National Bank of Rwanda Regulation No. 4230/2019 on Minimum Internal Control and Audit Standards for Banks

Official Gazette no Special of 26/07/2019 19 AMABWIRIZA RUSANGE N° 4230 /2019 - 00024[ 614 ] YO KU WA 5/6/2019 YA BANKI NKURU Y’U RWANDA YEREKEYE IBIPIMO BY’IBANZE BIJYANYE N’UBURYO BW’IMIKORERE N’IBY’UBUGENZUZI BW'IMBERE MU MABANKI ISHAKIRO REGULATION N° 4230 /2019 - 00024[ 614 ] OF 5/6/2019 OF THE NATIONAL BANK OF RWANDA ON MINIMUM INTERNAL CONTROL AND INTERNAL AUDIT STANDARDS IN BANKS TABLE OF CONTENT REGLEMENT N° 4230 /2019 - 00024[614] DU 5/6/2019 DE LA BANQUE NATIONALE DU RWANDA SUR LES NORMES MINIMA DE CONTROLE INTERNE ET D’AUDIT INTERNE DANS LES BANQUES TABLE DES MATIERES Ingingo ya mbere : Icyo aya mabwiriza rusange agamije Article One: Purpose Article Premier: Objet Ingingo ya 2 : Ibisobanuro by’amagambo Article 2: Definitions Article 2: Définitions Ingingo ya 3 : Ishyirwaho ry’urwego rushinzwe igenzura ry’imbere Article 3: Establishment of internal audit function Article 3: Mise en place de la fonction d’audit interne Ingingo ya 4 : Sitati y’urwego rushinzwe igenzura ry’imbere Article 4: Status of internal audit function Article 4: Statut de la fonction d'audit interne Ingingo ya 5 : Igenzura ry’imbere mu itsinda cyangwa imiterere y’isosiyete ibumbye izindi Article 5: Internal audit within a group or holding company structure Article 5: Audit interne au sein d’une structure de groupe ou de holding Ingingo ya 6 : Isuzuma rikorwa na Banki Nkuru ku bijyanye n’urwego rw’igenzura ry’imbere Article 6: Central Bank assessment of the internal audit function Article 6: Evaluation de la fonction d’audit interne par la Banque centrale Ingingo ya 7 : Inama hagati ya Banki Nkuru n’abagenzuzi b’imbere Article 7: Meetings between the Central Bank and internal auditors Article 7: Réunions entre la Banque Centrale et les auditeurs internes Ingingo ya 8 : Uburyo bw’imikorere mu mabanki Article 8: Internal controls in banks Article 8: Contrôle interne dans les banques Ingingo ya 9 : Amahame y’igenzura ry’imbere n’ay’uburyo bw’imikorere Article 9: Internal audit and internal controls principles Article 9: Les principes de l’audit interne et du contrôle interne

Official Gazette no Special of 26/07/2019 20 Ingingo ya 10: Ivanwaho ry’ingingo zinyuranye n’aya mabwiriza rusange Article 10: Repealing provisions Article 10: Dispositions abrogatoires Ingingo ya 11 : Igihe aya mabwiriza rusange atangira gukurikizwa Article 11: Commencement Article 11: Entrée en vigeur

Official Gazette no Special of 26/07/2019 21 AMABWIRIZA RUSANGE N° 4230 /2019 - 00024[ 614 ] YO KU WA 5/6/2019 YA BANKI NKURU Y’U RWANDA YEREKEYE IBIPIMO BY’IBANZE BIJYANYE N’UBURYO BW’IMIKORERE N’IBY’UBUGENZUZI BW'IMBERE MU MABANKI REGULATION N° 4230 /2019 - 00024[ 614 ] OF 5/6/2019 OF THE NATIONAL BANK OF RWANDA ON MINIMUM INTERNAL CONTROL AND INTERNAL AUDIT STANDARDS IN BANKS REGLEMENT N° 4230 /2019 - 00024[614] DU 5/6/2019 DE LA BANQUE NATIONALE DU RWANDA SUR LES NORMES MINIMA DE CONTROLE INTERNE ET D’AUDIT INTERNE DANS LES BANQUES Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Banki Nkuru y’u Rwanda cyane cyane mu ngingo zaryo iya 6, iya 8, iya 9, iya 10 n’iya 15; Ishingiye ku Itegeko Nº 47/2017 ryo ku wa 23/9/2017 rigena imitunganyirize y’imirimo y’amabanki, cyane cyane mu ngingo zaryo, iya 117; Isubiye ku Mabwiriza rusange N° 11/2011 yerekeye igenzura ry’ibanze ry’imbere n’amahame ngenderwaho mu igenzura mu ma banki ; Banki Nkuru y’u Rwanda, mu ngingo zikurikira yiswe “Banki Nkuru”, itegetse ibi ibikurikira: Pursuant to the Law No 48/2017 of 23/09/2017 governing the National Bank of Rwanda, especially in articles 6, 8 , 9, 10 and 15; Pursuant to the Law No 47/2017 of 23/09/2017 governing the Organisation of banking, especially in article 117; Having reviewed the Regulation N° 11/2011 on minimum internal control and audit standards in banks; The National Bank of Rwanda, hereinafter referred to as “Central Bank”, decides the following: Vu la No 48/2017 du 23/09/2017 régissant la Banque Nationale du Rwanda spécialement en ses articles 6, 8, 9, 10 et 15; Vu la Loi Nº 47/2017 du 23/09/2017 portant organisation de l’activité bancaire, spécialement en son article 117 ; Revue le règlement N° 11/2011 sur le controle interne minimum et les normes d’audit internes dans les banque ; La Banque Nationale du Rwanda, ci-après dénommée « Banque Centrale », édicte ce qui suit: Ingingo ya mbere : Icyo aya mabwiriza rusange agamije Aya mabwiriza rusange agamije gushyiraho ibipimo by’ibanze bijyanye n’uburyo bw’imikorere n’iby’ubugenzuzi bw'imbere mu mabanki. Article One: Purpose This Regulation aims at establishing minimum internal control and audit standards in banks. Article Premier: Objet Le présent règlement vise à établir des normes minimales de contrôle interne et d’audit interne dans les banques.

Official Gazette no Special of 26/07/2019 22 Ingingo ya 2 : Ibisobanuro by’amagambo Muri aya mabwiriza rusange, amagambo akurikira asobanura ibi bikurikira: 1° uburyo bw’imikorere : uburyo bushyirwa mu bikorwa n’inama y’ubutegetsi, ubuyobozi n’abandi bakozi ba banki, bugamije gutanga « icyizere nyacyo » ku byerekeye ishyirwa mu bikorwa ry’intego z’ibikorwa, mu buryo buboneye kandi butanga umusaruro. 2° banki: Banki iyo ariyo yose igenzurwa na Banki Nkuru. Article 2: Definitions In this Regulation, the following terms have the following meanings : 1° internal control: a process, effected by a bank’s board of directors, management and other personnel, designed to provide "reasonable assurance" regarding the achievement of objectives in effective and efficiency of operations. 2° bank: Any bank supervised by the Central Bank. Article 2: Définitions Dans le présent règlement, les termes suivants ont les significations suivantes: 1° controle interne : un processus appliqué par le conseil d’administration, la direction et d’autres membres du personnel d’une banque, conçu pour fournir une « assurance raisonnable » quant à la réalisation des objectifs de façon efficace et efficiente des opérations. 2° banque : Toute banque supervisée par la Banque Centrale. Ingingo ya 3 : Ishyirwaho ry’urwego rushinzwe igenzura ry’imbere Banki zigomba gushyiraho urwego rushinzwe igenzura ry’imbere nk’uko biteganyijwe mu mugereka wa I w’aya mabwiriza rusange. Article 3: Establishment of internal audit function Banks shall put in place an internal audit function as prescribed in appendix I of this regulation. Article 3: Mise en place de la fonction d’audit interne Les banques doivent mettre en place la fonction d’audit interne tel que prévu dans l’annexe I du présent règlement. Ingingo ya 4 : Sitati y’urwego rushinzwe igenzura ry’imbere Umwanya w’umukuru w’urwego rushinzwe igenzura ry’imbere ugomba kuba ku rwego rumwe n’urw’indi myanya y’ingenzi muri banki, kugira ngo abashe gukorana neza n’abo bari ku rwego rumwe kimwe n’abamukuriye igihe arangiza inshingano n’imirimo ashinzwe. Ishyirwaho, umushahara, isuzuma-mikorere, iyimurwa n’iyirukanwa ry’ukuriye urwego rushinzwe Article 4: Status of internal audit function The position of the head of internal audit function shall be equivalent to the status of other key functions heads of the bank, to enable him/her to deal effectively with his/her peers and superiors when discharging his/her duties and responsibilities. The appointment, remuneration, performance appraisal, transfer and dismissal of the head of Article 4: Statut de la fonction d'audit interne Le rang du chef de la fonction d’audit interne doit être équivalent au rang des autres chefs de fonctions clés de la banque, pour lui permettre de traiter efficacement avec ses pairs et ses supérieurs hièrarchiques dans l’exercice de ses fonctions et responsabilités. La nomination, la rémunération, l’évaluation des performances, le transfert et le licenciement du chef

Official Gazette no Special of 26/07/2019 23 igenzura ry’imbere bigomba kwemezwa na komite ishinzwe igenzura y’inama y’ubutegetsi ya banki. internal audit function shall be decided by the board audit committee of the bank. de la fonction d’audit interne doivent être décidés par le comité d’audit du conseil d’administration de la banque. Ingingo ya 5 : Igenzura ry’imbere mu itsinda cyangwa imiterere y’isosiyete ibumbye izindi Inama y’ubutegetsi ya buri banki mu itsinda ry’amabanki cyangwa imiterere y’isosiyete ibumbye izindi igomba kugenzura ko banki ifite urwego rwayo rushinzwe igenzura ry’imbere, rugomba gutanga raporo y’imikorere ku nama y’ubutegetsi ya banki. Banki ishobora kwifashisha undi muntu mu mirimo y’ubugenzuzi hashingiwe ku mahame ateganyijwe muri aya mabwiriza rusange. Article 5: Internal audit within a group or holding company structure The board of directors of a bank within a banking group or holding company structure shall ensure that either the bank has its own internal audit function, which shall be accountable to the bank’s board. A bank may outsource the audit activities in accordance with the principles provided in this regulation. Article 5: Audit interne au sein d’une structure de groupe ou de holding Le conseil d’administration de chaque banque appartenant à un groupe bancaire ou à une structure de société de portefeuille doit s’assurer que la banque dispose de sa propre fonction d’audit interne, qui doit rendre des comptes au conseil d’administration de la banque. Une banque peut sous-traiter les activités d’audit conformément aux principes énoncés dans ce règlement. Ingingo ya 6 : Isuzuma rikorwa na Banki Nkuru ku bijyanye n’urwego rw’igenzura ry’imbere Banki Nkuru isuzuma buri gihe niba urwego rushinzwe igenzura ry’imbere rufite inshingano n’ububasha bihagije muri banki kandi ko rukora rushingiye ku mahame aboneye. Article 6: Central Bank assessment of the internal audit function The Central Bank regularly assesses whether the internal audit function has sufficient standing and authority within the bank and operates according to sound principles. Article 6: Evaluation de la fonction d’audit interne par la Banque centrale La Banque Centrale vérifie régulièrement si la fonction d’audit interne dispose suffisamment de pouvoirs et d’autorité au sein de la banque et opère selon de solides principes. Ingingo ya 7 : Inama hagati ya Banki Nkuru n’abagenzuzi b’imbere Igihe cyose bibaye ngombwa, Banki Nkuru ishobora gutumiza no kugirana inama n’abagenzuzi b’imbere ba banki mu rwego rwo: Article 7: Meetings between the Central Bank and internal auditors Whenever deemed necessary, the Central Bank may convene and hold a meeting with internal auditors of a bank to: Article 7: Réunions entre la Banque Centrale et les auditeurs internes Chaque fois que cela est jugé nécessaire, la Banque Centrale peut convoquer et tenir une réunion avec les auditeurs internes d’une banque afin de:

Official Gazette no Special of 26/07/2019 24 1° kungurana ibitekerezo ku igenzura ry’imbere n’uburyo bw’imikorere bya banki; 2° gusobanurirwa ingamba zafashwe na banki zo guhangana n’ibibazo; 3° gusobanurirwa intege nke zagaragajwe n’imyanzuro y’ubugenzuzi no gukurikirana ibisubizo byatanzwe na banki mu kubonera umuti izo ntege nke. 1° discuss the internal audit and internal controls of the bank; 2° understand the risk mitigation measures taken by the bank; and 3° understand weaknesses identified in the audit findings and monitor the bank’s responses to these weaknesses. 1° discuter de l'audit interne et des contrôles internes de la banque ; 2° comprendre les mesures d’atténuation des risques prises par la banque ; et 3° comprendre les faiblesses identifiées dans les conclusions de l’audit et suivre les réponses de la banque à ces faiblesses. Ingingo ya 8 : Uburyo bw’imikorere mu mabanki Buri banki igomba kugira uburyo bw’imikorere butunganye bushyiraho imikorere ikwiriye kandi yizewe yo kurangiza ibikorwa byayo, hitabwa ku miterere y’ibishobora kuyiteza ibibazo. Article 8: Internal controls in banks Every bank shall have adequate internal controls establishing a proper and sounding operating environment for the conduct of its business, taking into account its risk profile. Article 8: Contrôle interne dans les banques Chaque banque doit disposer d’un contrôle interne adéquat établissant un environnement opérationnel approprié et fiable pour la conduite de ses activités, en tenant compte de son profil de risque. Ingingo ya 9 : Amahame y’igenzura ry’imbere n’ay’uburyo bw’imikorere Amahame y’igenzura ry’imbere n’ay’uburyo bw’imikorere ari ku mugereka w’aya mabwiriza rusange ni kimwe mu bice biyagize kandi agomba gushyirwa mu bikorwa n’amabanki uko yakabaye. Article 9: Internal audit and internal controls principles Principles related to internal audit and internal controls annexed to this Regulation constitute an integral party of it and shall be wholly implemented by banks. Article 9: Les principes de l’audit interne et du contrôle interne Les principes de l’audit interne et du contrôle interne en annexe au présent règlement en font partie intégrante et doivent être entièrement mis en œuvre par les banques. Ingingo ya 10: Ivanwaho ry’ingingo zinyuranye n’aya mabwiriza rusange Mabwiriza rusange N°11/2011 yerekeye igenzura ry’ibanze ry’imbere n’amahame ngenderwaho mu igenzura mu ma banki n’ ingingo zose ibanziriza aya mabwiriza rusange kandi zinyuranyije na yo avanyweho. Article 10: Repealing provisions The Regulation N°11/2011 on minimum internal control and audit standards in banks and any prior provision contrary to this regulation are hereby repealed. Article 10: Dispositions abrogatoires Le règlement N°11/2011 sur le controle interne minimum et les normes d’audit internes dans les banque et toute autre disposition antérieure contraire au présent règlement sont abrogées.

Official Gazette no Special of 26/07/2019 25 Ingingo ya 11 : Igihe aya mabwiriza rusange atangira gukurikizwa Aya mabwiriza rusange atangira gukurikizwa ku itariki atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. Article 11:Commencement This regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. Article 11: Entrée en vigeur Le présent règlement entre en vigueur à la date de sa publication au Journal officiel de la République du Rwanda. Bikorewe i Kigali, ku wa 5/6/2019 (se) RWANGOMBWA John Guverineri Done in Kigali, on 5/6/2019 (se) RWANGOMBWA John Governor Fait à Kigali, le 5/6/2019 (se) RWANGOMBWA John Gouverneur

Official Gazette no Special of 26/07/2019 26

1. Intangiro 1.1.Urwego rw’igenzura ry’imbere ni igice kiri mu miyoborere myiza y’ikigo n’imicungire y’imikorere yateza ingorane. Ni igice cy’ikurikirana rihoraho ry’igenzura gitanga isuzuma ryigenga ry’ibikwiye n’iyubahiriza rya politiki n’ibikurikizwa byashyizweho na banki. Amahame ashyirirwaho uburyo buhamye bw’igenzura ry’imbere butuma habaho imikorere ihamye kandi yizewe umutekano w’imitunganyirize y’imirimo y’amabanki. 1.2.Ihiganwa ryiyongera, igitutu mu gukora mu buryo butanga umusaruro cyangwa kunoza imikorere, kwinjiza ibigurishwa bishya byerekeye imari n’impinduka mu ikoranabuhanga byongereye ibitera ingorane mu mikorere. Bigaragazwa mu buriganya bwinshi butangwaho raporo muri Banki Nkuru. Igenzura rya Banki Nkuru rikomeza kugaragaza intege nke muri za raporo, imiterere n’igenzura mu mabanki. Ni yo mpamvu ari inshingano ku buyobozi gushimangira no kugira umumaro mwiza
2. Introduction 1.1. The internal audit function is an integral component of sound corporate governance and risk management practices in banks. It is part of the ongoing monitoring of controls, which provides an independent assessment of the adequacy of, and compliance with the bank’s established policies and procedures. The principles are set for the effective system of internal control that ensures safe and sound operation of banking organizations. 1.2. Increased competition, pressure to operate profitably or to improve performance, introduction of new financial products and the change in information technologies have heightened operational risk. This is manifested in the numerous frauds reported to Central Bank. Central Bank examinations continue to reveal weaknesses in the records, systems and controls in banks. Therefore, it is incumbent upon the management to enhance and to play a more proactive and meaningful role in achieving sound and stable growth in banks.
3. Introduction 1.1. La fonction d’audit interne est une composante intégrante de la bonne gouvernance d’entreprise et des pratiques de gestion des risques dans les banques. Elle s’inscrit dans le cadre du suivi des contrôles continus qui fournissent une évaluation indépendante de l’adéquation et de la conformité aux politiques et aux procédures établies par la banque. Les principes sont établis pour le système de contrôle interne efficace qui garantit le bon fonctionnement des organisations bancaires. 1.2. La concurrence accrue, la pression à fonctionner de façon rentable ou pour améliorer les performances, l’introduction de nouveaux produits financiers et le changement des technologies de l’information ont accru le risque opérationnel. Cela se manifeste dans les nombreuses fraudes signalées à la Banque Centrale. Les inspections de la Banque Centrale continuent de révéler des faiblesses dans les rapports, les systèmes et les contrôles des banques. Par conséquent, il revient ainsi à la direction de renforcer et de jouer un rôle plus proactif et significatif dans la UMUGEREKA WA 1: AMAHAME Y’IGENZURA RY’IMBERE APPENDIX I: INTERNAL AUDIT PRINCIPLES ANNEXE I: PRINCIPES D’AUDIT INTERNE

Official Gazette no Special of 26/07/2019 27 kandi ugaragara mu kugera ku mizamukire itunganye kandi iboneye y’amabanki. 1.3.Mu gukora umurimo w’igenzura ry’imbere, umugenzuzi w’imbere agomba kumenya ibi bikurikira bitandukanya muri rusange amabanki n’ibindi bigo by’ubucuruzi, kandi abagenzuzi bagomba kwitaho mu kugena intambwe iyo ingorane ndakuka y’amabanki ubwayo zigezeho: 1.3.1. Amabanki abika akayabo k’ibintu bigize amafaranga, harimo inoti n’ibiceri n’inyandiko mvunjamafaranga zihererekanwa, bikaba bisaba ko umutekano wayo bwite witabwaho mu gihe cyo kuyohereza no mu gihe abitse Afite kandi kurinda no kugenzura inyandiko zihererekanwa n’indi mitungo byoroshye guhererekanya mu buryo bw’ikoranabuhanga. Ibiranga agaciro mu mafaranga k’ibyo bintu bituma amabanki yagira ibibazo bijyanye no kubyiba cyangwa gukorerwa uburiganya. Bityo amabanki akeneye gushyiraho ibikurikizwa bizwi mu mikorere, ibisabwa ntarengwaho bisobanutse neza ku bushishozi bw’umuntu bwite n’uburyo bw’imikorere y’igenzura ry’imbere bugomba gukurikizwa koko. 1.3. In carrying out the internal function, the internal auditor must take cognizance of the following characteristics that generally distinguish banks from other commercial enterprises, and which the auditors must take into account in assessing the level of inherent risk: 1.3.1. Banks have custody of large amounts of monetary items, including cash and negotiable instruments, whose physical security has to be safeguarded during transfer and while being stored. They also have custody and control of negotiable instruments and other assets that are readily transferable in electronic form. The liquidity characteristics of these items make banks vulnerable to misappropriation and fraud. Banks therefore need to establish formal operating procedures, well-defined limits for individual discretion and rigorous systems of internal control. réalisation d’une croissance saine et stable dans les banques. 1.3. Dans l’exercice de la fonction interne, l’auditeur interne doit prendre connaissance des caractéristiques suivantes, qui distinguent généralement les banques d’autres sociétés commerciales, et que les auditeurs doivent prendre en compte pour évaluer le niveau de risque inhérent: 1.3.1. Les banques ont la garde de grandes quantités d’éléments monétaires, y compris les espèces et les instruments négociables, dont la sécurité, dont la sincérité physique doit être préservée pendant le transfert et lorsqu’ils sont stockés. Elles ont également la garde et le contrôle des instruments négociables et d’autres actifs qui sont facilement transférables sous forme électronique. Les caractéristiques de liquidité de ces éléments rendent les banques plus vulnérables à l’appropriation illicite et la fraude. Les banques ont donc besoin d’établir des procédures d’opérations officielles, des limites bien définies pour la discrétion individuelle et des systèmes rigoureux de contrôle interne. 1.3.2. Afite imitungo ishobora guhindurwa vuba mu gaciro kandi ako gaciro akenshi bigoranye kukamenya. Byongeye, 1.3.2. They have assets that can rapidly change in value and whose value is often difficult to determine. Consequently, a relatively small 1.3.2. Elles ont des avoirs qui peuvent changer rapidement en valeur et laquelle valeur est souvent difficile à déterminer. Par conséquent,

Official Gazette no Special of 26/07/2019 28 igabanuka ryoroheje mu rugero mu gaciro k’umutungo rishobora kugira inkurikizi ku bushobozi bwo kwishyura bw’imari shingiro. 1.3.3. Ubusanzwe zikura umubare munini w’amafaranga zikeneye mu mafaranga abikijwe ku gihe kigufi. Gutakaza icyizere cy’ababitsa mu bushobozi bwa banki bwo kwishyura bishobora gutuma habaho mu buryo bwihuse ibura ry’amafaranga. 1.3.4. Afite inshingano zerekeye icyizere gishingiye ku mitungo zifite y’abandi bantu. Ibyo bishobora gutuma habaho uburyozwe bushingiye ku buhemu. Amabanki rero akeneye gushyiraho ibikurikizwa mu mikorere n’igenzura ry’imbere agamije kugaragaza ko akoresha imitungo yahawe banki. 1.3.5. Yiyemeza kujya mu bikorwa binini cyane biremereye kandi bitandukanye kandi agaciro kabyo gashobora kuba ari kanini. Ibi bisaba uburyo bw’ibaruramari n’igenzura bikomeye no gukoresha ikoranabuhanga muri byose (IT). 1.3.6. Ibikorwa bishobora kenshi gutangizwa kandi bikarangizwa n’umukiriya abakozi ba banki batabigizemo uruhare, urugero nko ku mbuga y’ikoranabuhanga cyangwa binyuze mu byuma byikoresha byabugenewe mu guha abakiriya decrease in asset values may have a significant effect on capital solvency. 1.3.3. They generally derive a significant amount of their funding from short-term deposits. Loss of confidence by depositors in a bank’s solvency can quickly result in a liquidity crisis. 1.3.4. They have fiduciary duties in respect of the assets they hold that belong to other persons. This may give rise to liability for breach of trust. Banks, therefore, need to establish operating procedures and internal controls designed to ensure that they deal with the assets transferred to the bank. 1.3.5. They engage in large volumes and a variety of transactions whose value may be significant. This necessarily requires complex accounting and internal control systems and widespread use of information technology (IT). 1.3.6. Transaction can often be directly initiated and completed by the customer without any intervention by the bank’s employees, for example over the internet or through automated teller machines. une baisse relativement faible en valeur d’’actif peut avoir un effet significatif sur la solvabilité du capital. 1.3.3. Elles tirent généralement une quantité importante de leur financement de dépôts à court terme. La perte de confiance des déposants dans la solvabilité d’une banque peut rapidement entraîner une crise de liquidité. 1.3.4. Elles ont des obligations fiduciaires à l’égard des actifs qu’elles détiennent appartenant à d’autres personnes. Cela peut donner lieu à une responsabilité pour abus de confiance. Par conséquent, les banques ont besoin d’établir des procédures opérationnelles et des contrôles internes visant à assurer qu’elles traitent avec les actifs transférés à la banque. 1.3.5. Elles s’engagent dans de grands volumes et dans une variété de transactions dont la valeur peut être importante. Ceci exige nécessairement des systèmes de comptabilité et de contrôle interne complexes et l’utilisation généralisée des technologies de l’information (TI). 1.3.6. Les transactions peuvent souvent être directement initiées et achevées par le client, sans aucune intervention des employés de la banque, par exemple sur Internet ou par l’intermédiaire des guichets automatiques.

Official Gazette no Special of 26/07/2019 29 amafaranga. 1.3.7. Amabanki kenshi afata inshingano nyinshi zo kwishyura hatabayeho kohereza amafaranga y’ibanze yandi atari ukwishyura amafaranga yagenwe mu bihe bimwe na bimwe. Izo nshingano zishobora gusaba inyandiko z’ibaruramari. Bityo, kumenya ko biriho bishobora kugorana. 1.3.8. Agengwa n’abayobozi ba Leta aho amabwiriza yabo agira ingaruka ku mahame y’ibaruramari amabanki akoresha. Kutubahiriza ibisabwa n’amabwiriza, urugero nk’ibisabwa byerekeye imari shingiro ikwiye, bishobora kugira ingaruka ku maraporo y’imari ya banki cyangwa ku bigomba kumenyekanishwa bifitanye isano na zo. 1.3.9. Akora ubucuruzi bw’inyandiko z’urusobe zerekeye imari kandi zimwe zishobora gukenera kwandikwa ku gaciro kazo nyako muri raporo z’imari. Hakenewe rero gushyiraho igenagaciro rikwiye n’ibikurikizwa mu gucunga ibyateza ingorane. Ireme ry’ibyo bikurikizwa riterwa n’agaciro k’ingamba n’icyitegererezo cy’imibare byatoranyijwe, no kubona amakuru ariho yerekeye amateka y’isoko kandi yizewe no kubika neza amakuru. 1.3.7. They often assume significant commitments without any initial transfer of funds other than, in some cases, the payment of fees. These commitments may involve only memorandum accounting entries. Consequently, their existence may be difficult to detect. 1.3.8. They are regulated by governmental authorities whose regulatory requirements influence the accounting principles that banks follow. Non-compliance with regulatory requirements, for example, capital adequacy requirements, could have implications for the bank’s financial statements or the disclosures therein. 1.3.9. They deal in complex financial instruments, some of which may need to be recorded at fair value in the financial statements. There is therefore need to establish appropriate valuation and risk management procedures. The effectiveness of these procedures depends on the appropriateness of the methodologies and mathematical models selected, access to reliable current and historical market information and the maintenance of data integrity. 1.3.7. Elles réalisent souvent des engagements importants sans aucun transfert initial des fonds autres que, dans certains cas, le paiement des frais. Ces engagements peuvent impliquer seulement des notes des écritures comptables. Par conséquent, leur existence peut être difficile à détecter. 1.3.8. Elles sont réglementées par les autorités gouvernementales dont les exigences réglementaires influencent les principes comptables que les banques suivent. Le non￾respect des exigences réglementaires, par exemple, les exigences du capital adéquat, pourraient avoir des implications sur les états financiers de la banque ou sur les informations y relatives. 1.3.9. Elles sont dans le commerce des instruments financiers complexes, dont certains peuvent avoir besoin d’être enregistrés à leur juste valeur dans les états financiers. Il est donc nécessaire d’établir l’évaluation et des procédures appropriées de gestion des risques. L’efficacité de ces procédures dépend de la pertinence des méthodologies et des modèles mathématiques sélectionnés, l’accès aux informations historiques du marché fiable actuelles et le maintien de l’intégrité des données.

Official Gazette no Special of 26/07/2019 30 1.4. Kuba Banki Nkuru irimo ishyiraho iyi Mirongo Ngenderwaho ku Igenzura ry’ibanze ntarengwa n’ibigenderwaho mu igenzura ku bagenzuzi b’imbere mu mabanki, ni ku mpamvu z’aya mateka y’akamaro kanini k’urwego rw’igenzura ry’imbere mu buryo bwo gucunga ibyateza ingorane mu bigo by’amabanki 1.4. It is against this background of the centrality of the internal audit function in the risk management process in banking institutions that the Central Bank is issuing these principles on Minimum control and audit Standards for Internal auditors of Banks. 1.4. C’est dans ce contexte de centralité de la fonction d’audit interne dans le processus de gestion des risques dans les établissements bancaires que la Banque Centrale émet ces principes sur le contrôle minimum et les normes minimales pour les auditeurs internes des banques. 2.IKIGAMIJWE 2. PURPOSE 2 .OBJET Amahame atanzwe mu rwego rwo guhuza n’ibigamijwe bikurikira: 2.1.Kunoza ubuziranenge n’ireme by’urwego rw’igenzura ry’imbere; 2.2.Gusobanura akamaro, inshingano n’ibyo abagenzuzi b’imbere babazwa n’inama y’ubutegetsi, n’inzego zose z’ubuyobozi n’abagenzuzi bo hanze; 2.3.Gushyiraho imikorere ihujwe mu bugenzuzi bw’imbere yagenderwaho mu gutanga icyerekezo n’ingano y’ireme by’urwego rw’ubugenzuzi bw’imbere. The principles are issued to meet the following objectives: 2.1.To improve the quality and effectiveness of the internal audit function; 2.2.To outline the role, duties and responsibilities of internal auditors to the board of directors, all levels of management and the external auditors; 2.3.To provide uniform practice on internal auditing which would serve as a benchmark for guidance and measurement of the effectiveness of the internal audit function. Les principes sont émis pour répondre aux objectifs suivants: 2.1.Améliorer la qualité et l’efficacité de la fonction d’audit interne; 2.2.Décrire le rôle, les tâches et les responsabilités des auditeurs internes à l’égard du conseil d’administration, à tous les niveaux de la direction et aux auditeurs externes; 2.3.Fournir des pratiques uniformes en matière d’audit interne qui serviraient de point de repère pour orienter et mesurer l’efficacité de la fonction d’audit interne. 3. INZITIZI 3. LIMITATIONS 3. LIMITATIONS 3.1.Aya mahame ni yo agenderwaho muri rusange ku bagenzuzi b’imbere mu mabanki. Ntigamije gutanga umurongo wuzuye ku bibazo byose bishoboka cyangwa ku bintu birebana n‘igenzura bikomeye abagenzuzi b’imbere 3.1.These principles serve as a general guide for internal auditors of banks. They are not intended to provide comprehensive discussion of all possible matters or situations of audit significance that the internal auditors may 3.2.Ces principes servent de guide général aux auditeurs internes des banques. Ils ne sont pas destinés à fournir une discussion complète de toutes les questions possibles ou des situations d’audit significatives que

Official Gazette no Special of 26/07/2019 31 bashobora guhura na byo mu gihe bakora igenzura. 3.2.Imirongo ngenderwaho ntigenewe kuba ariyo yonyine gusa cyangwa kuvuga mu buryo burambuye intera z’igenzura zisabwa mu gukora igenzura muri buri murimo ukorwa na banki. Igenzura ry’imbere ryagombye kuyoborwa n’amatangazo yemewe atangwa n’ibigo byemewe bikora umwuga w’ibaruramamari n’ubugenzuzi. encounter in the course of auditing. 3.2. The principles are also not meant to be exhaustive nor intended to provide detailed audit steps required to perform the audit of every operational area of bank. The internal audit shall be guided by the authoritative pronouncements issued by the relevant professional accounting and auditing bodies. les auditeurs internes peuvent rencontrer au cours de l’audit. 3.3.Les lignes directrices ne sont pas aussi destinées à être exhaustives, ni à fournir des étapes d’audit détaillées nécessaires pour effectuer l’audit de chaque domaine opérationnel de la banque. L’audit interne devrait être guidé par les déclarations officielles émises par les institutions comptables professionnelles et d’audit. 4. IMITUNGANYIRIZE Y’URWEGO RW’IGENZURA RY’IMBERE 4. ORGANIZATION OF THE INTERNAL AUDIT FUNCTION 4. ORGANISATION DE LA FONCTION D’AUDIT INTERNE 4.1.INCAMAKE Abagenzuzi b’imbere bafite akamaro kanini mu gufasha gushyiraho no gukomeza umwuka mwiza ushoboka werekeye igenzura ry’imbere mu mabanki yabo. Urwego rw’igenzura ry’imbere rutunganye ni ingenzi mu kugira imikorere ihamye yose hamwe mu byerekeye imari. Hagomba kwitabwa ku mitunganyirize y’umurimo w’igenzura ry’imbere mu mabanki mu kugira ngo igenzura rikorwe uko bikwiye. 4.1. OVERVIEW Internal auditors play an important functional role in helping to establish and maintain the best possible internal control environment at their banks. An effective internal audit function is crucial to ensure a sound financial system as a whole. Important consideration has to be given to the organization of the internal audit function in the bank to ensure its effectiveness. 4.1. SOMMAIRE Les auditeurs internes jouent un rôle fonctionnel important en assistant à établir et à maintenir l’environnement meilleur de contrôle interne possible au sein de leurs banques. Une fonction d’audit interne efficace est cruciale pour assurer un système financier solide dans son ensemble. Une importante considération doit être accordée à l’organisation de la fonction d’audit interne dans la banque pour assurer son efficacité. 4.2.KOMITE Y’INAMA Y’UBUTEGETSI ISHINZWE IGENZURA 4.2. BOARD AUDIT COMMITTEE 4.2. COMITE D’AUDIT DU CONSEIL 4.2.1. ABAGIZE KOMITE Y’INAMA Y’UBUTEGETSI ISHINZWE IGENZURA 4.2.1.1. Komite y’Inama y’Ubutegetsi ishinzwe igenzura igomba kuba igizwe n’abantu bigenga n’abandi bayobozi badashinzwe ibikorwa 4.2.1 COMPOSITION OF BOARD AUDIT COMMITTEE 4.2.1.1. A Board audit Committee shall be made up of independents and non-executive directors who must have experience in audit practices, 4.2.1 COMPOSITION DU COMITE D’AUDIT DU CONSEIL 4.2.1.1. Un comité d’audit du conseil d’administration est composé d’administrateurs indépendants et d’administrateurs non exécutifs

Official Gazette no Special of 26/07/2019 32 bagomba kuba bafite uburambe mu mikorere y’igenzura, raporo z’imari n’ibaruramari. Abayobozi bigenga bagomba kuba bafite ubwiganze mu bagize komite y’igenzura. Komite y’igenzura, yose uko yakabaye, igomba kuba ifite ubumenyingiro n’ubumenyi bw’inararibonye buhuje n’imiterere ihambaye y’imitunganyirize y’imirimo y’amabanki ndetse n’imirimo igomba gukorwa. 4.2.1.2. Umuyobozi w’Inama y’ubutegetsi nta na rimwe agomba kuba umwe mu bagize komite y’igenzura, ariko ashobora gutumirwa akitabira inama igihe komite y’igenzura ibona ko ari ngombwa. Amazina y’abagize komite y’igenzura atangazwa muri raporo ya buri mwaka. 4.2.2. INSHINGANO ZA KOMITE Y’INAMA Y’UBUTEGETSI ISHINZWE IGENZURA financial reporting and accounting. Independent directors shall be the majority in the audit committee composition. The audit committee, as a whole, must possess a collective balance of skills and expert knowledge commensurate with the complexity of the banking organization and the duties to be performed. 4.2.1.2. The chair of the Board shall not be a member of the audit committee at all, but may be invited to attend meetings as deemed necessary by the audit committee. Membership of the audit committee shall be disclosed in the annual report. 4.2.2 RESPONSIBILITIES OF BOARD AUDIT COMMITTEE qui doivent avoir une expérience des pratiques d’audit, des rapports financiers et de la comptabilité. Les administrateurs indépendants constituent la majorité des membres du comité d’audit. Le comité d’audit, dans son ensemble, doit posséder un équilibre collectif de compétences et de connaissances spécialisées à la mesure de la complexité de l’organisation bancaire et des tâches à accomplir. 4.2.1.2. Le président du Conseil ne doit pas du tout être membre du comité d’audit, mais peut être invité à assister aux réunions que le comité de d’audit juge nécessaires. La composition du comité d’audit sera indiquée dans le rapport annuel. 4.2.2. RESPONSABILITES DU COMITE D’AUDIT DU CONSEIL 4.2.2.1. Inshingano z’ibanze za komite y’igenzura zikubiyemo, ariko ntizigarukira gusa, ku zikurikira : a. Kugena politiki yerekeye igenzura ry’imbere na raporo z’imari ; b. Kugenzura uburyo bw’itegurwa rya raporo z’imari no gusuzuma inyandiko y’ibaruramari mbere y’uko itangazwa, harimo n’inyandiko nsobanurampamvu, raporo y’imicungire na raporo y’umugenzuzi wo hanze ; 4.2.2.1.The primary responsibilities of the Audit Committee shall include, but not limited to the following: a. Framing policy on internal audit and financial reporting, among other things; b. Overseeing the financial reporting process and review the financial statement prior to its publication, including the explanatory notes, the management report and the external auditor report; 4.2.2.1. Les principales responsabilités du comité d’audit doivent comprendre, sans s’y limiter, les suivantes: a. Elaborer la politique relative à l’audit interne et aux rapports financiers, entre autres b. Superviser le processus des rapports financiers et examiner les états financiers avant leur publication, y compris les notes explicatives, le rapport de la direction et le rapport de l’auditeur externe;

Official Gazette no Special of 26/07/2019 33 c. Gusuzuma amagenzura y’imbere harimo ibirebwa na gahunda y’igenzura ry’imbere, ibyagezweho mu igenzura ry’imbere, no gusaba ko hagira ingamba zifatwa n’ubuyobozi ; d. Gukora igenzura no gufashanya n’abagenzuzi b’imbere n’abo hanze ba banki ; e. Gusaba inama y’ubutegetsi cyangwa abanyamigabane, ko bemeza, ishyirwaho, ibihembo n’isezerwa ry’abagenzuzi bo hanze ; f. Gusuzuma no kwemeza ibirebwa n’igenzura n’inshuro rikorwa ; g. Gukurikirana no gusesengura ubwigenge bw’umugenzuzi wo hanze, nibura buri mwaka, hitabwa ku bisabwa mu kuboneza umurimo ndetse no kubahiriza amabwiriza ; h. Gukurikirana no gusesengura ireme ry’amagenzura y’imbere n’ayo hanze, harimo kugenzura uko banki yubahiriza amategeko, amabwiriza na politiki n’uburyo bukurikizwa imbere mu kigo ; i. Kwakira raporo z’ingenzi z’igenzura no kureba ko abayobozi bo ku rwego rwo hejuru bafata ingamba za ngombwa zo gukosora ku gihe ibitagenda neza mu rwego rwo gukemura ikibazo cy’ahagaragara intege nke mu igenzura, kutubahiriza politiki, amategeko n’amabwiriza n’ibindi bibazo byagaragajwe n’abagenzuzi c. Review internal controls, including the scope of the internal audit program, the internal audit findings, and recommend action to be taken by management; d. Provide oversight of and interacting with the bank’s internal and external auditors; e. Recommend to the board or shareholders, for their approval, the appointment, remuneration and dismissal of external auditors; f. Review and approve the audit scope and frequency; g. Monitor and assess the independence of the external audit, at least annually, taking into consideration relevant professional and regulatory requirements; h. Monitor and asses the effectiveness of the internal and external audits, including the verification of the bank’s compliance with laws, regulations and internal policies and procedures; i. Receiving key audit reports and ensuring that senior management is taking necessary corrective actions in a timely manner to address control weaknesses, non-compliance with policies, laws and regulations, and other problems identified by auditors and other control functions; c. Examiner les contrôles internes, y compris la portée du programme d’audit interne, les résultats de l’audit interne et recommander les mesures à prendre par la direction. d. Superviser et interagir avec les auditeurs internes et externes de la banque; e. Recommander au conseil d’administration ou aux actionnaires, pour approbation, la nomination, la rémunération et la révocation des auditeurs externes; f. Examiner et approuver l’étendue et la fréquence des audits; g. Surveiller et évaluer l’indépendance de l’audit externe, au moins une fois par an, en tenant compte des exigences professionnelles et réglementaires pertinentes. h. Surveiller et évaluer l’efficacité des audits internes et externes, y compris la vérification de la conformité de la banque aux lois, règlements et politiques et procédures internes; i. Recevoir les rapports d’audit clés et s’assurer que les cadres dirigeants prennent les mesures correctives nécessaires en temps utile pour remédier aux faiblesses du contrôle, au non-respect des politiques, lois et règlements et aux autres problèmes identifiés par les auditeurs et les autres fonctions de

Official Gazette no Special of 26/07/2019 34 n’izindi nzego z’ubugenzuzi ; j. Kugenzura ko banki ishyiraho politiki n’imikorere bigenga ibaruramari ; k. Gusuzuma ibitekerezo by’abandi bantu ku miterere n’ireme ry’imicungire y’ibyateza ingorane byose na gahunda n’uburyo bukoreshwa mu igenzura ry’imbere ; l. Gukurikirana imyitwarire mbonezamurimo mu kigo no gusuzuma itegurwa ry’ibipimo ngenderwaho mu kuboneza umurimo n’ibisabwa, harimo ireme ry’uburyo bukoreshwa mu gukemura ibibazo no gutanga za raporo ; m. Gusuzuma imikoranire y’urundi ruhande rufitanye isano ishobora kugaragara hagati yarwo na banki ; n. guhanahana neza amakuru n’abagenzuzi bigenga kugira ngo abagenzuzi babashe kugera ku nshingano zabo zo gukurikirana no kunoza ireme ry’igenzura. Komite y’igenzura igomba gutegeka umugenzuzi wo hanze kuyiha raporo ku bibazo byose biyerekeye. j. Overseeing the establishment of accounting policies and practices by the bank; k. Review the third-party opinions on the design and effectiveness of the overall risk governance framework and internal control system; l. Monitoring the ethical conduct of the institution and consider the development of ethical standards and requirements, including effectiveness of procedures for handling and reporting complaints; m.Reviewing any related party transactions that may arise with the bank; n. Ensuring effective communication with the external auditor to enable the audit committee to carry out its oversight responsibilities and to enhance the quality of the audit. The Audit Committee must require the external auditor to report to it on all relevant matters. contrôle; j. Superviser la mise en place de politiques et pratiques comptables par la banque; k. Examiner les opinions des tiers sur la conception et l’efficacité du cadre global de gouvernance des risques et du système de contrôle interne; l. Surveiller le comportement éthique de l’institution et envisager l’élaboration de normes et des exigences éthiques, y compris l’efficacité des procédures pour traiter et signaler des plaintes; m. Examiner toutes les transactions entre parties liées pouvant survenir avec la banque; n. veiller à ce qu’il y ait une communication efficace avec l’auditeur externe pour permettre au comité d’audit de s’acquitter de ses responsabilités de surveillance et améliorer la qualité de l’audit. Le Comité d’audit doit obliger l’auditeur externe à lui faire rapport sur toutes les questions pertinentes. 4.3. UBWIGENGE 4.3. INDEPENDENCE OF INTERNAL AUDITORS 4.3.INDEPENDANCE 4.3.1 Ubwigenge bw’abagenzuzi b’imbere ni ikintu cy’ibanze gisabwa cy’ingirakamaro kugira ngo igenzura rikwiye rikorwe kandi 4.3.1 The independence of internal auditors is an important prerequisite for the proper conduct of audits so as to render impartial 4.3.1. L’indépendance des auditeurs internes est une condition préalable essentielle pour la bonne conduite des audits en vue de la prise

Official Gazette no Special of 26/07/2019 35 hatangwe inama zitabogamye. 4.3.2 Imitunganyirize n’imiterere ya za raporo by’urwego rw’igenzura ry’imbere bigomba kureba ko umurimo wigenga mu buryo butandukanye n’imikorere y’igenzura ry’imbere rya buri munsi. Ibi bisobanura ko igenzura ry’imbere rifite urwego rukwiye muri banki kandi rikora inshingano zaryo nta marangamutima kandi ritabogamye. 4.3.3 Ishami ry’Igenzura ry’imbere ryagombye kuba rishoboye kuzuza inshingano zaryo ribyibwirije mu mashami yose, mu maserivisi no mu mirimo ya banki. Rigomba kwisanzura mu kwerekana ibyo ryabonye no kubimenyekanisha imbere. 4.3.4 Ihame ry’ubwigenge risaba ko ukuriye ishami ry’igenzura ry’imbere aba afite ububasha bwo kuvugana, abyibwirije, mu buryo butaziguye, n’Inama y’Ubutegetsi, n’Umuyobozi w’Inama y’Ubutegetsi, na Komite y’Inama y’Ubutegetsi ishinzwe Igenzura cyangwa n’abagenzuzi bo hanze iyo ari ngombwa, hakurikijwe ibivugwa mu mahame y’igenzura. judgments. 4.3.2 The organization and reporting structure of the internal audit function shall ensure that the function is independent from the everyday internal control process. This means that internal audit is given an appropriate standing within the bank and carries out its assignments with objectivity and impartiality. 4.3.3 The internal audit department shall be able to exercise its assignment on its own initiative in all departments, establishments and functions of the bank. It must be free to report its findings and appraisals and to disclose them internally. 4.3.4 The principle of independence entails that the head of the internal audit department has the authority to communicate directly on his/her own initiative, to the board, the chairman of the board of directors, board audit committee or the external auditors where appropriate, according to the provisions of the audit charter. des décisions impartiales. 4.3.2. L’organisation et la structure hiérarchique de la fonction d’audit interne doivent garantir que cette fonction est indépendante du processus de contrôle interne quotidien. Cela signifie que l’audit interne jouit d’un statut approprié au sein de la banque et s’acquitte de ses tâches avec objectivité et impartialité. 4.3.3. Le département d’audit interne devrait pouvoir exercer sa mission de sa propre initiative dans tous les départements, les services, et les fonctions de la banque. Il doit être libre de communiquer ses constatations et évaluations et de les communiquer en interne. 4.3.4. Le principe d’indépendance implique que le chef du département d’audit interne ait le pouvoir de communiquer directement, de sa propre initiative, avec le conseil d’administration, le président du conseil d’administration, le comité d’audit du conseil ou aux auditeurs externes, le cas échéant, conformément aux dispositions de la charte d’audit.

Official Gazette no Special of 26/07/2019 36 4.3.5. IMITERERE YA ZA RAPORO Z’IGENZURA RY’IMBERE Umukuru w’urwego rw’igenzura ry’imbere agomba guha raporo Umuyobozi Mukuru ku byerekeye raporo z’ubuyobozi na Komite y’Inama y’Ubutegetsi ishinzwe Igenzura ku byerekeye raporo zijyanye n’inshingano. 4.3.5 INTERNAL AUDIT REPORTING STRUCTURE.

Administrative Functional Reporting Reporting The Head of Internal audit function shall report administratively to Chief Executive officer for and functionally to Board Audit committee for. 4.3.5. STRUCTURE DES RAPPORTS D’AUDIT INTERNE.

Rapports Rapports Administratifs Fonctionnels Le responsable de la fonction d’audit interne devrait rendre compte au Directeur Général pour les rapports administratifs et au Comité d’Audit du Conseil pour les rapports fonctionnels. 4.3.6. Umwanya w’Ishami ry’igenzura ry’imbere mu miterere y’inzego zose za banki ugomba kuba uhagije kandi utandukanye kugira ngo bitume abagenzuzi b’imbere bakora ibyo bagamije mu igenzura. Abagenzuzi b’imbere bagomba kugira inkunga y’ubuyobozi kugira ngo habe ubufatanye n’ugenzurwa no kurangiza akazi kabo nta kwivanga. 4.3.7. Abagenzuzi b’imbere bagomba kugera nta nzitizi ku nyandiko, ku mitungo, ku bakozi ba banki 4.3.6 The status of the internal audit department within a bank’s overall organizational structure shall be sufficient and distinct to permit the internal auditors to accomplish their audit objectives. Internal auditors shall have the support of the management in order to gain the cooperation of the auditee and to perform their work free from interference. 4.3.7. Internal auditors shall have unrestricted access to the bank’s records, assets, personnel and 4.3.6 L’état du département d’audit interne au sein de l’ensemble de la structure organisationnelle d’une banque devrait être suffisant et distinct pour permettre aux auditeurs internes d’atteindre leurs objectifs d’audit. Les auditeurs internes devraient avoir le soutien de la direction en vue de la coopération de l’entité auditée et d’effectuer leur travail sans interférence. 4.3.7 Les auditeurs internes doivent avoir un accès illimité aux rapports de la banque, aux Chief Executive Officer Officer Board Audit Committee Internal Audit Function Directeur Général Comité d’Audit du Conseil Fonction d’Audit Interne Umuyobozi Mukuru Komite y’Inama y’Ubutegetsi ishinzwe Igenzura Raporo z’ubuyobozi Raporo zijyanye n’inshingan o Urwego rw’Igenzura ry’imbere

Official Gazette no Special of 26/07/2019 37 n’ahantu hakenewe mu gukora igenzura mu buryo bukwiye. Inzitizi yose igomba kumenyeshwa vuba Komite y’Igenzura mu nyandiko kugira ngo ibikemure ifatanyije n’ubuyobozi. premises which are necessary for the proper conduct of the audit. Any restriction shall be promptly communicated in writing to the Audit Committee for the latter to resolve with the management. avoirs, au personnel et aux locaux nécessaires pour le bon déroulement de l’audit. Toute restriction doit être communiquée rapidement par écrit au comité d’audit pour que ce dernier décide avec la direction. 4.4.KUTAGIRA AMARANGAMUTIMA 4.4.1. Kutagira amaragamutima ni indanga￾mitekerereze yigenga ituma abagenzuzi b’imbere biga, bavuga icyo batekereza kandi batanga umwanzuro nta kubogama. 4.4.2. Abagenzuzi b’imbere bagomba nibura kubahiriza amahame akurikira: a) Kwirinda kuba mu byabangamira inyungu z’umurimo byaturuka mu mikoranire mu kazi cyangwa mu mibanire y’umuntu bwite mu kigo cyangwa ku murimo urimo ukorerwa igenzura; b) Kutayobora cyangwa kudashingwa ishami cyangwa umurimo urimo ukorerwa igenzura; c) Ntibagomba gushyirwa mu igenzura ry’ahakorerwa ibikorwa bigeze gukoramo mu gihe batari abagenzuzi kugeza igihe igenzura ryigenga rirangiye muri icyo gihe ; d) Gukora gusa mu bubasha bwo gutanga inama mu gihe hatangwa inama isaba ko hakorwa igenzura 4.4. OBJECTIVITY 4.4.1. Objectivity is an independent mental attitude which would enable the internal auditors to exercise judgment, express opinions and present recommendations with impartiality. 4.4.2.The internal auditors shall at least observe the following principles: a) avoid any conflict of interest situation arising either from their professional or personal relationships in an organization or activity which is subject to audit; b) Have no authority or responsibility over any unit or activity that is being audited c) Shall not be assigned to audit operational areas which they were previously involved as non-audit staff until an independent audit has been conducted during the intervening period; d) Act only in advisory capacity when recommending controls on new systems or 4. 4. OBJECTIVITÉ 4.4.1. L’objectivité est une attitude mentale indépendante qui permettrait aux auditeurs internes de prendre une décision, exprimer des opinions et de présenter des recommandations en toute impartialité. 4.4.2. Les auditeurs internes doivent au moins respecter les principes suivants: a) éviter toute situation de conflit d’intérêts résultant soit de leurs relations professionnelles ou personnelles au sein d’une organisation ou d’une activité faisant l’objet d’un audit; b) n’avoir aucune autorité ou responsabilité sur une unité ou activité qui fait l’objet d’audit; c) ne devraient pas être affectés à l’audit des secteurs opérationnels dans lesquels ils étaient auparavant impliqués en tant que agent non￾auditeur jusqu’à ce qu’un audit indépendant ait été réalisé pendant la période en cours; d) Agir uniquement en qualité de conseiller en vue de recommander des contrôles sur les

Official Gazette no Special of 26/07/2019 38 ku buryo bushya cyangwa hasubirwamo ibikurikizwa mbere yo kubishyira mu bikorwa. 4.4.3. Umurimo w’igenzura ry’imbere ugomba gukorerwa isuzuma ryigenga rikozwe n’umuntu wigenga. Uyu murimo ushobora gukorwa n’umugenzuzi wo hanze cyangwa Komite y’Inama y’Ubutegetsi ishinzwe Igenzura buri mwaka cyangwa mu gihe ari ngombwa. reviewing procedures prior to their implementation. 4.4.3. The internal audit function must be subject to an independent review by an independent party. This function can be carried out by an external auditor or the Board Audit Committee on annual basis or when deems necessary. nouveaux systèmes ou revoir les procédures avant leur mise en exécution. 4.4.3. La fonction d’audit interne doit être soumise à un examen indépendant par un tiers indépendant. Cette fonction peut être exercée par un auditeur externe ou par le Comité d’audit du Conseil sur une base annuelle ou lorsque cela est jugé nécessaire. 5. UBUSHOBOZI MU KAZI 5.1.Imikorere nyayo y’umurimo w’igenzura ry’imbere iterwa ahanini n’ubuziranenge, amahugurwa n’uburambe bw’abakozi b’igenzura. Ubushobozi ku kazi busuzumwa hitabwaho imiterere y’umumaro n’ubushobozi bw’umugenzuzi mu gutara amakuru yo kwiga, gusuzuma, no gutanga. 5.2. Muri urwo rwego, hitabwa ku bushobozi bw’umugenzuzi bwo kumva urusobe rw’ubuhanga bwiyongera mu mirimo ya banki n’imirimo inyuranye yiyongera isaba gukorwa n’ishami ry’igenzura ry’imbere bikurikira iterambere mu rwego rw’imari. 5.3. IBITUMA UMURIMO W’IGENZURA UKORWA 5.3.1. Umukuru w’urwego rw’igenzura abyumvikanyeho n’Umuyobozi Mukuru, bafata icyemezo ku mutungo usabwa wa ngombwa ku ishami ry’igenzura ry’imbere hitawe ku ngano n’urusobe 5. PROFESSIONAL PROFICIENCY 5.1. The effectiveness of the internal audit function depends substantially on the quality, training and experience of the audit staff. Professional competence is assessed taking into account the nature of the role and the auditor’s capacity to collect information to examine, to evaluate and to communicate. 5.2. In this respect cognizance is taken of the ability of the auditor to understand the growing technical complexity of bank’s activities and the increasing diversity of tasks that need to be undertaken by the internal audit department as a result of developments in the financial sector. 5.3. RESOURCES 5.3.1. The head of internal audit, in consultation with the CEO, shall decide on the right resources required for the internal audit department taking into consideration the size and complexity of 5. COMPETENCE PROFESSIONNELLE 5.1. L’efficacité de la fonction d’audit interne dépend essentiellement de la qualité, de la formation et de l’expérience du personnel d’audit. La compétence professionnelle est évaluée en tenant compte de la nature du rôle et de la capacité de l’auditeur de recueillir des informations à examiner, à évaluer et à communiquer 5.2. A cet égard, l’accent est mis sur la capacité de l’auditeur à comprendre la complexité technique croissante des activités de la banque et de la diversité croissante des tâches qui doivent être entreprises par le département d’audit interne à la suite du développement du secteur financier. 5.3. RESSOURCES 5.3.1. Le chef de l’unité d’audit interne, en concertation avec le Directeur Général, doit décider sur les ressources nécessaires pour le fonctionnement du département d’audit interne, en

Official Gazette no Special of 26/07/2019 39 rw’ibikorwa bya banki. Umubare w’ibikenewe ugomba kuba usobanuye kandi ukemerwa na Komite y’Inama y’Ubutegetsi ishinzwe Igenzura. 5.3.2. Umukuru w’ishami ry’igenzura ry’imbere agomba gushyiraho ibigenderwaho bikwiye mu gushaka abakozi b’igenzura ry’imbere. Imikorere nyayo y’umurimo w’igenzura ry’imbere ushobora kunozwa n’ikoreshwa ry’abakozi bafite ubumenyi muri byo cyangwa abahanga batanga inama by’umwihariko ahantu hasaba ubuhanga buhanitse, urugero mu Ikoranabuhanga (IT) no mu bicuruzwa bishya bikozwe mu sentetiki. operations of the bank. The level of the resources required shall be justified and endorsed by the Board Audit Committee. 5.3.2. The head of internal audit must establish suitable criteria for the recruitment of the internal audit staff. The effectiveness of the internal audit function may be enhanced by the use of specialist staff or consultants, particularly in highly technical areas e.g. Information Technology (I.T) and new complex synthetic products. tenant compte de la taille et de la complexité des opérations de la banque. La quantité des ressources nécessaires devrait être justifiée et approuvée par le Comité d’audit du Conseil. 5.3.2 .Le chef du département d’audit interne doit établir des critères appropriés pour le recrutement du personnel d’audit interne. L’efficacité de la fonction d’audit interne peut être améliorée par l’utilisat on de personnel spécialisée ou des consultats, en particulier dans des domaines hautemet techniques, par exemple la Technologie de l’Information (TI) et les nouveaux produits synthétiues complexes. 5.4. UBUMENYI, UBUHANGA, UBURAMBE MU KAZI N’UBUSHOBOZI 5.4.1. Umugenzuzi w’Imbere Mukuru cyangwa Umukuru w’Urwego rw’igenzura ry’imbere bagomba kugira impamyabushobozi mu igenzura ry’imbere, ACCA, CPA, cyangwa impamyabushobozi bisa nibura y’imyaka itatu y’uburambe mu mwanya y’ubuyobozi mu bigo by’imari cyangwa mu masosiyete akora igenzura cyangwa ibigo bifitanye isano. 5.4.2. Abagenzuzi b’imbere bagomba kuba bashoboye gushyira mu bikorwa amahame yemejwe n’ibigenderwaho mu ibaruramari, ibisabwa n’amategeko n’amabwiriza n’imirongo ngenderwaho bitangwa na Banki Nkuru y’u Rwanda n’abandi bayobozi, n’andi mabwiriza atangwa 5.4.QUALIFICATION, KNOWLEDGE, EXPERIENCE AND SKILLS 5.4.1. The Chief Internal Auditor or Head of internal audit function shall be a holder of professional certification in internal auditing, ACCA, CPA or similar certification and at least three years of experience in managerial positions in financial institution or auditing firms or related institutions. 5.4.2. Internal auditors shall be proficient in applying approved auditing principles and accounting standards, legal and regulatory requirements, directives and guidelines issued by National the Bank of Rwanda and other authorities, and other rules and regulations issued 5.4. QUALIFICATION, CONNAISSANCES, EXPERIENCE ET COMPETENCES 5.4.1. L’Auditeur Interne en Chef ou le chef de la fonction d’audit interne doit être titulaire d’un certificat professionnel en audit interne, d’une certification ACCA, CPA, ou d’une certification similaire et d’au moins trois ans d’expérience à des postes de direction dans une institution financière, un cabinet d’audit ou une institution apparentée. 5.4.2. Les auditeurs internes doivent être capables d’appliquer les principes d’audit et des normes comptables approuvées, les exigences légales et réglementaires, les directives et lignes directrices édictées par la Banque Nationale du Rwanda et d’autres autorités, ainsi que d’autres règles et

Official Gazette no Special of 26/07/2019 40 n’amashyirahamwe bireba yo mu rwego rw’amabanki. by the relevant associations of banking industry. règlements édictés par les associations du secteur bancaire concernées. 5.5.IKURIKIRANA 5.5.1 Ikurikirana ni inzira ihoraho guhera ku igenamigambi kugera igihe ikigamijwe n’igenzura kirangiye. Umukuru w’igenzura ry’imbere abazwa igenzura ryakozwe n’abo akuriye. Umukuru w’igenzura ry’imbere agomba kureba ko ibigamijwe n’igenzura byagenwe muri gahunda y’igenzura yemewe byagezweho. 5.5.2. Umukuru w’igenzura ry’imbere agomba kwerekana ibintu byagaragaye bikomeye mu igenzura hamaze gusuzumwa imimerere n’urusobekerane byayo. 5.5. SUPERVISION 5.5.1. Supervision is a continuing process from planning to the conclusion of the audit assignment. The head of internal audit is responsible for the audit performed by his/her subordinates. The head of internal audit shall ensure that the audit objectives stated in the approved audit program have been achieved. 5.5.2. The head of internal audit shall set milestones for each audit assignment after considering its nature and complexity. 5.5. SUPERVISION 5.5.1. La supervision est un processus continu depuis la planification jusqu’à la conclusion de la mission d’audit. Le chef du département d’audit interne est responsable de l’audit effectué par ses subordonnés. Le chef du département d’audit interne doit s’assurer que les objectifs d’audit énoncés dans le programme d’audit approuvé ont été atteints. 5.5.2. Le chef du département d’audit interne doit marquer les points saillants pour chaque mission d’audit après avoir examiné sa nature et sa complexité. 5.6. IMYITWARIRE IJYANYE N’UMWUGA 5.6.PROFESSIONAL ETHICS 5.6. ETHIQUE PROFESSIONNELLE 5.6.1. Abagenzuzi b’imbere bagomba igihe cyose gukorana ubuhanga umwuga usaba iyo bakora imirimo n’inshingano byabo. Bagomba gukora akazi kabo mu buryo bwigenga, nta marangamutima, mu buryo bujyanye n’umwuga kandi mu cyizere gisesuye. Abagenzuzi b’imbere bagomba nabo ubwabo kugendera ku myitwarire ihanitse igenderwaho no kwirinda kujya mu byabangamira inyungu mu kazi. 5.6.2. Abagenzuzi b’imbere basabwa kugira ibanga mu buryo budasubirwaho rijyana n’amakuru yose babonye mu kazi kabo kandi ntibagomba gukoresha 5.6.1. Internal auditors shall at all times exercise due professional care when discharging their duties and responsibilities. They shall carry out their work independently, objectively, professionally and with utmost good faith. Internal auditors shall subject themselves to the highest ethical standards and avoid any conflict of interest situation. 5.6.2. Internal auditors are required to maintain strict confidentiality with regard to all information obtained in the course of their work and must not 5.6.1. Les auditeurs internes doivent à tout moment exercer la diligence professionnelle dans l’exercice de leurs fonctions et de leurs responsabilités. Ils doivent effectuer leur travail de manière indépendante, objective, professionnelle et avec bonne foi. Les auditeurs internes doivent se soumettre aux normes éthiques les plus élevées et éviter toute situation de conflit d’intérêts. 5.6.2. Les auditeurs internes sont tenus de respecter une stricte confidentialité de toute information obtenue dans le cadre de travail et ne

Official Gazette no Special of 26/07/2019 41 amakuru yihariye mu nyungu zabo bwite. Bagomba kubahiriza ibisabwa n’amategeko n’amabwiriza n’imirongo ngenderwaho byatanzwe na Banki Nkuru y’u Rwanda n’abandi bayobozi, n’amabwiriza yandi ashyirwaho n’amashyirahamwe yo mu rwego rw’amabanki. use any privileged information for personal gain. They shall comply with legal and regulatory requirements, directives and guidelines issued by National Bank of Rwanda and other authorities, and other rules and regulations issued by the relevant associations of banking industry. peuvent pas utiliser toutes les informations privilégiées à des fins personnelles. Ils devraient se conformer aux exigences légales et réglementaires, directives et lignes directrices édictées par la Banque Nationale du Rwanda et d’autres autorités, ainsi que d’autres règles et règlements édictées par les associations du secteur bancaire concernées. 5.7. AMAHUGURWA 5.7.1. Komite y’Inama y’Ubutegetsi ishinzwe Igenzura ifite inshingano zo kureba ko abakozi b’igenzura ry’imbere babona amahugurwa kugira ngo bakore umurimo w’igenzura. Hagombye kubaho gahunda yo kwiga n’amahugurwa bituma abagenzuzi b’imbere bakurikira ibyerekezo n’iterambere byerekeye ubucuruzi kimwe no kongera no gukomeza ubumenyi bwabo mu byerekeye tekinike. 5.7.2. Umukuru w’igenzura ry’imbere agomba kureba ko amahugurwa ahabwa abakozi bashya bakurikiranwa n’abagenzuzi b’imbere babifitiye ubumenyi n’uburambe. 5.7.TRAINING 5.7.1. The Board Audit Committee has a responsibility to ensure that the internal audit staff receives the necessary training to perform the audit work. There shall be a program of continuing education and training to enable internal auditors to keep abreast with business trends and developments as well as to upgrade and enhance their technical skills. 5.7.2. The head of internal audit shall ensure that the job training is provided to new recruits under the supervision of competent and experienced internal auditors. 5.7. FORMATION 5.7.1. Le comité d’audit du conseil a la responsabilité de veiller à ce que le personnel d’audit interne bénéficie de la formation nécessaire pour effectuer le travail d’audit. Il devrait y avoir un programme de formation continue pour permettre aux auditeurs internes de se tenir au courant des tendances et des développements d’affaires que pour améliorer et renforcer leurs compétences techniques. 5.7.2. Le responsable de l’audit interne doit s’assurer que la formation est dispensée aux nouvelles recrues travaillant sous la supervision des auditeurs internes compétents et expérimentés. 6. IMIBANIRE N’IHEREREKANYAMAKURU 6. RELATIONSHIP AND COMMUNICATION 6. RELATION ET COMMUNICATION 6.1. Abagenzuzi b’imbere bagomba kugira imikoranire y’akazi yubaka kandi bagahora bakorana n’ubuyobozi, abagenzuzi bo hanze na Banki Nkuru y’u Rwanda kandi bakagirana buri gihe n’abagenzuzi bo hanze inama ku bibazo bahuriyeho 6.1. Internal auditors shall have a constructive working relationship and be in constant communication with management, external auditors and the National Bank of Rwanda and regular meetings shall be held with the external 6.1. Les auditeurs internes doivent entretenir des relations de travail constructives et être en communication constante avec la direction, les auditeurs externes et la Banque Nationale du Rwanda et devraient tenir régulièrement des

Official Gazette no Special of 26/07/2019 42 nk’igenamigambi ry’igenzura, ibyihutirwa mu igenzura n’ingano yayo mu rwego rwo kwirinda gushyira ingufu ahantu hamwe inshuro ebyiri. 6.2. Umukuru w’igenzura ry’imbere agomba gukurikirana ingamba zose zikosora zafashwe n’ubuyobozi bisabwe na Banki Nkuru y’u Rwanda ku nzego zose iyo ingamba zikosora zitafashwe. auditors on areas of common concerns such as audit planning, audit priorities and scope to avoid duplication of effort. 6.2. The head of internal audit shall monitor all corrective actions taken by the management with regard to National Bank of Rwanda at any instances where corrective actions have not been taken. réunions avec les auditeurs externes sur les problèmes communs tels que la planification des audits, les priorités d’audit et la portée pour éviter la duplication des efforts. 6.2. Le chef du département d’audit interne doit faire le suivi de toutes les mesures correctives prises par la direction à l’égard de la Banque Nationale du Rwanda, à tous les niveaux lorsque les mesures corrective n’ont pas été prises. 7. IMIYOBORERE Y’IGENZURA NO KWIFASHISHA ABANDI BANTU MU BIKORWA BY’IGENZURA RY’IMBERE 7.1. Ishami ry’igenzura ry’imbere rigomba kugira amahame y’igenzura, igitabo cy’imikorere y’igenzura, gahunda y’igenzura n’ibibazo bibazwa mu igenzura ry’imbere. Nubwo izi nyandiko zishobora kwitwa amazina atandukanye kandi zigatandukana mu bizigize, ihame ribihuza ni uko zikoreshwa ku mpamvu zateganyijwe. 7.2. Banki igomba gusohoza ibikorwa by’igenzura ry’imbere yifashishije abakozi bayo bwite. Icyakora, kwifashisha abandi bantu mu bikorwa by’igenzura ry’imbere, hatarimo umurimo w’igenzura, ku buryo buciriritse kandi bugamije intego, bishobora kuzanira inyungu amabanki nko kugezwaho ubunararibonye bw’inzobere n’ubumenyi bw’inshingano z’igenzura ry’imbere igihe nta bunararibonye buboneka mu rwego rw’umurimo w’igenzura ry’imbere. Kwifashisha abandi bantu bishobora kandi kugira ibyo byoroshya 7. AUDIT GOVERNANCE AND OUTSOURCING OF INTERNAL AUDIT ACTIVITIES 7.1. The internal audit shall have an audit charter, audit manual, audit program and internal control questionnaires in place. Although these documents may be called by different names and differ in comprehensiveness, the underlying principle is that they serve the intended purpose. 7.2. A bank shall perform internal audit activities using their own staff. However, outsourcing of internal audit activities, but not the function, on a limited and targeted basis can bring benefits to banks such as access to specialised expertise and knowledge for an internal audit engagement where the expertise is not available within the internal audit function. Outsourcing could also alleviate temporary resourcing constraints which might otherwise jeopardise the execution of the audit plan. Banks shall be able to explain the 7. GOUVERNANCE DE L’AUDIT ET SOUS￾TRAITANCE DES ACTIVITÉS D’AUDIT INTERNE 7.1. Le département d’audit interne devrait disposer d’une charte d’audit, d’un manuel d’audit, d’un programme d’audit et de questionnaires de contrôle interne. Bien que ces documents puissent être appelés de différentes manières et varient en intégralité, le principe sous￾jacent est qu’ils servent le but recherché. 7.2. Une banque doit effectuer des activités d’audit interne en utilisant son propre personnel. Cependant, la sous-traitance des activités d’audit interne, mais pas de la fonction, sur une base limitée et ciblée peut apporter des avantages aux banques, tels que l’accès à une expertise et à des connaissances spécialisées pour une mission d’audit interne lorsque l’expertise n’est pas disponible au sein de la fonction d’audit interne. La sous-traitance pourrait également atténuer les problèmes temporaires

Official Gazette no Special of 26/07/2019 43 by’agateganyo. Mu gihe hari impungenge zishingiye ku guha undi muntu imirimo mu gihe bishobora kubangamira ishyirwamubikorwa rya gahunda y’igenzura, Banki isobanura impamvu yo gutanga uwo murimo ku wundi muntu. 7.3. Amabanki agomba kubasha gusobanura impamvu yifashisha abandi bantu mu bikorwa byihariye by’igenzura ry’imbere. 7.4. Umukuru w’igenzura ry’imbere agomba kureba ko ba rwiyemezamirimo bifashisha abandi bantu mu mirimo bubahiriza amabwiriza ari mu mahame y’igenzura ry’imbere rya banki. Kugira ngo bakomeze kwigenga, ni ngombwa kureba ko rwiyemezamirimo atigeze mbere yifashishwa mu nshingano zo gutanga inama mu rwego rumwe muri banki keretse iyo hashize igihe kirekire gihagije ngo bibe byaratekerejweho. Nyuma yaho, izo mpuguke zagize uruhare mu nshingano y’igenzura ry’imbere ntizigomba guha serivisi z’ubujyanama urwego rwa banki baheruka gukorera igenzura. Ikindi kandi, nk’imikorere ihamye, amabanki ntiyagombye kwifashisha isosiyete yabo y’igenzura ryo hanze mu bikorwa by’igenzura ry’imbere. reasons for outsourcing specific internal audit activities. 7.3. Banks shall be able to explain the reasons for outsourcing specific internal audit activities. 7.4. The head of internal audit shall ensure that all outsourcing in the bank comply with the principles of the bank’s internal audit charter. To preserve independence, it is important to ensure that the supplier has not been previously engaged in a consulting engagement in the same area within the bank unless a reasonably long “cooling-off” period has elapsed. Subsequently, those experts who participated in an internal audit engagement shall not provide consulting services to a function of the bank they recently audited. Additionally, as a sound practice, banks shall not outsource internal audit activities to their own external audit firm. des contraintes de ressources qui pourraient autrement compromettre l'exécution du plan d'audit. Les banques devraient être en mesure d'expliquer les raisons d’externalisation d'activités d'audit internes spécifiques. 7.3. Les banques devraient être en mesure d’expliquer les raisons de la sous-traitance d’activités d’audit internes spécifiques. 7.4. Le chef du département d’audit interne doit s’assurer que les fournisseurs sous-traitants respectent les principes de la charte de l’audit interne de la banque. Pour préserver l’indépendance, il est important de s’assurer que le fournisseur n’a jamais été engagé dans un contrat de conseil dans le même secteur de la banque, à moins qu’une période de « réflexion » raisonnablement longue ne s’est écoulée. Par la suite, les experts qui ont participé à une mission d’audit interne ne devraient pas fournir de services de conseil à une fonction de la banque qu’ils ont récemment auditée. De plus, les banques ne devraient pas sous-traiter leurs activités d’audit interne à leur propre cabinet d’audit externe. 7.5. AMAHAME Y’IGENZURA 7.5. AUDIT CHARTER 7.5. CHARTE DE L’AUDIT

7.5.1. Umurumo w’igenzura ry’imbere ugomba kuyoborwa n’amahame y’igenzura yanditse agaragaza : a) Umwanya w’ishami ry’igenzura ry’imbere 7.5.1. The internal audit function must be guided by formal audit charter, that establish: a) The internal audit function’s standing 7.5.1. La fonction d’audit interne doit être guidée par une charte d’audit formelle, qui établit: a)La position de la fonction d’audit interne au

Official Gazette no Special of 26/07/2019 44 mu kigo, ububasha bwaryo, inshingano zaryo n’imikoranire n’izindi nzego y’igenzura mu buryo buteza imbere imikorere myiza y’umurimo ; b) Ibigamijwe by’ibigomba kugerwaho byerekeye intego n’ubwigenge bw’umurimo w’igenzura ry’imbere ; c) Imiterere y’ingenzi y’urwego rw’igenzura ry’imbere ; d) Inshingano y’abagenzuzi b’imbere yo kumenyekanisha ibyavuye mu nshingano bahawe n’igisobanuro uburyo ndetse n’uwo bagomba kubishyikiriza (uko raporo zitangwa) ; e) Ibigenderwaho byerekeye igihe n’uburyo urwego rw’igenzura ry’imbere rushobora kwifashisha impuguke zo hanze muri zimwe mu nshingano zarwo ; f) Amategeko n’amabwiriza bikurikizwa ngo urwego rw’igenzura ry’imbere rushobore kwitabazwa mu gutanga inama cyangwa serivisi ngishwanama cyangwa gushyira mu bikorwa inshingano zihariye ; g) Inshingano y’umukuru w’igenzura ry’imbere ; h) Ibisabwa mu kubahiriza amabwiriza ngenderwaho ahamye y’igenzura ry’imbere ; Amabwiriza akurikizwa mu guhuza ibikorwa within the bank, its authority, its responsibilities and its relations with other control functions in a manner that promotes the effectiveness of the function b) The purpose and scope of the internal audit function; c)The key features of the internal audit function; d) The obligation of the internal auditors to communicate the results of their engagements and a description of how and to whom this shall be done (reporting line); e)The criteria for when and how the internal audit function may outsource some of its engagements to external experts; f)The terms and conditions according to which the internal audit function can be called upon to provide consulting or advisory services or to carry out other special tasks; g) The responsibility and accountability of the head of internal audit; h) A requirement to comply with sound internal auditing standards; Procedures for the coordination of the internal sein de la banque, ses pouvoirs, ses responsabilités et ses relations avec les autres fonctions de contrôle de manière à promouvoir l’efficacité de cette fonction. b)L’objet et l’étendue de la fonction d’audit interne; c) Les principales caractéristiques de la fonction d’audit interne; d)L’obligation des auditeurs internes de communiquer les résultats de leurs missions et une description de la manière dont cela devrait être fait et à qui (les rapports seront donnés); e) Les critères selon lesquels et comment la fonction d’audit interne peut sous-traiter certaines de ses missions à des experts externes; f) Les conditions dans lesquelles la fonction d’audit interne peut être appelée à donner des conseils ou des services conseils ou à effectuer d’autres tâches spéciales; g)La responsabilité du chef du département d’audit interne; h)L’exigence de se conformer à des normes d’audit interne solides; Les procédures de coordination de la fonction

Official Gazette no Special of 26/07/2019 45 by’urwego rw’igenzura ry’imbere n’ibikorwa by’umugenzuzi wemewe n’amategeko cyangwa wo hanze. 7.5.2. Amahame agomba gushyirwaho kandi agasubirwamo ku gihe cyagenwe, n’ubuyobozi bukuru kandi akemezwa n’inama y’ubutegetsi mu rwego rw’inshingano zayo zo gukurikirana. 7.5.3. Amahame y’igenzura agomba kwemerwa na Komite y’Inama y’Ubutegetsi ishinzwe Igenzura kandi akemezwa n’Inama y’Ubutegetsi ku buryo umurimo w’igenzura ry’imbere ushobora gukorwa neza koko. audit function with the statutory or external auditor. 7.5.2. The Charter shall be drawn up, and reviewed periodically, by senior management and subsequently confirmed by the board of directors as part of its supervisory role. 7.5.3. The audit charter must be approved by the Board Audit Committee and endorsed by the board so that the internal audit function may be effectively discharged. d’audit interne avec l’auditeur statutaire ou externe. 7.5.2. La Charte est élaborée et révisée périodiquement par la direction générale et ensuite confirmée par le conseil d’administration dans le cadre de son rôle de supervision. 7.5.3. La Charte d’audit doit être approuvée par le comité d’audit du conseil et approuvée par le conseil d’administration de sorte que la fonction d’audit interne puisse être correctement accomplie. 7.6. GAHUNDA Y’IGENZURA 7.6. AUDIT PLAN 7.6. PLAN D’AUDIT 7.6.1. Umukuru w’igenzura ry’imbere agomba gutegura gahunda y’igenzura nk’uburyo bwo kuyobora no gukurikirana akazi k’igenzura. Gahunda y’igenzura y’igihe kirekire ishobora kuva ku mwaka umwe kugera kuri itanu bitewe n’ingano n’urusobe rw’imirimo ikorwa. 7.6.2. Gahunda igomba gushyiraho ibyo igenzura rigamije, imirimo igenzurwa, aho igenzura rigarukira, inshuro rikorwa, icyo bisaba n’igihe ubutumwa bw’igenzura bumara. Umukuru w’igenzura ry’imbere agomba gusuzuma ibyateza ingorane mu mirimo igenzurwa mbere yo kugena inshuro igenzura rizakorwa n’aho igenzura rigarukira. 7.6.3. Umukuru w’igenzura ry’imbere agomba gushyiraho mu nyandiko amahame yerekeye uburyo isuzuma ry’ibyateza ingorane rikorwa 7.6.1. The head of internal audit shall develop an audit plan as a means of directing and controlling the audit work. The audit strategic plan may range from one to five years depending on the size and complexity of operations. 7.6.2. The plan shall set out the audit objectives, auditable areas, and scope of coverage, frequency of audit, resources required and duration of each audit assignment. The head of internal audit shall assess the risks of the auditable areas before determining the audit frequency and scope of coverage. 7.6.3. The head of internal audit shall establish the principles of the risk assessment methodology in writing and regularly update them to reflect the 7.6.1. Le chef du département d’audit interne devrait élaborer un plan d’audit permettant de diriger et de contrôler le travail d’audit. Le plan d’audit stratégique peut aller d’un à cinq ans en fonction de la taille et de la complexité des opérations. 7.6.2. Le plan énonce les objectifs d’audit, les domaines pouvant être audités, l’étendue de la couverture, la fréquence de l’audit, les ressources nécessaires et la durée de chaque mission d’audit. Le chef du département d’audit interne devrait évaluer les risques liés aux domaines auditables avant de déterminer la fréquence de l’audit et la portée d’audit. 7.6.3. Le chef du département d’audit interne doit établir par écrit les principes de la méthodologie d’évaluation des risques et

Official Gazette no Special of 26/07/2019 46 kandi buri gihe agashyirwa ku gihe kugira ngo yerekane impinduka zabaye mu mikorere y’igenzura ry’imbere no kongeramo imirongo mishya y’imirimo. Nk’igitabo cy’ibigenderwaho muri rusange, igenzura rigenda rigaruka mu mirimo yose igenzurwa rigomba kuba nibura rimwe mu mwaka. 7.6.4. Umukuru w’igenzura ry’imbere afite ariko ububasha busesuye bwo kugena igenzura rigenda rigaruka ku mirimo igenzurwa ifatwa ko idateye ibibazo iyo banki ifite uburyo bwo gukora isuzuma ry’ibyateza ingorane bukora neza koko. 7.6.5. Umukuru w’igenzura ry’imbere agomba nanone gushyira imicungire y’igenzura mu igenamigambi ry’igenzura. Igenamigambi ry’igenzura rigomba kwemerwa na Komite y’Inama y’Ubutegetsi ishinzwe Igenzura kandi rigomba kuba rishobora guhinduka kugira ngo rijyane n’impinduka zerekeye ibyihutirwa cyangwa ibikenewe. 7.6.6. Igenzura ry’imbere rigomba gusuzuma uburyo ubuyobozi bwifashisha mu kugerageza ibipimo imari shingiro y’ikigo ihagazeho, hitabwa ku nshuro iyo myitozo ikorwa, icyo igamije (urugero: ikurikirana ry’imbere ugereranyije n’ibyo ikigo gisabwa n’urwego rukora igenzura), ireme ry’impamvu zishoboka n’ibitekerezo byifashishwa mu igeragezwa ndetse no kuba uburyo bwakoreshejwe bwizewe. changes to the system of internal control or work process and to incorporate new lines of business. As a general guide, the audit cycle for all auditable areas shall be at least once a year. 7.6.4. The head of internal audit, however, has the discretion to determine the audit cycle for auditable areas deemed not critical if the bank has an effective risk assessment system in place. 7.6.5. The head of internal audit shall also include management audit in the audit plan. The audit plan must be endorsed by the Board audit Committee, approved by the board and shall be flexible to respond to changing priorities or needs. 7.6.6. Internal audit shall review management’s process for stress testing its capital levels, taking into account the frequency of such exercises, their purpose (e.g., internal monitoring vs. regulator imposed), the reasonableness of scenarios and the underlying assumptions employed, and the reliability of the processes used. les mettre à jour régulièrement afin qu’elles reflètent les changements apportés au système de contrôle interne ou aux processus de travail et intégrer de nouveaux domaines d’activité. En règle générale, le cycle d’audit pour tous les domaines pouvant faire l’objet d’un audit devrait être au moins une fois par an. 7.6.4. Toutefois, le chef du département d’audit interne a le pouvoir discrétionnaire pour déterminer le cycle d’audit pour les domaines auditables jugés non critiques si la banque dispose d’un système efficace d’évaluation des risques. 7.6.5. Le chef du département d’audit interne devrait également inclure la gestion d’audit dans le plan d’audit. Le plan d’audit doit être approuvé par le comité d’audit du conseil d’administration, adopté par le conseil d’administration et devrait être flexible pour répondre aux changements des priorités ou des besoins. 7.6.6. L’audit interne doit examiner le processus mis en œuvre par la direction pour mettre à l’épreuve ses niveaux de capital, en tenant compte de la fréquence de ces exercices, de leur objectif (par exemple, surveillance interne par rapport à ceux imposés par le régulateur), du caractère raisonnable des scénarios et des hypothèses sous￾jacentes utilisées, ainsi que de la fiabilité des processus utilisés.

Official Gazette no Special of 26/07/2019 47 7.6.7. Byongeye kandi, uburyo n’ibikorwa banki yifashisha mu gupima no gukurikirana uko amafaranga abitse ahagaze ugereranyije n’imiterere y’ibyateza ingorane, uko ibintu byifashe hanze, n’ibisabwa ntagibwa munsi mu igenzuramikorere, bigomba kuba bikubiye mu birebwa n’igenzura. 7.6.8. Ibirebwa n’ibikorwa byo kubahiriza umurimo bigomba gukorerwa isuzuma ngarukagihe n’urwego rushinzwe igenzura ry’imbere. 7.6.7. Additionally, the bank’s systems and processes for measuring and monitoring its liquidity positions in relation to its risk profile, external environment, and minimum regulatory requirements, shall fall within the audit universe. 7.6.8.The scope of the activities of the compliance function shall be subject to periodic review by the internal audit function 7.6.7. En outre, les systèmes et processus de la banque permettant de mesurer et de surveiller ses positions de liquidité en relation avec son profil de risque, son environnement externe et les exigences réglementaires minimales devraient relever du domaine d’audit. 7.6.8. La portée des activités de la fonction de conformité devrait faire l’objet d’un examen périodique par la fonction d’audit interne de la conformité. 7.7. IGITABO CY’IGENZURA 7.7. AUDIT MANUAL 7.7.MANUEL D’AUDIT 7.7.1. Igitabo cy’igenzura giha abakozi b’ishami ry’ubugenzuzi ibigenderwaho mu igenzura byerekeye icyerekezo n’amashakiro. Gifatwa kandi nk’imfashanyigisho y’ingirakamaro mu mahugurwa y’abakozi bashya. Igitabo cy’igenzura kigomba kugira politiki yanditse y’igenzura, ibigamijwe, ibigenderwaho ku bikurikizwa na gahunda. 7.7.2. Umukuru w’igenzura ry’imbere agomba kureba igitabo cy’igenzura cyuzuye bihagije mu buryo cyareba nibura imirimo myinshi ya banki kandi kigasubirwamo ku gihe cyagenwe kugira ngo cyerekane ibyerekezo byerekeye amasosiyete, amategeko n’urwego rw’amabanki. 7.7.1. The audit manual provides the audit department personnel with a set of audit standards for guidance and reference. It also serves as a valuable training aid for new recruits. The audit manual shall contain written audit policies, objectives, standard procedures and programs. 7.7.2.The head of internal audit shall ensure that the audit manual is comprehensive enough to cover at least the major operations of the bank and is reviewed periodically to reflect corporate, regulatory and industry trends. 7.7.1. Le manuel d’audit fournit au personnel du département d’audit un ensemble de normes d’audit à des fins d’orientation et de référence. Il sert également d’aides précieuses à la formation des nouvelles recrues. Le manuel d’audit devrait contenir des politiques, objectifs, procédures et programmes d’audit écrits. 7.7.2. Le chef de l’audit interne doit s’assurer que le manuel d’audit est suffisamment complet pour couvrir au moins les principales opérations de la banque et qu’il est examiné périodiquement pour refléter les tendances des sociétés, règlementaires et du secteur.

Official Gazette no Special of 26/07/2019 48 7.8. GAHUNDA Y’IGENZURA N’IBIBAZO BITANGWA N’IGENZURA RY’IMBERE 7.8.AUDIT PROGRAM QUESTIONNAIRES 7.8. PROGRAMME D’AUDIT ET QUESTIONNAIRES DE CONTRÔLE INTERNE 7.8.1. Gahunda y’igenzura igomba gushyiraho ibikurikizwa birambuye byerekeye igenzura icyiciro ku cyiciro ku mirimo igenzurwa igomba kuba gahunda y’igenzura n’ibibazo by’igenzura ry’imbere. Ibibazo by’igenzura bigomba kuba byuzuye kandi bijyanye n’urwego rw’amabanki. 7.8.2. Gahunda y’igenzura n’ibibazo bikoreshwa mu igenzura ry’imbere byombi byizwe neza bigomba kugaragaza igenzura ryakozwe kuri byose. Byongeye kandi, icyemezo nyacyo cy’abagenzuzi b’imbere n’ubushobozi bwo gusesengura ni ingenzi mu gukora igenzura nta nenge. 7.8.1. The audit program shall set out detailed step-by-step audit procedures for each auditable area which shall be audit program questionnaire. Audit program questionnaire shall be comprehensive and tailored to the industry. 7.8.2. A well-designed audit program questionnaire shall provide a systematic audit approach. In addition, the internal auditors’ sound judgment and analytical skills are essential in ensuring a high quality audit. 7.8.1. Le programme d'audit doit définir des procédures d'audit détaillées, étape par étape, pour chaque domaine pouvant faire l'objet d'un audit, à savoir le questionnaire du programme d'audit. Le questionnaire du programme d'audit doit être complet et adapté au secteur. 7.8.2. Un programme d’audit et un questionnaire de contrôle interne bien conçus devraient fournir une approche d’audit systématique. En outre, le bon sens et les compétences analytiques des auditeurs internes sont essentiels pour garantir un audit de haute qualité. 8. IMIRIMO N’INSHINGANO 8. DUTIES AND RESPONSIBILITIES 8. DEVOIRS ET RESPONSABILITES 8.1. Umurimo nyamukuru w’ishami ry’igenzura ry’imbere ni ugukora isuzuma ryigenga ry’imirimo ya banki nka serivisi y’ubuyobozi. Umurimo w’igenzura ry’imbere ufite akamaro kanini mu gufasha ubuyobozi gushyiraho no gukomeza umwuka mwiza ushoboka w’igenzura ry’imbere muri banki. 8.2. Umwuka w’igenzura rikomeye wareba: a) uburyo bukwiye n’imikoranire nyayo 8.1.The core function of an internal audit department is to perform an independent appraisal of a bank’s activities as a service to management. The internal audit function plays an important role in helping management to establish and maintain the best possible internal control environment within the bank. 8.2. A sound internal control environment would ensure: a) Adequacy and effectiveness of the internal 8.1. La fonction essentielle du département d’audit interne est d’effectuer une évaluation indépendante des activités d’une banque en tant que service rendu à la direction. La fonction d’audit interne joue un rôle important en aidant la direction à établir et à maintenir l’environnement meilleur de contrôle interne au sein de la banque. 8.2. Un bon environnement de contrôle interne permettant d’assurer: a) L’adéquation et l’efficacité du système de

Official Gazette no Special of 26/07/2019 49 y’uburyo bw’igenzura ry’imbere; b) iyubahiriza rya politiki, ibikurikizwa, imirongo ngenderwaho, amabwiriza n’amategeko; c) ivumburwa ry’uburiganya, amakosa, ibitakozwe n’ibindi bitubahirijwe; d) imicungire y’igenzura; e) igenzura ry’uburyo bwo guhanahana amakuru; f) akamaro ko kugira uruhare no gutanga inama mu kwiga ibicuruzwa bishya n’indi mikorere mishya. 9. AHO AKAZI K’IGENZURA KAGARUKIRA 9.1.Igenzura rigomba kubamo kwiga no gusuzuma imikoranire n’imirimo y’ikigo cy’imari harimo ibigize igenzura, uburyo n’ibikurikizwa mu byerekeye imikorere n’isuzuma ry’ubuziranenge bw’imicungire y’imikorere mu kurangiza inshingano zabwo n’ibyo bubazwa. 9.2.Aho akazi k’igenzura kagera havugwa muri iki gice ntihagomba gufatwa ko hari mu butumwa bw’igenzura bushingiye ku bintu byatera ingorane zabonetse. Umukuru w’igenzura ry’imbere, amaze gusuzuma urwego rw’ibyateza ingorane kuri buri murimo ugenzurwa agomba gufata icyemezo cyo kongera cyangwa kugabanya aho igenzura rigera. Icyo cyemezo kigomba kuba gifite inyandiko gishingiyeho zikwiye. control system; b) Compliance with policies, procedures, rules, guidelines, directives, laws and regulations; c) Detection of frauds, errors , omissions and any other irregularities; d) Management Audit; e) Information system audit; f) Participative and consultative role in the development of new products and systems. 9. SCOPE OF AUDIT WORK 9.1. The audit scope shall entail the examination and evaluation of all functions and activities of the financial institution including control features, operational systems and procedures as well as assessment of the quality of management performance in discharging their duties and responsibilities. 9.2. The scope of audit work covered under this part shall not be construed to be covered under audit assignment based on the assigned risk factors. The head of internal audit, after having considered the level of risk for each auditable area shall decide whether to expand or limit the audit scope. Such decision shall be properly documented. contrôle interne; b) Le respect des politiques, procédures, règles, lignes directrices, directives, lois et règlements; c) La détection des fraudes, erreurs, omissions et autres irrégularités; d) L’audit de gestion; e) L’audit du système d’information; f) Le rôle participatif et consultatif dans le développement de nouveaux produits et systèmes. 9. PORTEE DU TRAVAIL D’AUDIT 9.1. La portée d’audit devrait comprendre l’examen et l’évaluation de toutes les fonctions et activités de l’institution financière, y compris des éléments de contrôle, les systèmes et procédures opérationnels, ainsi que l’évaluation de la qualité de la gestion de performances dans l’exercice de leurs fonctions et responsabilités. 9.2. La portée du travail d’audit couvert par la présente partie ne doit pas être interprétée comme étant couverte par la mission d’audit sur base des facteurs de risque attribués. Le chef du département d’audit interne, après avoir examiné le niveau de risque de chaque domaine auditable, devrait décider de limiter ou d’étendre la portée d’audit. Une telle décision devrait être correctement documentée.

Official Gazette no Special of 26/07/2019 50 9.3.Abagenzuzi b’imbere bagomba kandi gufata icyemezo ku rwego nyarwo rwo gufata icyitegererezo kugira ngo bagere ku byo igenzura ryabo rigamije. Abagenzuzi b’imbere bagomba kugendera ku Mirongo ngenderwaho mpuzamahanga y’Igenzura ku Cyitegererezo cy’Igenzura. 9.4. AHO IGENZURA RIGERA HAGOMBA KUBAMO: 9.4.1. Isuzuma no guha amanota uburyo igenzura ry’imbere rikorwa: aho igenzura rigera hagomba kubamo imikorerwe nyayo y’uburyo igenzura rikora, icyizere n’imikorere y’uburyo bw’imicungire bw’ikoranabuhanga, kurinda cyangwa gutahura uburiganya, amakosa, ibitakozwe n’ibindi bitubahirijwe n’uburyo bwo kurinda umutungo. 9.4.2. Iyubahirizwa rya politiki, ibikurikizwa, ibyemezo, imirongo ngenderwaho, amabwiriza n’amategeko: amabanki yose agomba kubahiriza amategeko n’amabwiriza bikurikizwa, imirongo ngenderwaho, ibisabwa mu gukora raporo na politiki y’imbere n’ibikurikizwa mu ikorwa ry’imirimo. Aho igenzura rigera hagomba kubamo kureba ko banki yubahiriza: a) Itegeko rigenga imitunganyirize y’imirimo y’amabanki, amabwiriza yerekeye itegeko ry’amabanki n’andi mategeko n’amabwiriza rusange bikurikizwa; 9.3. The internal auditors shall also decide on the appropriate level of audit sampling in order to achieve their audit objectives. The internal auditors shall be guided by the International Auditing Guideline on Audit Sampling. 9.4.THE AUDIT SCOPE SHALL COVER: 9.4.1. Evaluation and appraisal of the Internal Control system: the audit scope shall cover the effectiveness of the system of internal control, the reliability and integrity of Management Information System, the prevention or timely detection of frauds, errors, omissions and other irregularities, and the means for the safeguarding of assets. 9.4.2. Compliance with policies, procedures, rules, guidelines, directives, laws and regulations: all banks shall ensure strict compliance with all applicable laws and regulations, guidelines directives, reporting requirements and internal policies and operating procedures. The audit scope shall cover the bank’s compliance with: a) Banking law, banking regulations and other applicable statutes and regulations; 9.3 Les auditeurs internes devraient également se prononcer sur le niveau approprié de l’échantillonnage d’audit afin d’atteindre leurs objectifs d’audit. Les auditeurs internes devraient être guidés par les Lignes Directrices d’Audit International sur l’Echantillonnage d’Audit. 9.4.LA PORTEE DE L’AUDIT DEVRAIT PORTER SUR: 9.4.1. L’évaluation et la cotation du système de contrôle interne: l’étendue de l’audit devrait porter sur l’efficacité du système de contrôle interne, la fiabilité et l’intégrité du système informatique de gestion, la prévention ou la détection rapide des fraudes, des erreurs, des omissions et autres irrégularités, et les moyens pour la sauvegarde des avoirs. 9.4.2. Conformité avec les politiques, les procédures, les règles, les lignes directrices, les lois et les règlements: toutes les banques devraient veiller au strict respect de toutes les lois et règlements applicables, les directives, les lignes directrices, les exigences en matière de rapports, les politiques et procédures internes de fonctionnement. L’audit doit porter sur la conformité de la banque avec: a) La Loi portant organisation de l’activité bancaire, les règlements bancaires et d’autres lois et règlements applicables;

Official Gazette no Special of 26/07/2019 51 b) Imirongo ngenderwaho n’amabwiriza bishyirwaho na Banki Nkuru y’u Rwanda n’amatangazo cyangwa ibyemezo by’amashyirahamwe bireba; c) Politiki y’imbere muri banki n’ibikurikizwa mu gukora byemejwe kimwe n’uburemere n’imikorerwe nyayo y’umurimo w’iyubahiriza. 9.4.3. Uburyo bukwiye n’imitunganyirize mu micungire y’ibyateza ingorane Mu rwego rwo kongera ihiganwa, urusobe rw’imirimo n’ibishya mu byerekeye imari, ubuyobozi bugomba gutegura uburyo bwanditse bwo kureba ko ibyateza ingorane bigomba kuba bizwi neza, byarasuzumwe, byarakurikiranwe kandi byaragenzuwe. Uburyo bw’imicungire y’ibyateza ingorane bugomba kuba buhura n’urugero, ingano n’urusobekerane bw’imirimo ya banki n’urwego rw’icyateza ingorane banki yiteguye kwakira. Mu gusuzuma uburyo bw’imicungire y’ibyateza ingorane bwose, umugenzuzi agomba kureba ibikurikira kugira ngo amenye ko: a) Imicungire y’ikurikirana nyaryo ikorwa n’Inama y’Ubutegetsi n’abayobozi yatumye; b) Ibikurikizwa bigaragaza kandi bikerekana urwego rw’ibyateza ingorane bishingiye ku gihe byashyizweho; b) Guidelines, directives and circulars issued by National Bank of Rwanda and pronouncements or rules issued by the relevant associations; and c) Internally approved policies and operational procedures as well as the soundness and effectiveness of compliance function. 9.4.3. Adequacy and effectiveness of risk management system In view of increasing competition, complexities of operations and financial innovations, management shall develop a formalized system to ensure that risk exposures are identified and adequately measured, monitored and controlled. The risk management system shall be commensurate with the scope, size and complexity of the bank’s activities and level of risk a bank is prepared to assume. In assessing the overall risk management system, the auditor shall review the following to ensure: a) Effective management supervision is practiced by the board and its delegated authorities; b) Procedures that identify and quantify the level of risk on a timely basis are in place; b) Les lignes directrices, directives et circulaires édictées par Banque Nationale du Rwanda et les déclarations ou les règles édictées par les associations concernées; c) Les politiques approuvées en interne et les procédures opérationnelles ainsi que la solidité et l’efficacité de la fonction de conformité. 9.4.3. Adéquation et efficacité du système de gestion des risques En vue d’accroître la concurrence, la complexité des opérations et des innovations financières, la direction devrait élaborer un système formalisé en vue d’assurer que les expositions aux risques sont correctement identifiées, évaluées, surveillées et contrôlées. Le système de gestion des risques doit être proportionnel à la portée, à la taille et à la complexité des activités de la banque et au niveau de risque qu’une banque est prête à assumer. Lors de l’évaluation du système de gestion globale des risques, l’auditeur doit examiner les éléments suivants pour assurer: a) Une gestion de supervision efficace pratiquée par le conseil d’administration et ses autorités déléguées ; b) La mise en place des procédures qui identifient et quantifient le niveau de risque en temps opportun ;

Official Gazette no Special of 26/07/2019 52 c) Inzitizi n’irindi genzura biriho mu gucunga ibyateza ingorane; d) Raporo zihabwa ubuyobozi zerekana mu buryo bwuzuye imimerere n’urwego ibyateza ingorane biriho kimwe no kutubahiriza politiki n’inzitizi byemejwe; e) Inshingano zo gucunga banki ubwayo n’ibikurikizwa byerekeye imibare n’igabana ry’imari shingiro; f) Ibikurikizwa byerekeye imibare n’igabana ry’imari ku byatera ingorane byashyizweho; g) Urutonde rw’ibyateza ingorane mu buryo bukwiye riri mu bigaragaza ibyateza ingoranebanki byateguwe kandi byashyizwe ku gihe niba ari ngombwa. 9.4.4. Imikoreshereze nyayo kandi ihamye y’imitungo: abagenzuzi b’imbere bagomba kugira umumaro wo gutuma hamenyekana imikoreshereze yuzuye y’umutungo wa banki mu kugera ku ntego zose n’ibigamijwe n’ikigo. 9.4.5. Kugera ku ntego n’ibigamijwe byagenwe: Mu isuzuma ryo kureba ko intego n’ibigamijwe byagezweho, aho umugenzuzi w’imbere agera, mu mirimo yose ikorwa cyangwa igice cyayo, hagomba kurebwa ko: c) Limits or other controls are in place to manage the risk; d) Reports to management accurately present the nature and the level of risk taken and any non-compliance; e) Responsibilities for managing individual and procedures relating to the calculation and allocation of capital ; f) Procedures relating to the calculation and allocation of capital to risks are in place; g) A risk matrix adequately capturing the bank’s risk profile prepared and updated as necessary. 9.4.4. Effective and Efficient Use of resources: Internal auditors shall play a proactive role in determining the bank’s optimum utilization of resources in the accomplishment of the organization’s overall objectives and goals. 9.4.5. Accomplishment of set goals and objectives: In evaluating the accomplishment of set goals and objectives, the internal auditor’s scope shall cover the entire operations or a sub￾section thereof to determine whether: c) Les limites ou autres contrôles mises en place pour gérer le risque ; d) Les rapports à la direction qui reflètent fidèlement la nature et le niveau du risque pris ainsi que la non-conformité aux politiques et limites approuvées ; e) Les responsabilités de gestion individuelle et les procédures relatives au calcul et à l’affectation du capital; f) La mise en place des procédures relatives au calcul et à la répartition du capital à risque; g) Une matrice des risques comprenant adéquatement le profil préparé du risque de la banque et mise à jour si nécessaire. 9.4.4. Utilisation efficace des ressources: les auditeurs internes doivent jouer un rôle proactif dans la détermination de l’utilisation optimale des ressources de la banque dans la réalisation des objectifs généraux de l’institution. 9.4.5. Réalisation des buts et objectifs fixés: lors de l’évaluation de la réalisation des buts et objectifs fixés, le champ de l’action de l’auditeur interne devrait couvrir toutes les opérations entières ou une partie de celles-ci en vue de déterminer si:

Official Gazette no Special of 26/07/2019 53 a) Ibigamijwe n’intego bisobanuye neza kandi byapimwe; b) Ibigamijwe n’intego byasobanuwe binamenyeshwa abakozi bose kandi byagezweho; c) Igenzura ryashyizweho mu gupima no kwerekana ko ibigamijwe n’intego byagezweho; d) Uburyo igenzura nyaryo rikorwa mu gukurikirana imikorere ihuje n’ingengo y’imari. Ubusumbane bwose burasuzumwa, bugakorerwa inyigo kandi bukamenyeshwa ako kanya ubuyobozi n’Inama y’Ubutegetsi; e) Ubuyobozi bwitaye ku bigaragaza ingufu, intege nke, amahirwe n’ibitera imbogamizi ku murimo cyangwa gahunda f) Ibyagezweho mu ntego no mu bigamijwe byagenwe byubahirije politiki, ibikurikizwa, amategeko n’amabwiriza; g) ibyateganyijwe bikoreshwa n’ubuyobozi mu gutegura gahunda y’ibikorwa n’ingamba bikwiye kandi bisobanutse. a) objectives and goals are clearly set and measurable, b) objectives and goals have been articulated and communicated to all staff and being met; c) controls are established for measuring and reporting the accomplishment of objectives and goals; d) effective control mechanism is implemented to monitor actual performance against budget. Any significant variances are analyzed, investigated and promptly reported to the management and the board; e) management has considered the strengths, weaknesses, opportunities and threats of the respective operation or program; f) the achievement of set objectives and goals is in compliance with policies, procedures, laws and regulations; g) underlying assumptions used by management in developing business plans and strategies are appropriate and reasonable. a) Les objectifs et les buts sont clairement définis et mesurables, b) les objectifs et les buts ont été définis et communiqués à l’ensemble du personnel et respectées; c) les contrôles sont mis en place pour mesurer et communiquer la réalisation des objectifs et des buts; d) le mécanisme de contrôle efficace est mis en place pour le suivi de performance réelle par rapport au budget. Tous les écarts importants sont analysés, enquêtés et immédiatement signalés à la direction et au conseil d’administration; e) la direction a considéré les points forts, les faiblesses, les opportunités et les menaces respectifs de l’opération ou du programme; f) la réalisation des objectifs et buts fixés est conforme aux politiques, aux procédures, aux lois et règlements; g) les hypothèses sous-jacentes sont utilisées par la direction dans l’élaboration des plans d’activités et des stratégies sont appropriées et raisonnables. 10. GUTANGA RAPORO N’INYANDIKO 10.REPORTING AND DOCUMENTATION 10. RAPPORTS ET DOCUMENTATION 10.1. Raporo z’igenzura ry’imbere ni uburyo bwanditse bwo kwerekana igenzura n’ingamba zisabwa ubuyobozi na Komite y’Inama y’Ubutegetsi ishinzwe Igenzura. Raporo z’igenzura ni inzira kuri 10.1 Internal audit reports provide a formal means of communicating audit and recommended actions to management and the Board audit committee. Audits reports provide an avenue for 10.1. Les rapports d’audit interne constituent un moyen officiel de communiquer l’audit et les mesures recommandées à la direction et au comité d’audit du conseil. Les rapports d’audit

Official Gazette no Special of 26/07/2019 54 Komite y’Inama y’Ubutegetsi ishinzwe Igenzura yo kugaragaza intege nke zikomeye no kugaragariza Inama y’Ubutegetsi ingamba zakosora zatanzwe n’ubuyobozi. Ibisubizo by’ubuyobozi ku myanzuro y’abagenzuzi b’imbere mu kugabanya ibyateza ingorane, kongera ingufu z’igenzura ry’imbere no gukosora amakosa bigomba kuba ari ibyagambiriwe na raporo y’igenzura. 10.2 Ni ngombwa ko mu gihe hakorwa igenzura, iyo abagenzuzi b’imbere batagenzuye ibibazo bikomeye cyangwa uburiganya bishobora guteza ibibazo ku miterere ya banki cyangwa mu mirimo yayo mu buryo bugaragara, bamenyesha ako kanya ubuyobozi kugira ngo ingamba zikosora zihuse zifatwe. 10.3. RAPORO Y’IGENZURA 10.3.1. Raporo yashyizweho umukono igomba gutangwa nyuma ya buri butumwa bw’igenzura bidashingiye ku buremere bw’ibibazo byagaragaye. Abagenzuzi b’imbere bajya impaka ku byagezweho mu igenzura no ku myanzuro yayo n’uwagenzuwe mbere y’uko raporo y’igenzuramari itangwa. Impaka zigomba kugibwa hamwe n’abantu bazi imirimo mu buryo burambuye n’abashobora gutanga uruhushya rwo gushyira mu bikorwa ingamba zikosora. 10.3.2. Ubusobanuro butanzwe n’ubuyobozi bugomba kwinjizwa muri raporo y’igenzura ya nyuma. the Board Audit Committee to highlight significant weaknesses and management’s proposed remedial measures to the board. The management’s responsiveness to internal auditors’ recommendations for reducing risks, strengthening internal controls and correcting errors shall be the desired result of the audit reports. 10.2 It is of primary importance that in the course of audit, shall the internal auditors uncover major issues or frauds that would significantly affect the bank’s position or operations, they shall immediately inform management to ensure that prompt corrective actions are taken. 10.3 AUDIT REPORT 10.3.1 A signed report shall be issued after the completion of each audit assignment irrespective of the significance of the issues raised. The internal auditors shall discuss the audits results and the recommendations thereof with the auditee before the final audit report is issued. The discussion shall be carried out with those individuals who are knowledgeable of detailed operations and those who can authorize the implementation of corrective actions. 10.3.2 Management comments shall be incorporated in the final audit report. The head constituent une opportunité pour le Comité d’audit de mettre en évidence d’importantes faiblesses et des mesures correctives de la direction proposée au Conseil d’administration. La réaction de la direction aux recommandations des auditeurs internes pour réduire les risques, pour renforcer les contrôles internes et pour corriger les erreurs devrait être le résultat escompté des rapports d’audit. 10.2. Il est d’importance capitale qu’en cours d’audit, si les auditeurs internes ne couvrent pas les grands problèmes ou les fraudes qui pourraient affecter significativement la position de la banque ou ses opérations, ils en informent immédiatement la direction afin que des mesures correctives soient prises rapidement. 10.3. RAPPORT D’AUDIT 10.3.1. Un rapport signé devrait être délivré après la réalisation de chaque mission d’audit, indépendamment de l’importance des questions soulevés. Les auditeurs internes devraient discuter des résultats des audits et de leurs recommandations avec l’entité auditée avant que le rapport d’audit ne soit publié. La discussion devrait être menée avec les personnes qui connaissent bien les opérations détaillées et celles qui peuvent autoriser la mise en œuvre des mesures correctives. 10.3.2. Les commentaires de la direction doivent être intégrés dans le rapport d’audit final. Le

Official Gazette no Special of 26/07/2019 55 Umukuru w’igenzura ry’imbere agomba gusuzuma no kwemeza raporo y’igenzura ya nyuma mbere y’uko ihabwa Komite y’Inama y’Ubutegetsi ishinzwe Igenzura. 10.3.3. Kopi ya raporo y’igenzura ya nyuma igomba kohererezwa Komite y’Inama y’Ubutegetsi ishinzwe Igenzura, uwagenzuwe, Umuyobozi Mukuru. Banki igomba koherereza Banki Nkuru y’u Rwanda iyo raporo buri gihembwe. 10.3.4. Iyo ikorwa rya raporo y’igenzura rishobora gufata igihe kirekire, raporo y’igenzura y’agateganyo ishobora gutangwa mu rwego rwo kwerekana ibibazo bigaragara bisaba kwitabwaho vuba n’ubyobozi. Komite y’Igenzura n’Umuyobozi Mukuru bagomba guhora bamenyeshwa ibibazo kimwe n’aho igenzura rigeze. Ubushishozi bwo kugena niba hatangwa raporo y’agateganyo biri mu bubasha bw’umukuru w’igenzura ry’imbere. 10.3.5. Umukuru w’igenzura ry’imbere agomba kureba ko raporo y’igenzura ikoze neza bihagije mu buryo bigaragarira ubuyobozi. Mu rwego rwo kwerekana ibyo igenzura ryagezeho koko, ibigenderwaho bikurikira bigomba kwemezwa:

a) Raporo y’igenzura igomba kuba nta marangamutima arimo, isobanutse, ngufi, yubaka kandi itanzwe ku gihe; b) Imiterere ya raporo y’igenzura igomba of internal audit shall review and approve the final audit report before it is presented to the Board Audit committee. 10.3.3. A copy of the final audit report shall be forwarded to the Board Audit Committee and the CEO. The bank shall forward the summary of the audit reports to National Bank of Rwanda on a quarterly basis. 10.3.4. Where the completion of an audit report is likely to take a longer period, an interim audit report may be issued to communicate any significant issues which require management’s immediate attention. The Audit Committee and the CEO shall be kept informed of the issues as well as the progress of the audit. Discretion as to whether an interim audit is warranted rests with the head of internal audit. 10.3.5. The head of internal audit shall ensure that an audit report is of sufficient quality so as to command management’s attention. In order to communicate the audit results effectively, the following standards shall be adopted: a) The audit report shall be objective, clear, concise, constructive and timely; b) The structure of the audit report shall chef du département d’audit interne devrait examiner et approuver le rapport d’audit final avant qu’il ne soit présenté au comité d’audit du conseil. 10.3.3. Une copie du rapport d’audit final doit être transmise au comité d’audit, à l’entité auditée, DG. La banque doit transmettre le résumé du rapport d’audit à la Banque Nationale du Rwanda tous les trimestres. 10.3.4. Lorsque la réalisation du rapport d’audit est susceptible de s’étaler sur une période plus longue, un rapport d’audit provisoire peut être délivré pour signaler tous les problèmes importants qui requièrent l’attention immédiate de la direction. Le comité d’audit et le DG doivent être tenus informés des problèmes rencontrés ainsi que des progrès sur l’audit. La discrétion quant à l’audit provisoire est justifié relève du chef du département d’audit interne. 10.3.5. Le chef du département d’audit interne doit s’assurer que le rapport d’audit est d’une qualité suffisante pour pouvoir retenir l’attention de la direction. Pour communiquer efficacement les résultats de l’audit, les normes suivantes doivent être adoptées: a) Le rapport d’audit doit être objectif, clair, concis, constructif et transmis en temps opportun b) La structure du rapport d’audit doit

Official Gazette no Special of 26/07/2019 56 kubamo nibura ibikurikira:  Incamake y’ibyakozwe;  Itariki ya raporo n’igihe igenzura ryakozweho;  Aho igenzura rigarukira n’ibigamijwe n’igenzura;  Imikomerere n’uburemere bw’ibibazo;  Icyateye ibibazo;  Ibisubizo cyangwa ingamba zikosora zafatwa;  Ubusobanuro bw’uwagenzuwe ku bibazo n’imyanzuro ndetse n’ingamba zikosora zafashwe cyangwa zisabwa gufatwa mu gukemura ibibazo byagaragajwe n’igenzura;  Ibyagezweho n’ubuyobozi byabonetse mu igenzura;  Umwanzuro rusange. include at least the following:  An Executive summary;  Date of report and period covered by the audit;  The scope and objectives of the audit;  The significance and magnitude of the problems or issues  The cause of problems or issues;  Recommended solutions or preventive actions;  Auditee’s comments on the issues, recommendations and remedial measures taken or proposed to be taken to address the audit issues;  Management’s achievements noted during the audit ;  Overall conclusion comprendre au moins les éléments suivants:  Un résumé sommaire  Date du rapport et période couverte par l’audit;  La portée et les objectifs de l’audit;  L’importance et l’ampleur des problèmes ou des questions ;  La cause des problèmes ou des problèmes ;  Les solutions recommandées ou des mesures préventives ;  Les observations de l’entité auditée sur les problèmes, les recommandations et les mesures correctives prises ou envisagées pour résoudre les problèmes liés à l’audit;  Les réalisations de la direction enregistrées au cours de l’audit;  Conclusion générale 10.4. INGAMBA N’IKURIKIRA RY’IMYANZURO Y’IGENZURA 10.4.1 Ubuyobozi bugomba bugomba kwiga nta kujenjeka ibyo igenzura ryagaragaje byose. 10.4 ACTION AND FOLLOW UP ON AUDIT RECOMMENDATIONS 10.4.1 Management shall treat all audit findings and recommendations seriously. Management’s 10.4. MESURES ET SUIVI DES RECOMMANDATIONS D’AUDIT 10.4.1. La direction doit prendre au sérieux tous les résultats et recommandations de l’audit. La

Official Gazette no Special of 26/07/2019 57 Igisubizo cy’ubuyobozi ku byagaragajwe n’igenzura kigomba kuba muri raporo. Abagenzuzi b’imbere bagomba gukurikirana niba ingamba zikwiyezarafashwe. 10.4.2. Gahunda y’ubuyobozi yerekeye ingamba zikosora n’igihe cyo gushyira mu bikorwa bigomba gutegurwa ubuyobozi bufatanyije n’uwagenzuwe. Uko ingamba zikosora zimeze bigomba gukurikiranwa no kumenyeshwa Komite y’Igenzura n’Umuyobozi Mukuru kugira ngo ikurikirana ry’ingamba rishobore gukorwa mu rwego rwo kumenyesha inzego bireba z’ubuyobozi ku bibazo by’igenzura ririmo gukorwa. response to the audit findings shall be included in the report. The internal auditors shall monitor whether appropriate actions have been taken. 10.4.2 Management’s plan of corrective actions and implementation timetable for completion shall be developed and jointly agreed upon by management and the auditee. The status of the corrective actions shall be monitored and reported to the audit Committee and the CEO so that follow up action can be taken to inform the appropriate levels of management on outstanding audit issues. réponse de la direction aux résultats d’audit devrait être incluse dans le rapport. Les auditeurs internes doivent vérifier si les mesures appropriées ont été prises. 10.4.2. Le plan d’action des mesures corrective de la direction et le calendrier de mise en œuvre de la réalisation devrait être élaboré de commun accord avec la direction et l’entité auditée. La situation des mesures correctives doit être surveillé et signalé au comité d’audit et au DG pour que le suivi des mesures soit fait pour informer la hiérarchie appropriée de la direction sur les problèmes d’audit en cours. 10.5. RAPORO KU BYABONYWE BIKOMEYE NO KU BURIGANYA 10.5 . REPORTING OF SIGNIFICANT FINDINGS AND FRAUDS 10.5. RAPPORT DES RESULTATS SIGNIFICATIFS ET FRAUDES 10.5.1. Abagenzuzi b’imbere bagomba kumenyesha Komite y’Inama y’Ubutegetsi ishinzwe Igenzura n’Umuyobozi Mukuru ibyo babonye byose bikomeye mu gihe bakora igenzura. Banki Nkuru igomba na yo kubimenyeshwa vuba. Ibyagaragaye bikomeye byerekeye imari ni ibishobora kugira ingaruka mbi ku mikorere ya banki. Ibyabonywe bikomeye biterekeye imari ni ibyerekeye imikorere y’imirimo ya banki nyamukuru yo kugenzura iby’imbere. 10.5.2. Raporo y’agateganyo y’igenzura igomba kwinjizwamo incamake ibanza ku byerekeye ibyabonywe, ingaruka zishoboka ku mwanya 10.5.1 The internal auditors shall immediately report to the Board Audit Committee and CEO any significant audit findings uncovered in the course of audit. Central Bank shall also be promptly informed of such findings. Significant financial findings are those that would have an adverse impact on the financial performance and condition of the bank. Significant non- financial findings represent fundamental bank’s system of internal control. 10.5.2 The interim audit report shall incorporate preliminary summary findings, the impact or potential impact on the financial position and 10.5.1. Les auditeurs internes doivent signaler immédiatement au Comité d’audit et au DG toute constatation d’audit importante découverte au cours de l’audit. La Banque Centrale doit également être informée rapidement de ces constatations. Les constatations financières importantes sont celles qui ont un impact négatif sur la performance financière et la situation de la banque. Les constatations significatives non financières constituent le système bancaire fondamental de de contrôle interne. 10.5.2. Le rapport d’audit provisoire doit intégrer le résumé préliminaire des constatations, l’impact réel ou potentiel sur la position

Official Gazette no Special of 26/07/2019 58 werekeye imari n’imirimo ya banki, n’ingamba zisabwa zafatwa n’abagenzuzi b’imbere mu gukora iperereza ku bibazo. operations of the bank, and the proposed actions to be carried out by the internal auditors to investigate the matters. financière et les opérations de la banque et les actions proposées devant être entreprises par les auditeurs internes pour enquêter sur les problèmes. 10.6. KUGENZURA NO GUSHYINGURA RAPORO Y’IGENZURA KIMWE N’INYANDIKO Z’AKAZI 10.6. CONTROL AND FILLING OF AUDIT REPORTS AND WORKING PAPERS 10.6. CONTROLE ET CLASSEMENT DES RAPPORTS D’AUDIT ET DES DOCUMENTS DE TRAVAIL 10.6.1. Raporo z’igenzura ry’imbere n’inyandiko zikoreshwa bigomba kwigwa mu ibanga. Raporo z’igenzura ry’imbere zishobora gutangazwa gusa ku bantu babyemerewe na Komite y’Inama y’Ubutegetsi ishinzwe Igenzura. Kubera ko inyandiko zikoreshwa mu igenzura ry’imbere ari ibimenyetso by’ibyakozwe mu igenzura, zigomba gushyingurwa no kubikwa mu buryo bukwiye. 10.6.2.Kumenya ko ishyingurwa ryose n’ikurikirana rya za raporo z’igenzura kimwe n’inyandiko zikoreshwa, ibikurikizwa bike ntarengwa bigomba kubahirizwa : a) Imiterere y’inyandiko zikoreshwa igomba guhuzwa n’ibigenderwaho ; b) Hagomba kubaho nomero zashyizweho zikwiye zigaragaza raporo z’igenzura, ibyo zibitsemo n’inyandiko zikoreshwa ; c) Hagomba kubaho uburyo bwo gushyingura no kubona raporo za kera kimwe 10.6.1. The internal audit reports and working papers shall be treated confidentially. The internal audit reports shall only be disclosed to those persons authorized by the Board audit committee. As the internal audit working papers provide evidence of audit coverage and documentation of audit trails, they shall be properly filed and stored. 10.6.2. To ensure systematic filing and control of audit reports and working papers, the following minimum procedures shall be observed: a) The format for the working papers shall be standardized; b) There shall be adequate referencing to identify the audit records, files and working papers created; c) There shall be a system for filling and retrieving past reports and working papers; 10.6.1. Les rapports d’audit interne et les documents de travail devraient être traités de manière confidentielle. Les rapports d’audit interne ne devraient être communiqués uniquement aux personnes autorisées par le Comité d’audit. Comme les documents de travail de l’audit interne constituent une preuve de couverture d’audit et de documentation sur des pistes d’audit, ils devraient être correctement classés et conservés. 10.6.2. Pour assurer un classement systématique et un contrôle des rapports d’audit et des documents de travail, les procédures minimales suivantes doivent être observées: a) Le format pour les documents de travail devrait être normalisé; b) Il devrait y avoir une numérotation adéquate permettant d’identifier les rapports d’audit, les classeurs et les documents de travail créés; c) Il devrait y avoir un système de classement et de récupération des rapports antérieurs et des

Official Gazette no Special of 26/07/2019 59 n’inyandiko zikoreshwa ; 10.7. KUBIKA RAPORO Z’IGENZURA N’INYANDIKO ZIKORESHWA 10.7.1. Nk’ibisabwa ntagibwa munsi, inyandiko zikoreshwa mu kazi k’igenzura gasanzwe zigomba kubikwa kugeza igihe irindi genzura rikozwe kuri uwo murimo ugenzurwa. Raporo n’inyandiko zikoreshwa zerekeye ibibazo by’iperereza zigomba kubikwa nibura imyaka icumi cyangwa icyo gihe kugeza ikibazo kirangiye. 11.IGENZURWA RY’INZEGO CYANGWA RY’IMIRIMO BY’INGENZI 11.1. Abagenzuzi b’imbere bagomba kureba by’umwihariko kandi bagashyira ingufu zihari kuri ya mirimo cyangwa amashami agaragaza ko yatera ingorane zikomeye zagira ingaruka ku mirimo n’imiterere ya banki mu byerekeye imari. 11.2. Ahari imirimo yateza ingorane yagaragajwe ni mu Bikorwa byo gutanga Inguzanyo, Ibikorwa byerekeye Amafaranga, Ibikorwa by’imari bishamikiye ku bindi, Ishoramari mu mpapuro mvunjwafaranga n’Impapuro z’agaciro zikoreshwa ku Isoko ry’Imari n’Imigabane n’Uburyo bw’ikoranabuhanga. Ibi bikorwa bikomeye ntibigarukiye kuri ibyo gusa kandi abagenzuzi b’imbere bagomba kugaragaza no gusuzuma ibindi 10.7.RETENTION OF AUDIT REPORTS AND WORKING PAPERS 10.7.1. As a minimum requirement, the audit working papers on the routine audit shall be retained until the next audit is carried out on the same auditable area. Reports and working papers on investigation matters shall be retained for at least ten years or such period until the matter is closed. 11. AUDIT OF CRITICAL AREAS OR OPERATIONS 11.1. Internal auditors shall focus their attention and direct their available resources to those operations or units which entail significant risks that may have an adverse impact on the operations and financial condition of the bank. 11.2. The critical operational areas identified are Credit Operations, Treasury Operations, Derivatives, Investment in Debt and Equity Securities and Information systems. These critical areas of operations are not meant to be exhaustive and the internal auditors shall also identify and review other operational areas deemed critical to the specific business to be undertaken by the bank. documents de travail; 10.7. CONSERVATION DES RAPPORTS D’AUDIT ET DES DOCUMENTS DE TRAVAIL 10.7.1. Comme exigence minimale, les documents de travail d’audit de routine devraient être conservés jusqu’à ce que le prochain audit soit effectué sur le même domaine à auditer. Les rapports et documents de travail sur les problèmes d’investigation doivent être conservés pendant au moins dix ans, voire autant, jusqu’à la clôture du dossier. 11. AUDIT DES DOMAINES OU DES OPÉRATIONS CRITIQUES 11.1. Les auditeurs internes doivent concentrer leur attention et orienter leurs ressources disponibles sur les opérations ou les unités comportant des risques importants pouvant avoir un impact négatif sur les opérations et la situation financière de la banque. 11.2. Les domaines opérationnels critiques identifiés sont les Opérations de Crédit, les Opérations de Trésorerie, les Produits Dérivés, l’Investissement dans les Bons de Trésor, Titres de Marchés des Capitaux et les Systèmes d’Information. Ces domaines critiques des opérations ne sont pas exhaustifs et les auditeurs internes doivent également identifier et examiner d’autres domaines opérationnels jugés essentiels

Official Gazette no Special of 26/07/2019 60 bikorwa bifatwa ko bikomeye ku mirimo yihariye banki yakwiyemeza. 11.3. Mu gusuzuma ahari imirimo yateza ingorane, ni ngombwa ko igenzura rigera hose. Abagenzuzi b’imbere bagomba kongera aho igenzura rigera iyo ibintu bikomeye bituzuye bitabonetse mu gihe cy’igenzura. 11.4 .Ibintu bya ngombwa byitabwaho mu gihe cy’igenzura mu mirimo inyuranye ikomeye bivugwa mu ngingo zikurikira: 11.4.1. Ibikorwa byerekeye inguzanyo: mu gihe cy’igenzura ry’ibikorwa byerekeye gutanga inguzanyo, abagenzuzi b’imbere bagomba kwita cyane kuri ibi bikurikira: a) Ingamba zerekeye inguzanyo; b) Ingorane zaba muu murimo wo gutanga inguzanyo ubwawo; c) Politiki n’ibikurikizwa; d) Ingwate n’inyandiko zerekeye amategeko; e) Gusesengura yishyurwa ry’inguzanyo, imicungire, ikurikirana n’uburyo nyabwo bwo kwishyuza; f) Ibaruramari na raporo z’imari; 11.3. In reviewing the critical areas of the operations, it is vital that the audit coverage is comprehensive. The internal auditors shall extend their scope if serious unsatisfactory features are uncovered in the course of the audit’ 11.4.Important features to consider when auditing different critical areas highlighted below: 11.4.1.Credit analysis operations: When auditing the credit operations internal auditors shall put more emphasis on the: a) Credit strategy; b) Risks inherent in the credit operations; c) Policies and procedures; d) Security and legal documentation; e) Credit analysis disbursement, administration, monitoring and effective recovery system; f) Accounting and financial reporting; pour les activités spécifiques devant être entreprises par la banque. 11.3. En évaluant les domaines critiques des opérations, il est essentiel que la couverture de l’audit soit complète. Les auditeurs internes devraient élargir leur champ d’application si des caractéristiques graves et insatisfaisantes sont découvertes au cours de l’audit 11.4 .Les éléments importants à considérer lors de l’audit dans différents domaines critiques mis en évidence sont ci-dessous: 11.4.1. Les opérations de crédit: lors de l’audit des opérations de crédit, les auditeurs internes doivent mettre davantage l’accent sur: a) la stratégie du crédit; b) les risques inhérents aux opérations de crédit; c) les politiques et procédures; d) la garantie et la documentation de juridique; e) analyse de remboursement du crédit, la gestion, le suivi et le système de recouvrement efficace; f) la comptabilité et les rapports financiers;

Official Gazette no Special of 26/07/2019 61 g) Guteganya amafaranga azishyurirwa imyenda h) Iyubahirizwa ry’ibisabwa n’amategeko n’amabwiriza. 11.4.2. Ibikorwa byerekeye amafaranga: mu mirimo igenzurwa harimo: a) Ingorane zaterwa n’ibikorwa byerekeye amafaranga ubwabyo; b) Ibikwiye mu kubahiriza politiki n’ibikurikizwa byashyizweho; c) Imicungire y’imitungo n’imyenda; d) Ibaruramari na raporo zerekeye imari; e) Iyubahirizwa ry’ibisabwa n’amategeko n’amabwiriza. 11.4.3. Ibindi bikorwa bikomoka ku bikorwa by’imari: Mu gukora igenzura nyaryo, abagenzuzi b’imbere bagomba kumenya no kugira ubumenyi ku bikomoka ku bikorwa by’imari n’imicururize yabyo, kandi bagomba kugendera ku bitabo na gahunda by’igenzura byuzuye. Abagenzuzi b’imbere bagomba kumenya: a) Ibyateza ingorane mu bikomoka ku bikorwa by’imari ubwabyo; b) Ingamba z’ishoramari; g) Provisioning; h) Compliance with legal and regulatory requirements. 11.4.2. Treasury operations: The control areas to be checked include: a) Risk inherent in treasury operations; b) Adequacy of compliance with established policies and procedures; c) Assets and liabilities management; d) Accounting and financial reporting; e) Compliance with legal and regulatory requirements. 11.4.3. Derivatives: To carry out their audit effectively, internal auditors shall be conversant and knowledgeable about the derivative products and transactions, and must be guided by comprehensive audit manuals and programs. Internal auditors shall be conversant with: a) Risk inherent in derivatives; b) Investment strategy; g) la constitution des provisions; h) le respect des exigences légales et réglementaires. 11.4.2. Opérations de trésorerie: Les domaines de contrôle à auditer comprennent: a) Les risques inhérents aux opérations de trésorerie; b) L’Adéquation de la conformité aux politiques et procédures établies; c) La gestion de l’actif et du passif; d) La comptabilité et les rapports financiers; e) Le respect des exigences légales et réglementaires. 11.4.3. Produits dérivés: Pour effectuer leur audit de manière efficace, les auditeurs internes doivent connaître et avoir connaissance sur les produits dérivés et les transactions et doivent être guidés par des programmes et des manuels d’audit complets. Les auditeurs internes doivent connaître: a) Les risques inhérents aux instruments dérivés; b) La stratégie d’investissement;

Official Gazette no Special of 26/07/2019 62 c) Politiki n’ibikurikizwa; d) Ibaruramari na raporo zerekeye imari; e) Ibisabwa n’amategeko n’amabwiriza. 11.4.4. Ishoramari mu Mpapuro mvunjwafaranga n’Impapuro z’agaciro zikoreshwa ku isoko ry’imari n’imigabane a) Ishoramari rya banki mu mpapuro mvunjwafaranga no mu mpapuro z’agaciro zikoreshwa ku isoko ry’imari n’imigabane ubusanzwe zigira uruhare mu masoko y’ingenzi abiri yerekeye imari ariyo isoko ry’imari n’imigabane, isoko ry’amafaranga n’isoko ry’ivunjisha. Ishoramari ryihariye rigizwe ubusanzwe n’impapuro mvunjwafaranga za Leta, impapuro z’agaciro zo ku masoko y’imari n’imigabane (zahawe agaciro n’iz’izitaragahawe), impapuro z’agaciro zifite aho zihuriye n’izindi n’impapuro mvunjwafaranga z’abikorera. Impapuro z’agaciro zerekeye isoko ry’imari n’imigabane n’impapuro mvunjwafaranga z’abikorera zishobora kugurwa ku isoko rya mbere cyangwa biturutse ku kwiyemeza kuzazigura. Mu bigo by’amabanki, impapuro z’agaciro zerekeye isoko ry’imari n’imigabane nazo zigurwa hakoreshejwe kugurisha impapuro mvunjwafaranga no kugurana impapuro mvunjwafaranga n’impapuro z’agaciro. c) Policies and procedures; d) Accounting and financial reporting; e) Legal and regulatory requirements 11.4.4. Investment in Debt and Equity Securities a) A bank’s investment in debt and equity securities normally involves participation in two main financial markets namely, the capital market and the money and foreign exchange market. A typical investment portfolio usually consists of public debt securities, equity securities (quoted and unquoted), equity- link securities, and private debt securities. Equity securities and private debt securities may also be acquired in the primary market or as result of underwriting commitment. In banking institutions, equity securities are also acquired in satisfaction of debt and through debt-equity conversion. c) Les politiques et les procédures; d) La comptabilité et les rapports financiers; e) Les exigences légales et réglementaires 11.4.4. Investissement dans les Bons du Trésor et dans les Titres de Marchés de Capitaux a) L’investissement d’une banque dans les Bons de Trésor et dans les Titres de Marchés de Capitaux implique normalement la participation dans deux principaux marchés financiers, à savoir le marché des capitaux et le marché monétaire et le marché des changes. Un portefeuille typique d’investissement comprend généralement des Titres d’emprunts, des Titres de marchés des capitaux (cotés et non cotés), des Titres des capitaux apparentés et des Titres d’emprunts privés. Les titres de marchés des capitaux et les titres d’emprunt privés peuvent également être acquis sur le marché primaire ou à la suite d’un engagement de souscription. Dans les établissements bancaires, les titres de marchés des capitaux sont également acquis pour la réalisation de Bons et par la conversion des Bons du Trésor.

Official Gazette no Special of 26/07/2019 63 b)Ishoramari n’icuruzwa ry’impapuro z’agaciro zikoreshwa ku isoko ry’imari n’imigabane bishobora gusimbura igice kinini cy’umutungo wa banki kandi impapuro z’agaciro zikoreshwa ku isoko ry’imari n’imigabane zifite agaciro gato zishobora kugira ingaruka mbi ku miterere ya banki mu byerekeye imari. b)Investment and trading securities may account for a sizeable proportion of the bank’s assets and hence, securities of inferior quality may have an adverse impact on the bank’s financial conditions. b) Les investissements et le commerce de marchés de capitaux peuvent représenter une proportion non négligeable des avoirs de la banque et, par conséquent, les titres de marchés des capitaux de qualité inférieure peuvent avoir un impact négatif sur la situation financière de la banque 11.4.5. Uburyo bw’amakuru a) Banki igomba kugira uburyo bw’igenzura ry’umurimo w’ikoranabuhanga kugira ngo isuzume igenzura ry’imbere ry’uburyo ikoranabuhanga rikoramo. b) Uburyo bw’ikoranabuhanga bw’abagenzuzi bwagombye gusuzuma imikorerwe y’uburyo bw’ikoranabuhanga mu gufasha ibikorwa by’ubucuruzi bwa banki n’igenzura rikwiye ku buryo bw’imicungire y’ikoranabuhanga, uburyo bw’iterambere na za gahunda, ibikorwa by’ikoranabuhanga, umutekano, kwiga amadosiye hakoreshejwe iyakure n’uburyo bwo kubika amakuru. Mu gusuzuma uburyo bw’ikoranabuhanga, abagenzuzi bagombye kwita ku bibazo bikurikira:  Ibikurikizwa mu bikorwa by’ikoranabuhanga n’igenzura rigaragara;  Umutekano wa mudasobwa, urugero: itangwa n’ibikwa ry’ijambo ry’ibanga, ikurikirana ry’uburyo bwo kwinjiramo nta ruhushya; 11.4.5.Information system a) The bank shall have an effective information system audit function to evaluate internal controls of computerized system. b) The information system auditors shall review the effectiveness of information system in supporting the business activities of the bank and the adequacy of controls over the information system management, systems development and programming, computer operations and security, teleprocessing and data integrity. In reviewing information systems, auditors shall pay particular attention to issues such as:  Computer operations procedures and physical controls;  Computer security, eg. Password issuance and maintenance, follow up on access violation; 11.4.6. Système d’information a) La banque doit disposer d’une fonction de système d’information d’audit efficace pour évaluer les contrôles internes du système informatisé. b) Le système d’information des auditeurs devrait examiner l’efficacité du système d’information pour soutenir les activités commerciales de la banque et l’adéquation des contrôles sur le système de gestion de l’information, le développement des systèmes et des programmes, les opérations informatiques et la sécurité, le télétraitement et l’intégrité des données. Lors de l’évaluation des systèmes d’information, les auditeurs devraient accorder une attention particulière aux problèmes suivants:  Les procédures des opérations informatiques et contrôles physiques;  La sécurité informatique, par exemple, l’octroi du mot de passe, et la maintenance, le suivi de la violation d’accès;

Official Gazette no Special of 26/07/2019 64  Uburyo bwizewe kandi buhari;  Gahunda yo kugarura amakuru yabuze nyuma y’impanuka;  Gushyiraho urundi rubuga rw’ ikoranabuhanga.  System reliability and availability;  Disaster recovery plan;  Alternative processing site.  La fiabilité et la disponibilité du système;  Le Plan de recouvrement de données après sinistre;  Le site de traitement alternatif.

Official Gazette no Special of 26/07/2019 65

1. INTANGIRIRO 1. INTRODUCTION 1. INTRODUCTION 1.1. Kugira ngo hakemurwe ibibazo by’igenzura ry’imbere ry’amabanki hatangwa inama zishishikariza imikorere ihamye y’imicungire y’ibyateza ingorane, Banki Nkuru ishyizeho amahame akurikira mu rwego rwo gusuzuma uburyo bw’igenzura ry’imbere mu mabanki yose no mu bindi bigo by’imari. Aya mahame ategurirwa gukoreshwa mu buryo bw’igenzura ry’imbere nyaryo ritanga icyizere cy’imikorere myiza y’ibigo by’amabanki. 1.2. Uburyo bw’amagenzura y’imbere akaze bufasha kureba ko intego n’ibigamijwe n’ikigo cy’imari bizagerwaho, ko banki izagera ku byo igamije mu rwunguko rw’igihe kirekire kandi izakomeza gutanga raporo z’imari n’imicungire zizewe. Ubu buryo bushobora kandi gufasha kugenzura ko banki yubahiriza amategeko n’amabwiriza ndetse na politiki, gahunda, amabwiriza n’ibikurikizwa imbere no kugabanya ibyateza igihombo gitunguranye cyangwa ibyakwangiza isura nziza banki isanganywe. 1.1. For addressing banks internal control issues through guidance that encourages sound risk management practices, the Central Bank is issuing these principles for the evaluation of internal Control systems in all banks and other financial institutions. The principles are set for the effective system of internal control that ensures safe and sound operation of banking organizations. 1.2. A system of strong internal controls help to ensure that the goals and objectives of a banking organization will be met, that the bank will achieve long-term profitability targets, and maintain reliable financial and managerial reporting. Such a system can also help to ensure that the bank comply with laws and regulations as well as policies, plans, internal rules and procedures, and decrease the risk of unexpected losses or damage to the bank’s reputation 1.1. Afin de résoudre les questions de contrôle interne des banques à travers des conseils qui encouragent des pratiques solides de gestion des risques, la Banque Centrale édicte les Principes suivants pour l’évaluation des systèmes de contrôle interne dans toutes les banques et autres institutions financières. Les principes sont élaborés pour le système de contrôle interne efficace et sûr qui garantit le bon fonctionnement des institutions bancaires. 1.2. Un système de contrôles internes rigoureux permet de s’assurer que les buts et les objectifs d’une institution bancaire seront atteints, que la banque atteindra ses objectifs de rentabilité à long terme et maintiendra des rapports financiers et de gestion fiables. Un tel système peut également aider à s’assurer que la banque se conforme aux lois et règlements ainsi qu’aux politiques, plans, règles et procédures internes et à réduire le risque de perte inattendue ou d’atteinte à la réputation de la banque. UMUGEREKA WA 2: AMAHAME Y’IGENZURA RY’IMBERE APPENDIX 2: INTERNAL CONTROL PRINCIPLES ANNEX 2: PRINCIPES DE CONTROLE INTERNE

Official Gazette no Special of 26/07/2019 66 2. IGENZURA RIKORWA N’UBUYOBOZI N’UMUCO W’UBUGENZUZI 2. MANAGEMENT OVERSIGHT AND THE CONTROL CULTURE 2. SURVEILLANCE PAR LA DIRECTION ET CULTURE DE CONTRÔLE 2.1. Inama y’Ubutegetsi ifite inshingano zo kwemeza no gusubiramo buri gihe ingamba zose z’ubucuruzi na politiki bifitiye banki akamaro: gusobanukirwa iby’ingenzi byateza ingorane banki yahuye na byo, gushyiraho ibipimo byemewe kuri ibyo byateza ingorane no kugenzura ko ubuyobozi bufata ingamba za ngombwa zo kumenya, gupima, gukurikirana no kugenzura ibyo byateza ingaruka; kwemeza imiterere y’ikigo ; no kureba koubuyobozi bukurikirana imikorere myiza y’uburyo bw’igenzura ry’imbere. 2.2. Bitabangamiye ibiteganyijwe mu mabwiriza rusange yerekeye imiyoborere y’amabanki, Inama y’Ubutegetsi ifite inshingano ya nyuma yo kureba ko uburyo bw’igenzura ry’imbere buhagije kandi bukora neza bushyirwaho kandi bugashimangirwa. Abagize Inama y’Ubutegetsi bagomba kutagira amarangamutima, bakaba bashoboye kandi bakagira amatsiko ndetse bakagira n’ubumenyi n’ubuzobere mu bikorwa n’ibyateje ingorane banki yahuye na byo. 2.1. The board of directors have responsibility for approving and periodically reviewing the overall business strategies and significant policies of the bank; understanding the major risks run by the bank, setting acceptable levels for these risks and ensuring that senior management takes the steps necessary to identify, measure, monitor and control these risks; approving the organizational structure; and ensuring that senior management is monitoring the effectiveness of the internal control system. 2.2. Without prejudice to the provisions of the regulation on Corporate Governance for Banks, The board of directors has the ultimate responsibility for ensuring that an adequate and effective system of internal controls is established and maintained. Board members shall be objective, capable, and inquisitive, with a knowledge or expertise of the activities of and risks run by the bank 2.1. Le conseil d’administration est chargé d’approuver et de réviser périodiquement les stratégies commerciales globales et les politiques importantes de la banque : comprendre les principaux risques encourus par la banque, fixer des niveaux acceptables pour ces risques et veiller à ce que la haute direction prenne les mesures nécessaires pour identifier, mesurer, surveiller et contrôler ces risques; approuver la structure organisationnelle; et veiller à ce que la haute direction surveille l’efficacité du système de contrôle interne. 2.2. Sans préjudice des dispositions du règlement relative à la gouvernance des banques, le conseil d’administration a la responsabilité ultime de veiller à ce qu’un système de contrôle interne adéquat et efficace soit établi et maintenu. Les membres du conseil doivent être objectifs, capables et curieux, et avoir une connaissance ou une expertise des activités et des risques encourus par la banque. 2.3. Inama y’Ubutegetsi ishyira mu bikorwa byayo a) Kungurana ibitekerezo buri gihe n’ubuyobozi ku byerekeye imikorere y’uburyo bw’igenzura ry’imbere ; 2.3. The board of directors include in its activities a) Periodic discussions with management concerning the effectiveness of the internal control system, 2.3. Le conseil d’administration inclut dans ses activités a) Des entretiens périodiques avec la direction concernant l’efficacité du système de contrôle interne,

Official Gazette no Special of 26/07/2019 67 b) Isubiramo rikorewe igihe ry’amasuzuma y’amagenzura y’imbere yakozwe n’ubuyobozi, abagenzuzi b’imbere n’abagenzuzi bo hanze ; c) Kugaragaza buri gihe imbaraga mu kureba ko ubuyobozi bwahise bukurikirana imyanzuro n’impungenge byagaragajwe n’abagenzuzi n’inzego z’ikurikirana mu byerekeye igenzura ry’imbere ; d) Isuzuma ngarukagihe ryo kureba ko ingamba zihagije n’ibipimo ntarengwa by’ibyateza ingorane muri banki. 2.4. Ubuyobozi bukuru bufata ibyemezo byo kureba ko ibikorwa byakozwe n’abakozi babifitiye ubushobozi kandi babifitemo uburambe ndetse n’ubushobozi bwa tekiniki bukenewe. Abakozi bashyizwe mu mirimo y’igenzura bagomba guhembwa neza. Amahugurwa n’ubumenyi ngiro by’abakozi bigomba buri gihe guhuzwa n’igihe. Ubuyobozi bukuru bugomba gushyiraho politiki zerekeye ubwishyu no guteza imbere abakozi ku buryo abagaraza imyitwarire ikwiriye babihemberwa ahubwo hakagabanywa agahimbazamusyi ku bakozi kugira ngo birengagize cyangwa ntibite ku buryo bw’igenzura ry’imbere. b) A timely review of evaluations of internal controls made by management, internal auditors, and external auditors, c) Periodic efforts to ensure that management has promptly followed up on recommendations and concerns expressed by auditors and supervisory authorities on internal control Internal control systems weaknesses, and d) A periodic review of the appropriateness of the bank’s strategy and risk limits 2.4. Senior management takes steps to ensure that activities are conducted by qualified staff with the necessary experience and technical capabilities. Staff in control functions must be properly remunerated. Staff training and skills shall be regularly updated. Senior management shall institute compensation and promotion policies that reward appropriate behaviours and minimise incentives for staff to ignore or override internal control mechanisms. b) Un examen opportun des évaluations des contrôles internes effectuées par la direction, les auditeurs internes et les auditeurs externes, c) Des efforts périodiques pour s’assurer que la direction a donné suite aux recommandations et préoccupations exprimées par les auditeurs et les autorités de surveillance en matière de contrôle interne, ainsi que par les faiblesses des systèmes de contrôle interne, e d) Un examen périodique de l’adéquation de la stratégie et des limites de risque de la banque 2.4. La direction prend des mesures pour que les activités soient menées par le personnel qualifié justifiant d’une expérience et des capacités techniques nécessaires. Le personnel affecté aux fonctions de contrôle doit être correctement rémunéré. La formation et les compétences du personnel doivent être régulièrement mises à jour. La direction devrait mettre en place des politiques de rémunération et de promotion qui récompensent les comportements appropriés et minimisent les primes d’encouragement pour que le personnel ignore ou ne tient pas compte des mécanismes de contrôle interne.

Official Gazette no Special of 26/07/2019 68 2.5. Inama y’Ubutegetsi n’ubuyobozi bukuru bafite inshingano zo gushyira imbere amabwiriza ngengamyitwarire n’ubunyangamugayo byo ku rwego rwo hejuru no gushyiraho umuco muri banki wo kwita ku kamaro k’igenzura ry’imbere kandi bakabigaragaza ku nzego zose z’abakozi. Abakozi bose ba banki bagomba gusobanukirwa uruhare rwabo mu buryo igenzura ry’imbere rikorwa kandi bakagira uruhare rugaragara mu buryo rikorwa. 2.6. Kimwe mu by’ingenzi bigize uburyo nyabwo bw’igenzura ry’imbere ni umuco uhamye uranga iryo genzura. Inama y’Ubutegetsi n’ubuyobozi bukuru bafite inshingano zo gushimangira akamaro k’igenzura ry’imbere mu byemezo bafata no mu mvugo zabo.muri ibi harimo indangagaciro z’imyitwrire ku kazi ubuyobozi bugaragaza mu mikoranire yerekeye ubucuruzi, haba imbere cyangwa hanze ya banki. 2.5. The board of directors and senior management are responsible for promoting high ethical and integrity standards and for establishing a culture within the bank that emphasizes and demonstrates to all levels of personnel the importance of internal controls. All personnel in the bank need to understand their role in the internal controls process and be fully engaged in the process. 2.6. An essential element of an effective system of internal control is a strong control culture. It is the responsibility of the board of directors and senior management to emphasise the importance of internal control through their actions and words. This includes the ethical values that management displays in their business dealings, both inside and outside the bank. 2.5. Le conseil d’administration et la direction sont chargés de promouvoir des normes d’éthique et d’intégrité élevées et de mettre en place une culture au sein de la banque qui insiste sur l’importance du contrôle interne et la démontre à tous les niveaux du personnel. Tous les membres du personnel de la banque doivent comprendre leur rôle dans le processus de contrôle interne et participer pleinement à ce processus. 2.6. Un élément essentiel d’un système de contrôle interne efficace constitue une culture de contrôle forte. Il est de la responsabilité du conseil d’administration et de la direction de souligner l’importance du contrôle interne par ses actions et ses propos. Cela inclut les valeurs éthiques que la direction affiche dans ses relations commerciales, à la fois à l’intérieur et à l’extérieur de la banque. 3. KUMENYA NO GUSESENGURA IBYATEZA INGORANE 3.RISK RECOGNITION AND ASSESSMENT 3. RECONNAISSANCE ET ÉVALUATION DES RISQUES 3.1. Uburyo bw’igenzura nyaryo ry’imbere busaba ko ibyateza ingorane zikabije bishobora kugira ingaruka ku isohozwa ry’intego za banki birimo kumenyekana kandi bikomeza gusesengurwa. Iri sesengura rigomba kureba ibyateza ingaruka byose banki ihanganye na byo n’imitunganyirize ihurijwe hamwe y’imirimo ya banki (ni ukuvuga, ingorane mu bijyanye n’inguzanyo, ingorane zerekeye gihugu, ingorane zerekeye ihererekanya, ingorane z’isoko, ibyateza ingorane ijanisha ry’inyungu, ibyateza ingorane 3.1.An effective internal control system requires that the material risks that could adversely affect the achievement of the bank’s goals are being recognised and continually assessed. This assessment shall cover all risks facing the bank and the consolidated banking organisation (that is, credit risk, country and transfer risk, market risk, interest rate risk, liquidity risk, operational risk, legal risk and reputational risk). 3.1.Un système de contrôle interne efficace exige que les risques importants qui pourraient avoir un impact négatif sur la réalisation des objectifs de la banque soient reconnus et évalués en permanence. Cette évaluation doit porter sur tous les risques auxquels la banque et l’organisation bancaire consolidée sont confrontés (à savoir, risque de crédit, risque de pays et de transfert, risque de marché, risque de taux d’intérêt, risque de liquidité, risque

Official Gazette no Special of 26/07/2019 69 amafaranga ahari, ingorane zerekeye imikorere, ingorane z’amategeko n’ingorane zerekeye isura). 3.4. Amabanki akora imirimo yayo yiteze ibyateza ingorane. Ni yo mpamvu, bikwiriye ko, mu rwego rw’uburyo bw’igenzura ry’imbere, ibi byateza ingorane bimenyekana kandi bigakomeza gusesengurwa. Bitabangamiye amabwiriza rusange yerekeye imicungire y’ibyateza ingorane amabanki, amabanki agomba kumenya no gusuzuma impamvu z’imbere no hanze zishobora kubangamira ishyirwa mu bikorwa ry’imikorere y’imitunganyirize y’imirimo y’amabanki, amakuru n’ibyo banki igomba kubahiriza. 3.5. Kugira ngo uburyo bw’igenzura ry’imbere bukomeze gukora neza koko, ubuyobozi bukuru bukenera guhora busuzuma ingorane zabangamira ishyirwa mu bikorwa ry’intego bugamije no guhangana n’impinduka n’ibisabwa bikomeza guhinduka. Amagenzura y’imbere ashobora gukenera kuvugururwa kugira ngo abonere umuti ukwiye ingorane nshya cyangwa izitaragenzuwe mbere. Urugero: uko ikigo cy’imari kizana udushya, banki ikenera gusuzuma ibikoresho bishya by’imari n’imirimo yo ku isoko no kwita ku ngorane zijyana n’ibyo bikorwa. 3.2. Banks are in the business of risk-taking. Consequently, it is imperative that, as part of an internal control system, these risks are being recognised and continually assessed, without prejudice to regulation on risk management for banks, Banks shall identify and evaluate the internal and external factors that could adversely affect the achievement of the banking organization’s performance, information and compliance objectives. 3.3. The system of internal control, to remain effective, senior management needs to continually evaluate the risks affecting the achievement of its goals and react to changing circumstances and conditions. Internal controls may need to be revised to appropriately address any new or previously uncontrolled risks. For example, as financial innovation occurs, a bank needs to evaluate new financial instruments and market transactions and consider the risks associated with these activities. opérationnel, risque juridique et risque de réputation). 3.2. Les banques prennent des risques. Par conséquent, il est impératif que, dans le cadre d’un système de contrôle interne, ces risques soient reconnus et évalués en permanence. Sans préjudice du règlement relatif à la gestion des risques pour les banques, les banques devraient identifier et évaluer les facteurs internes et externes susceptibles d’avoir un impact négatif sur la réalisation des objectifs de performance, d’information et de conformité de la banque. 3.3. Pour rester efficace, le système de contrôle interne exige que la direction évalue en permanence les risques qui compromettent la réalisation de ses objectifs et réagisse aux changements de circonstances et de conditions. Les contrôles internes devront peut-être être révisés pour traiter de manière appropriée les risques nouveaux ou précédemment non maîtrisés. Par exemple, à mesure que l’innovation financière a lieu, une banque doit évaluer les nouveaux instruments financiers et les transactions sur le marché et prendre en compte les risques associés à ces activités.

Official Gazette no Special of 26/07/2019 70 4. IBIKORWA NO KUVANGURA INSHINGANO 4. ACTIVITIES AND SEGREGATION OF DUTIES 4. ACTIVITES ET SEPARATION DES FONCTIONS 4.1.Ibikorwa by’igenzura bigomba kuba bimwe mu by’ingenzi bigize ibikorwa bya buri munsi bya banki. Uburyo nyabwo bw’igenzura ry’imbere busaba ko hashyirwaho imiterere ikwiriye y’igenzura, ku buryo ibikorwa by’igenzura bisobanurwa ku rwego rwa buri gikorwa cy’ubucuruzi. Muri byo hagomba kubamo : a) Amasuzuma yo ku rwego rwo hejuru ; b) Amagenzura akwiriye y’ibikorwa bigenewe amashami n’udushami bitandukanye; c) Amagenzura afatika; d) Kugenzura iyubahirizwa ry’ibipimo ntarengwa by’imyenda no gukurikirana ibitubahirizwa; e) Uburyo bwo kwemererwa n’impushya; f) Uburyo bwo kugenzura no guhuza ibikorwa. 4.2. Ibikorwa by’igenzura bigenwa kandi bigashyirwa mu bikorwa mu rwego rwo kubonera umuti ibyateza ingorane amabanki byagaragajwe hifashishijwe igikorwa cy’isesengura ry’ingorane. 4.1.Control activities shall be an integral part of the daily activities of a bank. An effective internal control system requires that an appropriate control structure is set up, with control activities defined at every business level. These shall include: a) Top level reviews; b) Appropriate activity controls for different departments or divisions; c) Physical controls; d) Checking for compliance with exposure limits and follow-up on non-compliance; e) A system of approvals and authorisations; and f) A system of verification and reconciliation. 4.2.Control activities are designed and implemented to address the risks that the bank identified through the risk assessment process. 4.1. Les activités de contrôle doivent faire partie intégrante des activités quotidiennes d’une banque. Un système de contrôle interne efficace nécessite la mise en place d’une structure de contrôle appropriée, avec des activités de contrôle définies à chaque niveau d’activité. Ceux-ci devraient inclure: a) Des évaluations au plus haut niveau; b) Des contrôles d’activité appropriés pour différents départements ou divisions; c) Contrôles physiques; d) Vérifier le respect des limites d’engagements et assurer le suivi en cas de non-respect; e) Un système d’approbations et d’autorisations; et f) Un système de vérification et de rapprochement. 4.2.Les activités de contrôle sont conçues et mises en œuvre pour traiter les risques identifiés par la banque au cours du processus d’évaluation des risques.

Official Gazette no Special of 26/07/2019 71 Ibikorwa by’igenzura bigizwe n’ibyiciro bibiri: a) Ishyirwaho rya politiki n’ibikurikizwa mu igenzura; b) Kugenzura ko politiki z’igenzura n’ibikurikizwa byubahirizwa. Ibikorwa by’igenzura bibamo inzego nyinshi z’abakozi bo muri banki, harimo ubuyobozi bukuru ndetse n’abakozi bari ku murongo w’imbere muri banki. Control activities involve two steps: a) The establishment of control policies and procedures; and b) Verification that the control policies and procedures are being complied with. Control activities involve all levels of personnel in the bank, including senior management as well as front line personnel. Les activités de contrôle comportent deux étapes: a) L’établissement de politiques et de procédures de contrôle; et b) La vérification du respect des politiques et procédures de contrôle. Les activités de contrôle concernent tous les niveaux du personnel de la banque, y compris la direction et le personnel de première ligne. Ibikorwa by’igenzura bikubiyemo :

1. Amasuzuma yo ku rwego rwo hejuru cyane : Inama y’Ubutegetsi n’ubuyobozi bukuru akenshi basaba igaragazwa n’amaraporo y’imikorere ibafasha gusuzuma intambwe banki itera igera ku ntego zayo. Urugero: ubuyobozi bukuru bushobora gusuzuma za raporo zerekana ibyo imari yagezeho koko kugeza ubu ugereranyije n’ingengo y’imari yakoreshejwe. Ibibazo ubuyobozi bukuru bugaragaza ko byavuye muri iri suzuma n’ibisubizo bitangwa n’inzeho zo hasi cyane z’ubuyobozi byerekana igikorwa cy’igenzura gishobora gutahura ibibazo bihari nk’intege nke zabaye mu igenzura, amakosa yabaye muri raporo zerekeye imari cyangwa ibikorwa by’uburiganya.
2. Amagenzura y’ibikorwa : Ubuyobozi ku rwego rw’ishami n’agashami bwakira kandi bugasuzuma raporo z’imikorere n’amabwiriza ngenderwaho nk’irengayobora buri munsi, buri cyumweru cyangwa buri kwezi. Amasuzuma yerekeye umurimo akunze Control activities include:
3. Top-level reviews: Boards of directors and senior management often request presentations and performance reports that enable them to review the bank’s progress toward its goals. For example, senior management may review reports showing actual financial results to date versus the budget. Questions that senior management generates as a result of this review and the ensuing responses of lower levels of management represent a control activity which may detect problems such as control weaknesses, errors in financial reporting or fraudulent activities.
4. Activity controls: Department or division level management receives and reviews standard performance and exception reports on a daily, weekly or monthly basis. Functional reviews occur more frequently than top-level reviews Les activités de contrôle comprennent :
5. Evaluations au plus haut niveau : les conseils d’administration et la direction demandent souvent des présentations et des rapports de performance leur permettant d’évaluer les progrès de la banque par rapport à ses objectifs. Par exemple, la direction peut examiner les rapports indiquant les résultats financiers réels à ce jour par rapport au budget. Les questions que se pose la direction à la suite de cette évaluation et les réponses des échelons inférieurs de direction qui en résultent représentent une activité de contrôle susceptible de détecter des problèmes tels que des faiblesses de contrôle, des erreurs dans les rapports financiers ou des activités frauduleuses.
6. Contrôles d’activité : la direction au niveau du département ou de la division reçoit et examine les rapports de performance et d’exception standard tous les jours, toutes les semaines ou tous les mois. Les évaluations

Official Gazette no Special of 26/07/2019 72 kubaho kenshi kurusha amasuzuma yo ku rwego rwo hejuru kandi ubusanzwe aba akubiyemo ibisobanuro birambuye cyane. Urugero: umucungamutungo w’inguzanyo z’ubucuruzi ashobora gusuzuma buri cyumweru raporo zerekeye ibirarane, ubwishyu bwakiriwe n’inyungu zabonetse ku mafaranga ahari, naho umukozi ushinzwe inguzanyo y’ibanze ashobora gusuzuma raporo nk’izo buri kwezi kandi mu buryo bw’incamake cyane bukubiyemo inzego zose zatanzwemo inguzanyo. Nk’uko biteye ku isuzuma ryo ku rwego rwo hejuru, ibibazo bivuka nyuma y’isuzuma ry’amaraporo ndetse n’ibisubizo kuri ibyo bibazo byerekana igikorwa cy’igenzura cyabaye. 3. Amagenzura afatika : Amagenzura afatika muri rusange yibanda ku kubuza abantu kugera ku mitungo ifatika, harimo amafaranga n’impapuro z’agaciro. Ibikorwa by’igenzura bikubiyemo ibibujijwe ku mutungo ufatika, uburinzi bw’inyabubiri n’urutonde ngarukagihe rw’ibigize umutungo. 4. Kubahiriza ibipimo ntarengwa ku myenda : Ishyirwaho ry’ibipimo byitondewe byo kwitegeza ingorane ni igikorwa cy’ingenzi cy’imicungire y’ibyateza ingorane. Urugero: kubahiriza ibipimo ntarengwa bigenewe abagurizwa n’izindi mpande bigabanya ingorane yerekeye inguzanyo nyinshi kuri banki kandi bifasha kongera imiterere itandukanye y’ingorane za banki. Ni yo mpamvu, igikorwa cy’ingenzi cy’igenzura ry’imbere ari uburyo bwo gusuzuma iyubahirizwa ry’ibyo bipimo ntarengwa no gukurikirana ibibazo byo and usually are more detailed. For instance, a manager of commercial lending may review weekly reports on delinquencies, payments received, and interest income earned on the portfolio, while the senior credit officer may review similar reports on a monthly basis and in a more summarised form, that includes all lending areas. As with the top-level review, the questions that are generated as a result of reviewing the reports and the responses to those questions represent the control activity. 3.Physical controls: Physical controls generally focus on restricting access to tangible assets, including cash and securities. Control activities include physical limitations, dual custody, and periodic inventories. 4.Compliance with exposure limits: The establishment of prudent limits on risk exposures is an important aspect of risk management. For example, compliance with limits for borrowers and other counterparties reduces the bank’s concentration of credit risk and helps to diversify its risk profile. Consequently, an important aspect of internal controls is a process for reviewing compliance with such limits and follow-up on instances of non-compliance. fonctionnelles sont plus fréquentes que les évaluations de haut niveau et sont généralement plus détaillées. Par exemple, un gestionnaire des prêts commerciaux peut examiner les rapports hebdomadaires sur les arriérés, les paiements reçus et les intérêts perçus sur le portefeuille, tandis que l’agent de crédit principal peut examiner des rapports similaires tous les mois et sous une forme plus succincte, incluant toutes les domaines des prêts. Comme pour l’évaluation au plus haut niveau, les questions qui sont soulevées à la suite de l’examen des rapports et les réponses à ces questions représentent l’activité de contrôle. 3. Contrôles physiques : les contrôles physiques visent généralement à restreindre l’accès aux actifs corporels, notamment les liquidités et les titres. Les activités de contrôle comprennent les limitations physiques, la double garde et des inventaires périodiques. 4. Respect des limites des engagements : La mise en place de limites prudentes sur les expositions aux risques est un aspect important de la gestion des risques. Par exemple, le respect des limites applicables aux emprunteurs et aux autres contreparties réduit la concentration du risque de crédit de la banque et contribue à la diversification de son profil de risque. Par conséquent, un aspect important des contrôles internes constitue un processus d’examen du respect de ces limites

Official Gazette no Special of 26/07/2019 73 kutubahiriza ibyo bipimo. 5. Kwemererwa n’impushya : Gusaba kwemererwa no kubona uruhushya ku bikorwa birenze ibipimo ntarengwa bimwe na bimwe bitanga icyizere ko urwego ruboneye rw’imicungire ruzi neza icyo gikorwa cyangwa iyo miterere kandi bifasha gushyiraho inshingano yo kubazwa ibyo umuntu yakoze. 6. Amagenzura no guhuza amakuru: Amagenzura y’ibisobanuro birambuye by’imirimo n’ibikorwa n’umusaruro wavuye mu buryo bw’imicungire bwifashishijwe na banki ni ibikorwa by’ingirakamaro mu igenzura. Guhuza amakuru ngarukagihe nk’ayerekeye kugereranya imari yinjira n’isohoka ugereranyije n’inyandiko n’ifoto y’umutungo bishobora kugaragaza ibikorwa n’inyandiko bikeneye gukosorwa. Ni yo mpamvu, ibyavuye muri aya magenzura bigomba gukorerwa raporo zishyikirizwa inzego zibigenewe z’ubuyobozi igihe cyose ibibazo cyangwa ibishobora kuba ibibazo bitahuwe. Ibikorwa by’igenzura birushaho kugenda neza iyo byitaweho n’ubuyobozi n’abandi bakozi bose nka bimwe mu bikorwa by’ingenzi bya buri munsi bikorwa na banki. Iyo amagenzura afatwa nk’igikorwa cyiyongera ku bikorwa bya buri munsi, akenshi bigaragara nk’ibifite akamaro gake kandi bishobora kudakorwa mu bihe bimwe iyo abantu ku giti cyabo bumva bahatirwa gusohoza ibyo bakora mu gihe kigufi. Byongeye kandi, amagenzura ari mu bigize ibikorwa bya buri munsi bituma haboneka ibisubizo byihuse ku mpinduka no kwirinda amafaranga 5.Approvals and authorisations: Requiring approval and authorisation for transactions over certain limits ensures that an appropriate level of management is aware of the transaction or situation, and helps to establish accountability. 6.Verifications and reconciliations: Verifications of transaction details and activities and the output of risk management models used by the bank are important control activities. Periodic reconciliations, such as those comparing cash flows to account records and statements, may identify activities and records that need correction. Consequently, the results of these verifications shall be reported to the appropriate levels of management whenever problems or potential problems are detected. Control activities are most effective when they are viewed by management and all other personnel as an integral part of, rather than an addition to, the daily activities of the bank. When controls are viewed as an addition to the day-to-day activities, they are often seen as less important and may not be performed in situations where individuals feel pressured to complete activities in a limited amount of time. In addition, controls that are an integral part of the daily activities enable quick responses to changing conditions and avoid et du suivi des cas de non-conformité. 5. Approbations et autorisations : Exiger l’approbation et l’autorisation pour les transactions dépassant certaines limites garantit qu’un niveau approprié de gestion est au courant de la transaction ou de la situation et aide à établir la responsabilité. 6. Vérifications et rapprochements : les vérifications des détails des transactions et des activités et les résultats des modèles de gestion des risques utilisés par la banque sont des activités de contrôle importantes. Les rapprochements périodiques, tels que ceux qui comparent les flux de trésorerie aux dossiers et aux relevés de compte, peuvent identifier des activités et des dossiers nécessitant une correction. Par conséquent, les résultats de ces vérifications doivent être signalés aux niveaux de gestion appropriés chaque fois que des problèmes, réels ou potentiels, sont détectés. Les activités de contrôle sont plus efficaces lorsqu’elles sont considérées par la direction et par tous les autres membres du personnel comme faisant partie intégrante des activités quotidiennes de la banque, et non en tant que complément. Lorsque les contrôles sont considérés comme un ajout aux activités quotidiennes, ils sont souvent considérés comme moins importants et peuvent ne pas être effectués dans des situations où les individus se sentent obligés de mener à bien leurs activités dans un temps limité. De plus, les

Official Gazette no Special of 26/07/2019 74 atangwa bitari ngombwa mu rwego rwo guteza imbere umuco uboneye w’igenzura imbere muri banki ubuyobozi bukuru bigomba kugenzura neza niba Ubugenzuzi bubarirwa mu mirimo y’ingenzi ya buri munsi ikorwa n’abayobozi babishinzwe. 4.3. Uburyo bw’igenzura nyaryo ry’imbere busaba ko habaho kuvangura uko bikwiye inshingano kandi ko abakozi badahabwa inshingano zirimo igongana ry’inyungu. Inzego z’ahashobora kuba amakimbirane zigomba kumenyekana, zikagabanywa kandi zikagenzurwa mu bwitonzi no mu bwigenge. 4.4. Ibihombo binini by’amabanki biterwa n’amagenzura y’imbere afifitse, kugira ngo hirindwe ibyo bihombo, kuvangura inshingano ni ingenzi kandi ntibigomba kugarukira ku bihe bituma habaho umuntu ku giti cye ugenzurira icyarimwe ibiro by’inyuma n’iby’imbere. Ibyo bishobora kuvamo ibibazo bikabije iyo nta magenzura yabugenewe yakozwe mu gihe umuntu ku giti cye afite inshingano yo : a) kwemeza iyishyurwa ry’amafaranga no kuyatanga by’ukuri; b) gucunga konti z’abakiriya; c) Imirimo iri mu bitabo bya banki n’iby’ubucuruzi ; unnecessary costs. As part of fostering the appropriate control culture within the bank, senior management shall ensure that adequate control activities are an integral part of the daily functions of all relevant personnel. 4.3. An effective internal control system requires that there is appropriate segregation of duties and that personnel are not assigned conflicting responsibilities. Areas of potential conflicts of interest shall be identified, minimised, and subject to careful, independent monitoring. 4.4. Major banking losses are caused by poor internal controls, to avoid such losses, segregation of duties is a key and it shall not be limited to situations involving simultaneous front and back office control by one individual. It can also result in serious problems when there are not appropriate controls in those instances where an individual has responsibility for: a) Approval of the disbursement of funds and the actual disbursement; b) Managing customer accounts; c) Transactions in both the "banking" and "trading" books; contrôles qui font partie intégrante des activités quotidiennes permettent de réagir rapidement aux changements de conditions et d’éviter des coûts inutiles dans le cadre de la promotion de la culture de contrôle appropriée au sein de la banque et de la direction devrait veiller à ce que des activités de contrôle adéquates fassent partie intégrante des fonctions quotidiennes de tout le personnel concerné . 4.3. Un système de contrôle interne efficace exige une séparation appropriée des tâches et l’absence d’attribution de responsabilités conflictuelles au personnel. Les zones de conflits d’intérêts potentiels doivent être identifiées, minimisées et soumises à une surveillance attentive et indépendante. 4.4. Les pertes bancaires majeures sont causées par des contrôles internes médiocres. Pour éviter de telles pertes, la séparation des tâches est essentielle et ne doit pas être limitée aux situations impliquant un contrôle simultané des guichets avant et arrière par une seule personne. Cela peut également entraîner de graves problèmes en l’absence de contrôles appropriés dans les cas où une personne est responsable de: a) L’approbation du décaissement des fonds et du décaissement effectif; b) Gerer les comptes des clients ; c) Transactions dans les livres « bancaires » et « commerciaux»;

Official Gazette no Special of 26/07/2019 75 d) Guha abakiriya amakuru mu buryo butanditse yerekeye imyanya bafite mu gihe bakorana ubucuruzi n’abakiriya bamwe ; e) Gusuzuma niba inyandiko zihagije zerekeye inguzanyo no gukurikirana uwagurijwe nyuma yo gusaba inguzanyo ; f) Izindi nzego zose aho igongana ry’inyungu rigaragara rivutse kandi ntirigabanywe n’izindi mpamvu. Inzego z’ibishobora kubyara amakimbirane zigomba kumenyekana, zikagabanywa kandi zigakorerwa ikurikirana mu bwitonzi. Hagomba kubaho amasuzuma ngarukagihe y’inshingano n’imirimo bikorwa n’abantu b’ingenzi ku giti cyabo hagamijwe kureba ko adashobora guhishira ibikorwa bidakwiriye. d) Informally providing information to customers about their positions while marketing to the same customers; e) Assessing the adequacy of loan documentation and monitoring the borrower after loan origination; f) Any other areas where significant conflicts of interest emerge and are not mitigated by other factors. Areas of potential conflict shall be identified, minimised, and subject to careful monitoring. There shall also be periodic reviews of the responsibilities and functions of key individuals to ensure that they are not in a position to conceal inappropriate actions d) Fournir de manière informelle des informations aux clients sur leurs positions lors de la commercialisation auprès des mêmes clients; e) Évaluer l’adéquation de la documentation relative au prêt et surveiller l’emprunteur après la création du prêt f) Tout autre domaine dans lequel des conflits d’intérêts importants apparaissent et ne sont pas atténués par d’autres facteurs. Les zones de conflit potentiel doivent être identifiées, minimisées et soumises à une surveillance attentive. Des examens périodiques des responsabilités et des fonctions des personnes clés doivent également être effectués pour s’assurer qu’ils ne sont pas en mesure de dissimuler des actions inappropriées. 5.AMAKURU N’ITUMANAHO 5. INFORMATION AND COMMUNICATION 5. INFORMATION ET COMMUNICATION 5.1.Uburyo nyabwo bw’igenzura ry’imbere busaba ko habaho amakuru yuzuye kandi ahagije yerekeye imari y’imbere, imikorere no kubahiriza amabwiriza ndetse n’amakuru yerekeye isoko ryo hanze ku bintu n’ibisabwa by’ingirakamaro mu ifatwa ry’ibyemezo. Amakuru agomba kuba yizewe, abonekera igihe, agerwaho, kandi agatangwa mu buryo bwubahirije amategeko. 5.2.Uburyo nyabwo bw’igenzura ry’imbere busaba ko hashyirwaho uburyo bw’amakuru 5.1. An effective internal control system requires that there are adequate and comprehensive internal financial, operational and compliance data, as well as external market information about events and conditions that are relevant to decision making. Information shall be reliable, timely, accessible, and provided in a consistent format. 5.2. An effective internal control system requires that there are reliable information systems in place 5.1.Un système de contrôle interne efficace nécessite de disposer de données financières et opérationnelles internes adéquates et complètes ainsi que d’informations de marché externes sur les événements et les conditions propres à la prise de décision. Les informations doivent être fiables, opportunes, accessibles et fournies dans un format cohérent. 5.2.Un système de contrôle interne efficace nécessite la mise en place de systèmes

Official Gazette no Special of 26/07/2019 76 bwizewe bwerekeye ibikorwa byose bifatika bya banki. Ubu buryo, harimo n’ubwo gufata no kwifashisha amakuru mu buryo bwa elegitoronike, bugomba kuba bwizewe umutekano, bugakurikiranwa mu bwigenge kandi bugashyigikirwa n’ibyemezo by’ingoboka bihagije. Mu byerekeye imirimo y’amabanki, kugira ngo amakuru ahari abashe kugira akamaro, agomba kuba: a) Ari ingirakamaro; b) Yizewe; c) Abonekera ku gihe; d) Kandi atangwa mu buryo busobanutse. Mu makuru hakubiyemo imibare igaragaza imari y’imbere mu kigo, ibikorwa no kubahiriza amabwiriza, kimwe n’amakuru yerekeye isoko ryo hanze ku bintu n’ibindi bisabwa kandi bya ngombwa mu gufata ibyemezo. Amakuru y’imbere mu kigo ari mu bigize igikorwa cyo kubika amakuru kigomba kuba gikubiyemo ibikurikizwa byashyizweho hagamijwe kugumana izo nyandiko. 5.3. Uburyo nyabwo bw’igenzura ry’imbere busaba ko habaho inzira zo guhanahana amakuru mu buryo bukora neza mu rwego rwo gutanga icyizere ko abakozi bose basobanukirwa kandi bakubahiriza bihagije za politiki n’ibindi bikurikizwa bigira that cover all significant activities of the bank. These systems, including those that hold and use data in an electronic form, must be secure, monitored independently and supported by adequate contingency arrangements. In the context of banking, in order for information to be useful it must be: a) Relevant; b) Reliable; c) Timely accessible; d) provided in a consistent format. Information includes internal financial, operational and compliance data, as well as external market information about events and conditions that are relevant to decision making. Internal information is part of a record-keeping process that shall include established procedures for record retention. 5.3. An effective internal control system requires effective channels of communication to ensure that all staff fully understand and adhere to policies and procedures affecting their duties and responsibilities and that other relevant d’information fiables couvrant toutes les activités importantes de la banque. Ces systèmes, y compris ceux qui contiennent et utilisent des données sous forme électronique, doivent être sécurisés, contrôlés de manière indépendante et pris en charge par des dispositions d’urgence adéquates. Dans le contexte bancaire, pour que l’information soit utile, elle doit être: a) Pertinente; b) Fiable; c) Accessible en temps opportune; d) Fournie dans un format coherent. Les informations comprennent des données internes financières, opérationnelles et de conformité, ainsi que des informations de marché externes sur les événements et les conditions qui sont pertinents pour la prise de décision. Les informations internes font partie d’un processus de conservation des documents qui devrait inclure les procédures établies pour la conservation des documents. 5.3. Un système de contrôle interne efficace requiert des circuits de communication efficaces pour garantir que tous les membres du personnel comprennent et respectent pleinement les politiques et les procédures affectant leurs devoirs

Official Gazette no Special of 26/07/2019 77 ingaruka ku mirimo no ku nshingano byabo, kandi ko andi makuru ya ngombwa abasha kugera ku bakozi babikwiriye. 5.4. Amabanki agomba mu buryo bwihariye kumenya ibisabwa mu kigo no mu igenzura ry’imbere bifitanye isano no gutunganya amakuru ari mu buryo bw’ikoranabuhanga ndetse n’akamaro ko kugira inzira ihagije yo gukora igenzura. Uko ubuyobozi bufata ibyemezo bishobora kugirwaho ingaruka n’amakuru atizewe bihagije cyangwa y’ibinyoma atangwa n’uburyo bwateguwe nabi ndetse bukagenzurwa nabi. Uburyo bw’amakuru y’ikoranabuhanga n’imikoreshereze y’ikoranabuhanga mu itangazamakuru bufite ingorane zigomba kugenzurwa koko n’amabanki mu rwego rwo kwirinda ibyahungabanya igikorwa cy’ubucuruzi ndetse ibihombo bishobora kubaho. 5.5. Amagenzura akorwa ku buryo bw’amakuru n’ikoranabuhanga agomba kuba akubiyemo amagenzura rusange n’amagenzura y’imikoreshereze. Amagenzura rusange ni amagenzura akorwa ku buryo bwifashisha za mudasobwa (urugero: mudasobwa zihuriweho, mudasobwa zikoreshwa na buri mukiriya/seriveri na mudasobwa zikorerwaho n’abazifashisha bwa nyuma) kandi atanga icyizere ku mikorere nyayo ihoraho. Mu magenzura rusange harimo ibikurikizwa imbere mu kubungabunga no kugarura amakuru, ingamba z’iterambere no kubona za porogaramu za mudasobwa, ibikurikizwa mu kuzifata neza (igenzura ry’impinduka zibaho) information is reaching the appropriate personnel. 5.4. Banks must be particularly aware of the organizational and internal control requirements related to processing information in an electronic form and the necessity to have an adequate audit trail. Management decision-making could be adversely affected by unreliable or misleading information provided by systems that are poorly designed and controlled. Electronic information systems and the use of information technology have risks that must be effectively controlled by banks in order to avoid disruptions to business and potential losses. 5.5. Controls over information systems and technology shall include both general and application controls. General controls are controls over computer systems (for example, mainframe, client/server, and end-user workstations) and ensure their continued, proper operation. General controls include in-house back-up and recovery procedures, software development and acquisition policies, maintenance (change control) procedures, and physical/logical access security controls. Application controls are computerized steps within software applications and other manual procedures that control the processing of et leurs responsabilités, et que les autres informations pertinentes parviennent au personnel approprié. 5.4. Les banques doivent être particulièrement conscientes des exigences organisationnelles et de contrôle interne relatives au traitement des informations sous forme électronique et de la nécessité de disposer d’une piste d’audit adéquate. La prise de décision de la direction pourrait être affectée par des informations peu fiables ou trompeuses fournies par des systèmes mal conçus et contrôlés. Les systèmes d’information électroniques et l’utilisation de la technologie de l’information présentent des risques qui doivent être contrôlés efficacement par les banques en vue d’éviter les perturbations à l’activité commerciale et les pertes potentielles. 5.5.Les contrôles sur les systèmes d’information et la technologie doivent inclure à la fois des contrôles généraux et des contrôles d’application. Les contrôles généraux sont des contrôles sur les systèmes informatiques (par exemple, les ordinateurs centraux, les postes de travail client / serveur et les postes de travail des utilisateurs finaux) et garantissent leur fonctionnement continu et correct. Les contrôles généraux comprennent les procédures internes de sauvegarde et de récupération, les stratégies de développement et d’acquisition de logiciels, les procédures de

Official Gazette no Special of 26/07/2019 78 n’amagenzura y’umutekano wo kugera ahari ibikorwaremezo n’ibindi nkenerwa. Amagenzura y’imikoreshereze ni inzira zitunganywa hifashishijwe za mudasobwa binyuze mu bikorwa bya porogaramu zikoresha n’ibindi bikurikizwa bikoreshwa amaboko bikaba bigira uruhare mu kugenzura itunganywa ry’imirimo n’ibikorwa by’ubucuruzi. transactions and business activities. maintenance (contrôle des changements) et les contrôles de sécurité des accès physiques / logiques. Les contrôles d’applications sont des étapes informatisées au sein d’applications logicielles et d’autres procédures manuelles qui contrôlent le traitement des transactions et des activités commerciales. 5.6. GAHUNDA Y’IBIBAZO BITANGWA MU IGENZURA RY’IBANZE RY’IMBERE Gahunda y’igenzura ry’ibanze ry’imbere ishyiraho uburyo busonautse na gahunda y’ibyagenzurwa. Ibibazo by’igenzura ry’ibanze ry’imbere bigomba kuba bisobanutse kandi bihuye n ‘ibikenewe n’urwego. 5.6.INTERNAL CONTROL PROGRAM QUESTIONNAIRES Internal control program shall set out detailed step-by-step control procedures for each controllable area which shall be controlled. Internal control program questionnaire shall be comprehensive and tailored to the industry 5.7. QUESTIONNAIRES DU PROGRAMME DE CONTRÔLE INTERNE Le programme de contrôle interne doit définir des procédures détaillées, étape par étape, pour chaque domaine pouvant faire l'objet de contrôle, à savoir le questionnaire du programme de contrôle. Le questionnaire du programme doit être complet et adapté au secteur 6. IKURIKIRANA RY’IBIKORWA NO GUKOSORA INENGE 6. MONITORING ACTIVITIES AND CORRECTING DEFICIENCIES 6. SURVEILLANCE DES ACTIVITES ET CORRECTION DES DEFICIENCES 6.1. Imigendekere yose y’amagenzura y’imbere ya banki igomba gukurikiranwa ku buryo buhoraho. Gukurikirana iby’ingenzi byateza ingorane bigomba kuba mu bigize ibikorwa bya buri munsi bya banki ndetse n’amagenzura ngarukagihe akorwa n’inzego z’ibikorwa n’igenzura ry’imbere. 6.2.Hagomba kubaho uburyo nyabwo bw’igenzura ry’imbere kandi ryuzuye ry’uburyo bw’ubugenzuzi bw’imbere bukorwa n’abakozi 6.1.The overall effectiveness of the bank’s internal controls shall be monitored on an ongoing basis. Monitoring of key risks shall be part of the daily activities of the bank as well as periodic evaluations by the business lines and internal audit. 6.2.There shall be an effective and comprehensive internal audit of the internal control system carried out by operationally 6.1.L’efficacité globale des contrôles internes de la banque doit faire l’objet d’un suivi permanent. Le suivi des principaux risques devrait faire partie des activités quotidiennes de la banque, de même que les évaluations périodiques par les secteurs d’activité et l’audit interne. 6.2. Un audit interne efficace et complet du système de contrôle interne doit être réalisé par le personnel indépendant du point de vue

Official Gazette no Special of 26/07/2019 79 bigenga, babihuguriwe kandi babifitiye ubushobozi mu mikorere. Urwego rw’umurimo w’igenzura ry’imbere, nka kimwe mu bigize ikurikirana ry’uburyo bw’amagenzura y’imbere, rugomba gutanga raporo itaziguye ku nama y’ubutegetsi cyangwa kuri komite yayo y’igenzura no ku buyobozi bukuru. 6.3. Inenge z’igenzura ry’imbere, zaba izagaragajwe n’urwego rw’ibikorwa, igenzura ry’imbere cyangwa undi mukozi ushinzwe igenzura, zigomba guhita zimenyeshwa ubuyobozi bireba kandi zikitabwaho bidatinze. Ibyuho binini mu igenzura ry’imbere bigomba kumenyeshwa ubuyobozi bukuru n’inama y’ubutegetsi. independent, appropriately trained and competent staff. The internal audit function, as part of the monitoring of the system of internal controls, shall report directly to the board of directors or its audit committee, and to senior management. 6.3.Internal control deficiencies, whether identified by business line, internal audit, or other control personnel, shall be reported in a timely manner to the appropriate management level and addressed promptly. Material internal control deficiencies shall be reported to senior management and the board of directors. opérationnel, dûment formé et compétent. La fonction d’audit interne, dans le cadre de la surveillance du système de contrôles internes, devrait directement faire rapport au conseil d’administration ou à son comité d’audit, ainsi qu’à la direction. 6.3. Les défaillances du contrôle interne, qu’elles soient identifiées par le secteur d’activité, l’audit interne ou un autre membre du personnel de contrôle, doivent être signalées rapidement au niveau de direction approprié et traitées rapidement. Les lacunes importantes dans le contrôle interne doivent être signalées à la direction et au conseil d’administration. Bibonywe kugira ngo bishyirwe ku mugereka w’amabwiriza rusange N° 4230 /2019- 00024 [ 614 ] YO KU WA 5/6/2019 YA BANKI NKURU Y’U RWANDA YEREKEYE IBIPIMO BY’IBANZE BIJYANYE N’UBURYO BW’IMIKORERE N’IBY’UBUGENZUZI BW'IMBERE MU MABANKI

RWANGOMBWA John Guverineri Seen to be annexed to the regulation N° 4230 /2019 – 00024 [ 614 ] OF 5/6/2019 OF THE NATIONAL BANK OF RWANDA ON MINIMUM INTERNAL CONTROL AND INTERNAL AUDIT STANDARDS IN BANKS

RWANGOMBWA John Governor Vu pour être annexé au règlement N° 4230 /2019 - 00024[614] DU 5/6/2019 DE LA BANQUE NATIONALE DU RWANDA SUR LES NORMES MINIMA DE CONTROLE INTERNE ET D’AUDIT INTERNE DANS LES BANQUES

RWANGOMBWA John Gouverneur (sé) (sé) (sé)