Global menu

Our global pages

Close

Matryca funkcji kontroli w teorii i praktyce systemów IT

  • Poland
  • Banking and finance

26-10-2017

Ze wszystkich wytycznych najnowszej Rekomendacji H KNF jedno pojęcie budzi największe wątpliwości, sprzeczne opinie i gorączkowe pytania odnośnie procesu implementacyjnego.  Jest nim tzw. matryca funkcji kontroli. W artykule tym przedstawione zostało podejście do implementacji i zarządzania matrycą funkcji kontroli, co pozwoli choćby w przybliżeniu zarysować skalę problemu i przykłady jego skutecznego rozwiązania.Artykuł ukazał się magazynie "Audyt i Zarządzanie", wydawanym przez Instytut Audytorów Wewnętrznych IIA Polska. Jego współautorem jest Jan Anisimowicz – Ekspert GRC (Governance, Risk and Compliance) w firmie C&F.  
  
Matryca funkcji kontroli

Rozporządzenie Ministra Rozwoju i Finansów w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego z dnia 6 marca 2017 r. (dalej: rozporządzenie) mocą § 36 ust. 3 pkt 2 wprowadziło w stosunku do zastąpionej uchwały nr 258/2011 KNF  istotne novum w postaci tzw. matrycy funkcji kontroli (dalej: MFK). Zmiana jest na tyle znacząca, że okres wejścia w życie obowiązku sporządzenia matrycy wydłużono do 1 lipca 2017 r., albowiem, jak można przeczytać w uzasadnieniu do rozporządzenia: Sporządzenie (…) opisu w formie matrycy funkcji kontroli (…) może być – w przypadku niektórych banków – procesem złożonym, wymagającym od banków istotnych nakładów czasowych, przeglądu dotychczasowych procesów oraz odpowiedniego delegowania zadań w ramach struktury organizacyjnej. Tym bardziej więc należy się skupić na jak najbardziej efektywnym procesie wdrażania matrycy, zwłaszcza w przypadku, gdy zarządzenie matrycą ma zostać odzwierciedlone w postaci systemu IT. Jednocześnie należy podkreślić, że w stosowanych modelach systemu kontroli wewnętrznej i zarządzania ryzykiem sama matryca funkcji kontroli (risk control matrix, internal control template) nie jest czymś nowym, niemniej jednak przejście na taki sposób rozumienia systemu kontroli wewnętrznej wymaga od banku nie tylko odpowiedniego dostosowania własnych regulacji i procedur wewnętrznych, ale zmiany całościowego rozumienia kontroli wewnętrznej w banku...


Czytaj cały artykuł >>  http://iia.org.pl/sites/default/files/audyt_i_zarzadzanie_03.2017_05_1.pdf

Ze wszystkich wytycznych najnowszej Rekomendacji H KNF jedno pojęcie budzi największe wątpliwości, sprzeczne opinie i gorączkowe pytania odnośnie procesu implementacyjnego. Jest nim tzw. matryca funkcji kontroli. Dr Łukasz Cichy, Governance Risk Compliance Director w kancelarii Wierzbowski Eversheds Sutherland i Jan Anisimowicz, ekspert Governance, Risk and Compliance w firmie C&F w swoim artykule przedstawili podejście do implementacji i zarządzania matrycą funkcji kontroli, by chociaż w przybliżeniu zarysować skalę problemu i przykłady jego skutecznego rozwiązania. Tekst ukazał się w magazynie "Audyt i Zarządzanie", wydawanym przez Instytut Audytorów Wewnętrznych IIA Polska. 

Matryca funkcji kontroli

Rozporządzenie Ministra Rozwoju i Finansów w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego z dnia 6 marca 2017 r. (dalej: rozporządzenie) mocą § 36 ust. 3 pkt 2 wprowadziło w stosunku do zastąpionej uchwały nr 258/2011 KNF  istotne novum w postaci tzw. matrycy funkcji kontroli (dalej: MFK). Zmiana jest na tyle znacząca, że okres wejścia w życie obowiązku sporządzenia matrycy wydłużono do 1 lipca 2017 r., albowiem, jak można przeczytać w uzasadnieniu do rozporządzenia: Sporządzenie (…) opisu w formie matrycy funkcji kontroli (…) może być – w przypadku niektórych banków – procesem złożonym, wymagającym od banków istotnych nakładów czasowych, przeglądu dotychczasowych procesów oraz odpowiedniego delegowania zadań w ramach struktury organizacyjnej. Tym bardziej więc należy się skupić na jak najbardziej efektywnym procesie wdrażania matrycy, zwłaszcza w przypadku, gdy zarządzenie matrycą ma zostać odzwierciedlone w postaci systemu IT. Jednocześnie należy podkreślić, że w stosowanych modelach systemu kontroli wewnętrznej i zarządzania ryzykiem sama matryca funkcji kontroli (risk control matrix, internal control template) nie jest czymś nowym, niemniej jednak przejście na taki sposób rozumienia systemu kontroli wewnętrznej wymaga od banku nie tylko odpowiedniego dostosowania własnych regulacji i procedur wewnętrznych, ale zmiany całościowego rozumienia kontroli wewnętrznej w banku.

Matryca funkcji kontroli – konsekwencje wymogów regulacyjnych

Zgodnie z § 36 ust. 3 pkt 2  rozporządzenia Bank zapewnia dokumentację funkcji kontroli w szczególności przez opis, w formie matrycy funkcji kontroli, powiązania celów, o których mowa w art. 9c ust. 1 ustawy – Prawo bankowe, z procesami w działalności banku, które przez bank zostały uznane za istotne oraz kluczowymi mechanizmami kontrolnymi i niezależnym monitorowaniem przestrzegania tych mechanizmów kontrolnych. Dalsza konkretyzacja  znajduje się w rekomendacjach 4.3, 24.5e, 25.3f, 26.1d oraz przede wszystkim 9.1-9.4 nowej Rekomendacji H KNF. Jak wskazuje rozporządzenie, matryca funkcji kontroli jest opisem dokumentującym ową funkcję, który to opis składa się na powiązanie określonych elementów. Wymóg ten poniekąd determinuje charakter matrycy, która w wersji minimalnej ma jedynie odzwierciedlać pewne relacje między określonymi elementami, a nie generować określone wyniki (np. rejestrować nieprawidłowości). Oczywiście rozbudowywanie matrycy o wyniki np. testowania pionowego jest jak najbardziej dopuszczalne, nie mniej jednak nie wydaje się, by od 1 lipca 2017 wymagało tego rozporządzenie. Samo powiązanie wystarczy. Do obowiązkowych elementów matrycy należą cele systemu kontroli wewnętrznej, procesy istotne, kluczowe mechanizmy kontrolne oraz niezależne monitorowanie skuteczności mechanizmów. Nie znaczy to, że matryca pozbawiona jest elementów obowiązkowych „warunkowo”, czy też elementów fakultatywnych. W przypadku tych pierwszych, zgodnie z Rekomendacją 9.4 Rekomendacji H Bank powinien uzupełniać matrycę funkcji kontroli o dodatkowe elementy wynikające z systemu kontroli wewnętrznej jego podmiotów zależnych, jeżeli mają one wpływ na zapewnianie osiągania celów systemu kontroli wewnętrznej w procesach istotnych. Dodatkowo w przypadku banków nienależących do tzw. systemu ochrony, w ramach celów systemu kontroli wewnętrznej należy określić cele szczegółowe. Z kolei do elementów fakultatywnych może należeć wszystko to, co w opinii banku jest istotne z punktu widzenia wprowadzonej funkcji kontroli np. ryzyko nieosiągnięcia celów systemu kontroli wewnętrznej, rodzaj mechanizmu kontrolnego, proces nieistotny, czy nawet ujęcie danego procesu w cyklu audytowym....

Czytaj cały artykuł >>  


For more information contact

< Wstecz

Kontakt dla prasy

Renata Misiewicz
Zespół Public Relations 
+48 22 50 50 719
renata.misiewicz@eversheds-sutherland.pl