zakljuČno delo za strokovni naziv preizkuŠeni notranji revizor · izjava damir rakela vpisan v...
TRANSCRIPT
SLOVENSKI INŠTITUT ZA REVIZIJO LJUBLJANA
ZAKLJUČNO DELO ZA STROKOVNI NAZIV PREIZKUŠENI NOTRANJI REVIZOR
NOTRANJE REVIDIRANJE PREPREČEVANJA PRANJA DENARJA IN FINANCIRANJA TERORIZMA V BANKI
Maribor, februar 2013
Damir RAKELA
IZJAVA Damir Rakela vpisan v izobraževalni program za pridobitev strokovnega naziva preizkušeni
notranji revizor izjavljam, da sem avtor tega zaključnega dela in skladno s 1. odstavkom 21. Zakona o avtorskih in sorodnih pravicah dovoljujem objavo zaključnega dela na spretnih straneh Slovenskega inštituta za revizijo. V Mariboru, 15. februar 2013
Podpis:
I
KAZALO VSEBINE UVOD ...................................................................................................................................... 1
Opredelitev področja in opis problema .......................................................................................... 1
Namen, cilji in osnovne trditve ....................................................................................................... 1
Predpostavke in omejitve presojanja .............................................................................................. 2
Načini, metode in tehnike presojanja ............................................................................................. 3
1PREPREČEVANJE PRANJA DENARJA IN FINANCIRANJA TERORIZMA V BANKI .................................................................................................................................................. 4
1.1 Predstavitev izbranega podjetja .......................................................................................... 4
1.2 Predstavitev področja preprečevanja pranja denarja in financiranja terorizma .................. 6
1.2.1 Pranje denarja ............................................................................................................. 6
1.2.2 Financiranje terorizma ................................................................................................ 6
1.3 Predpisi na področju preprečevanja pranja denarja in financiranja terorizma .................... 7
1.3.1 Mednarodni pravni akti .............................................................................................. 7
1.3.2 Pravni akti v Republiki Sloveniji ................................................................................ 7
1.3.3 Pravila bančne skupine in poslovne banke ................................................................. 9
1.4 Tveganja v okviru preprečevanja pranja denarja in financiranja terorizma v banki ........... 9
1.4.1 Operativno tveganje .................................................................................................. 10
1.4.2 Tveganje izgube ugleda ............................................................................................ 10
1.4.3 Tveganje koncentracije ............................................................................................. 10
1.5 Ključna področja preprečevanja pranja denarja in financiranja terorizma v bankah ........ 11
1.5.1 Organizacijsko-kadrovski pogoji .............................................................................. 11
1.5.2 Sistem notranjih kontrol ........................................................................................... 12
1.5.3 Izobraževanje in usposabljanje ................................................................................. 13
1.5.4 Neodvisno preverjanje skladnosti in učinkovitosti sistema PPDFT ......................... 13
2 ........................................................................... NOTRANJE REVIDIRANJE PPDFT 15
2.1 Podlage za izvajanje notranjega revidiranja ..................................................................... 15
2.2 Notranje kontrole v procesih PPDFT ............................................................................... 16
2.3 Metodika in pomen notranjega revidiranja procesov PPDFT .......................................... 17
3IZVEDBA NOTRANJEGA REVIDIRANJA PREPREČEVANJA PRANJA DENARJA IN FINACIRANJA TERORIZMA V BANKI ........................................................................ 19
3.1 Letni načrt dela službe notranje revizije ........................................................................... 19
3.2 Načrtovanje notranje revizije ............................................................................................ 20
3.2.1 Cilj in obseg revizijskih aktivnosti ter razporeditev dejavnikov .............................. 21
3.2.2 Predhodna raziskava revizijskega področja in memorandum o načrtovanju ............ 25
3.2.3 Procesni pregled in ustroj notranjih kontrol v okviru proučevanega procesa ........... 27
II
3.2.4 Začetna ocena obvladovanja tveganj in mehanizmov za njihovo zaznavanje in preprečevanje v procesih PPDFT ............................................................................................. 33
3.2.5 Revizijski program ................................................................................................... 34
3.3 Izvedba notranje revizije .................................................................................................. 35
3.3.1 Pridobivanje ter ocenjevanje dokazil in izvedba preizkušanj ................................... 35
4.2.2 Ugotovitve in revizijska priporočila ......................................................................... 39
4.2.3 Zaključni sestanek .................................................................................................... 40
4.3 Poročanje o ugotovitvah notranje revizijskega postopka ................................................. 40
4.3.1 Uskladitveni postopek .............................................................................................. 40
4.3.2 Poročilo poslovodstvu .............................................................................................. 41
4.4 Razvidovanje in arhiviranje .............................................................................................. 42
4.5 Spremljanje uresničitve predlogov notranje revizije ........................................................ 43
4.6 Nadzor nad izvedbo notranjega revizijskega posla........................................................... 43
SKLEP ................................................................................................................................... 45
SEZNAM LITERATURE IN VIROV ................................................................................ 46
PRILOGE…………………………………………………………………………………...……..48
KAZALO TABEL Tabela 1: Začetna analiza sistema notranjih kontrol za celotno banko ............................................ 26
Tabela 2: Vprašalnik za opredelitev procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja (delovni list št. C1) ......................................................................................... 28
Tabela 3: Cilji delovanja, tveganja in kontrolne aktivnosti v okviru procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja (C3) ............................................................................ 31
KAZALO SLIK Slika 1: Organizacijska struktura poslovne banke .............................................................................. 5
Slika 2: Sistem preprečevanja pranja denarja in financiranja terorizma v banki .............................. 11
Slika 3: Ravni, prvine in cilji COSO ................................................................................................ 18
Slika 4: Izvedbeni načrt notranje revizije PPDFT ............................................................................ 23
Slika 5: Nalog za pričetek revizije .................................................................................................... 24
Slika 6: Proces običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja ..................... 30
Slika 7: Primer delovnega lista – Preveritev izvajanja procesa spremljanja poslovnih aktivnosti strank ................................................................................................................................................ 38
1
UVOD
Opredelitev področja in opis problema
Poslovna banka je gospodarska družba, ki je ustanovljena in posluje v skladu z Zakonom o gospodarskih družbah (ZGD-1) in je organizirana v pravno organizacijski obliki delniške družbe. Na območju RS opravljajo bančne storitve samo banke in podružnice tujih bank, ki za opravljanje svojih storitev pridobijo dovoljenje Banke Slovenije. Bančništvo v Republiki Sloveniji ureja Zakon o bančništvu (ZBan-1), ki zraven ZGD-1 predstavlja temeljni zakonodajni okvir za delovanje bank na slovenskem ozemlju. Poslovne banke na eni strani sprejemajo proste vloge prebivalstva in gospodarskih družb ter na drugi odobravajo posojila. Hkrati izdajajo tudi knjižni denar. Delovanje bank v Republiki Sloveniji je pod nadzorom regulatorja – Banke Slovenije, ki izvaja nadzor nad delovanjem posamezne banke in bančnega sistema kot celote. Banka se v okviru svojega delovanja srečuje z vrsto tveganj. Skladno z ZBan-1 je dolžna ta tveganja minimizirati in obvladovati. Omenjeno predstavlja razlog, da banka vzpostavi ustrezne in učinkovite postopke prepoznavanja, preprečevanja in obvladovanja tveganj. Orodje za dosego predmetnega je vzpostavitev ustreznega notranjega kontrolnega sistema. Za vzpostavitev, ustrezno delovanje in nadzor takšnega kontrolnega sistema je odgovorno poslovodstvo banke. Eno izmed področij tveganj, ki vplivajo na bančno poslovanje, so tveganja iz naslova pranja denarja in financiranja terorizma. Banka je dolžna vzpostaviti takšen kontrolni sistem in s tem tudi organizacijsko strukturo banke, da omenjeno tveganje uspešno prepoznava, obvladuje in preprečuje. Tukaj govorimo predvsem o operativnih tveganjih, tveganju kriminala in tveganju izgube dobrega imena. Področje preprečevanja pranja denarja in financiranja terorizma (PPDFT) je na zakonodajni ravni urejeno v Zakonu o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT). Zakon dopolnjujejo podzakonski akti in Usmeritve pri izvajanju ukrepov na področju preprečevanja pranja denarja in financiranja terorizma za bančni sektor, ki jih je izdal bančni regulator – Banka Slovenije. Banka je v skladu zakonodajnimi pravili in smernicami dolžna vzpostaviti takšen notranje kontrolni sistem, ki bo preprečil tveganje pranja denarja in financiranja terorizma oziroma bo to tveganje znižal na sprejemljivo raven, hkrati pa bo zasnovan tako, da bo zadostil zakonodajnim določilom. V zaključni nalogi bomo prikazali revidiranje postopkov preprečevanja pranja denarja v izbrani poslovni banki.
Namen, cilji in osnovne trditve
Namen zaključnega dela je prikazati celoten postopek notranje-revizijskega posla področja preprečevanja pranja denarja in financiranja terorizma v banki. Hkrati je namen naloge predstaviti sposobnost strokovne in samostojne izvedbe takšnega posla. Cilj naloge je izvedba in prikaz notranje-revizijskih postopkov ugotavljanja skladnosti poslovanja sistema za PPDFT v poslovni banki z zakonodajo.
2
Notranje-revizijski postopki bodo izvedeni z namenom podaje mnenja: ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in predpisi, prepoznana; ali je postavljena sprejemljiva raven prepoznanih tveganj; ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in ali je delovanje notranjih kontrol uspešno in učinkovito. Na podlagi izvedenih revizijskih postopkov bomo podali mnenje, ki bo zajemalo stanje, sodilo, razlog in posledice tveganja neusklajenosti. Prav tako bomo podali priporočila za izboljšave ugotovljenih nepravilnosti in pomanjkljivosti. V okviru naloge bomo predstavili notranjo revizijsko funkcijo, katere namen je izvedba revizijskih aktivnosti na strokoven in neodvisen način. Revidiranje predmetnega področja bo opravljeno v skladu z veljavno zakonodajo, predpisi regulatorja in metodologijo COSO. Tekom revizijskega postopka bomo skladno s Smernicami Banke Slovenije preverili naslednje:
• ali sistem za PPDFT zagotavlja izpolnjevanje zakonsko predpisanih zahtev, • ustreznost in učinkovitost vzpostavljenega sistema notranjih kontrol, • ustreznost analize tveganosti na področju PPDFT z vidika presojanja, ali so vključena in na
primeren način obravnavana vsa področja poslovanja, • ustreznost in učinkovitost poročevalskih tokov v okviru sistema za PPDFT in • ali je program izobraževanja na področju PPDFT primeren in celovit ter ustreznost
usposobljenosti zaposlenih za operativno izvajanje nalog na tem področju. Zaključna naloga je izvirna naloga in je bila pripravljena samostojno s strani avtorja. Naloga sodi v okvir presojanj znotraj notranje-revizijske dejavnosti.
Predpostavke in omejitve presojanja
Notranje revizijske aktivnosti so bile izvedene ob upoštevanju določil Mednarodnih standardov strokovnega ravnanja pri notranjem revidiranju. Izvedene so bile naslednje izvedbene faze notranjega revidiranja – načrtovanje, izvedba, poročanje in spremljanje uresničevanja revizorjevih priporočil. Pri revidiranju so bili upoštevani veljavni zakoni in predpisi, navodila regulatorjev, navodila bančne skupine in interni pravilniki ter delovna navodila banke. Poslovna banka ima vzpostavljeno Službo notranje revizije, s strani katere so bile izvedene predmetne notranje-revizijske aktivnosti. Predpostavljamo, da uporabljena strokovna literatura temelji na sodobnih spoznanjih o notranjem revidiranju ter na spoznanjih preprečevanja pranja denarja in financiranja terorizma. V okviru opravljenih testiranj tekom revizijskega postopka so bili izbrani dovolj reprezentativni vzorci, da smo lahko na podlagi ugotovitev podali mnenje o ustreznosti in učinkovitosti notranje kontrolnega sistema. Spoznanja izvedenega revizijskega postopka ne odražajo dejanskega stanja v banki. V zaključni nalogi so prikazane revizijske aktivnosti na področjih delovanja v okviru PPDFT. Revizijske aktivnosti preverjanja skladnosti poslovanja so bile izvedene na podlagi začetne ocene obvladovanja tveganj in mehanizmov za njihovo zaznavanje in obvladovanje. Na podlagi omenjene
3
ocenitve smo v revizijski program vključili tveganja, ki smo jih v okviru začetne ocenitve ocenili kot zmerna in visoka. Prav tako smo v revizijski program vključili mehanizme za prepoznavanje in zmanjševanje tveganj, ki so se v okviru začetne ocenitve izkazali kot neustrezni in/ali neučinkoviti. Zakon določa, da je banka dolžna vzpostaviti takšne notranje kontrole v sistemu za PPDFT, ki delujejo ustrezno in učinkovito. Ustreznost in učinkovitost delovanja notranjih kontrol bo preverjena za posamezne notranje kontrole, glede na začetno oceno obvladovanja tveganj in mehanizmov za njihovo zaznavanje in za vse notranje kontrole v okviru celotnega procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja. Zaključno delo je napisano v slovenskem jeziku v skladu z Navodili za pisanje zaključne naloge o notranji reviziji, izdanimi s strani Slovenskega inštituta za revizijo.
Načini, metode in tehnike presojanja
Temelj zaključnega dela je poslovna raziskava, v okviru katere smo presojali ustreznost in zakonitost vzpostavljenih procesov preprečevanja pranja denarja in financiranja terorizma v banki. V nalogi je uporabljen deskriptivni pristop, s katerim je predstavljen postopek izvedbe notranje revizije in ugotovljeni zaključki v okviru revizijskih aktivnosti. Teoretični del naloge je rezultat proučevanj zakonodaje na obravnavanem področju ter literature tujih in domačih avtorjev. Tako smo predstavili teoretsko podlago za izvedbo presojanja notranje kontrolnega sistema s pomočjo metode kompilacije. Osnova za pripravo praktičnega dela naloge so bile informacije pridobljene na podlagi razgovorov z revidiranci in internega raziskovanja ter kontrole podatkov. Posluževali smo se preiskovanja in vrednotenja (poizvedovanje (intervjuji), opazovanja (spremljanje izvajanja procesov), preverjanja in preizkušanja ter analitičnih postopkov (primerjava in proučevanje). Ugotovitve preverjanj smo primerjali z zakonodajnimi določili in jih presojali iz vidika skladnosti in učinkovitosti. Pri obdelavi podatkov je uporabljena metoda komparacije. Izsledki revizijskih aktivnosti so podani opisno in tabelarično. Pri revidiranju bomo glede na izbrano metodologijo COSO preverjali ali v okviru sistema notranjih kontrol te delujejo skladno z zakonodajo in ali so ustrezne ter učinkovite (predvsem: kontrolno okolje, ocenjevanje tveganj, kontrolne aktivnosti, informiranje in komuniciranje ter nadziranje – in tudi prakso vzpostavljenih izobraževanj in poročanja). V nalogi smo uporabili tudi diagram procesa, ki nam je omogočal lažji pregled nad izbranim procesom in tako boljše razumevanje tega procesa. V revidiranem podjetju je organizirana neodvisna (štabna) Služba notranje revizije, ki kot taka daje neodvisna zagotovila za ustrezno in učinkovito delovanje sistema notranjih kontrol.
4
1 PREPREČEVANJE PRANJA DENARJA IN FINANCIRANJA TERORIZMA V BANKI
1.1 Predstavitev izbranega podjetja
Notranje-revizijske aktivnosti so bile opravljene na primeru poslovne banke. Gre za univerzalno banko, ki je organizirana kot delniška družba. Večinski lastnik banke je bančna skupina, ki uresničuje svojo vizijo in poslanstvo predvsem na trgih srednje in vzhodne Evrope. Revidirana poslovna banka opravlja zlasti naslednje storitve in dejavnosti (Letno poročilo 2011, 2012, str. 20.): • Storitve za prebivalstvo: kratkoročni in dolgoročni krediti, depoziti v lokalni in tuji valuti,
transakcijski računi, elektronsko bančništvo, hranilne in varčevalne knjižice, rentno varčevanje, debetne kartice Activa Maestro, Activa Mastercard, dolgoročni stanovanjski krediti, trženje skladov različnih družb za upravljanje. Ob tem banka ponuja še življenjska, naložbena in premoženjska zavarovanja ter zavarovanja preostanka dolga kredita.
• Storitve za gospodarske družbe: računi v domačih in tujih valutah, krediti (kratkoročni in
dolgoročni), domači in plačilni promet s tujino, poslovne kartice, garancije, dokumentarni posli, odkup terjatev, depoziti, varčevalni računi in upravljanje s sredstvi na poslovnih računih doma in v tujini.
• Storitve investicijskega bančništva: borzno posredovanje na domačih in tujih trgih,
gospodarjenje z vrednostnimi papirji, storitve skrbništva za vrednostne papirje, investicijsko svetovanje, svetovanje pri združitvah in prevzemih, trženje skladov različnih družb za upravljanje z različnimi strukturami portfelja ter trženje naložbenih certifikatov bančne skupine.
Poslovne banke na eni strani sprejemajo proste vloge prebivalstva in gospodarskih družb ter na drugi odobravajo posojila. Hkrati izdajajo tudi knjižni denar. Delovanje bank v Republiki Sloveniji je pod nadzorom regulatorja – Banka Slovenije, ki skrbi in izvaja nadzor nad delovanjem posamezne banke in bančnega sistema kot celote. Banka se v okviru svojega delovanja srečuje z vrsto tveganj1. Skladno z ZBan-1 je dolžna ta tveganja minimizirati in obvladovati. Tako je banka dolžna vzpostaviti takšno bančno organizacijsko strukturo in kontrolni sistem, ki zagotavlja, da je obvladovanje bančnih tveganj optimalno. Banka je dolžna zaradi tveganja preprečevanja pranja denarja in financiranja terorizma vzpostaviti takšen kontrolni sistem in s tem tudi organizacijsko strukturo, da omenjeno tveganje uspešno obvladuje. Pri PPDFT govorimo predvsem o operativnem tveganju, tveganju kriminala in tveganju dobrega imena. Več o tem bo predstavljeno v nadaljevanju naloge. V primeru revidirane poslovne banke je organizacijska struktura naslednja. Z rdečim okvirjem smo označili revidirana področja.
1 Kreditno tveganje, obrestno tveganje, tržno tveganje, likvidnostno tveganje, sistemsko tveganje in ostala tveganja (operativno tveganje, tveganje dobrega imena in tveganje nastanka prevar) (Spaulding, 2005).
5
Slika 1: Organizacijska struktura poslovne banke
Vir: Interno bančno gradivo
6
1.2 Predstavitev področja preprečevanja pranja denarja in financiranja terorizma
1.2.1 Pranje denarja
ZPPDFT (2. člen) pojasnjuje pranje denarja kot katerokoli ravnanje, s katerim se prikriva izvor denarja ali drugega premoženja, pridobljenega s kaznivim dejanjem, in vključuje:
• zamenjavo ali kakršen koli prenos denarja ali drugega premoženja, ki izvira iz kaznivega dejanja;
• skrivanje ali prikrivanje prave narave, izvora, nahajanja, gibanja, razpolaganja, lastništva ali pravic v zvezi z denarjem ali drugim premoženjem, ki izvira iz kaznivega dejanja.
Značilnosti pranja denarja so predvsem (Šeme Hočevar, 2007, str. 27):
• vključuje velike vsote denarja, • denar ali premoženje izvira iz kaznivega dejanja, • izvrši se preko legalnega plačilnega sistema, • pogosto ima mednarodni značaj, • izvrši se tako, da je denarju čim težje slediti, • deluje, kot da gre za legitimno pridobljen denar ali premoženje, • nelegalna sredstva so prenesena v gospodarstvo ali • nelegalna sredstva (sedaj kot legitimno pridobljena) so ponovno investirana v kriminalno
dejavnost. Primarni motiv pranja denarja je predvsem, da vir denarnih sredstev po pranju le-teh ostane skrit pred organi pregona in javnostjo. Tako se skozi preiskovalne postopke težko dokaže vpletenost v kazniva dejanja in ne nastane razlog za morebitne obsodbe (Režek, 2002, str. 150). Interes za pranje denarja imajo zraven imetnikov nezakonito prejetih denarnih sredstev tudi finančne institucije in drugi udeleženci v tem procesu. Razlog za takšen interes je predvsem v velikem dobičku, ki je prisoten zaradi velikega tveganja v tej dejavnosti (ibid.). Takšen organiziran kriminal je močno oslabil moč legitimnega finančnega sistema. Pranje denarja je pogosto povezano s korupcijo, zaradi katere upade poslovna morala. V kriminalne posle pranja denarja se lahko vključujejo tudi menedžerji in drugi zaposleni v finančnih institucijah. Nadalje so podkupljivi tudi politiki in javni uslužbenci, sodne oblasti pa zaradi neučinkovitosti izgubljajo ugled. Tako pravni red in moralne vrednote izgubljajo svoj pomen (ibid.). Pranje denarja je postalo eden izmed globalnih problemov, ki ogrožajo gospodarske sisteme. Tako se v poslovnem svetu pogosto pretakajo velike količine opranega denarja s pomočjo najrazličnejših tehnik.
1.2.2 Financiranje terorizma
Financiranje terorizma je v ZPPDFT (2. člen) opredeljeno kot zagotavljanje oziroma poskus zagotavljanja ali zbiranja denarja ali drugega premoženja zakonitega ali nezakonitega izvora, posredno ali neposredno, z namenom, da bo v celoti ali delno uporabljeno za izvedbo terorističnega dejanja, ali da ga bo uporabila teroristična organizacija. Za izvedbo terorističnih dejanj so potrebni visoki finančni vložki. Brez njih tovrstne aktivnosti ne bi bilo mogoče izvesti. Zato je zbiranje finančnih sredstev pogoj za terorizem in je s tovrstnim kaznivim dejanjem neločljivo povezano. Tudi financiranje terorizma je kaznivo dejanje (Peršolja Nikolavčič, 2011, str. 13).
7
Pri pranju denarja je predmet skrivanja ali prikrivanja vedno samo nezakonito pridobljeno premoženje, ki je bilo ustvarjeno s predhodno izvršitvijo določenega kaznivega dejanja, medtem ko so pri financiranju terorizma sredstva, namenjena za izvedbo terorističnega dejanja, lahko zakonitega ali nezakonitega izvora (ibid.).
1.3 Predpisi na področju preprečevanja pranja denarja in financiranja terorizma
Problematika finančnega kriminala v povezavi s PPDFT je v svetu zelo aktualna, hkrati pa tveganje v zadnjih letih še dodatno povečujejo različne oblike financiranja terorizma. Učinkovit spopad s to problematiko presega okvirje nacionalnega delovanja ter postaja vse bolj globalni izziv (Smernice za izvajanje ZPPDFT, 2010, str. 3). Za zagotavljanje učinkovitega sistema PPDFT je nujno, da država v svoj pravni red vpelje ustrezno zakonodajo in predpise ter vzpostavi sisteme, ki omogočajo učinkovit boj proti tovrstnemu kriminalu. Ker se procesi pranja denarja ne izvajajo samo v eni državi je mednarodna skupnost poenotila predpise med različnimi državami ter države spodbudila, da namenijo visoko pozornost pranju denarja (Šeme Hočevar, 2007, str. 14).
1.3.1 Mednarodni pravni akti
Države članice EU so se zavezale, da okrepijo aktivnosti na področju PPDFT. Tako sta bili sprejeti naslednji direktivi:
• Direktiva Evropskega parlamenta in Sveta 2005/60/ES, z dne 26.10.2005, o preprečevanju uporabe finančnega sistema za pranje denarja in financiranja terorizma;
• Direktiva Komisije 2006/70/ES, z dne 1.8.2006, o določitvi izvedbenih ukrepov za direktivo 2005/60ES Evropskega parlamenta in Sveta glede opredelitve »politično izpostavljene osebe« in tehničnih meril za postopke poenostavljene dolžnosti skrbnosti pri ugotavljanju identitete stranke ter izjeme na podlagi finančne dejavnosti, ki poteka zgolj občasno ali v omejenem obsegu.
Sprejeti direktivi upoštevata priporočila Projektne skupine za finančno ukrepanje FATF (Financial Action Task Force)2. Z upoštevanjem navedenih priporočil njihovo izvajanje ni več stvar večje ali manjše osveščenosti, ampak postaja predpisana obveznost.
1.3.2 Pravni akti v Republiki Sloveniji
Državni zbor RS je v skladu z evropsko zakonodajo leta 2007 sprejel prenovljen Zakon o preprečevanju pranja denarja in financiranja terorizma3 (v nadaljevanju: ZPPDFT). Omenjen zakon predstavlja temeljni predpis, ki v Republiki Sloveniji ureja področje preprečevanja in odkrivanja pranja denarja in financiranja terorizma. Z njim so bile zahteve iz zgoraj navedenih Evropskih direktiv prenesene v slovenski pravni red. 2 FATF – Financial Action Task Force – je projektna skupina za finančno ukrepanje, ki je bila oblikovana leta 1989 na srečanju sedmih najbolj razvitih držav. Njen cilj je razvijati in promovirati politike za preprečevanje pranja denarja in financiranja terorizma. Skupina je sprejela 40 priporočil za preprečevanje pranja denarja in 9 posebnih priporočil za preprečevanje financiranja terorizma. 3 Sistem za preprečevanje in odkrivanje pranja denarja je bil v Republiki Sloveniji vzpostavljen že v letu 1994. Takrat je bil sprejet prvi Zakon o preprečevanju pranja denarja (Ur. l. RS, št. 36/1994). Zakon je predstavljal temelj za preprečevanje in odkrivanje dejanj, s katerimi kriminalci ter kriminalne združbe zlorabljajo finančni sistem z namenom prikrivanja izvora denarja ali drugega premoženja, ki izvira iz kaznivih dejanj. v Začetku leta 2005 je v okviru Ministrstva za finance RS začel delovati tudi Urad RS za preprečevanje pranja denarja, ki opravlja naloge nanašajoče na preprečevanje in odkrivanje pranja denarja in financiranja terorizma.
8
Ministrstvo za finance je za potrebe izvajanja ZPPDFT izdalo naslednje podzakonske akte:
• Pravilnik o izvajanju notranje kontrole, pooblaščencu, hrambi in varstvu podatkov ter upravljanju evidenc pri organizacijah, odvetnikih in odvetniških družbah in notarjih,
• Pravilnik o načinu sporočanja podatkov Uradu RS za preprečevanje pranja denarja, • Pravilnik o načinu sporočanja podatkov odvetnika, odvetniške družbe ali notarja Uradu RS
za preprečevanje pranja denarja, • Pravilnik o določitvi pogojev, pod katerimi za nekatere stranke ni treba sporočiti podatkov
o gotovinskih transakcijah, • Pravilnik o določitvi pogojev, ki jih mora izpolnjevati oseba, da lahko nastopa v vlogi tretje
osebe, • Pravilnik o določitvi pogojev za ugotavljanje in preverjanje istovetnosti stranke z uporabo
kvalificiranega digitalnega potrdila stranke, • Pravilnik o določitvi seznama enakovrednih tretjih držav in • Pravilnik o določitvi pogojev za obravnavo osebe kot stranke z neznatnim tveganjem za
pranje denarja in financiranje terorizma. V slovenskem Kazenskem zakoniku sta opredeljena pranje denarja in financiranje terorizma kot kaznivi dejanji (252. in 388. a člen). Zakon o bančništvu določa pogoje za ustanovitev, poslovanje, nadzor in prenehanje kreditnih institucij. Nadalje določa, da mora vsaka banka pri svojem poslovanju zadostiti, da je njeno poslovanje skladno z zahtevami zakonodaje. Za slednje je odgovorna uprava banke. Tako je banka (124. in 174. člen) dolžna vzpostaviti učinkovito upravljanje s ključnimi tveganji in oblikovati ter uresničevati zanesljiv sistem upravljanja z jasnim organizacijskim ustrojem, učinkovitimi notranjimi postopki ugotavljanja, merjenja/ocenjevanja, obvladovanja in spremljanja tveganj. Hkrati pa mora vzpostaviti ustrezen sistem notranjih kontrol z ustreznimi administrativnimi in računovodskimi postopki. Hkrati ZBan-1 daje Banki Slovenije pravico in dolžnost opravljanja nadzora nad poslovanjem bank. V okviru tega nadzora Banka Slovenije redno pregleduje tudi vzpostavljene sisteme za PPDFT. Banka Slovenije je leta 2008 izdala Usmeritve pri izvajanju ukrepov na področju preprečevanja pranja denarja in financiranja terorizma za bančni sektor. Banka Slovenije aktivno sodeluje z Uradom za preprečevanje pranja denarja pri pripravi zakonodaje ter izmenjavi ugotovitev v opravljenih nadzornih pregledih. Nalogo regulatorja in nadzora sistema PPDFT v bankah v Republiki Sloveniji izvajata tako Banka Slovenije kot Urad za preprečevanje pranja denarja (v nadaljevanju: regulatorji). V Republiki Sloveniji se mednarodni omejevalni ukrepi4 izvajajo sistemsko na podlagi Zakona o omejevalnih ukrepih. Ta daje Vladi RS pooblastilo za uvajanje in izvajanje teh sankcij. Vlada sprejema uredbe, v katerih so opredeljena vsa določila za izvajanje sankcij. Vsi veljavni omejevalni ukrepi imajo podlago v pravni aktih OZN in EU. Vsebina predpisov o sankcijah se zaradi razlogov, s katerimi so bile sprejete, tesno navezuje na izvajanje ukrepov za preprečevanje in odkrivanje pranja denarja in predvsem financiranja terorizma, saj so seznami subjektov (t.i. 'črne liste'), ki so povezani s terorizmom in/ali
4 Omejevalni ukrepi ali sankcije so skladno z opredelitvijo Ministrstva za zunanje zadeve RS ukrepi do določenih držav ali posameznih subjektov, ki ogrožajo mednarodni mir in varnost, ki jih je sprejela mednarodna skupnost zato, da bi spremenila njihovo ravnanje in ne bi več predstavljali grožnje mednarodnemu miru in varnosti. OZN v skladu z Ustanovno listino sprejema z resolucijami ukrepe, ki so zavezujoči za vse države članice OZN.
9
financiranjem terorizma pomembni tudi z vidika uresničevanja določil ZPPDFT (Peršolja Nikolavčič, 2011, str. 25).
1.3.3 Pravila bančne skupine in poslovne banke
Bančna skupina, katera je večinski lastnik poslovne banke, kjer so bile opravljene notranje-revizijske aktivnosti, je na ravni skupine sprejela določena pravila in usmeritve s področja PPDFT. Te usmeritve predvsem povzemajo in natančneje določujejo določila iz direktiv Evropske Unije. Hkrati pa vzpostavljajo poročevalske kanale od poslovnih bank do matične banke za potrebe nadzora in spremljanja PPDFT. Poslovna banka je sprejela pravila in delovna navodila, ki na operativni ravni določajo postopke za izvajanje ukrepov za preprečevanje pranja denarja in financiranja terorizma. Poslovna banka je sprejela naslednje akte na področju PPDFT:
• Pravilnik o preprečevanju pranja denarja in financiranja terorizma; • Analiza tveganosti po Zakonu o preprečevanju pranja denarja in financiranju terorizma; • Delovna navodila za operativno izvedbo segmentacije novih strank in preverjanje PIO ter
FISE; • Navodilo za preverjanje oseb – FISA; • Navodilo in postopki za izvajanje preprečevanja pranja denarja in financiranja terorizma v
poslovalnicah; • Potrebna dokumentacija za odprtje posameznega posla glede na pravno obliko strank; • Delovno navodilo Oddelka centralno bančne operative v zvezi z izvajanjem Zakona o
preprečevanju pranja denarja in financiranju terorizma; in • Delovno navodilo in postopki za izvajanje postopkov preprečevanja pranja denarja in
financiranja terorizma na področju globalnih financ.
1.4 Tveganja v okviru preprečevanja pranja denarja in financiranja terorizma v banki
Banka je dolžna v skladu z zakonodajo ustrezno in učinkovito upravljati s ključnimi tveganji, ki se pojavljajo v okviru njenega poslovanja. Iz vidika pranja denarja in financiranja terorizma je banka izpostavljena tveganjem predstavljenim v nadaljevanju naloge. Banka mora vzpostaviti takšen notranje kontrolni sistem, da bodo ta tveganja zadovoljivo obvladovana (Peršolja Nikolavčič, 2011, str. 29). Za ustrezno in učinkovito upravljanje s tveganji na področju preprečevanja in odkrivanja pranja denarja in financiranja terorizma je pomembno, da banka vzpostavi celovit sistem za PPDFT, saj lahko le s celovitim pristopom in sistematično obravnavo te problematike zagotovi pravilno izvajanje aktivnosti in z zakonodajo skladno poslovanje. Pogoji za uspešno upravljanje s tveganji so (Banka Slovenije, 2008, str. 5–10):
• zavedanje in podpora vodstva banke, • usposobljenost in odgovornost zaposlenih, • razmejitev odgovornosti za izvajanje aktivnosti ter vzpostavljene linije poročanja v
hierarhiji, • definirana politika in interni postopki za izvajanje zahtev ter ustrezna in učinkovita
informacijska podpora, • redno izobraževanje in usposabljanje zaposlenih in
10
• vzpostavljen sistem notranjih kontrol, neodvisen nadzor in učinkovita odprava ugotovljenih pomanjkljivosti.
V nadaljevanju bomo na kratko prikazali ključna tveganja, ki izvirajo iz pranja denarja in financiranja terorizma. Tem tveganjem bo v okviru revizijskega postopka namenjena še posebna pozornost. Sicer bomo v okviru revizijskega postopka prepoznavali tveganja izhajajoča iz metodologije COSO.
1.4.1 Operativno tveganje
Operativno tveganje sodi med najpomembnejša bančna tveganja. Predstavlja tveganje izgube, ki je posledica neprimernega ali neuspešnega izvajanja notranjih procesov, ravnanj ljudi ali delovanja sistemov oziroma zaradi njihovih dejavnikov (Baselski komite za bančni nadzor, 2001). V okviru operativnega tveganja obravnavamo tudi pravno tveganje in tveganje skladnosti. Operativno tveganje vključuje tudi tveganje informacijske tehnologije, ki predstavlja tveganje izgube kot posledica neustrezne informacijske tehnologije in procesiranja (Peršolja Nikolavčič, 2011, str. 27; povz. po Banka Slovenije, 2007, str. 11). Banka je izpostavljena pravnemu tveganju zaradi nedoslednosti ali pomanjkljive doslednosti pri upoštevanju zakonov, podzakonskih aktov, navodil, priporočil, sklenjenih pogodb, dobre bančne prakse ali etičnih norm (ibid.). V primerih neizvajanja vseh predpisanih zahtev je banka lahko vključena v pravne tožbe. Omenjeno lahko povzroči denarne kazni ter druge sankcije s strani nadzornih organov in dragih sodnih postopkov. Hkrati pa nosi posledico javne izpostavljenosti v povezovanju z nelegalnimi aktivnostmi. Pravno tveganje se v veliki meri pokriva s tveganjem skladnosti poslovanja, ki zajema tveganje pravnih ali regulatornih ukrepov, finančne izgube ali izgube ugleda, ki nastanejo zaradi neusklajenosti z veljavno zakonodajo, podzakonskimi akti in standardi zdrave bančne prakse iz naslova namernega ali nenamernega neskladja z vsemi navedenimi veljavnimi pravili.
1.4.2 Tveganje izgube ugleda
Uspešno poslovanje banke je v veliki meri odvisno od zaupanja, ki ga uspe posamezna banka in bančni sistem kot celota vzpostaviti na posameznem trgu. V kolikor pride do upadanja tega zaupanja to vpliva na nastanek izgube v banki. Negativna podoba banke se odraža v očeh strank, poslovnih partnerjev, lastnikov, javnosti in nadzornikov (ibid.).
1.4.3 Tveganje koncentracije
O tveganju koncentracije govorimo, kadar je del bilance banke v veliki meri izpostavljen posamezni osebi ali povezanim osebam. Takšna izpostavljenost se lahko pojavi tako na aktivni kot na pasivni strani bančne bilance. Tveganost koncentracije je na aktivni strani visoko, kadar banka odobri povezani skupini oseb kreditne limite, ki predstavljajo pomemben del kreditnega portfelja. Na drugi strani (pasivna stran) govorimo o visokem tveganju koncentracije, kadar bi lahko nenadni oziroma predčasni dvig sredstev s strani večjih depozitarjev banke povzročilo negativne posledice na likvidnost bank. Temu tveganju so predvsem izpostavljene manjše banke in banke z manjšim tržnim deležem. Tako morajo banke zagotoviti stalno spremljavo in nadzor nad zbranimi sredstvi z dobrim poznavanjem svojih strank, njihovih poslovnih aktivnosti in možnosti usklajenega delovanja povezanih oseb (Peršolja Nikolavčič, 2011, str. 28).
11
1.5 Ključna področja preprečevanja pranja denarja in financiranja terorizma v bankah
Do sedaj smo v nalogi predstavili makro-okvir, ki določa pogoje, zahteve in usmeritve za vzpostavitev, delovanje in nadzor sistema PPDFT v banki. V tem poglavju pa je cilj predstaviti mikro-okvir za delovanje takšnega sistema v banki. Banka je v skladu z ZPPDFT dožna vzpostaviti ustrezen in učinkovit sistem za preprečevanje pranje denarja in financiranje terorizma. Zakon predvideva naslednje osnovne elemente (Banka Slovenije, 2008, str. 5 - 10):
1. organizacijsko kadrovski pogoji, 2. sistem notranjih kontrol, 3. usposabljanje in izobraževanje in 4. neodvisno preverjanje.
Slika 2: Sistem preprečevanja pranja denarja in financiranja terorizma v banki
Vir: Banka Slovenije. 2008. str. 5 Iz slike izhaja, da je ocenjevanje tveganosti dinamičen proces, ki se zaradi različnih vplivov (notranji, zunanji, spremembe zakonodaje) spreminja skozi čas. Tako se od banke pričakuje, da redno, vsaj enkrat letno, zagotovi posodabljanje Analize tveganosti5.
1.5.1 Organizacijsko-kadrovski pogoji
Ustreznost in činkovitost sistema preprečevanja pranja denarja in financiranja terorizma je v veliki meri odvisna od ustrezne organizacijske strukture na tem področju. Takšen sistem mora skladno z
5 V Analizi tveganosti banka z vidika možnih zlorab banke za pranje denarja ali financiranje terorizma določi:
• kriterije, na podlagi katerih je mogoče vsako posamezno stranko opredeliti kot bolj ali manj tvegano z vidika pranja denarja ali financiranja terorizma in jo razvrstiti v eno izmed kategorij tveganosti,
• način oziroma vrsto pregleda posamezne kategorije strank ter • pogostost spremljanja poslovnih aktivnosti, ki jih stranka izvaja pri banki.
12
zakonom vključevati: upravo, pooblaščenca in njegove namestnike ter koordinatorje za PPDFT po posameznih poslovnih področjih. Uprava banke nosi končno odgovornost za vzpostavitev sistema, ki zagotavlja ustrezno obvladovanje tveganj na področju preprečevanja pranja denarja in financiranja terorizma. V ta namen s svojo politiko delovanja daje usmeritve ter določa organizacijske, kadrovske in druge pogoje, ki zagotavljajo izvajanje zakonskih predpisov in standardov na tem področju. Za področje preprečevanja pranja denarja in financiranja terorizma imenuje Pooblaščenca in njegovega Namestnika (po potrebi tudi več namestnikov), ki opravljata delo v okviru samostojnega oddelka. Uprava pooblaščencu zagotavlja zakonsko predpisane pogoje za neodvisno delovanje ter nanj prenese pooblastila, ki omogočajo izvajanje nalog po zakonskih predpisih, ter razmeji naloge, pristojnosti in odgovornosti med delavci, ki neposredno ali posredno opravljajo naloge na področju preprečevanja pranja denarja in financiranja terorizma. Uprava banke nadzira izvajanje danih usmeritev preko poročil pooblaščenca in službe notranje revizije. Pooblaščenec je odgovoren za ustrezno in učinkovito upravljanje sistema PPDFT, v skladu s tem koordinira in spremlja izvajanje aktivnosti na tem področju. Za učinkovito izvajanje nalog pooblaščenca je izjemnega pomena poleg ustreznega statusa in umestitve v organizacijsko strukturo tudi vzpostavitev ustreznih poročevalskih tokov. V skladu s tem ima banka v okviru sistema za PPDFT vzpostavljene formalne linije poročanja med pooblaščencem in upravo, ki zagotavljajo:
1. redno poročanje pooblaščenca upravi o ustreznosti in učinkovitosti sistema za PPDFT, vključno s predlogi morebitnih izboljšav in
2. prenos zahtev od uprave do pooblaščenca v zvezi z izboljšanjem sistema za PPDFT. Namestnik pooblaščenca opravlja redne naloge v skladu z opisom del in nalog ter med odsotnostjo pooblaščenca le-tega nadomešča v celotnem obsegu njegovih nalog.
1.5.2 Sistem notranjih kontrol
Za vzpostavitev ustreznega in učinkovitega sistema notranjih kontrol na področju PPDFT je odgovorna uprava banke. Tako je dolžna ustvariti takšno organizacijsko kulturo, ki zagotavlja ustrezno zavezanost zaposlencev k doslednemu upoštevanju politik, procedur in opredeljenih postopkov. Le-te sprejme uprava z namenom delovanja, ki je v skladu z zakonskimi zahtevami na področju PPDFT in ciljem ustreznega in učinkovitega obvladovanja tveganj na predmetnem področju. Smernice Banke Slovenije (2008, str. 8) določajo naj bo večplastnost sistema notranjih kontrol skladna z velikostjo banke, obsegom in naravo njenega poslovanja. Tako se od velikih bank pričakuje, da bodo oblikovale specifične notranje kontrole na nivoju posameznih poslovnih področij. Te notranje kontrole pa morajo biti del celovitega sistema na področju preprečevanja pranja denarja in financiranja terorizma. Sistem notranjih kontrol PPDFT naj skladno s smernicami Banke Slovenije zagotavlja:
• skladnost sistema notranjih kontrol z opredeljenim profilom tveganosti banke na področju PPDFT,
13
• analizo novih in obstoječih strank z vidika njihove izpostavljenosti tveganju pranja denarja ali financiranja terorizma ter redno pregledovanje dodeljenega profila tveganosti strank,
• skladnost izvedenih aktivnosti z opredeljenim profilom tveganosti stranke, • redno seznanjanje Uprave in višjega vodstva o stanju na področju PPDFT banke z
zakonskimi zahtevami ter redno poročanje o morebitnih ugotovljenih pomanjkljivostih in sprejetih ukrepih za odpravo pomanjkljivosti,
• jasno opredelitev odgovornosti v okviru sistema za PPDFT, • kontinuiteto izvajanja sistema za PPDFT, ne glede na morebitne organizacijsko-kadrovske
spremembe, • doslednost pri upoštevanju vseh zakonsko predpisanih zahtev in ustrezno odzivnost banke
v primeru morebitnih zakonskih sprememb. Skladnost poslovanja in izvajanja notranjih kontrol, ki so predpisane z ZPPDFT in podzakonskimi akti ter drugimi internimi akti banke, preverja služba notranje revizije. Preverjanje se izvaja v okviru rednih in izrednih revizijskih aktivnosti, v skladu z letnim načrtom dela. O izvedenih notranjih pregledih se vodi pisna dokumentacija, o ugotovitvah pa se obvešča upravo banke in po potrebi zunanje nadzorne institucije (Slapnik in Dvoršek, 2011, str. 8).
1.5.3 Izobraževanje in usposabljanje
Cilj izobraževanja in usposabljanja na področju PPDFT je krepitev zavedanja vseh udeležencev pri delovanju celovitega in učinkovitega sistema za PPDFT ter zagotavljanje, da vsi zaposlenci razumejo in učinkovito opravljajo svoje naloge (Banka Slovenije, 2008, str. 9). V okviru izobraževanja se morajo zaposlenci seznaniti z zakonskimi in regulatornimi zahtevami ter internimi akti, ki jih je opredelila banka za uspešno obvladovanje tveganj na tem področju. V programe izobraževanja se morajo vključevati vsi zaposlenci, katerih delovni procesi se nanašajo na izvajanje ukrepov proti pranju denarja in financiranju terorizma. V izobraževanje se morajo vključiti tudi novi zaposlenci po pričetku dela na delovnem mestu, katerega aktivnosti so povezane s PPDFT. Zelo pomembno je tudi, da banka zagotovi možnost in obligatornost izobraževanja pooblaščenca in njegovih namestnikov, da le-ti osvojijo novosti zakonodaje in pravil regulatorjev ter nove trende in tehnike na področju pranja denarja in financiranja terorizma ter njihovega preprečevanja. V banki mora biti vzpostavljena ustrezna evidenca izvedenih izobraževanj s seznami zaposlencev, ki so na teh izobraževanjih sodelovali (evidentiranje datuma izobraževanja, udeležencev in dostopnost izobraževalnega gradiva).
1.5.4 Neodvisno preverjanje skladnosti in učinkovitosti sistema PPDFT
Služba notranje revizije v sklopu neodvisnega preverjanja oceni ustreznost upravljanja s tveganji na področju PPDFT. Revizijske aktivnosti se izvedejo na podlagi revizijskega programa, na katerega vplivajo predvsem različni dejavniki kot so velikost banke, obseg in kompleksnost njenega poslovanja, kvaliteta internih kontrol in uporaba različne tehnologije. Pri načrtovanju revizijskih aktivnosti se upošteva Analiza tveganja, na osnovi katere se določi obseg aktivnosti in najbolj kritična področja. Na koncu revizijskih aktivnosti Služba notranje revizije zagotovi ustrezne evidence o obsegu opravljenih aktivnosti in sprejetih ukrepih. Ugotovljene pomanjkljivosti in kršitve morajo biti
14
evidentirane in sporočene upravi. Služba notranje revizije in uprava morata zagotoviti sledljivost izvajanja ukrepov v zvezi z odpravo ugotovljenih pomanjkljivosti. Cilj neodvisnega preverjanja sistema za PPDFT je identifikacija morebitnih nepravilnosti in pomanjkljivosti ter vzpostavitev oziroma okrepitev ustreznih notranjih kontrol. V nadaljevanju zaključne naloge bo prikazan celoten sklop revizijskih aktivnosti v okviru notranjega revizijskega postopka preprečevanja pranja denarja in financiranja terorizma v banki.
15
2 NOTRANJE REVIDIRANJE PPDFT Banka je v skladu z Zakonom o bančništvu (197. člen) dolžna organizirat Službo notranje revizije (SNR) kot samostojni organizacijski del, ki je neposredno podrejen upravi banke ter funkcionalno in organizacijsko ločen od drugih organizacijskih delov banke. Namen SNR je povečevanje koristi in izboljševanje delovanja banke. Cilj notranjega revidiranja je s spodbujanjem premišljenega in urejenega načina vrednotenja ter izboljševanja uspešnosti ravnanja s tveganjem in njegovega obvladovanja pomagati organizaciji pri uresničevanju njenih ciljev. V skladu z zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma je banka vzpostavila delovne postopke z namenom zmanjšanja tveganj iz naslova pranja denarja in financiranja terorizma. Naloga SNR je, da v določenih časovnih obdobjih izvede neodvisno preverjanje izvajanja sistema PPDFT in nato na podlagi tega preverjanja poda svoje mnenje o ustreznosti upravljanja s tveganji na predmetnem področju. Banka ima vzpostavljeno Revizijsko komisijo, ki jo je imenoval Nadzorni svet banke, skladno s 75. členom Zakona o bančništvu, ki opravlja nadzor nad delom SNR in opravlja druge zakonsko določene naloge.
2.1 Podlage za izvajanje notranjega revidiranja
Osnova za delovanje SNR v banki je Ustanovitvena listina Službe notranje revizije, ki je bila odobrena s strani uprave banke v letu 20086. Listina daje skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 1000 SNR podlago za neodvisno opravljanje svoje dejavnosti. Listina določa, da je SNR dolžna ugotavljati, ali je sklop prizadevanj banke za postopke obvladovanja tveganj, nadzora in upravljanja, kot ga je banka zasnovala, ustrezen in deluje tako, da zagotavlja:
• da so tveganja ugotovljena in obvladovana; • da različne skupine vodenja in upravljanja med seboj delujejo povezano in usklajeno; • da so pomembne finančne, poslovodne in poslovne informacije točne, zanesljive in
pravočasne; • da so dejanja zaposlenih skladna z usmeritvami, standardi, postopki in veljavnimi zakoni
ter predpisi; • da so viri gospodarno pridobljeni, učinkovito uporabljeni in ustrezno zavarovani; • da se programi, načrti in naloge uresničujejo; • da se pospešuje kakovost in se nenehno izboljšujejo postopki banke za nadzor; • da so prepoznane zakonodajne in upravne zadeve, ki vplivajo na banko, in da je odzivanje
nanje ustrezno. Skladno z navedenim zgoraj so naloge SNR so naslednje:
• spremljanje in vrednotenje učinkovitosti sistemov upravljanja s tveganji ter pomoč pri upravljanju s tveganji;
6 Služba notranje revizije je v banki delovala že prej na podlagi Pravilnika o notranjem revidiranju.
16
• pregled, vrednotenje in preizkušanje učinkovitosti sistemov notranjih kontrol, presojo procesa ocenjevanja potrebnega notranjega kapitala glede na lastno oceno tveganj banke;
• presoja zanesljivosti informacijskega sistema, vključno z elektronskim informacijskim sistemom in elektronskimi bančnimi storitvami;
• presoja zanesljivosti in verodostojnosti računovodskih evidenc in finančnih poročil; • preverjanje popolnosti, zanesljivosti in pravočasnosti poročanja v skladu s predpisi; • preverjanje skladnosti ravnanja banke s predpisi, internimi akti in ukrepi, sprejetimi na
njihovi podlagi; • izvajanje posebnih preiskav.
SNR banke je glede na določila ustanovitvene listine dolžna svoje naloge opravljati v skladu z Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju, Kodeksom poklicne etike notranjih revizorjev, Notranjimi kontrolami COSO odbora in Podjetniškim upravljanjem s tveganji. Ustanovna listina določa neodvisnost SNR pri svojem delovanju, skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 1100. Hkrati določa, da morajo biti revizorji pri svojem delovanju nepristranski in strokovni ter so dolžni delovati s potrebno vestnostjo . Podlaga za izvedbo revizijskega nadzora preprečevanja pranja denarja in financiranja terorizma izhaja iz Zakona o bančništvu in iz Zakona o preprečevanju pranja denarja in financiranja terorizma, ki določata, da je banka dolžna na podlagi revizijskega programa, na katerega vplivajo predvsem različni dejavniki, kot so začetna ocena tveganj, velikost banke, obseg in kompleksnost njenega poslovanja, kvaliteta internih kontrol, uporaba različne tehnologije izvajati redne revizijske aktivnosti.
2.2 Notranje kontrole v procesih PPDFT
Med notranje kontrolne aktivnosti štejemo vse tiste postopke ter interna pravila in navodila, ki jih sprejme poslovodstvo, z namenom, da bi zagotovilo pravilno in pravočasno izvajanje poslovnih procesov v skladu z zakonodajo, poslovnimi cilji, varnostjo poslovanja in sprejeto ravnjo tveganja. Navodila in kontrolni postopki se nanašajo predvsem na odobravanje poslov, preverbe, usklajevanja, razmejitev odgovornosti, varovanje premoženja in informacij (Chambers, 2005, str. 353). Notranja kontrola izvajanja nalog je sestavni del kontrole poslovanja in je namenjena preprečevanju, zaznavanju in odpravljanju napak ter izboljšanju delovanja notranjega sistema odkrivanja transakcij in strank, pri katerih obstajajo razlogi za sum pranja denarja in financiranja terorizma. Notranjo kontrolo na področju PPDFT izvajajo:
1. organizacijske enote, kjer se izvajajo bančni posli za stranke, 2. organizacijske enote zalednih služb, 3. pooblaščenec in njegov namestnik.
Notranja kontrola v organizacijskih enotah se izvaja v okviru rednega dnevnega preverjanja podatkov in dokumentacije, pri čemer se upošteva pravilo »štirih oči«, in v sklopu vodstvenega nadzora. Pooblaščenec oziroma njegovi namestniki izvajajo vsebinsko kontrolo podatkov in dokumentacije, ki se posredujejo Uradu za preprečevanje pranja denarja. Hkrati opravljajo občasne preglede izvajanja predpisanih nalog neposredno v organizacijskih enotah.
17
Služba notranje revizije pri rednih in izrednih revizijskih pregledih, v skladu z letnim načrtom, preverja skladnost poslovanja in učinkovitost izvajanja notranjih kontrol, ki so predpisane z ZPPDFT in podzakonskimi akti ter drugimi internimi akti banke. O izvedenih notranjih revizijskih aktivnostih se vodi pisna dokumentacija, o ugotovitvah pa se obvešča upravo banke in po potrebi zunanje nadzorne institucije.
2.3 Metodika in pomen notranjega revidiranja procesov PPDFT
V okviru revizijskih aktivnosti lahko glede na zastavljene cilje uporabljamo različne pristope oziroma metode za presojanje delovanja notranjih kontrolnih sistemov. Koletnik (2007, str. 168-170) kot zelo uporabne, splošno sprejete rešitve navaja naslednje kontrolne modele, ki se med seboj razlikujejo po definiciji notranjih kontrol in po sestavinah notranjega kontrolnega sistema:
• COSO, • CoCo, • Cobit, • Cadbury, • Turnbull in druge.
Za presojanje delovanja notranjih kontrol v okviru notranjega kontrolnega sistema za PPDFT v banki bomo uporabili COSO (»The Committee of Sponsoring Organizations of the Treadway Commission«) metodo. Začetki tega ogrodja segajo v leto 1985, ko je bila pod pokroviteljstvom petih ameriških organizacij ustanovljena organizacija COSO 7 . COSO predstavlja enoten delovni okvir za opredeljevanje in presojanje notranjega kontroliranja. Metoda COSO temelji na zagotavljanju doseganja ciljev organizacije, in sicer ločeno za cilje delovanja, cilje poročanja in cilje usklajenosti delovanja s predpisi in zakonodajo. Vrednotenje in preizkušanje notranjih kontrol je potrebno izpeljati za vse navedene cilje in za vsako področje oziroma transakcijo na temelju proučitve vseh štirih sestavin COSO metode. Meritve tveganj in kontrol izvajamo na temelju matrike tveganj in kontrol. Matrika sistematično obdeluje posamezne procese organizacije s stališča ciljev, tveganj in kontrol (Jagrič, 2001). Vsaka prvina se nanaša na vsako od štirih vrst ciljev banke in obratno. Ravnanje s tveganji, na podlagi kontrolnih dejavnikov8 je pomembno za banko kot celoto, kakor tudi za njene posamezne poslovne enote. Ta povezava je na sliki ponazorjena s trirazsežnostjo kocke. Vsi procesi imajo svoj cilj delovanja, vsako tveganje, ki je povezano s temi procesi, pa mora imeti svoj kontrolni cilj, na temelju katerega izvedemo ocenjevanje delovanja kontrol. Kontrolni cilj na ta način opredeljuje kriterij, ki ga potrebujemo v okviru oblikovanja revizijske ugotovitve. Meritve tveganj in kontrol se izvedejo le za tiste procese, ki smo jih opredelili kot ključne in so kritični za doseganje pomembnih poslovnih ciljev, ki so bistveni za oblikovanje revizorjevega mnenja (Jagrič, 2001).
7 Financial Executives International (FEI), American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA), Institute of Internal Auditors (IIA) in Institute of management Accountants (IMA). 8 Kontrolni dejavniki so: (1) Kontrolno okolje, (2) postavljanje poslovnih ciljev, skladno s strategijo in sprejetim tveganjem, (3) prepoznavanje dogodkov, (4) ocenjevanje tveganj pri delovanju, ki ogrožajo uresničevanje ciljev organizacije, (5) odzivanje na tveganje, (6) kontrolne usmeritve in postopki, (7) informiranje in komuniciranje (vpliv informacijskih tokov na delovanje notranjega kontrolnega sistema) in (8) nadziranje vzpostavljenih mehanizmov notranjega kontroliranja.
18
Slika 3: Ravni, prvine in cilji COSO
Vir: COSO, 2004, str. 23. Aktivnosti na področju PPDFT so vključene v številne procese, ki jih opravlja banka z namenom zmanjšanja tveganj iz naslova pranja denarja in financiranja terorizma. Zato je ustrezno in učinkovito obvladovanje tveganj v okviru aktivnosti PPDFT zelo pomembno za ugled in dolgoročni obstoj banke. Aktivnosti PPDFT morajo biti vključene v vse ravni in prvine v okviru delovanja banke, z namenom doseganja zastavljenih dolgoročnih ciljev banke. Glede na zastavljen notranje-revizijski cilj bomo v okviru revizijskih aktivnosti na področju PPDFT uporabili naslednje tehnike9:
• raziskovanje dokazov, • ponovno opravljanje kontrolnih postopkov, • opazovanje, • vzorčenje in • drugo.
Pomen revidiranja notranjega kontrolnega sistema PPDFT, ki je bil vzpostavljen z namenom obvladovanja tveganj, se potrjuje predvsem skozi prepoznavanje in ovrednotenje pomembnih mest izpostavljenosti tveganjem in potrebnemu nenehnemu izboljševanju obvladovanja teh tveganj in notranjih kontrol. Hkrati je nadzor in vrednotenje sistema obvladovanja tveganj v procesih PPDFT nujen zaradi zakonodajnih zahtev, medtem ko si banka sama želi tveganja v svojih procesih znižati na sprejemljivo raven. Tako se skozi aktivnosti notranjega revidiranja poslovodstvu banke zagotovijo nepristranske informacije v zvezi z prepoznavanjem in obvladovanjem tveganj na področju preprečevanja pranja denarja in financiranja terorizma.
9 Skladno s Koletnik, 2007, str. 183.
19
3 IZVEDBA NOTRANJEGA REVIDIRANJA PREPREČEVANJA PRANJA DENARJA IN FINACIRANJA TERORIZMA V BANKI
Sistem preprečevanja pranja denarja in financiranja terorizma je vzpostavljen z namenom zmanjševanja tveganj, ki izhajajo pranja denarja in financiranja terorizma. Banka je dolžna, v skladu z določili zakona, organizirati neodvisno preverjanje sistema PPDFT. Zakonodaja sicer ne predpisuje pogostosti izvajanja revizijskih aktivnosti na predmetnem področju, vendar naj bi se le-te, v skladu s Smernicami Banke Slovenije in dobro bančno prakso, izvajale v obdobju 12 do 18 mesecev. V sklopu neodvisnih aktivnosti je Služba notranje revizije dolžna oceniti ustreznost prepoznavanja in upravljanja tveganj na področju pranja denarja in financiranja terorizma. Na oblikovanje revizijskega programa vplivajo različni dejavniki, kot so začetna ocena tveganj, velikost banke, obseg in kompleksnost poslovanja, kvaliteta internih kontrol ter uporaba informacijske tehnologije. Izvedba notranje-revizijskih aktivnosti je potekala v naslednjih korakih:
1. načrtovanje notranjega revidiranja, 2. izvedba revizijskega posla, 3. sporočanje ugotovitev, 4. spremljanje odzivov na ugotovitve in priporočila in 5. sprejem tveganja pri poslovodstvu.
V nadaljevanju bo prikazana izvedba revizijskih aktivnosti na področju preprečevanja pranja denarja in financiranja terorizma. Predstavili bomo korake revizijskega postopka in dokumentacijo, ki smo jo pridobili ali je nastala tekom izvajanja revizijskega postopka. Notranja revizija PPDFT je bila načrtovana z letnim planom dela SNR za leto 2012. V skladu z letnim planom je bil določen cilj revizijskih aktivnosti, časovni okvir in razpoložljivi viri za izvedbo revizijskih postopkov.
3.1 Letni načrt dela službe notranje revizije
Banka ima vzpostavljeno letno načrtovanje dela SNR, v skladu s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2010. V okviru letnega načrtovanja se pripravi plan delovanja, v katerem se opredeli katera področja delovanja banke bodo predmet neodvisnih presojanj, v okviru notranje-revizijskih aktivnosti v prihajajočem letu. Podlaga za izdelavo plana so rezultati analize tveganj. Analiza tveganj se izvede letno, na podlagi v naprej določenih kriterijev ocenjevanja tveganj za vsa področja delovanje banke, ki so združena v posamezne skupine. Postopki izvedeni tekom priprave letnega plana dela SNR in ocenjevanja tveganj za posamezna področja delovanja banke so dokumentirani v okviru rednika SNR – Planiranje dela SNR. Na podlagi pripravljenega plana dela, SNR izvaja redne revizijske postopke10. Pri pripravi letnega plana delovanja Vodja SNR vključuje dva tipa revizijskih področij:
1. revizijska področja, ki jih je SNR dolžna redno revidirati, skladno z določili zakona in 2. revizijska področja, ki so predmet revizijskih aktivnosti na podlagi analize tveganj.
10 Notranja revizija se lahko izvede tudi kot izredni revizijski postopek, na podlagi napotila vodstva ali lastne presoje Službe za notranjo revizijo.
20
Vodja SNR (v vlogi notranje-revizijskega predstojnika) pri pripravi letnega plana vključuje oba tipa revizijskih področij ob upoštevanju napotil Uprave, Revizijske komisije in Nadzornega sveta banke ter drugih nosilcev interesov o notranje revizijskih aktivnostih. Število in obseg revizijskih aktivnosti se določi glede na razpoložljive vire SNR in glede na dolgoročni plan delovanja službe. V okviru analize tveganja se opravi pregled tveganosti po posameznih področjih/funkcijah v banki11. Oblikuje se seznam omenjenih področij iz katerega izhaja stopnja ugotovljenega tveganja za posamezno področje. Na podlagi tega seznama se oblikuje letni načrt dela SNR. Pripravljen plan delovanja SNR potrdi Uprava banke, Revizijska komisija in Nadzorni svet banke. Omenjenim organom banke SNR polletno poroča o izvajanju sprejetega načrta delovanja in o ugotovljenih pomembnejših tveganjih ter posameznih bistvenih ugotovitvah, ki so bile spoznane tekom izvajanja revizijskih aktivnostih. Banka opravlja revizijske aktivnosti na področju PPDFT v 18-mesečnih časovnih intervalih, skladno z zahtevo regulatorja. SNR je vzpostavila sistem izmenjujočega pregledovanja pod-področij v okviru revizijskega področja PPDFT. V zaključni nalogi bodo prikazane revizijske aktivnosti na vseh področjih PPDFT. V Letnem planu dela SNR za leto 2012 je bila načrtovana notranja revizija skladnosti postopkov preprečevanja pranja denarja in financiranja terorizma z zakonodajnimi zahtevami. Tako bodo revizijske aktivnosti izvedene v okviru rednega revizijskega preverjanja.
3.2 Načrtovanje notranje revizije
Kvaliteta izvedbe revizijskega posla je v veliki meri odvisna od kvalitete izvedenega načrtovanja le-tega. Revizor v fazi načrtovanja spozna področje revidiranja, vzpostavljene procese, cilje delovanja, izvajalce in njihova pooblastila. Nadalje prepoznava tveganja in obstoj ter delovanje notranjega kontrolnega sistema. Faza načrtovanja temelji na analizi obvladovanja tveganj in mehanizmov za njihovo zaznavanje in preprečevanje. Kot rezultat faze načrtovanja pripravimo na tveganjih temelječ revizijski program, ki ga potrdi Vodja SNR. V skladu s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2201 smo tekom načrtovanja revizijskega posla upoštevali:
• cilj delovanja, ki ga je potrebno pregledati in sredstva, s katerimi se obvladuje izvedba, • pomembna tveganja pri delovanju ter sredstva za njihovo zaznavanje in preprečevanje
oziroma ohranjanje na sprejemljivi ravni, • uspešnost vzpostavljenih postopkov ravnanja s tveganji v primerjavi z ustreznim okvirom
obvladovanja in • priložnosti za pomembnejše izboljšave pri postopkih ravnanja s tveganji.
Upoštevajoč navedeno zgoraj so bile aktivnosti v fazi načrtovanja revizijskega posla usmerjene v:
• ugotovitev cilja delovanja ter potrebnih sredstev za izvajanje in obvladovanje tega cilja, • predhodno raziskavo, v okviru katere smo izvedli začetno analizo kontrolnega okolja banke
kot celote, • seznanitev z aktivnostmi in izvajalci na področju PPDFT,
11 Koletnik (2007, str. 137) predstavi, da SNR izbira med (1) organizacijskim, (2) funkcijskim in (3) kombiniranim načinom revizijskih aktivnosti. Pri funkcijskem načinu, ki je prevladujoč se notranji revizor loteva nalog po posameznih področjih oziroma funkcijah. Takšne revizije so pogosto učinkovitejše in krajše iz časovnega vidika. Pri organizacijskem načinu notranji revizor izbere celotno organizacijsko enoto, z vsemi pripadajočimi dejavnostmi.
21
• opredelitev posameznih procesov ter razumevanje le-teh, s prepoznavanjem ključnih tveganj in notranjih kontrol v okviru procesov,
• prepoznavanje in ocenjevanje tveganj, ki vključuje obstoječa in možna tveganja, vključno s prepoznavanjem sprejemljivega tveganja za vodstvo banke, z ocenitvijo uspešnosti obvladovanja tveganj in sredstev za njihovo zaznavanje in preprečevanje oziroma ohranjanje na sprejemljivi ravni,
• preučevanje možnosti nastanka prevar in • pripravo revizijskega programa v katerem smo opredelili tveganja in kontrole, ki bodo
predmet preizkušanj, opredelili smo tudi pristop preizkušanj.
3.2.1 Cilj in obseg revizijskih aktivnosti ter razporeditev dejavnikov
Služba notranje revizije je dolžna zagotavljati neodvisno preverjanje sistema za PPDFT glede na določila zakonodaje in Usmeritve pri izvajanju ukrepov na področju PPDFT za bančni sektor, ki jih je izdala Banka Slovenije. Zakonodaja in usmeritve določajo, da je SNR dolžna v okviru neodvisnega preverjanja oceniti ustreznost in skladnost upravljanja tveganj na področju PPDFT z zakonodajnimi določili. Na oblikovanje revizijskega programa vplivajo različni dejavniki kot so velikost banke, obseg in kompleksnost njenega poslovanja, kvaliteta internih kontrol ter uporaba različne tehnologije. Neodvisno preverjanje sistema za PPDFT mora skladno s Smernicami Banke Slovenije vključevati:
• oceno, ali sistem za PPDFT zagotavlja izpolnjevanje zakonsko predpisanih zahtev, • oceno ustreznosti in učinkovitosti vzpostavljenega sistema notranjih kontrol, • oceno ustreznosti analize tveganosti na področju PPDFT z vidika presojanja, ali so
vključena in na primeren način obvladovana vsa področja poslovanja, • oceno ustreznosti in učinkovitosti poročevalskih tokov v okviru sistema za PPDFT, • oceno, ali je program izobraževanja na področju PPDFT primeren in celovit ter zagotavlja
ustrezno usposobljenost zaposlenih za operativno izvajanje nalog na tem področju in • pregled ukrepov, ki se nanašajo na realizacijo priporočil za odpravo pomanjkljivosti, ki so
bile odkrite tekom predhodnih revizijskih aktivnosti. Glede na zahteve zakonodaje, usmeritve Banke Slovenije in Letni plan dela SNR ter skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2210 je SNR opredelila kot cilj revizijskega postopka – preveriti ali je sistem za PPDFT skladen z zakonodajnimi zahtevami. Notranje-revizijski postopki bodo izvedeni z namenom podaje mnenja:
1. ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in predpisi, prepoznana;
2. ali je postavljena sprejemljiva raven prepoznanih tveganj; 3. ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in 4. ali je delovanje notranjih kontrol uspešno in učinkovito.
Na podlagi izvedenih revizijskih postopkov bomo podali mnenje, ki bo zajemalo stanje, sodilo, razlog in posledice tveganja neusklajenosti. Prav tako bomo podali priporočila za izboljšave ugotovljenih nepravilnosti in pomanjkljivosti. Zastavljen cilj revizijskih aktivnosti predstavlja podlago za določitev obsega posla. Standard strokovnega ravnanja pri notranjem revidiranju št. 2220 določa, da mora biti obseg revizijskega posla vzpostavljen tako, da zadošča za uresničitev zastavljenega cilja.
22
V okviru določanja obsega notranje revizije smo zapisali, da bodo revizijske aktivnosti ugotavljanja skladnosti, v banki vzpostavljenega sistema za PPDFT z zakonodajo, potekale na naslednjih področjih:
• Analiza tveganosti po ZPPDFT, • segmentiranje strank - Izvajanje pregleda stranke (običajni, poglobljeni in poenostavljen
pregled), • izvajanje pregledov strank preko tretjih oseb, • spremljanje poslovnih aktivnosti strank, • kontokorentni in korespondenčni odnosi banke, • sporočanje gotovinskih in sumljivih transakcij Uradu za preprečevanje pranja denarja, • varstvo in hramba podatkov ter upravljanja evidenc in • priprava in izvajanje izobraževanj ter usposabljanj.
Ustreznost in učinkovitost delovanja notranjih kontrol bo izmerjena za:
• posamezne notranje kontrole, glede na začetno oceno obvladovanja tveganj in mehanizmov za njihovo zaznavanje in
• notranje kontrole v okviru celotnega procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja.
Glede na zastavljen cilj in obseg revizijskih aktivnosti smo določili potrebna sredstva za celovito izvedbo revizijskih aktivnosti. V okviru potrebnih sredstev smo določili kraj, kjer bodo izvedene revizijske aktivnosti, število revizorjev in potreben čas. Število revizorjev in potreben čas za izvedbo revizijskih aktivnosti smo načrtovali na podlagi izvedbenega načrta notranjega revidiranja sistema za PPDFT, ki smo ga v okviru razvidovanja revizijske dokumentacije označili z oznako A112.
12 Razvidovanje revizijske dokumentacije je opravljeno skladno z Pravilnikom o dokumentiranju revizijskih poslov SNR. Več o razvidovanju glej poglavje 4.4 Razvidovanje in arhiviranje.
23
Slika 4: Izvedbeni načrt notranje revizije PPDFT
SNR, Poslovne banke Oznaka: A1 Izvedbeni načrt notranje revizije PPDFT Revidirano področje: PPDFT Pripravil: Odobril: Datum odobritve: Zap. Št. Vsebina revizijske aktivnosti Izvajalec Predviden čas
1. Posredovanje Najave revizijskega postopka odgovornim osebam v OE, kjer bodo potekale revizijske aktivnosti
Ime, priimek 1 ura
Pripravljalne aktivnosti
2. Opredelitev ciljev, obsega ter potrebnega časa Ime, priimek 4 ure
3. Preveritev stalne datoteke za revidirano področje Ime, priimek 2 uri
4. Predhodna raziskava v okviru revizijskega postopka Ime, priimek 25 ur
5. Priprava Memoranduma o načrtovanju revizijskih aktivnosti Ime, priimek 2 uri
6. Procesni pregled in ustroj notranjih kontrol Ime, priimek 16 ur
7. Sprehajalni preizkus Ime, priimek 8 ur
8. Začetna ocena obvladovanja tveganj v procesih Ime, priimek 32 ur
9. Priprava revizijskega programa Ime, priimek 12 ur
10. Uvodni razgovor Ime, priimek 2 uri
Izvedbene aktivnosti
11.
Izvedba preizkušanj in ocenjevanj notranjih kontrol ter pridobivanje dokazil (skladno z revizijskim programom); Kontrolno okolje, ocenjevanje tveganj, kontrolne aktivnosti (preizkušanje in ocenjevanje notranjih kontrol); Informiranje in komuniciranje; Sprotno razvidovanje revizijskega posla.
Ime, priimek 90 ur
12. Ugotovitve, mnenja in priporočila ter razgovor z izvajalci del Ime, priimek 8 ur
Aktivnosti poročanja
13. Priprava osnutka notranje-revizijskega poročila Ime, priimek 20 ur
14. Uskladitev revizijskega poročila Ime, priimek 4 ure
15. Priprava in posredovanje končnega revizijskega poročila Ime, priimek 4ure
Aktivnosti dokumentiranja revizijskega posla
16. Ureditev in shranjevanje delovnega gradiva in zapisov notranjega revizorja
Ime, priimek 6 ur
17. Pregled, analiza in potrditev opravljenih notranje revizijskih aktivnosti s strani Vodje SNR
Ime, priimek 4 ure
Skupaj ur: 240 ur
18. Spremljanje uresničevanja priporočil SNR ter sprejem tveganja pri poslovodstvu
Ime, priimek 20 ur
Ime in priimek Ime in priimek Vodja revizijske skupine Vodja Službe za notranjo revizijo Stran: 1/1 Po primerjavi razpoložljivega in potrebnega časa za celovito izvedbo revizijskih aktivnosti smo določili, da bosta v okviru revizijskega posla sodelovala dva notranja revizorja, pri čemer bo eden vodja revizijske skupine. Revizijski postopek se prične z izdajo Naloga za pričetek revizije s strani predstojnika notranje revizije, v našem primeru Vodje SNR. Nalog je dokumentiran na delovnem papirju z oznako B1.
24
V Nalogu za pričetek revizije Vodja SNR predstavi osnovo za izvedbo revizijskih aktivnosti, oznako postopka, določi vsebino, cilj in obseg revizijskih aktivnosti, predviden čas revizije (predviden začetek in zaključek revizijskih aktivnosti) in navede kdo bo revizijo izvajal. Slika 5: Nalog za pričetek revizije
SNR, Poslovne banke Oznaka: B1 Predmet: Nalog za pričetek revizije Naziv revizijskega postopka: Notranja revizija skladnosti sistema za preprečevanja pranja denarja in financiranja
terorizma z zakonodajo Številka revizijskega postopka: RP 7/2012
Osnova za pričetek postopka: Letni plan dela SNR za leto 2012 Vsebina, cilj in obseg revizijskih aktivnosti: Odrejam notranje-revizijski postopek na področju preprečevanja pranja denarja in financiranja terorizma (PPDFT). Revizijske aktivnosti bodo usmerjenje v proučitev skladnosti sistema za PPDFT. Tako bodo revizijske aktivnosti usmerjene v ugotavljanje skladnosti z zakonodajo in proučitev ter testiranje vgrajenih notranjih kontrol, ki zagotavljajo skladnost procesov z notranjimi predpisi in zakonodajo. Cilj revizijskih aktivnosti je ugotoviti ali je sistem za PPDFT skladen z zakonodajnimi zahtevami. Notranje-revizijski postopki bodo izvedeni z namenom podaje mnenja:
1. ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in predpisi, prepoznana;
2. ali je postavljena sprejemljiva raven prepoznanih tveganj; 3. ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in 4. ali je delovanje notranjih kontrol uspešno in učinkovito.
Na podlagi izvedenih revizijskih postopkov bomo podali mnenje, ki bo zajemalo stanje, sodilo, razlog in posledice tveganja neusklajenosti. Prav tako bomo podali priporočila za izboljšave ugotovljenih nepravilnosti in pomanjkljivosti. Obseg revizijskih aktivnosti – revizijske aktivnosti bodo potekale v na naslednjih področjih:
• Analize tveganosti po ZPPDFT, • segmentiranje strank - Izvajanje pregleda stranke (običajni, poglobljeni in poenostavljen pregled), • pregledi strank preko tretjih oseb, • spremljanje poslovnih aktivnosti strank, • kontokorentni in korespondenčni odnosi banke, • sporočanje gotovinskih in sumljivih transakcij Uradu za preprečevanje pranja denarja, • varstvo in hramba podatkov ter upravljanja evidenc in • priprava in izvajanje izobraževanj ter usposabljanj.
Ustreznost in učinkovitost delovanja notranjih kontrol bo izmerjena v okviru celotnega procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja. V primeru ugotovljenih nepravilnosti in pomanjkljivosti bo SNR podala priporočila za odpravo le-teh. Obdobje revidiranja: Leto 2011 in 2012 (do 30. junija) Predviden začetek revizijskega postopka: 1. avgust 2012 Predvideno število ur: 240 ur Vodja revizijske skupine: Ime in priimek Revizijska skupina: Ime in priimek
Ime in priimek Maribor, 20. julij 2012 Vodja Službe za notranjo revizijo Stran: 1/1
25
Ob začetku revizijskega postopka smo o nameravanih notranje revizijskih aktivnostih z Najavo o pričetku revizijskega postopka obvestili revidirance. Revidiranci v okviru revizije PPDFT so zaposleni v okviru naslednjih organizacijskih enot:
• Pooblaščenec za preprečevanje in pranje denarja, • Oddelek poslovanja s prebivalstvom, • Oddelek poslovanja z gospodarskimi družbami, • Oddelek centralnih operacij in • Oddelek za osebje.
Najava je bila poslana vodjem prej omenjenih organizacijskih enot (OE). Najavo smo označili z B2 in odložili v revizijsko mapo. V okviru najave so bili revidiranci obveščeni o pričetku revizijskih aktivnosti na področju PPDFT, predvidenem datumu pričetka in zaključka revizijskega postopka ter o notranjih revizorjih, ki bodo opravili revizijske aktivnosti. Opredeljen je bil cilj in obseg revizijskih aktivnosti in predvidene metode, ki bodo uporabljene tekom revizijskega postopka. Hkrati smo revidirance pozvali, da nam do določenega datuma dostavijo dokumentacijo, ki je potrebna za izvedbo revizijskih aktivnosti. Po poslani najavi je bil opravljen še Uvodni sestanek. V okviru tega smo revidirancem podrobneje predstavili namen, cilj in obseg revizijskega postopka, predviden potek revizijskih aktivnosti in revizijskih metod in se seznanili z osnovnimi informacijami, ki so potrebne za pričetek revizijskih postopkov. Hkrati smo revidirance pozvali, da nas obvestijo v kolikor obstaja razlog13 , da se kateri del procesov v okviru PPDFT vključi v revizijski postopek in se nato o predmetnem na podlagi ugotovitev revizijskih aktivnosti poda nepristransko mnenje revizorja. Zapis uvodnega sestanka smo evidentirali na delovnem papirju, ki smo ga označili z B3.
3.2.2 Predhodna raziskava revizijskega področja in memorandum o načrtovanju
S predhodno raziskavo revizor pridobi informacije o področju revizije. Pomembna pa je tudi iz vidika navezave stika z revidiranci, kar je posebej pomembno v primerih, kadar notranjo revizijo izvaja zunanji izvajalec. S strani revidirancev smo v dogovorjenem roku prejeli zahtevano dokumentacijo, katero smo zahtevali v okviru najave revizijskega postopka. Prejeta dokumentacija je predstavljala osnovo za celovito izvedbo predhodne raziskave, v okviru katere smo se seznanili s področjem revidiranja ter opravili začetno analizo kontrolnega okolja banke kot celote. Cilji, ki smo jih zasledovali v okviru predhodne raziskave:
• podrobna seznanitev z zakonodajo in makro okoljem; • podrobna seznanitev z ugotovitvami predhodnih pregledov; • seznanitev s sistemom za PPDFT v banki, ki zajema:
o organizacijsko strukturo in kadrovsko zasedbo, o procesni pregled postopkov PPDFT, o delovna navodila na področju PPDFT, o poročila o delu Pooblaščenca za PPDFT, o seznanitev z upravljanjem s tveganji iz naslova aktivnosti PPDFT,
13 Gre predvsem za dele procesov, kjer je Vodja organizacijske enote identificiral možnosti za prevaro ali za pomanjkljivo izvajanje delovnih nalog. V revizorjevi pristojnosti je, da oceni ali bo predmetno vključil v okvir revizijskih postopkov.
26
o seznanitev s kontrolnimi mehanizmi in upravljavskimi procesi in o seznanitev z informacijskim sistemom.
• izvedba začetne analize kontrolnega okolja za banko kot celoto; • preveritev revizijskega dosjeja o morebitnih že prepoznanih pomanjkljivostih.
V okviru predhodne raziskave smo na podlagi vprašalnika, ki vključuje vprašanja o temeljnih sestavinah v skladu z metodologijo COSO, izvedli začetno ocenitev sistema notranjih kontrol banke kot celote. Predmetni vprašalnik, ki je bil prilagojen na celotno okolje banke, je prikazan na primeru mikro okolja PPDFT v Prilogi 2: Začetna ocena tveganj – matrika tveganj. Tako je bil za analiziranje sistema notranjih kontrol za celotno banko uporabljen prilagojen vprašalnik. Namen začetne analize sistema notranjih kontrol za celotno banko je spoznati poslovno kulturo v banki in zavedanje o prisotnem tveganju ter raven sprejemanja le-tega. V nadaljevanju podajamo tabelarični prikaz pridobljenih informacij po posameznih področjih/prvinah, ki smo jih pridobili tekom postopka. Tabela 1: Začetna analiza sistema notranjih kontrol za celotno banko
Notranje okolje Ugotovili smo, da je filozofija vodstva glede ravnanja s tveganji na zadovoljivem nivoju. Etične vrednote zaposlenih so postavljene visoko. Organizacijska struktura je primerna, zaznane so bile le manjše pomanjkljivosti pri nekaterih pooblastilih zaposlenim. Razmejitev odgovornosti je zadovoljiva. Standardi ravnanja s človeškimi viri in zmožnostmi so vzpostavljeni. Postavljanje ciljev Banka ima jasno vizijo glede delovanja v prihodnosti, svoje cilje redno preverja in jih prilagaja. Nadalje ima vzpostavljene poročevalske tokove glede doseganja strategij, ki so zasnovane v okviru strategije banke. Prav tako so vzpostavljeni kazalniki za merjenje uspešnosti banke. Prepoznavanje dogodkov Prepoznavanje dogodkov se opravlja ločeno od ocenjevanja verjetnosti nastanka dogodka in njegovega vpliva. Prepoznavajo se dogodki s pozitivnim in negativnim vplivom, bodisi notranjega ali zunanjega izvora. Metodologija za prepoznavanje je določena. Ocenjevanje tveganj Banka ocenjuje tveganja pri delovanju in preostalo tveganje na podlagi profila tveganosti, ki opredeljuje verjetnost nastanka posameznih tveganj. Banka izvaja samoocenitve tveganj. SNR je vključena v redno proučevanje tveganj. Podlaga za ocenjevanje tveganj je vzpostavljena in se izvaja. Identificirana tveganja pri delovanju smo vključili v Memorandum o načrtovanju. Odzivanje na tveganja Vodstvo sprejema potrebne ukrepe glede posameznih tveganj (ki niso sprejemljiva za banko). Na tveganja se gleda iz vidika banke kot celote. Ocenjujemo, da je odzivanje vodstva na prepoznana tveganja ustrezno. Kontrolne aktivnosti Banka ima vzpostavljene notranje kontrole in kontrolne postopke za večino bistvenih procesov. Dokumentacija je večinoma posodobljena. Zavedanje o delovanju notranjih kontrol je prisotno. Izvaja se inventura kontrolnih aktivnosti, ampak le-ta ne pokriva vseh kontrolnih aktivnosti. Posebna pozornost je posvečena kontrolnim aktivnostim na področju informacijskih sistemov. Informacije in sporočanje Banka ima vzpostavljene redne poročevalske aktivnosti, ki so podlaga za odločitve vodstva. Informacijski tok po večini poteka dvosmerno (vodoravno in navpično). Ocenjujemo, da je pretok informacij zadovoljiv. Banka uporablja zunanji informacijski sistem, ki pa ni popolnoma enovit. Dopolnjujejo ga dodatne uporabniške aplikacije. Za pripravo poročil je v banki vzpostavljena sekcija kontrolinga. Spremljanje Banka ima vzpostavljeno spremljanje uspešnosti ravnanja s tveganji s strani SNR, lastnikov procesov in vodij organizacijskih enot. Vodstvo zahteva pogostejše presoje za nekatera področja tveganj. Na osnovi opravljene začetne analize sistema notranjih kontrol ocenjujemo, da je sistem notranjih kontrol v banki na zadovoljivem nivoju. Predhodna analiza je bila izvedena na podlagi vprašalnika,
27
ki vključuje vprašanja o temeljnih sestavinah v skladu z metodologijo COSO, podatkov pridobljenih iz zahtevane dokumentacije, razgovora z zaposlenimi in drugih virov. Nadalje smo na podlagi izvedene predhodne analize in začetne analize sistema notranjih kontrol za celotno banko pripravili Memorandum o načrtovanju, ki smo ga označili z B3 (Priloga 1) in ga odložili v revizijsko mapo. V memorandumu smo zbrali informacije pomembne za pričetek nadaljnjih revizijskih aktivnosti. Najprej smo opisali področje revizijskega pregleda v okviru katerega smo opredelili cilj aktivnosti na področju PPDFT, organizacijski okvir in nastale večje spremembe na revidiranem področju od zadnjega opravljenega postopka notranje revizije. Opredelili smo odgovorne osebe revidiranega področja ter navedli zakonodajni okvir in interne akter ter druge organizacijske predpise, ki urejajo predmetno področje. Seznam zahtev, ki izhajajo iz zakonodaje in internih pravil, smo na podlagi izvedenega proučevanja dokumentirali na delovnih listih. Pripravili smo povzetek bistvenih ugotovitev iz predhodnih inšpekcijskih in revizijskih pregledov ter opredelili ključne dejavnike tveganj pri delovanju sistema za PPDFT. Pri teh dejavnikih smo prepoznali njihove vplive na delovanje in jih ocenili iz vidika verjetnosti nastanka in vpliva. Nadalje smo opredelili predvidene postopke in obdobje revidiranja. Ob koncu memoranduma je opredeljen revizijski cilj ter osebe, ki bodo izvajale revizijske aktivnosti. Omenjeno bo predstavljalo podlago za celovito in kakovostno izvedbo nadaljnjih revizijskih aktivnosti.
3.2.3 Procesni pregled in ustroj notranjih kontrol v okviru proučevanega procesa
Aktivnosti PPDFT so vključene v številne procese v banki. V pripravljalni fazi smo pripravili nabor ključnih procesov, v katere so vključene omenjene aktivnosti. V nadaljevanju podajamo seznam sklopov procesov:
• Aktivnosti priprave in posodabljanja Analize tveganosti po ZPPDFT, • Segmentiranje strank - Izvajanje pregleda stranke (običajni, poglobljeni in poenostavljen
pregled), • Izvajanje pregleda stranke preko tretjih oseb, • Proces rednega spremljanja poslovnih aktivnosti strank, • Proces kontokorentnih in korespondenčnih odnosov banke, • Proces sporočanja gotovinskih in sumljivih transakcij uradu, • Procesi varstva in hrambe podatkov ter upravljanja evidenc in • Proces priprave in izvajanja izobraževanj ter usposabljanj.
V okviru revizijskih aktivnosti nameravamo opraviti preveritev ključnih zakonskih zahtev v navedenih procesih. Nadalje bomo opravili procesni pregled aktivnosti, ki se izvedejo v okviru običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja. Za tem bodo v okviru tega procesa prepoznana in ocenjena prisotna tveganja in ustroj notranjih kontrol. Za te kontrole bomo izvedli postopke merjenja njihove ustreznosti in učinkovitosti delovanja. Tako bomo skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2300 prepoznali, proučili, ovrednotili dovolj informacij za dosego postavljenega revizijskega cilja. Proces običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja predstavlja enega izmed ključnih procesov v okviru sistema PPDFT. V okviru tega pregleda banka pridobi podatke o stranki, ki so ključni za izvajanje nadaljnjih aktivnosti v okviru sistema preprečevanja pranja denarja in financiranja terorizma. V okviru tega procesa se:
1. preveri istovetnost stranke, 2. preverijo se dejanski lastniki stranke (v primeru pravne osebe), 3. pridobijo se zakonsko določeni podatki o stranki,
28
4. ugotovi se ali je stranka politično izpostavljena oseba, 5. preveri se ali se stranka morda nahaja na 'črnih listah' in 6. ob koncu pregleda se poda ocena tveganosti stranke.
Informacije potrebne za prikaz tega procesa, prepoznavanje prisotnih tveganj in ustroja notranjih kontrol smo pridobili na podlagi pripravljenega vprašalnika ter na podlagi pregleda internih aktov. V okviru omenjenega vprašalnika smo skladno z metodologijo COSO želeli pridobiti informacije o kontrolnem okolju, o postopkih ocenjevanja tveganj (opredelitev ciljev, prepoznavanje, sprejemanje in obvladovanje tveganj), kontrolnih aktivnostih, načinu informiranja in komuniciranja ter nadzora na nivoju opazovanega procesa. V nadaljevanju je prikazan Vprašalnik za opredelitev procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja. Ob posameznem vprašanju smo navedli sestavino iz ogrodja COSO v katero lahko uvrstimo s vprašanjem pridobljene informacije. Tabela 2: Vprašalnik za opredelitev procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja (delovni list št. C1)
Št. Vprašanje Sestavina COSO14
Odgovor da/ne
Opombe
Proces običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja
1. Obstoj zapisanega postopka običajnega pregleda po ZPPDF ob sklepanju poslovnega razmerja?
KO, PC da
2. Opredelitev kdo so odgovorne osebe v procesu? KO da
3. Opredelitev kakšen je nivo zavedanja o tveganjih, etična načela, moralne vrednote?
KO da
4. Primerna usposobljenost zaposlenih (prepoznavanje morebitnih poneverb osebnih dokumentov, pregledovanje elektronskih virov za razkritje lastniške strukture?
KO da
5. Ali je razmejitev odgovornosti jasna? KO da 6. Ali so opredeljene notranje kontrole? KO, PD, KA da 7. Ali je postavljeni cilji v okviru postopka? PC da
8. Ali ima podjetje vzpostavljeno analizo tveganosti na področju PPDFT?
PC, PD, OT, OdT
da
9. Kratek opis vzpostavljenih kontrol v okviru preučevanega procesa.
KA opis
posredovan v prilogi
10. Ali se vzpostavljen princip 4-oči dosledno izvaja v praksi? KA da
11. Opis informacijskega sistema, ki podpira proces IK opis
posredovan v prilogi
12. Ali opredeljeno poročanje (frekvenca, način, kdo in kako) v okviru predmetnega procesa?
IK da
13. Ali in kako je zagotovljena sledljivost izvedenosti elektronskih notranjih kontrol?
IK da
14. Ali opredeljeno kdo nadzira delovanje notranjega kontrolnega sistema v okviru tega procesa?
NA da
15. Ali se izvajajo redni ali občasni pregledi delovanja procesa? NA da
16. Poročanje – komu se poroča? NA opis
posredovan v prilogi
14 Sestavine iz COSO ogrodja: KO – kontrolno okolje, PC – postavitev ciljev, PD – prepoznavanje dogodkov, OT – ocenitev tveganj, OdT – odzivanje na tveganja, KA – kontrolne aktivnosti, IK – informiranje in komuniciranje, NA – nadziranje.
29
Po izvedenem razgovoru z revidirancem smo izpolnili zgoraj prikazan vprašalnik, pri čemer smo v kolono »odgovor« vnesli informacijo o izpolnjevanju zahteve izhajajoče iz vprašanja. V kolikor smo ugotovili, da zahteva ni izpolnjena smo v koloni »opombe« navedli razlog za predmetno. Na podlagi izpolnjenega vprašalnika po opravljenem razgovoru z odgovornimi osebami in po pregledu internih aktov smo narisali poenostavljen procesni diagram, ki prikazuje aktivnosti običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja, glede na zahteve zakonodaje. Diagram vsebuje opredelitev ključnih tveganj (oznaka: T) in vzpostavljenih notranjih kontrol (oznaka: K). Pripravljen poenostavljen procesni diagram omogoča boljše razumevanje revidiranega procesa. Tako smo z izrisanim diagramom pridobili natančen vpogled v revidirani proces. Ugotavljali smo katera tveganja, ki izhajajo iz ne skladnosti z zakonom, so prepoznana in katera so možna. Na podlagi preveritve procesa skladno z metodologijo COSO lahko trdimo, da so bila vsa tveganja prepoznana in da so nadzorovana z vzpostavljenimi notranjimi kontrolami in opredeljenimi kontrolnimi cilji. Ustreznost in učinkovitost delovanja vzpostavljenih notranjih kontrol bo izmerjena v nadaljevanju revizijskega postopka.
30
Slika 6: Proces običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja (delovni list št. C2)
Prihod stranke v banko
Preverjanje istovetnosti stranke
Preverjanje dejanskega lastnika
stranke
Pridobivanje zakonsko zahtevanih podatkov o stranki
Ugotavljanje ali je stranka tuja politično izpostavljena oseba
Ugotavljanje ali je stranka prisotna na kateri
izmed 'črnih list'
Ocena profila tveganosti stranke
Sklenitev poslovnega razmerja
Izjava o POI (v primeru, da je stranka nerezident)
Dokumentacija z razkrito lastniško strukturo stranke (v primeru PO)
Vloga za sklenitev poslovnega razmerja
Na vlogo se navede informacija o opravljeni identifikaciji stranke
Na vlogo se navede informacija o opravljenem pregledu 'črnih list'
Princip štirih oči – kontrola podatkov in zagotovljena sledljivost izvedene kontrole
Elektronska kontrola – preveri se morebitna prisotnost stranke na mednarodnem seznamu PIO in na mednarodnih 'črnih listah'
T1 T2
T3 T4 T5
T6 T7
T8 T9
T10
T12
K1
K3
K2
K4 K5 K6
K9
K7
K10
K12
K11
Izvajalec: Tržnik v poslovalnici
Izvajalec: Tržnik v poslovalnici
Izvajalec: Tržnik v poslovalnici
Izvajalec: Tržnik v poslovalnici
Izvajalec: Tržnik v poslovalnici
Izvajalec: Tržnik v poslovalnici
Izvajalec: Pooblaščenec za PPDFT
Lastnik K1: Vodja poslovalnice
Lastnik K2: Vodja poslovalnice
Lastnik K12: Vodja poslovalnice
Lastnik K4, K5, K6: Vodja poslovalnice
Lastnik K3: Vodja poslovalnice
Lastnik K7: Vodja poslovalnice
Lastnik K9: Vodja poslovalnice
Lastnik K10: Vodja poslovalnice
Lastnik K11: Vodja poslovalnice
Izvajalec: Pooblaščenec za PPDFT
31
Tabela 3: Cilji delovanja, tveganja in kontrolne aktivnosti v okviru procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja (C3)
15 Sawyer (2003, str. 150) opredeljuje kot namen preventivnih kontrol, preprečitev pojava napak oziroma prevar. Detektivne kontrole pa že nastale napake oziroma prevare odkrivajo. Opredeljuje tudi popravljalne kontrole, ki popravljajo neželene učinke, ki so bili povzročeni.
Cilj delovanja Tveganje Kontrolna aktivnost15
Istovetnost stranke se izvede skladno z zahtevami ZPPDFT
T1 – Kontrolna aktivnost se ne opravi
K1 – Preventivna kontrola – Ob opravljeni identifikaciji stranke zaposleni odtisne na vlogo žig »Identifikacijo opravil«
T2 – Obstaja nevarnost identifikacije s ponarejenim ali neveljavnim osebnim dokumentom
K3 – Preventivna kontrola – princip štirih oči, s katero se preveri ustreznost osebnega dokumenta
Razkritje dejanskega lastnika stranke skladno z zahtevami ZPPDFT (za pravne osebe)
T3 - Kontrolna aktivnost se ne opravi
K2 – Preventivna kontrola – Ob razkritju lastniške strukture se pripravi ustrezna dokumentacija K3 – Preventivna kontrola – princip štirih oči, s katero se preveri izvedenost razkritja lastniške strukture stranke
T4 – Razkritje se opravi nepopolno zaradi realnih omejitev ali površnosti zaposlenega
K2 – Preventivna kontrola – Ob razkritju lastniške strukture se pripravi ustrezna dokumentacija K3 – Preventivna kontrola – princip štirih oči, s katero se preveri izvedenost razkritja lastniške strukture stranke
T5 - V kolikor se lastniška struktura ne more ugotoviti na podlagi javno dostopnih podatkov (evidence AJPES ipd.) se lahko pridobi izjava stranke, ki razkriva lastniško strukturo - Tveganje neverodostojne ali neresnične izjave.
K11 – Detektivna kontrola – Ob ponovnem rednem pregledu stranke se izvede preveritev aktualnosti lastniške strukture.
Pridobiti vse zakonsko predpisane podatke o stranki
T6 – Tveganje, da se ne pridobijo vsi z zakonom predpisani podatki
K12 – Preventivna kontrola – Računalniški program vsebuje kontrolna polja, ki ne pustijo zaključiti posamezen posel vse dokler niso vsa obvezna polja izpolnjena
T7 – Tveganje, da so pridobljeni podatki vneseni napačno (napaka ob prepisovanju iz uradnih virov)
K3 – Preventivna kontrola – princip štirih oči, s katero se preveri in potrdi pravilen vnos podatkov v sistem
32
V okviru grafikona so prikazane aktivnosti za PPDFT, ki jih zahteva zakon. Vse navedene aktivnosti se izvajajo s strani tržnikov v bančni poslovalnici, le kontrolna aktivnost z oznako K10 se opravlja s strani Pooblaščenca za PPDFT. Po pregledu vzpostavljenih notranjih kontrol ugotavljamo, da so le-te v lastništvu Vodje poslovalnice. V postopkih načrtovanja revizijskega postopka je bilo ugotovljeno, da so tveganja v povezavi z revizijskim ciljem prepoznana in da so postavljene ustrezne kontrole za njihovo obvladovanje z opredeljenimi kontrolnimi cilji. Učinkovitost delovanja vzpostavljenih notranjih kontrol bo izmerjena v nadaljevanju revizijskega postopka.
Cilj delovanja Tveganje Kontrolna aktivnost
Ugotoviti ali je stranka politično izpostavljena oseba
T8 – Tveganje, da stranka, ki je nerezident ne poda izjave o politično izpostavljeni osebi (PIO) ali je izjava nepodpisana (neveljavna).
K4 – Preventivna kontrola – Aplikacija zahteva, v kolikor gre za tujega državljana, da zaposleni, ki opravlja pregled označi ali je opravil pregled PIO K5 – Detektivna kontrola – Pregled pridobljenih izjav o PIO od nerezidentov ob koncu delovnega dne K9 - Detektivna kontrola – Spletna aplikacija preveri morebitno prisotnost stranke na mednarodnem seznamu PIO
T9 - Tveganje neustrezne izjave - stranka, ki je nerezident, se lahko v izjavi identificira, da ni politično izpostavljena oseba (PIO), čeprav to je.
K6 – Detektivna kontrola – V kolikor gre za nerezidenta zaposleni preveri iz predpisanih virov ali gre za PIO v primeru suma. K9 – Detektivna kontrola – Spletna aplikacija preveri morebitno prisotnost stranke na mednarodnem seznamu PIO
Ugotoviti ali je stranka prisotna na kateri izmed črnih list
T10 – Tveganje, da se pregled črnih list ne opravi
K7 – Detektivna kontrola – Ob opravljeni kontroli se na dokumentacijo odtisne žig »FISA pregled opravljen« - ob koncu delovnega dne se opravi pregled prisotnosti žiga na dokumentaciji K9 – Detektivna kontrola – Spletna aplikacija preveri morebitno prisotnost stranke na mednarodnih črnih listah
Pravilna izvedba ocene profila tveganosti stranke
T12 – Tveganje neustreznega delovanja matrike za oceno profila tveganosti stranke (ocena tveganja se izvede aplikativno na podlagi vnesenih parametrov o stranki (statusni podatki, geografsko območje delovanja, produkt uporabe).
K10 – Detektivna kontrola – Naključni pregledi Pooblaščenca za PPDFT.
33
3.2.4 Začetna ocena obvladovanja tveganj in mehanizmov za njihovo zaznavanje in preprečevanje v procesih PPDFT
Standard strokovnega ravnanja pri notranjem revidiranju št. 2201 navaja, da morajo revizorji pri poslu upoštevati:
• cilje delovanja in sredstva s katerimi se obvladuje izvedba, • pomembna tveganja pri delovanju, • ustreznost in uspešnost postopkov ravnanja s tveganjem in • priložnosti za pomembnejše izboljšave pri postopkih ravnanja s tveganjem in postopkih
obvladovanja. Začetna ocena obvladovanja tveganj in ocenjevanja mehanizmov za njihovo zaznavanje in preprečevanje, pri doseganju cilja delovanja banke – skladno poslovanje – zajema opredelitev ciljev delovanja, prepoznavanja tveganj in omenjenih mehanizmov ter nato vrednotenje le-teh. V okviru začetnega ocenjevanja smo se omejili na obseg predmeta revizije, torej na tveganja, ki izhajajo iz skladnosti procesov PPDFT z zakonodajo. Začetna ocena kontrolnega okolja na nivoju banke kot celote je prikazana v okviru Tabele 1: Začetna analiza sistema notranjih kontrol za celotno banko. Tveganja smo prepoznavali na podlagi verjetnosti, da se uresničijo in na podlagi njihovega vpliva na zastavljene cilje banke, v okviru procesov PPDFT. Ocenitev smo izvedli skladno z metodo COSO. Tekom začetne ocenitve obvladovanja tveganj v procesih PPDFT smo verjetnost in vpliv nastanka škodnih dogodkov ocenjevali skozi okvir vzpostavljenih mehanizmov za zaznavanje in preprečevanje tveganj. Tako smo pri posameznem tveganju najprej prepoznali vzpostavljene mehanizme in nato na podlagi ocene ustreznosti in učinkovitosti kontrolnih mehanizmov za posamezno tveganje podali oceno o verjetnosti nastanka in vpliva škodnega dogodka. Pomembno je, da v okviru začetnega ocenjevanja obvladovanja tveganj ovrednotimo tudi mehanizme za zaznavanje in preprečevanje tveganj, ki so vzpostavljeni. Za ocenjevanje vpliva in verjetnosti nastanka škodnih dogodkov smo uporabili sistem ocenjevanja z številkami (1, 2 in 3), na podlagi katerega smo izračunali oceno posameznega tveganja. V nadaljevanju podajamo pojasnila za posamezne ocene, ki smo jih uporabili v matriki tveganj. Ocena vpliva posameznega tveganja/dogodka na doseganje zastavljenega cilja:
Ocena 1 – Majhen ali zanemarljiv vpliv na doseganje cilja delovanja. Ocena 2 – Srednje velik vpliv na doseganje cilja delovanja, kar pomeni, da bi nastanek dogodka vplival na doseganje zastavljenega cilja. Predstavlja težavo pri doseganju cilja delovanja. Ocena 3 – Velik vpliv na doseganje cilja delovanja, kar pomeni, da nastanek dogodka pomembno vpliva na doseganje zastavljenega cilja. Ocena verjetnosti uresničenja posameznega tveganja/nastanka škodnega dogodka:
Ocena 1 – Majhna verjetnost za nastanek škodnega dogodka. Ocena 2 – Srednje velika verjetnost za nastanek škodnega dogodka. Gre za dogodke, ki so se že zgodili ali za dogodke, katerih kontrolni mehanizmi niso zadostni. Ocena 3 – Velika verjetnost nastanka škodnega dogodka. Gre za dogodke, ki so se že zgodili in se ponavljajo ali za dogodke, katerih kontrolni mehanizmi niso vzpostavljeni ali ne delujejo ustrezno.
34
Začetna ocena posameznega tveganja:
Ocena 1–3 – Nizko tveganje, ki ga sprejmemo, po potrebi pa tud nadziramo (označeno z zeleno barvo). Ocena 4–6 – Zmerno tveganje, ki ga sprejmemo in ga tudi nadziramo, po potrebi pa tudi obvladujemo (označeno z oranžno barvo). Ocena 7–9 – Visoko tveganje, ki ga je potrebno obvladovati in nadzirati (označeno z rdečo barvo). Za vsako tveganje smo navedli kontrolni mehanizem, ki je vzpostavljen z namenom zaznave in preprečevanja posameznega tveganja. Začetna ocena delovanja omenjenih mehanizmov je bila podana na osnovi predhodne raziskave področja in prikazuje oceno ustreznosti in učinkovitosti ključnih mehanizmov, ki so navedeni v tabeli. Začetna ocena delovanja mehanizmov za zaznavanje in preprečevanje tveganj je bila podana kot:
Učinkovito – vzpostavljeni mehanizmi so ustrezni ter zadostni in dosegajo zastavljen kontrolni cilj Neučinkovito – vzpostavljeni mehanizmi so neustrezni ali pomanjkljivi ali nezadostni Nadalje smo navedli tudi revizijski pristop na podlagi katerega bo izvedeno preverjanje ali je tveganje tudi resnično ustrezno kontrolirano in obvladovano. Matrika začetnega ocenjevanja tveganj in mehanizmov za njihovo zaznavanje in preprečevanje je prikazana v okviru Priloge 2. V njej podajamo seznam ciljev delovanja in tveganj z oceno njihove verjetnosti in vplivnosti ter seznam mehanizmov za njihovo zaznavanje in preprečevanje z začetno oceno ustreznosti in učinkovitosti delovanja le-teh. V tabeli smo uporabili barvno ponadzoritev, s katero smo poudarili izpostavljenost banke posameznemu tveganju.
3.2.5 Revizijski program
Notranje revizijske aktivnosti na področju PPDFT so bile načrtovane z letnim planom dela SNR za leto 2012. Tako je bil v skladu z letnim planom določen cilj planiranih revizijskih postopkov, časovni okvir in razpoložljivi viri za izvedbo posameznih revizijskih aktivnosti. V kolikor navedeno ne bi bilo določeno v okviru letnega plana bi Vodja revizijske skupine, glede na dogovor z naročnikom revijskih aktivnosti in glede na ugotovitve v okviru začetnega prepoznavanja in vrednotenja tveganj in notranjih kontrol oblikoval cilj revizijskega postopka. Nadalje bi skladno z zastavljenim ciljem oblikovali Izvedbeni načrt notranje revizije (glej Sliko 4), v okviru katerega bi planirali potrebne vire in čas za izvedbo revizijskih aktivnosti. V našem primeru so po opravljenem začetnem ocenjevanju tveganj in ocenjevanju mehanizmov za njihovo prepoznavanje in preprečevanje mogoče le prilagoditve že predstavljenega izvedbenega plana. Vse spremembe mora pregledati in odobriti Vodja SNR. Revizijski program16 je podrobnejši delovni načrt notranje revizijske naloge. Standard strokovnega ravnanja pri notranjem revidiranju št. 2240 določa, da je notranji revizor dolžan revizijski program olistiniti in vanj vključiti postopke prepoznavanja, proučevanja ovrednotenja in olistinjenja informacij med potekom posla. Revizijski program mora biti odobren pred izvedbo posla, prav tako mora biti odobrena vsaka njegova prilagoditev. Revizijski program je pripravil Vodja revizijske skupine na podlagi ugotovitev pridobljenih v do sedaj prikazanih pripravljalnih fazah revizijskega postopka. V revizijskem programu smo ob upoštevanju zastavljenega revizijskega cilja, ocenitve tveganj in ocenitve mehanizmov za prepoznavanje in preprečevanje tveganj opredelili celoten potek revizijskih aktivnosti, ki bodo
16 Koletnik (2007, 194) ga imenuje kot delovni načrt.
35
izvedene v izvedbeni fazi revizijskega postopka. Takšen revizijski program je nato omogočal Vodji revizijske skupine podlago za sprotni nadzor nad izvajanjem revizijskega postopka. Prav tako v revizijskem programu opredelimo katere vrste in obseg postopkov bodo uporabljeni v okviru preiskovanja in vrednotenja (poizvedovanje (intervjuji), opazovanje (spremljanje izvajanja procesov), preverjanje in preizkušanje, analitični postopki (primerjava in proučevanje) in olistinjenje ter razvidovanje. Osnova za pripravo revizijskega programa je začetna ocena tveganj in mehanizmov za prepoznavanje in preprečevanje tveganj, ki je razdelana v okviru Priloge 2. Glede na razpoložljiv čas in število revizorjev smo sprejeli odločitev, da v revizijski program vključimo tveganja, ki smo jih v okviru začetne ocenitve ocenili kot zmerna in visoka. Prav tako smo v revizijski program vključili mehanizme za prepoznavanje in zmanjševanje tveganj, ki so se v okviru začetne ocenitve izkazali kot neustrezni ali neučinkoviti. V revizijski program so vključene tudi notranje kontrole v okviru izbranega procesa (izvedba običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja) za katere bomo izvedli kontrolo ustreznosti in učinkovitosti delovanja. Omenjeno je bilo potrjeno s strani Vodje SNR. S pripravo in potrditvijo revizijskega programa zaključimo fazo načrtovanja revizijskih aktivnosti. Revizijski program je prikazan v Prilogi 3, s številko delovnega papirja E1.
3.3 Izvedba notranje revizije
V okviru izvedbe notranje revizijskega posla smo skladno z revizijskim programom in izbranimi notranje revizijskimi postopki izvedli revizijske aktivnosti:
• pridobivanja in prepoznavanja dokazil ter spoznavnih podlag za oblikovanje svojih trditev, • preizkušanja, preverjanja in ocenjevanja le-teh in • spoznavanja dejstev in oblikovanja svojih izsledkov, podprtimi z ustreznimi dokazili (z
razvidovanjem in arhiviranjem dokazil).
Izvedba revizijskega postopka je bila izvedena skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2300.
3.3.1 Pridobivanje ter ocenjevanje dokazil in izvedba preizkušanj
V predrevizijski fazi smo v okviru zbiranja predhodnih informacij za izvedbo revizijskih aktivnosti že pridobili nekatere spoznavne podlage in vire za izvedbo revizijskega postopka. Pridobljene so bile predvsem temelje informacije o revidiranem področju (organizacijska struktura, notranji akti, letni načrti, delovna navodila in podobno). Ostale informacije, potrebne za izpolnitev revizijskega programa, smo pridobili zlasti s pregledovanjem, izpisovanjem iz različnih elektronskih evidenc, izvedenimi intervjuji in preverjanjem notranjih aktov ter spremljanjem izvajanja procesov. Cilj v okviru pridobivanja dokazil in prepoznavanja informacij je bil prepoznati zadostne, zanesljive, ustrezne in uporabne informacije17 skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2310.
17 Standard strokovnega ravnanja pri notranjem revidiranju št. 2310 pojasnjuje, da so zadostne informacije dejanske, ustrezne in prepričljive, takšne, da razumna in informirana oseba lahko pride do enakih sklepov kakor je prišel revizor. Zanesljive informacije so najboljše dosegljive informacije na podlagi uporabe ustreznih načinov pridobivanja informacij. Informacije, ki podpirajo opazovanja in ugotovitve opravljenega posla ter so skladne s postavljenimi cilji posla so ustrezne. Tiste informacije, ki pomagajo organizaciji dosegati njene cilje pa standard poimenuje kot uporabne.
36
Katere informacije smo pridobivali v postopkih izvedbe revizijskih aktivnosti je razvidno iz revizijskega programa. Po zaključenih postopkih preizkušanja smo delne ugotovitve vpisovali v revizijski program. Predmetno nam je nudilo podlago za oblikovanje zaključnega poročila. Na podlagi pridobljenih informacij smo nato pričeli z izvajanjem aktivnosti preizkušanja, proučevanja in ovrednotenja informacij. Omenjeni postopki so nam skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2320 predstavljali podlago za utemeljevanje sklepov in izsledkov notranjih revizijskih aktivnosti. Preizkušanje je bilo izvedeno z revizijskimi metodami poizvedovanja (intervjuji, vprašalniki), opazovanja, vzorčenja, preizkušanja in preverjanja. Namen uporabljenih metod je bil ugotoviti:
• ali je sistem notranjih kontrol po metodologiji COSO ustrezen; • ali je vzpostavljen proces PPDFT skladen z določili zakonodaje (preizkušanje skladnosti); • ali sistem notranjih kontrol PPDFT deluje ustrezno in učinkovito.
V postopkih preizkušanj sistema notranjih kontrol smo preverjali ali so z zakonom zahtevane in interno načrtovane notranje kontrole vzpostavljene in ali so prisotne na vseh mestih v procesih, kjer je bilo zaznano tveganje, katerega je potrebno obvladovati. Gre za tveganje, katerega vodstvo banke ni opredelilo kot sprejemljivo tveganje. Pridobljene podatke o sistemu notranjih kontrol smo primerjali z različnimi sodili (želeni procesi in stanji). Tako smo pridobili informacije, ki odsevajo dejansko stanje v okviru pregledanih procesov PPDFT.
4.2.1.1 Sistem notranjih kontrol PPDFT po metodologiji COSO
V notranjem okolju smo preverjali ali ima banka ustrezno organizacijsko strukturo za procese PPDFT, notranje akte ter ali je banka opredelila kodeks poslovne etike in ali ga zaposleni poznajo ter upoštevajo. Nadalje smo preverili ali so bili imenovani zaposleni za ključna opravila v okviru PPDFT in ali so ustrezno vzpostavljena namestništva. Ugotavljali smo tudi primernost vodstvene strukture in njenega odnosa do zaposlenih. Ugotovljene so bile pomanjkljivosti na področju imenovanja namestnikov Pooblaščenca za PPDFT. Sicer bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene. Preučevali smo ali je banka postavila poslovne cilje na področjih PPDFT, ali spremlja njihovo doseganje in ali jih prilagaja glede na zaznane spremembe. Zanimalo nas je ali zaposleni poznajo s strani vodstva postavljene poslovne cilje. Ocenjevali smo vzpostavljen sistem in odnos zaposlenih do prepoznavanja dogodkov in ocenjevanja ter odzivanja na tveganja. Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene. Ocenjevanje kontrolnih aktivnosti v okviru sistema PPDFT je predstavljalo temeljni del ocenjevanja notranjih kontrol. Ocenjevali smo pomembna tveganja, ki vplivajo na doseganje zastavljenih ciljev banke – poslovati skladno z določili zakonodaje - in sistem notranjih kontrol glede na doseganje cilja obvladovanja teh tveganj. Ugotovljene nepravilnosti in pomanjkljivosti tekom opravljanja revizijskih aktivnosti so zbrane v zbirnem poročilu o ugotovljenih nepravilnostih in pomanjkljivostih (Priloga 5). Sistem informiranja in komuniciranja je bil ocenjevan v vidika ali zaposleni poznajo in razumejo notranji kontrolni sistem ter ali so deležni pravilnih in celovitih informacij. Ocenjevali smo tudi ustreznost vzpostavljenega informacijskega sistema. Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene. Postopke nadziranja smo preverili tako, da smo ugotavljali ali je nadzor vzpostavljen in se izrečeni ukrepi redno izpolnjujejo. Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
37
4.2.1.2 Skladnost poslovanja z zakonodajo
Pridobivanje in preizkušanje ter ocenjevanje dokazil za potrebe ugotavljanja ali je sistem PPDFT v banki vzpostavljen skladno z zahtevami zakonodaje je bilo izvedeno na podlagi revizijskega programa. Za področja PPDFT smo ugotavljali ali so vzpostavljena skladno z določili ZPPDFT in njegovimi podzakonskimi akti. Predmet preiskovanja so bila naslednja področja:
• aktivnosti priprave in posodabljanja Analize tveganosti po ZPPDFT, • segmentiranje strank - Izvajanje pregleda stranke (običajni, poglobljeni in poenostavljen
pregled), • izvajanje pregleda stranke preko tretjih oseb, • proces rednega spremljanja poslovnih aktivnosti strank, • proces kontokorentnih in korespondenčnih odnosov banke, • proces sporočanja gotovinskih in sumljivih transakcij uradu, • procesi varstva in hrambe podatkov ter upravljanja evidenc in • proces priprave in izvajanja izobraževanj ter usposabljanj.
Za ocenjevanje in preverjanje skladnosti poslovanja z zakonodajo smo uporabili revizijske pristope, za katere smo presodili, da nam bodo njihovi izsledki nudili zadostne, ustrezne in zanesljive informacije za podajo zadostnega zagotovila o predmetu ugotavljanja. V kolikor nam je to dopuščal čas in smo razpolagali s potrebnimi informacijami smo določena testiranja izvedli na podlagi različnih revizijskih pristopov. V primerih nezadostnih dokazov smo razširili področje revidiranja in tako uporabili dodatne metode preučevanja in vrednotenja. Rezultate posameznih revizijskih testiranj smo evidentirali na delovne liste. Takšen delovni list smo pripravili za vsa izvedena testiranja. Iz delovnega lista je razvidno kakšen je bil namen posameznega revizijskega postopka, opis izvedenih aktivnosti in ugotovljeni zaključki. Prav tako je evidentirano kdo je testiranje izvedel in kdaj ter oznaka posameznega delovnega lista. Delovni listi so nam nato v naslednjih revizijskih korakih izvajanja revizijskega posla predstavljali zbir informacij ter zaključkov po posameznih področjih, na podlagi katerih smo sestavili zaključno poročilo. Prav tako je iz posameznega delovnega lista razvidna podlaga za oblikovanje revizorjevih ugotovitev. V nadaljevanju podajamo primer takšnega delovnega lista.
38
Slika 7: Primer delovnega lista – Preveritev izvajanja procesa spremljanja poslovnih aktivnosti strank
RP 10/2012 - Revizija preprečevanja pranja denarja in financiranja terorizma Delovni list - Preveritev izvajanja procesa spremljanja poslovnih aktivnosti strank Notranji revizor: Revizor B Datum: 27.07.2012 Oznaka delovnega lista: EVI.IV.1 Namen revizijskega postopka: Cilj izvedenih aktivnosti je podati zagotovilo o skladnosti poslovanja na revidiranem področju. Skladno z revizijskim programom (delovni list E1) smo preverili skladnost vzpostavljenega procesa rednega spremljanja poslovnih aktivnosti strank z zahtevami/določili ZPPDFT in njegovih podzakonskih aktov. Izvedene so bile revizijske aktivnosti z namenom ugotavljanja:
1. ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in predpisi, prepoznana;
2. ali je postavljena sprejemljiva raven prepoznanih tveganj; 3. ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in 4. ali je delovanje notranjih kontrol uspešno in učinkovito.
V okviru tega delovnega lista so prikazane revizijske aktivnosti preverjanja izvajanja procesa spremljanja poslovnih aktivnosti strank. Glej revizijski program, pod št. 21., 22., 23. in 24. Opis opravljenega revizijskega postopka: 1) Preveritev obstoja in vsebine internih (bančnih) navodil za izvedbo procesa rednega spremljanja poslovnih aktivnosti strank. Navodila morajo vsebovati vsaj določila o: izvajanju pregleda poslovanja strank v obsegu in dinamiki kot jo določa ZPPDFT, zagotavljanju sledi izvedenih aktivnosti, pregledih osebnih dokumentov strank. 2) Iz portfelja vseh strank naključno izbrati 20 strank (iz vsake kategorije tveganosti po 5 strank) in zanje opraviti preveritev ali je bil zanje opravljen zahtevan pregled poslovanja strank v skladu z zakonskimi določili. 3) Na zgoraj opredeljenem vzorcu strank preveriti aktualnost osebnih dokumentov strank. 4) Izvesti kontrolo zagotavljanja sledi izvedenosti kontrole poslovanja strank in preveritve aktualnosti osebnih dokumentov (V okviru predrevizijskih aktivnosti nismo prejeli dokazil o dokumentiranju opravljenih pregledov). 5) Test informacijske podpore, ki opomni zaposlenega k izvedbi kontrole poslovanja stranke in k preveritvi aktualnosti osebnih dokumentov. Rezultat: 1) Navodila za izvedbo procesa rednega spremljanja poslovnih aktivnosti strank so zapisana in sprejeta s strani vodstva (Sklep Uprave banke št.). Navodila vsebujejo določila o izvajanju pregleda poslovanja strank v obsegu in dinamiki kot jo določa ZPPDFT. Ne določajo pa načina zagotavljanja sledi ob izvedenih aktivnostih spremljanja poslovanja in pregleda osebnih dokumentov strank. (delovni list EVI.IV.1-podlist 1) 2) Iz portfelja strank smo naključno izbrali 20 strank (iz vsake kategorije tveganosti po 5 strank) in zanje opravili preveritev - ali je bil opravljen zahtevan pregled poslovanja strank v skladu z zakonskimi določili. Ugotovili smo, da se sicer pregledi izvajajo redno ampak se za to ne zagotavlja revizijska sled. Tako ne moremo za izbrano stranko posebej ugotoviti kdaj je bil pregled izveden. Ugotavljamo, da se pregledi sicer izvajajo za celoten portfelj strank z isto oceno tveganosti skupaj. Zaradi takšnega načina izvajanja pregledov obstaja možnost, da nekatere stranke niso zajete v pregled. (delovni list EVI.IV.1- podlist 2) 3) Ugotavljamo, da ima banka za vseh 20 pregledanih strank informacijo o aktualnem osebnem dokumentu. Pomanjkljivosti niso bile ugotovljene. (delovni list EVI.IV.1- podlist 2) 4) Revizijska sled na nivoju posamezne stranke se ne zagotavlja (glej točko 2). (delovni list EVI.IV.1-2) 5) Informacijska podpora - aplikacija je bila testirana v testnem okolju. Ugotovljeno je bilo, da aplikacija ob obisku stranke, spomni tržnika, da pridobi strankin osebni dokument in podatke na njem vnese/posodobi v elektronski bazi. Pomanjkljivosti niso bile ugotovljene. (delovni list EVI.IV.1- podlist 3) Ugotovitve in zaključek: Ugotavljamo, da se proces rednega spremljanja poslovnih aktivnosti strank izvaja po večini v skladu z zahtevami ZPPDFT in določili podzakonskih aktov, vendar pa ob tem opozarjamo na pomembno pomanjkljivost, ki je bila ugotovljena in sicer, da zagotavljanje revizijske sledi, izvedene redne kontrole poslovanja strank in redne kontrole aktualnosti osebnih dokumentov strank, ni zagotovljeno. Tako smo lahko ugotavljali dejansko izvajanje kontrole le posredno. Zaradi takšnega načina izvajanja pregledov obstaja možnost, da nekatere stranke niso zajete v pregled. Vodstvu predlagamo, da določi in zapiše način za zagotavljanje sledi izvedene redne kontrole poslovanja strank in kontrole aktualnosti osebnih dokumentov strank. Način izvajanja le-te se naj vključi v interni pravilnik, ki opredeljuje delovne postopke v okviru PPDFT.
39
4.2.1.3 Ustreznost in učinkovitost delovanja notranjih kontrol
Preverjanja ustreznosti in učinkovitosti delovanja notranjih kontrol so bila izvedena na ključnih delujočih notranjih kontrolah v procesih PPDFT. Testiranja smo opravili v okviru ocenjevanja ustreznosti in učinkovitosti delovanja notranjih kontrol za potrebe oblikovanja zagotovila o skladnosti poslovanja z zakonodajo (banka je dolžna vzpostaviti notranje kontrole, ki delujejo ustrezno in učinkovito). V nalogi bomo prikazali preverjanje ustreznosti in učinkovitosti delovanja notranjih kontrol v okviru procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja in tako opravili preveritev ustreznosti in učinkovitosti njihovega delovanja. Ustreznosti in učinkovitost notranjih kontrol smo preverjali tako, da smo najprej ugotovili cilj delovanja posamezne notranje kontrole in sprejemljivo tveganje zanjo. Nato smo na podlagi izvedenega preverjanja na izbranem vzorcu ugotovili število nastalih napak ali nepravilnosti. Na podlagi rezultatov preverjanja smo nato podali ugotovitev in oceno delovanja posamezne notranje kontrole. Uporabljali smo naslednje ocene delovanja notranjih kontrol:
Ustrezno – Notranja kontrola zagotavlja doseganje kontrolnega cilja. Sled notranje kontrole je primerno zagotovljena.
Delno ustrezno – Notranja kontrola deluje s pomanjkljivostmi (cilj ni dosežen popolnoma ali sled kontrole ni zagotovljena).
Neustrezno – Notranja kontrola ne deluje, je neučinkovita, pomembne nepravilnosti pri delovanju.
V okviru ocenjevanja notranjih kontrol smo z barvami ponazorili njihovo oceno delovanja (zeleno = ustrezno, rumeno = delno ustrezno, rdeče = neustrezno). Tabela z ocenjenim delovanjem notranjih kontrol je prikazana v Prilogi 4, s številko dokumenta F1.
4.2.2 Ugotovitve in revizijska priporočila
Na podlagi preizkušanj in ocenjevanj pridobljenih dokazil smo ugotovitve zbrali v okviru Revizijskega programa (stolpec »Opombe«) in jih nato prenesli v zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (Priloga 5). V zbirnem poročilu o ugotovljenih nepravilnostih in pomanjkljivostih smo zajeli opise ugotovljenih nepravilnosti in pomanjkljivosti, kakšne so možne posledice le-teh in predloge za izboljšanja. Prav tako smo navedli odgovorne osebe za odpravo ugotovljenih napak in neskladij ter predlagali časovne roke, do kdaj je potrebno le te odpraviti. Zbirno poročilo še ne predstavlja osnutka zaključnega poročila notranjih revizijskih aktivnosti. Nepravilnosti in pomanjkljivosti smo razvrstili v različne skupine, glede na ugotovljeno pomembnost posamezne napake ali ugotovljenega neskladja. V okviru poročila o ugotovljenih nepravilnostih in pomanjkljivostih, kot tudi kasneje v okviru revizijskega poročila SNR uporablja naslednje stopnje pomembnosti odkritij:
Izredni ukrep – nanaša se na bistvene ugotovitve ali tveganja, ki morajo biti takoj izvršeni (npr. tveganja velikih izgub). Izredni ukrepi so posledica ugotovljenih pomembnih neskladij z zakonodajo. Lahko so tudi posledica ugotovljenih pomanjkljivosti ali nepravilnosti v delovanju sistema notranjih kontrol. Z izrednim ukrepom revizorji poudarijo zelo pomembne ugotovitve.
Ukrep – nanaša se na pomembne ugotovitve, ki se morajo realizirati. Izpolnitev ukrepa je zahtevana.
Priporočilo – z njim SNR predlaga določen ukrep, za katerega ni nujna izvršitev. Izvedba le-tega je neobvezna.
40
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih smo dokumentirali na delovnem listu št. G1, ki je priloženo v okviru Priloge 5.
4.2.3 Zaključni sestanek
Po zaključenih revizijskih aktivnostih ugotavljanja skladnosti poslovanja in ocenjevanja ustreznosti in učinkovitosti notranjih kontrol smo sklicali zaključni sestanek z odgovornimi osebami na področjih, kjer so bile ugotovljene nepravilnosti in pomanjkljivosti. Na sestanku smo udeležencem predstavili ključne ugotovitve, ugotovljene tekom revizijskega postopka, na osnovi pripravljenega zbirnega poročila o ugotovljenih nepravilnostih in pomanjkljivostih (z oznako: G1). Namen zaključnega sestanka je bil podati splošno sliko revizorja o revidiranem področju, predstaviti zastavljene in dosežene cilje revizijskih aktivnosti, ugotovljene nepravilnosti in pomanjkljivosti, pojasniti uporabljene revizijske metode in odpraviti morebitne nejasnosti, ki so se ob navedenem pojavile pri revidirancih. Prav tako smo skušali uskladiti roke za odpravo ugotovljenih nepravilnosti in pomanjkljivosti. Na sestanku smo se dogovorili, da SNR pripravi osnutek revizijskega poročila, katerega bomo posredovali v pregled in uskladitev vsem odgovornim osebam področij, kjer so bile ugotovljene nepravilnosti in pomanjkljivosti. O poteku in dogovorjenem na zaključnem sestanku smo napisali zapisnik sestanka, ki smo ga odložili v revizijsko mapo, z oznako G2.
4.3 Poročanje o ugotovitvah notranje revizijskega postopka
Na podlagi poročila o ugotovljenih nepravilnostih in pomanjkljivostih (oznaka: G1) smo pričeli s postopkom izdelave zaključnega revizijskega poročila. Revizijsko poročilo smo najprej izdelali kot osnutek, ki ga je potrdil Vodja SNR in je bil nato posredovan v uskladitev odgovornim osebam področij, kjer so bile ugotovljene nepravilnosti in pomanjkljivosti. Osnutek zaključnega revizijskega poročila vsebuje enake sestavine kot zaključno poročilo. Po zaključenem postopku usklajevanj smo ob upoštevanju dogovorjenih sprememb izdelali končno revizijsko poročilo. Pri pripravi osnutka in nato končnega revizijskega poročila smo upoštevali Standard strokovnega ravnanja pri notranjem revidiranju št. 2400.
4.3.1 Uskladitveni postopek
Uskladitveni postopek se prične s posredovanjem osnutka revizijskega poročila odgovornim osebam področij, kjer so bile ugotovljene nepravilnosti in pomanjkljivosti. Osnutek revizijskega poročila smo pripravili na podlagi izsledkov, ki smo jih ugotovili tekom revizijskih aktivnosti. Osnutek revizijskega poročila ima skladno z internimi pravili SNR naslednje sestavine:
• opredelitev ciljev revizijskih aktivnosti, • opredelitev predmeta in področja revizijskih aktivnosti, • sklepno mnenje SNR, • opredelitev uporabljenih postopkov, • predstavitev ugotovitev notranje revizije,
41
• predloge priporočil za izboljšanje in • pojasnila revidirancev.
Osnutek revizijskega poročila smo pred posredovanjem revidirancem označili z oznako H1 in ga nato odložili v revizijsko mapo. Prav tako smo tekom usklajevanja revizijskega poročila vse prejete pripombe in predloge dopolnil ustrezno označili in odložili k osnutku revizijskega poročila (oznaka H2). Pri posredovanju revizijskega poročila revidirancem smo postavili rok za posredovanje pripomb ter dopolnitev, ki je trajal sedem (7) delovnih dni. V kolikor v predvidenem času s strani revidiranca nismo prejeli povratne informacije glede osnutka revizijskega poročila smo revidiranca ponovno pozvali k posredovanju njegovega mnenja. Po prejetih pripombah in dopolnilih smo le-te kritično presodili in jih v primeru primerne utemeljenosti vključili v končno revizijsko poročilo. Revidirancem smo posredovali odgovor katere pripombe so bile sprejete in katere ne, z ustrezno razlago. V usklajevanju tega revizijskega poročila nismo imeli neusklajenih pripomb. Sicer bi te vključili v dodatek končnega revizijskega poročila.
4.3.2 Poročilo poslovodstvu
Po prejetju vseh pripomb in dopolnil s strani revidirancev na posredovan osnutek revizijskega poročila smo, kot je opisano zgoraj, oblikovali končno revizijsko poročilo. Zaključno revizijsko poročilo predstavlja sklepni del revizijskih aktivnosti. V zaključnem revizijskem poročilu so zajeti izsledki, ugotovitve in priporočila za izboljšave. Končno poročilo smo pripravili skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2400. Končno revizijsko poročilo je sestavljeno iz povzetka poslovodstvu, kjer je predstavljana osnova za izvedbo revizijskega postopka in cilj revizijskih aktivnosti. Nadalje smo v tem delu podali sklepno mnenje SNR o revidiranem področju ter ostale splošne ugotovitve in poudarili bistvene nepravilnosti, ki so bile ugotovljene tekom revizijskega postopka. V povzetku smo povzeli pomembna odkritja ter dodali seznam vseh ugotovitev. Sklepno mnenje SNR je bilo v skladu s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2410.A1 podprto z zadostnimi, zanesljivimi, ustreznimi in koristnimi informacijami. Oblikovano je bilo na podlagi sinteze vseh ugotovitev tekom revizijskega postopka. Tako smo na podlagi izvedenih revizijskih postopkov podali mnenje, ki je zajemalo stanje, sodilo, razlog in posledice tveganja neusklajenosti. Prav tako smo v analitičnem delu zaključnega poročila podali priporočila za izboljšave ugotovljenih nepravilnosti in pomanjkljivosti. Pri osnovanju sklepnega mnenja o tem ali je sistem za PPDFT skladen z zakonodajnimi zahtevami smo uporabili opisni način, za katerega smo predhodno oblikovali kriterije. Tako je mnenje lahko:
• Poslovanje je skladno z zakonodajo – pomembnejše pomanjkljivosti in nepravilnosti pri ugotavljanju skladnosti delovanja sistema z zahtevami zakonodaje niso ugotovljene. Banka izpolnjuje več kot 90% preverjenih zakonodajnih zahtev.
• Poslovanje ni skladno z zakonodajo – ugotovljeno je večje število pomembnih pomanjkljivosti in nepravilnosti pri ugotavljanju delovanja sistema skladno z zahtevami zakonodaje. Banka izpolnjuje manj kot 90% preverjenih zakonodajnih zahtev.
Drugi del revizijskega poročila je analitičen. V njem smo najprej predstavili cilj in področje notranje revizije in nato opisali uporabljene metode in tehnike revidiranja. Nato smo po
42
posameznih področjih predstavili ugotovljene nepravilnosti in pomanjkljivosti ter podali predloge za odpravo oziroma izboljšanje le-teh s časovnimi roki, ki smo jih uskladili tekom postopka usklajevanja. V revizijsko poročilo smo vključili še podatke o času izvajanja revizijskih aktivnosti ter na koncu poročila tudi datum in kraj izdaje poročila. Navedli smo prejemnike poročila in dodali oznako zaupno. Vključen je tudi seznam notranjih revizorjev, ki so sodelovali v okviru revizijskih aktivnosti. Tako pripravljeno revizijsko poročilo se podpiše s strani vodje revizijske skupine in s strani revizijskega predstojnika oziroma Vodje SNR. Prejemniki revizijskega poročila so:
1. Uprava banke, 2. direktorji oddelkov, kjer so bile ugotovljene nepravilnosti in pomanjkljivosti ter 3. Pooblaščenec za PPDFT.
Zaključeno revizijsko poročilo smo nato najprej posredovali v odobritev Upravi banke, kjer smo na seji opravili predstavitev le-tega. Po odobritvi revizijskega poročila in predlaganih priporočil smo tega posredovali tudi ostalim prejemnikom. Končno revizijsko poročilo smo označili z oznako I1 in ga odložili v revizijsko mapo. Končno revizijsko poročilo je predstavljeno v Prilogi 6.
4.4 Razvidovanje in arhiviranje
SNR je način razvidovanja in arhiviranja revizijskega gradiva določila v okviru internega pravilnika, skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2330. Pravilnik določa, da je notranji revizor dolžan dosledno označevati in shranjevati revizijsko dokumentacijo, ki predstavlja podlago za ugotovljene nepravilnosti in pomanjkljivosti ter oblikovanje zaključnega mnenja v okviru revizijskih aktivnosti. Delovni listi in ostala dokumentacija morajo biti izdelani skrbno in dosledno, kar pomeni, da so urejeni, poenoteni in označeni. Za označevanje SNR uporablja sistem, ki je enostaven in pregleden, hkrati pa dopušča možnost kasnejše razširitve in dopolnjevanje posameznega področja. V SNR uporabljamo elektronsko bazo, ki se uporablja za shranjevanje revizijske dokumentacije in predstavlja osnovno mesto dokumentacije v primeru kasnejših vpogledov vanjo. Elektronsko bazo dopolnjuje revizijski rednik, ki je odložen v ognjevarni omari SNR. Revizijsko dokumentacijo smo tekom revizijskih aktivnosti dosledno označevali in jo odlagali v revizijsko mapo, ki je v našem primeru elektronska. V kolikor je pridobljena revizijska dokumentacija v fizični obliki jo odložimo v rednik revizije v elektronski evidenci pa označimo sklic nanjo. Sklic je takšen, da predmetno dokumentacijo brez težav lahko poišče tudi tretja oseba. Struktura revizijske mape po zaključenih revizijskih aktivnostih je bila naslednja:
A1…………… Izvedbeni načrt notranje revizije PPDFT B1…………… Nalog za pričetek revizije B2…………… Najava revizijskega postopka B3…………… Memorandum o načrtovanju B3.1…………. Seznam zakonodaje in izhajajočih ključnih zahtev B3.2…………. Seznam internih pravilnikov in izhajajočih ključnih zahtev B3.3…………. Povzetek bistvenih ugotovitev iz predhodnih notranjih in zunanjih
pregledov
43
C1…………… Vprašalnik za opredelitev procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja
C2…………… Proces običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja
C3…………… Cilji delovanja, tveganja in kontrolne aktivnosti v okviru procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja
D1…………… Začetna ocena tveganj in mehanizmov za njihovo zaznavanje in preprečevanje – matrika
E1…………… Revizijski program EI-EVIII…..…Primeri delovnih listov F1…………….Tabela z ocenjenim delovanjem notranjih kontrol G1…………… Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih G2…………… Zapisnik zaključnega sestanka H1…………… Osnutek revizijskega poročila H2…………….Prejete pripombe in predlogi dopolnil na osnutek revizijskega
poročila I1……………. Zaključno poročilo
Po zaključenih revizijskih aktivnostih Vodja SNR ali po pooblastilu drug sodelavec SNR pregleda revizijsko mapo in opozori odgovorno osebo na morebitne pomanjkljivosti.
4.5 Spremljanje uresničitve predlogov notranje revizije
SNR je skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2500 vzpostavila postopke spremljanja in zagotavljanja uresničevanja predlogov notranje revizije. Za spremljanje uresničevanja predlogov se uporablja računalniška aplikacija, v katero se vnašajo vsa, s strani poslovodstva, sprejeta priporočila. Zraven besedila priporočil vsebuje aplikacija informacije o odgovornih osebah, rokih za izvedbo in omogoča revizorju pisanje komentarjev o izvajanju in shranjevanje dokazil izvajanja priporočil. Aplikacija je zasnovana na način, da Vodja SNR potrdi status izvedenosti posameznega priporočila za tem, ko je notranji revizor vnesel komentar in dokazilo o izvršitvi priporočenega. Spremljanje uresničevanja predlogov se izvaja dvakrat letno. Takrat se iz omenjene aplikacije izpiše seznam odprtih priporočil in se izvede preveritev izvršenosti vsakega posameznega priporočila. Dokazila o izvedenosti se nato arhivirajo v aplikaciji. V koliko se neko priporočilo ne izvede obstaja možnost, da Uprava banke sprejme sklep o sprejetem tveganju, ki ga povzroča neizvedenost posameznega priporočila. V kolikor SNR oceni, da je sprejeto tveganje nesprejemljivo za banko o tem obvesti Revizijsko komisijo in Nadzorni svet banke, ki sprejme dokončno odločitev.
4.6 Nadzor nad izvedbo notranjega revizijskega posla
Vodja SNR in Vodja revizijske skupine sta skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2340 izvajala tekom poteka revizijskih aktivnosti nadzor nad uresničevanjem revizijskega cilja in kakovosti izvedbe posla.
44
Kakovost revizijskih sporočil mora biti skladno s Standardom strokovnega ravnanja pri notranjem revidiranju št. 2420 zagotovljena tako, da so predstavljene informacije nepristranske, točne, jasne, jedrnate, ustvarjalne, popolne in pravočasne18. Nadzorstvene aktivnosti smo opisali tekom izvedbe posameznih revizijskih korakov v okviru zaključne naloge. Zraven navedenega je v sklepni fazi revizijskega postopka Vodja SNR ocenil vrednost revizijskih učinkov za banko na podlagi podanih priporočil v primerjavi z nastalimi stroški izvedbe notranje revizije.
18 Nepristranska sporočila so poštena, objektivna in brez predsodkov ter izidi pravičnih in uravnovešenih presoj in vseh ustreznih dejstev in okoliščin. Točna sporočila so brez napak in popačenj ter sledijo temeljnim dejstvom. Jasna sporočila so logična in lahko razumljiva ter brez nepotrebnih strokovnih izrazov nudijo vse potrebne, pomembne in ustrezne informacije. Jedrnata sporočila se dotikajo bistva in se izogibajo odvečnim podrobnostim ter gostobesednosti. Ustvarjalna sporočila so koristna za naročnika posla ter vodijo do potrebnih izboljšav. Popolna sporočila so celovita in vsebujejo vse pomembne in ustrezne informacije, ki podpirajo priporočila in sklepe. Pravočasna sporočila so časovno smotrna glede na pomen zadeve, da omogočajo poslovodstvu ustrezne ukrepe.
45
SKLEP Ocenjujemo, da je opredeljen namen zaključne naloge – prikazati celoten postopek izbranega notranje revizijskega posla in predstaviti sposobnost samostojne in strokovne izvedbe takšnega posla – izpolnjen. V nalogi smo prikazali izvedbo notranje revizije po predpisanih fazah in korakih na zahtevani strokovni in poklicno-etični ravni, v skladu z Mednarodnimi standardi strokovnega ravnanja pri revidiranju. Kot cilj naloge smo zastavili izvedbo revizije skladnosti poslovanja bančnega sistema za PPDFT z zakonodajo. Preverjali smo ali je notranji kontrolni sistem na revidiranem področju vzpostavljen skladno z določili zakonodaje in bančnimi pravili. Obenem pa smo opravili ocenitev sistema notranjih kontrol, ki omogoča obvladovanje tveganj skladnosti oziroma zakonitosti postopkov v procesih PPDFT. Na koncu smo na podlagi ugotovitev poslovodstvu banke podali mnenje ali je obvladovanje ključnih tveganj skladnosti poslovanja na revidiranem področju na zadovoljivi ravni. Načelo, ki nas je vodilo skozi pripravo zaključne naloge je bilo vključiti bistvene vidike presojanja, s pomočjo naslednjih vprašanj »Kaj? Čemu? Kje? Kako? in Kdo?«. Odgovori na ta vprašanja so nam omogočili celovito izvedbo presojanj in nam ponudili zadostno podlago za oblikovanje ugotovitev in zaključne sinteze. V okviru teoretičnega dela naloge smo spoznali in predstavili abstrakten okvir informacij, ki so potrebne za ustrezno in učinkovito izvedbo notranjega revizijskega posla. Tako smo na kratko predstavili najpomembnejše značilnosti banke – revidiranca, kjer je bil opravljen revizijski postopek in strokovne podlage ter strokovna dognanja na področju preprečevanja pranja denarja in financiranja terorizma. Spoznali smo pravna izhodišča revidiranega področja ter tveganja, ki izhajajo iz aktivnosti na področju PPDFT. Omenjeno je predstavljalo podlago za celovito izvedbo notranje-revizijskih aktivnosti. S prikazom notranjega revidiranja skladnosti poslovanja v procesih PPDFT smo predstavili pristop k notranjemu revizijskemu poslu in izvedbo posla samega. V praktičnem delu naloge smo prikazali aktivnosti notranjega revizijskega posla, ki je bil izveden skladno z Mednarodnimi standardi strokovnega ravnanja pri revidiranju, po posameznih fazah in korakih, s podajo sklepnega revizijskega mnenja, na podlagi sinteze posameznih revizijskih ugotovitev. Menimo, da smo tekom zaključne naloge dosegli zastavljen namen in cilj zaključne naloge, katerih smoter je ustvariti dodano vrednost za revidiranca, izhajajočo iz revizijskih aktivnosti. Pomembno je, da se naročnik posla, ob zaključku revizijskih aktivnosti zaveda doprinosa, ki ga je pridobil na podlagi ugotovitev in priporočil, podanih s strani notranjega revizorja.
46
SEZNAM LITERATURE IN VIROV 1. Banka Slovenije. 2008. Usmeritve pri izvajanju ukrepov na področju preprečevanja pranja
denarja in financiranja terorizma za bančni sektor.
2. Baselski komite za bančni nadzor. 2001. Operational Risk [online]. [citirano 28. nov. 2011]. Dostopno na spletnem naslovu: <http://www.bis.org/publ/bcbsca07.pdf>.
3. Chambers, Andrew. 2005. Tolley's International Auditor's Handbook. London: LexixNexis Butterworths.
4. COSO. 2004. Enterprise risk management – Integrated framework. Framework. The Committee of Sponsoring Organizations of the Treadway Commission.
5. Delovna gradiva iz letnih konferenc notranjih revizorjev, 2006 – 2011.
6. Direktiva Evropskega parlamenta in Sveta 2005/60/ES. Uradni list EU L 309/15.
7. Direktiva komisije 2006/70/ES. Uradni list EU L 214/29.
8. Gradivo za izobraževanje za pridobitev strokovnega naziva notranji revizor. 2010/2011. Ljubljana: Slovenski inštitut za revizijo.
9. Interna delovna navodila in pravilniki, ki obravnavajo področje PPDFT v banki.
10. Interna navodila in pravilniki, ki obravnavajo področje notranjega revidiranja v banki.
11. Jagrič, Milan. 2001. Vpliv ustroja notranjih kontrol na doseganje poslovne učinkovitosti in
uspešnosti. 33. simpozij o sodobnih metodah v računovodstvu, financah in reviziji. Ljubljana: Zveza Ekonomistov in Zveza računovodij, finančnikov in revizorjev.
12. Kazenski zakonik. Uradni list RS št. 95/04, 05/09.
13. Kodeks notranjerevizijskih načel. 2004. Slovenski inštitut za revizijo.
14. Kodeks poklicne etike notranjih revizorjev. 2011. Slovenski inštitut za revizijo.
15. Koletnik, Franc. 2007. Notranje revidiranje. Ljubljana: Slovenski inštitut za revizijo.
16. Koletnik, Franc. 2011. Navodilo za pisanje zaključne naloge o notranji reviziji. Ljubljana: Slovenski inštitut za revizijo.
17. Mednarodni standardi strokovnega ravnanja pri notranjem revidiranju. 2010. The Institute of Internal Auditors.
18. Peršolja Nikolavčič, Suzana. 2011. Vzpostavitev sistema za preprečevanje in odkrivanje
pranja denarja in financiranja terorizma v banki. Ljubljana: Univerza v Ljubljani, Ekonomska fakulteta.
19. Pravilnik o določitvi pogojev za obravnavo osebe kot stranke z neznatnim tveganjem za pranje denarja ali financiranje terorizma (Uradni list RS, št. 10/08).
20. Pravilnik o določitvi pogojev za ugotavljanje in preverjanje istovetnosti stranke z uporabo kvalificiranega digitalnega potrdila stranke (Uradni list RS, št. 10/08).
21. Pravilnik o določitvi pogojev, ki jih mora izpolnjevati oseba, da lahko nastopa v vlogi tretje osebe (Uradni list RS, št. 10/08).
22. Pravilnik o določitvi seznama enakovrednih tretjih držav (Uradni list RS, št. 10/08, 102/11).
23. Pravilnik o izvajanju notranje kontrole, pooblaščencu, hrambi in varstvu podatkov ter upravljanju evidenc pri organizacijah, odvetnikih, odvetniških družbah in notarjih (Uradni list RS, št. 10/08).
47
24. Pravilnik o načinu sporočanja podatkov Uradu RS za preprečevanje pranja denarja (Uradni list RS, št. 10/08, 90/11).
25. Režek, Damjan. 2002. Preprečevanje in odkrivanje pranja denarja. Problematika odkrivanja
in pregona gospodarske kriminalitete. Ljubljana: Ministrstvo RS za notranje zadeve.
26. Sawyer Lawrence, M.A. Dittnehofer and J.H.Scheiner. 2003. Sayer's Internal Auditing, 5th edition. Altamonte Springs: The institute of Internal Auditors.
27. Slapnik, Marija, in Dvoršek, Anton. 2011. Strategija preprečevanje pranja denarja. Ljubljana: Fakulteta a varnostne vede.
28. Smernice za izvajanje ZPPDFT – Smernice za izvajanje Zakona o preprečevanju pranja
denarja in financiranja terorizma za dajalce kreditov in kreditne posrednike. 2010. Republika Slovenija, Ministrstvo za finance, Urad RS za preprečevanje pranja denarja.
29. Spaulding, William C. 2005. Bank Risks [online]. [citirano 27. nov. 2011]. Dostopno na spletnem naslovu: <http://thismatter.com/money/banking/bank-risks.htm>.
30. Šeme Hočevar, V. 2007. Pranje denarja. Učinkovito odkrivanje in preprečevanje. Ljubljana: GV Založba.
31. Zakon o bančništvu. Uradni list RS št. 131/06, 1/08, 109/08, 19/09, 79/10, 99/10, 52/11, 9/11, 35/11, 59/11, 85/11, 48/12.
32. Zakon o omejevalnih ukrepih. Uradni list RS št. 127/06
33. Zakon o preprečevanju pranja denarja in financiranja terorizma (Uradni list RS, št. 60/07, 47/09, 48/10, 19/10 in 77/11).
1
PRILOGE
Priloga 1: Memorandum o načrtovanju .............................................................................................. 2
Priloga 2: Začetna ocena tveganj in mehanizmov za njihovo zaznavanje in preprečevanje – matrika ............................................................................................................................................................ 5
Priloga 3: Revizijski program ........................................................................................................... 17
Priloga 4: Ugotavljanje ustreznosti in učinkovitosti delovanja notranjih kontrol ............................ 22
Priloga 5: Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih ................................ 24
Priloga 6: Zaključno revizijsko poročilo .......................................................................................... 32
2
Priloga 1: Memorandum o načrtovanju
Memorandum o načrtovanju revizijskih aktivnosti na področju PPDFT Oznaka: B3 1. Opis področja revizijskega pregleda Cilj revizijskih aktivnosti na področju PPDFT je izvedba notranje-revizijskih postopkov ugotavljanja skladnosti poslovanja sistema za PPDFT v poslovni banki z zakonodajo. Notranje-revizijski postopki bodo izvedeni z namenom podaje mnenja:
1. ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in predpisi, prepoznana;
2. ali je postavljena sprejemljiva raven prepoznanih tveganj; 3. ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in 4. ali je delovanje notranjih kontrol uspešno in učinkovito.
Na podlagi izvedenih revizijskih postopkov bomo podali mnenje, ki bo zajemalo stanje, sodilo, razlog in posledice tveganja neusklajenosti. Prav tako bomo podali priporočila za izboljšave ugotovljenih nepravilnosti in pomanjkljivosti. Organizacijsko se delovni procesi iz področja PPDFT izvajajo v več oddelkih banke. Pooblaščenec za PPDFT je organizacijsko neposredno podrejen upravi banke, kateri tudi poroča. Namestniki Pooblaščenca za PPDFT so zaposlenih v drugih oddelkih banke. Tako pooblaščenec, namestniki kot vse zaledne službe so nameščene na sedežu uprave banke. Prodajne službe so zraven tega, da so prisotne na sedežu uprave banke razpršene po celotni Sloveniji, v okviru bančne mreže. V okviru pregleda novosti na revidiranem področju smo ugotovili, da je banka imenovala novega Namestnika Pooblaščenca za PPDFT. Hkrati je bilo ugotovljeno, da ima banka z letošnjim letom vzpostavljen nov informacijski sistem za nadzor tvegaj na področju PPDFT, ki preverja ustreznost poslovanja posameznih strank in njihovega poslovanja ter njihove prisotnosti na 'črnih listah'. Sicer je prehajanje zaposlenih na revidiranem področju v normalnih okvirjih. Hkrati ugotavljamo, da je v času finančne krize povečano število poizkusov pranja denarja. Tekom revizijskih aktivnosti bomo preverili obstoj opisa ključnih delovnih nalog in obstoj opisov delovnih mest. Nadalje bomo presojali primernost razmejitve odgovornosti za posamezna delovna mesta v okviru delovnih postopkov PPDFT. 2. Odgovorne osebe na revidiranem področju
1. Ime in priimek, Pooblaščenec za preprečevanje in pranje denarja, 2. Ime in priimek, Direktor Oddelka poslovanja s prebivalstvom, 3. Ime in priimek, Direktor Oddelka poslovanja z gospodarskimi družbami, 4. Ime in priimek, Direktor Oddelka za osebje.
3. Zakonodajni okvir • Zakon o bančništvu (ZBan-1) • Zakon o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT) • Pravilnik o izvajanju notranje kontrole, pooblaščencu, hrambi in varstvu podatkov ter upravljanju
evidenc pri organizacijah, odvetnikih in odvetniških družbah in notarjih, • Pravilnik o načinu sporočanja podatkov Uradu RS za preprečevanje pranja denarja, • Pravilnik o določitvi pogojev, pod katerimi za nekatere stranke ni treba sporočiti podatkov o
gotovinskih transakcijah, • Pravilnik o določitvi pogojev, ki jih mora izpolnjevati oseba, da lahko nastopa v vlogi tretje osebe, • Pravilnik o določitvi pogojev za ugotavljanje in preverjanje istovetnosti stranke z uporabo
kvalificiranega digitalnega potrdila stranke, • Pravilnik o določitvi seznama enakovrednih tretjih držav in • Pravilnik o določitvi pogojev za obravnavo osebe kot stranke z neznatnim tveganjem za pranje
denarja in financiranje terorizma. • Zakon o omejevalnih ukrepih
Seznam zakonodaje in izhajajočih ključnih zahtev smo dokumentirali na delovnem listu z oznako B3.1. Na podlagi zakonodajnih zahtev smo ugotavljali vpliv le-teh na potreben obseg revizijskih aktivnosti.
Priloga 1- Memorandum o načrtovanju
3
4. Interni pravilniki in drugi organizacijski predpisi Proučeni so bili interni pravilniki in delovna navodila, ki urejajo procese iz področja PPDFT. Ugotovljeno je bilo, da naslednji akti vključujejo določila, glede ukrepov proti pranju denarja in financiranju terorizma:
• Pravilnik o preprečevanju pranja denarja in financiranja terorizma v banki; • Analiza tveganosti po Zakonu o preprečevanju pranja denarja in financiranju terorizma; • Delovna navodila za operativno izvedbo segmentacije novih strank in preverjanje PEP ter FISE; • Navodilo za preverjanje oseb – FISA; • Navodilo in postopki za izvajanje preprečevanja pranja denarja in financiranja terorizma v
poslovalnicah; • Potrebna dokumentacija za odprtje posameznega posla glede na pravno obliko strank; • Delovno navodilo Oddelka centralno bančne operative v zvezi z izvajanjem Zakona o
preprečevanju pranja denarja in financiranju terorizma; in • Delovno navodilo in postopki za izvajanje postopkov preprečevanja pranja denarja in financiranja
terorizma na področju globalnih financ. Za navedene organizacijske akte smo preverjali ali vsebujejo ključne delovne procese skladno z zahtevami zakonodaje. Ali so razumljivi in urejeni ter ažurni glede na nove procese in zakonske spremembe. Prav tako smo ugotavljali ali je razmejitev odgovornosti med posameznimi zaposlenimi, ki delujejo v okviru procesov PPDFT zadovoljiva. Seznam internih pravilnikov in izhajajočih ključnih zahtev smo dokumentirali na delovnem listu z oznako B3.2. Na podlagi predmetnih zahtev smo ugotavljali vpliv le-teh na potreben obseg revizijskih aktivnosti. 5. Povzetek bistvenih ugotovitev iz predhodnih notranjih in zunanjih pregledov Pregledali smo zapisnike različnih zunanjih in notranjih neodvisnih pregledovalcev (Banka Slovenije, Urad za preprečevanje pranja denarja, zunanji revizorji, predhodni pregledi SNR) z namenom identificirati pomanjkljivosti, ki so bile že ugotovljene. Tekom revizijskega postopka bomo ugotavljali ali so navedene nepravilnosti in pomanjkljivosti odpravljene in ali se pojavljajo nove. Povzetek ugotovitev smo evidentirali v okviru delovnega papirja z oznako B3.3. 6. Ključni dejavniki tveganj pri delovanju Identificirali in ocenili smo tveganja pri delovanju, to so tveganja na nastanek katerih banka nima neposrednega vpliva. Pri identifikaciji smo upoštevali presojo iz vidika verjetnosti in vpliva. Tabela X: Ključni dejavniki tveganj pri delovanju
Dejavnik Verjetnost nastanka Vpliv Večja sprememba zakonodaje (Vpliv na pomanjkljivo skladnost poslovanja z zakonodajo, v kolikor sprememba ne bi bila pravočasno prepoznana)
Majhna Velik
Menjava poslovodstva (Vpliv na izvajanje oz. spremembo strategije poslovanja)
Majhna Velik
Odhod ključnih zaposlenih (Vpliv na odhod znanja ('know-how'), povečanje operativnega tveganja, podaljševanje postopkov)
Srednja Velik
Odpoved informacijskega sistema (Vpliv na nezmožnost zagotavljanja nekaterih bančnih storitev oz. njihovo pomanjkljivo izvajanje)
Majhna Velik
Nedelovanje mednarodnih črnih list (Vpliv na podaljševanje izvajanja postopkov zagotavljanja omejevalnih ukrepov in pomanjkljivost izvedenih postopkov, glede na neažurnost internih črnih list)
Srednja Velik
Neodzivnost Urada za PPD (Vpliv na podaljševanje izvajanja nekaterih procesov in možnost za nastanek poslovanja, ki je v neskladju s pravili regulatorja)
Majhna Velik
Tekom revizijskega postopka bo izvedena začetna ocena tveganj in mehanizmov za njihovo prepoznavanje in preprečevanje, ki bo predstavljala podlago za pripravo revizijskega načrta.
Priloga 1- Memorandum o načrtovanju
4
7. Predvideni postopki revidiranja • proučitev zakonodaje in internih aktov, ki velja za področje PPDFT, • razgovori z zaposlenimi, vključenimi v proces PPDFT, • popisovanje procesov na področju PPDFT in identificiranje vgrajenih kontrol v procesih, • preizkušanje delovanja notranjih kontrol v proučevanih procesih in • raziskovanje dokazov, opazovanje, proučevalni postopki, vzorčenje in drugo.
8. Obdobje revidiranja Leto 2011 in 2012 (do 30. junija). Obdobje po zadnjih revizijskih aktivnostih SNR na področju PPDFT. 9. Revizijski cilj Cilj naloge je izvedba in prikaz notranje-revizijskih postopkov ugotavljanja skladnosti poslovanja sistema za PPDFT v poslovni banki z zakonodajo. Notranje-revizijski postopki bodo izvedeni z namenom podaje mnenja:
1. ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in predpisi, prepoznana;
2. ali je postavljena sprejemljiva raven prepoznanih tveganj; 3. ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in 4. ali je delovanje notranjih kontrol uspešno in učinkovito.
Na podlagi izvedenih revizijskih postopkov bomo podali mnenje, ki bo zajemalo stanje, sodilo, razlog in posledice tveganja neusklajenosti. Prav tako bomo podali priporočila za izboljšave ugotovljenih nepravilnosti in pomanjkljivosti. 10. Revizijska skupina
• Ime priimek, Vodja revizijske skupine, • Ime priimek, Revizor 1 • Ime priimek, Strokovnjak iz področja PPDFT (Pooblaščenec za področje PPDFT)
5
Pri
loga
2:
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
del
ovn
i lis
t št
. D1
(lis
t 1/
12)
R
eviz
ijsk
i pri
stop
I. N
OT
RA
NJE
OK
OL
JE
1.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a za
pisa
nega
in
spr
ejet
ega
kode
ksa
posl
ovne
eti
ke
ter
da g
a za
posl
eni n
e po
znaj
o 3
2 6
Let
na iz
obra
ževa
nja
o vs
ebin
i kod
eksa
, do
loči
tev
odgo
vorn
osti
za
prip
ravo
in k
omun
icir
anje
ko
deks
a
Uči
nkov
ito
Pre
veri
ti a
li je
pos
lovo
dstv
o sp
reje
lo k
odek
s po
slov
ne e
tike
; iz
raz
govo
rov
z za
posl
enim
i ugo
tovi
ti
pozn
avan
je in
spo
štov
anje
kod
eksa
; pre
veri
tev
odgo
vorn
osti
za
prip
ravo
in k
omun
icir
anje
ko
deks
a
2.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a op
rede
ljen
ih
pris
tojn
osti
in o
dgov
orno
sti v
pro
cesu
P
PD
FT
3
1 3
Org
anig
ram
, Spr
ejet
i pr
avil
niki
in n
avod
ila
Uči
nkov
ito
Pre
veri
ti o
bsto
j in
vseb
insk
o us
trez
nost
or
gani
gram
a in
pra
viln
ikov
3.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e iz
osta
nka/
odho
da k
ljuč
nih
zapo
slen
ih
3 2
6 Im
enov
anje
in
izob
raže
vanj
e na
mes
tnik
ov
Uči
nkov
ito
Pre
veri
ti a
li s
o bi
li n
ames
tnik
i im
enov
ani i
n al
i po
znaj
o vs
ebin
o de
la, k
i bi g
a op
ravl
jali
v
prim
eru
nado
meš
čanj
a
4.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e ne
prim
erne
vod
stve
ne
stru
ktur
e in
odn
osa
do s
odel
avce
v 3
3 9
Opr
edel
itev
pot
rebn
ih
kom
pete
nc z
a im
enov
anje
vo
dstv
eneg
a ka
dra
Uči
nkov
ito
Raz
govo
r z
vods
tven
im k
adro
m i
n za
posl
enim
i
5.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e po
man
jkan
ja s
trok
ovne
ga
znan
ja
3 2
6 S
trok
ovna
izob
raže
vanj
a U
čink
ovit
o P
reve
rite
v iz
vedb
e iz
obra
ževa
nj in
sez
amov
za
posl
enih
, ki s
o se
jih
udel
ežil
i
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
6
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
del
ovn
i lis
t št
. D1
(lis
t 2/
12)
R
eviz
ijsk
i pri
stop
II. P
OS
TA
VL
JAN
JE P
OS
LO
VN
IH C
ILJE
V
6.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a po
stav
ljen
e in
zap
isan
e ja
sne
stra
tegi
je g
lede
pr
ihod
njeg
a de
lova
nja
3
1 3
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a pr
ipra
vo
stra
tegi
je
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
ever
itev
str
ateg
ije
in o
dgov
orno
sti
za n
jeno
pri
prav
o
7.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e n
eust
rezn
o po
stav
ljen
ih
cilj
ev n
a po
droč
ju P
PD
FT
3
1 3
Nav
odil
a, iz
obra
ževa
nja
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
ever
itev
vse
bine
izob
raže
vanj
, pr
ever
itev
cil
jev
8.
Uči
nkov
ito
delo
vanj
e T
vega
nje,
da
bank
a ne
pos
odab
lja
redn
o po
stav
ljen
ih c
ilje
v 3
3 9
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a po
soda
blja
nje
cilj
ev
Uči
nkov
ito
Pre
veri
tev
kron
olog
ije
poso
dabl
janj
a le
tnih
ci
ljev
, pre
veri
tev
obst
oja
navo
dil,
prev
erit
ev
odgo
vorn
osti
za
poso
dabl
janj
e ci
ljev
9.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
ne s
prem
lja
dose
ganj
a za
stav
ljen
e st
rate
gije
(v
zpos
tavl
jeno
st p
oroč
eval
skih
toko
v)
3 2
6
Nav
odil
a, v
zpos
tavl
jeno
st
poro
čeva
lski
h to
kov,
do
loči
tev
odgo
vorn
osti
za
spre
mlj
anje
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l in
poro
čeva
lski
h to
kov,
pre
veri
tev
odgo
vorn
osti
za
spre
mlj
anje
10.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a vz
post
avlj
enih
kaz
alni
kov
za m
erje
nje
uspe
šnos
ti iz
vaja
nja
stra
tegi
je
3 3
9 N
avod
ila,
dol
očit
ev
odgo
vorn
osti
za
dolo
čite
v ka
zaln
ikov
U
čink
ovit
o P
reve
rite
v ob
stoj
a in
pro
učit
ev v
sebi
ne
navo
dil i
n od
govo
rnos
ti z
a do
loči
tev
kaza
lnik
ov
11.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a za
posl
eni n
iso
sezn
anje
ni s
pos
tavl
jeno
ban
čno
stra
tegi
jo in
str
ateg
ijo
na p
odro
čju
PP
DF
T
3 2
6 N
avod
ila,
str
ateg
ija,
vz
post
avlj
en s
iste
m
info
rmir
anja
zap
osle
nih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, st
rate
gije
in s
iste
ma
za in
form
iran
je
zapo
slen
ih, v
praš
alni
k
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
7
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
del
ovn
i lis
t št
. D1
(lis
t 3/
12)
R
eviz
ijsk
i pri
stop
III.
PR
EP
OZ
NA
VA
NJE
DO
GO
DK
OV
12.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a vz
post
avlj
eneg
a si
stem
atič
nega
pr
epoz
nava
nja
dogo
dkov
, ki v
pliv
ajo
na P
PD
FT
3 2
6
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a iz
vedb
o pr
epoz
nava
nja
in a
nali
ze
dogo
dkov
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, se
znam
ov p
repo
znan
ih d
ogod
kov
in
njih
ove
anal
ize,
pre
veri
tev
odgo
vorn
osti
za
izve
dbo
prep
ozna
vanj
a
13.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a v
bank
i ni o
pred
elje
na
odgo
vorn
ost z
a pr
epoz
nava
nje
dogo
dkov
3
2 6
Nav
odil
a, o
pisi
del
ovni
h m
est
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l in
opis
ov d
elov
nih
mes
t
14.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a vz
post
avlj
ene
met
odol
ogij
e za
pr
epoz
nava
nje
dogo
dkov
3
3 9
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a pr
ipra
vo
met
odol
ogij
e U
čink
ovit
o
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l ter
vzp
osta
vlje
ne m
etod
olog
ije,
pr
ever
itev
odg
ovor
nost
i za
prip
ravo
m
etod
olog
ije
IV. O
CE
NJE
VA
NJE
TV
EG
AN
J
15.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
ne o
cenj
uje
tveg
anj n
a po
droč
ju P
PD
FT
(da
m
ehan
izm
i nis
o vz
post
avlj
eni)
3
1 3
Ana
liza
tveg
anj n
a po
droč
ju P
PD
FT
, na
vodi
la, v
zpos
tavl
jena
m
etod
olog
ija,
dol
očit
ev
odgo
vorn
osti
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
A
nali
ze tv
egan
osti
, nav
odil
, met
odol
ogij
e in
vp
raša
lnik
, pre
veri
tev
odgo
vorn
osti
16.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a ba
nka
zrav
en tv
egan
ja
pri d
elov
anju
ne
ocen
juje
pre
osta
lega
tv
egan
ja n
a po
droč
ju P
PD
FT
3
2 6
Nav
odil
a, v
zpos
tavl
jena
m
etod
olog
ija
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, m
etod
olog
ije
in v
praš
alni
k
17.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a vz
post
avlj
ene
prof
ila
tveg
anos
ti n
a po
droč
ju P
PD
FT
3
1 3
Ana
liza
tveg
anj n
a po
droč
ju P
PD
FT
, na
vodi
la, v
zpos
tavl
jena
m
etod
olog
ija,
dol
očit
ev
odgo
vorn
osti
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, m
etod
olog
ije
in A
nali
ze tv
egan
osti
, pr
ever
itev
odg
ovor
nost
i
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
8
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
del
ovn
i lis
t št
. D1
(lis
t 4/
12)
R
eviz
ijsk
i pri
stop
18.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a v
bank
i ni o
pred
elje
na
odgo
vorn
ost z
a oc
enje
vanj
e tv
egan
j na
pod
ročj
u P
PD
FT
3
1 3
Nav
odil
a, o
pisi
del
ovni
h m
est
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l ter
opi
sov
delo
vnih
mes
t
V. O
DZ
IVA
NJE
NA
TV
EG
AN
JA
19.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e,da
ban
ka n
ima
vzpo
stav
ljen
ega
ustr
ezne
ga o
dziv
anja
na
tveg
anja
na
podr
očju
PP
DF
T
3 1
3 N
avod
ila,
dol
očit
ev
odgo
vorn
osti
za
odzi
vanj
a na
tveg
anja
U
čink
ovit
o
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
egle
d iz
reče
nih
ukre
pov
in
njih
oveg
a iz
vaja
nja,
pre
veri
tev
odgo
vorn
osti
za
odz
ivan
je n
a tv
egan
ja
20.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a v
bank
i ni o
pred
elje
na
odgo
vorn
ost z
a od
ziva
nje
na tv
egan
ja
na p
odro
čju
PP
DF
T
3 1
3 N
avod
ila,
opi
si d
elov
nih
mes
t U
čink
ovit
o P
reve
rite
v ob
stoj
a in
pro
učit
ev v
sebi
ne
navo
dil,
opis
ov d
elov
nih
mes
t
21.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a ba
nka
ni o
pred
elil
a sp
reje
mlj
iveg
a tv
egan
ja n
a po
droč
ju
PP
DF
T
3 2
6
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a od
ziva
nja
na tv
egan
ja n
a po
droč
ju
PP
DF
T
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
nav
odil
te
r os
tale
dok
umen
taci
je, k
i nas
taja
kot
odz
iv
na tv
egan
ja, p
reve
rite
v od
govo
rnos
ti z
a od
ziva
nje
na tv
egan
ja n
a po
droč
ju P
PD
FT
VI.
KO
NT
RO
LN
E A
KT
IVN
OS
TI
VI.
I. A
ktiv
nos
ti p
rip
rave
in p
osod
ablj
anja
An
aliz
e tv
egan
osti
po
ZP
PD
FT
(6.
čle
n Z
PP
DF
T)
22.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a an
aliz
a tv
egan
osti
ni
prip
ravl
jena
/ni p
otrj
ena
s st
rani
vo
dstv
a in
ni u
stre
zno
doku
men
tira
na
3 1
3 N
avod
ila,
dol
očit
ev
odgo
vorn
osti
za
anal
izo
tveg
anos
ti p
o Z
PP
DF
T
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, ki
pre
dpis
ujej
o pr
ipra
vo a
nali
ze
tveg
anos
ti, p
reve
rite
v ob
stoj
a in
vse
bine
an
aliz
e tv
egan
osti
, pri
dobi
tev
skle
pa v
odst
va
podj
etja
s k
ater
im je
bil
a an
aliz
a sp
reje
ta
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
9
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
del
ovn
i lis
t št
. D1
(lis
t 5/
12)
R
eviz
ijsk
i pri
stop
23.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a se
ana
liza
tveg
anos
ti n
e po
soda
blja
letn
o
3 2
6
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a an
aliz
o tv
egan
osti
po
ZP
PD
FT
, za
pisa
na k
rono
logi
ja
spre
mem
b
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, ki
pre
dpis
ujej
o po
soda
blja
nje
anal
ize
tveg
anos
ti, p
reve
rite
v po
sodo
blje
nost
i ana
lize
tv
egan
osti
(kr
onol
ogij
a sp
rem
emb)
, pri
dobi
tev
skle
pa v
odst
va b
anke
s k
ater
im je
bil
a an
aliz
a po
sodo
blje
na, p
reve
rite
v od
govo
rnos
ti
24.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a v
anal
izi t
vega
nost
i ni
prim
erno
zaj
eta
vseb
ina
vseh
po
slov
nih
podr
očij
del
ovan
ja b
anke
3
1 3
Nav
odil
a, in
form
iran
ost
prip
ravl
jala
ana
lize
, po
trje
vanj
e an
aliz
e s
stra
ni
vods
tva
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, ki
pre
dpis
ujej
o pr
ipra
vo a
nali
ze
tveg
anos
ti, p
reve
rite
v vs
ebin
e an
aliz
e tv
egan
osti
, pri
mer
java
s s
ezna
mom
pos
lovn
ih
podr
očij
ban
ke, r
azgo
vor
s P
oobl
ašče
ncem
za
PP
DF
T
25.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
gano
st, d
a an
aliz
a tv
egan
osti
ne
zaje
ma
vseh
pre
dpis
anih
pod
roči
j tv
egan
j (tv
egan
je s
tran
ke, t
vega
nost
ge
ogra
fske
ga p
odro
čja
in tv
egan
ost
prod
ukta
oz.
sto
ritv
e)
3 1
3
Nav
odil
a, in
form
iran
ost
prip
ravl
jala
ana
lize
, po
trje
vanj
e an
aliz
e s
stra
ni
vods
tva
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, ki
pre
dpis
ujej
o pr
ipra
vo a
nali
ze
tveg
anos
ti, p
reve
rite
v vs
ebin
e an
aliz
e tv
egan
osti
, pri
mer
java
z z
ahte
vam
i ZP
PD
FT
, ra
zgov
or s
Poo
blaš
čenc
em z
a P
PD
FT
26.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a kr
iter
iji t
vega
nost
i nis
o pr
imer
no r
azde
lani
in n
e pr
edst
avlj
ajo
prim
erno
pod
lago
za
dolo
čanj
e tv
egan
osti
str
ank
3 2
6
Nav
odil
a, in
form
iran
ost
prip
ravl
jala
ana
lize
, po
trje
vanj
e an
aliz
e s
stra
ni
vods
tva
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, ki
pre
dpis
ujej
o pr
ipra
vo a
nali
ze
tveg
anos
ti, p
reve
rite
v vs
ebin
e an
aliz
e tv
egan
osti
, pri
mer
java
z z
ahte
vam
i ZP
PD
FT
, ra
zgov
or s
Poo
blaš
čenc
em z
a P
PD
FT
VI.
II.
Seg
men
tira
nje
str
ank
- Iz
vaja
nje
pre
gled
a st
ran
ke (
obič
ajn
i, p
oglo
blj
eni i
n p
oen
osta
vlje
n p
regl
ed)
(7.-
11.,
13.-
17.,
19.-
21.,
29.-
34. č
len
ZP
PD
FT
)
27.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a se
seg
men
taci
ja s
tran
k ne
izva
ja v
OE
, ki j
e ne
posr
edno
v
stik
u s
stra
nko
3 1
3
Nav
odil
a, u
stre
zna
info
rmac
ijsk
a po
dpor
a,
sled
ljiv
ost z
apos
lene
ga, k
i je
opr
avil
seg
men
taci
jo,
izob
raže
vanj
a za
posl
enih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, an
aliz
iran
je v
zpos
tavl
jene
ga p
roce
sa,
na iz
bran
em v
zorc
u op
ravi
ti p
regl
ed k
ater
i za
posl
eni s
o op
ravi
li s
egm
enta
cijo
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
10
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
d
elov
ni l
ist
št. D
1 (l
ist
6/12
)
Rev
izij
ski p
rist
op
28.
Skl
adno
st
Tve
ganj
e, d
a se
pri
skl
epan
ju
posl
ovne
ga r
azm
erja
ne
prev
eri
isto
vetn
ost s
tran
ke
3 2
6
Nav
odil
a, z
agot
avlj
anje
sl
edi k
ontr
ole
iden
tifi
kaci
je, p
rinc
ip
štir
ih-o
či, i
zobr
ažev
anja
za
posl
enih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
izve
dbe
kont
role
isto
vetn
osti
st
rank
e in
opr
avlj
enih
akt
ivno
sti d
ruge
ga p
ara
oči
29.
Skl
adno
st
Tve
ganj
e, d
a se
raz
krit
je d
ejan
skeg
a la
stni
ka s
tran
ke n
e iz
vede
v s
klad
u z
zako
nski
mi d
oloč
ili (
nepo
poln
o ra
zkri
tje,
ner
esni
čna
izja
va s
tran
ke o
la
stni
štvu
) –
za p
ravn
e os
ebe
3 3
9 N
avod
ila,
pri
ncip
šti
rih-
oči,
izob
raže
vanj
a za
posl
enih
U
čink
ovit
o
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
raz
krit
ja d
ejan
skih
last
niko
v st
rank
e in
opr
avlj
enih
akt
ivno
sti d
ruge
ga p
ara
oči
30.
Skl
adno
st
Tve
ganj
e, d
a se
pri
skl
epan
ju
posl
ovne
ga r
azm
erja
ne
prid
obij
o za
kons
ko p
redp
isan
i pod
atki
ali
da
se
zgod
i nap
aka
pri p
repi
su
3 3
9
Nav
odil
a, in
form
acij
ska
podp
ora
(obv
ezna
vno
sna
polj
a), p
rinc
ip š
tiri
h oč
i, iz
obra
ževa
nja
zapo
slen
ih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
pra
viln
osti
vne
seni
h po
datk
ov o
st
rank
i in
opra
vlje
nih
akti
vnos
ti d
ruge
ga p
ara
oči,
prev
erit
i ust
rezn
ost o
bseg
a ob
vezn
ih
vnos
nih
polj
31.
Skl
adno
st
Tve
ganj
e, d
a ba
nka
ne iz
vede
po
stop
ka z
a ug
otav
ljan
je a
li je
str
anka
po
liti
čno
izpo
stav
ljen
a os
eba
(PIO
) –
sam
o za
fiz
ične
ose
be, k
i so
nere
zide
nti
3 1
3 N
avod
ila,
info
rmac
ijsk
a po
dpor
a, iz
obra
ževa
nja
zapo
slen
ih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
nere
zide
ntov
op
ravi
ti p
reve
rite
v pr
idob
ljen
ih iz
jav,
pr
eizk
ušan
je d
elov
anja
info
rmac
ijsk
e po
dpor
e
32.
Skl
adno
st
Tve
ganj
e, d
a ba
nka
ne iz
vede
pr
egle
da a
li je
str
anka
pri
sotn
a na
ka
teri
izm
ed 'č
rnih
list
' 3
1 3
Nav
odil
a, s
led
opra
vlje
ne
kont
role
, inf
orm
acij
ska
podp
ora,
izob
raže
vanj
a za
posl
enih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
izve
dbe
kont
role
pri
sotn
osti
str
anke
na
'črn
ih li
stah
', pr
eizk
ušan
je d
elov
anja
in
form
acij
ske
podp
ore
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
11
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
d
elov
ni l
ist
št. D
1 (l
ist
7/12
)
Rev
izij
ski p
rist
op
33.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a se
na
podl
agi
prid
oblj
enih
pod
atko
v ne
opr
avi
prav
ilna
oce
nite
v tv
egan
osti
str
anke
3
1 3
Nav
odil
a, in
form
acij
ska
podp
ora,
izob
raže
vanj
a za
posl
enih
, nak
ljuč
ni
preg
ledi
Poo
blaš
čenc
a
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
pra
viln
osti
oce
nitv
e st
rank
e,
prei
zkuš
anje
del
ovan
ja in
form
acij
ske
podp
ore,
pr
ever
itev
zap
isni
kov
o op
ravl
jeni
h pr
egle
dih
poob
lašč
enca
34.
Skl
adno
st
Tve
ganj
e, d
a je
str
anka
uvr
ščen
a v
neus
trez
no k
ateg
orij
o tv
egan
osti
3
3 9
Nav
odil
a, in
form
acij
ska
podp
ora,
izob
raže
vanj
a za
posl
enih
U
čink
ovit
o
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
pra
viln
osti
uvr
stit
ve s
tran
ke v
eno
iz
med
pre
dpis
anih
kat
egor
ij tv
egan
osti
, pr
eizk
ušan
je d
elov
anja
info
rmac
ijsk
e po
dpor
e
35.
Skl
adno
st
Tve
ganj
e, d
a se
v p
rim
eru,
kad
ar g
re
za b
olj t
vega
no s
tran
ko n
e iz
vede
jo
doda
tni u
krep
i 3
3 9
Nav
odil
a, iz
obra
ževa
nja
zapo
slen
ih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
izve
dbe
doda
tnih
ukr
epov
za
stra
nke,
ki s
o uv
ršče
ne v
viš
jo k
ateg
orij
o tv
egan
osti
36.
Skl
adno
st
Tve
ganj
e, d
a se
za
stra
nko,
ki i
ma
več
prod
ukto
v iz
bere
naj
višj
a oc
ena
tveg
anos
ti, g
lede
na
najb
olj t
vega
n pr
oduk
t
3 2
6 N
avod
ila,
info
rmac
ijsk
a po
dpor
a, iz
obra
ževa
nja
zapo
slen
ih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
opra
viti
pr
ever
itev
ali
je tv
egan
ost s
tran
ke o
cenj
ena,
gl
ede
na n
ajbo
lj tv
egan
pro
dukt
s k
ater
im
stra
nka
posl
uje
VI.
III
. Izv
ajan
je p
regl
eda
stra
nke
pre
ko t
retj
ih o
seb
(24
. - 2
7. č
len
ZP
PD
FT
)
37.
Skl
adno
st
Tve
ganj
e, d
a za
str
anke
, ki s
o bi
le
preg
leda
ne s
str
ani t
retj
ih o
seb
niso
bi
le iz
vede
ne v
se z
akon
sko
pred
pisa
ne
akti
vnos
ti
3 2
6
Nav
odil
a, v
zpos
tavi
tev
kont
role
zap
osle
nega
, ki j
e so
delo
val s
tret
jo o
sebo
, ko
ntro
lna
list
a
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
stra
nk, k
i so
bile
pr
egle
dane
s s
tran
i tre
tje
oseb
e op
ravi
ti
prev
erit
ev iz
vede
nih
akti
vnos
ti, p
reve
rite
v po
poln
osti
kon
trol
ne li
ste
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
12
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
d
elov
ni l
ist
št. D
1 (l
ist
8/12
)
Rev
izij
ski p
rist
op
VI.
IV
. P
roce
s re
dn
ega
spre
mlj
anja
pos
lovn
ih a
ktiv
nos
ti s
tran
k (2
2. in
23.
čle
n Z
PP
DF
T)
38.
Skl
adno
st
Tve
ganj
e, d
a se
spr
emlj
anje
po
slov
anja
str
ank,
gle
de n
a oc
eno
tveg
anos
ti, n
e iz
vede
skl
adno
z
zaht
evam
i zak
ona
(obs
eg p
regl
eda
in
pogo
stos
t opr
avlj
enih
pre
gled
ov)
3 3
9
Nav
odil
a, in
form
acij
ska
podp
ora,
zag
otav
ljan
je
sled
i ob
opra
vlje
nem
pr
egle
du
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
stra
nk p
reve
riti
al
i je
bil z
ahte
van
preg
led
posl
ovan
ja s
tran
k op
ravl
jen
v sk
ladu
z z
akon
skim
i dol
očil
i, pr
eizk
ušan
je d
elov
anja
info
rmac
ijsk
e po
dpor
e
39.
Skl
adno
st
Tve
ganj
e, d
a po
stop
ek r
edne
ga
prev
erja
nja
in p
osod
ablj
anja
list
in in
po
datk
ov o
str
anka
h ni
vzp
osta
vlje
n 3
3 9
Nav
odil
a, in
form
acij
ska
podp
ora,
zag
otav
ljan
je
sled
i ob
opra
vlje
nem
pr
egle
du
Neu
čin
kovi
to
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
stra
nk p
reve
riti
al
i je
bil z
ahte
van
preg
led
posl
ovan
ja s
tran
k op
ravl
jen
v sk
ladu
z z
akon
skim
i dol
očil
i, pr
eizk
ušan
je d
elov
anja
info
rmac
ijsk
e po
dpor
e O
pom
ba
– ni
smo
prej
eli d
okaz
il o
do
kum
enti
ranj
u op
ravl
jeni
h pr
egle
dov
40.
Skl
adno
st
Tve
ganj
e, d
a po
stop
ek p
regl
eda
ni
sled
ljiv
3
3 9
Info
rmac
ijsk
a po
dpor
a N
euči
nko
vito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
eizk
ušan
je d
elov
anja
info
rmac
ijsk
e po
dpor
e –
zago
tavl
janj
e sl
edlj
ivos
ti
Op
omb
a –
nism
o pr
ejel
i dok
azil
o
doku
men
tira
nju
opra
vlje
nih
preg
ledo
v
41.
Skl
adno
st
Tve
ganj
e, d
a os
ebni
dok
umen
ti s
tran
k ni
so v
eč a
ktua
lni
3 3
9
Nav
odil
a, in
form
acij
ska
podp
ora,
zag
otav
ljan
je
sled
i ob
preg
ledu
ak
tual
nost
i ose
bneg
a do
kum
enta
str
anke
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, na
izbr
anem
vzo
rcu
stra
nk p
reve
riti
ak
tual
nost
ose
bnih
dok
umen
tov
in s
led
izve
deno
sti k
ontr
ole,
pre
izku
šanj
e de
lova
nja
info
rmac
ijsk
e po
dpor
e
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
13
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
d
elov
ni l
ist
št. D
1 (l
ist
9/12
)
Rev
izij
ski p
rist
op
VI.
V. P
roce
s ko
nto
kore
ntn
ih in
kor
esp
ond
enčn
ih o
dn
osov
ban
ke (
29. i
n 3
0. č
len
ZP
PD
FT
)
42.
Skl
adno
st
Tve
ganj
e, d
a ba
nka
ob s
klep
anju
ko
ntok
oren
tneg
a od
nosa
z b
anko
iz
tret
je d
ržav
e ne
izve
de p
oglo
blje
nega
pr
egle
da v
skl
adu
z do
loči
li
zako
noda
je
3 2
6 N
avod
ila,
sle
d op
ravl
jeni
h ak
tivn
osti
, kon
trol
e P
oobl
ašče
nca
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vz
orčn
i pre
gled
ban
k s
kate
rim
i je
vzpo
stav
ljen
o ko
ntok
oren
tno
razm
erje
– a
li s
o bi
le iz
vede
ne p
otre
bne
akti
vnos
ti, p
oroč
ilo
o pr
egle
dih
Poo
blaš
čenc
a
43.
Skl
adno
st
Tve
ganj
e, d
a ba
nka
skle
ne
kore
spon
denč
ni o
dnos
s tu
jo b
anko
, ki
delu
je k
ot n
avid
ezna
ban
ka
3 2
6 N
avod
ila,
sle
d op
ravl
jeni
h ak
tivn
osti
, kon
trol
e P
oobl
ašče
nca
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vz
orčn
i pre
gled
ban
k s
kate
rim
i je
vzpo
stav
ljen
o ko
resp
onde
nčno
raz
mer
je –
ali
so
bil
e iz
vede
ne p
otre
bne
akti
vnos
ti, p
oroč
ilo
o pr
egle
dih
Poo
blaš
čenc
a
VI.
VI.
Pro
ces
spor
očan
ja g
otov
insk
ih in
su
mlj
ivih
tra
nsa
kcij
ura
du
(38
. čle
n Z
PP
DF
T)
44.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
ne s
poro
ča
poda
tkov
Ura
du z
a pr
epre
čeva
nje
pran
ja d
enar
ja
3 2
6
Nav
odil
a, in
form
acij
ska
podp
ora,
dol
očit
ev
odgo
vorn
osti
za
spor
očan
je p
odat
kov
urad
u
Uči
nkov
ito
Vzo
rčna
pre
veri
tev
nast
alih
dog
odko
v (g
otov
insk
e tr
ansa
kcij
e na
d 30
.000
EU
R in
su
mlj
ive
tran
sakc
ije
ter
stra
nke)
ali
so
bile
sp
oroč
ene
Ura
du, p
reve
rite
v ob
stoj
a in
vse
bine
na
vodi
l, pr
ever
itev
odg
ovor
nost
i za
spor
očan
je
poda
tkov
ura
du
VI.
VII
. Pro
cesi
var
stva
in h
ram
be
pod
atko
v te
r u
pra
vlja
nja
evi
den
c (7
6., 7
9. in
82.
čle
n Z
PP
DF
T)
45.
Skl
adno
st
Tve
ganj
e, d
a ba
nka
ne v
aruj
e in
hra
ni
poda
tkov
skl
adno
z d
oloč
ili
zako
noda
je
3 2
6 N
avod
ila,
izob
raže
vanj
a za
posl
enih
, ozn
aka
tajn
osti
po
datk
ov
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
ever
itev
ozn
ačev
anja
do
kum
enta
cije
, vpr
ašal
nik
(raz
govo
r z
zapo
slen
imi)
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
14
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
d
elov
ni l
ist
št. D
1 (l
ist
10/1
2)
R
eviz
ijsk
i pri
stop
VI.
VII
I. P
roce
s p
rip
rave
in iz
vaja
nja
izob
raže
van
j te
r u
spos
ablj
anj
(5.,
42. i
n 4
4. č
len
ZP
PD
FT
)
46.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a za
posl
eni,
ki v
okv
iru
svoj
ih d
elov
nih
nalo
g op
ravl
jajo
ak
tivn
osti
PP
DF
T n
e bo
do le
tno
(dol
očil
o za
kona
) de
ležn
i str
okov
nega
iz
obra
ževa
nja
3 2
6
Nav
odil
a, n
ujno
za
gota
vlja
nje
sezn
amov
za
posl
enih
, ki s
o se
ud
elež
ili i
zobr
ažev
anja
, le
tno
plan
iran
je
izob
raže
vanj
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
ever
itev
sez
nam
ov z
apos
leni
h, k
i so
se u
dele
žili
izob
raže
vanj
a, p
reve
rite
v pr
imer
nost
i in
stro
kovn
osti
izob
raže
valn
ih
grad
iv, p
reve
rite
v ob
stoj
a le
tnih
pla
nov
izob
raže
vanj
47.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a za
posl
eni n
a no
vo n
e bo
do o
b za
posl
itvi
del
ežni
st
roko
vneg
a iz
obra
ževa
nja
3 3
9
Nav
odil
a, n
ujno
za
gota
vlja
nje
sezn
amov
za
posl
enih
,, ki
so
se
udel
ežil
i izo
braž
evan
ja,
stro
kovn
ost
izob
raže
valn
ega
grad
iva,
Neu
čin
kovi
to
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
ever
itev
izve
deno
sti i
zobr
ažev
anj z
a no
ve z
apos
lene
, pre
veri
tev
prim
erno
sti i
n st
roko
vnos
ti iz
obra
ževa
lnih
gra
div
Op
omb
a –
novo
zap
osle
ni o
b za
posl
itvi
nis
o de
ležn
i izo
braž
evan
j, am
pak
šele
ob
redn
em
izob
raže
vanj
u
48.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a P
oobl
ašče
nec
in n
jego
vi
nam
estn
iki n
e bo
do d
elež
ni s
trok
ovni
h iz
obra
ževa
nj z
unaj
ban
ke
3 2
6
Nav
odil
a, n
ujno
st
zago
tavl
janj
a se
znam
a iz
obra
ževa
nj, k
ater
ih s
o se
ud
elež
ili P
oobl
ašče
nec
in
njeg
ovi n
ames
tnik
i, le
tno
plan
iran
je iz
obra
ževa
nj
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vp
raša
lnik
, pre
veri
tev
sezn
ama
izob
raže
vanj
, kat
erih
so
se u
dele
žili
P
oobl
ašče
nec
in n
jego
vi n
ames
tnik
i
VI.
IX
. Org
aniz
acij
sko
kad
rovs
ki p
ogoj
i (5.
in 4
3. č
len
ZP
PD
FT
)
49.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a P
oobl
ašče
nec
in n
jego
vi
nam
estn
iki p
ri s
voje
m d
elov
anju
nis
o ne
odvi
sni
3 1
3
Nav
odil
a, k
ontr
olne
ak
tivn
osti
reg
ulat
orja
(B
anka
Slo
veni
je, U
rad
za
prep
reče
vanj
e pr
anja
de
narj
a), z
avez
a vo
dstv
a ba
nke
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
ever
itev
ust
rezn
osti
org
aniz
acij
ske
umeš
čeno
sti P
oobl
ašče
nca
in n
jego
vih
nam
estn
ikov
, vpr
ašal
nik,
pre
veri
tev
zave
ze
vods
tva
bank
e
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
15
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
d
elov
ni l
ist
št. D
1 (l
ist
11/1
2)
R
eviz
ijsk
i pri
stop
50.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a im
enov
anja
P
oobl
ašče
nca
in n
jego
vih
nam
estn
ikov
nis
o bi
la o
prav
ljen
a al
i ni
so d
okum
enti
rana
3 2
6 N
avod
ila
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, pr
ever
itev
imen
ovan
j
VII
. IN
FO
RM
IRA
NJE
IN
KO
MU
NIC
IRA
NJE
51.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ba
nka
nim
a vz
post
avlj
enih
red
nih
poro
čeva
lski
h ak
tivn
osti
na
podr
očju
PP
DF
T, k
i so
podl
aga
za o
dloč
anje
vod
stva
3 1
3
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a po
roča
nje,
re
dna
in p
opol
na p
oroč
ila,
ki
so
ustr
ezno
do
kum
enti
rana
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vp
raša
lnik
, pre
veri
tev
poro
čil
52.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e, d
a za
posl
eni n
iso
sezn
anje
ni s
kon
trol
nim
i akt
ivno
stm
i na
pod
ročj
u P
PD
FT
3
1 3
Nav
odil
a, v
zpos
tavl
jeno
st
ustr
ezni
h to
kov
za
info
rmir
anje
zap
osle
nih
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vp
raša
lnik
53.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e en
ostr
ansk
ega
info
rmac
ijsk
ega
toka
na
podr
očju
P
PD
FT
3
2 6
Nav
odil
a, v
zpos
tavl
jeno
st
ustr
ezni
h po
roče
vals
kih
toko
v U
čink
ovit
o P
reve
rite
v ob
stoj
a in
pro
učit
ev v
sebi
ne
navo
dil,
vpra
šaln
ik
54.
Uči
nkov
ito
delo
vanj
e
Tve
ganj
e na
stan
ka te
žav
z in
form
acij
skim
i sis
tem
i na
podr
očju
P
PD
FT
3
2 6
Red
no p
osod
ablj
anje
in
form
acij
skih
sis
tem
ov,
ustr
ezna
test
iran
ja o
b na
dgra
dnja
h, p
ožar
ni
zido
vi, »
anti
-vir
usni
« pr
ogra
mi
Uči
nkov
ito
Vpr
ašal
nik,
pre
veri
tev
vzpo
stav
ljen
osti
in
delo
vanj
a po
žarn
ih z
idov
in »
anti
-vir
usni
h«
prog
ram
ov, p
reve
rite
v pr
oces
a po
soda
blja
nja
prog
ram
ske
opre
me
VII
I. N
AD
ZIR
AN
JE
55.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a vo
dstv
o ne
izva
ja r
edni
h ko
ntro
l del
ovan
ja n
otra
njih
kon
trol
na
podr
očju
PP
DF
T
3 1
3
Nav
odil
a, d
oloč
itev
od
govo
rnos
ti z
a iz
vaja
nje
ugot
avlj
anja
ust
rezn
osti
po
stop
kov
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vp
raša
lnik
, pre
veri
tev
poro
čil o
op
ravl
jeni
h na
dzor
stve
nih
preg
ledi
h,
opre
deli
tev
odgo
vorn
osti
Pri
loga
2 -
Zač
etn
a oc
ena
tveg
anj
in m
ehan
izm
ov z
a n
jih
ovo
zazn
avan
je in
pre
pre
čeva
nje
– m
atri
ka
16
Zap
. št
. C
ilj
del
ovan
ja
Tve
gan
je
Vp
liv
Ver
jetn
ost
Oce
na
tveg
anja
Klj
učn
i meh
aniz
mi z
a za
znav
anje
in
pre
pre
čeva
nje
tve
gan
j
Zač
etn
a oc
ena
ust
rezn
osti
in
uči
nko
vito
sti
klj
učn
ih
meh
aniz
mov
za
zazn
avan
je in
p
rep
reče
van
je
tveg
anj
d
elov
ni l
ist
št. D
1 (l
ist
12/1
2)
R
eviz
ijsk
i pri
stop
56.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a ob
pre
gled
ih n
otra
njih
ko
ntro
l ni v
zpos
tavl
jeno
evi
dent
iran
je
ugot
ovit
ev p
regl
edov
3
3 9
Nav
odil
a N
euči
nko
vito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vp
raša
lnik
, pre
veri
tev
poro
čil o
op
ravl
jeni
h na
dzor
stve
nih
preg
ledi
h O
pom
ba
– O
d la
stni
kov
proc
esov
nis
mo
prej
eli z
apis
niko
v o
prev
erja
nju
delo
vanj
a no
tran
jih
kont
rol
57.
Skl
adno
st
in
učin
kovi
to
delo
vanj
e
Tve
ganj
e, d
a v
bank
i ni o
pred
elje
na
odgo
vorn
ost z
a iz
vaja
nje
nadz
ora
nad
izva
janj
em s
iste
ma
(not
ranj
ih k
ontr
ol)
PP
DF
T
3 1
3
Nav
odil
a, o
pisi
del
ovni
h m
est,
vzpo
stav
ljen
ost
SN
R, d
olgo
ročn
i pla
ni
dela
SN
R
Uči
nkov
ito
Pre
veri
tev
obst
oja
in p
rouč
itev
vse
bine
na
vodi
l, vp
raša
lnik
, opi
si d
elov
nih
mes
t, po
roči
la o
dgov
orni
h os
eb in
SN
R
Priloga 2 - Začetna ocena tveganj in mehanizmov za njihovo zaznavanje in preprečevanje – matrika
17
Posamezne aktivnosti v okviru kontrolnih aktivnosti, razporejene glede na zaporedno številko iz zgornje matrike: Zap. št. iz matrike:
Aktivnost:
22. – 26. Aktivnosti priprave in posodabljanja Analize tveganosti po ZPPDFT – Pripravlja Pooblaščenec za PPDFT
27. – 36. Aktivnosti pregleda strank – izvajajo tržniki v poslovalnicah
37. Aktivnosti pregleda strank s strani tretjih oseb – opravljene aktivnosti v banki preverja Pooblaščenec za PPDFT
38. – 41. Aktivnosti rednega spremljanja poslovnih aktivnosti strank – izvajajo skrbniki strank
42. – 43. Aktivnosti kontokorentnih in korespondenčnih odnosov – Izvaja Sekcija skrbništva in korespondenčnega bančništva
44. Aktivnosti sporočanja gotovinskih in sumljivih transakcij uradu – Izvaja Pooblaščenec za PPDFT
45. Aktivnosti varstva in hrambe podatkov ter upravljanja evidenc – Izvaja Sekcija administracije poslov
46. – 48. Aktivnosti priprave in izvajanja izobraževanj ter usposabljanj – Izvaja zaposlena v Oddelku za osebje
49. – 50. Aktivnosti za delovanje Pooblaščenca za PPDFT in njegovih namestnikov
Priloga 3 - Revizijski program
18
Priloga 3: Revizijski program
UGOTAVLJANJE SKLADNOSTI Z ZAKONODAJO Delovni list št. E1 (1/4)
Zap. št.
Revizijski postopek Sklic na
tveganje iz matrike
Izvajalec del
Oznaka delovnega
papirja Opombe
Nadzor (datum, podpis)
I. NOTRANJE OKOLJE
1.
Pridobiti kodeks poslovne etike in preveriti kako je bil distribuiran med zaposlenimi, iz razgovorov (poizvedovanje) z zaposlenimi ugotoviti ali je poznavanje kodeksa zadovoljivo
1. Revizor
A EI.1
Notranje okolje ocenjujemo kot ustrezno. Ugotovljene so bile pomanjkljivosti na področju imenovanja namestnikov Pooblaščenca za PPDFT. Sicer bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
2.
Preveriti ali so bila izdana pooblastila za opravljanje nalog PPDFT in ali so bili imenovani namestniki za vsa ključna delovna mesta ter ali ti (poizvedovanje) poznajo vsebino dela, ki bi ga opravljali v primeru nadomeščanja
3. Revizor
A EI.2
3. Opraviti razgovor (poizvedovanje) z vodstvenim kadrom in zaposlenimi o primernosti vodstvene strukture in odnosa do zaposlenih
4. Revizor
A EI.3
4. Preveritev izvedbe izobraževanj (proučevanje vsebine) in sezamov zaposlenih, ki so se jih udeležili
5. Revizor
A EI.4
II. POSTAVLJANJE CILJEV
5. Preveritev obstoja in proučevanje vsebine navodil in kazalnikov za merjenje uspešnosti izvajanja strategije
10. Revizor
A EII.1
Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
6. Preveritev obstoja in proučevanje vsebine navodil, strategije in sistema za informiranje zaposlenih o strategiji na področju PPDFT
11. Revizor
A EII.2
III. PREPOZNAVANJE DOGODKOV
7. Preveritev obstoja in proučevanje vsebine navodil in preizkušanje vzpostavljene metodologije za prepoznavanje dogodkov
14. Revizor
B EIII.1
Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
IV. OCENJEVANJE TVEGANJ
8. Preveritev obstoja in proučevanje vsebine navodil – vključenost določil in metodologije za ocenjevanje preostalega tveganja
16. Revizor
B EIV.1
Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
9.
S pogovori (poizvedovanje) z odgovornimi osebami za ocenjevanje tveganj ugotoviti kako se preostalo tveganje dejansko ocenjuje. Pridobiti zapisnike ocenjevanj (preverjanje)
16. Revizor
B EIV.2
V. ODZIVANJE NA TVEGANJA
10. Preveritev ali banka opredeljuje raven sprejemljivega tveganja – odločitve vodstva o sprejemljivem tveganju, preveritev dokumentiranosti
19, 20, 21 Revizor
B EV.1
Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
VI. KONTROLNE AKTIVNOSTI VI. I. Aktivnosti priprave in posodabljanja Analize tveganosti po ZPPDFT
11.
Preveritev obstoja in proučevanje vsebine navodil, ki predpisujejo posodabljanje analize tveganosti, opazovanje procesa, preveritev posodobljenosti analize tveganosti (kronologija sprememb), pridobitev in preveritev sklepa vodstva banke s katerim je bila analiza posodobljena
23. Revizor
A EVI.I.1
* - zaradi pomanjkanja prostora so nepravilnosti in pomanjkljivosti zbrane v okviru zbirnega poročila o ugotovljenih nepravilnostih in pomanjkljivostih (Priloga 5)
12.
Preveritev obstoja in proučevanje vsebine navodil, ki predpisujejo pripravo analize tveganosti, proučitev vsebine analize tveganosti, primerjava z zahtevami ZPPDFT
26. Revizor
A EVI.I.2
Priloga 3 - Revizijski program
19
UGOTAVLJANJE SKLADNOSTI Z ZAKONODAJO Delovni list št. E1 (2/4)
Zap. št.
Revizijski postopek Sklic na
tveganje iz matrike
Izvajalec del
Oznaka delovnega
papirja Opombe
Nadzor (datum, podpis)
VI. II. Segmentiranje strank - Izvajanje pregleda stranke (običajni, poglobljeni in poenostavljen pregled)
13.
Preizkušanje delovanja notranje kontrole (NK) - na izbranem vzorcu opraviti preveritev izvedenosti kontrole istovetnosti stranke in preveritev opravljenih aktivnosti drugega para oči, preveritev obstoja in proučevanje vsebine navodil za izvajanje identifikacije stranke, opazovanje procesa
28. Revizor
A EVI.II.1
14.
Preizkušanje delovanja NK - na izbranem vzorcu opraviti preveritev izvedenosti kontrole razkritja dejanskih lastnikov stranke in preveritev opravljenih aktivnosti drugega para oči, preveritev obstoja in proučevanje vsebine navodil za izvedbo razkritja lastniške strukture stranke, opazovanje procesa
29. Revizor
A EVI.II.2
15.
Preizkušanje delovanja NK - na izbranem vzorcu opraviti preveritev pravilnosti vnesenih podatkov o stranki in preveritev opravljenih aktivnosti drugega para oči, proučiti ustreznost obsega obveznih vnosnih polj
30. Revizor
A EVI.II.3
16.
Preizkušanje delovanja NK - na izbranem vzorcu opraviti preveritev pravilnosti uvrstitve stranke v eno izmed predpisanih kategorij tveganosti, preizkušanje delovanja informacijske podpore, preveritev obstoja in proučevanje vsebine navodil
34. Revizor
A EVI.II.4
17.
Preizkušanje delovanja NK - na izbranem vzorcu opraviti preveritev izvedenosti dodatnih ukrepov za stranke, ki so uvrščene v višjo kategorijo tveganosti, preveritev obstoja in proučevanje vsebine navodil, opazovanje procesa
35. Revizor
A EVI.II.5
18.
Preizkušanje delovanja NK - na izbranem vzorcu opraviti preveritev ali je tveganost stranke ocenjena, glede na najbolj tvegan produkt stranke, preveritev obstoja in proučevanje navodil
36. Revizor
A EVI.II.6
VI. III. Izvajanje pregleda stranke preko tretjih oseb
19.
Na izbranem vzorcu strank, ki so bile pregledane s strani tretje osebe opraviti preveritev izvedenosti aktivnosti, preveritev obstoja in proučitev vsebine navodil, opazovanje procesa
37. Revizor
B EVI.III.1
20. Proučitev ustreznosti kontrolne liste, glede na določene aktivnosti v ZPPDFT
37. Revizor
B EVI.III.2
VI. IV. Proces rednega spremljanja poslovnih aktivnosti strank
21.
Na izbranem vzorcu strank preveriti ali je bil zahtevan pregled poslovanja strank opravljen v skladu z zakonskimi določili, preveritev obstoja in proučitev vsebine navodil, opazovanje procesa
38. Revizor
B EVI.IV.1
22. Preizkušanje delovanja informacijske podpore 38. Revizor
B EVI.IV.1
23. preveritev ustreznosti dokumentiranosti pregledov iz točke 21. in 22.
39., 40., 41. Revizor
B EVI.IV.1
24.
Na izbranem vzorcu strank preveriti aktualnost osebnih dokumentov in sled izvedenosti kontrole, preizkušanje delovanja informacijske podpore, opazovanje procesa
41. Revizor
B EVI.IV.1
VI. V. Proces kontokorentnih in korespondenčnih odnosov banke
25.
Na izbranem vzorcu bank s katerimi je vzpostavljeno kontokorentno razmerje preveriti ali so bile izvedene z ZPPDFT določene aktivnosti, preveritev obstoja in proučitev vsebine navodil, opazovanje procesa
42. Revizor
A EVI.V.1
26.
Na izbranem vzorcu bank s katerimi je vzpostavljeno korespondenčno razmerje preveriti ali so bile izvedene z ZPPDFT določene aktivnosti, preveritev obstoja in proučitev vsebine navodil, opazovanje procesa
43 Revizor
A EVI.V.2
27. Preveritev in proučitev poročil o pregledih Pooblaščenca za PPDFT (za kontokorentne in korespondenčne odnose)
42., 43. Revizor
A EVI.V.3
Priloga 3 - Revizijski program
20
UGOTAVLJANJE SKLADNOSTI Z ZAKONODAJO Delovni list št. E1 (3/4)
Zap. št.
Revizijski postopek Sklic na
tveganje iz matrike
Izvajalec del
Oznaka delovnega
papirja Opombe
Nadzor (datum, podpis)
VI. VI. Proces sporočanja gotovinskih in sumljivih transakcij uradu
28.
Na izbranem vzorcu nastalih dogodkov (gotovinske transakcije nad 30.000 EUR in sumljive transakcije ter stranke) preveriti ali so bili te sporočene Uradu, preveritev obstoja in proučitev vsebine navodil za poročanje, opazovanje procesa
44. Revizor
A EVI.VI.1
VI. VII. Procesi varstva in hrambe podatkov ter upravljanja evidenc
29.
Preveritev obstoja in proučitev vsebine navodil, vprašalnik/intervju (poizvedovanje) z zaposlenimi o načinu varstva in hrambe podatkov opazovanje procesa
45. Revizor
A EVI.VII.1
30. Na izbranem vzorcu arhivirane dokumentacije opraviti preveritev ustreznosti označevanja in arhiviranja (ali skladno z ZPPDFT?)
45. Revizor
A EVI.VII.2
VI. VIII. Proces priprave in izvajanja izobraževanj ter usposabljanj
31.
Primerjanje seznamov zaposlenih, ki so se udeležili izobraževanja s seznami zaposlenih, ki bi se jih morali udeležiti, proučitev ustreznosti izobraževalnih gradiv, preveritev obstoja in proučitev vsebine navodil, opazovanje procesa
46. Revizor
B EVI.VII.1
32. Preveritev obstoja in proučitev vsebine letnih planov izobraževanj
46. Revizor
B EVI.VII.2
33.
Preveritev izvedenosti izobraževanj za nove zaposlene (primerjava na novo zaposlenih z seznamom izvedenih izobraževanj), preveritev ustreznosti izobraževalnih gradiv, preveritev obstoja in proučitev vsebine navodil, opazovanje procesa
47. Revizor
B EVI.VII.3
34.
Preveritev seznama izobraževanj, katerih so se udeležili Pooblaščenec in njegovi namestniki, intervju (poizvedovanje) glede primerne podpore vodstva, preveritev obstoja in proučitev vsebine navodil
48. Revizor
B EVI.VII.4
VI. IX. Organizacijsko kadrovski pogoji
35. Preveritev ustreznost imenovanj Pooblaščenca za PPDFT in njegovih namestnikov
50. Revizor
A EVI.IX.1
VII. INFORMIRANJE IN KOMUNICIRANJE
36. Preveritev seznanjenosti zaposlenih s kontrolnimi aktivnostmi na področju PPDFT – intervjuji (poizvedovanje)
52. Revizor
B EVII.1
Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
37. Preveriti ali je informacijski tok na področju PPDFT dvostranski – intervjuji (poizvedovanje)
53. Revizor
B EVII.2
38. Informacijski sistemi – poizvedovanje o težavah v preteklosti
54. Revizor
B EVII.3
39. Informacijski sistemi (IS) – poizvedovanje o vzpostavljenih načinih vzdrževanja IS
54. Revizor
B EVII.4
40. Informacijski sistemi – preveritev vzpostavljenosti in preizkušanje delovanja požarnih zidov in protivirusnih programov
54. Revizor
B EVII.5
41. Informacijski sistemi –opazovanje procesa posodabljanja programske opreme
54. Revizor
B EVII.6
VIII. NADZIRANJE
42. Preveriti ali lastniki procesov preverjajo delovanje vzpostavljenih notranjih kontrol in ali se ugotovitve dosledno dokumentirajo
56. Revizor
A EVIII.1
Po opravljenih revizijskih aktivnostih ugotavljamo, da lastniki procesov ne dokumentirajo ugotovitev pregledov procesov.
Priloga 3 - Revizijski program
21
UGOTAVLJANJE USTREZNOSTI IN UČINKOVITOSTI NOTRANJIH KONTROL Delovni list št. E1 (4/4)
Zap. št.
Revizijski postopek Sklic na notranjo kontrolo Izvajalec
del
Oznaka delovnega
papirja Opombe
Nadzor (datum, podpis)
43.
Za notranje kontrole v okviru procesa običajnega pregleda po ZPPDFT ob sklepanju poslovnega razmerja opraviti pregled ustreznosti in učinkovitosti njihovega delovanja
K1 - Ob opravljeni identifikaciji stranke zaposleni odtisne na vlogo žig »Identifikacijo opravil«
Revizor B
E-K1 Glej
prilogo 4
K2 - Ob razkritju lastniške strukture se pripravi ustrezna dokumentacija
Revizor B
E-K2 Glej
prilogo 4
K3 - Princip štirih oči, s katero se preveri izvedenost razkritja lastniške strukture stranke
Revizor B
E-K3 Glej
prilogo 4
K4 - Aplikacija zahteva, v kolikor gre za tujega državljana, da zaposleni, ki opravlja pregled označi ali je opravil pregled PIO
Revizor B
E-K4 Glej
prilogo 4
K5 – preveritev pridobljenih podpisanih izjav o PIO od nerezidentov ob koncu delovnega dne
Revizor B
E-K5 Glej
prilogo 4
K6 - V kolikor gre za nerezidenta zaposleni preveri iz predpisanih virov ali gre za PIO.
Revizor B
E-K6 Glej
prilogo 4
K7 - Ob opravljeni kontroli se na dokumentacijo odtisne žig »FISA pregled opravljen« - ob koncu delovnega dne se opravi pregled prisotnosti žiga na dokumentaciji
Revizor B
E-K7 Glej
prilogo 4
K9 - Spletna aplikacija preveri morebitno prisotnost stranke na mednarodnem seznamu PIO
Revizor B
E-K9 Glej
prilogo 4
K10 - Naključni pregledi Pooblaščenca za PPDFT
Revizor B
E-K10 Glej
prilogo 4
K11 - Ob ponovnem rednem pregledu stranke se izvede pregled aktualnosti lastniške strukture.
Revizor B
E-K11 Glej
prilogo 4
K12 - Računalniški program vsebuje kontrolna polja, ki ne pustijo zaključiti posamezen posel vse dokler niso izpolnjena vsa obvezna pola
Revizor B
E-K12 Glej
prilogo 4
Celovita ocena vseh sestavin notranjih kontrol V notranjem okolju smo preverjali ali ima banka ustrezno organizacijsko strukturo za procese PPDFT, notranje akte ter ali je banka opredelila kodeks poslovne etike in ali ga zaposleni poznajo ter upoštevajo. Nadalje smo preverili ali so bili imenovani zaposleni za ključna opravila v okviru PPDFT in ali so ustrezno vzpostavljena namestništva. Ugotavljali smo tudi primernost vodstvene strukture in njenega odnosa do zaposlenih. Ugotovljene so bile pomanjkljivosti na področju imenovanja namestnikov Pooblaščenca za PPDFT. Sicer bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene. Preučevali smo ali je banka postavila poslovne cilje na področjih PPDFT, ali spremlja njihovo doseganje in ali jih prilagaja glede na zaznane spremembe. Zanimalo nas je ali zaposleni poznajo s strani vodstva postavljene poslovne cilje. Ocenjevali smo vzpostavljen sistem in odnos zaposlenih do prepoznavanja dogodkov in ocenjevanja ter odzivanja na tveganja. Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene. Ocenjevanje kontrolnih aktivnosti v okviru sistema PPDFT je predstavljalo temeljni del ocenjevanja notranjih kontrol. Ocenjevali smo pomembna tveganja, ki vplivajo na doseganje zastavljenega cilja banke – poslovati skladno z določili zakonodaje – in sistem notranjih kontrol glede na doseganje cilja obvladovanja teh tveganj, ki izhajajo iz poslovanja skladno z zakonodajo. Ugotovljene nepravilnosti in pomanjkljivosti tekom opravljanja revizijskih aktivnosti so zbrane v zbirnem poročilu o ugotovljenih nepravilnostih in pomanjkljivostih (Priloga 5). Sistem informiranja in komuniciranja je bil ocenjevan v vidika ali zaposleni poznajo in razumejo notranji kontrolni sistem ter ali so deležni pravilnih in celovitih informacij. Ocenjevali smo tudi ustreznost vzpostavljenega informacijskega sistema. Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene. Postopke nadziranja smo preverili tako, da smo ugotavljali ali je nadzor vzpostavljen in se izrečeni ukrepi redno izpolnjujejo. Po opravljenih revizijskih aktivnostih ugotavljamo, da bistvene pomanjkljivosti in nepravilnosti niso bile ugotovljene.
Ime in priimek Vodja Službe za notranjo revizijo
22
Pri
loga
4:
Ugo
tavl
jan
je u
stre
znos
ti in
uči
nk
ovit
osti
del
ovan
ja n
otra
nji
h k
ontr
ol
UG
OT
AV
LJA
NJE
US
TR
EZ
NO
ST
I IN
UČ
INK
OV
ITO
ST
I D
EL
OV
AN
JA N
OT
RA
NJI
H K
ON
TR
OL
Del
ovni
list
št.
F1
(1/2
)
Zap
. št
. S
klic
na
notr
anjo
kon
trol
o Iz
vaja
lec
del
Ozn
aka
delo
vneg
a pa
pirj
a
Odg
ovor
na
oseb
a / s
pro
žile
c no
tran
je
kont
role
Cil
j de
lova
nja
NK
U
goto
vlje
no
delo
vanj
e N
K
Ugo
tovi
tev
Oce
na
delo
vanj
a N
K
1.
K1
- O
b op
ravl
jeni
iden
tifi
kaci
ji
stra
nke
zapo
slen
i odt
isne
na
vlog
o ži
g »I
dent
ifik
acij
o op
ravi
l«
Rev
izor
B
E-K
1 T
ržni
k v
posl
oval
nici
Sled
ljiv
ost
opra
vlje
ne
iden
tifi
kaci
ja s
tran
ke
(0 n
apak
na
20 s
klen
jeni
h po
slov
nih
razm
erij
)
3 na
pake
(m
anjk
ajoč
i žig
) ob
pre
gled
anih
20
prim
erih
vlo
g za
skl
enit
ev
posl
ovne
ga r
azm
erja
Not
ranj
a ko
ntro
la s
icer
del
uje,
ven
dar
pom
anjk
ljiv
o sa
j je
bilo
ugo
tovl
jeno
, da
v 15
% n
i zag
otov
ljen
a sl
ed iz
vede
ne
kont
role
.
Del
no u
stre
zno
2.
K2
- O
b ra
zkri
tju
last
nišk
e st
rukt
ure
se p
ripr
avi u
stre
zna
doku
men
taci
ja
Rev
izor
B
E-K
2 S
odel
avec
v
podp
orni
slu
žbi
Raz
krit
a in
do
kum
enti
rana
last
nišk
a st
rukt
ura
stra
nke
(0 n
apak
na
20 s
klen
jeni
h po
slov
nih
razm
erij
)
0 na
pak
Not
ranj
a ko
ntro
la d
eluj
e in
je p
rim
erno
za
goto
vlje
na s
led
notr
anje
kon
trol
e.
Ust
rezn
o
3.
K3
- pr
inci
p št
irih
oči
, s k
ater
o se
pr
ever
i izv
eden
ost i
dent
ifik
acij
e st
rank
e in
raz
krit
je la
stni
ške
stru
ktur
e st
rank
e
Rev
izor
B
E-K
3
Dru
g tr
žnik
v
posl
oval
nici
ali
dr
ug s
odel
avec
v
podp
orni
slu
žbi
Opr
avlj
ena
iden
tifi
kaci
ja
in iz
vede
no r
azkr
itje
la
stni
ške
stru
ktur
e (0
nap
ak n
a 20
skl
enje
nih
posl
ovni
h ra
zmer
ij)
3 na
pake
(m
anjk
ajoč
i žig
) ob
pre
gled
anih
20
prim
erih
vlo
g za
skl
enit
ev
posl
ovne
ga r
azm
erja
Not
ranj
a ko
ntro
la s
icer
del
uje,
ven
dar
pom
anjk
ljiv
o sa
j je
bilo
ugo
tovl
jeno
, da
v 15
% p
regl
edan
ih p
rim
erov
ni b
ila
izve
dena
.
Del
no u
stre
zno
4.
K4
- A
plik
acij
a za
htev
a, v
kol
ikor
gr
e za
tuje
ga d
ržav
ljan
a, d
a za
posl
eni,
ki o
prav
lja
preg
led
ozna
či
ali j
e op
ravi
l pre
gled
ali
gre
za
poli
tičn
o iz
post
avlj
eno
oseb
o (P
IO)
Rev
izor
B
E-K
4 A
plik
acij
a sa
mod
ejno
Sled
ljiv
ost
opra
vlje
nega
pr
egle
d al
i gre
za
PIO
(0
nap
ak n
a 20
skl
enje
nih
posl
ovni
h ra
zmer
ij)
0 na
pak
Not
ranj
a ko
ntro
la d
eluj
e in
je p
rim
erno
za
goto
vlje
na s
led
notr
anje
kon
trol
e.
Ust
rezn
o
5.
K5
- P
regl
ed p
rido
blje
nih
izja
v o
PIO
od
nere
zide
ntov
ob
konc
u de
lovn
ega
dne
Rev
izor
B
E-K
5 V
odja
pos
lova
lnic
e
Pri
dobl
jene
pod
pisa
ne
izja
ve o
PIO
za
vse
nere
zide
nte
Za
vse
nere
zide
nte
mor
ajo
biti
pri
dobl
jene
izja
ve o
PIO
6 iz
jav
o P
IO
nepo
dpis
anih
ob
preg
leda
nih
20 p
rim
erih
Not
ranj
a ko
ntro
la s
e iz
vaja
, ven
dar
pom
anjk
ljiv
o. B
ilo
je u
goto
vlje
no, d
a v
30%
pre
gled
anih
pri
mer
ov n
a iz
javi
m
anjk
a po
dpis
str
anke
, med
tem
ko
so b
ili
drug
i pod
atki
pri
dobl
jeni
.
Neu
stre
zno
6.
K6
- V
kol
ikor
gre
za
nere
zide
nta
zapo
slen
i pre
veri
iz p
redp
isan
ih
viro
v al
i gre
za
PIO
. R
eviz
or B
E
-K6
Trž
nik
v po
slov
alni
ci
Kon
trol
a P
IO, v
pri
mer
u ob
stoj
a dv
oma
(0 n
apak
na
20 s
klen
jeni
h po
slov
nih
razm
erij
)
0 na
pak
Not
ranj
a ko
ntro
la d
eluj
e in
je p
rim
erno
za
goto
vlje
na s
led
notr
anje
kon
trol
e.
Ust
rezn
o
Pri
loga
4 –
Ugo
tavl
jan
je u
stre
znos
ti in
uči
nk
ovit
osti
del
ovan
ja n
otra
njih
kon
trol
23
UG
OT
AV
LJA
NJE
US
TR
EZ
NO
ST
I IN
UČ
INK
OV
ITO
ST
I D
EL
OV
AN
JA N
OT
RA
NJI
H K
ON
TR
OL
Del
ovni
list
št.
F1
(2/2
)
Zap
. št
. S
klic
na
notr
anjo
kon
trol
o Iz
vaja
lec
del
Ozn
aka
delo
vneg
a pa
pirj
a
Odg
ovor
na
oseb
a / s
pro
žile
c no
tran
je
kont
role
Cil
j de
lova
nja
NK
U
goto
vlje
no
delo
vanj
e N
K
Ugo
tovi
tev
Oce
na
delo
vanj
a N
K
7.
K7
- O
b op
ravl
jeni
kon
trol
i se
na
doku
men
taci
jo o
dtis
ne ž
ig »
FIS
A
preg
led
opra
vlje
n« -
ob
konc
u de
lovn
ega
dne
se o
prav
i pre
gled
pr
isot
nost
i žig
a na
dok
umen
taci
ji
Rev
izor
B
E-K
7 T
ržni
k v
posl
oval
nici
Opr
avlj
en p
regl
ed 'č
rnih
li
st'
(0 n
apak
na
20 s
klen
jeni
h po
slov
nih
razm
erij
)
0 na
pak
Not
ranj
a ko
ntro
la d
eluj
e in
je p
rim
erno
za
goto
vlje
na s
led
notr
anje
kon
trol
e.
Kon
trol
a se
lahk
o op
usti
, zar
adi n
akna
dne
aplik
ativ
ne k
ontr
ole.
Ust
rezn
o
(mož
na
opus
tite
v ko
ntro
le)
9.
K9
- Sp
letn
a ap
lika
cija
pre
veri
m
oreb
itno
pri
sotn
ost s
tran
ke n
a m
edna
rodn
em s
ezna
mu
PIO
in 'č
rnih
li
st'
Rev
izor
B
E-K
9 A
plik
acij
a sa
mod
ejno
Opr
avlj
en p
regl
ed 'č
rnih
li
st'
(0 n
apak
na
20 s
klen
jeni
h po
slov
nih
razm
erij
)
0 na
pak
Not
ranj
a ko
ntro
la d
eluj
e in
je p
rim
erno
za
goto
vlje
na s
led
notr
anje
kon
trol
e.
Ust
rezn
o
10.
K10
- N
aklj
učni
pre
gled
i P
oobl
ašče
nca
za P
PD
FT
Rev
izor
B
E-K
10
Poo
blaš
čene
c P
ravi
lna
izve
dba
ocen
e pr
ofila
tve
gano
sti s
tran
ke
(izv
eden
pre
gled
2x
letn
o)
Pre
gled
i se
izva
jajo
1x
letn
o.
Kon
trol
a se
izva
ja a
mpa
k ne
v p
redp
isan
i fr
ekve
nci.
Del
no u
stre
zno
11.
K11
- O
b po
novn
em r
edne
m
preg
ledu
str
anke
se
izve
de p
regl
ed
aktu
alno
sti l
astn
iške
str
uktu
re.
Rev
izor
B
E-K
11
Trž
nik
v po
slov
alni
ci a
li
sode
lave
c v
zale
dni
služ
bi
Res
ničn
ost
razk
rite
la
stni
ške
stru
ktur
e st
rank
(0
nap
ak n
a 20
skl
enje
nih
posl
ovni
h ra
zmer
ij)
0 na
pak
Not
ranj
a ko
ntro
la d
eluj
e in
je p
rim
erno
za
goto
vlje
na s
led
notr
anje
kon
trol
e.
Ust
rezn
o
12.
K12
- R
ačun
alni
ški p
rogr
am v
sebu
je
kont
roln
a po
lja,
ki n
e pu
stij
o za
klju
čiti
pos
amez
ni p
osel
vse
dok
ler
niso
izpo
lnje
na v
sa o
bvez
na p
ola
Rev
izor
B
E-K
12
Apl
ikac
ija
sam
odej
no
Pri
dobi
ti v
se z
zak
onom
pr
edpi
sane
pod
atke
o
stra
nki
(0 n
apak
na
20 s
klen
jeni
h po
slov
nih
razm
erij
)
0 na
pak
Not
ranj
a ko
ntro
la d
eluj
e in
je p
rim
erno
za
goto
vlje
na s
led
notr
anje
kon
trol
e.
Ust
rezn
o
24
Priloga 5: Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (list 1/8)
G1 RP 7/2012 – Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo Pripravil: Notranji revizor, datum Pregledal: Predstojnik SNR, datum Kazalo vsebine: 1. Nepravilnosti pri podeljevanju pooblastil in namestništvu 2. Nepravilnosti pri izvedbi izobraževanj zaposlenih, ki delujejo v okviru PPDFT 3. Pomanjkljivosti pri merjenju uspešnosti izvajanja strategije na področju PPDFT 4. Pomanjkljivosti pri posodabljanju Analize tveganosti po ZPPDFT 5. Pomanjkljivosti pri izvajanju segmentacije strank 6. Pomanjkljivosti pri izvajanju procesa spremljanja poslovnih aktivnosti strank 7. Nepravilnost pri sporočanju gotovinskih transakcij uradu 8. Pomanjkljivosti pri izvajanju pregledov izvajanja procesov/delovanja notranjih kontrol s strani
lastnikov procesov 9. Pomanjkljivosti pri pregledu ustreznosti in učinkovitosti notranjih kontrol 1. Nepravilnosti pri podeljevanju pooblastil in namestništvu
1.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti Za ključna delovna mesta v okviru procesov preprečevanja pranja denarja in financiranja terorizma (PPDFT) smo opravili preveritev obstoja pooblastil za opravljanje delovnih nalog v skladu z Zakonom o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT). Preverili smo tudi ali so za ta ključna delovna mesta imenovani namestniki in ali ti poznajo ključne delovne naloge. Ugotovili smo, da:
• so v banki zaposleni štirje Namestniki Pooblaščenca za PPDFT in dva izmed teh nimata pisnega pooblastila vodstva banke za izvajanje namestništva;
• pri enem Namestniku Pooblaščenca za PPDFT smo ugotovili nepoznavanje vsebine osnovnih nalog, katere bi moral izvajat v primeru odsotnosti Pooblaščenca za PPDFT.
1.2. Posledice V obeh primerih gre za neskladje z zakonodajo, za katere so predvidene kazni/globe v okviru ZPPDFT. Sicer gre za manjše neskladnosti:
• ZPPDFT v 40. členu določa, da mora banka za posamezne naloge odkrivanja in preprečevanja pranja denarja in financiranja terorizma, ki so določene v zakonu in predpisih, sprejetih na njegovi podlagi, imenovati Pooblaščenca in enega ali več njegovih Namestnikov.
• ZPPDFT v 41. členu določa, da mora biti Namestnik ustrezno strokovno usposobljena za naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter imeti lastnosti in izkušnje, potrebne za opravljanje funkcije namestnika. Zakon nadalje določa, da je dobro poznavanje narave poslovanja organizacije na področjih, ki so izpostavljena tveganju za pranje denarja ali financiranje terorizma obvezno.
Glede na nepoznavanje osnovnih delovnih nalog Pooblaščenca za PPDFT s strani Namestnika lahko pride v primeru aktivacije namestništva do večjih napak in nepravilnosti pri obvladovanju tveganj PPDFT.
Priloga 5 – Poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
25
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (list 2/8)
G1 RP 7/2012 – Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo 1.3. Predlogi za izboljšanje
Predlog ukrepa: Vodstvo naj opravi imenovanja Namestnikov Pooblaščenca za PPDFT v skladu z zahtevami ZPPDFT. Imenovanja morajo biti podana pisno. Odgovorna oseba: Uprava banke Rok izvedbe: Takoj Predlog ukrepa: Zagotoviti, da bodo imeli Namestniki Pooblaščenca za PPDFT potrebna znanja in veščine za celovito opravljanje delovnih nalog Pooblaščenca za PPDFT. Odgovorna oseba: Pooblaščenec za PPDFT, Uprava banke Rok izvedbe: Stalna naloga 2. Nepravilnosti pri izvedbi izobraževanj zaposlenih, ki delujejo v okviru PPDFT 2.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti SNR je pridobila seznam udeleženih zaposlenih na internih izobraževanjih na področju PPDFT. Seznam smo primerjali z evidenco zaposlenih, ki delujejo na področju PPDFT. Ugotovljeno je bilo, da se je izmed 120 takšnih zaposlenih izobraževanja udeležilo le 105 zaposlenih. Nadalje ugotavljamo, da na novo zaposleni niso deležni posebnega izobraževanja s področja PPDFT. Ti se udeležijo šele prvega rednega letnega izobraževanja. 2.2. Posledice Neskladje z ZPPDFT, ki v 44. členu določa, da mora banka skrbeti za redno strokovno usposabljanje in izobraževanje vseh obstoječih in novih delavcev, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma po tem zakonu. Za omenjeno neskladje zakon predvideva kazen/denarno globo. Nepoznavanje delovnih nalog na področju PPDFT in njihovih sprememb. Povečano operativno tveganje za nastanek napak in nepravilnosti pri opravljanju procesov PPDFT. 2.3. Predlogi za izboljšanje Predlog izrednega ukrepa: Zagotoviti, da bodo vsi zaposleni, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma deležni rednega strokovnega usposabljanja. Odgovorna oseba: Oddelek za osebje Rok izvedbe: Stalna naloga Predlog izrednega ukrepa: Zagotoviti, da bodo vsi novo zaposleni, ki bodo opravljali naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma deležni strokovnega usposabljanja najkasneje v mescu dni po začetku delovnega razmerja. Odgovorna oseba: Oddelek za osebje Rok izvedbe: Stalna naloga
Priloga 5 – Poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
26
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (list 3/8)
G1 RP 7/2012 – Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo Predlog priporočila: Naj se redno strokovno usposabljanje zaposlenih, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma izvede v več skupinah in v različnih časovnih obdobjih, saj bodo tako zaposleni lažje prisotni na predmetnih usposabljanjih. Odgovorna oseba: Oddelek za osebje Rok izvedbe: Stalna naloga Predlog priporočila: Pričeti z vodenjem skupne evidence izobraževanj iz katere bo razvidno kateri zaposleni, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma so se udeležili strokovnega usposabljanja in kdaj. Odgovorna oseba: Oddelek za osebje Rok izvedbe: Stalna naloga 3. Pomanjkljivosti pri merjenju uspešnosti izvajanja strategije na področju PPDFT 3.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti Pri preverjanju ali banka spremlja uspešnost izvajanja zastavljene strategije poslovanja in delovanja na področju PPDFT smo ugotovili, da se spremljanje izvaja pavšalno, na podlagi subjektivnih kriterijev. Banka nima določenih kazalnikov za merjenje uspešnosti izvajanja omenjene strategije. Obveznost spremljanja uspešnosti izvajanja strategije je sicer določena v okviru internega akta, le-ta pa ne določa meritvenih kazalnikov. 3.2. Posledice Strategija se ob njenem necelovitem spremljanju izvajanja ne izpolnjuje v obsegu in v smeri, ki jo določa in je bila sprejeta s strani vodstva banke. Tako lahko prihaja do večjih odmikov pri poslovanju od zastavljenega v strategiji. Kazalniki omogočajo primerljivo spremljanje posameznih ciljev, določenih v okviru strategije. 3.3. Predlogi za izboljšanje
Predlog ukrepa: Zagotoviti merjenje uspešnosti izvajanja strategije na področju PPDFT z vnaprej določenimi kazalniki. Kazalniki naj bodo zapisani v internem aktu. Odgovorna oseba: Uprava banke Rok izvedbe: julij 2013
Priloga 5 – Poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
27
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (list 4/8)
G1 RP 7/2012 – Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo 4. Pomanjkljivosti pri posodabljanju Analize tveganosti po ZPPDFT 4.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti Po preveritvi aktualnosti Analize tveganosti po ZPPDFT ugotavljamo, da je bila ta nazadnje posodobljena v letu 2009. Tako ugotavljamo, da so od zadnje posodobitve minila več kakor 3 leta. ZPPDFT določa, da mora banka pripraviti analizo skladno s smernicami Banke Slovenije, ki pa določajo, da mora banka zagotoviti postopek rednega posodabljanja, predlagano pa je letno obdobje. 4.2. Posledice Analiza tveganosti ni skladna z zadnjimi spremembami in trendi na področju pranja denarja in financiranja terorizma. Tako je povečano tveganje, da banka ne prepozna novih trendov in pokazateljev, ki nakazujejo na pranje denarja in financiranje terorizma. Neskladnost s smernicami Banke Slovenije. 4.3. Predlogi za izboljšanje Predlog ukrepa: Zagotoviti izvajanje postopka rednega posodabljanja Analize tveganosti po ZPPDFT in skladno s smernicami Banke Slovenije. V okviru rednega letnega postopka posodabljanja se mora analiza posodobiti z novostmi na področju PPDFT. Odgovorna oseba: Pooblaščenec za PPDFT Rok izvedbe: Stalna naloga 5. Pomanjkljivosti pri izvajanju segmentacije strank 5.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti SNR je preverila skladnost procesa segmentacije strank z zakonodajnimi določili in delovanje notranjih kontrol v procesu, ki zagotavljajo izvedbo vseh predpisanih postopkov, ki jih določa zakon. Ugotovljeno je bilo, da so notranje kontrole vzpostavljene, vendar pa vse ne delujejo zadovoljivo. Pomanjkljivosti podajamo v nadaljevanju:
• notranja kontrola, ki zagotavlja izvajanje identifikacije stranke v 15% pregledanih primerih ni imela evidentirane sledi o izvedbi le-te (vzorec je bil dvajset strank).
• notranja kontrola – princip štirih oči, s katero se preveri izvedenost identifikacije stranke in razkritja lastniške strukture stranke – v 15% pregledanih primerov ni bila izvedena (vzorec je bil dvajset strank).
• kontrola – Pregled pridobljenih izjav o PIO od nerezidentov ob koncu delovnega dne se sicer izvaja, vendar pomanjkljivo. Bilo je ugotovljeno, da v 30% pregledanih primerov na izjavi manjka podpis stranke, medtem ko so bili drugi podatki pridobljeni.
5.2. Posledice Identifikacija stranke je eden izmed temeljnih ukrepov za PPDFT, ki jih predvideva zakon. Banka je dolžna vzpostaviti takšne postopke, da se identifikacija strank izvaja skladno z zakonskimi določili. Zaradi neskladja z zakonodajo je lahko banka v prekršku in se ji izreče kazen. Prav tako obstaja tveganje, da bo sklenjen odnos s stranko, za katero zakon predvideva drugačno obravnavo od običajne.
Priloga 5 – Poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
28
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (list 5/8)
G1 RP 7/2012 – Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo Stranka s podpisom na izjavi PIO jamči za pravilnost in verodostojnost te izjave, hkrati pa jamči za pravilnost podatkov na njej. Banka je skladno z zakonom vzpostavila postopek, ki določa, da mora banka za stranke, ki niso slovenski državljani (nerezidenti) pridobiti podpisano izjavo o PIO. Tako gre v tem primeru za kršenje internih navodil, saj je izvajalec notranje kontrole dolžan preveriti ali so pridobljene izjave s strani strank popolne. Posledica nepodpisane izjave je, da takšna izjava nima pravne veljave, saj stranka prav s podpisom jamči o zapisanem v izjavi. 5.3. Predlogi za izboljšanje Predlog ukrepa: Opozoriti zaposlene, ki izvajajo postopke identifikacije strank, da dosledno po opravljeni identifikaciji na dokumentacijo odtisnejo žig 'identifikacijo opravil'. Odgovorna oseba: Direktor Oddelka poslovanja s prebivalstvom, Direktor Oddelka poslovanja z gospodarskimi družbami Rok izvedbe: Takoj Predlog ukrepa: Opozoriti zaposlene, ki izvajajo kontrolo 'princip štirih oči', s katero se preveri izvedenost identifikacije stranke in razkritje lastniške strukture stranke, na celovito izvajanje le-te. Odgovorna oseba: Direktor Oddelka poslovanja s prebivalstvom, Direktor Oddelka poslovanja z gospodarskimi družbami Rok izvedbe: Takoj Predlog ukrepa: Opozoriti zaposlene, ki izvajajo notranjo kontrolo pridobljenih podpisanih izjav o politično izpostavljenih osebah, da morajo preveriti celovitost in popolnost izjav (med drugim tudi ali je na izjavi prisoten podpis stranke). Odgovorna oseba: Direktor Oddelka poslovanja s prebivalstvom, Direktor Oddelka poslovanja z gospodarskimi družbami Rok izvedbe: Takoj 6. Pomanjkljivosti pri izvajanju procesa spremljanja poslovnih aktivnosti strank 6.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti Po preveritvi izvajanja procesa spremljanja poslovnih aktivnosti strank ugotavljamo, da je proces sicer vzpostavljen ampak ne zagotavlja revizijske sledi o izvedenosti omenjene kontrole. Omenjeno je bilo ugotovljeno na podlagi preveritve dvajsetih strank, katere so bile naključno izbrane iz bančnega portfelja strank (iz vsake kategorije tveganosti po pet strank). Za izbrane stranke smo preverili ali je bil opravljen zahtevan pregled poslovanja strank v skladu z zakonskimi določili. Ugotovili smo, da se pregledi sicer izvajajo ampak se za to ne zagotavlja revizijska sled. Zaradi takšnega načina izvajanja pregledov obstaja možnost, da nekatere stranke niso zajete v pregled. Prav tako ne moremo za izbrano stranko posebej ugotoviti kdaj je bil pregled izveden. Ugotavljamo, da se pregledi sicer izvajajo za portfelj strank z isto oceno tveganosti. Na podlagi pregleda istega vzorca strank smo ugotavljali ali banka zanje pridobiva aktualne podatke o osebnih dokumentih. Ugotovljeno je bilo, da se predmetne informacije sicer pridobivajo in zapisujejo vendar pa se sled o kontroli osebnega dokumenta ne zagotavlja.
Priloga 5 – Poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
29
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (list 6/8)
G1 RP 7/2012 – Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo Navodila za izvedbo procesa rednega spremljanja poslovnih aktivnosti strank so zapisana in sprejeta s strani vodstva. Navodila vsebujejo določila o izvajanju pregleda poslovanja strank v obsegu in dinamiki kot jo določa ZPPDFT. Ne določajo pa obveznosti in načina zagotavljanja sledi ob izvedenih aktivnostih spremljanja poslovanja in pregleda osebnih dokumentov strank. 6.2. Posledice Banka je dolžna skladno z zakonom zagotavljati sledljivo spremljanje poslovnih aktivnosti strank. prav tako morajo biti sledljive kontrole aktualnosti osebnih dokumentov strank. Glede na ugotovljeno, da temu ni tako obstaja tveganje, da strankino poslovanje ne bo preverjeno s strani banke, kar lahko vpliva na prezrto sumljivo poslovanje. Nadalje je posledica nezagotavljanja sledljivosti izvedene kontrole osebnih dokumentov večje tveganje neaktualnosti podatkov o stranki (priimek, stalno prebivališče, itd.) v bančni evidenci. Te podatke mora banka pridobiti in jih posodabljati skladno z določili ZPPDFT. V kolikor temu ni tako se lahko banki izreče kazen/denarna globa. 6.3. Predlogi za izboljšanje Predlog ukrepa: Določiti in zapisati način za zagotavljanje sledi izvedene redne kontrole poslovanja strank in kontrole aktualnosti osebnih dokumentov strank. Način izvajanja le-te se naj vključi v interni pravilnik, ki opredeljuje delovne postopke v okviru PPDFT. Odgovorna oseba: Pooblaščenec za PPDFT Rok izvedbe: Junij 2013
7. Nepravilnost pri sporočanju gotovinskih transakcij uradu 7.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti Na podlagi opravljene primerjave izvršenih gotovinskih transakcij nad 30.000 EUR v mesecu maju 2012 in transakcij, ki so bile v tem mesecu poročane Uradu za preprečevanje pranja denarja ugotavljamo, da je bilo poročanih le 64% takšnih transakcij (v tem mesecu je bilo skupno izvedenih 215 transakcij nad 30.000 EUR, medtem ko jih je bilo uradu sporočenih le 137). 7.2. Posledice Zakon določa, da mora banka sporočiti Uradu vsako gotovinsko transakcijo nad 30.000 EUR. Ugotovljeno predstavlja velik odmik od določila ZPPFT. Posledica je, da niso bile vse transakcije sporočene Uradu in tako niso bile preverjene s strani Urada. Omenjeno predstavlja eno izmed najtežjih kršitev po ZPPDFT, za katero je predvidena kazen/globa med 12000 EUR in 120000 EUR. Banki se s takšnim poslovanjem povečuje tveganje za izgubo dobrega imena. 7.3. Predlogi za izboljšanje Predlog izrednega ukrepa: Vzpostaviti notranjo kontrolo, ki bo izničila možnost, da ostane izvršena gotovinska transakcija nad 30.000 EUR neporočana Uradu za preprečevanje pranja denarja. Pri implementaciji omenjene kontrole upoštevati določila ZPPDFT (čas in način poročanja). Odgovorna oseba: Pooblaščenec za PPDFT, Uprava banke Rok izvedbe: Februar 2013
Priloga 5 – Poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
30
Zbirno poročilo o ugotovljenih nepravilnostih in pomanjkljivostih (list 7/8)
G1 RP 7/2012 – Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo 8. Pomanjkljivosti pri izvajanju pregledov izvajanja procesov/delovanja notranjih kontrol
s strani lastnikov procesov 8.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti Tekom začetnega ocenjevanja ustreznosti in učinkovitosti ključnih mehanizmov za zaznavanje in preprečevanje tveganj je bilo ugotovljeno, da lastniki procesov sicer procese, za katere so odgovorni, pregledujejo, ampak o opravljenih pregledih ne vodijo zapisnika, v okviru katerega bi bile evidentirane ugotovljene pomanjkljivosti in nepravilnosti. 8.2. Posledice Glede na to, da se pregledi procesov s strani njihovih lastnikov ne evidentirajo ne moremo trditi, da se ti dosledno izvajajo. Tako ocenjujemo povečano tveganje, da se pregledi ne izvajajo in/ali da se izvajajo v omejenem obsegu. V kolikor procesi niso predmet rednih pregledov to povečuje tveganja nastanka napak in prevar in posledično se zmanjša možnost za njihovo izboljševanje. 8.3. Predlogi za izboljšanje Predlog ukrepa: Zagotoviti izvajanje rednih pregledov izvajanja procesov/delovanja notranjih kontrol s strani lastnikov procesov. Ob izvedenem pregledu je izvajalec pregleda dolžan zapisat zapisnik o izvedenem pregledu, v katerem mora navesti izvajalca in čas pregleda ter obseg opravljenih nadzorstvenih aktivnosti. Zapisnik mora vsebovati tudi ugotovljene napake. Z zapisnikom se nato seznani vodja posameznega področja, ki je odgovorno za določen proces. Odgovorna oseba: Uprava banke Rok izvedbe: Stalna naloga 9. Pomanjkljivosti pri pregledu ustreznosti in učinkovitosti notranjih kontrol v okviru
izbranega procesa 9.1. Opis ugotovljenih nepravilnosti in pomanjkljivosti SNR je skladno z revizijskim ciljem in določilom ZPPDFT, ki določa, da mora banka vzpostaviti ustrezne in učinkovite notranje kontrole, preverila ustreznost in učinkovitost notranjih kontrol v procesih PPDFT. Po pregledu procesa ugotavljamo, da je banka vzpostavila notranje kontrole v okviru procesa običajnega pregleda po ZPPDFT. Notranje kontrole sledijo postavljenim kontrolnim ciljem (so ustrezne), vendar jih vse ne dosegajo učinkovito. Ugotavljamo, da:
• K1 – notranja kontrola, ki zagotavlja sledljivost izvajanja identifikacije stranke v 15% pregledanih primerih ni imela evidentirane sledi o izvedbi le-te (vzorec je bil dvajset strank);
• K3 – kontrola 'princip štirih oči', s katero se preveri izvedenost identifikacije stranke in razkritja lastniške strukture stranke je bila izvedena pomanjkljivo v 15% pregledanih primerov;
• K5 – kontrola – Pregled pridobljenih izjav o PIO od nerezidentov ob koncu delovnega dne se sicer izvaja, vendar pomanjkljivo. Bilo je ugotovljeno, da v 30% pregledanih primerov na izjavi manjka podpis stranke, medtem ko so bili drugi podatki pridobljeni;
• K10 – kontrola s strani Pooblaščenčevih naključnih pregledov se izvaja 1x in ne 2x letno; • K7 – kontrola zaradi elektronske posodobitve procesa pregleda ali je stranka prisotna na
črni listi ni več potrebna.
Priloga 5 – Poročilo o ugotovljenih nepravilnostih in pomanjkljivostih
31
9.2. Posledice Posledice ugotovljenih pomanjkljivosti v okviru procesa običajnega pregleda po ZPPDFT so naslednje:
• K1 – ker sled izvedene kontrole ni evidentirana ne moremo z gotovostjo trditi, da se omenjena kontrola dosledno izvaja, kar predstavlja neskladje z ZPPDFT.
• K3 – glede na to, da kontrola ni bila izvedena v vseh primerih izvedenih običajnih pregledov po ZPPDFT ugotavljamo, da obstaja verjetnost, da identifikacija stranke in/ali razkritje lastništva stranke nista bila izvedena. Oboje predstavlja obveznost po ZPPDFT.
• K5 – stranka s podpisom na izjavi PIO jamči za pravilnost in verodostojnost te izjave, hkrati pa jamči za pravilnost podatkov na njej. Banka je skladno z zakonom vzpostavila postopek, ki določa, da mora banka za stranke, ki niso slovenski državljani (nerezidenti) pridobiti podpisano izjavo o PIO. Tako gre v tem primeru za kršenje internih navodil, saj je izvajalec notranje kontrole dolžan preveriti ali so pridobljene izjave s strani strank popolne. Posledica nepodpisane izjave je, da takšna izjava nima pravne veljave, saj stranka prav s podpisom jamči o zapisanem v izjavi.
• K10 – kršenje internih navodil in večje tveganje, da nastala napaka ne bo ugotovljena. • K7 – izvajanje kontrole, ki ni več potrebna in smiselna zahteva določen (nepotreben)
čas zaposlenega, ki jo izvaja. 9.3. Predlogi za izboljšanje Za K1, K3 in K5 glej predloge za izboljšanje pod točko 5.3. Predlog ukrepa: Pooblaščenec za PPDFT naj izvaja naključne preglede pravilnosti izvajanja procesov v predpisani dinamiki, torej 2x na leto. Pooblaščenec naj o izvedenih pregledih poroča nadrejenemu. Odgovorna oseba: Pooblaščenec za PPDFT Rok izvedbe: Stalna naloga Predlog ukrepa: Opustiti izvajanje kontrole 'črnih list' s strani tržnika v poslovalnici, ker se omenjena kontrola izvede avtomatsko v informacijskem sistemu. Odgovorna oseba: Direktor Oddelka poslovanja s prebivalstvom, Direktor Oddelka poslovanja z gospodarskimi družbami Rok izvedbe: Stalna naloga
32
Priloga 6: Zaključno revizijsko poročilo
Za: Revizijsko poročilo
G. Predsednik uprave
G. član uprave
Revizija skladnosti procesov preprečevanja pranja denarja in financiranja terorizma z zakonodajo
RP 7/2012
Dostavljeno: • Pooblaščenec za PPDFT • Direktor Oddelka za osebje • Direktor Oddelka poslovanja s prebivalstvom • Direktor Oddelka poslovanja z gospodarskimi
družbami
Datum izdaje poročila: 27. avgust 2012
Za nadaljnje statistične razlage revizijskega postopka: glej zadnjo stran
Zaupno!
Priloga 6 – Zaključno revizijsko poročilo
33
Povzetek poslovodstvu Revizijsko poročilo 2012
Oddelek notranje revizije
Revizija skladnosti preprečevanja pranja denarja z zakonodajo je bila izvedena v času od 1. do 27. avgusta 2012. Revizijski postopek ima status rednega revizijskega postopka in je bil potrjen v okviru plana izvedbe revizijskih postopkov za leto 2012. Služba notranje revizije je na področju preprečevanja pranja denarja in financiranja terorizma nazadnje opravila revizijske aktivnosti meseca februarja 2011.
Cilj revizijskih aktivnosti je bil ugotoviti ali je sistem za preprečevanje pranja denarja in financiranja terorizma (PPDFT) skladen z zakonodajnimi zahtevami. Notranje-revizijski postopki so bili izvedeni z namenom podaje mnenja: ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in predpisi, prepoznana; ali je postavljena sprejemljiva raven prepoznanih tveganj; ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in ali je delovanje notranjih kontrol uspešno in učinkovito.
Revizijski pregled je bil opravljen v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju in metodologijo COSO.
Ugotavljamo, da je banka v okviru sistema za PPDFT po večini prepoznala prisotna tveganja ne skladnosti postopkov PPDFT in jim določila sprejemljivo raven tveganja ter ustrezne kontrolne cilje. Za prepoznana tveganja je banka vzpostavila notranje kontrole, ki zagotavljajo skladnost poslovanja z zakonodajnimi določili, vendar pa vse notranje kontrole ne delujejo učinkovito in v skladu z zastavljenimi kontrolnimi cilji.
Zaznano je bilo nezadovoljivo izvajanje nekaterih pomembnejših zakonodajnih zahtev. Nezadovoljivo izvajanje zakonodajnih zahtev je bilo ugotovljeno predvsem na področju sporočanja gotovinskih transakcij Uradu za preprečevanje pranja denarja, na področju izobraževanja zaposlenih in pri podeljevanju pooblastil Namestnikom Pooblaščenca za PPDFT ter pri posodabljanju Analize tveganosti po Zakonu o preprečevanju pranja denarja in financiranja terorizma.
Oddelek notranje revizije na podlagi opravljenega postopka notranje revizije skladnosti sistema PPDFT z zakonodajo podaja naslednje mnenje: Poslovanje ni skladno z zakonodajo.
V nadaljevanju revizijskega poročila so opisane posledice ugotovljenih posameznih neusklajenosti z zakonodajo. Prav tako so podana priporočila za odpravo ugotovljenih pomanjkljivosti in nepravilnosti.
Pomembna odkritja
1. Nepravilnosti pri sporočanju gotovinskih transakcij uradu (I13; str. 11);
2. Izobraževanja zaposlenih se ne izvajajo skladno z Zakonom o preprečevanju pranja denarja in financiranja terorizma (I3, I4, P5 in P6; str. 8-9);
3. Pomanjkljivosti pri dodeljevanju pooblastil in strokovne usposobljenosti Namestnikov Pooblaščenca za PPDFT (U1 in U2; str. 8);
4. Ugotovljene pomanjkljivosti pri izvajanju notranjih kontrol tekom izvajanja postopkov segmentiranja strank (U9-U11, U15 in U16, ; str. 10 in 12);
5. Pomanjkljivosti pri posodabljanju Analize tveganosti po ZPPDFT (U8; str. 9).
Z revidiranci smo dosegli soglasje v zvezi z vsemi predlaganimi priporočili, navedenimi v tem revizijskem poročilu.
Priloga 6 – Zaključno revizijsko poročilo
34
Revizijsko poročilo 2012
Oddelek notranje revizije
Odkritja
Št Ugotovitve Stran Odgovorna
oseba Datum ����
U1 Vodstvo naj opravi imenovanja Namestnikov Pooblaščenca za PPDFT v skladu z zahtevami ZPPDFT. Imenovanja morajo biti podana pisno.
7 Uprava banke Takoj
U2
Zagotoviti, da bodo imeli Namestniki Pooblaščenca za PPDFT potrebna znanja in veščine za celovito opravljanje delovnih nalog Pooblaščenca za PPDFT.
7 Pooblaščenec
za PPDFT,
Uprava banke
Stalna naloga
I3
Zagotoviti, da bodo vsi zaposleni, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma, deležni rednega strokovnega usposabljanja.
8 Oddelek za
osebje Stalna naloga
I4
Zagotoviti, da bodo vsi novo zaposleni, ki bodo opravljali naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma, deležni strokovnega usposabljanja najkasneje v mescu dni po začetku delovnega razmerja.
8 Oddelek za
osebje Stalna naloga
P5
Naj se redno strokovno usposabljanje zaposlenih, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma izvede v več skupinah v različnih časovnih obdobjih, saj bodo tako zaposleni lažje prisotni na predmetnih usposabljanjih.
8 Oddelek za
osebje
P6
Pričeti z vodenjem skupne evidence izobraževanj iz katere bo razvidno kateri zaposleni, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma, so se udeležili strokovnega usposabljanja in kdaj.
8 Oddelek za
osebje
U7 Zagotoviti merjenje uspešnosti izvajanja strategije na področju PPDFT z vnaprej določenimi kazalniki. Kazalniki naj bodo zapisani v internem aktu.
9 Uprava banke Julij 2013
U8
Zagotoviti izvajanje postopka rednega posodabljanja Analize tveganosti po ZPPDFT in skladno s smernicami Banke Slovenije. V okviru rednega letnega postopka posodabljanja se mora analiza posodobiti z novostmi na področju PPDFT.
9 Pooblaščenec
za PPDFT Stalna naloga
U9
Opozoriti zaposlene, ki izvajajo postopke identifikacije strank, da dosledno po opravljeni identifikaciji na dokumentacijo odtisnejo žig 'identifikacijo opravil'.
10
Oddelek poslovanja s
prebivalstvom, Oddelek
poslovanja z gospodarskimi
družbami
Takoj
Priloga 6 – Zaključno revizijsko poročilo
35
Revizijsko poročilo 2012
Oddelek notranje revizije
Odkritja
Št Ugotovitve Stran Odgovorna
oseba Datum ����
U10
Opozoriti zaposlene, ki izvajajo kontrolo 'princip štirih oči', s katero se preveri izvedenost identifikacije stranke in razkritje lastniške strukture stranke, na celovito izvajanje le-te.
10
Oddelek poslovanja s
prebivalstvom, Oddelek
poslovanja z gospodarskimi
družbami
Takoj
U11
Opozoriti zaposlene, ki izvajajo notranjo kontrolo pridobljenih podpisanih izjav o politično izpostavljenih osebah, da morajo preveriti celovitost in popolnost izjav (med drugim tudi ali je na izjavi prisoten podpis stranke).
10
Oddelek poslovanja s
prebivalstvom, Oddelek
poslovanja z gospodarskimi
družbami
Takoj
U12
Določiti in zapisati način za zagotavljanje sledi izvedene redne kontrole poslovanja strank in kontrole aktualnosti osebnih dokumentov strank. Način izvajanja le-te se naj vključi v interni pravilnik, ki opredeljuje delovne postopke v okviru PPDFT.
11 Pooblaščenec
za PPDFT Junij 2013
I13
Vzpostaviti notranjo kontrolo, ki bo izničila možnost, da ostane izvršena gotovinska transakcija nad 30.000 EUR neporočana Uradu za preprečevanje pranja denarja. Pri implementaciji omenjene kontrole upoštevati določila ZPPDFT (čas in način poročanja).
11 Pooblaščenec
za PPDFT, Uprava banke
Februar 2013
U14
Zagotoviti izvajanje rednih pregledov izvajanja procesov/delovanja notranjih kontrol s strani lastnikov procesov. Ob izvedenem pregledu je izvajalec pregleda dolžan zapisat zapisnik o izvedenem pregledu, v katerem mora navesti izvajalca in čas pregleda ter obseg opravljenih nadzorstvenih aktivnosti. Zapisnik mora vsebovati tudi ugotovljene napake. Z zapisnikom se nato seznani vodja posameznega področja, ki je odgovorno za določen proces.
12 Uprava banke Stalna naloga
U15
Pooblaščenec za PPDFT naj izvaja naključne preglede pravilnosti izvajanja procesov v predpisani dinamiki, torej 2x na leto. Pooblaščenec naj o izvedenih pregledih poroča nadrejenemu.
13 Pooblaščenec
za PPDFT Stalna naloga
U16 Opustiti izvajanje kontrole črnih list s strani tržnika v poslovalnici, ker se omenjena kontrola izvede avtomatsko v informacijskem sistemu.
13
Oddelek poslovanja s
prebivalstvom, Oddelek
poslovanja z gospodarskimi
družbami
Stalna naloga
Priloga 6 – Zaključno revizijsko poročilo
36
Revizijsko poročilo 2012
Oddelek notranje revizije
Definicije stopnje pomembnosti odkritij:
Izredni ukrep: Izredni ukrep se nanaša na bistvene ugotovitve ali tveganja, ki morajo biti takoj izvršeni (npr. tveganja velikih izgub). Izredni ukrepi so posledica ugotovljenih pomembnih neskladij z zakonodajo ali standardi skupine. Lahko so tudi posledica ugotovljenih pomanjkljivosti ali nepravilnosti v delovanju sistema notranjih kontrol. Z izrednim ukrepom lahko revizorji poudarijo resne druge ugotovitve. Možna je določitev datumov izvršitve, da se pospeši FU postopek. FU ukrep je nujen (in se obravnava s posebno pomembnostjo).
Ukrep: Ukrep se nanaša na pomembne ugotovitve, ki se morajo realizirati. Izpolnitev ukrepa je zahtevana.
Priporočilo: S priporočilom notranja revizija predlaga določen ukrep, za katerega ni nujna izvršitev. Izvedba ukrepa je neobvezna.
���� Ugotovitev notranje revizije je že izpolnjena
Kazalo
1Predmet, cilj in področje revizije…………………………………………………………………37
2Postopki in omejitve pri izvajanju revizije……………………………………………………...37
3Ugotovitve in predlogi notranje revizije………………………………………………………...38
3.1 Nepravilnosti pri podeljevanju pooblastil in namestništvu……………………………………..38
3.2 Nepravilnosti pri izvedbi izobraževanj zaposlenih, ki delujejo v okviru PPDFT……………..39
3.3 Pomanjkljivosti pri merjenju uspešnosti izvajanja strategije na področju PPDFT…………..39
3.4 Pomanjkljivosti pri posodabljanju Analize tveganosti po ZPPDFT……………………………40
3.5 Pomanjkljivosti pri izvajanju segmentacije strank………………………………………………40
3.6 Pomanjkljivosti pri izvajanju procesa spremljanja poslovnih aktivnosti strank………………41
3.7 Nepravilnost pri sporočanju gotovinskih transakcij uradu……………………………………..42
3.8 Pomanjkljivosti pri izvajanju pregledov izvajanja procesov/delovanja notranjih kontrol s strani lastnikov procesov……………………………………………………………………………….42
3.9 Pomanjkljivosti pri pregledu učinkovitosti notranjih kontrol v okviru izbranega procesa…...43
Priloga 6 – Zaključno revizijsko poročilo
37
1. Predmet, cilj in področje revizije Revizijski postopek ima status rednega revizijskega postopka in je bil potrjen v okviru plana izvedbe revizijskih postopkov za leto 2012. Opravljen je bil v prostorih banke in njenih poslovalnic v času od 1. do 23. avgusta leta 2012.
Cilj revizijskih aktivnosti je bil ugotoviti ali je bančni sistem za PPDFT skladen z zakonodajnimi zahtevami.
Notranje-revizijski postopki so bili izvedeni z namenom podaje mnenja: 1. ali so prisotna tveganja ne skladnosti postopkov, v okviru sistema za PPDFT, z zakoni in
predpisi, prepoznana; 2. ali je postavljena sprejemljiva raven prepoznanih tveganj; 3. ali vzpostavljene notranje kontrole izpolnjujejo kontrolne cilje; in 4. ali je delovanje notranjih kontrol uspešno in učinkovito.
Na podlagi ugotovitev iz opravljenih revizijskih aktivnosti smo poslovodstvu banke podali mnenje ali je sistem za PPDFT vzpostavljen skladno z določili zakonodaje (glej prvo stran revizijskega poročila).
Revizijski postopek je obsegal revizijske aktivnosti na naslednjih področij:
• Aktivnosti priprave in posodabljanja Analize tveganosti po ZPPDFT, • Segmentiranje strank - Izvajanje pregleda stranke, • Izvajanje pregleda stranke preko tretjih oseb, • Proces rednega spremljanja poslovnih aktivnosti strank, • Proces kontokorentnih in korespondenčnih odnosov banke, • Proces sporočanja gotovinskih in sumljivih transakcij uradu, • Procesi varstva in hrambe podatkov ter upravljanja evidenc in • Proces priprave in izvajanja izobraževanj ter usposabljanj.
V teku revizije so bili opravljeni razgovori z naslednjimi uslužbenci RBSI:
Ime in priimek Delovno mesto ime priimek Pooblaščenec za PPDFT ime priimek Direktor Oddelka za osebje ime priimek Direktor Oddelka poslovanja s prebivalstvom
ime priimek Direktor Oddelka poslovanja z gospodarskimi družbami
ime priimek …
Zaradi lažjega razumevanja je poročilo v večji meri opisne narave. Kopije dokumentov, ki podpirajo ugotovitve revizije, so razpoložljive kot del delovnih papirjev Službe notranje revizije.
2. Postopki in omejitve pri izvajanju revizije Pri izvajanju revizije so bili uporabljeni naslednji postopki:
• preveritev obstoja in proučevanje vsebine internih aktov ter ugotavljanje skladnosti internih aktov z zakonodajnimi zahtevami,
• razgovori z zaposlenimi, ki so vključeni v aktivnosti sistema za PPDFT, • popis izbranega procesa na področju PPDFT in • preizkušanje delovanja notranjih kontrol v proučevanjem procesu.
Pri izvajanju revizije smo upoštevali naslednje omejitve:
• procesni pregled (opredelitev in izris procesa) bo izveden na postopkih potrebnih za izvedbo običajnega pregleda po ZPPDFT, ob sklepanju poslovnega razmerja,
Priloga 6 – Zaključno revizijsko poročilo
38
• ustreznost in učinkovitost delovanja notranjih kontrol je bila izmerjena za celoten zgoraj izbran proces,
• revizijski postopki na ostalih revidiranih področjih so bili izvedeni na podlagi začetne ocene tveganj in mehanizmov za njihovo zaznavanje in preprečevanje.
Revizijske aktivnosti so bile izvedene v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju.
3. Ugotovitve in predlogi notranje revizije
3.1 Nepravilnosti pri podeljevanju pooblastil in namestništvu
Za ključna delovna mesta v okviru procesov PPDFT smo opravili preveritev obstoja pooblastil za opravljanje delovnih nalog v skladu z Zakonom o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT). Preverili smo tudi ali so za ta ključna delovna mesta imenovani namestniki in ali ti poznajo ključne delovne naloge v okviru namestništva.
Ugotovili smo, da:
• so v banki zaposleni štirje Namestniki Pooblaščenca za PPDFT in dva izmed teh nimata pisnega pooblastila vodstva banke za izvajanje namestništva.
• pri enem Namestniku Pooblaščenca za PPDFT smo ugotovili nepoznavanje vsebine osnovnih nalog, katere bi moral izvajat v primeru odsotnosti Pooblaščenca za PPDFT.
Posledice: V obeh primerih gre za neskladje z zakonodajo, za katere so predvidene kazni/globe v okviru ZPPDFT. Sicer gre za manjše neskladnosti:
• ZPPDFT v 40. členu določa, da mora banka za posamezne naloge odkrivanja in preprečevanja pranja denarja in financiranja terorizma, ki so določene v zakonu in predpisih, sprejetih na njegovi podlagi, imenovati Pooblaščenca in enega ali več njegovih Namestnikov.
• ZPPDFT v 41. členu določa, da mora biti Namestnik ustrezno strokovno usposobljena za naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma ter imeti lastnosti in izkušnje, potrebne za opravljanje funkcije namestnika. Zakon nadalje določa, da je dobro poznavanje narave poslovanja organizacije na področjih, ki so izpostavljena tveganju za pranje denarja ali financiranje terorizma obvezno.
Glede na nepoznavanje osnovnih delovnih nalog Pooblaščenca za PPDFT s strani Namestnika lahko pride v primeru aktivacije namestništva do večjih napak in nepravilnosti pri obvladovanju tveganj PPDFT.
Ukrep U1 Vodstvo naj opravi imenovanja Namestnikov Pooblaščenca za PPDFT v skladu z zahtevami ZPPDFT. Imenovanja morajo biti podana pisno.
Odgovornost za implementacijo: Uprava banke Rok za izvedbo: Takoj
Ukrep U2 Zagotoviti, da bodo imeli Namestniki Pooblaščenca za PPDFT potrebna znanja in veščine za celovito opravljanje delovnih nalog Pooblaščenca za PPDFT.
Odgovornost za implementacijo: Pooblaščenec za PPDFT, Uprava banke Rok za izvedbo: Stalna naloga
Priloga 6 – Zaključno revizijsko poročilo
39
3.2 Nepravilnosti pri izvedbi izobraževanj zaposlenih, ki delujejo v okviru PPDFT
SNR je pridobila seznam udeleženih zaposlenih na internih izobraževanjih na področju PPDFT. Seznam smo primerjali z evidenco zaposlenih, ki delujejo na področju PPDFT. Ugotovljeno je bilo, da se je izmed 120 takšnih zaposlenih izobraževanja udeležilo le 105 zaposlenih. Nadalje ugotavljamo, da na novo zaposleni niso deležni posebnega izobraževanja s področja PPDFT. Udeležijo se šele prvega rednega letnega izobraževanja. Posledice: Neskladje z ZPPDFT, ki v 44. členu določa, da mora banka skrbeti za redno strokovno usposabljanje in izobraževanje vseh obstoječih in novih delavcev, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma po tem zakonu. Za omenjeno neskladje zakon predvideva kazen/denarno globo. Nepoznavanje delovnih nalog na področju PPDFT in njihovih sprememb. Povečano operativno tveganje za nastanek napak in nepravilnosti pri opravljanju procesov PPDFT. Izredni ukrep I3 Zagotoviti, da bodo vsi zaposleni, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma deležni, rednega strokovnega usposabljanja.
Odgovornost za implementacijo: Oddelek za osebje Rok za izvedbo: Stalna naloga
Izredni ukrep I4 Zagotoviti, da bodo vsi novo zaposleni, ki bodo opravljali naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma, deležni strokovnega usposabljanja najkasneje v mescu dni po začetku delovnega razmerja.
Odgovornost za implementacijo: Oddelek za osebje Rok za izvedbo: Stalna naloga
Priporočilo P5 Naj se redno strokovno usposabljanje zaposlenih, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma izvede v več skupinah v različnih časovnih obdobjih, saj bodo tako zaposleni lažje prisotni na predmetnih usposabljanjih.
Odgovornost za implementacijo: Oddelek za osebje
Priporočilo P6 Pričeti z vodenjem skupne evidence izobraževanj iz katere bo razvidno kateri zaposleni, ki opravljajo naloge preprečevanja in odkrivanja pranja denarja in financiranja terorizma, so se udeležili strokovnega usposabljanja in kdaj.
Odgovornost za implementacijo: Oddelek za osebje
3.3 Pomanjkljivosti pri merjenju uspešnosti izvajanja strategije na področju PPDFT
Pri preverjanju ali banka spremlja uspešnost izvajanja zastavljene strategije poslovanja in delovanja na področju PPDFT smo ugotovili, da se spremljanje izvaja pavšalno, na podlagi subjektivnih kriterijev. Banka nima določenih kazalnikov za merjenje uspešnosti izvajanja omenjene strategije. Obveznost spremljanja uspešnosti izvajanja strategije je sicer določena v okviru internega akta, le-ta pa ne določa meritvenih kazalnikov.
Priloga 6 – Zaključno revizijsko poročilo
40
Posledice: Strategija se ob njenem necelovitem spremljanju izvajanja ne izpolnjuje v obsegu in v smeri, ki jo določa in je bila sprejeta s strani vodstva banke. Tako lahko prihaja do večjih odmikov pri poslovanju od zastavljenega v strategiji. Kazalniki omogočajo primerljivo spremljanje posameznih ciljev, določenih v okviru strategije. Ukrep U7 Zagotoviti merjenje uspešnosti izvajanja strategije na področju PPDFT z vnaprej določenimi kazalniki. Kazalniki naj bodo zapisani v internem aktu.
Odgovornost za implementacijo: Uprava banke Rok za izvedbo: Julij 2013
3.4 Pomanjkljivosti pri posodabljanju Analize tveganosti po ZPPDFT
Po preveritvi aktualnosti Analize tveganosti po ZPPDFT ugotavljamo, da je bila ta nazadnje posodobljena v letu 2009. Tako ugotavljamo, da so od zadnje posodobitve minila že več kakor 3 leta. ZPPDFT določa, da mora banka pripraviti analizo skladno s smernicami Banke Slovenije, ki pa določajo, da mora banka zagotoviti postopek rednega posodabljanja, predlagano pa je letno obdobje. Posledice: Analiza tveganosti ni skladna z zadnjimi spremembami in trendi na področju pranja denarja in financiranja terorizma. Tako je povečano tveganje, da banka ne prepozna novih trendov in pokazateljev, ki nakazujejo na pranje denarja in financiranje terorizma. Neskladnost s smernicami Banke Slovenije. Ukrep U8 Zagotoviti izvajanje postopka rednega posodabljanja Analize tveganosti po ZPPDFT in skladno s smernicami Banke Slovenije. V okviru rednega letnega postopka posodabljanja se mora analiza posodobiti z novostmi na področju PPDFT.
Odgovornost za implementacijo: Pooblaščenec za PPDFT Rok za izvedbo: Stalna naloga
3.5 Pomanjkljivosti pri izvajanju segmentacije strank
SNR je preverila skladnost procesa segmentacije strank z zakonodajnimi določili in delovanje notranjih kontrol v procesu, ki zagotavljajo izvedbo vseh predpisanih postopkov, ki jih določa zakon. Ugotovljeno je bilo, da notranje kontrole vzpostavljene vendar pa vse ne delujejo ustrezno. Pomanjkljivosti podajamo v nadaljevanju:
• notranja kontrola, ki zagotavlja izvajanje identifikacije stranke v 15% pregledanih primerih ni imela evidentirane sledi o izvedbi le-te (vzorec je bil dvajset strank).
• notranja kontrola – princip štirih oči, s katero se preveri izvedenost identifikacije stranke in razkritja lastniške strukture stranke – v 15% pregledanih primerov ni bila izvedena (vzorec je bil dvajset strank).
• kontrola – Pregled pridobljenih izjav o politično izpostavljenih osebah (PIO) od nerezidentov ob koncu delovnega dne se sicer izvaja, vendar pomanjkljivo. Bilo je ugotovljeno, da v 30% pregledanih primerov na izjavi manjka podpis stranke, medtem ko so bili drugi podatki pridobljeni
Posledice: Identifikacija stranke je eden izmed temeljnih ukrepov za PPDFT, ki jih predvideva zakon. Banka je dolžna vzpostaviti takšne postopke, da se identifikacija strank izvaja skladno z zakonskimi določili. Zaradi neskladja z zakonodajo je lahko banka v prekršku in se ji izreče kazen. Prav tako obstaja tveganje, da bo sklenjen odnos s stranko, za katero zakon predvideva drugačno
Priloga 6 – Zaključno revizijsko poročilo
41
obravnavo od običajne. Stranka s podpisom na izjavi PIO jamči za pravilnost in verodostojnost te izjave, hkrati pa jamči za pravilnost podatkov na njej. Banka je skladno z zakonom vzpostavila postopek, ki določa, da mora banka za stranke, ki niso slovenski državljani (nerezidenti) pridobiti podpisano izjavo o PIO. Tako gre v tem primeru za kršenje internih navodil, saj je izvajalec notranje kontrole dolžan preveriti ali so pridobljene izjave s strani strank popolne. Posledica nepodpisane izjave je, da takšna izjava nima pravne veljave, saj stranka prav s podpisom jamči o zapisanem v izjavi. Ukrep U9 Opozoriti zaposlene, ki izvajajo postopke identifikacije strank, da dosledno po opravljeni identifikaciji na dokumentacijo odtisnejo žig 'identifikacijo opravil'.
Odgovornost za implementacijo: Oddelek poslovanja s prebivalstvom, Oddelek poslovanja z gospodarskimi družbami
Rok za izvedbo: Takoj
Ukrep U10 Opozoriti zaposlene, ki izvajajo kontrolo 'princip štirih oči', s katero se preveri izvedenost identifikacije stranke in razkritje lastniške strukture stranke, na celovito izvajanje le-te.
Odgovornost za implementacijo: Oddelek poslovanja s prebivalstvom, Oddelek poslovanja z gospodarskimi družbami
Rok za izvedbo: Takoj
Ukrep U11 Opozoriti zaposlene, ki izvajajo notranjo kontrolo pridobljenih podpisanih izjav o politično izpostavljenih osebah, da morajo preveriti celovitost in popolnost izjav (med drugim tudi ali je na izjavi prisoten podpis stranke).
Odgovornost za implementacijo: Oddelek poslovanja s prebivalstvom, Oddelek poslovanja z gospodarskimi družbami
Rok za izvedbo: Takoj
3.6 Pomanjkljivosti pri izvajanju procesa spremljanja poslovnih aktivnosti strank
Po preveritvi izvajanja procesa spremljanja poslovnih aktivnosti strank ugotavljamo, da je proces sicer vzpostavljen, ampak ne zagotavlja revizijske sledi o izvedenosti omenjene kontrole. Omenjeno je bilo ugotovljeno na podlagi preveritve dvajsetih strank, katere so bile naključno izbrane iz bančnega portfelja strank (iz vsake kategorije tveganosti po pet strank). Za izbrane stranke smo preverili ali je bil opravljen zahtevan pregled poslovanja strank v skladu z zakonskimi določili. Ugotovili smo, da se sicer pregledi izvajajo, ampak se za to ne zagotavlja revizijska sled. Zaradi takšnega načina izvajanja pregledov obstaja možnost, da nekatere stranke niso zajete v pregled. Prav tako ne moremo za izbrano stranko posebej ugotoviti kdaj je bil pregled izveden. Ugotavljamo, da se pregledi sicer izvajajo za celoten portfelj strank z isto oceno tveganosti. Na podlagi pregleda istega vzorca strank smo ugotavljali ali banka zanje pridobiva aktualne podatke o osebnih dokumentih. Ugotovljeno je bilo, da se predmetne informacije sicer pridobivajo in zapisujejo, vendar pa se sled o kontroli osebnega dokumenta ne zagotavlja. Navodila za izvedbo procesa rednega spremljanja poslovnih aktivnosti strank so zapisana in sprejeta s strani vodstva. Navodila vsebujejo določila o izvajanju pregleda poslovanja strank v obsegu in dinamiki kot jo določa ZPPDFT. Ne določajo pa obveznosti in načina zagotavljanja sledi ob izvedenih aktivnostih spremljanja poslovanja in pregleda osebnih dokumentov strank. Posledice: Banka je dolžna skladno z zakonom zagotavljati sledljivo spremljanje poslovnih aktivnosti strank.
Priloga 6 – Zaključno revizijsko poročilo
42
prav tako morajo biti sledljive kontrole aktualnosti osebnih dokumentov strank. Glede na ugotovljeno, da temu ni tako obstaja tveganje, da strankino poslovanje ne bo preverjeno s strani banke, kar lahko vpliva na prezrto sumljivo poslovanje. Nadalje je posledica nezagotavljanja sledljivosti izvedene kontrole osebnih dokumentov večje tveganje neaktualnosti podatkov o stranki (priimek, stalno prebivališče, itd.) v bančni evidenci. Te podatke mora banka pridobiti in jih posodabljati skladno z določili ZPPDFT. V kolikor temu ni tako se lahko banki izreče kazen/denarna globa. Ukrep U12 Določiti in zapisati način za zagotavljanje sledi izvedene redne kontrole poslovanja strank in kontrole aktualnosti osebnih dokumentov strank. Način izvajanja le-te se naj vključi v interni pravilnik, ki opredeljuje delovne postopke v okviru PPDFT.
Odgovornost za implementacijo: Pooblaščenec za PPDFT Rok za izvedbo: Junij 2013
3.7 Nepravilnost pri sporočanju gotovinskih transakcij uradu
Na podlagi opravljene primerjave izvršenih gotovinskih transakcij nad 30.000 EUR v mesecu maju 2012 in transakcij, ki so bile v tem mesecu poročane Uradu za preprečevanje pranja denarja ugotavljamo, da je bilo poročanih le 64% takšnih transakcij (v tem mesecu je bilo skupno izvedenih 215 transakcij nad 30.000 EUR, medtem ko jih je bilo uradu sporočenih le 137). Posledice: Zakon določa, da mora banka sporočiti Uradu vsako gotovinsko transakcijo nad 30.000 EUR. Ugotovljeno predstavlja velik odmik od določila ZPPFT. Posledica je, da niso bile vse transakcije sporočene Uradu in tako niso bile preverjene s strani Urada. Omenjeno predstavlja eno izmed najtežjih kršitev po ZPPDFT, za katero je predvidena kazen/globa med 12000 EUR in 120000 EUR. Banki se s takšnim poslovanjem povečuje tveganje za izgubo dobrega imena. Izredni ukrep I13 Vzpostaviti notranjo kontrolo, ki bo izničila možnost, da ostane izvršena gotovinska transakcija nad 30.000 EUR neporočana Uradu za preprečevanje pranja denarja. Pri implementaciji omenjene kontrole upoštevati določila ZPPDFT (čas in način poročanja).
Odgovornost za implementacijo: Pooblaščenec za PPDFT, Uprava banke Rok za izvedbo: Februar 2013
3.8 Pomanjkljivosti pri izvajanju pregledov izvajanja procesov/delovanja notranjih kontrol s strani lastnikov procesov
Tekom začetnega ocenjevanja ustreznosti in učinkovitosti ključnih mehanizmov za zaznavanje in preprečevanje tveganj je bilo ugotovljeno, da lastniki procesov sicer procese, za katere so odgovorni pregledujejo, ampak o opravljenih pregledih ne vodijo zapisnika, v okviru katerega bi bile evidentirane ugotovljene pomanjkljivosti in nepravilnosti. Posledice: Glede na to, da se pregledi procesov s strani njihovih lastnikov ne evidentirajo ne moremo trditi, da se ti dosledno izvajajo. Tako ocenjujemo povečano tveganje, da se pregledi ne izvajajo in/ali da se izvajajo v omejenem obsegu. V kolikor procesi niso predmet rednih pregledov to povečuje tveganja nastanka napak in prevar in posledično se zmanjša možnost za njihovo izboljševanje.
Priloga 6 – Zaključno revizijsko poročilo
43
Ukrep U14 Zagotoviti izvajanje rednih pregledov izvajanja procesov/delovanja notranjih kontrol s strani lastnikov procesov. Ob izvedenem pregledu je izvajalec pregleda dolžan zapisat zapisnik o izvedenem pregledu, v katerem mora navesti izvajalca in čas pregleda ter obseg opravljenih nadzorstvenih aktivnosti. Zapisnik mora vsebovati tudi ugotovljene napake. Z zapisnikom se nato seznani vodja posameznega področja, ki je odgovorno za določen proces.
Odgovornost za implementacijo: Uprava banke Rok za izvedbo: Stalna naloga
3.9 Pomanjkljivosti pri pregledu ustreznosti in učinkovitosti notranjih kontrol v okviru izbranega procesa
SNR je skladno z revizijskim ciljem in določilom ZPPDFT, ki določa, da mora banka vzpostaviti ustrezne in učinkovite notranje kontrole, preverila ustreznost in učinkovitost notranjih kontrol v izbranem procesu. Po pregledu procesa ugotavljamo, da je banka vzpostavila notranje kontrole v okviru procesa običajnega pregleda po ZPPDFT. Notranje kontrole sledijo postavljenim kontrolnim ciljem (so ustrezne), vendar jih vse ne dosegajo učinkovito. Ugotavljamo, da:
• K1 – notranja kontrola, ki zagotavlja izvajanje identifikacije stranke v 15% pregledanih primerih ni imela evidentirane sledi o izvedbi le-te (vzorec je bil dvajset strank);
• K3 – kontrola 'princip štirih oči', s katero se preveri izvedenost identifikacije stranke in razkritja lastniške strukture stranke ni bila izvedena v 15% pregledanih primerov (vzorec je bil dvajset strank);
• K5 – kontrola – Pregled pridobljenih izjav o PIO od nerezidentov ob koncu delovnega dne
se sicer izvaja, vendar pomanjkljivo. Bilo je ugotovljeno, da v 30% pregledanih primerov na izjavi manjka podpis stranke, medtem ko so bili drugi podatki pridobljeni;
• K10 – kontrola s strani Pooblaščenčevih naključnih pregledov se izvaja 1x in ne 2x letno; • K7 – kontrola zaradi elektronske posodobitve procesa pregleda ali je stranka prisotna na
črni listi ni več potrebna. Za K1, K3 in K5 so predlogi za izboljšanje podani v okviru U9, U10 in U11. Posledice: Posledice ugotovljenih pomanjkljivosti v okviru procesa običajnega pregleda po ZPPDFT so naslednje:
• K1 – ker sled izvedene kontrole ni evidentirana ne moremo z gotovostjo trditi, da se omenjena kontrola dosledno izvaja, kar predstavlja neskladje z ZPPDFT.
• K3 – glede na to, da kontrola ni bila izvedena v vseh primerih izvedenih običajnih pregledov po ZPPDFT ugotavljamo, da obstaja verjetnost, da identifikacija stranke in/ali razkritje lastništva stranke nista bila izvedena. Oboje predstavlja obveznost po ZPPDFT.
• K5 – stranka s podpisom na izjavi PIO jamči za pravilnost in verodostojnost te izjave, hkrati pa jamči za pravilnost podatkov na njej. Banka je skladno z zakonom vzpostavila postopek, ki določa, da mora banka za stranke, ki niso slovenski državljani (nerezidenti) pridobiti podpisano izjavo o PIO. Tako gre v tem primeru za kršenje internih navodil, saj je izvajalec notranje kontrole dolžan preveriti ali so pridobljene izjave s strani strank popolne. Posledica nepodpisane izjave je, da takšna izjava nima pravne veljave, saj stranka prav s podpisom jamči o zapisanem v izjavi.
• K10 – kršenje internih navodil in večje tveganje, da nastala napaka ne bo ugotovljena. • K7 – izvajanje kontrole, ki ni več potrebna in smiselna zahteva določen (nepotreben)
čas zaposlenega, ki jo izvaja.
Priloga 6 – Zaključno revizijsko poročilo
44
Ukrep U15 Pooblaščenec za PPDFT naj izvaja naključne preglede pravilnosti izvajanja procesov v predpisani dinamiki, torej 2x na leto. Pooblaščenec naj o izvedenih pregledih poroča nadrejenemu.
Odgovornost za implementacijo: Pooblaščenec za PPDFT Rok za izvedbo: Stalna naloga
Ukrep U16 Opustiti izvajanje kontrole črnih list s strani tržnika v poslovalnici, ker se omenjena kontrola izvede avtomatsko v informacijskem sistemu.
Odgovornost za implementacijo: Oddelek poslovanja s prebivalstvom, Oddelek poslovanja z gospodarskimi družbami
Rok za izvedbo: Stalna naloga Maribor, 27. avgust. 2012
Vodja SNR Vodja revizijske skupine Oddelek notranje revizije V imenu revizijske skupine
Priloga 6 – Zaključno revizijsko poročilo
45
Podrobnejši podatki o revizijskem poročilu
Zadnja revizija: Februar 2011
Obdobje izvedbe revizije: 1. – 23. avgust 2012
Datum izdaje osnutka: 23. avgust 2012
Datum zaključnega sestanka: 23. avgust 2012
Datum prejetja komentarja revidirane enote:
27. avgust 2012
Usklajevanje: 23. – 27. avgust 2012
Datum izdaje poročila: 27. avgust 2012
Revizorji: Ime priimek Vodja revizijske skupine
Ime priimek Član revizijske skupine