Σύστημα Εσωτερικού Ελέγχου
Τμήμα Ασφάλειας Πληροφοριών
Η αποστολή του Τμήματος Ασφάλειας Πληροφοριών είναι η διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των πληροφοριών ανάλογα με την περίπτωση. Για τον σκοπό αυτό, το Τμήμα είναι υπεύθυνο για την υλοποίηση της Δήλωσης Διάθεσης Ανάληψης Κινδύνου του οργανισμού σε αποτελεσματικούς και αποδοτικούς ελέγχους.
Το Τμήμα Ασφάλειας Πληροφοριών είναι υπεύθυνο και υπόλογο για την ανάπτυξη και την εφαρμογή του πλαισίου ασφάλειας των πληροφοριών, για να βοηθήσει τις προσπάθειες του Συγκροτήματος για την προστασία του κεφαλαίου πληροφοριών της.
Ο ρόλος του επικεφαλής της Ασφάλειας Πληροφοριών περιλαμβάνει, ανάμεσα σε άλλα, τα ακόλουθα:
- Συμβουλεύει και παρέχει συστάσεις προς το Διοικητικό Συμβούλιο για την ανάπτυξη πολιτικής για την ασφάλεια των πληροφοριών, σύμφωνα με το μέγεθος και την πολυπλοκότητα των δραστηριοτήτων και δικτύων διανομής πληροφοριών του Συγκροτήματος.
- Συμβουλεύει και παρέχει συστάσεις προς τα ανώτερα διευθυντικά στελέχη για την ανάπτυξη και την εφαρμογή του προγράμματος ασφάλειας των πληροφοριών του Συγκροτήματος.
Ο επικεφαλής της Ασφάλειας Πληροφοριών υποβάλλει ετήσια έκθεση προς το Διοικητικό Συμβούλιο, μέσω της Επιτροπής Διαχείρισης Κινδύνου, το οποίο περιλαμβάνει, μεταξύ άλλων, μια περίληψη των πιο σημαντικών κινδύνων της ασφάλειας πληροφοριών.
Διεύθυνση Συμμόρφωσης
Η Διεύθυνση Συμμόρφωσης (ΔΣ) παρέχει ανεξάρτητη εποπτεία στη διαχείριση της συμμόρφωσης της Τράπεζας με νόμους, κανονισμούς, κατευθυντήριες γραμμές και εσωτερικούς κανόνες που σχετίζονται με τις δραστηριότητες της Τράπεζας και αναφέρεται απευθείας στην Επιτροπή Ελέγχου του Διοικητικού Συμβουλίου.
Οι δραστηριότητες της Διεύθυνσης εμπίπτουν σε τέσσερεις κύριους τομείς και ο ρόλος τους περιλαμβάνει τα ακόλουθα:
Κανονιστική Συμμόρφωση
- Εποπτεύει, συντονίζει, παρακολουθεί και παρέχει σχετική διαβεβαίωση για συμμόρφωση με τους υφιστάμενους νόμους, κανόνες και κανονισμούς μέσω της εφαρμογής ενός γενικού κανονιστικού πλαισίου διακυβέρνησης της Τράπεζας, σύμφωνα με τις απαιτήσεις της Κεντρικής Τράπεζας της Κύπρου (ΚΤΚ) και άλλων ρυθμιστικών αρχών στην Κύπρο, την Ευρωπαϊκή Ένωση, το Ηνωμένο Βασίλειο και την Ιρλανδία. Η δραστηριότητα αυτή περιλαμβάνει, αλλά δεν περιορίζεται, στον προσδιορισμό και τον έλεγχο των κινδύνων συμμόρφωσης, στις υποχρεώσεις προληπτικής αναφοράς καθώς και στην εκπαίδευση για θέματα κανονιστικής συμμόρφωσης.
- Παρακολουθεί και αξιολογεί όλους τους νέους κανονισμούς ή τροποποιήσεις υφιστάμενων κανονισμών και διευκολύνει την εφαρμογή τους εκδίδοντας και διατηρώντας πολιτικές και διαδικασίες συμμόρφωσης και ζητώντας την έκδοση νέων πολιτικών ή την αναθεώρηση υφιστάμενων ώστε να διασφαλιστεί ότι οι νέοι κανονισμοί αποτελούν μέρος των πολιτικών και διαδικασιών της Τράπεζας.
- Παρέχει καθοδήγηση, συμβουλές, υποστήριξη και κατάρτιση στο προσωπικό σχετικά με σημαντικούς νόμους, κανονισμούς και κατευθυντήριες γραμμές ηθικής σε μια προσπάθεια δημιουργίας εταιρικής κουλτούρας.
- Υποβάλλει αναφορές στην Επιτροπή Ελέγχου του Διοικητικού Συμβουλίου για σημαντικά θέματα κανονιστικής συμμόρφωσης και προβαίνει σε σχετικές εισηγήσεις.
- Διεξάγει αξιολογήσεις και εκτιμήσεις για να διασφαλίσει την αποτελεσματικότητα των ελέγχων και των διαδικασιών στη διαχείριση των κινδύνων κανονιστικής συμμόρφωσης και εισηγείται διορθωτικές ενέργειες.
- Ενεργεί ως σύνδεσμος με τις ρυθμιστικές αρχές και εμφανίζεται ενώπιον των οργάνων τους κατόπιν πρόσκλησης για διευκρίνιση ζητημάτων που σχετίζονται με το πλαίσιο συμμόρφωσης.
- Ετοιμάζει ετήσια έκθεση προς την ΚΤΚ αναφορικά με τη συμμόρφωση της Τράπεζας με τις οδηγίες της ΚΤΚ.
Συμμόρφωση με τη Διακυβέρνηση και τις Αγορές
- Εποπτεύει, συντονίζει, παρακολουθεί και παρέχει σχετική διαβεβαίωση για συμμόρφωση με τους υφιστάμενους νόμους, κανόνες και κανονισμούς που αφορούν επενδυτικές και συναφείς υπηρεσίες. Η δραστηριότητα αυτή περιλαμβάνει, αλλά δεν περιορίζεται, στον προσδιορισμό και τον έλεγχο των κινδύνων συμμόρφωσης, στις υποχρεώσεις προληπτικής αναφοράς καθώς και στην εκπαίδευση για θέματα κανονιστικής συμμόρφωσης με τη νομοθεσία που αφορά επενδυτικές και συναφείς υπηρεσίες.
- Υποβάλλει αναφορές στην Επιτροπή Ελέγχου του Διοικητικού Συμβουλίου για σημαντικά θέματα κανονιστικής συμμόρφωσης με τη νομοθεσία που αφορά επενδυτικές και συναφείς υπηρεσίες και προβαίνει σε σχετικές εισηγήσεις.
- Αξιολογεί την αποτελεσματικότητα και την επάρκεια της πολιτικής εταιρικής διακυβέρνησης του Συγκροτήματος σε συντονισμό με την Επιτροπή Διορισμών και Εταιρικής Διακυβέρνησηςκαι προβαίνει σε κατάλληλες εισηγήσεις προς το Διοικητικό Συμβούλιο.
- Διασφαλίζει τη συμμόρφωση με τον Κώδικα Εταιρικής Διακυβέρνησης του Χρηματιστηρίου Αξιών Κύπρου, τον Κώδικα του Ηνωμένου Βασιλείου καθώς και τις σχετικές οδηγίες της ΚΤΚ.
- Διευκολύνει την κατάρτιση των μελών του Διοικητικού Συμβουλίου για τα καθήκοντα και τις ευθύνες τους.
- Διασφαλίζει την ικανότητα και την ακεραιότητα όλων των μελών του Διοικητικού Συμβουλίου και της ανώτατης Διοίκησης και αξιολογεί σε τακτά χρονικά διαστήματα την καταλληλότητα τους σύμφωνα με τις κατευθυντήριες γραμμές της Ευρωπαϊκής Αρχής Τραπεζών και τις σχετικές οδηγίες της ΚΤΚ και υποβάλλει σχετικές εκθέσεις σε ετήσια βάση.
- Ετοιμάζει την ετήσια αξιολόγηση απόδοσης του Διοικητικού Συμβουλίου σε συντονισμό με την Επιτροπή Διορισμών και Εταιρικής Διακυβέρνησης και υποβάλλει έκθεση στο Διοικητικό Συμβούλιο και στην ΚΤΚ.
Συμμόρφωση με το Οικονομικό Έγκλημα
- Παρακολουθεί και διαχειρίζεται την αποτελεσματική αντιμετώπιση των κινδύνων νομιμοποίησης εσόδων από το ξέπλυμα παράνομου χρήματος και τη χρηματοδότηση της τρομοκρατίας μέσω της διερεύνησης προειδοποιητικών μηνυμάτων που δημιουργούνται από εξειδικευμένο AML σύστημα, της αξιολόγησης των πελατών οι οποίοι μέσα στο πλαίσιο των εργασιών τους διενεργούν τακτικές καταθέσεις μετρητών, της αξιολόγησης των εσωτερικών αναφορών ύποπτων συναλλαγών, της διενέργειας εσωτερικών διερευνήσεων αναφορικά με υποθέσεις ξεπλύματος παράνομου χρήματος και της χρηματοδότησης της τρομοκρατίας (ΞΠΧ/ΧΤ) και την υποβολή αναφορών ύποπτων συναλλαγών στη ΜΟΚΑΣ.
- Διασφαλίζει τη συμμόρφωση αναφορικά με θέματα που σχετίζονται με την παρεμπόδιση νομιμοποίησης εσόδων από το ΞΠΧ/ΧΤ, μέσω πραγματοποίησης επιτόπιων ελέγχων στις διάφορες Μονάδες της Τράπεζας, της ενημέρωσης των Πολιτικών και Διαδικασιών και της παρακολούθησης των αποτελεσμάτων των ελέγχων/ερευνών από τις Εποπτικές Αρχές.
- Αξιολογεί τον βαθμό κινδύνου των πελατών για θέματα ΞΠΧ/ΧΤ μέσω της αναθεώρησης των αιτημάτων πελατών υψηλού και σημαντικού κινδύνου, αξιολογεί τον κίνδυνο για θέματα ΞΠΧ/ΧΤ των διαφόρων χωρών, παρακολουθεί τις διεθνείς κυρώσεις που επιβάλλονται από διάφορους οργανισμούς, ανταποκρίνεται στα αιτήματα των ανταποκριτριών τραπεζών και παρακολουθεί τις τακτικές εκστρατείες των επιχειρηματικών μονάδων αναφορικά με τις επικαιροποιήσεις των πελατών.
- Αξιολογεί τον βαθμό κινδύνου των Τρίτων Προσώπων, παρακολουθώντας τους λογαριασμούς πελατών που διατηρούνται στο όνομα Τρίτων Προσώπων (Client Accounts), αξιολογεί τα Τρίτα Πρόσωπα, (Διαμεσολαβητές και παροχείς διοικητικών υπηρεσιών (Fiduciary Services)) και διενεργεί εξειδικευμένες αναθεωρήσεις στους πελάτες που θεωρούνται Πολιτικά Εκτεθειμένα Πρόσωπα.
- Ετοιμάζει και αποστέλλει στην Κεντρική Τράπεζα της Κύπρου την Ετήσια Έκθεση του Λειτουργού Συμμόρφωσης, σύμφωνα με τις πρόνοιες της Οδηγίας της ΚΤΚ για την παρεμπόδιση νομιμοποίησης εσόδων από ΞΠΧ/ΧΤ, η οποία περιλαμβάνει την Ετήσια Έκθεση Καταγραφής και Αξιολόγησης Κινδύνων που ετοιμάζεται με βάση εξειδικευμένη μεθοδολογία εκτίμησης κινδύνων.
Διαχείριση απορρήτου δεδομένων
- Λειτουργεί ως σύνδεσμος μεταξύ της Επιτρόπου Προστασίας Προσωπικών Δεδομένων και της Τράπεζας Κύπρου.
- Υποστηρίζει και συμβουλεύει την Τράπεζα και το Διοικητικό Συμβούλιο για θέματα προστασίας προσωπικών δεδομένων.
- Παρακολουθεί και διασφαλίζει την επάρκεια των υφιστάμενων διαδικασιών για την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων, του αρχείου δραστηριοτήτων επεξεργασίας και της διαχείρισης προμηθευτών.
- Διασφαλίζει ότι οι καταγγελίες σχετικά με θέματα προστασίας δεδομένων αντιμετωπίζονται γρήγορα και αποτελεσματικά.
- Προβαίνει σε ανασκοπήσεις και αξιολογήσεις για να διασφαλίσει την πλήρη συμμόρφωση με τις υποχρεώσεις του κανονισμού για τη Γενική Προστασία Δεδομένων (GDPR) σε ολόκληρη την Τράπεζα.
Καταστατικό Διεύθυνσης Συμμόρφωσης
Διεύθυνση Εσωτερικού Ελέγχου
Η Τράπεζα θεσπίζει το μοντέλο Τριών Γραμμών Άμυνας, στο πλαίσιο αποτελεσματικής διαχείρισης κινδύνων. Η Διεύθυνση Εσωτερικού Ελέγχου, ως η τρίτη γραμμή άμυνας, παρέχει ανεξάρτητη διαβεβαίωση προς το Διοικητικό Συμβούλιο και τα ανώτερα διευθυντικά στελέχη για την αποτελεσματικότητα του πλαισίου εταιρικής διακυβέρνησης, πρακτικών διαχείρισης κινδύνων και συστήματος εσωτερικού ελέγχου.
Οι κύριες αρμοδιότητες της Διεύθυνσης Εσωτερικού Ελέγχου περιλαμβάνουν, μεταξύ άλλων, τα ακόλουθα:
- Ανάπτυξη ενός πλάνου ελέγχου εγκεκριμένου από την Επιτροπή Ελέγχου με σκοπό να διασφαλίζεται ότι καλύπτονται ελεγκτικά οι περιοχές με μεγαλύτερη έκθεση σε σημαντικούς κινδύνους που ενδέχεται να επηρεάσουν την ικανότητα της Τράπεζας να επιτύχει τους στρατηγικούς της στόχους.
- Αξιολόγηση της καταλληλότητας, της επάρκειας και της αποτελεσματικότητας του πλαισίου εταιρικής διακυβέρνησης.
- Αξιολόγηση της αξιοπιστίας, της ακεραιότητας και της πληρότητας των συστημάτων λογιστικής, χρηματοοικονομικής πληροφόρησης και πληροφορικής.
- Αξιολόγηση του σχεδιασμού και της λειτουργικής αποτελεσματικότητας του συστήματος εσωτερικού ελέγχου και των τμημάτων ελέγχου.
Καταστατικό Εσωτερικού Ελέγχου
Διεύθυνση Διαχείρισης Κινδύνου
Η Διεύθυνση Διαχείρισης Κινδύνων (ΔΔΚ) διασφαλίζει ότι όλοι οι σημαντικοί κίνδυνοι εντοπίζονται, μετρούνται και αναφέρονται σωστά. Η Διεύθυνση συμμετέχει ενεργά στην ανάπτυξη της στρατηγικής κινδύνου του ιδρύματος αλλά και σε όλες τις σημαντικές αποφάσεις διαχείρισης κινδύνων.
Το Διοικητικό Συμβούλιο διασφαλίζει την ανεξαρτησία της ΔΔΚ παρέχοντάς της άμεση πρόσβαση στο Διοικητικό Συμβούλιο και την Επιτροπή Διαχείρισης Κινδύνων χωρίς κανένα εμπόδιο.
Η ΔΔΚ είναι ανεξάρτητη από τις εκτελεστικές λειτουργίες, τις επιχειρησιακές γραμμές αναφοράς και τις λειτουργίες που παράγουν έσοδα. Η ΔΔΚ αναφέρεται λειτουργικά στην Επιτροπή Διαχείρισης Κινδύνων και διοικητικά στον Διευθύνοντα Σύμβουλο.
Ο ρόλος της ΔΔΚΣ περιλαμβάνει, ανάμεσα σε άλλα, τα ακόλουθα:
- Βοηθά το Διοικητικό Συμβούλιο και τα ανώτερα διευθυντικά στελέχη να καθορίσουν και να κοινοποιήσουν τους στόχους και την κατεύθυνση της διαχείρισης κινδύνων της Τράπεζας.
- Βοηθά την Επιτροπή Διαχείρισης Κινδύνων και τα ανώτερα διευθυντικά στελέχη να αναπτύξουν και να κοινοποιήσουν τις πολιτικές διαχείρισης κινδύνων.
- Διευκολύνει την αναγνώριση, μέτρηση, παρακολούθηση, αναφορά και έλεγχο των κινδύνων.
- Παρακολουθεί και αξιολογεί τις αποφάσεις για την αποδοχή ιδιαίτερων κινδύνων, αν αυτές συμφωνούν με τις εγκεκριμένες πολιτικές για την ανοχή κινδύνου αλλά και την αποτελεσματικότητα των αντίστοιχων μέτρων που λαμβάνονται για μετριασμό των κινδύνων.
- Εκθέτει τα αποτελέσματα της εκτίμησης και της παρακολούθησης των κινδύνων στα ανώτερα διευθυντικά στελέχη, στην Επιτροπή Διαχείρισης Κινδύνων και στο Διοικητικό Συμβούλιο.
- Διαθέτει επαρκή εξειδίκευση και επιχειρησιακή εμπειρία, ώστε να μπορεί να αμφισβητεί τις αποφάσεις που επηρεάζουν την έκθεση του ιδρύματος σε κινδύνους.
- Ετοιμάζει ετήσια έκθεση στην Κεντρική Τράπεζα της Κύπρου (ΚΤΚ) παρουσιάζοντας βασικά θέματα και εξελίξεις που αφορούν την Τράπεζα και γίνεται ανασκόπηση των κύριων τομέων κινδύνου.
- Υποβάλλει εκθέσεις στο Διοικητικό Συμβούλιο και στις αρμόδιες Επιτροπές και παρίσταται στις συνεδριάσεις τους, παρουσιάζοντας τις εν λόγω εκθέσεις και παρέχοντας πρόσθετες πληροφορίες ή/και ταξινομώντας ή βοηθώντας με τη διαχείριση των ζητημάτων που τέθηκαν.
- Συμμετέχει σε οποιεσδήποτε αλλαγές στη στρατηγική του ιδρύματος, το πλαίσιο ανάληψης κινδύνων και τα όρια κινδύνου.
- Προσδιορίζει τους σημαντικούς κινδύνους του Συγκροτήματος και διασφαλίζει την ύπαρξη κατάλληλων στρατηγικών μετριασμού αυτών.
- Η ΔΔΚ μέσω του Διευθυντή Διαχείρησης Κινδύνων (Δ-ΔΚ) έχει άμεση και απεριόριστη πρόσβαση στο Διοικητικό Συμβούλιο, μέσω της Επιτροπής Διαχείρισης Κινδύνων.
- Η ΔΔΚ μέσω του Δ-ΔΚ έχει το δικαίωμα και δεν δεσμεύεται στο να εκφράζει και να αναφέρει τα ευρήματα της στο Διοικητικό Συμβούλιο και στις Επιτροπές του Διοικητικού Συμβουλίου χωρίς την παρουσία εκτελεστικών μελών του Διοικητικού Συμβουλίου.
- Η ΔΔΚ έχει το δικαίωμα, με δική της πρωτοβουλία, να επικοινωνεί με οποιοδήποτε μέλος του προσωπικού, να αποκτά πλήρη και άνευ όρων πρόσβαση σε όλα τα αρχεία και φακέλους της Τράπεζας και να αντλεί κάθε άλλη πληροφορία που είναι απαραίτητη για την εκπλήρωση των καθηκόντων της.
- Η ΔΔΚ εξουσιοδοτείται να παρέχει συμβουλευτικές υπηρεσίες σχετικά με τη διακυβέρνηση, τις ρυθμιστικές απαιτήσεις, τη διαχείριση κινδύνων και τον έλεγχο αυτών, όπως αρμόζει για την Τράπεζα, και να αξιολογεί συγκεκριμένες λειτουργίες κατόπιν αιτήματος του Διοικητικού Συμβουλίου ή της Διοίκησης.
Επιπλέον, η Επιτροπή Διαχείρισης Κινδύνων αξιολογεί και παρακολουθεί την ανεξαρτησία, την επάρκεια και την αποτελεσματικότητα της ΔΔΚ. Η ανεξάρτητη και ενισχυμένη ΔΔΚ έχει εντολή να καθορίζει υγιείς πολιτικές που να αντικατοπτρίζουν την εγκεκριμένη διάθεση ανάληψης κινδύνου του Συγκροτήματος και να παρακολουθεί τους κινδύνους με προληπτικό τρόπο σε όλους τους επιχειρηματικούς τομείς.