pristojnosti in odgovornosti za doseganje ciljev

Upoštevanje vseh struktur v družbe KC1-8 Proces priprave razkritij je opredeljen tako, da zagotavlja, da so v proces vključene ustrezne organizacijske enote

T1-8 Razkritja so nepopolna in neskladna z zakonodajo, ker niso bile prepoznane vse organizacijske enote, ki morajo biti vključene v proces priprave razkritij

MV NK1-8 Jasno opredeljen proces priprave razkritij

DA DA Pridobitev politike, popis izvajanja dejanskega procesa, primerjava z opredeljenim procesom in identifikacija vrzeli.

KO-3

KO-5

AB

Vzpostavitev nivojev poročanja KC1-9 Proces priprave razkritij opredeljuje linije poročanja glede razkrivanja informacij

T1-9 Objavljena so razkritja, ki niso bila interno ustrezno poročana in odobrena

MV NK1-9 Jasno opredeljen rokovnik, ki je ustrezno odobren in vključuje vse aktivnosti, roke in odgovorne osebe od priprave in vse do objave dokumenta

DA DA Pridobitev rokovnika in dokumentacije, ki dokazuje njegov pregled in obravnavo na ustreznih organih.

KO-6

AB

Opredelitev odgovornosti in pristojnosti KC1-10 Jasno so opredeljene pristojnosti sodelujočih pri pripravi razkritij

T1-10 Proces priprave razkritij je netransparenten zaradi nejasno opredeljenih odgovornosti

MS NK1-10 Ustrezno odobrena in objavljena Politika razkritih z jasno opredeljenimi odgovornostmi.

- - Pridobitev dokumentacije in zapisnikov organov, ki so vključeni v obravnavo in sprejem politike.

- -

4.Razvoj in upravljanje kadrov

Vzpostavitev politik, pravil in postopkov KC1-11 Izdelana in potrjena politika razkritij in politika pogostosti objave razkritij ter uporabe načel pomembnosti, poslovne skrivnosti in zaupnosti

T1-11 Banka nima jasno opredeljenega procesa priprave, potrditve in objave razkritij, ker nima izdelane politike.

MV NK1-11 Izdelana, odobrena in interno javno objavljena Politika razkritij

DA DA Preveritev ali je politika dostopna vsem zaposlenim.

KO-7

AB

Izvajanje pristojnosti in odgovornosti ter poročanje o pomanjkljivostih KC1-12 Vzpostavljeni postopki nadzora nad izvajanjem politike razkritij

T1-12 Proces se ne izvaja skladno s politiko razkritij, ker ni vzpostavljenega nadzora

MV NK1-12 Vzpostavljena komisija, ki izvaja nadzor nad postopki priprave razkritij

DA DA Pridobitev dokumentacije, ki dokazuje dejansko ustanovitev komisije in kdo so člani. Pridobiti dokument, ki določa način delovanja ter pristojnosti in odgovornosti komisije.

KO-8

AB

Stimuliranje posameznikov KC1-13 Vzpostavljeni so postopki nagrajevanja

T1-13 Banka nima vzpostavljenega ustreznega sistema nagrajevanja

MS NK1-13 Na ravni banke je vzpostavljen sistem nagrajevanja zaposlenih. Nagrajevanje se

- - Pridobitev metodologije nagrajevanja zaposlenih, preveriti ali se metodologija v praksi dejansko izvaja.

- -

78

zaposlenih izvaja po točno določeni metodologiji, ki jo izvajajo nadrejeni.

Plan napredovanja in nadomeščanja KC1-14 Ustrezni sitem napredovanja in nadomeščanja zaposlenih

T1-14 Kadrovsko tveganje

MS NK1-14 Vzpostavljena odgovornost vodstva za zaznavanje kadrovskega tveganja in predlog ukrepov, ki jih izvede kadrovska služba

- - Pridobiti dokazila kadrovske službe glede morebitnih zahtevkov za nadomeščanje.

- -

5.Določitev odgovornosti

Spodbujanje odgovornega ravnanja KC1-15 Jasno opredeljene odgovornosti v procesu priprave, potrjevanja in objave razkritij

T1-15 Nepravilna, nepopolna, nepravočasna razkritja

MV NK1-15 Izdelana, potrjena in objavljena politika razkritij. Izdelan in potrjen rokovnik priprave razkritij z navedenimi aktivnostmi, roki in odgovornimi osebami.

DA DA Pridobitev potrjenega rokovnika za poslovno leto 2015.

KO-6

AB

Vzpostavitev sistema nagrajevanja in ocena izvajanja sistema nagrajevanja KC1-16 Vzpostavljeni so postopki nagrajevanja

T1-16 Banka nima vzpostavljenih postopkov nagrajevanja

MS NK1-16 Banka ima vzpostavljene postopke nagrajevanja zaposlenih.

- - Pridobitev navodil za izvajanje metodologije nagrajevanja zaposlenih.

- -

Delovanja pod velikim pritiskom KC1-17 Ustrezno opredeljen proces priprave razkritij

T1-17 Nepravilna, nepopolna, nepravočasna razkritja

MV NK1-17 Pravočasno izdelan rokovnik z usklajenimi in opredeljenimi roki za izvedbo potrebnih aktivnosti in odgovornimi osebami za izvedbo.

DA DA Pridobitev dokumentacije, ki dokazuje kdaj se je začelo s postopki priprave rokovnika in kdaj je bil rokovnik predložen v obravnavo pristojnim osebam (organom). Pridobiti podatke o neizkoriščenih dopustih in nadurah zaposlenih, ki sodelujejo pri pripravi razkritij.

KO-6

KO-9

AB

2.Ocena tveganj Ustrezne - notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru ocene tveganj. Notranje kontrole so v ustrezne, delujejo učinkovito in uspešno. Notranje kontrole v glavnem delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Banka ima na nivoju skupine vzpostavljen proces ocenjevanja tveganj, ki je podprt z ustreznimi internimi akti. Postopek se izvaja enkrat letno, zajeti so vsi organizacijski nivoji banke in družb v skupini.

6.Določitev in ocena tveganj glede na zastavljene cilje

Skladnost z zakonodajo in drugimi pravili KC2-1 Ustrezno opredeljen proces, ki zagotavlja skladnost z zakonodajo

T2-1 Neskladnost z zahtevami zakonodaje

MV NK2-1 Jasno opredeljene odgovornosti glede zagotavljanja skladnosti z zakonodajo.

DA DA V politiki in rokovniku preveriti ali so opredeljene odgovorne osebe za pregled zahtev zakonodaje glede razkrivanja informacij.

OT-1 AB

Upoštevanje stopnje natančnosti KC2-2 Jasno opredeljena pravila

T2-2 Nepopolna razkritja, razkritja, ki so

MV NK2-2 Jasno opredeljena pravila razkrivanja informacij v

DA DA Preveriti ali ima banka jasna pravila glede pogostosti, pomembnosti, poslovne skrivnosti in

OT-1 AB

79

razkrivanja informacij

nekonsistentna z razkritji v letnem poročilu

Politiki razkritij. zaupnosti. Navedena pravila so lahko sestavni del politike razkritij ali ločene politike. Pridobiti si je potrebno zakonske podlage za opredelitev pogostosti, pomembnosti, poslovne skrivnosti in zaupnosti ter presoditi ali so pravila banke skladna z zakonskimi podlagami.

Odražanje delovanja organizacije KC2-3 Jasno opredeljena pravila pomembnosti razkritih informacij ter upoštevanja pravil zaupnosti in poslovne skrivnosti

T2-3 Neupravičena opustitev razkrivanja informacij

MV NK2-3 Jasno opredeljena pravila pogostosti, pomembnosti, poslovne skrivnosti in zaupnosti informacij. Razkritje opustitve informacije in utemeljitev za namene poročanja upravi in nadzornim organom ter pridobitev njihove odobritve.

DELNO

DA Pridobiti dokazila o izvedbi presoje možnosti opustitve razkritja informacije in ali so bile v tem primeru predložene ustrezne podlage in utemeljitve upravi in nadzornim organom. Postopek presoje možnosti nerazkritja informacije se izvede že v fazi priprave zahtevanega nabora razkritij in v fazi priprave razkritij.

OT-2 AB

7.Prepoznavanje in ocenjevanje tveganj

Upoštevati različne organizacijske nivoje KC2-4 Ustrezen sistem prepoznavanja tveganj

T2-4 Banka ni vzpostavila procesa prepoznavanja tveganj

MV NK2-4 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije. V proces so vključene vse organizacijske enote banke (najnižji nivo je nivo sektorja).

DA DA Pridobiti končno poročilo o izvedenem procesu ocenjevanja tveganj.

OT-3 AB

Upoštevati vpliv zunanjih in notranjih dejavnikov KC2-5 Upoštevanje tako notranjih kot zunanjih dejavnikov pri prepoznavanju tveganj

T2-5 Banka ni vzpostavila ustreznega procesa prepoznavanja tveganj

MV NK2-5 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije.

DA DA Pridobiti aktualno odobreno metodologijo

OT-4 AB

Vključiti primerno vodstveno raven KC2-6 V proces prepoznavanja tveganj vključiti ustrezne vodstvene ravni

T2-6 Vodstvene ravni se ne zavedajo izpostavljenosti tveganjem, ker v proces niso vključene

MV NK2-6 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije. V proces so vključene vse vodstvene ravni banke (od direktorja sektorja do uprave).

DA DA Pridobiti in pregledati končno poročilo o izvedenem procesu ocenjevanja tveganj.

OT-3 AB

Ocena pomembnosti zaznanega tveganja

T2-7 Banka tveganja prepozna

MV NK2-7 Banka izvaja proces ocenjevanja

DA DA Pridobiti in pregledati končno poročilo o izvedenem procesu

OT-4 AB

80

KC2-7 Vzpostavljen je sistem ocenjevanja tveganj iz vidika verjetnosti nastanka in posledice

vendar nima vzpostavljenega sistema ocenjevanja tveganj in zato ne razpolaga z informacijo o pomembnosti vpliva tveganja na dosego ciljev

tveganj letno na osnovi opredeljene in potrjene metodologije. Tveganja se ocenjujejo na dveh ravneh – nivo uporabnika in nivo sektorja upravljanja tveganj. Prevlada ocena sektorja upravljanja tveganj kot neodvisne enote za upravljanje tveganj.

ocenjevanja tveganj.

Opredelitev odziva na tveganje KC2-8 Opredeljeni so ustrezni postopki odzivanja na tveganje

T2-8 Tveganja so prepoznana vendar jih banka ne upravlja z njimi

MV NK2-8 Banka izvaja proces ocenjevanja tveganj letno na osnovi opredeljene in potrjene metodologije.

DA DA Pridobiti in pregledati končno poročilo o izvedenem procesu ocenjevanja tveganj.

OT-4 AB

8.Ocenjevanje tveganja prevare

Upoštevanje različnih vrst možnih prevar KC2-9 Vzpostavljen ustrezni proces preprečevanja prevar.

T2-9 Banka nima vzpostavljenega preventivnega ravnanja v smislu preprečevanja prevar

MS NK2-9 Banka ima vzpostavljen proces preprečevanja prevar in ustanovljeno ločeno organizacijsko enoto, ki proces izvaja. Govorimo o tako imenovanem avtomatiziranem sistemu preprečevanja prevar.

- - Pridobiti organizacijsko shemo ter pregledati opis dela organizacijske enote, ki izvaja aktivnosti zgodnjega odkrivanja prevar.

- -

Oceniti spodbude in pritiske KC2-10 Vzpostavljen ustrezni proces odkrivanja prevar

T2-10 Prevare niso odkrite in raziskane

MS NK2-10 Banka ima vzpostavljene linije anonimnega obveščanja o prevarah. Možnost sporočanja imajo vsi zaposleni banke. V sistem se prav tako poročajo reklamacije zunanjih strank, ki se nanašajo na potencialne prevare.

- - Pridobiti in pregledati poročila organizacijske enote, ki se ukvarja z raziskovanjem prevar – zanima nas vrsta javljenih potencialnih prevar, status reševanja, ukrepi iz naslova raziskane javljene potencialne prevare.

- -

Oceniti priložnosti KC2-11 Vzpostavljen ustrezni postopek priprave razkritij z vgrajenimi notranjimi kontrolami

T2-11 Razkritja so namerno nepravilna s čimer zainteresirana javnost nima jasne slike glede profila tveganosti banke

MV NK2-11 Banka ima vzpostavljen postopek priprave razkritij v vgrajenimi notranjimi kontrolami, ki zagotavljajo, da so razkritja pravilna, popolna in pravočasna.

DA DA Pregledati vzpostavljeni postopek priprave razkritij z vgrajenimi notranjimi kontrolami in presoditi ali je ustrezen ali so vgrajene kontrole, ki zagotavljajo pravilnost, popolnost in pravočasnost razkritij.

OT-5 AB

9.Prepoznavanje in ocenjevanje sprememb, ki bi lahko vplivale na spremembe v sistemu

81

notranjih kontrol Ocena sprememb v zunanjem okolju K2-12 Spremljanje sprememb zakonodaje

T2-12 Vzpostavljene in delujoče kontrole so neustrezne

SV NK2-12 Banka ima vzpostavljen postopek priprave razkritij z jasno opredeljenimi odgovornostmi.

DA DA Pridobiti in pregledati rokovnik z naborom aktualnih razkritij.

KO-6

AB

Ocena sprememb poslovnega modela K2-13 Spremljanje sprememb pri pristopih banke pri upravljanju tveganj

T2-13 Razkritja niso skladna z dejanskimi pristopi banke k upravljanju tveganj

MV NK2-13 Banka ima opredeljen rokovnik z navedbo zahtevanih razkritij in odgovornimi osebami za pripravo razkritij, skladnih z aktualnimi pristopi banke.

DA DA Pridobiti in pregledati rokovnik z naborom aktualnih razkritij in presoditi ali so opredeljene ustrezne odgovorne osebe in organizacijske enote za pripravo posameznih razkritij.

KO-6

OT-6

AB

3.Kontrolne aktivnosti

Delno ustrezne - notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru kontrolnih aktivnosti. Notranje kontrole so v ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Banka je vzpostavila ustrezne podlage za pripravo razkritij in opredelila postopke in notranje kontrole, ki se v glavnem izvajajo. Postopki in kontrole se nanašajo na celotni proces od priprave podlag za razkrivanje informacij do javne objave. Pomanjkljivosti ugotavljamo pri doseganju kontrolnega cilja popolnosti razkritij, saj so pravila izvzetij v Politiki razkritij preveč splošno opredeljena. Kljub dejstvu, da so notranje kontrole za pokrivanje ključnih tveganj vzpostavljene in delujejo vidimo možnosti za izboljšave, in sicer pri opredelitvi skupnega koordinatorja za pripravo letnega poročila in razkritij in pri vzpostavitvi informacijske podpore za namene priprave razkritij.

10.Izbira in razvoj kontrolnih aktivnosti, ki prispevajo k zniževanju tveganj na sprejemljivo raven



MV NK3-1 Opredeljen postopek priprave razkritij v Politiki razkritij.

DA DA Pridobiti in pregledati dokument z razkritji za leto 2015 in rokovnik za pripravo razkritij ter presoditi ali so zajeta vsa zakonsko predpisana razkritja. Pridobimo si tudi poročila BS/ECB glede pregleda razkritij in presodimo ali so ugotovitve pregleda preteklih razkritij v letu 2015 odpravljene.

OT-6 KA-

1

AB



MV NK3-2 Koordinator priprave razkritij pregleda zahteve zakonodaje in pripravi nabor zahtevanih razkritij v obliki rokovnika.

DA DA Pridobiti dokumentacijo, ki opredeljuje delovanje in vlogo komisije ter dokumentacijo, ki dokazuje, da je komisija izvajala določene naloge pri pripravi razkritij za leto 2015.

KO-3

KO-4

AB



MV NK3-3 Komisija za pripravo razkritij in letnega poročila pregleda in preveri skladnost rokovnika z zahtevami zakonodaje.

DA DA Na osnovi opredeljenih odgovornih oseb v rokovniku presoditi ali so le-te pravilno opredeljene glede na vsebino razkritij in si pri koordinatorju priprave razkritij pridobiti dokazila da so bile te odgovorne osebe obveščene o obveznosti priprave razkritij in so dejansko sodelovale pri pripravi.

KO-6

KA-2

AB

KC3-2 Pravočasnost T3-2 MV NK3-4 DA DA Pridobiti in pregledati KA- AB

82

priprave razkritij Tveganje nepravočasne objave

Koordinator opredeli roke priprave razkritij in jih uskladi z roke priprave letnega poročila, njihovega potrjevanja in javne objave.

dokazila o izvedbi postopka priprave razkritij in letnega poročila ter preveriti ali je bila imenovana skupna komisija za letno poročilo in razkritja.

3


T3-2 Tveganje nepravočasne objave

MV NK3-5 Pregled in potrditev rokovnika z roki in odgovornimi osebami

DA DA Pridobiti in pregledati gradivo za upravo banke in odbor za potrjevanje politik ter nadzorne organe in presoditi razkritja glede opustitve posameznih razkritij ter presoditi ali so razlogi za opustitev skladni z opredelitvami v politiki razkritij in hkrati skladni z zakonskimi podlagami.

KA-4

AB



MV NK3-6 Ocena zaupnosti, poslovne skrivnosti in pomembnosti informacij

DELNO

DA Pregledati dokument z razkritji za poslovno leto 2015 in presoditi ali so razkritja popolna (razkrite so vse informacije, ki so zahtevane z zakonodajo), pravilna (ali so konsistentna z letnim poročilom). Presoditi ali je kakšno razkritje izpuščeno in ne obstaja za to utemeljitev ter izvzetje ni ustrezno odobreno.

OT-6 AB Ugotavljamo, da so v politiki razkritij preveč splošno ali sploh ne opredeljena pravila pogostosti razkrivanja informacij ter uporabe pravil pomembnosti, poslovne skrivnosti in zaupnosti informacij. Zato je potrebno v tem delu politiko dopolniti in pri tem temeljiti na smernicah EBA, ki natančno opredeljujejo proces presoje uporabe pravil pomembnosti, poslovne skrivnosti in zaupnosti informacij.



MV NK3-7 Pregled in potrditev ocene

DA DA Presoja postopka priprave na izdelavo razkritij – ali so bili postopki pravočasno začeti in ali so roki, navedeni v rokovniku usklajeni z roki za letno poročilo.

KO-6

KA-5

AB


T3-4 Razkritja so nepravilna

MV NK3-8 Koordinator v rokovniku opredeli odgovorne osebe za pripravo posameznih razkritij

DA DA Pridobitev in presoja gradiva za obravnavo na seji uprave in pridobitev zapisnika seje.

KA-4

AB


T3-5 Razkritja se podvajajo z letnim poročilom

MV NK3-9 Priprava skupnega rokovnika za letno poročilo

DA DA Pregled politike razkritij iz vidika ali je opredeljen koordinator in ali se ta vloga v praksi dejansko izvaja.

KO-3

AB



MV NK3-10 Določitev koordinatorja priprave dokumenta z razkritji

DA DA Presoditi izvajanje vloge priprave razkritij na primeru dokumenta z razkritji za leto 2015. Navedeno presojamo skozi pridobljeno

KA-6

AB V politiki razkritij je opredeljen koordinator priprave razkritij, ki je iz področja upravljanja tveganj. Banka se je

83

podporno dokumentacijo in opravljenim razgovorom.

za opredelitev odgovornosti v področju upravljanja tveganj odločila, ker se razkritja nanašajo na profil tveganosti banke in sistem upravljanja različnih vrst tveganj. Menimo, da navedeno ni ustrezno, v področju upravljanja tveganj naj bodo odgovorni samo za pripravo posameznih razkritij, ki zadevajo njihovo delovanje, priprava dokumenta v celoti in koordinacija pa je primerno, da je v pristojnosti kontroliga, ki skrbi za pripravo poročil, ki so namenjena zunanji objavi.



MV NK3-11 Dokument z razkritji pregleda komisija za razkritja in letno poročilo ter pripravi predlog za obravnavo na upravi banke

DA DA Pridobitev in pregled podporne dokumentacije, ki dokazuje postopek priprave razkritij od začetka do javne objave. Dodatne informacije pridobimo z opravljenimi razgovori s koordinatorjem, člani komisije in posameznimi odgovornimi osebami za pripravo razkritij.

KA-7

KA-8

AB


T3-6 Razkritja ne nudijo jasnih in nedvoumnih informacij zainteresirani javnosti

MV NK3-12 Razkritja pregleda komisija za razkritja za letno poročilo ter so predmet obravnave in potrjevanja na upravi banke, nadzornem svetu in komisijah nadzornega sveta (za tveganja in revizijska komisija)

DA DA Pridobiti podporno dokumentacijo (gradivo in zapisnik) iz katerega je razvidno, da je pristojni organ obravnaval dokument z razkritji pred javno objavo in hkrati z letnim poročilom.

KA-9

AB


T3-7 Nadzorni organ ne izvaja zakonsko določenih nalog in odgovornosti

MV NK3-13 Pred javno objavo se dokument z razkritji predloži v obravnavo revizijski komisiji hkrati z letnim poročilom, komisiji za tveganja in z mnenjem obeh komisij se dokument predloži nadzornemu svetu.

DA DA Pridobiti podporno dokumentacijo (gradivo in zapisnik) iz katerega je razvidno, da je pristojni organ obravnaval dokument z razkritji pred javno objavo in hkrati z letnim poročilom.

KA-9

AB

KC3-6 Razkritja so javno objavljena hkrati z letnim

T3-8 Nadzorni organ ne

MV NK3-14 Pred javno objavo se dokument z

DA DA Pridobiti podporno dokumentacijo (gradivo in zapisnik)

KA-9

AB

84

poročilom izvaja zakonsko določenih nalog in odgovornosti

razkritji predloži v obravnavo revizijski komisiji hkrati z letnim poročilom, komisiji za tveganja in z mnenjem obeh komisij se dokument predloži nadzornemu svetu.

iz katerega je razvidno, da je pristojni organ obravnaval dokument z razkritji pred javno objavo in hkrati z letnim poročilom.


T3-15 Zainteresirana javnost ne pridobi istočasno celovite informacije glede poslovanja banke in njenega profila tveganosti

MS NK3-15 V politiki so opredeljene odgovornosti glede javne objave dokumenta.

- - Pregledati ali politika razkritij opredeljuje odgovornost za javno objavo razkritij hkrati z letnim poročilom, preveriti ali je v rokovniku aktivnost javne objave opredeljena z rokom in odgovorno osebo. Pridobiti podporno dokumentacijo, ki dokazuje da je bila odgovorni osebi za javno objavo pravočasno predložen dokument z razkritji, hkrati z letnim poročilom in ali je zagotovljeno, da se dejansko objavi dokument, ki je bil tudi odobren. Izhajamo iz podporne dokumentacije in opravljenega razgovora z odgovorno osebo za javno objavo in koordinatorjem priprave razkritij.

- -

11.Izbira in razvoj splošnih kontrolnih aktivnosti informacijske tehnologije z namenom doseganja zastavljenih ciljev

KC3-7 Podprtost procesa priprave razkritij z informacijsko podporo

T3-16 Možnost namerne in nenamerne napake pri združevanju razkritij v enotni dokument

SS NK3-16 Banka ima vzpostavljene kontrole v procesu, ki preprečujejo namerne in nenamerne napake – gre za kontrole enotne koordinacije priprave razkritij, pregled s strani komisije za razkritja in letno poročilo, obravnava na Odboru za potrjevanje politik.

DA DA Pri koordinatorju priprave razkritij na osnovi razgovora preverimo način priprave skupnega dokumenta z razkritji.

KA-10

AB Banka procesa priprave razkritij nima informacijsko podprtega. Zato priporočamo, da se vzpostavi razvojna naloga podpre procesu priprave razkritij bodisi v smislu posebne aplikativne podpore ali v obliki prednastavljenih preglednic v orodju Excel ali Wordu s čimer bo olajšano delo koordinatorja pri zbiranju in združevanju razkritij v skupni dokument in lažji bo nadzor nad popolnostjo zbranih razkritij. Navedeno je smiselno in

85

priporočljivo zlasti sedaj, ko so pričakovane spremembe v smislu večje formalizacije priprave zahtevanih razkritij v smislu točno določene oblike (preglednice) in vsebine.

KC3-8 Opredelitev dostopnih pravic do tehnološke podpore

T3-17 Nepooblaščeni dostop do informacij

MM NK3-17 Banka ima vzpostavljen proces dodeljevanja dostopov na podlagi odobritve nadrejenega in lastnika aplikacije.

- - Pridobimo seznam dostopnih pravic in seznam oseb, ki so jim bile posamezne dostopne pravice odobrene.

- -

KC3-9 Ustrezen proces dodelitve dostopa po načelu najmanj dovoljenega

T3-18 Dostop do informacij, ki niso nujno potrebne za delo

MM NK3-18 Banka ima vzpostavljen proces dodeljevanja dostopov na podlagi odobritve nadrejenega in lastnika aplikacije.

- - Presodimo ali so bile vse dostopne pravice dodeljene na osnovi ustrezno izpolnjenih in odobrenih zahtevkov.

- -

12.Opredelitev kontrol skozi politike in druge interne akte

KC3-10 Vzpostavitev politike razkritij

T3-20 Banka nima jasno opredeljenega procesa priprave razkritij in pristojnosti in odgovornosti posameznikov v procesu

MV NK3-20 Banka ima izdelano, odobreno in interno javno objavljeno politiko razkritij.

DA DA Preverimo ali je politika razkritij interno javno objavljena, preverimo ali vsebuje vse predpisane sestavine kot veljajo pravila v banki za sestavo politike, preverimo ali je bila politika pred interno javno objavo ustrezno odobrena. Poleg tega preverimo ali je dejansko objavljena politika, ki je bila tudi odobrena – se pravi presodimo ali je proces objave potekal v skladu z interno vzpostavljenim postopkom.

KA-11

AB

KC3-11 Opredelitev odgovornosti za izvajanje politike

T3-21 Politika se ne izvaja tako kot je opredeljena

MV NK3-21 V politiki razkritij so jasno opredeljene odgovornosti

DA DA Na primeru razkritij za leto 2015 presodimo izvajanje postopka v smislu ali se izvaja tako kot je opredeljen (ali je koordinator izvedel potrebne aktivnosti, ali so odgovorni za pripravo posameznih razkritij pripravila razkritja in jih posredovali koordinatorju, ali je komisija odigrala svojo vlogo, …).

KA-12

AB

KC3-12 Vzpostavitev postopkov letnega pregleda in posodabljanja politike

T3-22 Politika ni skladna z dejanskim stanjem

SS NK3-22 V politiki je opredeljena obveznost letnega pregleda politike. Opredeljeni so odgovorne osebe, ki so zadolžene za letni pregled. V banki so opredeljeni

DA DA Pri objavljeni politiki razkritij preverimo ali je bil opravljen letni pregled politike in si pridobimo gradivo odbora za obravnavo politik ter zapisnik seje odbora na kateri je bila sprememba obravnavana.

KO-3

KA-13

AB

86

skrbniki vseh politik, ki pozivajo odgovorne osebe za izvedbo letnega pregleda. Pregledane politike se obravnavajo na seji odbora za potrjevanje. Vsako politiko pred potrditvijo pregleda tudi skladnost.

Podporna dokumentacija mora obstajati tudi v primeru kadar je bilo na osnovi pregleda politike ugotovljeno, da politike ni potrebno spreminjati.

KC3-13 Potrditev politike razkritij

T3-23 Politika ni ustrezno odobrena in posledično ni zavezujoča za uporabo

MS NK3-23 Banka ima vzpostavljena pravila upravljanja s politikami, ima imenovanega skrbnika politik, ki izvaja postopek upravljanja politike in skrbi za pregled nad izvajanjem rednega posodabljanja in obravnave na odboru za potrjevanje politik.

- - Pridobiti in pregledati pravila upravljanja politik in na primeru politike razkritih iz podporne dokumentacije presoditi ali je bil postopek ustrezno izvedene in ali je dejansko objavljena politika, ki je bila tudi odobrena.

- - -

4.Informiranje in komuniciranje

Delno ustrezne - notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru informiranja in komuniciranja. Notranje kontrole so v glavnem ustrezne, delujejo učinkovito in uspešno. Notranje kontrole v glavnem delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Pomanjkljivosti ugotavljamo pri vsebini politiki razkritij, in sicer so preveč splošno opredeljena pravila opustitve razkritij.

13.Zagotavljanje in uporaba kvalitetnih informacij

Zahteve glede poročanja KC4-1 Opredelitev pogostosti razkrivanja informacij

T4-1 Zainteresirana javnost nima na razpolago informacij

MV NK4-1 V politiki razkritij je opredeljena pogostost razkrivanja posameznih informacij

DELNO

DA Pregledati opredeljeno pogostost razkritij in presoditi skladnost z zahtevami zakonodaje.

KO-3

AB Glejte ugotovitev in priporočilo pri KC2-2.

Zagotavljanje ustreznih podatkov za informiranje KC4-2 Nabor zakonskih zahtev glede razkrivanja informacij

T4-2 Razkritja niso skladna z zahtevami zakonodaje

MV NK4-2 Priprava rokovnika z zahtevanimi razkritji

DA DA Na primeru razkritij za leto 2015 preverimo ali razkrite vse zahtevane informacije.

OT-6 AB

Vzpostavitev procesa, ki zagotavlja kvaliteto informacij KC4-3 Opredeljen in vzpostavljen proces priprave, potrditve in objave razkritij

T4-3 Razkritja niso skladna z dejanskim profilom tveganosti banke

SV NK4-3 Jasni proces priprave, pregleda, obravnave in potrjevanja razkritij.

DA DA Pridobiti politiko in preveriti opredelitev procesa.

KO-3

AB

14.Interno komuniciranje v podporo delovanju notranjih kontrol

Proces komunikacije glede notranjih kontrol KC4-4 Predložitev dokumenta z razkritji

T4-4 Uprava in nadzorni organ nima zagotovila glede pravilnosti,

MV NK4-4 Proces priprave razkritij je predstavljen v dokumentu razkritij ali predstavljen v

DA DA Preveriti ali je proces priprave razkritij predstavljen v dokumentu za leto 2015 oziroma ali je iz gradiva za obravnavo

OT-6 IK-1

AB

87

upravi/revizijski komisiji/komisiji za tveganja/nadzornemu svetu z razkritjem procesa priprave dokumenta in kontrole

popolnosti razkritih informacij

gradivu za obravnavo na seji uprave/komisij nadzornega sveta/nadzornega sveta.

na upravi, revizijski komisiji, komisiji nadzornega sveta, nadzornemu svetu razviden proces priprave razkritij.

Komuniciranje z upravo in nadzornimi organi KC4-5 Obveščanje uprave in nadzornih organov glede ugotovitev zunanjih nadzornikov (BS/ECB)

T4-5 Uprava in nadzorni svet nista seznanjena z ugotovitvami nadzornih institucij in nista seznanjena s potrebnimi korektivnimi ukrepi

MV NK4-5 Banka ima vzpostavljen proces pretoka informacij s strani nadzornih institucij.

DA DA Preveriti pretok informacij v zvezi z poročili o opravljenih pregledih BS/ECB. Pridobiti podporno gradivo (gradivo za sejo, zapisnik seje), ki dokazuje, da je bilo poročilo BS/ECB glede pregleda razkritij predmet obravnave uprave banke in nadzornega sveta.

IK-2 AB

15.Eksterno komuniciranje

Proces komunikacije z zunanjimi strankami KC4-6 Pripravljen dokument z razkritji je zapisan jasno in razumljivo

T4-6 Zainteresirana javnost ne pridobi jasne informacije glede profila tveganosti banke – tveganje ugleda

MV NK4-6 Vzpostavljena je enotna koordinacija priprave razkritij, nadzor komisije za pripravo, obravnava na odboru za potrjevanje politik, revizijski komisiji, komisiji za tveganja, nadzornemu svetu.

DA DA Preveriti opredelitev in izvajanje procesa.

IK-3 AB

Proces komunikacije z zunanjimi strankami KC4-7 Dokument z razkritji je javno objavljen

T4-7 Netransparentno poslovanje banke

MV NK4-7 Dokument z razkritji se javno objavi in je dostopen na spletni strani banke.

DA DA Preveriti ali je dokument z razkritji javno objavljen, kje je dostopen in ali je bil javno objavljen hkrati z letnim poročilom.

IK-4 AB

5.Spremljanje Ustrezne - notranje kontrole so vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru spremljanja. Notranje kontrole so ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje.

16.Izbira, razvoj in redno izvajanje ovrednotenja obstoja in delovanja notranjih kontrol

Izvajanje različnih sprotnih in ločenih ovrednotenj sistema notranjih kontrol KC5-1 Vzpostavitev skupne komisije za letno poročilo in pregled razkritij

T5-1 Notranje kontrole niso vzpostavljene, notranje kontrole so vzpostavljene in se ne izvajajo

SV NK5-1 Banka je vzpostavila skupno komisijo za letno poročilo in razkrivanje informacij. V komisiji so predstavniki kontrolinga, upravljanja tveganj, skladnosti in notranje revizije, računovodstva.

DA DA Preveriti podporno dokumentacijo, ki dokazuje dejansko ustanovitev komisije in presoditi ali izvaja svoje naloge kot so opredeljene (navedeno prevrimo na primeru razkritij za leto 2015)

KO-3

KO-4

AB

Upoštevanje sprememb KC5-2 Vzpostavitev odgovornosti za spremembo procesa priprave razkritij in notranjih kontrol

T5-2 Vzpostavljene kontrole niso aktualne in potrebne

SS NK5-2 Banka ima vzpostavljen postopek letnega pregleda politik v okviru katere se pregleda tudi aktualnost vzpostavljenega

DA DA Preverimo ali je bila politika razkritij letno pregledana in posodobljena glede na zakonske spremembe ali spremembe znotraj banke npr. spremenjena

S-1 AB

88

procesa. organiziranost, spremenjeni pristopi k upravljanju tveganj,…

Razumevanje sistema KC5-3 Predstavitev sistema priprave razkritij in notranjih kontrol upravi in nadzornim organom ter razkritje zunanji javnosti v dokumentu z razkritji

T5-3 Nezaupanje v pravilnost razkritij in ustrezno prikazan profil tveganosti banke

MV NK5-3 Banka ima vzpostavljen postopek obravnave razkritij na odboru za potrjevanje politik, kjer je prisotna tudi uprava banke ter na seja revizijske komisije, komisije za tveganja in nadzornem svetu. Dokument z razkritji predstavi izvršilni direktor področja upravljanja tveganj in po potrebi direktor skladnosti poslovanja.

DA DA Pridobimo gradiva in zapisnike o obravnavi razkritij na pristojnih organih in odborih.

S-2 AB

Objektivno periodično ločeno ocenjevanje KC5-4 Zagotavljanje pregledov notranje revizije, pregledi BS/ECB

T5-4 Nadzorni organi in uprava banke ne razpolagata z zagotovilom glede pravilnosti in popolnosti razkritih informacij

MV NK5-4 Dokument razkritij je regulatorno obvezni dokument in kot tako podvržen pregledu BS/ECB. V skladu z analizo tveganj opravi notranja revizija pregled razkrivanja informacij. Dodatno zagotovilo pridobi nadzorni organ skozi sodelovanje in poročanje upravljanja tveganj in skladnosti poslovanja kot druge obrambne linije.

DA DA Pregledamo poročila ECB/BS glede pregleda razkritij, pregledamo postopek priprave razkritij od začetka do javne objave in presodimo ali sam postopek z vgrajenimi notranjimi kontrolami daje zadostno zagotovilo upravi in nadzornemu svetu, da so razkritja popolna, pravočasna, pravilna in skladna z zakonodajo.

IK-2 S-3

AB

17.Poročanje ugotovljenih pomanjkljivosti z namenom odprave pomanjkljivosti

Poročanje o pomanjkljivostih, sprejem popravljalnih ukrepov in spremljava izvajanja popravljalnih ukrepov KC5-5 Ugotovljene pomanjkljivosti so poročane ustreznim vodstvenim ravnem, predlagani so korektivni ukrepi (priporočila), zagotovljena je spremljava in poročanje o izvajanju korektivnih ukrepov.

T5-5 Ugotovljene nepravilnosti niso poročane in posledično niso predlagani in spremljani korektivni ukrepi za odpravo

MV NK5-5 Banka ima vzpostavljen pristop poročanja upravi o ugotovitvah BS/ECB. Na osnovi ugotovitev se pripravi predlog popravljalnih ukrepov, ki jih odobri uprava. Za spremljavo izvajanja popravljalnih ukrepov je zadolžena notranja revizija. V primeru izvedene notranje revizije se poroča

DA DA Poročanje upravi o ugotovitvah pregleda ECB/BS s predlogom korektivnih ukrepov. Poročanje upravi o izvedeni notranji reviziji z ugotovitvami in priporočili. Kvartalno poročanje nadzornemu svetu.

S-4 AB

89

v prvi fazi upravi o ugotovitvah in priporočilih ter sproti poroča o izvajanju priporočil. Nadzorni organ je seznanjen s pomanjkljivostmi, priporočili in izvajanju priporočil skozi kvartarno poročanje.

Povzetek ocene Kontrolno okolje Ustrezno - notranje kontrole so vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru

kontrolnega okolja. Notranje kontrole so ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Ugotavljamo, da ima banka vzpostavljena etična pravila, ki so v obliki kodeksa javno objavljena in dostopna vsem zaposlenim banke. Kodeks je bil predstavljen vsem zaposlenim banke na internih izobraževanjih, na katerih je bila prisotna tudi uprava banke, ki je predstavila tudi svojo zavezanost veljavnim etičnim pravilom, kar pomembno prispeva k dobremu zgledu »iz vrha«. Iz kodeksa izhaja ničelna toleranca do kršitev kodeksa, vzpostavljen je sistem anonimnega javljanja kršitev in reševanja kršitev za kar je zadolžen sektor skladnosti. Banka je vzpostavila tudi politiko ocenjevanja primernosti (fit&proper) ključnih kadrov na osnovi katere se presoja primernost potencialnih kandidatov za nadzorni svet, upravo banke, izvršilne direktorje in druge kadre, ki so opredeljeni kot ključni kadri. Na tak način banka zagotavlja, da so na ta mesta imenovani kadri, ki izpolnjuje pogoje glede znanja, osebnostnih in drugih lastnosti. Navedeno je pomembno tudi za področje, ki je predmet revidiranja, saj so v postopke razkrivanja informacij aktivno vključene tudi vodstvene ravni banke (vključno z upravo in nadzornim svetom), ki odločajo o jasni in objektivni predstavitvi profila tveganosti banke in upravljanja s tveganji. Za namene opredelitve odgovornosti in procesa priprave razkritij ter notranjih kontrol je banka pripravila in odobrila Politiko razkritij.

Ocena tveganj Ustrezne - notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru ocene tveganj. Notranje kontrole so v ustrezne, delujejo učinkovito in uspešno. Notranje kontrole v glavnem delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Banka ima na nivoju skupine vzpostavljen proces ocenjevanja tveganj, ki je podprt z ustreznimi internimi akti. Postopek se izvaja enkrat letno, zajeti so vsi organizacijski nivoji banke in družb v skupini.

Kontrolne aktivnosti Delno ustrezne - notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru kontrolnih aktivnosti. Notranje kontrole so v ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Banka je vzpostavila ustrezne podlage za pripravo razkritij in opredelila postopke in notranje kontrole, ki se v glavnem izvajajo. Postopki in kontrole se nanašajo na celotni proces od priprave podlag za razkrivanje informacij do javne objave. Pomanjkljivosti ugotavljamo pri doseganju kontrolnega cilja popolnosti razkritij, saj so pravila izvzetij v Politiki razkritij preveč splošno opredeljena. Kljub dejstvu, da so notranje kontrole za pokrivanje ključnih tveganj vzpostavljene in delujejo vidimo možnosti za izboljšave, in sicer pri opredelitvi skupnega koordinatorja za pripravo letnega poročila in razkritij in pri vzpostavitvi informacijske podpore za namene priprave razkritij.

Informiranje in komuniciranje

Delno ustrezne - notranje kontrole so v glavnem vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru informiranja in komuniciranja. Notranje kontrole so v glavnem ustrezne, delujejo učinkovito in uspešno. Notranje kontrole v glavnem delujejo v skladu s pričakovanji in dosegajo kontrolne cilje. Pomanjkljivosti ugotavljamo pri vsebini politiki razkritij, in sicer so preveč splošno opredeljena pravila opustitve razkritij.

Spremljanje Ustrezne - notranje kontrole so vzpostavljene za obvladovanje ključnih tveganj, ki smo jih prepoznali in razvrstili v okviru spremljanja. Notranje kontrole so ustrezne, delujejo učinkovito in uspešno. Notranje kontrole delujejo v skladu s pričakovanji in dosegajo kontrolne cilje.

Skupna ocena Načela sestavin notranjega kontroliranja delujejo večinoma ustrezno z izjemo kontrolnih aktivnosti in aktivnosti informiranja in komuniciranja, ki delujejo delno ustrezno. Sistem notranjih kontrol kot celota deluje večinoma ustrezno pri zagotavljanju skladnosti priprave razkritij z zakonodajo in internimi akti. Ugotovljene pomanjkljivosti kumulativno ne pomenijo hude pomanjkljivosti.

Opombi:

- revizijo je izvajala samo ena revizorka zato v delovnem programu ni stolpca oznaka revizorja, ki je posamezno aktivnost izvajal, ker je vse aktivnosti izvedla ena revizorka, ki je navedena v uvodnem delu delovnega programa,

- načrtovani revizijski postopki se niso izvedli, kjer je bila ocena tveganja nizka (zelena barva)

90

Priloga 6: Primer delovnega lista z ugotovitvami preizkušanja notranjih kontrol Oznaka:RP5/16 Naziv revizije: Skladnost procesa razkrivanja informacij v banki z zakonodajo in internimi predpisi Vodja revizijske skupine: Jana Žagar

Kontrolni cilj Notranja kontrola

Prisotna

Deluje Revizijski postopek Ugotovitev

Delovno

gradivo

Nadzor

KC5-3 Predstavitev sistema priprave razkritij in notranjih kontrol upravi in nadzornim organom ter razkritje zunanji javnosti v dokumentu z razkritji

NK5-3 Banka ima vzpostavljen postopek obravnave razkritij na odboru za potrjevanje politik, kjer je prisotna tudi uprava banke ter na seja revizijske komisije, komisije za tveganja in nadzornem svetu. Dokument z razkritji predstavi izvršilni direktor področja upravljanja tveganj in po potrebi direktor skladnosti poslovanja.

DA DA Pridobimo gradiva in zapisnike o obravnavi razkritij na pristojnih organih in odborih.

Na osnovi pridobljene dokumentacije ugotavljamo, da je bil dokument razkritij predlog obravnave in potrditve na odboru za potrjevanje politik, revizijski komisiji in komisiji za tveganja ter nadzornemu svetu. Iz zapisnikov sej navedenih organov je razvidna, da se je v zvezi z dokumentom razvila razprava, ki odraža resen odnos organov odločanja do razkritij in odnos, ki nakazuje na doseganje cilja, da se zainteresirani javnosti prikaže realni profil tveganosti banke.

S-2 AB

91

Priloga 7: Izsek iz končnega revizijskega poročila – ugotovitve, priporočila, mnenje

Ugotovitve in priporočila po posameznih sestavinah

KONTROLNE AKTIVNOSTI Ugotovitev 1: Banka nima v Politiki razkritij dosledno opredeljenih pravil pomembnosti,

zaupnosti in poslovne skrivnosti informacij. Stanje: Temeljni interni dokument, ki določa pravila in odgovornosti razkrivanja

informacij je Politika razkritij. V politiki razkritij so jasno opredeljeni postopki priprave razkritij ter vloga in odgovornost posameznikov in odborov/komisij, ki so vključeni v postopek. V politiki je opredeljeno, da lahko banka razkrivanju informacij posamezne informacije izpusti, kadar gre za poslovno skrivnost, zaupne informacije ali informacije, ki niso pomembne.

Sodilo: Smernice EBA o pomembnosti, poslovni skrivnosti in zaupnosti ter o pogostosti razkritij v skladu s členi 432(1), 432(2) in 433 Uredbe (EU) št. 575/2013

Posledica: Tveganje, da banka ne razkrije informacije, ki ne izpolnjuje pogojev za izvzetje. V tem primeru ravna v nasprotju z zakonodajo in smernicami EBA.

Vzrok: Banka nima dosledno opredeljenih pravil nerazkrivanja informacij. Priporočilo 1:

Priporočamo, da banka dopolni politiko razkritij z natančno opredelitvijo upoštevanja pravil zaupnosti, poslovne skrivnosti in pomembnosti informacij.

Stopnja pomanjkljivosti: Manjša pomanjkljivost

Odgovorna oseba: Direktor sektorja računovodstva

Rok za izvršitev: 2 meseca

Možnosti za izboljšave po posameznih sestavinah: KONTROLNE AKTIVNOSTI Ugotovitev 1: Banka je v Politiki razkritij jasno opredelila postopek priprave razkritij in

odgovornosti posameznikov in organov/komisij pri pripravi razkritij. Kot koordinatorja priprave razkritij je opredelila sektor upravljanja nekreditnih tveganj, ker se razkritja vsebinsko nanašajo na upravljanje tveganj banke. Ugotavljamo, da koordinator dosledno in ustrezno izvaja svojo vlogo. Vendar ugotavljamo, da bi bilo bolje vzpostaviti enotno koordinacijo priprave razkritij in letnega poročila s čimer bi banka še izboljšala vzpostavljeno kontrolno okolje.

Predlagana izboljšava 1:

V Politiki opredeliti enotnega koordinatorja priprave razkritij in letnega poročila banke.

Ugotovitev 2: Banka je v Politiki razkritij jasno opredelila postopek priprave razkritij in odgovornosti posameznikov in organov/komisij pri pripravi razkritij. Glavno vlogo pri pripravi razkritij opravi koordinator. Koordinator zbira razkritja, ki jih pripravijo odgovorne osebe in jih združuje v skupni dokument. Glede na vzpostavljene notranje kontrole ne ugotavljamo napak v procesu združevanja v enotni dokument. Vidimo pa možnost izboljšave in olajšanja postopka dela z vzpostavitvijo informacijske podpore pripravi razkritij – možnost uporabe BI orodja.

92

Predlagana izboljšava 2:

Informacijsko podpreti postopek priprave razkritij, pri čemer je mogoče enotno orodje uporabiti tudi za druge namene npr. letno poročilo.

Sklepno revizijsko mnenje

Zaključili smo načrtovano notranjo revizijo procesa priprave razkritij v banki. Cilj revidiranja je bil podati mnenje o skladnosti delovanja revidiranega področja glede na obvladovanje ključnih tveganj ter učinkovitost in uspešnost notranjih kontrol. Pri skladnosti delovanja revidiranega področja smo presojali skladnost z zakonodajo, podzakonskimi akti in internimi akti, ki so nam bili sodila za podajo mnenja. Revizija je bila opravljena na podlagi letnega načrta Službe za notranjo revizijo za leto 2016. Notranje revizijske aktivnosti so bile izvedene v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju.

Notranje revidiranje je zajelo preizkušanje in vrednotenje sestavin notranjih kontrol na področju skladnosti procesa priprave razkritij in je vključevalo aktivnosti priprave dokumenta razkritij za poslovno leto 2015. Za vrednotenje tveganj in sestavin notranjih kontrol smo uporabili metodologijo COSO , 2013. Pri ocenjevanju notranjih kontrol smo temeljili na kriterijih, usklajenih s poslovodstvom:

- notranja kontrola je ustrezna, je oblikovana, prisotna, učinkovito in uspešno deluje, banka dosega kontrolne cilje,

- notranja kontrola je delno ustrezna, je delno oblikovana, in/ali delno prisotna in/ali delno učinkovito in uspešno deluje, banka delno dosega kontrolne cilje,

- neustrezna notranja kontrola, ni oblikovana, in/ali ni prisotna in/ali ne deluje učinkovito in uspešno, banka ne dosega kontrolnih ciljev.

Pri ocenjevanju skladnosti poslovanja smo uporabili sodila:



Na osnovi izvedenih revizijskih postopkov podajamo pozitivno mnenje s pridržkom glede skladnosti procesa priprave razkritij z zakonodajo in internimi akti.

Pozitivno mnenje s pridržkom podajamo glede na to, da ugotavljamo pomanjkljivost v sistemu notranjih kontrol pri sestavini kontrolne aktivnosti in informiranje in komuniciranje. Pomanjkljivost je sicer manj pomembna in ne vpliva pomembno na sistem notranjih kontrol v celotnem procesu priprave razkritij, saj banka kontrolo izvaja ne glede na pomanjkljivo opredelitev v Politiki razkritij

Na osnovi izvedenih revizijskih postopkov smo ugotovili tudi možnosti za izboljšave, ki bodo dodatno okrepile in izboljšale sistem notranjih kontrol v procesu priprave razkritij.

Po moji osebni presoji (Jana Žagar, notranja revizorka), so bili izvedeni zadostni in primerni revizijski postopki in zbrano dokazno gradivo, ki je omogočilo podajo natančnih sklepov. Podani sklepi temeljijo na situaciji kot je bila prisotna v času revidiranja na temelju razkritih kriterijev. Sklepi se nanašajo le na revidiran proces v revidiranih organizacijskih enotah. Zbrano dokazno gradivo izpolnjuje zahteve strokovnih standardov revidiranja in je zadostno za utemeljitev sklepov, ki so podani na temelju izvedene revizije.

slovenski inŠtitut za revizijo ljubljana · revizija se jenanašala na proces prip rave razkritij...

Documents