Zapewnienie bezpieczeństwa środków powierzonych przez Klientów środków jest jednym z priorytetów prowadzenia zrównoważonego biznesu zdefiniowanych w strategii Banku na lata 2015-2017. Banku Millennium oraz spółki Grupy prowadzą działalność w oparciu o obowiązujące regulacje prawne, kodeks zachowań etycznych oraz najlepsze praktyki rynkowe. Specjalną wagę Bank przykłada do spraw związanych z zarządzaniem ryzykiem oraz bezpieczeństwem działania.
G4-DMA
Polityka zapewnienia zgodności (compliance)
Prawa, zasady i standardy dotyczące zapewnienia zgodności działań realizowanych przez Bank z obowiązującymi regulacjami zewnętrznymi i wewnętrznymi dotyczą kwestii takich jak: przestrzeganie odpowiednich standardów postępowania rynkowego, zarzadzanie konfliktami interesu, uczciwe traktowanie Klientów oraz zapewnianie im właściwych porad. Za szczególnie istotne, Bank uznaje następujące obszary działania:
- przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu;
- zapewnienie zgodności wewnętrznych aktów normatywnych Banku Millennium z przepisami powszechnie obowiązującego prawa, a także z zaleceniami wydawanymi przez organy nadzorcze;
- zarządzanie konfliktami interesów;
- przestrzeganie zasad etycznych;
- ograniczanie transakcji osobistych i ochrona informacji poufnych związanych z Bankiem Millennium, instrumentami finansowymi wydanymi przez Bank, jak również informacji związanych ze sprzedażą/zakupem takich instrumentów;
- monitorowanie i zapewnienie zgodności w zakresie produktów inwestycyjnych objętych dyrektywą Unijną MiFID.
Raport oceny adekwatności i skuteczności systemu nadzoru zgodności z prawem jest prezentowany co kwartał Zarządowi Banku i Komitetowi Audytu Rady Nadzorczej oraz corocznie Radzie Nadzorczej.
G4-DMA,G4-57, G4-58
Przypadki niezgodności z prawem i dobrymi praktykami
Pozew grupowy Klientów hipotecznych
W dniu 21 października 2014 roku Bankowi został doręczony pozew grupowy, w którym grupa kredytobiorców Banku reprezentowana przez Miejskiego Rzecznika Konsumentów w Olsztynie dochodzi ustalenia, że Bank ponosi wobec nich odpowiedzialność z tytułu bezpodstawnego wzbogacenia w związku z umowami o kredyt hipoteczny indeksowany do CHF. Zdaniem członków grupy, Bank miał nienależnie pobierać od nich zawyżone kwoty tytułem spłaty kredytów. Zgodnie z pozwem, zawyżenie tych kwot miało wynikać ze stosowania niedozwolonych postanowień umownych dotyczących indeksacji kredytów do CHF.
Bank nie uznaje roszczeń członków grupy. W dniu 31 grudnia 2014 roku Bank złożył odpowiedź na pozew, w której zakwestionował roszczenia członków grupy.
Wartość znaczących kar za brak zgodności z prawem i regulacjami
| Wartość znaczących kar za brak zgodności z prawem i regulacjami | ||
|---|---|---|
| Kwota (zł) | Wyjaśnienie | |
| 2014 | 850.000 | Prezes UOKiK uznał za praktykę naruszającą zbiorowe interesy konsumentów niewskazanie przez Bank w umowach o otwarcie i prowadzenie Indywidualnych Kont Emerytalnych przesłanek dokonywania zmian umowy oraz niewskazanie w tych umowach zakresu odpowiedzialności Banku za terminowe i prawidłowe przeprowadzenie rozliczeń pieniężnych oraz wysokości odszkodowania za przekroczenie terminu realizacji dyspozycji posiadacza rachunku i nakazał zaniechania ich stosowania. Z tytułu powyższych naruszeń Prezes UOKIK nałożył na Bank karę w wysokości 2 857 389 zł.. Bank odwołał się od decyzji Urzędu. W dniu 25.11.2014 roku Sąd ograniczył wysokość kary do łącznej kwoty 850 000 zł.. Wyrok nie jest prawomocny. |
| 2013 | 634.071 | Decyzją z dnia 29.12.2006 roku Prezes UOKiK nałożył na Bank Millennium karę w wysokości 12 158 370 zł. Kara została nałożona również na inne banki (łącznie 20 banków). Nałożenie powyższej kary jest wynikiem postępowania, w którym UOKiK uznał za ograniczającą konkurencję praktykę polegającą na uczestniczeniu banków, w tym Banku Millennium, w porozumieniu mającym na celu wspólne ustalanie stawek opłaty interchange pobieranych od transakcji dokonywanych kartami systemu Visa i Mastercard. Wyrokiem z dnia 21.11.2013 roku, Sąd Ochrony Konkurencji i Konsumentów w Warszawie częściowo oddalił odwołania banków, z jednoczesnym obniżeniem nałożonych kary - w stosunku do Banku Millennium do 634 071 zł.. Wyrok nie jest prawomocny. |
G4-SO8
Przeciwdziałanie nadużyciom
W celu efektywnego zwalczania nadużyć i skutecznego im zapobiegania stworzono Program Zarządzania Ryzykiem Nadużyć będący podstawą dla istniejącego i na bieżąco modyfikowanego systemu przeciwdziałania nadużyciom. System ten umożliwia koordynowanie działań jednostek Banku zaangażowanych w przeciwdziałanie nadużyciom w zakresie procesów wykrywania, badania i zapobiegania nadużyciom, dostarczając jednocześnie profesjonalnych narzędzi i systemów gwarantujących efektywną ochronę Banku.
Jednym z elementów programu jest szkolenie Pracowników Oddziałów,którzy ze względu na bezpośredni kontakt z Klientami mają największą możliwość identyfikacji podejrzanych zachowań. Oprócz szkoleń dla nowych Pracowników Sieci (470 osób przeszkolonych w 2014 roku), prowadzona jest strona w intranecie na temat przeciwdziałania nadużyciom. Do Pracowników rozsyłane są również informacje dotyczące nowych sposobów i metod stosowanych przez oszustów.
G4-58
Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (AML/CTF)
Stosowany przez Bank Program przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (AML/CTF) jest kompleksowym systemem identyfikacji obszarów zagrożenia, jakie niesie ze sobą przestępstwo prania pieniędzy.
Działania podjęte w ramach realizacji programu polegają w szczególności na stosowaniu wobec Klientów środków bezpieczeństwa finansowego uzależnionych od oceny ryzyka prania pieniędzy, rejestrowanie i raportowanie transakcji, typowanie transakcji podejrzanych, współpracę z Generalnym Inspektorem Informacji Finansowej.
Bank Millennium na bieżąco dostosowuje raporty do analizy transakcji podejrzanych, uwzględniając funkcjonujące w danym okresie schematy (branże, kierunki przepływu środków finansowych, zachowania Klientów) w celu skutecznej identyfikacji i raportowania transakcji mogących mieć związek z procederem prania pieniędzy.
Wprowadzone procedury wewnętrzne, rozwiązania organizacyjne oraz programy szkoleń dla Pracowników, zapewniają sprawne funkcjonowanie Programu.
| Program przeciwdziałania praniu pieniędzy | 2014 | 2013 | 2012 |
|---|---|---|---|
| Liczba i % przeszkolonych Pracowników | 1256 (22%) | 1539 (28%) | 1346(22%) |
| Liczba przekazanych do GIIF* raportów na temat Podejrzanej Działalności (SAR) | 134 | 155 | 187 |
| Liczba Klientów, których raporty SAR dotyczyły | 502 | 640 | 844 |
* Generalny Inspektor Informacji Finansowej
Regulacje antykorupcyjne
Regulacje antykorupcyjne opisane w wewnętrznych politykach zapewnienia zgodności oraz Kodeksie etycznym Grupy Banku Millennium odnoszą się do przyjmowania i oferowania korzyści przez Pracowników Banku, zasad kontaktów z osobami pełniącymi funkcje publiczne, instytucjami publicznymi i partiami politycznymi. Regulacje odnoszą się również do Dostawców oraz kontrahentów Banku. Każdy Dostawca biorący udział w przetargu, poprzez podpisanie oświadczenia, zobowiązuje się do przestrzegania zasad zawartych w Kodeksie Etycznym Banku.
G4-DMA
Pracownicy mogą zgłaszać pytania oraz zaobserwowane nieprawidłowości dotyczące naruszenia przepisów prawa, regulacji i norm etycznych za pośrednictwem dedykowanej linii telefonicznej oraz skrzynki mailowej albo też skontaktować się z bezpośrednim przełożonym lub kierującym Departamentem Zapewnienia Zgodności.
W ramach prowadzonych audytów wewnętrznych, badaniom podlega podatność procesów bankowych na różnego rodzaju zagrożenia i nadużycia, w tym zjawisko korupcji.
Ryzyko korupcji
| 2014 | 2013 | 2012 | |
|---|---|---|---|
| Liczba i odsetek jednostek organizacyjnych analizowanych ze względu na ryzyko korupcji | Trudno wskazać liczbę audytowanych jednostek, ponieważ audyty dotyczą poszczególnych procesów, w które zaangażowanych jest po kilka jednostek organizacyjnych. | ||
| Akcje powzięte w wyniku stwierdzenia przypadków korupcji | 1 | Brak wykrytych przypadków korupcji | |
G4-SO3, G4-SO5, G4-58
Bezpieczeństwo informacji
System zarządzania bezpieczeństwem informacji stosowany w Banku wzorowany jest na międzynarodowej normie ISO/IEC 27001, w której określono wymagania dotyczące ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia zarządzania bezpieczeństwem informacji w organizacji. Przegląd regulacji dotyczących zarządzania bezpieczeństwem informacji dokonywany jest przynajmniej raz w roku.
Przyjęty model zarządzania bezpieczeństwem informacji wyznacza kompleksowy system ochrony wszelkich informacji przetwarzanych w Banku, w tym dotyczących zarówno Klientów, Pracowników oraz realizowanych transakcji. Do realizacji tego celu Bank wykorzystuje szeroką gamę środków organizacyjnych, informatycznych, telekomunikacyjnych, w szczególności mechanizmów ochrony urządzeń, systemów, aplikacji, baz danych oraz kanałów komunikacyjnych.
Pomimo, że Bank nie podlega obowiązkom certyfikowania sposobu zarządzania bezpieczeństwem informacji, na wszystkich szczeblach organizacji kładzie się duży nacisk na spełnianie wymagań wynikających z międzynarodowej normy ISO/IEC 27001 oraz standardu obowiązującego w branży kart płatniczych - PCI DSS. Efektem tego są pozytywne raporty audytów okresowo przeprowadzanych przez Komisję Nadzoru Finansowego oraz zewnętrznych konsultantów, jak też akredytacje wiodących wydawców kart płatniczych, w tym VISA, MasterCard oraz American Express.
G4-58
Audyt wewnętrzny i zewnętrzny
Audyt wewnętrzny
Działalność Audytu Wewnętrznego oparta jest na rocznym planie audytów. Podstawą planowania jest ocena ryzyka poszczególnych obszarów i procesów Banku. Proces planowania uwzględnia konsultacje z kierownictwem wyższego szczebla oraz właścicielami kluczowych procesów. Roczny plan audytu zatwierdzany przez Komitet Audytu Rady Nadzorczej Banku i realizowany w podziale kwartalnym.
Audyt wewnętrzny opiniuje wprowadzane i aktualizowane w Banku regulacje, niezależnie i obiektywnie ocenia i doradza jednostkom w zakresie audytowanego obszaru. Działania o charakterze doradczym mogą być wykonywane, o ile ich charakter nie narusza zasady obiektywizmu i niezależności audytora wewnętrznego.
Departament Audytu Wewnętrznego jest jednostką niezależną, podlegającą Prezesowi Zarządu Banku, a wyniki swoich działań raportuje Komitetowi Audytu Rady Nadzorczej i Radzie Nadzorczej Banku. Wyniki przeglądu funkcjonowania całego systemu kontroli wewnętrznej, jak i wybranych jego elementów są prezentowane cyklicznie i podlegają ocenie Komitetu Audytu Rady Nadzorczej Banku.
G4-DMA
Audyt Wewnętrzny – działania przeprowadzone w roku 2014
| Audyty procesowe | 78 |
|---|---|
| Audyty finansowe | 4 |
| Audyty placówek | 178 |
| Audyty zgodności z wymogami: IRF / MiFID | 13 |
| Nieplanowe audyty | 8 |
| Przegląd ICP, Inspekcje KNF, BION | 5 |
| RAZEM: | 286 |
| Kontrola prewencyjna | 251 |
| Postępowania wyjaśniające (nieplanowe) | 297 |
G4-FS9, G4-58
Audyt zewnętrzny
Otrzymywanie terminowej, przejrzystej i adekwatnej informacji o efektach działalności Banku jest istotną kwestią dla Interesariuszy. Jednym z aspektów służących realizacji tego zadania jest współpraca Banku z Audytorem Zewnętrznym w obszarze sporządzania sprawozdań finansowych. Wyboru Audytora Zewnętrznego dokonuje Rada Nadzorcza Banku na podstawie rekomendacji Komitetu Audytu Rady Nadzorczej Banku.
W roku 2014, po długoletniej współpracy z KPMG Audyt Sp. z o.o., Audytorem Zewnętrznym dla Banku został PricewaterhouseCoopers Sp. z o.o.. Oprócz współdziałania przy wykonywaniu podstawowych zadań Audytora Zewnętrznego, takich jak przegląd i badanie odpowiednio półrocznych i rocznych sprawozdań finansowych, Bank realizuje wraz z PwC koncepcję bieżącego monitorowania i konsultowania zdarzeń ekonomicznych pod kątem prawidłowej prezentacji w pozostałych sprawozdaniach finansowych. Stosowanie takiego podejścia zapewnia, że przedmiotowe transakcje zostaną zaprezentowane w sprawozdaniach śródrocznych w sposób tożsamy jak w badanym sprawozdaniu rocznym.
G4-58
W górę