1. System zarządzania ryzykiem i system kontroli wewnętrznej, funkcjonujące w banku, obejmują trzy niezależne poziomy:
1) pierwszy, na który składa się zarządzanie ryzykiem w działalności operacyjnej banku;
2) drugi, na który składa się co najmniej zarządzanie ryzykiem przez pracowników banku zatrudnionych na stanowis- kach związanych z zarządzaniem ryzykiem lub w komórkach organizacyjnych, niezależnie od zarządzania ryzykiem, o którym mowa w ust. 2, oraz działalność komórki do spraw zgodności;
3) trzeci, na który składa się działalność komórki audytu wewnętrznego. 2. Na każdym z trzech poziomów, o których mowa w ust. 1, pracownicy banku w związku z wykonywaniem obo- wiązków służbowych stosują mechanizmy kontrolne, o których mowa w § 37 ust. 1, lub niezależnie monitorują przestrze- ganie mechanizmów kontrolnych. 3. W przypadku banków będących uczestnikami systemu ochrony mechanizmy kontrolne na poziomie trzecim oraz niezależne monitorowanie ich przestrzegania stosuje bank zrzeszający zarządzający tym systemem albo zarządzająca tym systemem ochrony jednostka zarządzająca tym systemem, o której mowa w art. 22d ust. 1 pkt 2 ustawy z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających, zwana dalej „jednostką zarządzającą”.