Audit Bancar

Audit Bancar
BANCAS
ACADEMIA DE STUDII ECONOMICE

CATEDRA DE MONEDA Programul de Master Specializat
BANCAS
MODULUL: AUDIT
BANCAR
NOTE DE CURS
Prof. univ. dr. Vasile Dedu Spec. dr. Ramona-Vali Bratu Spec. dr. Florin Stroe
BUCURESTI 2009
Audit Bancar
BANCAS
CUPRINS
CAPITOLUL 1 CAPITOLUL 2 CAPITOLUL 3 CAPITOLUL 4 CAPITOLUL 5 CAPITOLUL 6
ACTIVITATEA DE AUDIT AUDITUL INTERN BANCAR CONTROLUL INTERN BANCAR RELAIA DINTRE AUTORITATEA SUPRAVEGHERE I AUDITORUL EXTERN DE
AUDITAREA PROCESELOR I TEHNICILOR DE EVALUARE A RISCURILOR ACTIVITATEA DE AUDIT PROPRIU ZIS. ABORDARE PRACTIC
Audit Bancar
BANCAS
CAPITOLUL 1
ACTIVITATEA DE AUDIT
1. Consideraii etimologice i evoluioniste privind auditul 2. Definiii

1. Consideraii etimologice i evoluioniste privind auditul Dei cuvntul audit a ptruns n limbajul cotidian al societii romneti n forma sa englezeasc, se pare c originile acestuia se gsesc n latinescul auditus, care nseamn a asculta, a audia. Acest termen avea chiar o conotaie financiar, n Roma antic fiind practicat verificarea verbal a fondurilor sau ascultarea fondurilor. Exist, aadar o prim semnificaie a activitii de audit aceea de verificare; sensul acesteia s-a mbogit pe msur ce activitatea economic a devenit din ce n ce mai complex, n condiii de risc amplificat. Astfel, n timp, nu a mai fost suficient controlul asupra unor anumite domenii, nregistrri sau evidene, ci asupra ntregii contabiliti i gestiuni; a fost fcut saltul de la aprecierile cantitative la cele calitative, de la constatri la consultan; nu a mai fost suficient verificarea post factum, ci a devenit important prevenirea manifestrii riscurilor, iar greutatea s-a deplasat de la auditul extern la cel intern. n acelai timp, aria activitii de audit s-a extins de la administrarea banilor publici ctre ntreprinderile private. Att procesul acesta evolutiv, ct i consideraiile filosofice (de exemplu, chiar contabilitatea poate fi considerat form a auditului, n msura n care metoda evidenei n partid dubl reprezint o form intrinsec de verificare, nu?) explic multiplele valene conferite auditului n zilele noastre. 1. Definiii Exist o multitudine de definiii date auditului, dar nu n accepiunea sa general, ci pe componente ale sale. Astfel, Compania Naional a Comisarilor de Conturi din Frana d definiia auditului financiar: examinarea realizat de un profesionist competent i independent de organizaie, n vederea exprimrii unei opinii motivate asupra regularitii, sinceritii i imaginii fidele a conturilor anuale ale ntreprinderii.
Audit Bancar
BANCAS
Institutul American al Contabililor Publici Autorizai (AICPA) prezint auditul ca pe o examinare ordinar a situaiilor financiare, efectuat de un contabil public autorizat, n vederea exprimrii unei opinii cu privire la corectitudinea cu care aceste documente prezint situaia financiar, rezultatele operaiunilor efectuate i schimbrile intervenite n situaia financiar a organizaiei, n conformitate cu principiile contabile general acceptate (Standardul de Audit nr. 1). n Romnia, Ordonana de Urgen a Guvernului nr. 75/1999 privind activitatea de audit financiar (cu modificrile ulterioare)
1
prezint auditul financiar ca activitatea de
examinare, n vederea exprimrii de ctre auditorii financiari, a unei opinii asupra situaiilor financiare, n conformitate cu standardele de audit, armonizate cu standardele internaionale de audit i adoptate de Camera Auditorilor Financiari din Romnia. Exist, aadar, trei definiii date auditului financiar din care rzbate un filon comun, i anume c acesta reprezint o activitate de examinare a situaiilor financiare, de ctre o persoan competent sau autorizat (francezii nu au dat msura competenei), pentru formularea unei opinii asupra corectitudinii cu care aceste documente prezint situaia financiar a organizaiei, att static, ct i n dinamic. i pentru ca aceast opinie s fie motivat, se folosesc i reperele n funcie de care se fac aprecierile: principiile contabile general acceptate sau standardele de audit. n afara diferenelor stilistice date, probabil, de trsturile naionale (unii fiind mai riguroi n exprimare, iar alii mai lirici), transpare i o alt diferen: n Frana s-ar prea c aceast activitate este ncredinat comisarilor de conturi (persoane abilitate s efectueze controlul legal al conturilor societilor comerciale), n SUA numai contabilii publici autorizai pot s desfoare activiti de audit, iar n Romnia - auditorii financiari. Astfel, primele dou definiii vdesc apropierea dintre audit financiar i controlul contabil. n schimb, n a treia definiie apare o categorie distinct de specialiti, iar pentru a nelege la ce se refer aceast categorie este necesar analiza activitilor pe care acetia le pot desfura, prezentate n acelai act normativ: activitatea de audit financiar, de audit intern, de consultan financiar contabil i fiscal, de asigurare a managementului financiar contabil, de expertiz contabil, de evaluare, activiti de reorganizare judiciar i lichidare. Prin urmare, este vorba de un super-specialist, care ar trebui s se numeasc auditor, dat
1
Ordonana de Urgen a Guvernului nr. 75/1999 a fost aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003 4
Audit Bancar
BANCAS
fiind faptul c aria lui de expertiz depete auditul financiar, iar o definiie posibil a auditului ar putea fi dat prin enumerarea activitilor desfurate de aceti specialiti. Ceea ce scap acestor definiii este, ns, scopul activitii de audit; exprimarea unei opinii nu poate fi un scop n sine, poate fi doar un mijloc. Adic, pentru ce este nevoie de audit? La ce folosete o opinie independent i competent privind corectitudinea reflectrii situaiei financiare? Se poate rspunde c bncile, n analiza de creditare, solicit companiilor o astfel de opinie sau c bncilor li se solicit, prin lege, auditarea situaiilor financiare sau n alte multe feluri. Dar tipul acesta de rspunsuri nu ar fi reflectarea unei nevoi resimite i a unei utiliti interne, ci a unor constrngeri i utilizri externe. Partea aceasta este acoperit de definiia auditului intern dat de ctre Institutul Auditorilor Interni (IIA): Auditul intern este o activitate independent, de asigurare obiectiv i de consultan menit s adauge valoare i s mbunteasc operaiunile unei organizaii. Acesta sprijin o organizaie s i realizeze obiectivele, aducnd o abordare sistematic i disciplinat n evaluarea i mbuntirea eficacitii procesului de management al riscului, de control i de conducere. Comitetul de Supraveghere Bancar de la Basel i-a nsuit ntru totul conceptul lansat de IIA cu privire la auditul intern.
3 4 2
i legislaia romneasc n materie preia aceast definiie, n forme mai concentrate sau mai detaliate. Astfel, n legislaia privind auditul financiar apare urmtoarea definiie: Auditul intern reprezint activitatea de examinare obiectiv a ansamblului activitilor entitii economice n scopul furnizrii unei evaluri independente a managementului riscului, controlului i proceselor de conducere a acestuia. Dei pare a ctiga n concizie, aceasta omite, de fapt, scopul real al activitii de audit, comind aceeai confuzie ntre scop i mijloacele de realizare, i excluznd componenta de consultan. Componenta de consultan apare, ns, dei ntr-o formul alternativ, n definiia auditului intern bancar din Norma nr. 17/2003 a Bncii Naionale a Romniei : activitate independent, destinat mbuntirii activitii bncilor, fie prin ndeplinirea unor angajamente de audit, fie prin acordarea de consultan structurilor entitilor auditate.
2
Comitetul de Supraveghere Bancar de la Basel este comitetul autoritilor de supraveghere bancar nfiinat de guvernatorii bncilor centrale din Grupul celor Zece ri n 1975. De obicei se ntrunete la Bank for International Settlements (Banca Reglementelor Internaionale), unde este localizat secretariatul su permanent. 3 Internal audit in banking organisations and the relationship of the supervisory authorities with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 4 Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabil entitilor publice 5 Titlul complet: Norma B.N.R. nr. 17/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor 5
Audit Bancar
BANCAS
Dac se expliciteaz i noiunea de angajament de audit, rezult urmtoarea definiie a auditului intern bancar: activitate independent, destinat mbuntirii activitii instituiilor de credit, fie printr-o examinare obiectiv a modului de realizare a administrrii riscurilor, sistemului de control intern i proceselor de conducere ale instituiilor de credit, n scopul furnizrii unei asigurri rezonabile c acestea funcioneaz corespunztor i vor permite atingerea obiectivelor instituiilor de credit, precum i n scopul formulrii unor recomandri de mbuntire a activitii acestora, fie prin acordarea de servicii de consultan structurilor/entitilor auditate. Din cele de mai sus se poate extrage ceea ce poate fi considerat o definiie complet a auditului, aplicabil i domeniului bancar : activitatea, realizat de persoane autorizate, de examinare obiectiv a ansamblului activitilor entitii economice, care are ca rezultat formularea unei evaluri independente a managementului riscului, a controlului i proceselor de conducere, i a unor sugestii pentru mbuntirea eficacitii operaiunilor, n scopul sprijinirii realizrii obiectivelor entitii economice. Dup cum se observ, aceast definiie sumarizeaz (poate nu n cea mai bun sintagm) trsturile auditului (competen, obiectivitate, independen), sfera preocuprilor sale (ansamblul activitilor entitii economice, nu numai evidena contabil), materializarea rezultatelor acestuia (evaluare i consultan), precum i scopul auditului. n definiia de mai sus a fost omis n mod intenionat caracterul sistematic i disciplinat al auditului, deoarece acesta este specific auditului intern, fcnd deosebirea fa de cel extern. n opinia unor autori, diferena dintre cele dou categorii de audit ar fi faptul c cel extern este realizat de o firm specializat, independent, din afara entitii economice, iar cel intern de o structur din cadrul organizaiei. n zilele noastre, cnd se vorbete tot mai mult despre externalizarea auditului intern i despre independena auditului intern, acest argument nu poate rezista. n cele ce urmeaz, obiectul expunerii se va restrnge la forma cea mai complex a auditului din domeniul bancar (dat fiind caracterul su continuu, sistematic) - auditul intern bancar. n ceea ce privete definiia acestuia, opiunea personal merge ctre cea dat de IIA, nsuit de Comitetul de la Basel, nu ctre cea a Bncii Naionale a Romniei (deoarece consider c examinarea i poate gsi finalitatea numai n formularea de sugestii (consultan), iar consultana nu poate fi dat fr o examinare prealabil a strii de fapt), i cu att mai puin ctre cea dat de Institutul Francez de Audit (2000) (care restrnge rolul
Audit Bancar
6
BANCAS
auditului intern la acela de supra-control) . Totui, singura definiie legal, n momentul de fa, aplicabil domeniului bancar se regsete n norma Bncii Naionale a Romniei, care este concordant cu cea din O.U.G. nr. 75/1999, cu modificrile ulterioare. Cuvinte cheie Audit Audit intern Audit intern bancar ntrebri 1. Ce este auditul intern bancar? 2. Care este diferena dintre auditul de tip anglo-saxon i cel francofon? Activitatea de audit
Auditul intern este, n cadrul unei organizaii, o funcie exercitat ntr-o manier independent i cu mandat de evaluare a controlului intern. Acest demers specific concureaz cu bunul control asupra riscurilor de ctre responsabiliEugen Nicolaescu,Auditul interno privire spre viitor, Revista Audit Financiar, ianuarie 2003
Audit Bancar
BANCAS
CAPITOLUL 2
AUDITUL INTERN BANCAR
1. Obiective i modaliti de aciune ale auditului intern bancar 2. Principiile auditului intern bancar
2.1 Independena auditului intern bancar 2.2. Imparialitatea auditului intern bancar 2.3. Continuitatea auditului intern bancar 2.4. Competena profesional 2.5. Exhaustivitatea auditului intern bancar
3. Cadrul normativ de desfurare a activitii de audit intern bancar

3.1. Statutul (carta) auditului intern 3.2. Standardele internaionale de audit intern ale I.A.I. 3.3. Codul de etic a auditorului intern
4. Organizarea auditului intern bancar

4.1. Atribuiile i responsabilitile conductorului departamentului de audit intern 4.2. Comitetul de audit 4.3. Externalizarea activitii de audit intern
5. Relaia dintre departamentul de audit intern i autoritatea de supraveghere 6. Relaia dintre auditorii interni i auditorii externi 7. Desfurarea activitii de audit intern
7.1. Tipuri de audit intern 7.2. Derularea activitii de audit intern bancar 1. Obiective i modaliti de aciune ale auditului intern bancar O.U.G. nr. 57/1999, cu modificrile ulterioare, identific urmtoarele obiective ale auditului intern: a) verificarea conformitii activitilor din entitatea economic auditat cu politicile, programele i managementul acestuia, n conformitate cu prevederile legale;
Audit Bancar
BANCAS
b) evaluarea gradului de adecvare i aplicare a controalelor financiare i nefinanciare dispuse i efectuate de ctre conducerea unitii n scopul creterii eficienei activitii entitii economice; c) evaluarea gradului de adecvare a datelor/informaiilor financiare i nefinanciare destinate conducerii pentru cunoaterea realitii din entitatea economic; d) protejarea elementelor patrimoniale bilaniere i extrabilaniere i identificarea e) metodelor de prevenire a fraudelor i pierderilor de orice fel. Se observ faptul c aici sunt definite, de fapt, cile de aciune pentru ndeplinirea obiectivului auditului intern bancar. ntr-o alt exprimare, cele enumerate ar putea fi categorisite drept obiective intermediare: asigurarea concordanei activitii cu politicile, programele, normele i prevederile legale, creterea eficacitii activitii de control, mbuntirea calitii procesului decizional, ridicarea eficienei activitii. Din norma Bncii Naionale a Romniei, din articolele Seciunii I Obiectivul auditului intern, Capitolul VIII, se pot extrage urmtoarele referiri la acest subiect: Obiectivul auditului intern l reprezint mbuntirea activitii instituiilor de credit i s contribuie la ndeplinirea obiectivelor lor (bncilor) prin prezentarea unei abordri sistematice i disciplinate.. Prin urmare, se poate sintetiza c obiectivul auditului intern bancar este cel de a contribui la ndeplinirea obiectivelor bncilor (mbuntirea activitii reprezentnd obiectivul primar i general al unei bnci), iar obiectivele punctuale, pe domenii de activitate, sunt: a) asigurarea concordanei activitii cu politicile, programele, normele i prevederile legale; b) creterea eficacitii activitii de control; c) mbuntirea calitii procesului decizional; d) creterea eficienei activitii bncii. Pentru realizarea acestor obiective, auditul bancar intern acioneaz pe urmtoarele ci : 1. evaluarea eficienei i gradului de adecvare a sistemului de control intern; 2. evaluarea modului de aplicare i a eficacitii procedurilor de administrare a riscurilor i a metodologiilor de evaluare a riscurilor semnificative;
7
Conform normei B.N.R., capitolul VIII, Seciunea I - Obiectivele auditului intern i Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 9
Audit Bancar
BANCAS
3. analiza relevanei i integritii datelor furnizate de sistemele informaionale de gestiune i financiare, inclusiv de sistemul informatic; 4. evaluarea acurateei i credibilitii nregistrrilor contabile i situaiilor financiare; 5. evaluarea gradului de adecvare a nivelului fondurilor proprii ale instituiilor de credit n funcie de riscurile la care acestea sunt expuse; 6. evaluarea modului n care se asigur protejarea elementelor patrimoniale bilaniere i extrabilaniere i identificarea metodelor de prevenire a fraudelor i pierderilor de orice fel ; 7. testarea att a operaiunilor, ct i a funcionrii procedurilor specifice de control; 8. evaluarea eficienei operaiunilor instituiilor de credit ; 9. evaluarea modului n care sunt respectate dispoziiile cadrului legal, cerinele codurilor de conduit, precum i evaluarea modului n care sunt implementate politicile i procedurile instituiei de credit; 10. testarea integritii, credibilitii i, dup caz, a oportunitii raportrilor, inclusiv a celor destinate utilizatorilor externi. Dup cum se observ, aria de competen alocat auditului intern bancar este atotcuprinztoare: sistem de control intern, administrarea riscurilor, sistem informaional, contabilitate, calitatea administrrii patrimoniului, operaiuni. Astfel, auditul intern apare ca un supra-controlor al controlului intern, este mai mult dect orice form de control extern sau de supraveghere, dar n acelai timp, parte a sistemului de control intern al unei bnci . Prin examinarea problemelor globale ale bncii, evaluarea riscurilor, controlului, calitii, eficienei, tehnologiei i formularea unor opinii clare i adecvate, auditul intern bancar reprezint un instrument foarte valoros pus n slujba conducerii unei bnci, o adevrat eminen cenuie a bncii. n unele ri (printre care i Romnia), dei nregistrrile contabile intr n sfera auditului intern, auditarea situaiilor financiare nu este inclus n competenele acestuia. Astfel, se consider c aceasta cade n responsabilitatea auditorilor externi ai bncii, rolul auditului intern fiind limitat, n acest domeniu, la sprijinirea auditorilor externi. De asemenea, din practica unor ri, se poate observa c exist o tendin din
10 9 8
8 9
Numai n Norma B.N.R. nr. 17/2003 Numai n Norma B.N.R. nr. 17/2003 10 Dac auditul intern este parte a sistemului intern pe care l evalueaz, atunci funcia de audit intern implic o component de autoevaluare 10
Audit Bancar
BANCAS
ce n ce mai pregnant ca aprecierea modului de ncadrare a activitii unei bnci n prevederile legale i normative s se fac nu de ctre auditul intern, ci de ctre o structur organizatoric separat, dedicat acestei problematici. n ceea ce privete funcia de consultan atribuit auditului intern, un studiu al Comitetului de la Basel
11
arat c aceasta ar trebui s fie una auxiliar funciei principale i
c ar trebui exercitat cu foarte mare grij pentru a nu compromite obiectivitatea evalurii activitilor n care auditorii interni au dat consultan. De altfel, n practic, majoritatea timpului este alocat de ctre departamentul de audit pentru realizarea funciei de baz (7595%) i numai 0-20% pentru consultan. Mai mult, activitatea de consultan se limiteaz, de cele mai multe ori, la recomandri legate de controlul aferent unor proiecte sau planuri, fr s fie asumate responsabiliti operaionale. 2. Principiile auditului intern bancar Comitetul de Supraveghere Bancar de la Basel contureaz cadrul de desfurare a activitii de audit intern bancar sub forma unor principii care acoper att caracteristicile generale ale activitii, cerinele referitoare la auditorii interni, ct i desfurarea auditului intern. n cele ce urmeaz, au fost extrase principiile cu caracter de trsturi generale. Ind ependen a audit ului int ern banc ar
12
Departamentul de audit intern al unei bnci trebuie s fie independent de activitile auditate. Departamentul trebuie s fie, de asemenea, independent fa de procesul de control intern de zi cu zi. Aceasta presupune ca departamentului de audit intern s I se dea un statut corespunztor n cadrul bncii i acest departament s i ndeplineasc sarcinile cu obiectivitate i imparialitate. Astfel, pentru asigurarea independenei sale fa de restul activitilor bncii, departamentul de audit intern trebuie s fie subordonat direct conducerii executive a bncii
11
Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002 12 Principiul 5 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000
11
Audit Bancar
BANCAS
sau consiliului de administraie sau comitetului de audit (de pe lng consiliul de administraie). Pe lng asigurarea independenei departamentului n cadrul organigramei bncii, principiul acesta trebuie s se aplice i activitii sale. Departamentul de audit intern trebuie s-i poat exercita atribuiile din iniiativ proprie n toate departamentele, sediile i activitile bncii. Rezultatele activitii sale, evalurile sale trebuie s poat fi fcute cunoscute, pe plan intern, i, n unele cazuri, chiar direct consiliului de administraie, comitetului de audit sau auditorului extern (de exemplu, cnd se apreciaz c o decizie a conducerii executive a bncii a fost luat fr respectarea prevederilor legale). Banca Naional a Romniei subscrie ntru totul la aceste cerine privind asigurarea independenei auditului intern, att prin mijloace organizatorice, ct i funcional instituionale, i opteaz pentru subordonarea departamentului de audit intern fa de consiliul de administraie al bncii, nu fa de conducerea executiv. 2.2. Impa rialit atea audit ului int ern 13 bancar Departamentul de audit intern ar trebui s fie obiectiv i imparial, ceea ce nseamn c ar trebui s fie ntr-o poziie care s-i permit realizarea atribuiilor fr prtinire i fr ingerine. Acest principiu vine n completarea primului enunat, accentund aspectul de independen a judecii pe care auditorii interni trebuie s fie capabili s o fac. Prin urmare, auditorii interni trebuie s nu fie implicai n operaiunile bncii sau n proiectarea procedurilor i implementarea msurilor de control intern, iar cei recrutai din interiorul bncii trebuie s nu fi fost implicai n trecutul apropiat n activitile auditate; totodat, se are n vedere rotirea periodic a domeniilor auditate. Banca Naional a Romniei opineaz c personalul implicat ntr-un angajament de audit pe poate audita un domeniu n care a lucrat numai dup trecerea unei perioade de cel puin un an. Totui, asigurarea imparialitii auditorilor interni nu nseamn c departamentului de audit intern nu i se pot solicita opinii, de ctre conducerea bncii, n legtur cu principiile controlului intern, cu planurile de reorganizare, cu iniierea unor activiti noi importante sau cu risc ridicat, cu gestiunea sistemului informatic i informaional. Implicarea sa trebuie, ns, s se limiteze la acest rol consultativ, i s
13
nu se extind asupra msurilor de
Principiul 7 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 12
Audit Bancar
BANCAS
implementare. Banca Naional a Romniei definete mai clar cadrul n care auditorii interni pot acorda consultan asupra unor operaiuni n care au avut anterior responsabiliti sau pe care le-au auditat, i anume cu condiia de a nu efectua un angajament de audit n anul urmtor
14
n practica unor bnci, pentru asigurarea imparialitii auditorilor interni, sunt impuse reguli cu privire la recrutarea acestora din afara bncii, necorelarea remunerrii acestora cu performana sau profitul bncii, separarea atribuiilor n ceea ce privete implementarea recomandrilor, neimplicarea auditorilor n activitatea de proiectare a procedurilor de control sau administrative. n Romnia, Banca Naional restricioneaz accesul la responsabilitatea de auditori interni persoanelor care sunt soi, rude sau afini pn la gradul al patrulea inclusiv cu conductorii unei bnci. 2.3. Continuitatea auditului intern bancar
15
Auditul intern ar trebui s fie o funcie permanent. n ndeplinirea ndatoririlor i responsabilitilor sale, conducerea bncii ar trebui s ia toate msurile necesare astfel nct banca s poat conta n permanen pe o funcionare adecvat a auditului intern corespunztoare mrimii bncii i naturii operaiunilor sale. Aceste msuri includ asigurarea departamentului de audit intern cu resurse i personal corespunztor pentru ndeplinirea obiectivelor sale. Demn de remarcat este faptul c formularea principiului continuitii auditului intern nu se rezum la partea enuniativ - declarativ, ci se extinde la mijloacele prin care se poate asigura caracterul permanent al acestei activiti: resurse i personal. Astfel, este evideniat faptul c, pe lng calitatea i numrul personalului aferent auditului intern, sunt necesare i resurse financiare adecvate (pentru remunerare, pregtire profesional, deplasri la unitile teritoriale), resurse logistice, informatice i informaionale. Conducerea bncilor verific alocarea de personal i resurse pentru auditul intern, fie permanent, fie anual, comparnd activitatea departamentului cu cea planificat sau fcnd comparaii cu bnci comparabile ca mrime. n medie, personalul alocat activitii de audit
14
Art. 103, Norme nr. 17/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor 13
Audit Bancar
BANCAS
intern ntr-o banc reprezint aproximativ 1% din totalul personalului; procentul acesta variaz n funcie de mrimea bncii i de activitile derulate de ctre aceasta. Banca Naional a Romniei subliniaz faptul c asigurarea unei activiti de audit intern adecvate, corespunztoare dimensiunii i naturii operaiunilor unei bnci cade n sarcina conductorilor instituiei . 2.4. C ompetena profesional
17 16
Competena profesional a fiecrui auditor intern i a departamentului de audit intern, ca ntreg, este esenial pentru ndeplinirea corespunztoare a rolului auditului intern. Departamentul de audit intern trebuie s acopere toate activitile bncii, iar acestea devin din ce n ce mai complexe; mai mult, acestui departament i se pot cere opinii cu privire la noi domenii care ar putea fi introduse n nomenclatorul bncii. Prin urmare, un auditor intern trebuie s aib cunotine nalte, experien vast, s se pregteasc continuu i s i actualizeze permanent cunotinele n domeniul bancar i n cel al tehnicilor de audit. Totodat, acesta trebuie s aib capacitatea de a colecta informaii, de a le examina, de a evalua situaia i de a comunica concluzii. La aceste cerine privind pregtirea profesional, Banca Naional a Romniei adaug exigene morale: auditorii interni trebuie s fie coreci, oneti i incoruptibili . Cu un astfel de portret - robot, recrutarea de specialiti pentru departamentul de audit intern al unei bnci apare ca o provocare pentru departamentul de resurse umane. Dac se iau n considerare i cerinele legate de asigurarea obiectivitii i imparialitii, gestiunea resurselor umane n domeniul auditului intern poate prea chiar o misiune imposibil. Aprecierea adecvrii nivelului de pregtire a candidailor pentru posturile de auditori interni ine de politica fiecrei bnci n domeniu; unele bnci (n special cele mici) pun accentul, n recrutarea personalului pentru audit, mai mult pe cunotine i experien profesionale, dect pe existena unor titluri profesionale. Competena profesional trebuie meninut prin pregtire la locul de munc, pregtire intern i extern, rotaia personalului n cadrul departamentului de audit etc.
15
18
Principiul 4 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 16 Art. 98 (2), Norma B.N.R. nr. 17/2003 17 Principiul 8 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 14
Audit Bancar
BANCAS
2.5.Exhaustivitatea auditului intern
19
Toate activitile i toate entitile unei bnci trebuie s intre n aria de activitate a auditului intern. Nici una dintre activitile sau entitile unei bnci (incluznd sucursale, subsidiare i activiti externalizate) nu poate fi exclus din preocuprile departamentului de audit intern. Totui, pentru o corect nelegere a sferei auditului intern, trebuie fcute nite nuanri i precizri la aceast declaraie de exhaustivitate. La modul general, auditul intern trebuie s examineze i s evalueze eficiena i eficacitatea controlului intern (neles ca sistem, nu ca departament) i modul n care sunt ndeplinite responsabilitile de control. Din acest punct de vedere, activitatea de audit intern reprezint o analiz de risc a sistemului intern de control. n particular, auditul intern trebuie s evalueze: respectarea politicilor, principiilor, regulilor, reglementrilor (fr a se suprapune, totui, cu funcia corespunztoare a controlului intern); integritatea, acurateea i acoperirea informaiilor financiare i de gestiune; continuitatea i soliditatea sistemelor informatice; funcionarea departamentelor bncii. Chiar dac pentru o anume activitate sau entitate exist un departament separat de control i monitorizare, auditul intern trebuie s se ntind i asupra acestei activiti/entiti, precum i asupra controlului acestei activiti/entiti. Subsidiarele bancare i nebancare ale unei bnci trebuie s aib propriile lor sisteme de control intern i propriul audit intern, acesta din urm putnd fi realizat fie de departamentul de audit intern din compania mam, fie de un departament al acestora, subordonat celui din compania mam. n cel de-al doilea caz, principiile de audit intern trebuie s fie stabilite la nivel central, de ctre compania-mam, pentru ntreg grupul de firme, iar departamentul central de audit intern trebuie s se implice n recrutarea i evaluarea auditorilor interni din subsidiare. n msura n care externalizarea unor activiti nu nseamn eliminarea responsabilitilor bncii n acel domeniu, atunci nici auditul intern al bncii nu poate fi exonerat de atribuiile ce-i revin n legtur cu aceste activiti.
18 19
Art. 104, Norma B.N.R. nr. 17/2003 Principiul 9 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 15
Audit Bancar
BANCAS
n Norma Bncii Naionale a Romniei nr. 17/2003, principal, auditul intern induce aceast idee.
principiul exhaustivitii nu
apare distinct formulat, dar enumerarea activitilor pe care trebuie s le cuprind, n
n plus fa de principiile menionate mai sus, Banca Naional menioneaz confidenialitatea care trebuie pstrat de ctre auditorii interni, n sensul de pruden n utilizarea informaiilor, de protecie a informaiilor; acestei cerine trebuie s-i rspund, de fapt, ntreg personalul bncii, aa cum este stipulat i n Legea bancar.
3. Cadrul normativ de desfurare a activitii de audit intern bancar Obiectivele, responsabilitile i principiile activitii de audit intern (unele
prezentate n subcapitolele 2.1. i 2.2) sunt exprimate i sumarizate n unele documente cu caracter internaional (Standardele internaionale ale activitii de audit i Codul de etic a auditorului intern, emise de Institute of Internal Auditors sau cele referitoare la audit, n general, emise de International Auditing Practices Committee din cadrul International Federation of Accountants) i cu caracter naional: Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabil entitilor publice; Normele B.N.R. nr. 17/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor; Norme minimale ale activitii de audit ale Camerei Auditorilor Financiari din Romnia. De menionat este faptul c globalizarea pieelor financiare i a fluxurilor de capital au impus alinierea standardelor naionale de audit la cele internaionale, prin aderarea organizaiilor naionale ale auditorilor la cele internaionale i la documentele emise de acestea (de exemplu, normele elaborate de International Auditing Practices Committee au fost asimilate de ctre Camera Auditorilor din Romnia). Totodat, n ceea ce privete domeniul bancar exist recomandri cu titlu de ndrumar la nivel internaional (principiile enunate de ctre Comitetul de Supraveghere Bancar de la
16
Audit Bancar
BANCAS
Basel), reflectate la nivel naional prin reglementri ale bncilor centrale, iar la nivelul fiecrei instituii bancare prin Statutul (Carta) auditului intern. 3.1. Statutul (carta) auditului intern Carta auditului garanteaz statutul i autoritatea departamentului de audit intern al bncii.
20
Carta auditului trebuie s cuprind, conform principiului enunat de Comitetul de Supraveghere Bancar de la Basel, cel puin urmtoarele: obiectivele i sfera de activitate; poziia departamentului n cadrul organizaiei, drepturile i obligaiile sale; responsabilitile conductorului departamentului de audit intern. B.N.R. adaug la aceste elemente i termenii i condiiile n care auditorii interni pot furniza servicii de consultan sau pot ndeplini sarcini speciale. Carta trebuie s fie ntocmit i revizuit periodic de ctre departamentul de audit intern, aprobat de conducerea bncii i de consiliul de administraie (cu avizul comitetului de audit) i adus la cunotina ntregului personal al bncii. n Carta Auditului Intern
21
elaborat de ctre Bank for International Settlements, cu
valoare de ndrumar pentru bnci, sunt stipulate ca i componente ale cartei declararea misiunii, a independenei i obiectivitii auditului intern, definirea sferei de cuprindere i a responsabilitilor, delimitarea autoritii i a standardelor acestei activiti. Conform acestui document, misiunea auditului intern este aceea de a asigura realizarea operaiunilor bncii n conformitate cu cele mai nalte standarde. n ceea ce privete poziia departamentului de audit intern n cadrul bncii, aceasta este definit prin poziia efectiv n cadrul organigramei i diagrama de relaii care i asigur independen (departamentul rspunde direct conducerii bncii i raporteaz ctre comitetul de audit numit de ctre consiliul de administraie) i prin delimitarea activitilor sale fa de celelalte operaiuni ale bncii, care i confer obiectivitate (auditul intern nu este implicat n activitile zilnice de control, care sunt realizate de ctre fiecare structur organizatoric).
20
Principiul 6 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 21 Internal Audit Charter, Internal Audit, Version 1.0, martie 2003 17
Audit Bancar
BANCAS
Potrivit Cartei, sfera de activitate a auditului intern include revizuirea procedurilor de management al riscurilor, a sistemului intern de control, a sistemelor informaionale i a procesului de conducere (detaliate la subcapitolul 2.1.). n ceea ce privete autoritatea, Carta statueaz dreptul auditului intern de a avea acces n toate domeniile bncii, la toate documentele, la toate informaiile necesare, din documente, nregistrri sau de la persoane, de a comunica cu orice membru al personalului bncii. n plus fa de aceasta, B.N.R. menioneaz necesitatea ca statutul s prevad, n mod expres, dreptul la iniiativ al auditorului intern, precum i dreptul acestuia de a avea acces la informaii destinate conducerii i procese verbale i alte materiale cu caracter similar ale tuturor organelor de decizie i consultative, care prezint relevan n ndeplinirea atribuiilor sale.
22
Responsabilitile definite n acest document se refer att la nivelul departamentului de audit intern, ct i la conductorul acestuia, legate de planificarea, desfurarea, raportarea activitii de audit intern, precum i de relaia cu auditul extern. Carta stipuleaz faptul c activitatea de audit intern ar trebui s se desfoare n conformitate cu standardele celei mai bune practici profesionale (best professional practice), aa cum au fost acestea definite de Institutul Auditorilor Interni sau de Comitetul de Supraveghere Bancar de la Basel. Dup cum se poate observa, statutul activitii de audit intern reprezint actul normativ care reglementeaz activitatea de audit intern, regulamentul de organizare i funcionare a departamentului respectiv n cadrul bncii. 3.2. S tandardele int ern ai onale de audit int ern ale Insti tut ului Auditoril or Interni ( Insti tut e of Internal Auditors) Dat fiind diversitatea de medii culturale i legale, de organizaii n care funcioneaz auditul intern, Institutul Auditorilor Interni a emis n iunie 1999 un set de Standarde Internaionale pentru Practica Profesional a Auditului Intern, pentru a stabili responsabilitile eseniale ale acestei activiti, indiferent de domeniul sau mediul n care se desfoar (aplicabile, deci, i bncilor) i care constituie, practic, echivalentul principiilor enunate de Bank for International Settlements. Aceste Standarde definesc principiile de baz i cadrul de desfurare (Attribute Standards), cuantificarea performanei auditului intern (Performance Standards) i modul
22
Art. 111 (1) din Norma nr. 17/2003 ale B.N.R. 18
Audit Bancar
BANCAS
de aplicare a standardelor cu caracter general la unele aciuni concrete (Implementation Standards). Menionarea acestor standarde internaionale este fcut doar cu titlu informativ, expunerea privind activitatea de audit intern bancar fiind axat pe principiile enunate de Comitetul pentru Supraveghere Bancar de la Basel i pe actul normativ al Bncii Naionale a Romniei. 3.3. Cod ul de eti c a audi torului int ern Comitetul de Practici Internaionale de Audit (International Auditing Practices Committee) din cadrul International Federation of Accountants a elaborat un Cod de etic profesional n domeniul auditului, cod la care face trimitere i legislaia romn n vigoare referitoare la audit financiar . n ceea ce privete auditul intern bancar, i norma Bncii Naionale a Romniei face referire la un cod privind conduita etic a auditorului intern , fr a preciza dac este vorba despre cel menionat mai sus sau de Codul de etic a auditorului intern elaborat de Institutul Auditorilor Interni. Acesta din urm, la care se raporteaz i Comitetul de Supraveghere Bancar de la Basel, statueaz principiile pe care trebuie s le urmeze auditorii interni (n concordan cu principiile auditului intern), precum i conduita care trebuie respectat pentru aplicarea acestor principii. Astfel, activitatea auditorului intern trebuie s se nscrie pe urmtoarele coordonate: integritate; obiectivitate (analiza realizat de auditorul intern trebuie s fie echilibrat i neinfluenat de propriile interese sau interesele unor alte persoane); confidenialitate (auditorul intern trebuie s nu dezvluie informaiile la care are acces n activitatea sa dect n situaiile prevzute prin reglementri); competen (auditorul intern trebuie s aib pregtirea i experiena necesare pentru activitatea sa).
24 23
23
Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003
24
Art. 104, Norma B.N.R.nr. 17/2003 19
Audit Bancar
BANCAS
Integritatea nseamn c auditorul intern trebuie s-i ndeplineasc atribuiile cu onestitate, diligen i responsabilitate; trebuie s nu ia parte, cu bun tiin, la activiti ilegale sau s se angajeze n aciuni care pot s-l discrediteze; trebuie s respecte legea i s fac numai dezvluirile permise de lege sau de profesie; trebuie s respecte i s contribuie la realizarea obiectivelor etice ale organizaiei din care face parte. Pentru meninerea obiectivitii, auditorul intern trebuie s nu participe la activiti sau s nu aib relaii sau s nu accepte ceva care s-i influeneze judecata profesional, iar dac are cunotin despre un fapt care ar putea distorsiona activitatea, trebuie s dezvluie acel fapt. Respectarea principiului confidenialitii presupune pruden n utilizarea informaiilor, protejarea informaiilor la care are acces n ndeplinirea atribuiilor i neutilizarea informaiilor n folos personal sau n oricare alt manier care ar putea aduce atingere intereselor organizaiei din care face parte. Competena n activitatea auditorului intern nseamn ca acesta s nu se angajeze n activiti pentru care nu are pregtirea i experiena necesar, s respecte standardele internaionale de audit i s i perfecioneze continuu pregtirea profesional i calitatea serviciilor. 4. Organizarea auditului intern bancar Activitatea de audit intern bancar se realizeaz prin dou forme organizatorice: departamentul de audit intern i comitetul de audit. Despre departamentul de audit s-a vorbit cu prilejul prezentrii principiilor activitii i a cartei auditului intern, att din punct de vedere al locului su n cadrul organigramei bncii, ct i din punctul de vedere al atribuiilor i responsabilitilor. n legtur cu acesta, un singur aspect merit s mai fie detaliat, i anume cel referitor la conductorul departamentului de audit. 4.1.Atribuiile i responsabilitile conductorului departamentului de audit intern bancar Pornind de la principiul 12 enunat Comitetul de Supraveghere Bancar de la Basel , norma Bncii Naionale a Romniei departamentului de audit intern.
25
25
26
realizeaz o adevrat fi a postului de conductor al
Conductorul departamentului de audit intern trebuie s fie responsabil pentru asigurarea desfurrii activitii acestuia n conformitate cu principii interne de audit solide. 20
Audit Bancar
BANCAS
Conform acesteia, coordonatorul departamentului de audit intern rspunde de: 1) dezvoltarea i meninerea unui program de asigurare a calitii i mbuntirea activitii de audit intern; 2) monitorizarea i evaluarea eficienei programului de asigurare a calitii auditului intern; 3) asigurarea competenei profesionale a auditorilor interni, pregtirea profesional a acestora, asigurarea resurselor adecvate desfurrii activitii; 4) stabilirea politicilor i procedurilor aferente activitii de audit intern; 5) coordonarea activitilor desfurate de auditorii interni din cadrul bncii cu cele ale furnizorilor de servicii de audit intern din afara bncii; 6) elaborarea planului de audit intern; 7) informarea consiliului de administraie i a comitetului de audit cu privire la activitatea desfurat. Pentru a completa fia acestuia, ar mai trebui fcut referire i la cerinele de pregtire profesional pentru ocuparea postului, n conformitate cu Statutul auditului intern, Codul de etic a auditorului intern, i la cerina legal, din Romnia, ca acesta s fie auditor financiar . 4.2.Comitetul de audit Norma Bncii Naionale a Romniei nr. 17/2003 (Art. 120 (1)) instituie obligativitatea existenei unui comitet de audit n cadrul fiecrei bnci, prelund recomandarea Comitetului de la Basel pentru Supraveghere Bancar. Motivaia acestei recomandri rezid n necesitatea existenei unui organ consultativ, cu caracter permanent, care s sprijine consiliului de administraie al unei bnci n ndeplinirea dificilei sarcini de a menine i ntri sistemul de control intern. i n ceea ce privete componena, competenele i funcionarea comitetului de audit, Banca Naional a Romniei aplic recomandrile Comitetului de la Basel. Se precizeaz, astfel, c activitatea comitetului trebuie s se desfoare pe baza unui regulament aprobat de ctre consiliul de administraie.
27
26 27
Art. 113, Norma B.N.R. nr. 17/2003 Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003
21
Audit Bancar
BANCAS
Referitor la componena comitetului, sunt nsuite recomandrile Comitetului de la Basel menite s mpiedice apariia situaiilor de conflict de interese (membrii s fie membri ai consiliului de administraie, dar s nu fi fost sau s nu fie conductori ai acesteia), precum i cele referitoare la competena profesional (experien corespunztoare, iar cel puin un membru s aib experien n domeniul auditului sau contabilitii). Competenele comitetului sunt fie de ordin general (ncurajarea comunicrii dintre consiliul de administraie, conductorii bncii, auditul intern, auditorul extern i organismul de supraveghere bancar), fie specifice: avizarea cartei auditului intern, a planului de audit i a necesarului de resurse pentru aceast activitate; asigurarea relaiei cu auditorul extern, n sensul primirii planului de audit de la auditorul extern, a concluziilor i recomandrilor acestuia ; analiza constatrilor i recomandrilor auditului intern i a planului de implementare a acestora. Dup unele opinii , n fruntea acestor competene ar trebui s se afle cea legat de alegerea celui mai bun candidat pentru postul de coordonator al departamentului de audit intern; comitetul de audit trebuie s se asigure c persoana desemnat corespunde profilului moral i profesional potrivit funciei. Zonele principale de preocupare a comitetului de audit se refer la funcionarea sistemului de control intern i a departamentului de audit intern, ariile de risc ce trebuie acoperite de auditul intern i cel extern, corectitudinea i credibilitatea informaiilor financiare furnizate conducerii bncii i altor instituii, conformarea bncii cu prevederile cadrului legal i normativ. Stabilirea periodicitii ntrunirilor comitetului de audit este lasat de Banca Naional a Romniei la latitudinea bncilor, pentru a fi stabilit n cadrul regulamentului comitetului. Dup unele preri , comitetul de audit ar trebui s se ntlneasc de cel puin patru ori pe an, iar una dintre aceste ntruniri trebuie s fie dedicat situaiilor financiare anuale.
30 29 28
28
n proiectul normei B.N.R., fusese inclus ca atribuie i formularea unei recomandri cu privire la numirea auditorului extern; n norma aprobat aceasta apare la capitolul de activiti permise (Art. 126). 29 Asking the Right Questions: Sage Advice for Audit Committees, Jacqueline K. Wagner, General Auditor, revista Directors and Boards, septembrie 2000 30 TCF Financial Corporation, Audit Committee Charter, octombrie 2002 22
Audit Bancar
BANCAS
4.3.Externalizarea activitii de audit intern Externalizarea poate aduce avantajele unei expertize nalte, mai ales pe proiecte speciale de audit, dar poate genera i riscuri pentru banc (cum ar fi riscul de pierderi sau riscul de a avea control redus asupra activitii externalizate). Aceste riscuri trebuie s fie monitorizate i gestionate atent, cu att mai mult cu ct activitatea de audit intern este foarte important, iar consiliul de administraie al bncii rmne responsabil de funcionarea eficient a sistemului de control i n cazul externalizrii unei pri a acestuia. n unele ri, ideea externalizrii (totale) auditului intern nu este agreat, considerndu-se c departamentul de audit intern al bncii trebuie s aib nivelul necesar de competen profesional pentru a acoperi toate activitile cheie ale bncii. Totui, se admite ideea cooptrii unui expert extern care s fac anumite evaluri pentru departamentul de audit (externalizare parial). Banca Naional a Romniei este favorabil ideii de externalizare a unei activiti bancare, dar n limite clar definite printr-o politic a bncii, n condiiile existenei unor proceduri de administrare a riscurilor asociate activitilor externalizate i cu stipularea clar a responsabilitilor fiecrei pri implicate n cadrul contractului de prestri servicii. Astfel, n opinia bncii centrale, procedurile de administrare a riscurilor ataate activitilor externalizate trebuie s se refere cel puin la urmtoarele aspecte: criteriile de evaluare a societii prestatoare de servicii, nivelul de competen de aprobare a externalizrii, monitorizarea permanent a derulrii contractului de externalizare i existena unor planuri alternative pentru cazul n care este necesar schimbarea societii prestatoare de servicii. n ceea ce privete cazul particular al auditului intern, Banca Naional stabilete c decizia de externalizare total sau parial a acestuia trebuie s aparin consiliului de administraie a bncii, cu avizul comitetului de audit i pe baza fundamentrilor i propunerilor formulate de ctre coordonatorul activitii de audit intern (care trebuie s rmn n interiorul bncii). n ceea ce privete firma prestatoare de servicii de audit intern, n unele ri (i n Romnia ) este impus condiia ca aceasta s fie diferit de auditorul extern, dar prerea unanim mprtit este aceea c trebuie s ndeplineasc condiii de competen profesional i de performan financiar. Referitor la performana financiar, norma Bncii
31
31
Art. 87 (b) din Normele nr. 17/2003 ale B.N.R. 23
Audit Bancar
BANCAS
Naionale a Romniei reine indicatorul de solvabilitate, dar pune accent pe indicatorii de calitate ai firmei respective: reputaia, calitatea serviciului, personal competent, specializarea n auditarea respectivei categorii de instituie financiar etc. Deosebit de important, dup alegerea auditorului intern din afara bncii, este alocarea clar a responsabilitilor fiecrei pri n cadrul contractului de prestri servicii. Astfel, trebuie s se stipuleze cel puin urmtoarele drepturi i obligaii ale bncii contractante: asigurarea existenei unor date actualizate i a altor informaii, msurile ce se pot lua mpotriva societii prestatoare de servicii n cazul nclcrii confidenialitii, necesitatea aprobrii planului de audit intern. n sarcina societii prestatoare de servicii trebuie reinute cel puin urmtoarele obligaii: asigurarea accesului unor entiti din Romnia la datele i informaiile aferente operaiunilor din Romnia, n cazul externalizrii unor activiti n afara granielor rii, asigurarea securitii/confidenialitii datelor (prin angajamentul de confidenialitate, separarea datelor bncii de cele ale societii i de cele ale altor clieni ai acesteia), asigurarea resurselor necesare pentru realizarea prevederilor contractuale. Studiul efectuat de Comitetul de la Basel
32
relev faptul c externalizarea auditului
intern nu este o practic obinuit n cele mai multe ri, iar atunci cnd se recurge la servicii externe, acestea sunt, de obicei, furnizate de o firm din cadrul grupului de care aparine banca respectiv. De cele mai multe ori, bncile mici i externalizeaz auditul intern , dar numai activitatea n sine, nu i responsabilitatea. 5. Relaia dintre departamentul de audit intern i autoritatea de supraveghere Relaia dintre autoritatea de supraveghere i departamentul de audit intern al unei bnci ar trebui s fie una bivalent: pe de o parte, de control exercitat de ctre autoritate asupra activitii de audit intern, iar pe de alt parte, de colaborare. Autoritatea de supraveghere bancar ar trebui s
33
evalueze
activitatea
departamentului de audit intern al bncii i, n cazul n care rezultatul este satisfctor, se poate baza pe aceasta pentru a identifica domeniile cu risc potenial .
32
Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002 33 Principiul 13, Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
24
Audit Bancar
BANCAS
Aceasta reprezint o abordare indirect pentru evaluarea eficienei i calitii sistemului de control intern, din care face parte i auditul intern. Evaluarea activitii desfurate de auditul intern se poate face pe baza principiilor i regulilor cuprinse n reglementrile bancare referitoare att la organizarea i funcionarea auditului intern, ct i la sistemele de control intern i de administrare a riscurilor, pe baza statutului auditului intern i a codului de conduit a auditorilor interni. n cazul n care supra-controlul ntr-o banc este de o calitate satisfctoare, autoritatea de supraveghere poate prelua rapoartele acestuia pentru a identifica problemele sistemului de control intern din cadrul bncii sau pentru a identifica ariile cu risc potenial care nu au intrat recent n vizorul auditului intern. n ceea ce privete colaborarea dintre autoritatea de supraveghere i departamentul de audit al bncii, Comitetul privind Supravegherea Bancar de la Basel opineaz c ar trebui s aib loc consultri periodice ntre cele dou pri n care s se discute domeniile cu risc i msurile luate pentru acoperirea riscurilor. Totodat, aceste discuii ar trebui lrgite la nivelul ntregului sistem bancar, pentru subiecte de interes comun, ce in de politici i de reglementri. Comentariile Comitetului n legtur cu relaia de colaborare merg pn la a sugera ca autoritatea de supraveghere s fie un scut de protecie al conductorului departamentului de audit intern al unei bnci, care sa-l protejeze de msurile pe care conducerea bncii deranjat de sesizrile acestuia le-ar putea lua. Aceste recomandri au fost aplicate n practic, dup cum relev studiul Comitetului de la Basel ; organismele de supraveghere evalueaz munca departamentelor de audit din bncile pe care le controleaz prin ntlniri periodice, evaluri la faa locului i rapoarte. Totodat, au loc consultri pe probleme de funcionare a departamentului de audit, de reglementri n domeniul supravegherii i implicaiile acestora asupra controlului intern i a auditului intern. 6. Relaia dintre auditorii interni i auditorii externi n opinia Comitetului privind Supravegherea Bancar de la Basel, auditorii interni i cei externi ar trebui s colaboreze. Aceast prere mbrac forma unei recomandri fcute autoritii pentru supraveghere bancar : Autoritile de supraveghere ar trebui s ncurajeze
34
34
Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002 25
Audit Bancar
BANCAS
consultarea dintre auditorii interni i externi pentru a face cooperarea lor ct mai eficient i mai eficace.
35
Pe de o parte, se consider c auditorii externi pot avea un impact important asupra calitii controlului intern prin activitile lor de audit, inclusiv prin discuiile cu conducerea i consiliul de administraie al bncii, cu comitetul de audit, sau prin recomandrile fcute cu privire la mbuntirea controlului intern. Pe de alt parte, auditorului extern ar trebui s i se pun la dispoziie rapoartele de audit intern referitoare la situaiile financiare ale bncii i ar trebui s fie informat cu privire la toate aspectele importante sesizate de auditorul intern n domeniul acesta. De asemenea, conductorului departamentului de audit intern i revine sarcina de a contribui la determinarea naturii, perioadei i ntinderii auditului extern astfel nct cele dou activiti s fie coordonate i s nu se produc suprapuneri inutile. Mijloacele de cooperare i comunicare se refer la ntlniri periodice pentru a discuta probleme de interes comun, tehnici, metode i terminologie specifice auditului, precum i schimbul de rapoarte de audit. Organismele de supraveghere subliniaz importana consultrilor periodice dintre auditorii interni i cei externi pentru coordonarea mai bun a aciunilor i evitarea duplicrii activitii de audit. Relaiile dintre auditul intern al unei bnci i auditorul extern i autoritatea de supraveghere sunt, astfel, prezentate ntr-o ipostaz mai puin obinuit pentru cultura bancar romneasc, unde exist ideea ori a unui raport de concuren, de for, ori a unui raport antagonic. Dac se analizeaz obiectivele activitii tuturor acestor trei factori, se poate observa c exist o convergen evident a intereselor lor, care impune n mod firesc ideea de colaborare. i dac acest lucru devine evident, nu mai trebuie dect ncrederea prilor pentru ca relaia de colaborare s funcioneze .
36
35
Principiul 16, Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001 36 If there is no trust, co-operation cannot exist. - Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
26
Audit Bancar
BANCAS
7. Desfurarea activitii de audit intern 7.1 Tipuri de audit intern Normele B.N.R. nr. 17/2003
37
preiau, atunci cnd se refer la formele de audit intern,
specifice unui angajament de audit, clasificarea dat de Comitetul de la Basel: a) audit financiar n scopul evalurii credibilitii sistemului contabil i informatic i a situaiilor financiare anuale; b) audit de conformitate referitor la conformitatea activitii bncii cu legile, reglementrile i procedurile; c) audit operaional const n verificarea calitii i adecvrii sistemelor i procedurilor, analiza critic a structurii organizatorice, evaluarea adecvrii metodelor i resurselor n raport cu obiectivele stabilite; d) audit al conducerii cu obiectivul de a evalua din punct de vedere calitativ modul n care este exercitat funcia de conducere pentru ndeplinirea obiectivelor instituiei de credit. Departamentul de audit intern al unei bnci examineaz i evalueaz toate activitile bncii, desfurate de toate entitile acesteia. Prin urmare, auditul intern nu trebuie s se concentreze numai pe un anumit tip de audit, ci s utilizeze forma de audit cea mai adecvat obiectivului de audit ce trebuie atins. Mai mult, activitatea de audit nu trebuie s se structureze numai pe auditarea diverselor departamente ale bncii, ci i pe activiti derulate prin aportul mai multor departamente. Banca Naional a Romniei identific , de asemenea, i urmtoarele tipuri de servicii de consultan pe care departamentul de audit le poate realiza: angajamente oficiale de consultan planificate i formalizate ntr-un document scris; angajamente neoficiale de consultan participarea la comitete permanente, proiecte pe durat limitat, ntruniri ad-hoc i schimb de informaii; angajamente speciale de consultan participri la fuziuni i achiziii; angajamente de consultan pentru cazuri deosebite participarea ntr-o echip stabilit pentru redresarea sau meninerea activitilor dup un dezastru sau alt eveniment
38
37 38
Art. 114 (1), Norma nr. 17/2003 a Bancii Naionale a Romniei Art. 114 (2), Norma nr. 17/2003 a Bncii Naionale a Romniei 27
Audit Bancar
BANCAS
extraordinar sau ntr-o echip desemnat s acorde sprijin pentru ndeplinirea unei cerine speciale. 7.2. Derular ea acti vit i i de audit int ern banc ar a. Activitatea departamentului de audit intern se desfoar n baza unui plan de audit, ntocmit de conductorul departamentului, avizat de comitetul de audit i aprobat de ctre consiliul de administraie i de conductorii bncii. La baza ntocmirii planului de audit trebuie s se afle nelegerea activitilor semnificative ale bncii i evaluarea riscurilor asociate acestora. Evaluarea riscurilor are loc pe baza unei metodologii, a unor principii stabilite de ctre conductorul departamentului de audit intern, care trebuie actualizate periodic astfel nct s reflecte schimbrile din sistemul de control intern, din activitatea bncii (att din punct de vedere operaional, ct i din punct de vedere strategic). Evaluarea riscurilor se face pentru toate activitile i toate entitile bncii, precum i pentru ntregul sistem de control intern. Pe baza rezultatelor acestor evaluri se ntocmete planul de audit, un plan multianual; acesta trebuie s ncorporeze, astfel, i o component de previziune, respectiv inovrile i dezvoltrile estimate i gradul general de risc mai ridicat asociat noilor activiti. Planul trebuie astfel alctuit nct s acopere, ntr-o perioad rezonabil
39
(de exemplu, de trei ani),
toate activitile i entitile semnificative. Planul trebuie s cuprind termenele, natura i frecvena angajamentelor planificate, precum i resursele necesare pentru realizarea acestuia, inclusiv cele de personal (att din punct de vedere numeric, ct i din punct de vedere al competenei profesionale). n opinia Comitetului de la Basel , planul de audit intern trebuie s fie realist, adic s rezerve timp i pentru alte angajamente (de consultan) i pentru pregtire profesional. Totodat, planul poate face obiectul revizuirii i actualizrii ori de cte ori este necesar. b. Pentru derularea fiecrui angajament de audit se realizeaz un program de audit; acesta descrie obiectivele urmrite i etapele activitii de audit.
39
40
n opinia B.N.R., aceast perioad trebuie stabilit prin statutul auditului intern (Art. 115 (4), Normele nr. 17/2003) 40 Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
28
Audit Bancar
BANCAS
n realizarea acestuia, auditorii interni trebuie s in seama de: obiectivele activitii auditate i mijloacele prin care activitatea i controleaz performana; riscurile semnificative pentru activitatea respectiv, obiectivele, resursele, operaiunile i metodele prin care impactul potenial al riscului este meninut la un nivel acceptabil; adecvarea i eficacitatea a administrrii riscurilor i a sistemelor de control n comparaie cu un model de control relevant; oportunitile de a aduce mbuntiri semnificative activitii de administrare a riscurilor i de control . Prin urmare, obiectivele programului trebuie s reflecte rezultatele evalurii riscurilor identificate pentru activitatea auditat. Resursele i perioada de timp alocate trebuie s corespund caracteristicilor activitii auditate, complexitii acesteia i expunerilor la risc. Programul de audit reprezint un instrument relativ flexibil, ce poate fi adaptat i completat n funcie de riscurile identificate pe parcursul derulrii angajamentului; acesta, precum i modificrile ulterioare, fac departamentului de audit intern. Procedurile de identificare, analiz, evaluare i nregistrarea a informaiilor pe perioada de desfurare a angajamentului de audit sunt cuprinse, dup metode bine determinate, n fie de lucru, aprobate de conductorul departamentului de audit intern nainte de nceperea angajamentului. Coordonatorul departamentului de audit trebuie s stabileasc politici privind pstrarea datelor aferente fiecrui angajament i privind comunicarea acestora unor tere pri, cu acordul conducerii bncii. Tot coordonatorului departamentului de audit intern i revine sarcina de a superviza desfurarea angajamentelor pentru a se asigura c obiectivele acestora vor fi atinse, c activitatea se ridic la standardele de calitate dorite i c personalul este alocat eficient. Standardul de audit 2400 , referitor la comunicarea rezultatelor angajamentului de audit, stipuleaz: Auditorii interni trebuie s comunice rezultatele angajamentului cu
41
41
obiectul aprobrii de ctre conductorul
42
International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors, October, 2001 42 International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors, October, 2001
29
Audit Bancar
BANCAS
promptitudine. Aceast meniune se refer att la comunicarea, pe parcursul derulrii angajamentului, a unor informaii ce necesit atenie imediat sau a stadiului derulrii angajamentului, sub forma unor rapoarte interimare, ct i la ntocmirea, ntr-o perioad ct mai scurt de la ncheierea angajamentului, a raportului de audit. Raportul de audit rezultat n urma unui angajament trebuie s prezinte obiectivele, scopul i ntinderea angajamentului, perioada auditat, constatrile (inclusiv cele referitoare la stadiul ndeplinirii recomandrilor din angajamente anterioare), rspunsurile structurii auditate, recomandrile auditului intern i un plan de aciuni pentru punerea n aplicare a acestora. Raportul de audit este transmis conducerii structurii auditate i, ntr-o form sumar, conductorilor bncii. n cazul n care raportul conine informaii privilegiate, legate de aciuni ilegale sau necorespunztoare, care nu trebuie cunoscute de ctre toi destinatarii raportului, acestea trebuie s fie dezvluite ntr-un raport separat, transmis consiliului de administraie. Conductorul departamentului de audit intern are ca obligaie monitorizarea implementrii recomandrilor fcute n urma angajamentelor de audit. Aceast misiune este facilitat de instrumentul folosit, i anume planul de aciuni; acesta stabilete importana recomandrii fcute, responsabilitile persoanelor implicate n remedierea deficienelor constatate, termenul de ndeplinire a recomandrii, complexitatea msurii de corectare i implicaiile nerealizrii acestei msuri. Rezultatele monitorizrii trebuie aduse la cunotin, cel puin semestrial, consiliului de administraie i comitetului de audit. La nivelul departamentului de audit intern se pstreaz evidena angajamentelor de audit i a rapoartelor rezultate n urma acestora Pe aceast baz se poate face evaluarea eficienei programului de asigurare a calitii activitii de audit, respectiv: conformitii cu normele de audit intern i codul de conduit; adecvarea activitii de audit intern la statutul auditului intern, obiectivele, politicile i procedurile aferente; contribuia auditului intern la mbuntirea procesului de administrare a riscurilor, de conducere i la sistemul de control intern; modul n care auditul intern a contribuit la mbuntirea activitii bncii. - evaluarea
30
Audit Bancar
BANCAS
Pentru evaluarea calitii activitii departamentului de audit intern ntr-o anumit perioad de timp se pot folosi o serie de indicatori: 43
indicatori ai activitii: numr de angajamente realizate; numrul activitilor i structurilor auditate; numrul recomandrilor propuse; numrul recomandrilor aplicate, numrul de zile alocate, n medie, unui angajament; numrul de zile alocate, n medie, pentru fiecare faz a angajamentelor; evoluia numrului i tipului de deficiene constatate;
indicatori de gestiune: cheltuieli cu salarizarea auditorilor interni; pregtirea profesional a auditorilor interni; alte cheltuieli;
cheltuieli cu
indicatori de organizare: numr de angajamente pe auditor intern; numr de teme noi pe auditor intern; indicatori de animaie: numr de edine n echip; numr de zile alocate pentru formarea profesional a auditorilor interni. n ultim instan, performanele financiare ale instituiei bancare obinute n condiii
de bun gestionare a riscurilor reprezint indicatorul final care exprim i eficiena i eficacitatea activitii de audit intern. Cuvinte cheie Independena auditului Imparialitatea auditului Continuitatea auditului Externalizarea auditului Competena profesional Exhaustivitatea auditului Statutul auditului intern Codul de etic Conducatorul auditului Comitetul de audit
Autoritatea de supraveghere Auditori externi
Exerciii i ntrebri 1. Ce reprezint independena, imparialitatea, continuitatea i exhaustivitatea auditului intern bancar? 2. Ce caliti i competene trebuie s ndeplineasc un conductor al departametului de audit intern?
43
Vasile Dedu -Gestiune i audit bancar, pag. 322 323, Editura Economic, Bucureti, 2003 31
Audit Bancar
BANCAS
3. Creonai dup propria inspiraie un model de statut al auditului intern.
32
Audit Bancar
BANCAS
CAPITOLUL 3
CONTROLUL INTERN BANCAR
1. Obiectivele controlului intern bancar 2. Elementele principale ale sistemului de control intern bancar
2.1. Rolul i responsabilitile consiliului de administraie i ale conductorilor bncii 2.2. Identificarea i evaluarea riscurilor 2.3. Activitile de control i separarea atribuiilor 2.4. Informare i comunicare 2.5. Activitile de monitorizare i de corectare a deficienelor
3. Evaluarea sistemelor de control intern de ctre autoritile de supraveghere

Controlul intern bancar Dup cum s-a artat n capitolul precedent, unul dintre principalele obiective ale auditului intern l reprezint evaluarea eficienei i a gradului de adecvare a sistemului de control intern, a crui parte component este. Controlul intern, aa cum este definit de Norma B.N.R. nr.17/2003 i de Comitetul de la Basel , reprezint un proces continuu la care particip consiliul de administraie, conductorii, precum i personalul bncilor. Este subliniat astfel faptul c nu este vorba doar despre o procedur sau o politic aplicat la un moment dat, ci de un cumul de aciuni desfurate continuu la toate nivelurile bncii. Interesul acordat controlului intern i caracterului su continuu este consecina analizei cauzelor care au determinat nregistrarea de pierderi semnificative de ctre unele bnci; aceast analiz a identificat lipsa unor sisteme de control intern adecvate ca fiind un determinant major al pierderilor. Concluzia tras din aceste experiene a fost c un sistem de control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern
44
44
Framework for internal control systems in banking organisations, Basle Committee on Banking Supervision, Basle, septembrie 1998 33
Audit Bancar
BANCAS
eficient reprezint o component critic a gestionrii unei bnci, care poate sprijini realizarea obiectivelor bncii i atingerea intelor sale de profitabilitate. 1. Obiectivele controlului intern bancar Definiia dat mai sus cuprinde trstura pregnant a controlului intern, participanii la acest proces, dar nu este complet; lipsete partea referitoare la coninutul acestei activiti, care se regsete descris prin obiectivele controlului intern. Principalele obiective ale procesului de control intern pot fi categorisite astfel: 1. eficiena i eficacitatea activitilor (obiective de performan); 2. relevana, credibilitatea , caracterul complet i oportun al informaiilor financiare i de gestiune (obiective privind informaia); 3. conformitatea cu legile i reglementrile aplicabile (obiective de conformitate). Obiectivele de performan ale controlului intern se refer la eficiena i eficacitatea cu care banca i utilizeaz activele i alte resurse i la protecia bncii mpotriva pierderilor. Prin proiectarea normelor de control intern trebuie s se asigure c ntregul personal al bncii se preocup de atingerea obiectivelor acesteia cu eficien i integritate, fr costuri excesive i fr a plasa alte interese naintea celor ale bncii. Obiectivele privind informaiile sunt legate de pregtirea n mod operativ a unor rapoarte relevante i de ncredere, care s stea la baza procesului de luare a deciziilor n banc. Totodat, se refer la informaiile financiare, la situaiile financiare anuale i altele de acest gen, destinate consiliului de administraie, acionarilor, organismelor de supraveghere, a cror calitate i integritate este absolut necesar pentru luarea deciziilor. Obiectivele de conformitate trebuie atinse pentru a proteja reputaia i autorizaia de funcionare, prin respectarea legilor, cerinelor autoritii de supraveghere, normelor i politicilor interne. 2. Elementele principale ale sistemului de control intern bancar Procesul de control intern, iniial conceput ca un mecanism de reducere a riscurilor de fraud, furt i eroare, a cptat n timp multe alte valene, adresndu-se unei varieti mai mari de riscuri cu care se confrunt banca i de acoperirea crora depinde realizarea obiectivelor bncii. Controlul intern cuprinde cinci elemente aflate n strns corelare:
34
Audit Bancar
BANCAS
1. supravegherea exercitat de ctre consiliul de administraie i conducerea bncii; 2. identificarea i evaluarea riscurilor; 3. activitile de control i separarea atribuiilor; 4. informarea i comunicarea; 5. activitile de monitorizare i de corectare a deficienelor. Problemele identificate n analiza pierderilor suferite de bnci se circumscriu acestor cinci elemente, a cror funcionare este esenial pentru atingerea celor trei obiective ale controlului intern. 2.1. R olul i responsabilitil e consi li ului de admi nist rai e i ale conduc torilo r bncil or Consiliul de administraie ar trebui s aib responsabilitatea aprobrii i revizuirii periodice
45
a strategiilor de ansamblu i a politicilor semnificative ale bncii; nelegerii
riscurilor majore cu care banca are de-a face, stabilirii nivelurilor acceptabile ale acestor riscuri i asigurrii c sunt luate msurile necesare de ctre conducerea bncii pentru a identifica, msura, monitoriza i controla aceste riscuri; aprobrii structurii organizatorice; i asigurrii asupra faptului c eficacitatea sistemului de control intern este monitorizat de conducerea bncii. Consiliul de administraie este responsabil, n ultim instan, pentru stabilirea i meninerea unui sistem de control intern adecvat i eficient.
46
Consiliul de administraie ndrum i supravegheaz conducerea bncilor, iar pentru a ndeplini aceste atribuii membrii acestuia trebuie s fie obiectivi, capabili, cu o pregtire profesional adecvat, s aib o bun cunoatere a activitilor bncii i a riscurilor cu care se confrunt aceasta. n acest sens, Legea nr. 485/2003 pentru modificarea i completarea Legii bancare nr. 58/1998 impune condiii cu privire la experiena profesional necesar pentru a putea fi membru al consiliului de administraie al unei bnci, i anume experien de minimum 3 ani n domeniul financiar bancar sau ntr-un domeniu care poate fi considerat relevant pentru activitatea bncii. Totodat, pentru a permite meninerea obiectivitii, n unele ri consiliul are membri care nu sunt implicai n conducerea activitilor de zi cu zi ale bncii. n Romnia, aceeai lege citat mai sus are o nuan mai categoric, mai restrictiv n aceast privin, i anume:
45
Norma B.N.R. nr. 17/2003 stabilete periodicitatea cu care este necesar a se ndeplini aceast atribuie, i anume cel puin anual. 46 Principiul 1, Framework for internal control systems in banking organisations, Basle Committee on Banking Supervision, Basle, septembrie 1998
35
Audit Bancar
BANCAS
n cazul n care conductorii bncii fac parte din consiliul de administraie, numrul membrilor acestuia trebuie s fie stabilit astfel nct administratorii care nu au i calitatea de conductor s constituie majoritatea. (pct. 41 privind modificare Art. 26 al Legii 58/1998). Mijloacele prin care consiliul de administraie i poate exercita atribuiile, identificate de Norma B.N.R. nr. 17/2003, Art. 5. (3 ) sunt: discuii periodice (de regul trimestrial) cu conducerea operativ privind eficiena sistemului de control intern; analiza periodic (de regul trimestrial) a evalurilor sistemului de control intern efectuate de conducerea operativ, de auditul intern i, dup caz, de auditorul financiar extern i de autoritatea de supraveghere; asigurarea implementrii de ctre conducerea operativ a recomandrilor formulate de auditul intern, de auditorul financiar i de Banca Naional a Romniei cu privire la deficienele sistemului de control intern i examinarea efectului msurilor implementate. La acestea, Comitetul de la Basel adaug i revizuirea periodic a strategiei bncii i a limitelor de risc, care apare i ca atribuie a consiliului de administraie. n unele ri, printre care i Romnia, consiliul de administraie se bazeaz pe ajutorul dat de comitetul de audit, constituit din membri ai acestuia (vezi capitolul 2.4.2.). Comitetul examineaz n detaliu informaiile i rapoartele primite, supravegheaz procesul de raportare financiar i sistemul de control intern, este n contact direct cu departamentul de audit intern i cu auditorul financiar, dar dreptul de decizie aparine consiliului de administraie. Conductorii bncilor ar trebui s aib responsabilitatea implementrii strategiilor i politicilor aprobate de consiliul de administraie; responsabilitatea identificrii, monitorizrii i controlului riscurilor din activitatea bncii; responsabilitatea meninerii unei structuri organizatorice care desemneaz clar relaiile de autoritate, responsabilitate i de raportare; responsabilitatea de a se asigura c responsabilitile delegate sunt realizate; responsabilitatea stabilirii de politici adecvate de control intern; i responsabilitatea monitorizrii eficienei i adecvrii sistemului de control intern.
47
Opinia autoritii de reglementare n domeniul bancar din Romnia, exprimat prin Norma nr. 17/2003, difer de cea de mai sus n unele locuri, fie prin nuanri, fie prin generalizri, fie prin nglobarea unor atribuii conexe celor statuate de Comitetul de la Basel.
47
Principiul 2, Framework for internal control systems in banking organisations, Basle Committee on Banking Supervision, Basle, septembrie 1998
36
Audit Bancar
BANCAS
Astfel, n domeniul riscurilor semnificative, Banca Naional a Romniei. precizeaz c atribuiile conductorilor se refer att la coordonarea procesului de elaborare a procedurilor, ct i la luarea msurilor necesare pentru identificarea, evaluarea, monitorizarea i controlul riscurilor. n ceea ce privete atribuiile delegate conducerii operative, Banca Naional a Romniei menioneaz c acestea se refer doar la stabilirea politicilor i procedurilor de control intern, n timp ce n domeniul structurii organizatorice atribuia conductorilor este foarte larg de a menine o structur organizatoric adecvat. Mai mult, norma Bncii Naionale a Romniei identific atribuiile conductorilor n domeniul personalului: s se asigure c activitile bncii sunt derulate de personal calificat, avnd experien i cunotine necesare i s asigure instruirea corespunztoare a personalului. n comentariile ce nsoesc enunarea acestui principiu, Comitetul de la Basel face referire ns i la retribuirea corespunztoare a personalului cu funcie de control i la obligaia conductorilor de a institui politici privind recompensarea i promovarea personalului, care s rsplteasc comportamentul adecvat al acestuia i s minimizeze cazurile de ignorare sau nerespectare a mecanismelor de control intern. Consiliul de administraie i conductorii bncii sunt responsabili pentru promovarea unor nalte standarde de etic i integritate i pentru crearea unei culturi organizaionale care s sublinieze i s demonstreze ntregului personal importana controlului intern. ntregul personal al unei organizaii bancare trebuie s neleag rolul su n cadrul procesului de control intern i s fie angajat deplin n acest proces.
48
Contribuia consiliului de administraie i a conductorilor bncii la crearea unei puternice culturi a controlului const i n propriul exemplu, n etica dovedit n afaceri, att n interiorul instituiei, ct i n afara acesteia; cuvintele, atitudinea i aciunile acestora afecteaz integritatea, etica i alte aspecte ale culturii controlului n banc. Personalul trebuie s contientizeze c, n msuri diferite, controlul intern reprezint responsabilitatea fiecrui angajat al bncii; aproape toi angajaii produc informaii utilizate de sistemul de control intern sau acioneaz pentru efectuarea controlului.
48
37
Audit Bancar
BANCAS
Un element esenial al unui sistem de control intern puternic este acela ca ntreg personalul s i ndeplineasc responsabilitile i s comunice conducerii, pe diferite niveluri, problemele operaionale aprute, cazurile de nclcare a codului de conduit, a politicilor i a reglementrilor. De asemenea, conducerea bncii trebuie s evite implementarea unor politici care s aib efecte nedorite din punct de vedere al controlului. Astfel, politicile care pun un accent prea mare pe inte de performan sau pe alte rezultate operaionale pe termen scurt pot determina neglijarea aspectelor care in de riscurile pe termen lung; nesepararea clar a responsabilitilor sau a atribuiilor de control pot duce la utilizarea neeficient a resurselor sau la tinuirea performanelor slabe. n cazul n care schemele de promovare i premiere a personalului se bazeaz numai pe criterii legate de profitabilitate, dar nu i pe cele care in de control i de rezolvarea problemelor identificate de auditul intern, mesajul transmis de conducere este unul negativ la adresa importanei controlului intern. n concluzie, se poate afirma c existena unei puternice culturi a controlului nu garanteaz realizarea obiectivelor strategice ale unei bnci, dar lipsa acesteia creeaz condiii prielnice pentru erori i pierderi, care pun n pericol atingerea intelor bncii. 2.2. Id enti ficar ea i ev alu area riscuril or Din punctul de vedere al controlului intern, n identificarea i evaluarea riscurilor trebuie s fie analizai att factorii interni (complexitatea structurii organizatorice, natura activitilor bncii, modificri organizatorice, calitatea personalului i fluctuaia acestuia etc), ct i factorii externi (fluctuaii n mediul economic, modificri n mediul concurenial bancar, nnoirea tehnologic etc) care pot avea un impact negativ asupra atingerii intelor de performan i asupra atingerii obiectivelor controlului intern. Acest demers se deosebete de procesul de gestionare a riscurilor, axat de obicei, pe strategii pentru gsirea cii de mijloc ntre profit i risc n diferite domenii ale bncii, i are ca obiectiv asigurarea concordanei controlului intern al bncii cu natura, complexitatea i riscurile activitii desfurate de aceasta. Identificarea i evaluarea riscurilor trebuie s acopere toate riscurile cu care banca se confrunt att la nivel de ansamblu al bncii, ct i la toate nivelurile organizatorice ale acesteia. Procesul trebuie s aib un caracter continuu, adic s aib n vedere att riscurile ataate activitilor prezente, ct i pe cele aduse de apariia unor noi activiti sau cele nou aprute/determinate n legtur cu operaiunile deja derulate, iar procedurile de control
38
Audit Bancar
BANCAS
trebuie modificate astfel nct s se adapteze la riscurile nou aprute. De exemplu, n cazul apariiei unui nou produs, banca trebuie s analizeze noul instrument financiar i tranzaciile de pia asociate i s evalueze riscurile implicate. Determinarea ntregii diversiti de probleme ce nsoete adoptarea unui nou produs (adesea fcut prin metoda scenariilor) trebuie s-i gseasc contraponderea n msuri adecvate de control. Procesul de evaluare a riscurilor se adreseaz att aspectelor cuantificabile, ct i aspectelor necuantificabile ale riscurilor i trebuie s pun n balan costul implicat de controlul riscurilor i beneficiile pe care acesta le poate aduce. Totodat, acest proces include i determinarea caracterului controlabil sau necontrolabil al riscurilor; n ceea ce privete riscurile controlabile, banca trebuie s stabileasc dac accept acele riscuri sau modul n care le contracareaz prin msuri de control; n cazul riscurilor care nu pot fi controlate, banca trebuie s decid dac le accept, dac le elimin sau dac reduce nivelul activitilor afectate de riscurile respective. Norma B.N.R. nr. 17/2003 impune ca evaluarea riscurilor s se realizeze de ctre specialiti din cadrul bncii care nu au responsabiliti n realizarea performanei comerciale i financiare , pentru a nu permite apariia unei situaii de conflict de interese, dar aceasta presupune ca specialitii care fac evaluarea s aib experien relevant n derularea activitilor ce fac obiectul evalurii riscurilor. n practic s-a observat c managementul bncilor nclin, de multe ori, n favoarea unor operaiuni cu randament ridicat, fr a evalua corect riscurile asociate acestor tranzacii i nu aloc suficiente resurse pentru a monitoriza i evalua expunerile la risc. Totodat, s-a constatat c multe dintre pierderile nregistrate s-au datorat neactualizrii procesului de evaluare a riscurilor odat cu schimbarea mediului de afaceri. 2.3. Acti vit i le de contr ol i separar ea atribu ii lor Activitile de control intern trebuie astfel concepute i derulate nct s asigure acoperirea riscurilor identificate i evaluate, ca parte integrant a activitilor zilnice. Activitile de control trebuie definite pentru fiecare nivel organizatoric al bncilor i implic dou etape: stabilirea politicilor i procedurilor de control i verificarea respectrii politicilor i procedurilor de control.
49
49
Art. 13, Norme nr. 7/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor
39
Audit Bancar
BANCAS
Activitile de control implic personalul de la toate nivelurile, ncepnd cu consiliul de administraie i terminnd cu personalul de execuie: consiliul de administraie i conductorii bncii solicit adesea prezentri i rapoarte despre performan pentru a analiza progresul fcut de ctre instituie ctre realizarea obiectivelor sale. De exemplu, pot fi cerute rapoarte referitoare la realizarea bugetului de venituri i cheltuieli, iar analizarea acestora, mpreun cu conducerea departamentelor poate duce la detectarea unor deficiene de control, a unor erori n raportrile financiare sau a unor activiti frauduloase; la nivelul compartimentelor sau sediilor secundare ale bncii se pot face analize operative zilnice, sptmnale sau lunare; controale faptice, care se refer la restricionarea accesului la active precum titluri sau numerar, restricionarea accesului la conturile clienilor etc.; analiza ncadrrii n limitele impuse expunerilor la risc i urmrirea modului n care sunt soluionate situaiile de neconformitate. Stabilirea unor limite prudente expunerilor la risc reprezint un aspect important al gestionrii riscului; ncadrarea n anumite limite pe debitori sau pe alte contrapartide reduce concentrarea de risc a bncii i contribuie la diversificarea profilului de risc al acesteia. Prin urmare, un aspect important al activitii de control este urmrirea ncadrrii n aceste limite. aprobri i autorizri solicitarea aprobrii sau autorizrii unor tranzacii ce depesc anumite limite de sum are rolul de a asigura controlul asupra realizrii operaiunilor respective de ctre nivelul de conducere competent i de a stabili responsabilitile; verificri i reconcilieri constau n verificri ale detaliilor tranzaciilor ntre diferite structuri organizatorice (de exemplu, ntre cei care iniiaz tranzaciile front office i cei care nregistreaz i monitorizeaz tranzaciile back office) sau n compararea cash flow-urilor cu extrasele de cont, n vederea asigurrii concordanei i efectuarea coreciilor necesare. Rezultatele acestor verificri i reconcilieri trebuie raportate nivelului de conducere competent. Activitile de control sunt mai eficiente dac sunt privite ca parte integrant a activitilor zilnice i nu ca o aciuni adiionale, de o importan mai mic. Desfurate n aceast manier, activitile de control dau posibilitatea gsirii unor soluii rapide la modificarea condiiilor de lucru i duc la evitarea costurilor suplimentare. Consiliul de administraie are nu numai sarcina de a stabili politici i proceduri de control, ci i de a urmri respectarea acestora la toate nivelurile i de a urmri gradul de
40
Audit Bancar
BANCAS
adecvare a acestora la modificrile din activitatea bncii, iar pentru realizarea acestor deziderate are la ndemn un instrument special auditul intern. Un sistem de control intern eficient cere s existe o separare corespunztoare a atribuiilor i ca personalului s nu-i fie alocate responsabiliti care s duc la conflicte de interese. Ariile cu poteniale conflicte de interese trebuie identificate, minimizate i monitorizate atent de ctre personal independent.
50
Din analiza pierderilor determinate de lipsa controlului, autoritile de supraveghere au concluzionat c una dintre cauzele majore o reprezint lipsa unei separri adecvate a atribuiilor. Astfel, alocarea unor atribuii aflate n relaie conflictual unei singure persoane (de exemplu, responsabiliti att n front office, ct i n back office n zona de tranzacionare) d acelei persoane acces la active de valoare i la posibilitatea de a manipula informaiile financiare n folos personal sau de a ascunde pierderile. Prin urmare, unele atribuii ar trebui s fie mprite, pe ct posibil, ntre mai multe persoane, pentru a se reduce riscul manipulrii de date financiare sau al nsuirii ilicite a unor active. Separarea atribuiilor nu se limiteaz numai la controlul exercitat de o singur persoan att n front office, ct i n back office, ci este o cerin valabil i pentru alte domenii, cum ar fi: aprobarea utilizrii fondurilor i tragerea efectiv a acestora; acces la conturi ale clienilor i la conturile bncii; analiza documentaiilor de credit i monitorizarea creditului dup acordarea acestuia.
Prin urmare, este necesar nu numai identificarea i monitorizarea zonelor cu conflict de interese potenial, dar i revizuirea periodic a responsabilitilor i funciilor persoanelor cheie din banc, pentru ca acetia s nu se afle n poziia de a acoperi deficienele. 2.4. In formar e i comuni care Informarea adecvat i comunicarea efectiv sunt eseniale pentru funcionarea corespunztoare a sistemului de control intern. Din perspectiva unei bnci, pentru ca informaiile s fie utile, acestea trebuie s fie relevante, de ncredere, accesibile, s fie furnizate la timp i ntr-un format constant n timp.
50
41
Audit Bancar
BANCAS
Informaiile se refer att la cele interne, financiare, operaionale i de conformitate, dar i la cele externe, referitoare la evenimente i mprejurri relevante pentru luarea deciziilor n cadrul bncii. Procesul de luare a deciziilor de ctre conducere poate fi afectat de lipsa de ncredere n informaiile sau de informaiile eronate furnizate de un sistem informaional care nu este bine proiectat i controlat. O component critic a activitilor unei bnci o constituie stabilirea i meninerea unui sistem de gestiune a informaiilor (obinute att electronic, ct i prin mijloace neelectronice) care s acopere toate domeniile bncii. Acest sistem trebuie s conin i proceduri privind securitatea informaiilor, respectiv mijloace de prevenire a dezvluirii informaiilor secrete sau confideniale sau de prevenire a folosirii informaiilor de ctre personalul instituiei pentru obinerea unor beneficii personale, care ar putea prejudicia banca att din punct de vedere material, ct i reputaional. Sistemele informatice din cadrul sistemului informaional trebuie s rspund acelorai cerine de securitate a informaiei, att n sensul menionat mai nainte, ct i n sensul asigurrii unor informaii relevante, de ncredere i al asigurrii funcionrii fr ntreruperi. Avnd n vedere riscurile implicate de obinerea, manipularea i pstrarea informaiilor obinute prin sistemul informatic, bncile trebuie s acorde atenie cerinelor organizatorice i de control intern legate de procesarea informaiei n form electronic, precum i celor referitoare la pstrarea probelor de audit intern. O prim cerin n acest sens se refer la monitorizarea sistemelor informatice de ctre o structur organizatoric separat de cea care le utilizeaz, ca o aplicare a principiului separrii atribuiilor pentru evitarea apariiei unor situaii de conflict de interese. n ceea ce privete controlul, acesta trebuie s aib n vedere att sistemul informatic ca ntreg, ct i fiecare aplicaie informatic din componena acestuia. Aciunile de control general se efectueaz asupra infrastructurii hardware i de comunicaii a sistemelor informatice (sisteme mainframe, sisteme client/server, routere, echipamente de reea, staii de lucru ale utilizatorilor finali), precum i asupra sistemelor de operare, avnd ca scop verificarea funcionrii continue i corespunztoare a acestora. Controalele generale includ i verificarea existenei i aplicrii unei strategii de informatizare, a procedurilor interne de salvare i restaurare a datelor, a politicilor de efectuare a achiziiilor, a procedurilor de dezvoltare a aplicaiilor informatice, a procedurilor de administrare i ntreinere, precum i a politicilor de securitate viznd accesul fizic i logic la resursele sistemului informatic.
42
Audit Bancar
BANCAS
Controalele efectuate la nivelul aplicaiilor informatice
se realizeaz att prin
cuprinderea unor etape de validare i control n cadrul aplicaiei informatice, ct i proceduri manuale de verificare a modului de procesare a tranzaciilor i efectuarea operaiunilor. n lipsa unor proceduri adecvate de control asupra sistemelor informatice (inclusiv a celor n curs de implementare, de dezvoltare), bncile pot nregistra pierderi de date sau de programe datorit unor proceduri necorespunztoare privind securitatea fizic i electronic, datorit avarierii echipamentelor i disfunciilor sau datorit unor proceduri de rezerv sau de recuperare a datelor dezvoltate intern i neadecvate. Pe lng riscurile i controalele ataate la care s-a fcut referire mai sus, exist i riscuri datorate unor factori externi, n afara posibilitilor de control al bncilor (riscul de producere a unor calamiti naturale, de exemplu). Pentru asigurarea mpotriva acestor riscuri, bncile trebuie s elaboreze planuri alternative (de rezerv) care s le asigure continuitatea funcionrii. Dei bazate pe replicarea sistemelor critice fie prin existena unor sisteme de rezerv ntr-o alt locaie a bncii, fie prin intermediul unui furnizor extern de servicii (deci, pe asigurarea continuitii funcionrii sistemelor informatice), aceste planuri de urgen trebuie s implice toate elementele care in de buna desfurare a operaiunilor. Totodat, pentru asigurarea funcionrii i disponibilitii acestor sisteme de rezerv este necesar testarea lor periodic. Un alt aspect deosebit de important legat de informaie l reprezint comunicarea, cea care d valoare informaiei. Conducerea bncii trebuie s stabileasc unele ci de comunicare pentru ca informaiile s ajung n timp util la oamenii care au nevoie de acestea. Aceste informaii se refer att la politici i proceduri ale bncii, ct i la cele legate de performana bncii. Personalul trebuie s cunoasc procedurile i politicile bncii, n general, i pe cele care au implicaii asupra atribuiilor i responsabilitilor sale, n special. Totodat, personalul trebuie s aib n permanen imaginea progresului fcut pe calea atingerii obiectivelor instituiei pentru a contientiza efectele activitii sale. Structura organizatoric a bncii trebuie s faciliteze diseminarea informaiilor de sus n jos, de jos n sus i pe orizontal. Prin aceste fluxuri de informaii, consiliul de administraie cunoate riscurile incumbate de activitile derulate de banc i performana instituiei, iar conducerea operativ i personalul operativ iau cunotin de strategia, politicile i procedurile bncii. Totodat, comunicarea pe orizontal ntre diferite structuri organizatorice d posibilitatea ca informaia intrat pe o poart de acces s poat fi cunoscut i de alte departamente afectate de informaia primit.
43
Audit Bancar
BANCAS
2.5. Acti vit i le de moni toriz are i de cor ecta re a deficienelor Avnd n vedere faptul c industria bancar este dinamic, bncile trebuie s monitorizeze i s evalueze continuu sistemul de control intern, ca urmare a modificrii condiiilor interne i externe, i trebuie s ntreasc acest sistem pentru a-I menine eficiena. Monitorizarea sistemului de control trebuie s fie fcut att de personalul operativ, ct i de cel din cadrul controlului financiar i din cadrul auditului intern. Pentru ca aceast funcie s nu fie acoperit numai la nivel teoretic, conducerea bncii trebuie s stabileasc clar persoanele n sarcina crora cad atribuiile de monitorizare. Banca Naional a Romniei opineaz c monitorizarea sistemului intern de control trebuie s fie efectuat att de personalul responsabil pentru fiecare compartiment i sediu secundar al instituiei de credit, ct i de auditul intern
51
Monitorizarea sistemului de control intern are att o component zilnic, ct i una periodic, de evaluare separat a procesului de control privit n ansamblu. Monitorizarea pe baz zilnic ofer avantajul detectrii i corectrii rapide a deficienelor din sistemul de control intern, dar eficiena sa depinde de integrarea sistemului de control intern n mediul operaional bancar i de rapoartele de control generate. Spre deosebire de aceasta, evaluarea periodic este menit s ofere o imagine a eficacitii ntregului sistem de control intern i a activitii de monitorizare i cade att n sarcina personalului responsabil pentru fiecare compartiment i sediu secundar (autoevaluare), ct i a auditului intern. n ceea ce privete periodicitatea acestor evaluri, Banca Naional a Romniei se raliaz prerii Comitetului de la Basel care consider c parametrii care determin frecvena monitorizrii unei activiti sunt riscurile implicate de acea activitate i natura i frecvena schimbrilor din activitatea respectiv. Rezultatele monitorizrii i, n special, deficienele constatate trebuie s fie aduse imediat la cunotina nivelului de conducere competent s ia msuri corective, iar cele majore trebuie raportate conducerii bncii i consiliului de administraie. Norma B.N.R. nr. 17/2003 subliniaz faptul c responsabilitatea de a stabili un sistem de detectare a deficienelor sistemului de control intern i de a ntreprinde msuri pentru soluionarea deficienelor revine conductorilor bncilor, care, n realizarea acestei atribuii, se bazeaz pe auditul intern.
51
Art. 31 (3), Norme nr. 7/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor
44
Audit Bancar
BANCAS
Multe bnci au nregistrat pierderi datorit lipsei de monitorizare efectiv a sistemului de control intern; adesea aceste sisteme nu au avut procese de monitorizare continu, iar evalurile separate realizate fie nu erau adecvate, fie nu erau urmrite adecvat de ctre conducere. n unele cazuri, absena monitorizrii a nceput cu lipsa de atenie i de reacie la informaiile zilnice primite de ctre conducere referitoare la aspecte neuzuale ale activitii (de exemplu, depiri ale limitelor de expunere, lipsa de situaii financiare ale debitorilor etc). ntr-o banc, pierderile din activitatea de tranzacionare erau nregistrate ntr-un cont fictiv de client; dac banca ar fi avut o procedur prin care extrasul de cont s fi fost trimis lunar prin pot clientului, iar clientul s confirme soldul contului, aceste pierderi ar fi putut fi detectate nainte s produc probleme majore bncii. n alte cazuri, activitatea sau divizia bncii care a cauzat pierderi masive avea numeroase caracteristici ce indicau un nivel crescut al riscului, cum ar fi un nivel neobinuit al profitului sau creterea rapid a unei activiti aflate la distan mare de central sau de compania-mam. Datorit unei lipse de evaluare a riscurilor, bncile respective nu au alocat suficiente resurse suplimentare pentru a controla i monitoriza activitile cu risc ridicat. De fapt, n unele cazuri, activitile cu risc ridicat erau derulate cu mai puin supraveghere dect cele cu profil de risc mai sczut, iar conducerea nu a reacionat cum trebuia la observaiile fcute de auditorii externi i interni. Auditul intern nu a fost eficient n multe cazuri, prin combinarea a trei factori: realizarea unor audituri treptate, lipsa unei depline nelegeri a activitii bncii i urmrirea neadecvat a unor probleme. Auditul fragmentat a rezultat din structurarea programelor de audit intern ca serii de angajamente separate pe unele activiti din cadrul aceluiai departament sau din cadrul bncii. Deoarece procesul de audit era fragmentat, activitatea nu era bine neleas de ctre personalul departamentului de audit. Dac acesta ar fi fost altfel organizat, permind auditorilor s urmreasc procese i funcii de la nceput la sfrit (de exemplu, urmrirea unei tranzacii de la iniiere pn la raportare) le-ar fi permis s neleag mai bine. n plus, ar fi dat oportunitatea de a verifica i testa adecvarea controlului n fiecare etap a procesului. n alte cazuri, pregtirea necorespunztoare a personalului de la departamentul de audit intern n domeniul de marketing, sistem informatic i alte arii sofisticate a contribuit la problemele auditului intern. Deoarece personalul nu a avut expertiza necesar, a ezitat n a pune ntrebri n cazul unor suspiciuni, iar dac a pus ntrebri, a acceptat orice rspuns primit, ca atare.
45
Audit Bancar
BANCAS
Auditul intern poate s se dovedeasc ineficient i atunci cnd conducerea nu urmrete problemele identificate de auditori, fie datorit lipsei de consideraie acordat acestei activiti, fie datorit faptului c nu urmrete prin rapoarte periodice progresul fcut n rezolvarea problemelor sesizate. 3. Evaluarea sistemelor de control intern de ctre autoritile de supraveghere Dei consiliul de administraie i conducerea bncii poart responsabilitatea dezvoltrii i meninerii unui sistem de control intern eficient, autoritile de supraveghere trebuie s evalueze adecvarea sistemului de control intern al unei bnci n funcie de profilul de risc al acesteia i atenia dat de ctre conducerea bncilor problemelor semnalate de sistemul de control intern. Evaluarea realizat de autoritatea de supraveghere trebuie s se refere nu numai la ntreg sistemul de control intern, dar i la controlul exercitat n anumite zone de activitate cu risc ridicat, cum ar fi zone caracterizate printr-o profitabilitate neobinuit, cretere rapid, noi produse bancare sau zone deprtate fizic fa de sediul central. Totodat, o atenie deosebit trebuie acordat zonelor care n trecut au fost asociate cu deficiene ale sistemului de control intern i cu pierderi determinate de aceste deficiene. Autoritatea de supraveghere trebuie s urmreasc i modificrile care au avut loc n activitatea bncii i modul n care acestea ar fi trebuit s reflecte sau au avut impact asupra sistemului de control intern. Astfel de modificri se refer la schimbri n mediul bancar i economic, angajarea de personal nou, sisteme informaionale noi, activiti sau domenii ce nregistreaz o cretere rapid, introducerea de noi tehnologii, de noi produse, restructurri sau reorganizri, expansiunea operaiunilor n strintate. Pentru a evalua calitatea controlului intern, autoritile de supraveghere pot avea mai multe abordri. Astfel, acestea pot evalua activitatea departamentului de audit intern al bncii, pe baza analizei documentelor produse, a metodologiei folosite pentru a identifica, msura, monitoriza i controla riscul. n cazul n care calitatea activitii departamentului de audit intern este satisfctoare, autoritatea de supraveghere poate utiliza rapoartele auditorilor interni ca baz pentru identificarea problemelor de control ale bncii sau pentru a identifica ariile cu risc potenial pe care auditorii interni nu le-au evaluat recent. Unele autoriti de supraveghere folosesc procesul de autoevaluare prin care conducerea bncii analizeaz procedurile de control pe fiecare activitate n parte i certific
46
Audit Bancar
BANCAS
faptul c acestea sunt adecvate. Ali supraveghetori pot solicita auditarea extern periodic a anumitor domenii, pentru anumite scopuri. n final, autoritile de supraveghere pot combina modalitile descrise mai nainte cu propriile lor evaluri i examinri, la faa locului, a controlului intern. Evalurile la faa locului includ att o evaluare a activitilor, ct i testarea la nivel de tranzacie pentru a obine o verificare independent a proceselor de control intern ale bncii. Testarea la nivel de tranzacii are n vedere adecvarea i respectarea politicilor, procedurilor i limitelor interne, acurateea i coninutul rapoartelor ctre conducere i a situaiilor financiare, eficacitatea procedurilor de control. Pentru a evalua eficacitatea celor cinci elemente ale controlului intern dintr-o banc, autoritatea de supraveghere trebuie s: identifice obiectivele controlului intern care sunt relevante pentru profilul bncii (creditarea, investiiile, contabilitatea etc); evalueze eficacitatea elementelor controlului intern nu numai prin aprecierea politicilor i procedurilor, dar i a documentaiei, prin discuii cu personalul (pentru a aprecia mediul de lucru) i prin testarea tranzaciilor; discute periodic deficienele identificate i recomandrile fcute pentru remediere cu consiliul de administraie i cu conducerea bncii; aprecieze msurile corective luate i dac au fost luate la timp. Acolo unde legislaia permite, autoritile de supraveghere pot nlocui astfel de inspecii la faa locului cu analizarea rapoartelor produse de ctre auditorii externi la solicitarea lor. n aceste cazuri, auditorii externi trebuie s evalueze activitatea bncii i s testeze tranzaciile, aa cu s-a specificat mai sus, n cadrul unor angajamente de audit, iar supraveghetorii trebuie s evalueze calitatea auditului extern. Indiferent de abordarea folosit, autoritile de supraveghere trebuie s ia n considerare observaiile i recomandrile fcute de auditorii externi cu privire la eficacitatea controlului intern i s aprecieze modul n care consiliul de administraie a rspuns la ceste observaii i recomandri. Cuvinte cheie Sistemul de control intern Consiliul de Administraie Identificarea riscurilor Evaluarea riscurilor
47
Informare Comunicare
Audit Bancar
BANCAS
Conductorii Bncii Exerciii i ntrebri
Separarea atribuiilor
Monitorizare
1. Care este rolul consilului de administrare n cadrul sistemului de control intern? 2. Este suficient s existe un sistem solid de control intern n cadrul bncilor pentru a gestiona riscurile? Justificai rspunsul 3. Care sunt etapele de gestiune a riscurilor? 4. Modelai o list de autoevaluare a controlelor asociate activitii unei sucursale.
48
CAPITOLUL 4
Audit Bancar BANCAS
RELAIA DINTRE AUTORITATEA DE SUPRAVEGHERE I AUDITORUL EXTERN
1. Rolul auditorului extern al bncii 2. Rolul autoritii de supraveghere 3. Relaia dintre autoritatea de supraveghere i auditorul extern
1. Rolul auditorului extern al bncii Obiectivul auditrii situaiilor financiare ale unei bnci de ctre un auditor extern este acela de a avea o opinie a unui auditor independent referitoare la respectarea prevederilor legale n materie. Aceast opinie ntrete credibilitatea situaiilor financiare ale unei bnci, dar nu d garanii cu privire la viabilitatea viitoare a instituiei i nu se refer la eficiena sau eficacitatea cu care conducerea a gestionat activitatea bncii. Prevederile legale referitoare la realizarea situaiilor financiare difer de la ar la ar, iar opiniile auditorilor externi sunt formulate pe baza acestora sau, n cazul n care raportarea pe baza standardelor de contabilitate internaional acceptate este permis n ara respectiv, opinia auditorului extern se bazeaz pe Standardele Internaionale de Contabilitate . Standardul Internaional de Audit 700, Raportul auditorului cu privire la situaiile financiare , prevede faptul c auditorii externi trebuie s identifice ara la care se raporteaz (ara unde se afl sediul central al bncii) i legislaia contabil aplicabil, n cazul n care ara respectiv nu a adoptat Standardele Internaionale de Contabilitate. Pentru desfurarea activitii sale, auditorul extern trebuie s dispun de proceduri adecvate astfel nct s reduc riscul de a emite opinii necorespunztoare n cazul n care situaiile financiare ale unei bnci sunt eronate. Dezvoltarea acestor proceduri presupune identificarea i evaluarea prealabil a riscurilor inerente de eroare, dar i a riscului ca sistemele de contabilitate i de control ale unei bnci s nu aib posibiliti de prevenire sau de detectare i corectare a erorilor (riscul de control). Totodat, auditorul extern trebuie s analizeze dac necorelrile din situaiile financiare sunt rezultatul unei erori sau a unei
52
52
53
Standardele Internaionale de Contabilitate sunt emise de Comitetul Standardelor de Contabilitate (C.S.I.C.), n care sunt reprezentate 78 de ri. Obiectivul C.S.I.C. este de a promova accepiunea universal a standardelor n prezentarea rapoartelor auditate i a declaraiilor financiare. Vasile Dedu, Gestiune i audit bancar, pag. 326, Editura Economic, Bucureti, 2003 53 Comitetul Internaional al Practicilor de Audit, din cadrul Federaiei Internaionale a Contabililor, emite standarde privind practicile de audit general acceptate. (Idem)
49
Audit Bancar
BANCAS
aciuni frauduloase (riscul de fraud). Standardul de Audit 240, Responsabilitatea auditorului n ceea ce privete evaluarea riscului de fraud i de eroare n auditarea situaiilor financiare, enumer factori ai riscului de fraud, a cror prezen poate semnala posibilitatea existenei unei fraude. n aprecierea nivelului de risc inerent, auditorii externi trebuie s in seama de particularitile pe care bncile le au fa de alte companii: lucreaz cu un volum mare de instrumente monetare; au tranzacii internaionale (iniiate ntr-o jurisdicie, nregistrate n alta i gestionate n cu totul alta); au un raport capital/total active sczut, ceea ce le mrete vulnerabilitatea la schimbrile de mediu economic; au active cu valoare variabil i greu de determinat; se angajeaz ntr-o varietate de tranzacii, cu volum i valori mari; opereaz printr-o reea de sucursale i departamente dispersate geografic; tranzaciile pot fi iniiate direct de ctre clieni, fr intervenia salariailor bncii; i asum multe angajamente extrabilaniere; trebuie s se ncadreze n indicatorii de prudenialitate stabilite de organismele de reglementare; au acces la sisteme de pli i decontri; pot emite sau tranzaciona instrumente financiare complexe, dintre care unele trebuie nregistrate la valoarea just etc. Toate aceste aspecte indic existena unui nalt nivel potenial de risc al unei bnci, care ar necesita un audit detaliat al tuturor tranzaciilor. ns extinderea activitii auditorului extern pn la acest nivel ar fi consumatoare de timp, scump i nepractic, de aceea auditorul extern trebuie s se bazeze n demersul su pe evalurile fcute de auditul intern al bncii n ceea ce privete riscul inerent de eroare material, riscul de control i testarea procedurilor de control intern destinate s previn, s detecteze i s corecteze erorile materiale. Astfel, calitatea auditului intern determin natura, perioada i extinderea procedurilor de audit ale auditorilor externi. n aprecierea auditului intern, auditorul extern are n vedere statutul auditului intern, obiectivul acestuia, competena profesional a auditorilor interni i grija profesional cu care acetia i ndeplinesc responsabilitile . n urma angajamentului de audit, realizat pe baza procedurilor stabilite innd seama de modul de administrare a riscul inerent i de control, auditorul extern trebuie s detecteze neconcordanele evideniate de situaiile financiare ale bncii, la nivel individual sau agregat, care sunt substaniale n raport cu informaia financiar.
54
54
SIA 610 Aprecierea activitii auditului intern, The relationship between banking supervisors and banks exterbal auditors, Basel Committee on Banking Supervision, January 2002 50
Audit Bancar
BANCAS
55
Substanialitatea
erorilor este legat de influena pe care acestea ar putea s-o aib asupra
deciziilor economice pe care utilizatorii le iau pe baza situaiilor financiare ale bncii. Auditorul evalueaz substanialitatea att la nivelul situaiei financiare n ansamblu, ct i n relaie cu anumite conturi i clase de tranzacii. n urma analizei substanialitii diferitelor neconcordane detectate, se stabilesc mai multe niveluri de substanialitate n funcie de aspectul sub care sunt examinate situaiile financiare i de destinatarul opiniei auditorului extern (consiliul de administraie al bncii sau autoritatea de supraveghere). Auditul extern nu garanteaz faptul c toate neconcordanele substaniale vor fi detectate, datorit unor factori precum limitele inerente ale controlului intern, caracterului convingtor i nu concludent al documentaiei puse la dispoziia auditorului extern. Riscul nedetectrii unei neconcordane substaniale determinat de fraud este mai ridicat dect cel de nedetectare a unei neconcordane determinat de eroare, deoarece frauda poate implica scheme sofisticate i bine organizate (falsificare, nenregistrarea deliberat a unor tranzacii, neprezentarea sau prezentarea ntr-o anumit manier a unei tranzacii. Mai mult, riscul nedetectrii fraudelor comise la nivelul conducerii bncii este mult mai ridicat dect cel al nedetectrii fraudelor la nivelul personalului de execuie, deoarece membrii consiliului de administraie i ai conducerii executive se prezum a fi integri i se afl n poziii n care pot eluda procedurile normale de control. Prin urmare, auditorul extern i planific i desfoar auditul cu o atitudine de scepticism profesional, recunoscnd c pot exista cazuri care determin existena unor neconcordane substaniale n situaiile financiare. n cazul detectrii unor erori substaniale n cadrul situaiilor financiare, cum ar fi o politic necorespunztoare de conducere a contabilitii, evaluarea neadecvat a unor active, nedezvluirea unor informaii, auditorul extern trebuie s cear conducerii bncilor s ajusteze situaiile i s corecteze erorile. n cazul n care conducerea bncii refuz s acioneze pentru reglarea neconcordanelor sau nu ofer toate informaiile i explicaiile necesare, auditorul extern emite o opinie cu rezerve sau poate chiar refuza emiterea unei opinii. Deoarece un astfel de raport sau lipsa acestuia ar avea efecte serioase asupra credibilitii i chiar asupra stabilitii bncii, conducerea acesteia ia, de obicei, msurile necesare pentru a evita astfel de situaii.
55
Substanialitate materialitate, realitate 51
Audit Bancar
BANCAS
Pe lng obiectivul principal al activitii auditorului extern, acesta poate comunica i alte informaii conducerii bncii referitoare la deficiene constatate n controlul intern, informaii eronate etc., dar care nu influeneaz raportul final al acestuia. n unele ri, auditorul extern realizeaz, prin prevederi statutare sau prin convenie, o form lung a raportului su , destinat conducerii bncii sau autoritii de supraveghere, pe probleme legate de componena soldurilor conturilor, de portofoliul de credite, lichiditate, venituri, indicatori financiari, adecvarea sistemului de control intern, riscurile la care este supus banca, conformitatea cu reglementri i legi. Auditorul extern are obligaia, n unele ri printre care i Romnia , s raporteze prompt autoritii de supraveghere orice fapt care constituie o nclcare a legilor i reglementrilor, care afecteaz capacitatea bncii de a-i continua activitatea sau care conduce la emiterea unei opinii cu rezerve. 2. Rolul autoritii de supraveghere Obiectivul principal al supravegherii prudeniale este de a menine stabilitatea i ncrederea n sistemul bancar. n plus, supravegherea este adesea direcionat pe verificarea conformitii cu cu legile i reglementrile ce guverneaz bncile i activitile acestora. Supravegherea bancar ncepe de la procedurile de autorizare a unei bnci menite s dea asigurri referitoare la calitatea acionarilor, a membrilor consiliului de administraie i ai conducerii, la concordana organizrii i controlului intern al bncii cu planul su de afaceri i cu strategiile acesteia, a structurii legale cu cea operaional, la adecvarea capitalului i la lichiditate, la calitatea auditorului financiar. n unele ri, autoritatea de supraveghere trebuie s autorizeze i transferul unei pri importante din aciunile bncii sau a unui pachet de control; n Romnia, Banca Naional autorizeaz tacit pe cei ce devin acionari semnificativi ai unei bnci . Supravegherea continu este realizat pe baz de recomandri i ndrumri. n pachetul consultativ Noul Acord de la Basel emis n ianuarie 2001, Comitetul de Supraveghere Bancar de la Basel propune un cadru de adecvare a capitalului bazat pe trei piloni complementari:
56 57
56
57
58
Art. 61, Legea bancar nr. 58/1998 modificat prin Legea nr. 357/2002 i Legea nr. 485/2003 The relationship between banking supervisors and banks exterbal auditors, Basel Committee on Banking Supervision, January 2002 52
Audit Bancar
BANCAS
cerinele privind capitalul minim pe cele trei mari categorii de risc: de credit, de pia i operaional; revizuirea procesului de supraveghere a adecvrii capitalului, n care, pe de o parte, bncile evalueaz i urmresc continuu meninerea adecvrii capitalului, n funcie de riscurile prezente i viitoare, iar pe de alt parte, supraveghetorii analizeaz procedurile bncii n domeniu i intervin de timpuriu pentru a apariia unor situaii de neprudenialitate;
transparen - publicarea de ctre bnci a informaiilor calitative i cantitative referitoare la capitalul lor i la profilul de risc. Autoritile de supraveghere monitorizeaz i pot limita o serie de riscuri bancare, cum ar
fi riscul de credit, riscul de pia, riscul de lichiditate, riscul operaional, riscul legal i reputaional. n acest scop autoritile pot dezvolta sisteme de msurare expunerea la anumite riscuri, pe baza crora stabilesc limite de expunere. De exemplu, Banca Naional a Romniei a prevzut, n Legea bancar nr. 58/1998 cu modificrile ulterioare, limite referitoare la expunerea fa de un singur debitor, la expunerile mari, la expunerile fa de persoanele aflate n relaii speciale cu banca, la activele de genul titlurilor participative, la poziia valutar etc. Un alt aspect care intr n atenia supraveghetorilor este organizarea i funcionarea sistemului de control intern, n legtur cu care se apreciaz adecvarea la natura, obiectivul i nivelul activitii bncii. Totodat, o mare importan este acordat de autoritile de supraveghere calitii conducerii bncii. Prin inspecii la faa locului, unde dialogurile purtate cu conducerea bncii dau posibilitatea nelegerii planurilor de afaceri i a strategiilor, iar observaiile i contactele cu personalul bncii relev adecvarea personalului, a resurselor materiale i echipamentelor bncii, supraveghetorii pot evalua competena conducerii. O supraveghere eficient se realizeaz pe baza colectrii i analizrii informaiilor despre banc (situaii financiare, raportri), care arat ncadrarea n anumii indicatori de prudenialitate i constituie baza discuiilor cu conducerea bncii. Pentru validarea acestor informaii, autoritile de supraveghere pot folosi fie inspeciile la faa locului, fie auditorii externi ai bncii. Mandatul dat acestora din urm se poate extinde i asupra verificrii adecvrii sistemului de control intern al bncii.
58
Art. 51-52, Legea bancar nr. 58/1998 modificat prin Legea nr. 357/2002 i Legea nr. 485/2003 53
Audit Bancar
BANCAS
n unele ri, pentru a-i ntregi imaginea despre administrarea bncii i sistemul de operare al acesteia, autoritile de supraveghere se ntlnesc periodic cu comitetul de audit i consiliul de administraie, putnd astfel s aprecieze eficacitatea activitii comitetului sau s sprijine banca n rezolvarea unor probleme. 3. Relaia dintre autoritatea de supraveghere i auditorul extern Din cele expuse n acest capitol, se pot identifica unele puncte de tangen ntre cele dou entiti: ndeplinirea cerinelor prevzute de lege de ctre auditorul extern al unei bnci (de experien, independen etc) reprezint unul dintre elementele analizate n cadrul procedurii de autorizare a bncii de ctre organismul de supraveghere; obligaiile ce revin auditorului extern referitoare la raportarea i informarea supraveghetorilor cu privire la unele fapte descoperite n cursul desfurrii angajamentului de auditare a situaiilor financiare ale unei bnci; autoritatea de supraveghere se bazeaz pe certificarea dat de auditorul extern al bncii cu privire la realitatea i corectitudinea informaiilor cuprinse n situaiile financiare ale bncii; supraveghetorii pot mandata auditorii externi pentru evaluarea calitii controlului intern, a sistemului contabil, a conformitii activitii bncii cu cerinele legale i de reglementare, a adecvrii structurii organizatorice etc att autoritatea de supraveghere, ct i auditorul extern apreciaz calitatea controlului intern n cursul obinuit al activitii lor, chiar dac pentru scopuri diferite; auditorul extern poate folosi informaiile date de supraveghetori pentru a-i realiza atribuiile mai eficient. Se poate concluziona c, pentru meninerea stabilitii sistemului bancar i pentru ntrirea securitii bncilor n scopul protejrii intereselor deponenilor, autoritatea de supraveghere dispune de un colaborator competent, care i d asigurarea cu privire la credibilitatea situaiilor financiare ale bncilor, i poate semnala aspecte alertante din activitatea bncilor i pe care l poate mputernici s realizeze o parte din munca sa. Avnd n vedere complexitatea crescnd a industriei bancare, obiectivele organismelor de supraveghere i ale auditorilor externi sunt din ce n ce mai greu de atins. Din multe puncte de vedere, ambele tipuri de instituii trebuie s fac fa unor provocri similare i, din ce n ce mai mult, rolurile lor sunt percepute ca fiind complementare.
54
Audit Bancar
BANCAS
Cooperarea dintre supraveghetori i auditorii externi (care poate mbrca i forma unor ntlniri periodice) face ca procesul de supraveghere s fie mai eficient i mai eficace, iar interesul public general fa de stabilitatea sistemului bancar s fie astfel mai bine slujit. Exerciii i ntrebri 1. Care este rolul auditorului extern n procesul de derulare a activitii unei bnci solide? 2. Atunci cnd o banc i externalizeaz funcia de audit intern, poate aceasta s contracteze aceai firm att pentru activitatea de audit intern ct i pentru auditul extern? Justificai rspunsul. 3. Este important prezena autoritii de supraveghere n cadrul general al unui sistem bancar solid? Justificai rspunsul.
55
CAPITOLUL 5
Audit Bancar BANCAS
AUDITAREA PROCESELOR I TEHNICILOR DE EVALUARE A RISCURILOR
1. Prezentare general 2. Matricea riscurilor, suport pentru stabilirea planului de audit Cuvinte cheie ntrebri i exerciii
1. Prezentare general n contextul dezvoltrii complexitii activitilor bancare, lumea bancar a nceput s contientizeze pericolul apariiei unor noi elemente ce poart un anumit grad de risc de pierdere. Astfel, cercettorii ct i bancherii din ntreaga lume caut soluii fiabile care s-i ajute n demersul lor de a administra riscurile aferente oricrei activiti comerciale dar mai ales celei bancare. n consecin, Comitetul de la Basel care opereaz n cadrul Bncii Reglementrilor Internaionale a emis un numr de recomandri cu privire la administrarea riscurilor n cadrul activitilor bancare, numindu-le generic sub apelativul BASEL urmat de un numr ce reprezint ordinea apariiei. Iniial, Comitetul de la Basel a emis n 1988 principii de administrare a riscului de credit, care ulterior au fost reinute sub denumirea de Basel I. Aici, Comitetul specifica modalitile de administrare a riscului de credit i necesitatea alocrii de capital pentru acoperirea eventualelor pierderi ce ar fi putut avea loc n contextul unei gestionri neadecvate a portofoliului de credite sau a altor active purttoare de risc. Astfel, aceste recomandri au condus bncile la clasificarea activelor sale n funcie de gradul de risc asociat i ponderarea acestora n calculul solvabilitii i pragului minim care trebuie s fie atins. Era foarte bine cunoscut formula:
Capital Risc de credit
> 8%
56
Audit Bancar
BANCAS
n demersul lor de a se dezvolta i a evita n mod moral legislaia restrictiv (prin inovaie), bncile au nceput s intre pe pia cu noi instrumente de trezorerie i investiii (instrumente derivative) care incumbau noi tipuri de risc neincluse pn n 1996 n calculul capitalului minim obligatoriu: riscul de pia. Astfel, Comitetul de la Basel s-a adaptat rapid la noile tendine i n 1996 modific BASEL I prin adugarea riscului de pia la calculul capitalului minim obligatoriu.
Capital Risc de credit+Risc de pia
>8%
Recent, mai exact ncepnd cu 1999, lumea bancar a adus n discuie introducerea unui concept a crui manifestare este veche i universal dar care nu fusese luat n calculul capitalului minim obligatoriu mai mult din comoditate dect din alte motive, avnd n vedere dificultatea, timpul necesar i tehnicile anevoioase de calcul al su: riscul operaional. De asemenea, avnd n vedere dezvoltarea tehnicilor de calcul ale riscurilor de credit i de pia (internal rating approach, advanced internal rating approach, VaR, etc.), Comitetul a hotrt nlocuirea vechiului BASEL I cu noile descoperiri adunate sub denumirea generic de BASEL II, a crui aplicare va avea loc la nceputul anului 2007. Capital Risc de credit+ Risc de pia+ Risc operaional Astfel, funcia de audit intern trebuie s se adapteze noilor tendine descrise n cadrul acestui nou acord, care reitereaz rolul foarte important al auditului intern n desfurarea adecvat a gestiunii riscurilor din cadrul unei bnci. Aici, Comitetul menioneaz n cadrul celor 10 principii de gestionare a riscului operaional din cadrul bncilor c auditul nu trebuie s se implice efectiv n activitatea de gestiune a riscurilor, ci el trebuie s evalueze dac factorii responsabili aplic principiile i tehnicile adecvate de gestiune i n ultim instan s asiste sau s sftuiasc persoanele responsabile. Este adevrat ns, c tot Comitetul este contient c, atunci cnd avem n discuie o banc mic, s-ar putea s ne ntlnim cu situaia n care auditul intern are n sarcin i gestionarea riscului, dar aceasta nu ar trebui s mai continue, odat ce recomandrile BASEL II intr n vigoare. Trebuie avut n vedere c acest Comitet nu face altceva dect s accentueze meniunile fcute de ctre OECD referitoare la guvernana corporativ (corporate governance) care pune existena funciei independente de
>8%
57
Audit Bancar
BANCAS
audit intern ca o condiie necesar pentru o bun organizare a companiei. Mai jos se poate observa locul auditului n cadrul activitii de gestiune a riscurilor.
Cu alte cuvinte, n activitatea cotidian de auditare a activitilor bancare, auditorul intern se va ghida dup matricea riscurilor implicate (vezi mai jos detalii despre matrice) n respectiva activitate auditat. Dac anumite elemente de risc au fost depistate, atunci auditorul intern trebuie s discute cu responsabilul respectivei activiti semnalndu-i pericolul unei eventuale apariii sau existena acestora i s ofere recomandri n sensul prentmpinrii sau reducerii/eliminrii acestora, rmnnd tot timpul n afara procesului de gestionare, dar evalund periodic stadiul n care se afl implementarea recomandrilor. Avnd n vedere faptul c tehnicile i metodele de gestionare a riscurilor ar trebui s fac parte din cadrul unei alte prezentri care s fie dedicat acestora, autorii o s prezinte doar riscurile care trebuie s fie urmrite i care sunt recunoscute de ctre BASEL II i preluate de ctre BNR n Norma 17/2003.
58
Audit Bancar
BANCAS
Astfel, auditorul intern trebuie s observe riscurile ce se pot manifesta la un moment dat n cadrul bncii pe fiecare departament i global, nelimitndu-se doar la un anumit risc care este caracteristic funciunii auditate. De exemplu, n cadrul departamentului de credite, la prima vedere, putem spune c ne vom ntlni doar cu riscul de credit, dat fiind denumirea departamentului care ne trimite la o astfel de abordare. Dar nimic nu este mai fals comparativ cu opinia emis anterior. Aici, vom putea descoperi c i riscul de dobnd, valutar sau chiar i cel operaional ar putea avea manifestri ntr-o msur mai mare sau mai mic. n ceea ce privete riscul operaional, exist o grani foarte sensibil ntre a determina dac o pierdere este aferent riscului operaional sau celui de credit (ex. nerambursarea unui credit pentru c debitorul a prezentat la banc documente false, acest eveniment fiind pus sub umbrela riscului operaional). Pentru a avea n minte ntreaga gam de riscuri ce ar putea s apar la un moment dat n cadrul bncii, schema de mai jos este ct se poate de relevant. Riscuri bancare
Riscuri financiare
Structura bilanului
Risc operaional
Riscul de legislaie
Risc de afacere
Riscuri externe
Risc de strategie
Risc politic
Structura contului de profit si pierdere
Sistemele interne i riscul operaional Riscul de tehnologie Conducere i fraud
Risc de politici ale organizaiei Infrastructur financiar
Risc de contagiere
Solvabilitate a Riscul de credit
Risc de criz bancar
Riscul de lichiditate Riscul de dobnd Riscul de pia Riscul valutar
Risc sistematic (de ar)
Alte riscuri
2. Matricea riscurilor. Suport pentru stabilirea planului de audit. n general, la sfritul anului, atunci cnd are loc un bilan al activitii funciei audit intern
pentru a stabili dac planul pe anul respectiv a fost ndeplinit i ntocmirea planului de audit
59
Audit Bancar
BANCAS
pentru anul viitor care va include i eventualele misiuni nerealizate, coordonatorul departamentului de audit intern va ntocmi o matrice de risc pentru fiecare departament care va avea ca rezultat o not. Aceast not va fi comparat cu intervalele prestabilite i ncadrat ntr-unul din ele care va specifica i frecvena auditului pentru respectivul departament (trimestrial, semestrial, anual, o dat la doi ani, trei ani, etc.) Indiferent de departamentul auditat, aceast matrice va trebui s conin printre altele i urmtoarele ntrebri/aspecte: I. ntrebri referitoare la evaluarea riscului. a. semnificaia i riscul inerent al departamentului care este semnificaia departamentului auditat n activitatea bncii? ct de mare este probabilitatea ca riscul s creasc sau ca riscuri adiionale s apar datorit modificrilor n cadrul general al activitii/afacerii? exist riscuri adiionale datorit complexitii activitii bncii? b. tipuri de risc ct de mare este riscul de credit potenial? ct de mare este riscul de pia potenial? Ct de mare este riscul operaional potenial (fr IT)? Ct de mare este riscul potenial n sfera IT? Ct de mare este riscul potenial generat de participri/ deinerea de imobile? II. ntrebri referitoare la evaluarea controlului. a. Cadrul general sunt cunoscute n mod adecvat riscurile, controalele i securitatea n rndul membrilor departamentului auditat? Sunt definite clar interfaele cu celelalte uniti/parteneri de outsourcing? Sunt definite clar responsabilitile conducerii? Sunt adecvate numrul, calificarea i experiena personalului n legtur cu activitatea departamentului auditat? Realizarea sarcinilor este descris n cadrul unor politici scrise suficient de detaliate, relevante i actualizate? Se potrivesc cldirile i echipamentele tehnice activitii auditate? b. Gestiunea riscului - n special riscuri inerente exist instrumente/precauii adecvate pentru a identifica, msura, monitoriza i controla riscurile?
60
Audit Bancar
BANCAS
Sunt limitele adecvate comparativ cu riscurile implicate? Sunt utilizate metode adecvate pentru identificarea noilor riscuri i deviaiilor fa de standard i se acioneaz adecvat? limita i gestionarea riscurile inerente activitii auditate?Este conducerea bine informat despre expunerea la risc a unitii n timp util i o manier adecvat? c. Sistemul de controale interne sunt controalele adecvate i corect realizate n funcie de aria de cuprindere i complexitatea activitii unitii? Este sistemul de controale interne periodic revzut i modificat conform nevoilor mai ales n momentele de schimbare a mediului de afaceri? Sunt definite controalele realizate ca intenionate? Sunt toate deficienele abordate eficient i rezolvate n timp util? d. Conformitatea cu reglementrile interne i externe sunt respectate toate obligaiile legale i de supraveghere? sunt nsuite toate procedurile i politicile interne? personalul i directorii responsabili sunt familiari cu toate reglementrile interne i externe relevante? Pentru fiecare ntrebare se pot ntlni 4 categorii de relevan pentru activitatea auditat. Acestea sunt: nici o relevan, relevan sczut, relevan normal i relevan mare. De asemenea, se atribuie pe acelai principiu note referitoare la riscul ce-l implic fiecare ntrebare. Notele riscului sunt de la 1 la 4 i au acelai neles ca i relevana (1-deloc, 2sczut, 3-normal, 4-mare). Combinnd cele dou rezultate, un program automat va determina nota general pentru activitatea auditat care va fi folosit pentru determinarea frecvenei auditului.
61
Audit Bancar
BANCAS
Cuvinte cheie solvabilitate; riscuri financiare; riscuri operaionale; riscuri ale afacerii; riscuri externe; guvernan corporativ; matricea riscurilor relevana notarea riscului
ntrebri i exerciii 1. Definii fiecare categorie de risc implicat n activitile bancare. 2. Care este rolul auditului n cadrul activitii de gestionare a riscurilor? 3. Care sunt elementele ce apar ntr-o matrice de risc? 4. Pe baza rspunsului anterior, creai o matrice a riscurilor aferent departamentului de credite. ncercai i pentru celelalte departamente.
62
CAPITOLUL 6
Audit Bancar BANCAS
ACTIVITATEA DE AUDIT PROPRIU ZIS. ABORDARE PRACTIC

1. Calculul capacitii auditului 2. Planul anual de audit 3. Etapele activitii de audit intern 4. ntocmirea raportului de audit intern Cuvinte cheie ntrebri i exerciii 5. Abordare practic 5.1. Activitatea de creditare 5.2. Trezorerie i piee de capital 5.3. Trade Finance (pasive contingente A.Garanii bancare C.Acreditive 5.4. Pli 1.Pli interne (de pe teritoriul rii) 2.Pli internaionale 5.5. Contabilitate 5.6. Furnizori/cheltuieli 5.7. Personal/resurse umane 5.8. Administrarea cldirilor i mijloacelor fixe 5.9. Auditul de conformitate 5.10. Auditul sistemelor informaionale 1. Calculul capacitii auditului nainte de a se realiza planul anual de audit intern, coordonatorul departamentului audit intern trebuie s calculeze numrul efectiv de zile care pot fi lucrate de ctre personalul angajat la momentul respectiv. La calcularea capacitii auditului, coordonatorul trebuie s ia n considerare numrul de zile lucrtoare, zilele legale de srbtoare, zilele de concediu de odihn sau medical (se face o estimare care s se apropie de numrul legal de zile de concediu), etc. n general, calculul ia forma unui tabel ca cel de mai jos:
63
Audit Bancar Numrul de persoane angajate Din care centrala bncii Numrul persoanelor din audit Procent Capacitatea auditului pe 3 ani (de vzut mai jos) Procent din total personal din centrala bncii Numrul de personal din audit Numrul de zile pe an Minus Week-enduri Srbtori legale Vacan de odihn Boli sau alte vacane Capacitatea auditului Din care: 19% compliance i AML 5% consultan 10% audit extern 5% audituri neplanificate Zilele lucrtoare de audit planificat pe an n urmtorii 3 ani Minus Altele 0 4026 418 110 220 110 1342 4026 1080 80 210 80 2200 1000 300 10 1 4026 3 10 3650
BANCAS
Determinarea capacitii de audit va trebui s evalueze i urmtorii doi ani, astfel nct aceasta s prezinte o estimare pe trei ani n vederea planificrii efectivelor de personal necesar auditului intern. 2. Planul anual de audit. n desfurarea activitii de audit intern, planul anual reprezint un ghid sau, mai mult, echivalentul bugetului de venituri aferent departamentelor orientate ctre vnzri, adic, cu alte cuvinte acesta determin anumii termeni care trebuie s fie realizai. Aa cum s-a menionat i n capitolul anterior, planul de audit va trebui s reflecte rezultatele matricelor de risc. Astfel, dac activitatea auditat eman un risc semnificativ,
64
Audit Bancar
BANCAS
atunci aceasta ar trebui s fie auditat periodic la fiecare 3 luni. n continuare, pe msura scderii gradului de risc implicat, auditul poate fi desfurat la fiecare 6 luni, n fiecare an, la doi ani sau chiar 3 ani. Mai jos, autorii v prezint un model de plan anual de audit intern n condiiile n care departamentul are trei persoane angajate. Departamentul Perioada Nr. de zile Nr. auditori Credite/legal/retail 05.01.200402.02.2004 Trade finance TFO TBO Sucursala 1 Custodie Etc. 09.02.200423.02.2004 01.03.200405.03.2004 08.03.200412.03.2004 15.03.200419.04.2004 15.03.200419.04.2004 5 1 5 2 5 3 5 3 10 3 20 3 Realizat (sfrit an)
Tabelul va continua cu enumerarea celorlalte departamente sau uniti care ar trebui s fie auditate conform matricelor de risc pn la sfritul anului. Dup cum s-a observat, n acelai timp se pot realiza mai multe misiuni de audit, ns, aceasta modalitate poate fi utilizat numai n cazul n care banca dispune de efectivele de personal necesare. Evident, acest plan poate suferi modificri de-a lungul anului, n funcie de noile activiti sau produse ce au fost introduse fr a se ti aceasta la momentul ntocmirii. De asemenea, toate activitile rmase neauditate vor fi repartizate n planul de audit pentru anul urmtor. Acest plan trebuie s fie ntocmit de ctre coordonatorul departamentului de audit intern i aprobat de ctre consiliul de administraie. 3. Etapele activitii de audit intern
65
Audit Bancar
BANCAS
Etapa I. Informare general privind obiectivul ce urmeaz a fi auditat 1. Lucrri preliminare informare, documentare referitoare la relaiile cu mediul extern de afaceri; informare privind reglementrile legale, statutare, profesionale; comparaii cu alte societi (bnci) cu acelai profil. 2. Primele legturi oficiale cu unitatea auditat (management, structuri operatorii) informri, documente referitoare la principalele niveluri structurale, planuri, persoane, rezultate, deficiene; vizite la manageri, directori, servicii, operatori; informare preliminar privind documentele de gestiune (evidena operativ). 3. Orientarea planificat i nceperea lucrrilor deschiderea dosarului permanent de lucru; analiza riscurilor de audit: definirea obiectivelor de audit, stabilirea limitelor de aprofundare, precizarea duratelor (persoanelor);
stabilirea departamentelor, seciilor, serviciilor, i locurilor de operare unde se vor efectua testri Etapa II. Derularea misiunii de audit 1. Stabilirea procedurilor folosirea manualului de proceduri, dup caz; elaborarea diagramelor de circulaie (informaii, documente); alctuirea de memorandumuri. 2. Stabilirea testelor de conformitate simulri sau/i teste la un numr de tranzacii diferite cu scopul de a verifica procedurile de control i finalizarea controlului: adaptabilitatea sistemului de control. 3. Evaluarea preliminar a controlului intern puncte forte ale sistemului de control; puncte slabe ale sistemului de control. 4. Teste de permanen teste de verificare a continuitii i eficacitii punctelor forte ale sistemului. 5. Evaluarea controlului
66
Audit Bancar
BANCAS
punctele forte ale sistemului de control; slbiciunile, deficiene ale sistemului de control; documente de sintez. Etapa III. Finalizarea misiunii de audit 1. Evaluarea definitiv a controlului intern aciuni semnificative; aciuni puin semnificative; elaborarea unor noi programe; teste complementare; elaborarea unor noi programe; 2. Stabilirea i raportarea opiniei 4. ntocmirea raportului de audit intern Raportul de audit respect anumite principii, o anumit form, iar coninutul su se supune anumitor norme. Raportul de audit intern este i trebuie s fie un document de informare pentru conducere. La simpla lectur a raportului, superiorii ierarhici trebuie s tie dac exist un bun control asupra domeniului auditat i care sunt, eventual, msurile importante ce trebuie luate pentru a mbunti situaia. Pentru a rspunde acestei funcii, nu este nevoie ca raportul de audit s detalieze investigaiile efectuate. Trebuie i este nevoie ca raportul de audit s detalieze investigaiile efectuate? Trebuie i este de ajuns s prezinte o argumentaie clar, care s se bazeze pe identificarea exact a riscurilor observate sau descoperite i care s precizeze n linii mari punctele slabe i msurile ce trebuie luate ? ns raportul de audit mai trebuie s fie, din punctul de vedere al entitii auditate, i un instrument de lucru. Pornind de la raportul de audit, responsabilii auditai vor ntreprinde aciuni corective, ceea ce nu s-ar putea face numai cu indicaii generale. Aadar, documentul trebuie s analizeze i s prezinte n mod obligatoriu detaliile constatrilor i observaiilor. Recomandrile trebuie s fie concrete i precise, pentru ca responsabilii s nu rmn nelmurii, i s fie n msur s defineasc cu exactitate aciunile ce trebuie ntreprinse. Rezultatul acestei abordri este un raport lung. Raportul de audit va trebui s rspund acestor dou exigene prin adoptarea unei structuri originale pe care o putem analiza n patru pri: Prima pagin i scrisoarea de transmitere
67
Audit Bancar
BANCAS
n funcie de regulile bncii i de cultura ei, raportul este-sau nu- nsoit de o scurt scrisoare de transmitere. De foarte multe ori, scrisoarea de transmitere lipsete iar pe prima pagin se indic principalele meniuni care nu trebuie omise: n primul rnd, titlul misiunii i data de trimitere a raportului care precizeaz foarte clar data de ncheiere a operaiunilor de audit. Eventual, se amintete ordinul de misiune iniial; sunt menionate numele auditorilor care au participat la lucrri, mpreun cu cel al efilor de misiune; este foarte indicat ca cei interesai s semneze cu numele lor, cu excepia cazului - pe care vei vedea c nu-l recomandm - n care nu au participat la redactarea raportului. Produsul final este astfel validat de ctre cei care au contribuit la crearea sa; din acelai spirit de claritate se cere precizarea numelor destinatarilor raportului de audit. Dac au fost difuzate doar extrase, se vor preciza i beneficiarii acestor extrase. Este foarte important ca la fiecare nivel al structurii ierarhice s se tie foarte clar cine a primit documentul. O meniune special precizeaz cine este entitatea auditat, destinatar principal i responsabil cu aplicarea recomandrilor. O meniune obligatorie de confidenialitate mai figureaz pe prima pagin (sau pe copert). Aceast cerin de confidenialitate implic numerotarea diferitelor exemplare i precizarea numrului n faa numelui fiecrui destinatar. Regulile interne ale serviciului de audit trebuie s interzic n mod normal editarea sau fotocopierea raportului. Sumar- introducere i sintez Acest ansamblu introductiv ncepe prin sumarul detaliat al raportului pentru a putea face uor trimiteri la un subiect sau altul. Acest sumar este indispensabil mai ales pentru rapoartele voluminoase sau care au multe anexe. Introducerea este n general destul de scurt. Ea trebuie s cuprind n mod obligatoriu dou informaii: prezentarea domeniului de aciune i a obiectivelor misiunii. ntr-adevr, cititorul nu cunoate neaprat ordinul de misiune, i nici raportul de orientare a fortiori; aceast prezentare precizeaz aadar cu o foarte mare utilitate scopul urmrit i limitele n care s-au situat investigaiile (limite n timp i spaiu);
68
Audit Bancar
BANCAS
o descriere foarte scurt a organizrii unitii sau a funciei auditate; i aceasta nu pentru c entitile auditate solicit acest lucru, ci pentru a rspunde primei funcii a raportului: informarea conducerii. La nivelurile cele mai nalte ale ierarhiei, poate s fie nevoie de o prezentare a organizrii mediului auditat. n final, sinteza. Unii autori o numesc scrisoarea preedintelui, ceea ce subliniaz foarte clar obiectivul sintezei: s informeze conducerea i s respecte astfel prima funcie a documentului. Acest capitol, clar separat de celelalte, permite responsabilului de la nivel nalt s opreasc lectura n acel punct pentru a consulta n detaliu diferitele probleme pe care dorete s le aprofundeze. Acest lucru presupune ca sinteza s respecte dou reguli eseniale: - trebuie s fie scurt: nu mai mult de o pagin i jumtate, pentru a nu se lungi sau repeta. - trebuie s fie precis i s permit cititorului s-i formeze o opinie dup lectur. n aceast sintez auditorul apreciaz calitatea controlului intern. n acest scop, ea nu trebuie s fie un simplu rezumat al corpului raportului care conine numai observaii negative. Nota de sintez restabilete echilibrul, corelnd aspectele pozitive cu cele negative. Astfel poate fi aplicat Norma 2410.A2: Comunicarea trebuie s in cont de punctele forte identificate. S precizm c anumite rapoarte de audit aplic Norma evocnd aspectele pozitive din corpul raportului. Dar pe lng faptul c aceast metod ngreuneaz prezentarea i atenueaz punctele slabe, ea nu permite aplicarea Normei 2410.A1, care impune o opinie general a auditorului. Tehnicile de apreciere care permit formularea acestei opinii globale sunt tratate n capitolul urmtor. Aceste tehnici sunt cu att mai necesare cu ct auditorului intern i se cere de aici nainte s-i assume opinia formulat, fapt care indic importana sintezei. Uneori, acest document de sintez este lsat la sfritul raportului: aceasta este o greeal, deoarece cititorul are tendina de a face o lectur integral, n timp ce scopul urmrit este tocmai evitarea acestui parcurs. Corpul raportului- sau Raportul detaliat Este documentul integral destinat n primul rnd entitii auditate i care cuprinde: constatri, recomandri i rspunsuri la recomandri, toate prezentate n ordinea logic i coerent a sumarului. Din pcate, exist o disput ntre dou coli n privina formei acestei pri care reprezint esena raportului: o coal tradiional care susine faptul c raportul de audit intern este un document destinat lecturii, i nu o cantitate de informaii care trebuie
69
Audit Bancar
BANCAS
descifrate din documentele de lucru. Corpul raportului trebuie aadar redactat ca orice alt raport, adic conform tradiiei. o coal inovatoare susine faptul c, avnd n vedere c practica foilor de lucru este generalizat datorit structurii sale coerente i logice, este de ajuns s clasm toate foile de lucru conform ordinii anunate n sumar i corpul Raportului este gata n forma sa definitiv. Aceast practic are riscurile ei: n starea ei iniial, foaia de lucru este un document abrupt, fr nuane i a crei form voit simplificat l poate oca pe cititorul neavizat. De aceea, este recomandat s nu alegei aceast cale dect dac o permit contextul i cultura. Concluzia-Planul de aciune- Anexele Concluzia unui raport de audit nu este obligatorie: adevrata concluzie este nota de sintez de la nceputul documentului. Putem totui s facem o scurt ncheiere (15 rnduri), nu pentru a repeta ceea ce s-a spus n sintez, ci pentru a deschide dou direcii posibile: fie pentru a anuna - sau a sugera - alte misiuni al cror interes a fost evideniat prin prezenta misiune de audit; fie pentru a reaminti - fcnd referire la planul de audit aprobat - la ce dat va avea loc urmtoarea misiune de audit intern pe aceeai tem. Dup aceast scurt concluzie urmeaz un document completat de ctre entitatea auditat, trimis mpreun cu rspunsurile la recomandri i anexat la raport: este vorba de planul de aciune. Este un simplu formular, standardizat de auditul intern, i care permite entitii auditate s precizeze n cadrul fiecrei recomandri cine, ce i cnd va aciona. Pentru a rspunde acestor obiective, actul anexat la sfritul raportului cuprinde naintea numrului fiecrei recomandri numele persoanei responsabile cu punerea n aplicare i termenul n care recomandarea va fi pus n aplicare i finalizat. Vom vedea mai trziu la ce folosesc aceste informaii, ns imediat dup difuzarea raportului, destinatarii tiu cui s i se adreseze pentru fiecare problem adus n discuie. Forma cea mai simpl i cea mai tradiional este aceasta: Plan de aciune Recomandri Nr.1 Nr.2 Persoana responsabil eful de departament Director sucursal Data limit de finalizare 30.06.2004 30.05.2004
70
Audit Bancar
BANCAS
Majoritatea rapoartelor de audit intern conin i anexe pentru a nu complica prea mult textul documentului. De aceea, toate tabelele, graficele, textele oficiale, regulile procedurale, schemele etc. care susin demonstraia sunt lsate n anexe, mpreun cu trimiterile i referinele de rigoare care s permit identificarea lor fr probleme. n rapoartele importante, care necesit numeroase trimiteri, se utilizeaz uneori un caiet cu anexe, un fel de raport complementar care nu este destinat citirii integrale. Utilizarea anexelor prezint anumite pericole: auditorul trebuie s se limiteze la documentele indispensabile pentru o mai bun nelegere a raportului; ar fi un adevrat dezastru dac am aduga documente inutile, doar pentru a obine un anumit volum. Rspunsurile la recomandri Fiecare constatare d natere unei recomandri a auditorului care este prezentat entitilor auditate n timpul reuniunii de ncheiere. Dac entitile auditate au rezerve n privina realismului i aplicabilitii lor, i le vor exprima acum. Auditorii interni vor ine cont de acest lucru, sau nu, n funcie de cum apreciaz observaiile fcute. Deoarece recomandarea a devenit astfel definitiv din punct de vedere al formei, se cere un rspuns oficial din partea entitilor auditate pentru ca observaiile lor s poat fi integrate n raport. Aceste rspunsuri la recomandri se materializeaz n dou feluri: fie - i aceasta este practica anglo-saxon - rspunsul este reinut i notat nc de la reuniunea de ncheiere, n aa fel nct la sfritul reuniunii s existe un text definitiv: raport i rspunsuri. Raportul definitiv astfel finalizat este disponibil n orele de dup reuniune, ba chiar n cteva minute, dac actualizrile i nregistrrile au fost fcute pe calculator n timp real. Nu mai trebuie adugate la document dect planul de aciune. practica francez este mai tradiional: ntre exprimarea oral n timpul reuniunii i luarea de poziie n scris dorim s lsm entitii auditate un rgaz de gndire, care variaz n funcie de banc (de la 8 zile la 3 sptmni). Rspunsul scris ajunge aadar puin mai trziu la serviciul de audit intern, care l integreaz, aa cum este, n raportul de audit dup fiecare recomandare. Aceste rspunsuri la recomandri trebuie s respecte trei principii fundamentale:
1. Principiul 1
71
Audit Bancar
BANCAS
Trebuie s reprezinte o luare de poziie clar i fr ambiguitate prin care entitatea auditat: - fie accept recomandarea, acesta fiind aa cum i trebuie - cazul cel mai ntlnit, mai ales dup reconcilierile i validrile din timpul reuniunii de ncheiere. - fie nu accept dect parial, i numai pentru unele dispoziii - fie o refuz, ceea ce nu trebuie s se ntmple dect n mod excepional. Auditorilor trebuie s li se atrag atenia asupra acestei probleme, deoarece unele refuzuri nu reprezint rezultatul unei negri a constatrii, ci al caracterului nepotrivit al soluiei propuse. De aceea, eful misiunii, mai experimentat i cunoscnd mai bine mediul, trebuie s vegheze n mod special asupra calitii i pertinenei recomandrilor propuse. 2. Principiul 2 Materializarea rspunsului entitii auditate este Planul de aciune la care s-a fcut trimitere n prezentarea structurii raportului de audit. Odat cu acceptarea recomandrii, se va decide cine va fi responsabil cu punerea ei n aplicare i cnd. Acest aspect este foarte important deoarece introduce auditul n domeniul operaional, permite trecerea de la teorie la practic i d recomandrilor auditorului un efect care i pune n valoare aciunea. 3. Principiul 3 Dac recomandarea nu este dect parial acceptat, sau dac este refuzat total a fortiori, rspunsul entitii auditate conine scurte explicaii care i justific poziia. De asemenea, rspunsul trebuie neaprat s se refere la recomandare, el nu trebuie s reprezinte o ocazie de a nega constatrile de fapt care figureaz n raportul de audit, aceste probleme trebuind s fi fost rezolvate n timpul edinei de ncheiere. Dac cumva nu a fost nici una, nici alta i dac Rspunsurile la recomandri s-ar transforma n critici ale raportului de audit nsui, responsabilul auditului intern este cel care trebuie s fac ordine: - fie avnd iniiativa unei reuniuni de reconciliere; - fie oprind orice ncercare de dezbatere din partea auditorilor si, dup ce s-a asigurat nc o dat de pertinena observaiilor acestora. Monitorizarea raportului de audit intern Auditorii interni au avut ntotdeauna grij s tie ce se va ntmpla cu recomandrile lor pentru a putea msura eficacitatea real a lucrrilor lor i s verifice soluiile date unor probleme n care s-au implicat total. ns exist pericolul de a vrea s mearg prea departe, cci, dac modalitile de monitorizare difer uneori n funcie de banc, exist un principiu cu care toat lumea este de acord: auditorul intern nu ia parte la aplicarea propriilor sale
72
Audit Bancar
BANCAS
recomandri. Principiul care pleac chiar de la definiia funciei: auditorul nu este cineva care face lucrurile, este cineva care privete cum sunt fcute lucrurile. Auditorul intern are dreptul s fie informat referitor la aplicarea recomandrilor sale, drept care va permite msurarea eficacitii, completarea dosarelor i, deci, s ncheie auditele ulterioare. Acest drept se bazeaz pe cteva principii normative de la care nu ne putem abate. Cuvinte cheie capacitatea auditului; planul anual de audit; etapa de informare; derularea misiuni de audit; ntrebri i exerciii 1. Cum se calculeaz capacitatea auditului ntr-o banc? Exemplificai pentru o banc care are 3 persoane angajate n cadrul departamentului de audit intern. 2. Care sunt elementele luate n consideraie la ntocmirea planului anual de audit? Exemplificai pentru o banc care are 10 sucursale i urmtoarele departamente: credite, pli interne i externe, operaiuni de comer internaional (trade finance), legislative, trezorerie (front office, back office), contabilitate i financiar, informatic, calitate. Not: unitile trebuie s fie auditate anual cu excepia a dou sucursale care trebuie s fie auditate o dat la 2 ani i a funcie de back office care trebuie auditat trimestrial (cele dou sucursale au fost auditate anul precedent). 3. Care sunt etapele activitii de audit? 4. Enumerai seciunile unui raport de audit? 5. Este important s se ntocmeasc un plan de aciune i s se monitorizeze realizarea recomandrilor stipulate n acesta? finalizarea misiunii de audit; raportul de audit; plan de aciune; monitorizarea raportului de audit.
73
Audit Bancar
BANCAS
74
Audit Bancar
BANCAS
5. Abordare practic. n cadrul acestei pri se dorete a se prezenta foarte succint extrase de constatri realizate n cadrul diferitelor audituri realizate n domeniile de activitate ale unei bnci. Acolo unde extrasele din rapoartele de audit nu sunt relevante, se vor prezenta liste de verificare care sunt utilizate de catre auditori n misiuniule lor de audit. 5.1. Activitatea de creditare 1. Debitor: MMM srl ara: Romnia Industria: prelucrarea lemnului Scopul creditului: investiii Data Aprobrii: 28.03.2005 Comitetul de Credite Tipul creditului INV Suma total 255.000 EURO 255.000 31.07.2009 Moneda Soldul Perioada Rata dobnzii 7.5% Comisioane
polia de asigurare nu este nregistrat n Arhiva Electronic de Garanii Reale Mobiliare Alte asigurri nu au fost nregistrate n AEGRM Garanii au fost evaluate la 487.483 EURO CREDIT Opinia auditorului* C Conform BNR C RATING CLIENT Opinia auditorului* C B Rating CRM
2. Tragerea creditului : 25/03/2005 3. Ipoteca : 30.03.2005 4. Situaiile Financiare : 31.12.2004 a) profit :899.061.000 ROL = 24.631 EUR
75
Audit Bancar
BANCAS
b) Venit Net= 41.193.410.000 = 1.128.586 EUR c) Datorii pltibile ntr-un an : 10.289.433.000 = 281.902 EUR d) Datorii pltibile peste un an : 13.209.276.000 = 361.987 EUR Aspecte critice :
Condiii precedente (precedent conditions) asigurarea cldirii nu a fost realizat de ctre client i nu a fost monitorizat de ctre banc- de asemenea, nu a fost nregistrat n Arhiva Electronic de Garanii Reale Mobiliare. Copiile bilanelor primite de la clieni nu sunt tampilate pentru a dovedi
conformitatea cu originalul Tragerea creditului nainte de aprobarea lui de ctre persoanele copetente i constituirea garaniilor. Extras din raportul de audit : Constatare : garaniilor in timp efectiv, permitnd tragerea creditului naintea constituirii garaniilor. Dupa constituirea garaniilor, banca nu a reuit s controleze asigurarea acestora. Mai mult banca a permis tragerea creditului nainte de obinerea aprobrilor din partea Comitetului de Credit. Recomandare : Banca trebuie sa implementeze un sistem Termenul limit de de remediere : O sptmn de Rspuns unitate auditat :
Pentru clientul MMM SRL, banca nu a monitorizat constituirea Suntem de acord
monitorizare/control a a ctivitii de creditare n sensul la semnarea raportului de constituirii garaniilor n timp efectiv i nepermiterea efecturii audit tragerilor nainte de obinerea aprobrii Risc: credit i operaional 5.2.Trezorerie i Piee de Capital Contrapartida: Banca X Tipul tranzaciei: FX spot
76
Audit Bancar
BANCAS
Suma: 1.000.000 EURO Rata de schimb: 36.400 ROL Dealer: Bogdan Ioan Data: 31.03.2005 n urma consultrii documentelor suport ale tranzaciei de mai sus s-au putut reine urmtoarele: Aspecte critice: Dealerul Bogdan Ioan are dreptul s tranzacioneze n limita a 500.000 EURO pe tranzacie, astfel c n cazul nostru dealerul i-a depit limita. Expunerea pe contrapartid aprobat de consiliul de administraie era de 800.000 EURO Deal ticket-ul nu era semnat de doua persoane (dealer i un ofier back-office)lipsa principiului celor 4 ochi. Extras din raportul de audit: Constatare: n cazul tranzacie interbancare FX din data de 31.03.2005 cu contrapartida Banca X, n valoare de 1.000.000 EURO, s-a constatat c principiul celor 4 ochi nu a fost respectat, ceea ce a condus la nerespectarea limitei pe dealer i pe contrapartid. Recomandare: Directorul unitii trebuie s implementeze un sistem solid de cntrol intern prin care s nu se mai permit depirea limitelor aprobate de consiliul de administraie Risc: pia i operaional 5.3. Trade Finance (pasive contigente) Scrisori de Garanie Client: XYZ SRL Tip scrisoare de garanie: pentru licitaie Termenul limit de implementare: imediat Rspunsul unitii auditate: De acord
77
Audit Bancar
BANCAS
Suma: 1.500.000.000ROL Garanii: 1.500.000.000 ROL (depozit la banc) Data aprobrii: 31.03.2005 Emis: 28.03.2005 Beneficiar: Primria Municipiului Bucureti Data expirrii: 28.04.2005 n urma verificrii documentelor suport acestei tranzacii, s-au constatat urmtoarele: Aspecte critice: Clientul nu oferise bncii contractul de participare la licitaie n care ar fi trebuit s se menioneze necesitatea unei scrisori de garanie, suma acesteia, beneficiarul i valabilitatea sa. Textul scrisorii de garanie nu menineaz data expirrii. Depozitul este n valoare mai mica de 110% din valoarea scrisorii de garanie.
Extras din raportul de audit: Constatare: Rspunsul unitii
n cazul scrisorii de garanie emis la cererea clientului XYZ SRL auditate: din data de 28.03.2005, banca nu a solicitat contractul de participare De acord cu anumite la licitaie, nu a menionat data expirrii scrisorii n textul acesteia. mentiuni: Toate constatrile au De asemenea, scrisoarea a fost emis nainte de a fi aprobat, iar fost colateralul valoreaz mai puin de 110% din valoarea scrisorii. Recomandare: Unitatea trebuie s respecte procedura in vigoare. Risc: credit i operaional B. Acreditive Client: XYZ SRL Tip acreditiv: de import remediate limit n de timpul auditului Termen implementare: imediat
78
Audit Bancar
BANCAS
Suma: 500.000 EURO Data deschiderii: 30.03.2005 Data expirrii: 90 de zile de la trimiterea documentelor Data plii: 30.07.2005 n urma verificrii documentelor suport ale acestei tranzacii, s-au constatat urmtoarele: Aspecte critice Printre documentele obligatorii trimise de ctre exportator au lipsit certificatul de origine i scrisoarea de transport rutier
Extras din raportul de audit: Constatare: n cazul acreditivului de import emis de banc la cererea clientului XYZ SRL, banca nu a solicitat aprobarea clientului de a face plata acreditivului avnd n vedere uzanele n cazul n care exportatorul nu trimite toate documentele obligatorii (Ex: scrisoare de transport rutier i certificat de origine.) Recomandare: Unitatea trebuie sa respecte n ntregime uzanele internaionale. Risc: reputaional i operaional 5.4. Pli 1.Plile interne (de pe teritoriul rii) Instrument de plat: Cec Beneficiar: XYZ SRL Suma: 500.000.000 ROL Data emiterii: 30.05.2005 Data depunerii la banc: 30.03.2005 Data compensrii: 31.03.2005 Data ncasrii: 01.04.2005 Circuit: 1 n urma verificrii documentelor suport, s-au constatat urmtoarele: Aspecte critice: nregistrarea ncasrii n contul clientului bncii cu o ntrziere datorit eecului sistemului informatic i neverificrii de ctre personalul unitii a creditii conturilor Lipsa semnturii beneficiarului pe borderoul de ncasare cec. Discrepan ntre suma scris n litere i ceea scris n cifre (s-a ncasat suma scris n cifre) Rspunsul unitii auditate: De acord cu meniunea ca am luat acceptul clientului prin telefon. Termenul limit de implementare: Imediat
Extras din raportul de audit:

79
Audit Bancar
BANCAS
Constatare: n cazul cecului de ncasat avnd cabeneficiar clientul bncii XYZ SRL, din data de 30.03.2005, banca nu a urmrit ncasarea acestuia, nu a verificat existena semnturii incasatorului pe borderou i nu a ncasat suma scrisa n litere. Recomanadare: Unitatea trebuie s verifice de fiecare dat ca toate nstrumentele de ncasat s-au dus pe conturile clienilor. De asemenea, un program de (auto)control trebuie sa fie implementat imediat Risc: operaional 2.Plile internaionale Tipul tranzaciei: ncasare Beneficiar: XYZ SRL Suma: 500.000 EURO Reprezint: mprumut pe termen lung Data: 30.03.2005
Rspunsul uniti auditate: De acord cu meniunea c n cazul nencasrii, cauza principal este eecul sistemului informatic. Termen limit de implementare: Imediat
n urma verificrii documentelor suport ale tranzaciei, s-au constatat urmtoarele: Beneficiarul nu a adus la banc un formular DIE n termen de 10 zile i nici documentele de credit, Extras din raportul de audit: Constatare: Conform normelor n vigoare, clienii care au ncasat anumite sume de la extern, trebuie s completeze un formular DIE n maxim 10 zile de la data valut. Echipa de audit a constatat c acest principiu nu a fost respectat n cazul ncasrii din data de 30.03.2005, n sum de 500.000 EURO, avnd ca beneficiar clientul XYZ SRL. De asemenea, acesta nu a adus documentele de credit care au stat la baza acestei ncasri Rspunsul unitii auditate: De acord
80
Audit Bancar
BANCAS
Recomandare: acestui tip de tranzacii Risc: Reputaional 5.5 Contabilitate
Termenul
limit
de
Unitatea trebuie s impementeze un sistem de monitorizare a implementat: Imediat
Unul dintre cele mai importante elemente care este verificat n cadrul funciei de contabilitate este inventarul sau cu alte cuvinte evidena i nregistrarea pe clase de inventar a tuturor obiectelor de inventar. O atenie deosebit trebuie acordat modului n care obiectele de inventar au fost clasificate, pentru c fiecare clas de obiecte de inventar are o perioad de amortizare diferit. 5.6. Furnizori/Cheltuieli n cadrul acestui tip de audit, n general, auditorii verific c toate nregistrrile contabile referitoare la cheltuile ntreprinse cu furinizorii de diferite servicii sau produse sunt ntradevr susinute de documente justificative. Printre cheltuielile nregistrate de bnci s-ar putea numra i urmtoarele: Protecia i paza Mai ales n cadrul auditurilor de sucursale, auditorii trebuie sa acorde o importa deosebit de mare modului n care sucursalele sunt securitizate i pzite. Mai jos, putei citi un extras dintr-un raport de audit: publicitate; simpozioane echipamente premii; materiale -etc
Constatare:
Rspunsul
unitii
81
Audit Bancar
BANCAS
n urma unui test realizat de ctre echipa de audit la sucursala x, s-a auditate: constatat ca echipa de intervenie a ajuns dupa 15 minute de la De acord declanarea alarmei, cu o ntrziere de aproximativ 10 minute fa de maximul admis. Recomandare: sucursala vor ncepe prospectarea piei pentru Termenul limit de Echipa de securitate din centrala bncii mpreun cu directorul de implementare: nlocuirea O lun de la semnarea acestui raport furnizorului de servicii de intervenii Risc: operaional
5.7. Personal/Resurse umane Evaluarea sistemului Evaluarea sprijinului acordat de ctre sistemul informatic departamentului de personal (automatizare, sistem de redactare documente, sisteme de afaceri pentru informarea personalului, contabilizarea salariilor, plata impozitelor ctre Casa Naional de Asigurare i sntate, contabilizarea n balan i a costurilor.). n ceea ce privete sistemele de afaceri, se evalueaz: 1. funciile sistemului disponibil i necesitile utilizatorului, 2. introducerea datelor i procedurile de validare a nregistrrilor (detalii statice, date despre salarizare), 3. chestionarele disponibile, 4. listrile disponibile, 5. securitizarea accesului pentru date confideniale (sistem de securitizare prin parol), 6. notificarea prompt a biroului de salarizare. n detaliu, urmtorii pai de audit se recomand: 1. Se obin manualele, descrierile, normele i politicile n legtur cu administrarea personalului i se verific dac: au fost aprobate,
82
Audit Bancar
BANCAS
sunt actuale/actualizate (ex. cum ar fi ghidurile, politicile de cltorie, impozitarea, asigurarea, legislaia), incorporeaz toate procedurile i sistemele, 2. Se indentific numrul de personal, numele angajailor/fiele postului (n timpul ntlnirilor de prezentare a conducerii din prima zi a vizitei de audit). 3. Se obine dosarul de personal pentru toi angajaii selectai de ctre auditul intern (ex. se selecteaz un eantion de 20 angajai) i se verific existena i completitudinea lor: - contractul de munc (contracte standarde sau individuale, prezentarea clar att a drepturilor ct i a obligaiilor prilor, semnate de ambele pri), - documentele ce certific calificarea (certificatul colar sau universitar, certificate de la angajatorul anterior, referine), - documente personale (certificatul de natere, certificatul de naionalitate, certificatul de nregistrare dac este cazul), - nregistrarea la casa de asigurare naional, - declaraie semnat de pstrare a confidenialitii, - carduri de nregistrare a angajailor artnd evoluia salariului i calificrii, - copii ale corespondenei cu personalul referitoare la salariu i promovare, - documente pentru aprobarea angajrii personalului, - alte materiale care ar putea fi necesare pentru a se conforma cu regulile i reglementrile locale. 3. Se identific procedurile pentru pregtirea salariilor i se verific perioada de plat a salariilor pentru un eantion reprezentativ de angajai cum ar fi: corectitudinea salariilor brute, plata lucrului peste program, plata impozitelor i deducerilor, contribuiile la casa de asigurare naional sau fondul/planul de asigurare medical, plata bonusurilor, replata angajailor sau credite pentru tichete de sezon, pli de subvenionare a ipotecii acordate pentru credit de locuin, avansuri salariale i rambursarea lor adecvat.
i se asigur c nu sunt pltii oamenii manechin.
83
Audit Bancar
BANCAS
5. Se identific pachetele de beneficii oferite personalului i se verific acurateea i aprobarea lor. 6. Se verific nregistrrile de prezen (ex. un eantion de 10 angajai): completitudinea nregistrrilor aferente concediilor medicale i vacanelor, sistemul de monitorizare pentru a asigura c vacana nu depete limita, politica pentru zilele de vacan luate n avans, politica referitoare la utilizarea obligatorie a unui numr pre-definit de zile de vacan luate la rnd, certificatul medical pentru concediu medical ce depete numrul predefinit de zile (conform cu reglementrile locale). 7. Verificarea sistemului de compensare a lucrului peste program (ex. un eantion de 10 angajai): politica general referitoare la lucrul peste program, numirea personalului, sistemul de monitorizare i aprobare
8. Se identific orele oficiale de lucru i se asigur prin observaie n timpul vizitei de audit c personalul respect aceste ore. 9. Se selecteaz un eantion reprezentativ de pli facturate realizate de ctre departamentul de resurse umane i se verific dac: calculele sunt corecte, factura pltit este conform cu instruciunile originale, cheltuielile au fost aprobate de ctre angajaii autorizai, detaliile de pe tampil au fost incluse.
10. Dac plata salariilor se realizeaz prin alte bnci se verific extrasul bncii originale i contul din balan. 11. Dac se permite departamentului de resurse umane s obin listarea actual a creditelor nerambursate ale personalului i s se asigure c toate sunt aprobate, dobnzile sunt corecte, replata principalului i dobnzii se face la momentul exigibilitii.
84
Audit Bancar
BANCAS
12. Exist un ghid pentru personal i este acesta distribuit ctre ntreg personalul (coninut: drepturi i obligaii ale personalului, beneficii suplimentare, plata lucrului peste program, orele de lucru, etc.). 13. Se obin normele despre revizuirea evalurii performanelor personalului. Se evalueaz sistemul referitor la ratingul performanei i factorii cheie de performan (ex. cunoaterea jobului, relaiile organizatorice i n echip, punctele forte ale angajatului, ariile de mbuntire, planul de dezvoltare/promovare). 14. Se obin documente despre training i se evalueaz trainingul oferit angajailor. 15. Se obin documente i norme despre planificarea i dezvoltarea personalului. 16. Se verific existena consiliului de reprezentare a personalului (dac este obligatoriu conform legii locale). 17. Se evalueaz procedurile despre pregtirea bugetelor de personal pentru ntreaga unitate (sucursal, filial). 18. Se evalueaz statisticile asupra fluctuaiilor (demisiilor) i comentariile asupra motivelor pentru terminarea contactului de munc. 19. Se evalueaz normele locale asupra proteciei personalului feminin gravid i concediilor de maternitate i conformitatea cu astfel de norme. 20. Se obin informaii asupra existenei unei legislaii de protejare a forei de munc i se evalueaz dac sunt respectate. 21. Se evalueaz procedurile generale referitoare la timpul de prob (perioada calificat). Ex. note pentru urmrire, evaluare nainte de expirarea contractului de munc, extindere scris a terminrii contractului de munc. 5.8. Administrarea cldirilor i mijloacelor fixe Responsabilitile i ndatoririle unitii organizatorice nsrcinate cu administrarea cldirilor variaz de la o pia la alta. Astfel, urmtoarele acoper activitile care sunt cel mai rspndit acceptate ca fiind n cadrul acestor ndatoriri. Oricum, aceast gam de activiti nu trebuie s fie privit atotcuprinztoare, i programul de audit trebuie s fie adaptat la nivelul local pentru a acoperi ntreaga arie a gamei de operaiuni ce vizeaz cldirile i mijloacele fixe. Ca o regul general, toate procedurile i costurile legate de aceste conturi de cheltuieli aferente departamentului responsabil cu cldirile i mijloacele fixe trebuie s fie incluse n misiunea de audit.
85
Audit Bancar
BANCAS
Cu toate c att cumprarea de bunuri/servicii i decontarea facturilor relevante sunt o component semnificativ a ndatoririlor departamentului respectiv, paii necesari de audit nu sunt subliniai n aceast lucrare, att timp ct ei sunt artai programul de audit aferent cheltuielilor. A. Cldirile bncii Cldiri nchiriate: Se verific chiria actual i se asigur c banca este n conformitate cu obligaiile sale aa cum au fost descrise n articolele din contractul de leasing. Verificarea valorii chiriei pltite ntre contractul de leasing i contul de cheltuieli relevant. Se verific scadenarul plilor de chirie i se indentific sumele fixe de chirie, impozitele i cheltuielile operaionale. Se asigur c diferite componente ale plilor de chirie sunt nregistrate n conturile de cheltuieli adecvate, Se verific creterile de chirie i acordul dintre pri Se asigur c cheltuielile operaionale incluse n plile de chirie nu sunt facturate separate la banc, Se evalueaz procedurile pentru ntreinere asigurat de proprietar n legtur cu meninerea/repararea care cade n sarcina sa. Se asigur c banca nu este taxat cu costurile aferente acestor reparaii/menineri. Cldirile proprii Se obin toate legile i reglementrile legale referitoare la proprietatea cldirii i se verific dac banca este n conformitate cu astfel de reglementri. Se verific proiectele construciei n ceea ce privete conformitatea lor cu toate reglementrile externe i interne. Proiectele construciei/renovrii sunt de obicei foarte complexe i implic un numr mare de personal att extern ct i intern. Auditul intern nu este menit s aib o expertiz profund asupra tehnicilor de construire sau problemelor arhitecturale. Aceasta este responsabilitatea echipei de proiect i un arhitect care se bucur de ncrederea bncii este n mod normal n responsabilitatea unui supervizor de proiect profesionist.
86
Audit Bancar
BANCAS
Oricum, se poate anticipa c auditul intern va verifica unele aspecte generale i va formula o opinie asupra calitii generale a proiectului: 1. Se verific cererea de proiect i se desfoar o verificare plauzibil referitoare la faptul dac au fost incorporate toate informaiile relevante cunoscute la acel moment. 2. Se verific dac cererea de proiect a fost corect aprobat de ctre autoritile locale i din administraia central a bncii. 3. Se compar costurile de proiect cu costurile actuale i se obin informaii asupra motivelor cauzatoare de depiri substaniale ale costului. 4. Se compar data proiectat de terminare cu data actual de terminare i se obin cauzele ntrzierilor. 5. Se verific procedurile pentru implicarea continu a supravegherii proiectului i se evalueaz dac aceasta a fost suficient pentru dezvoltarea proiectului n timp i acurat. 6. Se asigur c raportul de terminare a proiectului a fost pregtit pentru organele relevante n rang superior, artnd cifrele proiectate i actuale i furniznd explicaii despre deviaiile substaniale. 7. Se asigur c depirile de cost i timp au fost adecvat aprobate ct mai curnd dup ce au fost identificate. 8. Se asigur c fie banca sau arhitectul mandatat au obinut oferte competitive de la un numr rezonabil de contractori/prestatori. Se evalueaz explicaiile dac nu a fost ales cel mai bun ofertant. 9. Se verific scadenarul amortizrii i se asigur c sunt n conformitate cu reglementrile locale relevante. n ntreaga lume, industria de construcii este notorie la practicile neetice. Cnd se verific un proiect, trebuie s fii mereu atent la aceast posibilitate i ntlnete-te imediat cu conducerea n cazul n care simi c ceva este suspicios. B. ntreinerea i Reparaiile 1. Se verific toate contractele de ntreinere referitoare la urmtoarele: a. s-au obinut oferte competitive nainte de a se alege partenerul? b. se repet aceste licitaii de oferte la intervale predefinite pentru a se asigura n mod continuu c banca primete servicii profesionale la un pre corect? c. sunt necesare contracte de ntreinere, ex. pot fi prestate astfel de servicii de ctre angajaii bncii la costuri mai mici?
87
Audit Bancar
BANCAS
d. contractele de ntreinere includ toate detaliile obligatorii: Descrierea ambigu a serviciilor de prestat, Data nceperii i perioada contractului, Preul i termenele plii, Momentele de intervenie, Clauzele de penalitate; 2. S-a verificat sigurana celui ce realizeaz ntreinerea? 3. Se verific, folosind un eantion, un numr de facturi referitoare la contractele de ntreinere: a. au fost ntr-adevr prestate serviciile facturate i a fost aceasta confirmat de ctre personalul bncii? b. sunt preurile n conformitate cu contractul de ntreinere? 4. Se verific procedurile pentru reparaiile/mbuntirile necesare: a. cererea, b. estimrile de cost, c. aprobri, d. comanda i supravegherea, e.verificarea i decontarea facturilor; Trebuie s se aib grij la diferenierea dintre mbuntirea cosmetic , care ar fi clasificat ca o cheltuial operaional, i mbuntirea unui capital sau a unui bun nchiriat, care ar avea o viat de utilizare predeterminat i ar fi amortizat de-a lungul vieii sale de utilizare. 5. Exist o verificare care s asigure c ntreinerea satisface banca? 6. Se verific procedurile de control n legtur cheltuielile cu energia i decontarea facturii. 7. Se evalueaz dac energia este consumat la un cost eficient i ntr-o manier contiincioas fa de mediu. C. Asigurarea 1. Se obine un scadenar al polielor de asigurare n vigoare la data examinrii i se verific politicile de baz pentru: a) completitudine (incluznd cesionarea), b) validitate, c) acoperire, d) deductibiliti,
88
Audit Bancar
BANCAS
e) banca s fie artat ca asigurat sau beneficiara pierderii, f) protejare. 2. Se verific prima de asigurare pentru: a. Corectitudine, b. autorizarea adecvat, c. plata prompt pentru a evita intermitene n acoperire, d. tratamentul contabil cu privire la primele prepltite. 3. Sunt primele de asigurare eficiente din punct de vedere al costului? 4. osete banca serviciile unui broker profesionist pentru a obine sfaturi despre prime reduse? 5. n cazul n care banca folosete un broker: s-au obinut oferte competitive de la un numr de societi de asigurri destul de mare pentru a asigura ratele de prim cele mai bune? 6. tot ceea ce se poate asigura este acoperit de o poli de asigurare? S se rein c, n principiu, banca trebuie s caute protecia mpotriva numai a acelor riscuri care ar cauza, dac s-ar petrece, pierderi nsemnate sau care ar amenina existena viitoare a bncii. n legtur cu riscurile minore, banca trebuie mai degrab s se autoasigure i s acopere pierderile dac i atunci cnd acestea au loc din fluxul de numerar (cash flow), pentru c aceast abordare este n general mai puin costisitoare dect asigurarea pentru fiecare risc care este asigurabil teoretic. 7. Se verific dac acoperirea prin asigurare este adecvat referitoare la riscurile de baz. n mod tipic, o astfel de verificare ar atinge probleme ca cele ce urmeaz: a. este suficient asigurarea pentru instrumentele n numerar/negociabile pentru a acoperi sumele mari? b. s-au luat n consideraie la asigurare amelioraiunile/eliberrile de active fixe. c. s-au ncheiat polie de asigurare nenecesare pentru riscuri care sunt deja acoperite de ctre asigurri a unei tere persoane (ex. asigurarea proprietarilor pentru cldirile nchiriate). 8. Se verific orice pierdere nregistrat de banc n legtur cu riscurile asigurate i se evalueaz procedurile pentru trimiterea i decontarea despgubirilor. 9. A cumprat banca o poli de asigurare de fidelitate care s acopere pierderile din fraude? Au avut loc fraude i au fost trimise cereri de despgubire pentru societile de asigurri?
89
Audit Bancar
BANCAS
D. Arhive, Pstrarea nregistrrilor 1. Exist o politic cuprinztoare referitoare la pstrarea nregistrrilor, stabilind perioadele de pstrare pentru toate tipurile de nregistrri i documente? 2. Sunt astfel de perioade de pstrare n conformitate cu reglementrile locale i/sau internaionale? 3. Sunt pstrate toate nregistrrile n conformitate cu politica? 4. Este restricionat accesul la arhive numai persoanelor autorizate? 5. Cum sunt eliberate nregistrrile dup perioada de pstrare? 5.1.documentele importante (sensibile) sunt tocate? 5.2.Sunt toate documentele (incluznd pierderile din documentele tocate) eliberate ntr-o manier contiincioas fa de mediu i cu un cost eficient? 6. Exist o ordine transparent de arhivare care s asigure o urmrire uoar a nregistrrilor cnd este necesar? 7. n cazul arhivelor externe: se verific contractul cu furnizorul extern, n special n legtur cu: 7.1.secretul bancar, 7.2.procedurile de acces 7.3.timpul de introducere, 7.4.timpul terminrii E. Camera de coresponden 1. Se verific procedurile referitoare la primirea corespondenei pentru a se asigura c ntreaga coresponden este procesat n timp util i cu o grij considerabil referitoare la aspectele normale de secret. n particular, aceast verificare trebuie s ating urmtoarele probleme: 1.1. se livreaz toat corespondena primit ctre i deschis de ctre unitatea central (cu excepia scrisorilor personalizate sau confideniale care trebuie s fie nmnate destinatarului)? 1.2. Este realizat deschiderea i sortarea corespondenei de ctre un angajat care nu acioneaz ca i casier, contabil sau alt funcie originatoare sau introductoare de alte nregistrri ale bncii? 1.3. Este aceast funcie rotat periodic ntre doi sau mai muli angajai?
90
Audit Bancar
BANCAS
1.4. Exist nregistrri ale corespondenei primite i poate fi aceast coresponden urmrit pn la ultimul primitor? 1.5. Exist nregistrri pentru primirea de numerar sau instrumente negociabile i este adus la cunotina unitii procesatoare aceast primire? 1.6. Este livrat toat corespondena primit prompt ctre zonele procesatoare? 1.7. Se aplic tampila cu data i ora pe corespondent? 1.8. neleg oamenii implicai n activitatea de coresponden distribuirea responsabilitilor n cadrul bncii aa nct corespondena primit s poat fi alocat prompt ctre unitatea relevant? 2. Se verific procedurile n legtur cu corespondena trimis: a. este colectat corespondena trimis n mod periodic de la diferitele uniti ale bncii? b. este aceasta introdus prompt n plicuri cu timbru pentru a se asigura c prsete banca n aceeai zi? c. este personalul implicat avertizat corect despre taxele potale aferente tuturor tipurilor de coresponden/destinaii pentru a se asigura c scrisorile nu au fost timbrate nici peste dar nici sub valoarea normal? d. sunt primite confirmri de la autoritile potale n legtur cu corespondena nregistrat i consignaia de valori? e. exist un sistem de control care s previn utilizarea neadecvat a timbrelor potale sau a mainilor potale? f. exist proceduri care s previn fiecare angajat de la sustragerea de coresponden pentru a zdrnici livrarea sa ctre clieni (ex. traderii ridicnd confirmrile dealerilor)? 3. Se verific procedurile n legtur cu serviciul de curierat: a. contractele (acorduri), b. costurile/verificarea facturilor, c. utilizarea, d. scadenarul livrrilor i recepionrii, e. ofertele periodice competitive de la diferii curieri. 4. Exist o politic n legtur cu corespondena privat a angajailor? a. rechizitele/timbrele s nu fie utilizate pentru corespondena privat; b. angajaii ar trebui s fie descurajai n a primi scrisori private pe adresa bncii
91
Audit Bancar
BANCAS
F. Mainile companiei 1. Exist o politic aprobat referitoare la mainile bncii stipulnd norme clare despre cine este ndreptit s utilizeze mainile? 2. Stipuleaz aceast politic n mod clar care din cheltuielile realizate sunt suportate de banc/angajat? 3. Sunt cumprrile maini i decontarea cheltuielilor curente n conformitate cu politica de mai sus? 4. Dac utilizarea mainii bncii constituie un beneficiu impozabil: este reflectat corect aceast situaie n calcularea tatelor de salarii ale angajailor? 5. Sunt oferite rabaturi (reduceri) de ctre dealerii de maini? 6. S-au ncheiat acorduri cu staii de benzin/ntreinere i staii de service pentru a asigura reduceri adecvate? 7. Se verific procedurile referitoare la alegerea mainilor bncii: 7.1.metodologia de obinere a unui pre de vnzare real (valoarea contabil/valoarea de pia/valoarea oficial), 7.2.licitaie. 8. Se verific informaiile conducerii asupra cheltuielilor aferente mainilor bncii: a. sunt cheltuielile distribuite pe fiecare main? b. Sunt cheltuielile peste medie urmrite? G. Mijloace fixe/obiecte de inventar/rechizite 1. Au fost autorizate achiziiile de mijloace fixe/obiecte de inventar n conformitate cu politica de cheltuieli a bncii? 2. S-au obinut oferte competitive nainte de a se face comanda? Se evalueaz explicaiile n cazul n care cea mai bun ofert nu a fost aleas. 3. Angajaii bncii au confirmat cu acuratee primirea bunurilor comandate nainte de decontarea facturii? 4. S-au oferit reduceri adecvate de ctre furnizor n cazul unor comenzi mari sau continue? 5. S-au nregistrat amelioraiunile la mijloacele fixe ce depesc o anumit sum (care trebuie s fie n conformitate cu reglementrile fiscale locale) la capitolul mijloace fixe i au fost trecute la cheltuieli acelea sub suma limit?
92
Audit Bancar
BANCAS
6. Se amortizeaz mijloacele fixe n conformitate cu reglementrile locale? 7. Sunt nregistrate adecvat toate mijloacele fixe n registru i pot fi identificate uor prin registru (ex. prin numerotare n serie)? 8. Se realizeaz cel puin anual un inventar al mijloacelor fixe? 9. Se verific procedurile referitoare la casarea (cedarea) mijloacelor fixe. 10. Sunt protejate n mod adecvat mjloacele fixe de furt i nsuire ilegal? 11. Sunt pstrate obiectele de inventar ntr-o manier acurat i ordonat? Se inspecteaz rafturile pentru curenie i se uureaz recuperarea obiectelor de papetrie. 12. Accesul la bunuri (rechizite) este restricionat la persoanele autorizate? 13. Sunt utilizate formulare de rechizite pentru distribuirea acestora? 14. Se ntocmete un registru de stocuri referitoare la rechizite? Sunt nregistrate adecvat toate achiziiile/distribuirile? Ofer acest registru de stocuri semnale de avertisment timpurii pentru comandarea prompt de noi rechizite? 15. Exist sisteme de control adecvate pentru a preveni luarea ilegal de rechizite? 16. Se verific sistemul de achiziie a rechizitelor de ctre unitile descentralizate/sucursale: 16.1. sunt autorizate s comande direct pe pia? 16.2. este acest sistem sensibil i eficient din punct de vedere al costului? 16.3. Sunt stabilite bugete pentru achiziiile descentralizate i se respect aceste bugete adecvat monitorizate la nivelul administaiei centrale? 16.4. Sunt stabilite standarde generale pentru achiziiile decentralizate (tip, marc, preuri maxime, etc.)? 17. Se evalueaz dac problemele de mediu sunt luate n consideraie la procesul de achiziii (ex. hrtie reciclabil, articole care pot fi reciclate uor dup terminarea vieii lor de utilizare fr a deteriora mediul). 18. Se verific dac utilizarea copiatorului este monitorizat i dac exist msuri de prevenire i de detectare mpotriva utilizrii neautorizate sau abuzive. H. Comunicaiile 1. Se verific nregistrrile echipamentelor existente (telefoane, telecopiatoare, telexuri, etc) i se evalueaz dac locaia fiecrui articol este bine documentat. 2. Se verific sistemul de monitorizare n legtur cu cheltuielile de comunicare: 2.1.pot fi mprite cheltuielile pe fiecare utilizator? 2.2.Sunt asfel de distribuiri supuse efilor de departament pentru verificare?
93
Audit Bancar
BANCAS
2.3.Sunt cheltuielile, care apar ca fiind abuzive, urmrite? 3. Sunt contieni angajaii de cheltuielile respective? 4. Exist restricii pe interioarele de telefon pentru convorbirile la distan lung? 5. Sunt cheltuielile cu telefonul, telex i telecopiator impuse clienilor de fiecare dat cnd este posibil? 6. Personalul dispecer vorbete limbi strine pentru a ntmpina adecvat telefoanele primite? 7. Dispeceratul este dotat cu lista tuturor interioarelor i este aceasta actualizat n mod adecvat oricnd au loc schimbri de personal? 8. Este restricionat accesul la telecopiatoare i mainile telex doar ctre personalul autorizat? 9. Sunt cheile de test pstrate n loc sigur pentru a asigura c persoanele neautorizate nu au acces? 10. Sunt detectate prompt mesajele telex de testare i este acest exerciiu documentat prin iniialele personalului responsabil? 11. Sunt telexele i faxurile primite distribuite prompt ctre unitile responsabile? I. Securitatea general 1. Se menine o list a cheilor i se verific periodic dac lipsesc chei? 2. Sunt modificate periodic codurile de acces? 3. Exist un program scris de securitate i a fost acesta aprobat de ctre conducere? 4. Se verific acest program pentru urmtoare prevederi: 4.1.un program pentru inspeciile periodice, testarea i utilizarea instrumentelor de securitate instalate n banc, incluznd nregistrrile pstrate referitoare la astfel de inspecii, testri i utilizri. 4.2.se determin dac toate devizele i instrumentele negociabile sunt pstrate n tezaure cu ncuietori sau n seifuri n timpul orelor nelucrtoare i sub controlul adecvat n timpul orelor de lucru. 4.3.desemnarea unei persoane care va asigura c toate instrumentele de securitate sunt n funciune i opereaz de-a lungul perioadei pentru care sunt utilizate. 4.4.pregtirea i repregtirea periodic a ntregului personal responsabilitile lor din cadrul programului de securitate. 5. Exist un ofier de securitate desemnat s administreze programul scris de securitate?
94
referitor la
Audit Bancar
BANCAS
6. Se verific sistemul existent pentru paza cldirilor n timpul orelor nelucrtoare, incluznd sistemele de alarm la unitile slab protejate. 7. Sunt localizate n mod vizibil extinctoarele de foc? Sunt acestea verificate periodic? Este personalul pregtit pentru utilizarea lor? 8. Sunt efectuate exerciii de incendii periodic pentru angajai? 9. Exist truse de prim ajutor i se verific periodic coninutul lor n vederea renlocuirilor necesare? 10. Exist ui de salvare i coridoare neobturate de materiale care ar putea obstruciona trecerea sigur n caz de urgen? J. Personal n aria de cuprindere a auditului trebuie s fie inclus tot personalul ce raporteaz efului departamentului de administraie, ex: - recepionitii, - operatorii telefonici, - mesagerii. Aceast verificare se va concentra asupra urmtoarelor aspecte: 1. Utilizarea capacitilor disponibile; 2. Pregtirea adecvat; 3. Planuri de nlocuire n cazul absenei de la birou; 4. Economisiri posibile prin realocarea responsabilitilor (ex. conceptual integrator (pool concept) pentru recepioniti/operatori de telefonie sau mesageri/ personal arhivar); 5. Economisiri posibile prin evitarea lucrului peste program (ex. sistemul de ture de lucru, angajai part-time, restructurarea ncrcturii (sarcinii) muncii) Aceast verificare va atrage dup sine o inventariere complet a tuturor ndatoririlor i responsabilitilor personalului respectiv pentru a se identifica domeniile posibile unde ndatoririle ar putea fi asumate de ctre resurse la costuri mai mici.
5.9. Auditul de conformitate
95
Audit Bancar
BANCAS
Auditurile de conformitate sunt realizate n primul rnd ca o verificare a aderrii bncii la reguli i reglementri i ca o evaluare a corectitudinii, completitudinii i siguranei datelor contabile. ntr-un audit atotcuprinztor, acestea sunt alturate evalurii sistemului (n faza de testare referitoare la proceduri i controale). n cazurile n care se realizeaz un audit pur de conformitate, procedurile operaionale nu sunt un obiectiv major al unui astfel de audit, dar ele trebuie s nu fie neglijate ntr-un tot. Neconformitatea poate fi rezultatul erorii umane, neglijenei sau unei purtri rele, dar n mod egal rezultatul direct sau indirect al procedurilor sau slbiciunilor de control. Instrumentele majore implicate sunt: 1.1 Numrarea stocurilor Exemplu: 1. numerar, 2. cecuri de cltorie, 3. instrumente negociabile, 4. instrumente de titlu, 5. bunuri n depozitare, 6. echipamente de birou i alte maini de lucru. Astfel de audituri nu sunt n mod obinuit anunate n avans,ci sunt realizate inopinat. 1.2 Verificri de siguran Exemplu: corectitudinea 1. calculelor de dobnzi i comisioane, 2. conturilor furnizori/clieni, 3. cereri de rambursare cheltuieli, 4. reevaluarea valutar. 1.3 Autoritile de aprobare Exist aprobri adecvate pentru toate tranzaciile ce solicit aprobarea aa cum politicile i procedurile existente stipuleaz? 1.4 Contabilizarea Procedurile de operare trebuie s asigure c toate tranzaciile sunt introduse n conturile respective n mod corect, complet i fr ntrziere. Este responsabilitatea auditorului s se asigure, prin mijloace de testare pe baz de eantion semnificativ, c aceste obligaii primare
96
Audit Bancar
BANCAS
sunt satisfcute. Aceasta include aderarea la principiile de contabilitate existente (att locale ct i internaionale). 1.5 Obligaii legale Auditorul trebuie s se asigure c unitatea respect toate obligaiile, ex: 1. legea bancar, 2. reglementrile bncii centrale, 3. principiile naionale de contabilitate, 4. secretul bancar, 5. prevenirea splrii banilor. 1.6 Reglementri de protecie 1. restricii de acces, 2. parole, coduri, 3. custodia cheii, 4. programe de urgen, 5. acoperire cu asigurarea, Att timp ct nu exist o organizare sau procedur perfect, este chiar normal ca n cursul unui audit de conformitate s fie prezentate erorile i punctele slabe. Pentru a evalua impactul unor astfel de cazuri asupra operaiilor generale a entitii auditate, va fi necesar s se identifice tipul, mrimea, frecvena producerii a astfel de deficiene. n mod echivalent, motivele de baz urmeaz s fie explorate, ex: 1. separarea neadecvat a funciilor, 2. probleme de resurse umane (pregtire, experien), 3. lipsa supravegherii manageriale, 4. sisteme de control insuficiente, 5. puncte slabe ale sistemelor, 6. probleme de interfa cu alte uniti. Auditorul trebuie s fie informat despre motive pentru a fi capabil s recomande soluiile efective pentru problemele aprute. n elaborarea recomandrilor, este responsabilitatea auditorului de a gsi un echilibru adecvat ntre: 1. riscul rezultat din punctele slabe identificate, i 2. costurile adiionale provocate de aciunile de remediere recomandate.
97
Audit Bancar
BANCAS
5.10. Auditul sistemelor informaionale n funcie de capacitatea disponibil a auditului i a cunotinelor de IT, grupul de audit trebuie s realizeze audituri referitoare la IT pentru urmtoarele domenii/proceduri: securitatea fizic, auditul profilului utilizatorilor, verificarea pstrrii datelor i a sistemului de salvare a datelor, precauiile de recuperare dup dezastre sau planuri de contigen, controalele aplicaiei, securitatea tranzaciilor. Securitatea fizic Se determin dac: procedurile de personal i responsabilitile abordeaz terminarea contractului de munc, funcii ncruciate i pregtiri legate de sisteme; controalele legate de securitatea fizic sunt adecvate pentru a preveni accesul neautorizat n perimetrul centrului informatic; controalele de mediu sunt adecvate pentru a minimiza pierderile aferente hardware/software provocate de incediu sau inundaie; procedurile de backup (nlocuire- salvare) unui dezastru. 1.1. Aspecte organizatorice/proceduri de personal sunt adecvate pentru a minimiza
ntreruperile i pentru a proteja banca mpotriva pierderii de date n eventualitatea
Se identific acele poziii responsabile pentru meninerea programelor, alternanei sistemului/fiierelor de date i utilizarea diferitelor sisteme ale centrului informatic. Dac este necesar, se verific fiele de post scrise pentru fiecare responsabilitate funcional descris n organigram; Se determin dac s-au realizat prevederi pentru nlocuirea personalului din poziiile cheie;
98
Audit Bancar
BANCAS
Se determin dac procedurile de terminare sunt adecvate: a) cardurile de identificare ale angajatului trebuie s fie returnat atunci cnd el sau ea a terminat contractul de munc, b) parolele care au fost utilizate de angajatul ce-i termin contractul de munc trebuie s fie anulate sau schimbate, c) cheile angajatului respectiv trebuie s fie returnate i/sau ncuietoarele s fie schimbate, d) exist o sesiune/procedur de verificare a terminrii contractului de munc? Se determin dac este oferit o pregtire i supraveghere adecvat referitoare la sistem acordat angajailor ce utilizeaz sistemul; Se determin dac personalul prestatorilor de servicii este supravegheat n timpul ederii acestuia n centrul informatic; Se obine sau documenteaz o opinie general asupra sistemelor informatice (incluznd resursele de hardware, software, personalul de ntreinere/design i utilizatorii) din cadrul centrului informatic; Se determin pragul critic general al fiecrui sistem major identificat; Pe liniile de reea se includ n cadrul sistemului de securitate aspecte de call-back sau cteva alte mijloace de control care s asigure accesul autorizat? Se determin dac exist proceduri scrise de operare a sistemului (n special pentru deschiderea i nchiderea calculatorului, meninerea fiierelor i ntreinerea preventiv). 1.2.Securitatea fizic/controalele mediului Se determin dac procedurile i politicile de securitate fizic sunt adecvate prin evaluarea controalelor cu ajutorul interviului i observaiei. Se utilizeaz urmtorii pai de audit/ntrebri n determinarea adecvrii: se asigur c exist proceduri scrise valabile care previn acordarea de acces la facilitile informatice personalului neautorizat, se asigur c personalul autorizat este n mod specific definit n standardele de operare i/sau proceduri, se observ la cteva momente diferite dac doar persoanele autorizate sunt n aria de procesare,
99
Audit Bancar
BANCAS
se determin dac facilitile din camera calculatoarelor sunt restricionate prin utilizarea de chei, cartele magnetice sau alte dispozitive de securitate automatizate, locul unde se afl serverele este situat la parter i exist o fereastra de observaie? locul unde se afl serverele se afl la subsol? exist aer condiionat la parter care preia aer din exterior? exist un acces direct la locaia serverelor din exterior sau printr-un hol public? sunt pstrate ntr-o custodie adecvat cheile de la cabinete, camerele cu echipamente i dulapurile electrice? este centrul informatic protejat mpotriva catastrofelor, ex. coliziuni ale aeronavelor, etc? Adecvarea sistemelor de protecie mpotriva incendiilor trebuie s fie determinat prin utilizarea urmtoarelor aspecte: instruciuni clare i adecvate mpotriva incendiilor trebuie s fie pstrate ntr-un loc strategic; alarm de incendiu i ntreruptoare de urgen pentru curent electric trebuie s fie clar vizibile i neobstrucionate; camera calculatoarelor trebuie s aib un sistem de stingere a incendiilor care trebuie s fie testat periodic de ctre reprezentantul service-ului; sistemul de detectare a incendiului trebuie s detecteze fumul, cldura excesiv sau miros de combustibil; detectoarele trebuie s fie localizate n conductele de aer din tavan i sub podeaua fals; detectoarele trebuie s fie testate frecvent i protejate printr-o surs de electricitate suplimentar; atunci cnd alarma de incendiu este activat, ea trebuie s sune n afara camerei cu calculatoare pn la staia de paz i la o staie de pompieri sau centru de control urgene; personalul centrului de date trebuie s fie capabil s identifice sonorul alarmei de incendiu. Echipamentul de mediu i controalele trebuie s fie adecvate pentru a proteja hardwareul mpotriva pagubelor. Se utilizeaz urmtoarele domenii pentru a se determina adecvarea:
100
Audit Bancar
BANCAS
ventilaia i aerul condiionat trebuie s fie adecvat pentru a menine nivelul de temperatur adecvat specificat de ctre productor; nregistrarea termometrelor i indicatorilor de umiditate trebuie s fie localizat aa nct citirea lor s fie uor de realizat; aceste instrumente trebuie s fie monitorizate periodic de ctre o persoan pregtit; hardware-ul trebuie nchis automat pentru a se proteja de pagube dac s-au atins temperaturi neacceptabile; echipamentele de calcul trebuie s fie supuse unor inspecii periodice, curenie i inspecie i trebuie pstrate nregistrri ale acestor activiti; tavanul camerei cu calculatoare trebuie s fie construit adecvat pentru a preveni intrarea apei; trebuie evitat trecerea conductelor i a aburilor prin tavan; o scurgere adecvat trebuie s fie instalat; trebuie s fie instalat un sistem de aer condiionat independent care s fie dotat cu o surs de electricitate de rezerv; tot timpul, camera cu calculatoare trebuie s fie pstrat curat; care este expunerea la inundaii? ar putea ca o eav spart sau un ru crescut s cauzeze pagube? Auditul profilelor utilizatorilor Utilizatorii sistemelor informatice trebuie s fie adecvat identificai i angajaii care au acces autorizat i obligatoriu trebuie s-i realizeze ndatoririle stabilite. n plus, trebuie s existe i meninute accesri i piste de audit (audit trails) pentru a reflecta accesul utilizatorului i modificrile realizate la fiierele de date sensibile (ex. fiierul original al prestatorului de servicii, fiierele originale de furnizori/clieni, fiierul original al angajatului, fiiere de tate de plat): Se cere o copie a politicilor de securitate a accesului; Se ntreab directorul de IT dac exist o procedur scris ca s controleze adugrile sau modificrile la restriciile de acces ale utilizatorilor cureni; Se obin copii ale unor formulare de autorizare a accesului i se verific acurateea autorizrilor i accesului (acestea ar trebui sa fie pstrate de ctre IT ca o pist de audit);
101
Audit Bancar
BANCAS
Se ntreab directorul de IT cum este notificat departamentul de IT atunci cnd un angajat i termin contractul de munc sau i schimb responsabilitile; Se ntreab directorul de IT dac exist utilizatori care au capabilitatea de supraveghetori sau care au acces nelimitat; Cum sunt tranzaciile sau aciunile aprobate i documentate atunci cnd au fost iniiate de aceti angajai: 1. se ntreab directorul de IT dac modificrile reelei sunt autorizate i documentate (trebuie s existe o pist de audit a modificrilor echipamentului de reea); 2. se ntreab directorul de IT dac etichetele de sistem sunt pstrate; 3. exist etichete de acces la sistem care s nregistreze accesul la calculator sau la reeaua de comunicare; 4. exist etichete de tranzacii/piste de audit pentru a nregistra adugrile, tergerile i modificrile realizate datelor; 5. se ntreab directorul de IT dac etichetele problem sunt pstrate de centrul de date/operaiuni; 6. se ntreab directorul de IT dac etichetele activitii sistemului sunt utilizate pentru a captura utilizarea resurselor de hardware asociate serverelor, CPU, activitii de salvare a accesului. Acesta este mijlocul primar pentru identificarea problemelor de procesare create de ctre componente neadecvate sau euate; Se ntreb directorul de IT care proces/procedur asigur conformitatea cu contractele de licen pentru software; Se ntreab directorul de IT dac accesul n sistemul informatic este mprit ntre utilizatori. Accesul mprit ct i parolele trebuie s fie interzise dac civa utilizatori nu solicit acces doar la interogri de date/informaii neconfideniale; Se ntreab directorul de IT dac modemurile sunt ataate la server (ofer acces la distan); Se intervieveaz administratorii de sistem pentru a se determina dac li s-au oferit seciuni de pregtire referitoare la securitizarea serverelor; Se determin dac exist topologie a reelei; Se ntreab directorul de IT dac este cineva responsabil pentru contabilizarea tuturor hardware-urile i softurile din cadrul companiei;
102
Audit Bancar
BANCAS
Se ntreab directorul de IT cum sunt protejate de virui computerele i serverele; Se determin ce proceduri exist pentru a preveni sau detecta prezena unui virus in servere i se verific cine este responsabil pentru realizarea acestor proceduri; Sunt ncrcate softuri anti-virus pe staiile de lucru i cunosc utilizatorii cum s ruleze programul? Se ntreab civa utilizatori pentru a se determina dac cunosc care sunt paii ce trebuie urmai dac un virus este detectat sau suspectat pe calculatorul lor?
Verificarea pstrrii datelor i planului de rezerv-salvare (backup) Privire general
se discut despre administrarea nregistrrilor cu personalul responsabil; se obine o copie a standardelor i procedurilor referitoare la administrarea nregistrrilor (casetelor); se determin dac sistemul informatic a setat fiiere de date i perioadele de pstrare a nregistrrilor; Se determin dac aceste perioade de pstrare sunt rezonabile pentru planul de rezerv (backup), dezastre/recuperare i audit. Procedurile de salvare i controalele
Se determin dac procedurile de salvare a sistemul i fiierelor de date sunt adecvate pentru a minimiza timpul de recuperare i /sau pierdere de date; Ct de des sunt salvate casetele i sunt pstrate n afara bncii? Cum sunt controlate informaiile sensibile/critice? Se asigur c fiierele critice i programele sunt salvate i pstrate n afara bncii din motive de recuperare; Ce proceduri au fost stabilite pentru a asigura conformitatea operrii calculatorului cu procedurile de salvare? Exist proceduri dezvoltate pentru a se asigura integritatea i completitudinea proceselor de salvare programat? Se determin dac salvrile sunt pstrate n afara bncii?
103
Audit Bancar
BANCAS
Se asigur dac un numr adecvat de generaii sunt pstrate n afara bncii; Trebuie s se utilizeze etichete externe i interne pentru a identifica casetele. Recuperarea
Se verific dac planurile de rencepere/recuperare a ntreruperilor calculatoarelor pe termen scurt includ abilitatea de a identifica starea tuturor procesrilor la punctul unde aplicaia a euat pentru a stabili sfritul nregistrrii tranzaciilor; Au fost stabilite proceduri de recuperare pentru volumele de salvare? Au fost testate procedurile? Au fost testate procedurile de recuperare a bazei de date? Se determin dac facilitatea calculatorului i depozitarea materialelor a fost testat periodic. Sunt fiierele de salvare testate pentru fezabilitate (6-12 luni)? Securitate
Cine are acces la realizarea salvrii? Cum obine procesul de salvare accesul la un sistem? Care sunt procedurile pentru mutarea casetelor din bibliotec? Se verific dac fiierele de salvare din afara bncii sunt protejate. Documentarea
Sunt pstrate liste de inventar cu casetele depozitate n afara bncii? Sunt documentate problemele i soluiile pentru a arta care sunt paii ce trebuie urmai pentrua restaura fiierele sau integritatea programului? Precauii de contigene i recuperare dup dezastru Obiectivul auditului Se verific dac planul de recuperare dup dezastru este adecvat pentru a asigura repornirea sistemelor informatice n timp util de-a lungul unor condiii adverse i dac este n
104
Audit Bancar
BANCAS
concordan cu planul actual de continuare a afacerii i reflect mediul actual de desfurare a afacerii. se determin dac exist planuri de recuperare a aplicaiei pentru restaurarea proceselor computerizate dup o ntrerupere pe termen scurt i lung; se verific dac aceste planuri abordeaz att nevoile de restaurare tehnic ct i procedurile alternative de procesare a utilizatorului-final; se stabilesc ct timp ar putea organizaia funciona confortabil i evita pierderile financiare semnificative dac aspectele computerizate ale acestei activiti ar eua; se verific dac planurile de repornire/recuperare i recuperarea de dup dezastru ofer posibilitatea restaurrii acestei activiti n timpul necesar pentru a evita pierderile financiare semnificative. Chestionar
Exist un plan de recuperare de dup dezastru? Dac exist un plan, cnd a fost actualizat ultima oar? Care sunt procedurile de actualizare a planului? Cine este responsabil pentru administrarea sau coordonarea planului? Este responsabilitatea administratorului/coordonatorului s actualizeze planul? Exist o echip de implementare a recuperrii de dup dezastru? Unde este pstrat planul de recuperare de dup dezastru? Unde este pstrat lista cu coordonatele echipei de implementare? Unde este locul de facilitare a salvrii? Exist locuri alternative? Exerciiul include utilizarea facilitilor de salvare? Dac nu, cnd au fost ultima oar utilizate facilitile de salvare? Dac au fost utilizate cu peste un an n urm, cum a determinat organizaia c programele sale pot nc funciona pe echipamentele de rezerv? Care a fost rezultatul exerciiului? Cum a mbuntit pregtirea? Ce sisteme critice sunt acoperite de plan? Ce sisteme nu sunt acoperite de plan? De ce? Planul funcioneaz n orice condiii?
105
Audit Bancar
BANCAS
Care este procedura pentru activarea planului? etc. Documentare se obine copia planului organizaiei de recuperare de dup dezastru, se obine o list a membrilor echipei de implementare, se obine o copie curent a organigramei, se obine lista actual a stocurilor, se obine o copie a contractelor cu privire la utilizarea facilitilor de rezerv. Paii testului
Se verific planul de recuperare de dup dezastru; Se verific dac planul conine calificarea datei pentru a se asigura moneda; Se verific dac planul a fost actualizat n ultimele 12 luni; Se verific dac exist o monitorizare efectiv a strii supraveghere a planului; Se verific locul de pstrare a planului; dac este diferit fa de cel mai de sus, se verific locaia de pstrare a listei de contact a echipei de implementare; Se verific dac lista cu echipa de implementare conine asociai activi, titlul lor actual i locaia, incluznd domiciliul prezent i numerele de telefon de la birou; Se verific dac membrii echipei sunt contieni de rolul i responsabilitile lor; Se verific dac un program de testare i pregtire exist i este adecvat (cel puin anual); Se verific data exerciiului; Se verific dac punctele slabe identificate n ultimul exerciiu au fost abordate i corectate; Se verific dac planurile corespund planului de continuare a afacerii; Se verific dac planul reflect mediul actual al sistemului; Se verific dac toate programele critice, fiierele de date, resursele de calculatoare (i sistemul de operare) sunt acoperite; Se verific dac sistemele neacoperite sunt sub observaie; Se verific dac planul incorporeaz prioritizarea aplicaiilor critice i a sistemelor;
106
Audit Bancar
BANCAS
Se verific dac planul acoper procedurile pentru declararea dezastrului, nchiderea general i migrarea operaiilor ctre locul de rezerv; Se verific dac planul include cerinele de timp pentru recuperarea/disponibilitatea unor astfel de sisteme critice i c ele sunt rezonabile; Se verific orice contract pentru utilizarea facilitilor de rezerv i documentele respective. Se verific dac locul este adecvat; Se verific dac locul are hardware adecvat i dispozitive de telecomunicaii pentru restaurarea operaiilor; Se verific procedurile pentru evaluarea periodic a facilitilor de rezerv i echipamentelor pentru a se asigura adecvarea; Se verific dac locul este adecvat protejat de accesul neautorizat; Se verific dac este eficient protecia echipamentelor i soft-urile de rezerv; Se verific dac contractele cu locul de rezerv sunt de natura i la un nivel organizaional care au o probabilitate substanial de a putea fi onorate pentru perioade substaniale (50 ore pe sptmn pentru dou sptmni consecutive); Se verific dac planul conine contigene n cazul condiiilor adverse prelungite; Se verific dac planurile conin instruciuni scrise de operare i proceduri ce include procedurile de regenerare a sistemului; Se verific locul de depozitare a stocurilor; Se verific dac planul include proceduri controlate pentru restaurarea locului original pentru operaiile normale; Se verific eficacitatea procedurilor de rezerv n general; Se verific dac programul critic, fiierele de date i resursele computerizate definite pentru planul de rezerv sunt de fapt create i trimise n afara bncii; Se verific dac biblioteca media actual realizat de ctre utilizatori corespunde bibliotecii de la locul de rezerv;etc. Controalele aplicaiei Utilizatorii-finali Se determin mijloacele primare de introducere i procesare de date;
107
Audit Bancar
BANCAS
Se determin dac organizaia practic dreptul de proprietate asupra datelor. Dac da, se identific i intervieveaz proprietarul datelor pentru a se determina dac a neles rolul i responsabilitile sale; Se intervieveaz un eantion de directori - utilizatori finali pentru a se determina atitudinile conducerii-utilizatoare final cu privire la calitatea i efectivitatea sistemului; Se determin de la conducerea-utilizatoare final ce neleg ei c reprezint riscurile, expunerile i limitrile asociate cu sistemul; Se determin numrul de utilizatori finali ce lucreaz cu sistemul, locaiile lor i responsabilitile asociate sistemului. Se obine o organigram pentru aceste poziii i oameni. Se determin dac aceast aplicaie genereaz date pentru agenii legale sau reglementare; Se evalueaz calitatea documentelor utilizatorului final; Se identific programele de pregtire disponibile pentru utilizatorii finali. Se evalueaz aceast pregtire pentru a se determina dac este adecvat, actual i disponibil pentru oamenii noi; Se determin dac activitatea utilizatorului final este adecvat supervizat. Interfaele sistemului
se determin ce alte aplicaii interfereaz (manual sau electronic) cu aceast aplicaie; se determin cum verific sau asigur utilizatorul final c interfaele furnizeaz date complete, adecvate i autorizate. Administrarea fiierelor
se determin perioadele de pstrare pentru diferitele fiiere de date ale aplicaiilor cheie; se evalueaz dac perioadele de pstrare satisfac raportarea ctre conducere, raportarea ctre autoritile fiscale i cerinele interne de contabilitate;
108
Audit Bancar
BANCAS
Se determin dac utilizatorul final, conducerea i proprietarii de date sunt contieni de perioadele de pstrare ale diferitelor fiiere de date ale aplicaiilor cheie i dac aceti directori sunt satisfcui cu durata de pstrare. Securitatea tranzaciilor Se identific toate tranzaciile din cadrul fiecrui subsistem (incluznd acelea generate automat de ctre calculator). Controalele introducerii Controalele introducerii asigur c tranzaciile sunt introduse i acceptate de ctre calculator, procesate doar o dat, fr duplicate i erorile n cmpurile de date financiare i nefinanciare sunt identificate, separate de tranzaciile valide, corectate n timp util, i returnate procesrii primare. Cum sunt iniiate tranzaciile? Cum este tranzacia autorizat (semntura manual, semntura electronic, autorizarea accesului la ecran, etc)? Cine introduce datele surs? Sunt aceste persoane separate de acelea care reconciliaz rezultatele procesrii? Cum sunt datele surs introduse n aplicaie? Dup ce datele surs sunt introduse n aplicaie, sunt ele marcate cu verificat sau semnate ntr-un fel care s indice c au fost introduse, reducnd riscul duplicrii accidentale sau reutilizarea documentului? Exist o separare de ndatoriri adecvat pentru cei autorizai s actualizeze datele? Cum sunt controlate documentele de date surs pentru completitudine i acuratee? Exist o perioad de pstrare pentru datele surs? Se identific controalele existente care asigur completitudinea i acurateea introducerii: Dac controalele introducerii include utilizarea de totaluri de control, sunt comparate totalurile generate de calculator cu totalurile stabilite independent? Ce rapoarte obin utilizatorii pentru a verifica i monitoriza operarea aplicaiei (totaluri de control, sumarizri, numrarea erorilor, rapoarte de excepii, etc)?
109
Audit Bancar
BANCAS
Se determin cum sunt evitate sau identificate tranzaciile duplicat? Se determin dac i cum sunt datele primite de la alte aplicaii validate pentru completitudine i acuratee. Controalele de procesare Controalele de procesare asigur c tranzaciile sunt acceptate de ctre calculator, procesate cu o logic valid, trecndu-se prin toate fazele procesrii i actualizate n fiierele de date corecte. se identific controalele existente pentru asigurarea completitudinii i acurateei procesrii; se documenteaz procedurile de reconciliere ale utilizatorului final care faciliteaz completitudinea i acurateea procesrii; ce rapoarte obin utilizatorii pentru a verifica i monitoriza operarea aplicaiei? se descrie cum se verific totalurile de control; se descrie orice comparare a rezultatelor aciunilor la cele anterioare pentru verificri rezonabile; cum verific utilizatorii actualizrile fiierelor contra autorizaiilor? se determin dac procedurile de reconciliere speciale trebuie s fie aplicate la sfritul lunii, anului fiscal, etc. Corectarea erorii
Se determin impactul pe care datele i erorile de procesare le au asupra procesrii; Se determin dac erorile sunt separate ntr-un fiier suspensiv; Se determin dac acest fiier este cumulativ sau nu; Se verific rapoartele de erori pentru a determina dac sunt de mrime rezonabil; Se determin cum sunt corectate erorile; Se determin dac tranzaciile corectate sunt autorizate; Se verific dac tranzaciile corectate sunt reintroduse n procesarea principal fie la punctul iniial de introducere fie printr-un proces de corectare a erorii speciale; Se determin dac procesul de corectare a erorii nlocuiete articolele din fiierul suspensiv;
110
Audit Bancar
BANCAS
Se determin promptitudinea corectrii erorii; Se identific cum monitorizeaz utilizatorii finali erorile rmase i desfoar n timp util investigaiile suplimentare; Exist o separare adecvat a sarcinilor (custodie, autorizare, nregistrare i reconciliere periodic) pentru cei autorizai s actualizeze datele? Se determin dac toate reconcilierile i procedurile de corecie a erorilor sunt documentate n documentele utilizatorului final; Exist un raport de excepii generat pentru tranzaciile eronate de mult timp nerezolvate? Controalele rezultatului Controalele rezultatului asigur c datele rezultatului sunt raportate n manier corect, vizibil/disponibil doar personalului autorizat, adecvat reinute sau distruse, supuse procesrii necesare pistelor de audit i dac sunt eronate, separate de tranzaciile valide, corectate i reintroduse n procesarea principal. se identific dac rezultatul este distribuit; se determin dac distribuirea reduce expunerile la vizualizarea neautorizat a informaiilor sensibile fie prin implicarea imprimantelor de la locaia utilizatorului final fie prin utilizarea listelor de verificare a distribuirii rezultatului; cum asigur organizaia ca rapoartele i fiierele s fie distribuite la utilizatorii finali corespunztori; cine primete rapoartele de rezultat? Sunt ele separate de acelea de desfurare a introducerii? cum verific utilizatorul final c toate rapoartele au fost primite i c toate paginile rapoartelor au fost incluse? includ rapoartele de rezultat urmtoarele informaii de identificare: 1. titlul raportului, 2. numele/numrul programului de procesare, 3. a fost produs data i ora raportului, 4. perioada acoperit.
111
Audit Bancar
BANCAS
Cum evideniaz utilizatorul final primirea rapoartelor i fiierelor (liste de verificare, semnturile,etc)? Exist o separare adecvat a sarcinilor? Cum sunt identificate i distribuite rapoartele confideniale? Se identific toate formularele speciale utilizate n procesare i raportare. Se determin dac formularele sensibile sunt protejate; Sunt oamenii responsabili cu protecia documentelor sensibile diferii de cei care pstreaz nregistrrile contabile respective? Exist proceduri speciale de generare a rapoartelor sensibile? Documentele utilizatorului final Documentele utilizatorului sunt sursele primare de informare pentru tot personalul responsabil pentru utilizarea zilnic a aplicaiei. exist documente ale utilizatorului final ce explic iniierea adecvat a documentului surs, autorizaia, colectarea de date, pregtirea introducerii, administrarea rapoartelor, corectarea erorii i pstrarea rapoartelor/datelor? sunt pstrate documentele surs n aa fel nct datele pierdute sau distruse n timpul procesrii ulterioare pot fi recreate? Fiecare tip de document surs are o perioad specific de pstrare? Autorizarea Controalele de autorizare asigur c toate informaiile i datele introduse sau utilizate n procesare sunt autorizate de ctre conducere i reprezentanii evenimentului care de fapt are loc. Dac tranzaciile sunt autorizate manual, ce controale asigur c nu are loc nici o modificare neautorizat dup autorizare, ci nainte de stabilirea controalelor de introducere? Se determin dac nivelul conducerii corespunztor autorizeaz activitatea; Dac autorizarea tranzaciei este facilitat de ctre restricii de acces logic, se selecteaz un eantion de reguli de acces la introducerea i actualizarea tranzaciilor i se verific persoana adecvat care are aceste capaciti;
112
Audit Bancar
BANCAS
Se identific orice depire permis sau trecere pe lng validarea datelor i se editeaz verificrile; Se determin cine poate face depiri i se verific dac acele persoane sunt n poziia de conducere care trebuie s aib aceast autoritate; Sunt nregistrate automat toate depirile aa nct aceste aciuni s poat fi ulterior analizate pentru acuratee. Separarea ndatoririlor
Sunt separate ndatoririle astfel nct nici o persoan s nu realizeze mai mult de una dintre urmtoarele operaii: 1. autorizarea tranzaciei 2. iniierea tranzaciilor 3. introducerea tranzaciei 4. distribuirea rezultatului? Sunt corectate tranzaciile respinse necauzate de introducerea de erori de ctre utilizatorul care a iniiat tranzacia? Are utilizatorul final responsabilitatea ultim pentru completitudinea i acurateea tuturor datelor aplicaiei?
113
Audit Bancar
BANCAS
Bibliografie V. Dedu -Gestiune i audit bancar, Editura Economic, Bucureti, 2003 E. Nicolaescu -Auditul interno privire spre viitor, Revista Audit Financiar, ianuarie 2003 J. Renard Teoria i practica auditului intern, Ministerul Finanelor Publice, Bucureti, 2002 A. Rusovici, F. Cojoc, Gh. Rusu Audit financiar, servicii conexe i de consultan n bnci, Monitorul oficial, Bucureti, 2001 J. K. Wagner Asking the Right Questions: Sage Advice for Audit Committees, revista Directors and Boards, septembrie 2000 TCF Financial Corporation, Audit Committee Charter, octombrie 2002 Ordonana de Urgen a Guvernului nr. 75/1999, aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003 Legea nr. 672/2002 privind auditul public intern Norma B.N.R. nr. 17/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor Legea bancar nr. 58/1998 modificat prin Legea nr. 357/2002 i Legea nr. 485/2003 Internal audit in banking organisations and the relationship of the supervisory authorities with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002
114
Audit Bancar
BANCAS
Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 Internal Audit Charter, Internal Audit, Version 1.0, martie 2003 International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors, October, 2001 Framework for internal control systems in banking organisations, Basle Committee on Banking Supervision, Basle, septembrie 1998 The relationship between banking supervisors and banks exterbal auditors, Basel Committee on Banking Supervision, January 2002
115

Audit Bancar

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Audit Bancar

Încărcat de

Drepturi de autor:

Formate disponibile

Audit Bancar

ACADEMIA DE STUDII ECONOMICE

CAPITOLUL 1 CAPITOLUL 2 CAPITOLUL 3 CAPITOLUL 4 CAPITOLUL 5 CAPITOLUL 6

1. Consideraii etimologice i evoluioniste privind auditul 2. Definiii

prezint auditul financiar ca activitatea de

AUDITUL INTERN BANCAR

3. Cadrul normativ de desfurare a activitii de audit intern bancar

4. Organizarea auditului intern bancar

arat c aceasta ar trebui s fie una auxiliar funciei principale i

nu se extind asupra msurilor de

2.5.Exhaustivitatea auditului intern

apare distinct formulat, dar enumerarea activitilor pe care trebuie s le cuprind, n

elaborat de ctre Bank for International Settlements, cu

Art. 111 (1) din Norma nr. 17/2003 ale B.N.R. 18

Art. 104, Norma B.N.R.nr. 17/2003 19

realizeaz o adevrat fi a postului de conductor al

Art. 87 (b) din Normele nr. 17/2003 ale B.N.R. 23

relev faptul c externalizarea auditului

preiau, atunci cnd se refer la formele de audit intern,

(de exemplu, de trei ani),

obiectul aprobrii de ctre conductorul

Autoritatea de supraveghere Auditori externi

3. Creonai dup propria inspiraie un model de statut al auditului intern.

CONTROLUL INTERN BANCAR

3. Evaluarea sistemelor de control intern de ctre autoritile de supraveghere

a strategiilor de ansamblu i a politicilor semnificative ale bncii; nelegerii

Controalele efectuate la nivelul aplicaiilor informatice

se realizeaz att prin

Conductorii Bncii Exerciii i ntrebri

RELAIA DINTRE AUTORITATEA DE SUPRAVEGHERE I AUDITORUL EXTERN

Substanialitate materialitate, realitate 51

AUDITAREA PROCESELOR I TEHNICILOR DE EVALUARE A RISCURILOR

Structura contului de profit si pierdere

Sistemele interne i riscul operaional Riscul de tehnologie Conducere i fraud

Risc de politici ale organizaiei Infrastructur financiar

Solvabilitate a Riscul de credit

Risc de criz bancar

Riscul de lichiditate Riscul de dobnd Riscul de pia Riscul valutar

Risc sistematic (de ar)

ACTIVITATEA DE AUDIT PROPRIU ZIS. ABORDARE PRACTIC

Pentru clientul MMM SRL, banca nu a monitorizat constituirea Suntem de acord

Extras din raportul de audit: Constatare: Rspunsul unitii

Extras din raportul de audit:

Recomandare: acestui tip de tranzacii Risc: Reputaional 5.5 Contabilitate

Unitatea trebuie s impementeze un sistem de monitorizare a implementat: Imediat

i se asigur c nu sunt pltii oamenii manechin.

5.9. Auditul de conformitate

ntreruperile i pentru a proteja banca mpotriva pierderii de date n eventualitatea

Verificarea pstrrii datelor i planului de rezerv-salvare (backup) Privire general

S-ar putea să vă placă și