Audit Bancar

ACADEMIA DE STUDII ECONOMICE
CATEDRA DE MONEDA Programul de Master Specializat
MSBANK
MODULUL: AUDIT
BANCAR
NOTE DE CURS
Prof. univ. dr. Vasile Dedu
BUCURESTI 2011
Audit Bancar
MSBANK
CUPRINS CAPITOLUL 1 CAPITOLUL 2 CAPITOLUL 3 CAPITOLUL 4 CAPITOLUL 5 CAPITOLUL 6
ACTIVITATEA DE AUDIT AUDITUL INTERN BANCAR CONTROLUL INTERN BANCAR RELAIA DINTRE AUTORITATEA SUPRAVEGHERE I AUDITORUL EXTERN DE
AUDITAREA PROCESELOR I TEHNICILOR DE EVALUARE A RISCURILOR ACTIVITATEA DE AUDIT PROPRIU ZIS. ABORDARE PRACTIC
Audit Bancar
MSBANK
CAPITOLUL 1
ACTIVITATEA DE AUDIT
1. Consideraii etimologice i evoluioniste privind auditul 2. Definiii

1. Consideraii etimologice i evoluioniste privind auditul Dei cuvntul audit a ptruns n limbajul cotidian al societii romneti n forma sa englezeasc, se pare c originile acestuia se gsesc n latinescul auditus, care nseamn a asculta, a audia. Acest termen avea chiar o conotaie financiar, n Roma antic fiind practicat verificarea verbal a fondurilor sau ascultarea fondurilor. Exist, aadar o prim semnificaie a activitii de audit aceea de verificare; sensul acesteia s-a mbogit pe msur ce activitatea economic a devenit din ce n ce mai complex, n condiii de risc amplificat. Astfel, n timp, nu a mai fost suficient controlul asupra unor anumite domenii, nregistrri sau evidene, ci asupra ntregii contabiliti i gestiuni; a fost fcut saltul de la aprecierile cantitative la cele calitative, de la constatri la consultan; nu a mai fost suficient verificarea post factum, ci a devenit important prevenirea manifestrii riscurilor, iar greutatea s-a deplasat de la auditul extern la cel intern. n acelai timp, aria activitii de audit s-a extins de la administrarea banilor publici ctre ntreprinderile private. Att procesul acesta evolutiv, ct i consideraiile filosofice (de exemplu, chiar contabilitatea poate fi considerat form a auditului, n msura n care metoda evidenei n partid dubl reprezint o form intrinsec de verificare, nu?) explic multiplele valene conferite auditului n zilele noastre. 1. Definiii Exist o multitudine de definiii date auditului, dar nu n accepiunea sa general, ci pe componente ale sale. Astfel, Compania Naional a Comisarilor de Conturi din Frana d definiia auditului financiar: examinarea realizat de un profesionist competent i independent de organizaie, n
Audit Bancar
MSBANK
vederea exprimrii unei opinii motivate asupra regularitii, sinceritii i imaginii fidele a conturilor anuale ale ntreprinderii. Institutul American al Contabililor Publici Autorizai (AICPA) prezint auditul ca pe o examinare ordinar a situaiilor financiare, efectuat de un contabil public autorizat, n vederea exprimrii unei opinii cu privire la corectitudinea cu care aceste documente prezint situaia financiar, rezultatele operaiunilor efectuate i schimbrile intervenite n situaia financiar a organizaiei, n conformitate cu principiile contabile general acceptate (Standardul de Audit nr. 1). n Romnia, Ordonana de Urgen a Guvernului nr. 75/1999 privind activitatea de audit financiar (cu modificrile ulterioare)1 prezint auditul financiar ca activitatea de examinare, n vederea exprimrii de ctre auditorii financiari, a unei opinii asupra situaiilor financiare, n conformitate cu standardele de audit, armonizate cu standardele internaionale de audit i adoptate de Camera Auditorilor Financiari din Romnia. Exist, aadar, trei definiii date auditului financiar din care rzbate un filon comun, i anume c acesta reprezint o activitate de examinare a situaiilor financiare, de ctre o persoan competent sau autorizat (francezii nu au dat msura competenei), pentru formularea unei opinii asupra corectitudinii cu care aceste documente prezint situaia financiar a organizaiei, att static, ct i n dinamic. i pentru ca aceast opinie s fie motivat, se folosesc i reperele n funcie de care se fac aprecierile: principiile contabile general acceptate sau standardele de audit. n afara diferenelor stilistice date, probabil, de trsturile naionale (unii fiind mai riguroi n exprimare, iar alii mai lirici), transpare i o alt diferen: n Frana s-ar prea c aceast activitate este ncredinat comisarilor de conturi (persoane abilitate s efectueze controlul legal al conturilor societilor comerciale), n SUA numai contabilii publici autorizai pot s desfoare activiti de audit, iar n Romnia - auditorii financiari. Astfel, primele dou definiii vdesc apropierea dintre audit financiar i controlul contabil. n schimb, n a treia definiie apare o categorie distinct de specialiti, iar pentru a nelege la ce se refer aceast categorie este necesar analiza activitilor pe care acetia le pot desfura, prezentate n acelai act normativ: activitatea de audit financiar, de audit intern, de consultan financiar contabil i fiscal, de asigurare a managementului financiar contabil, de expertiz contabil, de evaluare, activiti de reorganizare judiciar i lichidare.
1
Ordonana de Urgen a Guvernului nr. 75/1999 a fost aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003
Audit Bancar
MSBANK
Prin urmare, este vorba de un super-specialist, care ar trebui s se numeasc auditor, dat fiind faptul c aria lui de expertiz depete auditul financiar, iar o definiie posibil a auditului ar putea fi dat prin enumerarea activitilor desfurate de aceti specialiti. Ceea ce scap acestor definiii este, ns, scopul activitii de audit; exprimarea unei opinii nu poate fi un scop n sine, poate fi doar un mijloc. Adic, pentru ce este nevoie de audit? La ce folosete o opinie independent i competent privind corectitudinea reflectrii situaiei financiare? Se poate rspunde c bncile, n analiza de creditare, solicit companiilor o astfel de opinie sau c bncilor li se solicit, prin lege, auditarea situaiilor financiare sau n alte multe feluri. Dar tipul acesta de rspunsuri nu ar fi reflectarea unei nevoi resimite i a unei utiliti interne, ci a unor constrngeri i utilizri externe. Partea aceasta este acoperit de definiia auditului intern dat de ctre Institutul Auditorilor Interni (IIA): Auditul intern este o activitate independent, de asigurare obiectiv i de consultan menit s adauge valoare i s mbunteasc operaiunile unei organizaii. Acesta sprijin o organizaie s i realizeze obiectivele, aducnd o abordare sistematic i disciplinat n evaluarea i mbuntirea eficacitii procesului de management al riscului, de control i de conducere. Comitetul de Supraveghere Bancar de la Basel2 i-a nsuit ntru totul conceptul lansat de IIA cu privire la auditul intern.3 i legislaia romneasc n materie4 preia aceast definiie, n forme mai concentrate sau mai detaliate. Astfel, n legislaia privind auditul financiar apare urmtoarea definiie: Auditul intern reprezint activitatea de examinare obiectiv a ansamblului activitilor entitii economice n scopul furnizrii unei evaluri independente a managementului riscului, controlului i proceselor de conducere a acestuia. Dei pare a ctiga n concizie, aceasta omite, de fapt, scopul real al activitii de audit, comind aceeai confuzie ntre scop i mijloacele de realizare, i excluznd componenta de consultan. Componenta de consultan apare, ns, dei ntr-o formul alternativ, n prima definiie explicit a auditului intern bancar din legislaia naional - Norma nr. 17/2003 a Bncii Naionale a Romniei5 -, activitate independent, destinat mbuntirii activitii
2
Comitetul de Supraveghere Bancar de la Basel este comitetul autoritilor de supraveghere bancar nfiinat de guvernatorii bncilor centrale din Grupul celor Zece ri n 1975. De obicei se ntrunete la Bank for International Settlements (Banca Reglementelor Internaionale), unde este localizat secretariatul su permanent. 3 Internal audit in banking organisations and the relationship of the supervisory authorities with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 4 Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabil entitilor publice 5 Titlul complet: Norma B.N.R. nr. 17/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor
Audit Bancar
MSBANK
bncilor, fie prin ndeplinirea unor angajamente de audit, fie prin acordarea de consultan structurilor entitilor auditate. Dac se expliciteaz i noiunea de angajament de audit, rezult urmtoarea definiie a auditului intern bancar: activitate independent, destinat mbuntirii activitii instituiilor de credit, fie printr-o examinare obiectiv a modului de realizare a administrrii riscurilor, sistemului de control intern i proceselor de conducere ale instituiilor de credit, n scopul furnizrii unei asigurri rezonabile c acestea funcioneaz corespunztor i vor permite atingerea obiectivelor instituiilor de credit, precum i n scopul formulrii unor recomandri de mbuntire a activitii acestora, fie prin acordarea de servicii de consultan structurilor/entitilor auditate. Din cele de mai sus se poate extrage ceea ce poate fi considerat o definiie complet a auditului, aplicabil i domeniului bancar : activitatea, realizat de persoane autorizate, de examinare obiectiv a ansamblului activitilor entitii economice, care are ca rezultat formularea unei evaluri independente a managementului riscului, a controlului i proceselor de conducere, i a unor sugestii pentru mbuntirea eficacitii operaiunilor, n scopul sprijinirii realizrii obiectivelor entitii economice. Dup cum se observ, aceast definiie sumarizeaz (poate nu n cea mai bun sintagm) trsturile auditului (competen, obiectivitate, independen), sfera preocuprilor sale (ansamblul activitilor entitii economice, nu numai evidena contabil), materializarea rezultatelor acestuia (evaluare i consultan), precum i scopul auditului. n definiia de mai sus a fost omis n mod intenionat caracterul sistematic i disciplinat al auditului, deoarece acesta este specific auditului intern, fcnd deosebirea fa de cel extern. n opinia unor autori, diferena dintre cele dou categorii de audit ar fi faptul c cel extern este realizat de o firm specializat, independent, din afara entitii economice, iar cel intern de o structur din cadrul organizaiei. n zilele noastre, cnd se vorbete tot mai mult despre externalizarea auditului intern i despre independena auditului intern, acest argument nu poate rezista. n cele ce urmeaz, obiectul expunerii se va restrnge la forma cea mai complex a auditului din domeniul bancar (dat fiind caracterul su continuu, sistematic) - auditul intern bancar. n ceea ce privete definiia acestuia, opiunea personal merge ctre cea dat de IIA, nsuit de Comitetul de la Basel, nu ctre cea a Bncii Naionale a Romniei (deoarece consider c examinarea i poate gsi finalitatea numai n formularea de sugestii (consultan), iar consultana nu poate fi dat fr o examinare prealabil a strii de fapt), i
6
Audit Bancar
MSBANK
cu att mai puin ctre cea dat de Institutul Francez de Audit (2000) (care restrnge rolul auditului intern la acela de supra-control)6. Regulamentul BNR nr.18/2009 privind cadrul de administrare a activitatii institutiilor de credit, procesul intern de evaluare a adecvarii capitalului la riscuri si conditiile de externalizare a activitatilor acestora, care a nlocuit, ncepnd cu 2011, Norma BNR nr. 17/2003 nu mai conine o definiie a auditului intern, prefernd s fac trimitere la reglementrile Camerei Auditorilor Financiari din Romnia (art. 50, alin.3). Aceste reglementri, aprobate prin Hotararea CAFR nr.88/2007 pentru aprobarea Normelor de audit intern, rein urmtoarea definiie a auditului intern: Auditul intern este o activitate independent i obiectiv care d unei entiti o asigurare n ceea ce privete gradul de control asupra operaiunilor, o ndrum pentru a-i mbunti operaiunile, i contribuie la adugarea unui plus de valoare. Auditul intern ajut aceast organizaie s i ating obiectivele evalund, printr-o abordare sistematic i metodic, procesele sale de management al riscurilor, de control, i de guvernare a organizaiei, i fcnd propuneri pentru a le consolida eficacitatea. Cuvinte cheie Audit Audit intern Audit intern bancar ntrebri 1. Ce este auditul intern bancar? 2. Care este diferena dintre auditul de tip anglo-saxon i cel francofon? Activitatea de audit
CAPITOLUL 2
AUDITUL INTERN BANCAR
1. Obiective i modaliti de aciune ale auditului intern bancar

6
Auditul intern este, n cadrul unei organizaii, o funcie exercitat ntr-o manier independent i cu mandat de evaluare a controlului intern. Acest demers specific concureaz cu bunul control asupra riscurilor de ctre responsabiliEugen Nicolaescu,Auditul interno privire spre viitor, Revista Audit Financiar, ianuarie 2003
Audit Bancar
MSBANK
2. Principiile auditului intern bancar

2.1 Independena auditului intern bancar 2.2. Imparialitatea auditului intern bancar 2.3. Continuitatea auditului intern bancar 2.4. Competena profesional 2.5. Exhaustivitatea auditului intern bancar
3. Cadrul normativ de desfurare a activitii de audit intern bancar

3.1. Statutul (carta) auditului intern 3.2. Standardele internaionale de audit intern ale I.A.I . 3.3. Codul de etic a auditorului intern
4. Organizarea auditului intern bancar

4.1. Atribuiile i responsabilitile conductorului departamentului de audit intern 4.2. Comitetul de audit 4.3. Externalizarea activitii de audit intern
5. Relaia dintre departamentul de audit intern i autoritatea de supraveghere 6. Relaia dintre auditorii interni i auditorii externi 7. Desfurarea activitii de audit intern
7.1. Tipuri de audit intern 7.2. Derularea activitii de audit intern bancar 1. Obiective i modaliti de aciune ale auditului intern bancar O.U.G. nr. 75/1999, cu modificrile ulterioare, identific urmtoarele obiective ale auditului intern: a) verificarea conformitii activitilor din entitatea economic auditat cu politicile, programele i managementul acestuia, n conformitate cu prevederile legale; b) evaluarea gradului de adecvare i aplicare a controalelor financiare i nefinanciare dispuse i efectuate de ctre conducerea unitii n scopul creterii eficienei activitii entitii economice;
Audit Bancar
MSBANK
c) evaluarea gradului de adecvare a datelor/informaiilor financiare i nefinanciare destinate conducerii pentru cunoaterea realitii din entitatea economic; d) protejarea elementelor patrimoniale bilaniere i extrabilaniere i identificarea e) metodelor de prevenire a fraudelor i pierderilor de orice fel. Se observ faptul c aici sunt definite, de fapt, cile de aciune pentru ndeplinirea obiectivului auditului intern bancar. ntr-o alt exprimare, cele enumerate ar putea fi categorisite drept obiective intermediare: asigurarea concordanei activitii cu politicile, programele, normele i prevederile legale, creterea eficacitii activitii de control, mbuntirea calitii procesului decizional, ridicarea eficienei activitii. Regulamentul BNR nr. 18/2009 privind cadrul de administrare a activitii instituiilor de credit, procesul intern de evaluare a adecvrii capitalului la riscuri i condiiile de externalizare a activitilor acestor stabilete n sarcina funciei de audit intern doar dou obiective (art.50), ambele fiind din sfera conformitii: a) asigurarea c politicile i procesele instituiilor de credit sunt respectate n cadrul tuturor activitilor i structurilor; b) revizuirea politicilor, proceselor i mecanismelor de control astfel nct acestea s rmn suficiente i adecvate activitii desfurate. Raiunea pentru aceast soluie de concentrare aproape exclusiv a auditului intern asupra aspectelor de conformitate trebuie cutat n natur special a activitii bancare, unde toate operaiunile sunt reglementate sau descrise n proceduri interne detaliate. Aceste obiective specifice se completeaz cu cele generale cuprinse n reglementrile Camerei Auditorilor Financiari din Romnia7, care transpun n legislaia naional Standardele Internaionale de Audit Intern. Din coroborarea tuturor acestor prevedere, se poate sintetiza c obiectivul auditului intern bancar este cel de a contribui la ndeplinirea obiectivelor bncilor (mbuntirea activitii reprezentnd obiectivul primar i general al funciei de audit intern), iar obiectivele punctuale, pe domenii de activitate, sunt: a) asigurarea concordanei activitii cu politicile, programele, normele i prevederile legale; b) creterea eficacitii activitii de control; c) mbuntirea calitii procesului decizional; d) creterea eficienei activitii bncii.
7
Hotararea CAFR nr.88/2007 pentru aprobarea Normelor de audit intern
Audit Bancar
MSBANK
10
Pentru realizarea acestor obiective, auditul bancar intern acioneaz pe urmtoarele ci: 1. evaluarea eficienei i gradului de adecvare a sistemului de control intern; 2. evaluarea modului de aplicare i a eficacitii procedurilor de administrare a riscurilor i a metodologiilor de evaluare a riscurilor semnificative; 3. analiza relevanei i integritii datelor furnizate de sistemele informaionale de gestiune i financiare, inclusiv de sistemul informatic; 4. evaluarea acurateei i credibilitii nregistrrilor contabile i situaiilor financiare; 5. evaluarea gradului de adecvare a nivelului fondurilor proprii ale instituiilor de credit n funcie de riscurile la care acestea sunt expuse; 6. evaluarea modului n care se asigur protejarea elementelor patrimoniale bilaniere i extrabilaniere i identificarea metodelor de prevenire a fraudelor i pierderilor de orice fel; 7. testarea att a operaiunilor, ct i a funcionrii procedurilor specifice de control; 8. evaluarea eficienei operaiunilor instituiilor de credit; 9. evaluarea modului n care sunt respectate dispoziiile cadrului legal, cerinele codurilor de conduit, precum i evaluarea modului n care sunt implementate politicile i procedurile instituiei de credit; 10. testarea integritii, credibilitii i, dup caz, a oportunitii raportrilor, inclusiv a celor destinate utilizatorilor externi. Dup cum se observ, aria de competen alocat auditului intern bancar este atotcuprinztoare: sistem de control intern, administrarea riscurilor, sistem informaional, contabilitate, calitatea administrrii patrimoniului, operaiuni. Astfel, auditul intern apare ca un supra-controlor al controlului intern, este mai mult dect orice form de control extern sau de supraveghere, dar n acelai timp, parte a sistemului de control intern al unei bnci8. Prin examinarea problemelor globale ale bncii, evaluarea riscurilor, controlului, calitii, eficienei, tehnologiei i formularea unor opinii clare i adecvate, auditul intern bancar reprezint un instrument foarte valoros pus n slujba conducerii unei bnci, o adevrat eminen cenuie a bncii. n unele ri (printre care i Romnia), dei nregistrrile contabile intr n sfera auditului intern, auditarea situaiilor financiare nu este inclus n competenele acestuia.
8
Dac auditul intern este parte a sistemului intern pe care l evalueaz, atunci funcia de audit intern implic o component de autoevaluare.
10
Audit Bancar
MSBANK
11
Astfel, se consider c aceasta cade n responsabilitatea auditorilor externi ai bncii, rolul auditului intern fiind limitat, n acest domeniu, la sprijinirea auditorilor externi. De asemenea, din practica unor ri, se poate observa c exist o tendin din ce n ce mai pregnant ca aprecierea modului de ncadrare a activitii unei bnci n prevederile legale i normative s se fac nu de ctre auditul intern, ci de ctre o structur organizatoric separat, dedicat acestei problematici. n ceea ce privete funcia de consultan atribuit auditului intern, un studiu al Comitetului de la Basel9 arat c aceasta ar trebui s fie una auxiliar funciei principale i c ar trebui exercitat cu foarte mare grij pentru a nu compromite obiectivitatea evalurii activitilor n care auditorii interni au dat consultan. De altfel, n practic, majoritatea timpului este alocat de ctre departamentul de audit pentru realizarea funciei de baz (7595%) i numai 0-20% pentru consultan. Mai mult, activitatea de consultan se limiteaz, de cele mai multe ori, la recomandri legate de controlul aferent unor proiecte sau planuri, fr s fie asumate responsabiliti operaionale. 2. Principiile auditului intern bancar Comitetul de Supraveghere Bancar de la Basel contureaz cadrul de desfurare a activitii de audit intern bancar sub forma unor principii care acoper att caracteristicile generale ale activitii, cerinele referitoare la auditorii interni, ct i desfurarea auditului intern. n cele ce urmeaz, au fost extrase principiile cu caracter de trsturi generale.
1.1.
Independena auditului intern bancar10
Departamentul de audit intern al unei bnci trebuie s fie independent de activitile auditate. Departamentul trebuie s fie, de asemenea, independent fa de procesul de control intern de zi cu zi. Aceasta presupune ca departamentului de audit intern s i se dea un statut corespunztor n cadrul bncii i acest departament s i ndeplineasc sarcinile cu obiectivitate i imparialitate.
9
Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002 10 Principiul 5 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000
11
Audit Bancar
MSBANK
12
Astfel, pentru asigurarea independenei sale fa de restul activitilor bncii, departamentul de audit intern trebuie s fie subordonat direct conducerii executive a bncii sau consiliului de administraie sau comitetului de audit (de pe lng consiliul de administraie). Pe lng asigurarea independenei departamentului n cadrul organigramei bncii, principiul acesta trebuie s se aplice i activitii sale. Departamentul de audit intern trebuie s-i poat exercita atribuiile din iniiativ proprie n toate departamentele, sediile i activitile bncii. Rezultatele activitii sale, evalurile sale trebuie s poat fi fcute cunoscute, pe plan intern, i, n unele cazuri, chiar direct consiliului de administraie, comitetului de audit sau auditorului extern (de exemplu, cnd se apreciaz c o decizie a conducerii executive a bncii a fost luat fr respectarea prevederilor legale). Banca Naional a Romniei subscrie ntru totul la aceste cerine privind asigurarea independenei auditului intern, att prin mijloace organizatorice, ct i funcional instituionale, i opteaz pentru subordonarea funcional a departamentului de audit intern fa de funcia de supraveghere, nu fa de cea de conducere/conducerea executiv. 2.2. Imparialitatea auditului intern bancar 11 Departamentul de audit intern ar trebui s fie obiectiv i imparial, ceea ce nseamn c ar trebui s fie ntr-o poziie care s-i permit realizarea atribuiilor fr prtinire i fr ingerine. Acest principiu vine n completarea primului enunat, accentund aspectul de independen a judecii pe care auditorii interni trebuie s fie capabili s o fac. Prin urmare, auditorii interni trebuie s nu fie implicai n operaiunile bncii sau n proiectarea procedurilor i implementarea msurilor de control intern, iar cei recrutai din interiorul bncii trebuie s nu fi fost implicai n trecutul apropiat n activitile auditate; totodat, se are n vedere rotirea periodic a domeniilor auditate. Banca Naional a Romniei opineaz c personalul implicat ntr-un angajament de audit pe poate audita un domeniu n care a lucrat numai dup trecerea unei perioade de cel puin un an. Totui, asigurarea imparialitii auditorilor interni nu nseamn c departamentului de audit intern nu i se pot solicita opinii, de ctre conducerea bncii, n legtur cu principiile controlului intern, cu planurile de reorganizare, cu iniierea unor activiti noi importante sau
11
Principiul 7 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000
12
Audit Bancar
MSBANK
13
cu risc ridicat, cu gestiunea sistemului informatic i informaional. Implicarea sa trebuie, ns, s se limiteze la acest rol consultativ, i s nu se extind asupra msurilor de implementare. Banca Naional a Romniei definete mai clar cadrul n care auditorii interni pot acorda consultan asupra unor operaiuni n care au avut anterior responsabiliti sau pe care le-au auditat, i anume cu condiia de a nu efectua un angajament de audit n anul urmtor. n practica unor bnci, pentru asigurarea imparialitii auditorilor interni, sunt impuse reguli cu privire la recrutarea acestora din afara bncii, necorelarea remunerrii acestora cu performana sau profitul bncii, separarea atribuiilor n ceea ce privete implementarea recomandrilor, neimplicarea auditorilor n activitatea de proiectare a procedurilor de control sau administrative. n Romnia, Banca Naional restricioneaz accesul la responsabilitatea de auditori interni persoanelor care sunt soi, rude sau afini pn la gradul al patrulea inclusiv cu conductorii unei bnci. 2.3. Continuitatea auditului intern bancar12 Auditul intern ar trebui s fie o funcie permanent. n ndeplinirea ndatoririlor i responsabilitilor sale, conducerea bncii ar trebui s ia toate msurile necesare astfel nct banca s poat conta n permanen pe o funcionare adecvat a auditului intern corespunztoare mrimii bncii i naturii operaiunilor sale. Aceste msuri includ asigurarea departamentului de audit intern cu resurse i personal corespunztor pentru ndeplinirea obiectivelor sale. Demn de remarcat este faptul c formularea principiului continuitii auditului intern nu se rezum la partea enuniativ - declarativ, ci se extinde la mijloacele prin care se poate asigura caracterul permanent al acestei activiti: resurse i personal. Astfel, este evideniat faptul c, pe lng calitatea i numrul personalului aferent auditului intern, sunt necesare i resurse financiare adecvate (pentru remunerare, pregtire profesional, deplasri la unitile teritoriale), resurse logistice, informatice i informaionale. Conducerea bncilor verific alocarea de personal i resurse pentru auditul intern, fie permanent, fie anual, comparnd activitatea departamentului cu cea planificat sau fcnd
12
13
Audit Bancar
MSBANK
14
comparaii cu bnci comparabile ca mrime. n medie, personalul alocat activitii de audit intern ntr-o banc reprezint aproximativ 1% din totalul personalului; procentul acesta variaz n funcie de mrimea bncii i de activitile derulate de ctre aceasta. Banca Naional a Romniei subliniaz faptul c asigurarea unei activiti de audit intern adecvate, corespunztoare dimensiunii i naturii operaiunilor unei bnci cade n sarcina conductorilor instituiei (organelor cu funcie de conducere)13. 2.4. Competena profesional14
Competena profesional a fiecrui auditor intern i a departamentului de audit intern, ca ntreg, este esenial pentru ndeplinirea corespunztoare a rolului auditului intern. Departamentul de audit intern trebuie s acopere toate activitile bncii, iar acestea devin din ce n ce mai complexe; mai mult, acestui departament i se pot cere opinii cu privire la noi domenii care ar putea fi introduse n nomenclatorul bncii. Prin urmare, un auditor intern trebuie s aib cunotine nalte, experien vast, s se pregteasc continuu i s i actualizeze permanent cunotinele n domeniul bancar i n cel al tehnicilor de audit. Totodat, acesta trebuie s aib capacitatea de a colecta informaii, de a le examina, de a evalua situaia i de a comunica concluzii. La aceste cerine privind pregtirea profesional, Banca Naional a Romniei adaug exigene morale: auditorii interni trebuie s fie coreci, oneti i incoruptibili15. Cu un astfel de portret - robot, recrutarea de specialiti pentru departamentul de audit intern al unei bnci apare ca o provocare pentru departamentul de resurse umane. Dac se iau n considerare i cerinele legate de asigurarea obiectivitii i imparialitii, gestiunea resurselor umane n domeniul auditului intern poate prea chiar o misiune imposibil. Aprecierea adecvrii nivelului de pregtire a candidailor pentru posturile de auditori interni ine de politica fiecrei bnci n domeniu; unele bnci (n special cele mici) pun accentul, n recrutarea personalului pentru audit, mai mult pe cunotine i experien profesionale, dect pe existena unor titluri profesionale. Competena profesional trebuie meninut prin pregtire la locul de munc, pregtire intern i extern, rotaia personalului n cadrul departamentului de audit etc.
13 14
Art. 50, alin. (2) din Regulamentul BNR nr. 18/2009 Principiul 8 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 15 Art. 57 din Regulamentul BNR nr. 18/2009.
14
Audit Bancar
MSBANK
15
2.5.
Exhaustivitatea auditului intern16
Toate activitile i toate entitile unei bnci trebuie s intre n aria de activitate a auditului intern. Nici una dintre activitile sau entitile unei bnci (incluznd sucursale, subsidiare i activiti externalizate) nu poate fi exclus din preocuprile departamentului de audit intern. Totui, pentru o corect nelegere a sferei auditului intern, trebuie fcute nite nuanri i precizri la aceast declaraie de exhaustivitate. La modul general, auditul intern trebuie s examineze i s evalueze eficiena i eficacitatea controlului intern (neles ca sistem, nu ca departament) i modul n care sunt ndeplinite responsabilitile de control. Din acest punct de vedere, activitatea de audit intern reprezint o analiz de risc a sistemului intern de control. n particular, auditul intern trebuie s evalueze: respectarea politicilor, principiilor, regulilor, reglementrilor (fr a se suprapune, totui, cu funcia corespunztoare a controlului intern); integritatea, acurateea i acoperirea informaiilor financiare i de gestiune; continuitatea i soliditatea sistemelor informatice; funcionarea departamentelor bncii. Chiar dac pentru o anume activitate sau entitate exist un departament separat de control i monitorizare, auditul intern trebuie s se ntind i asupra acestei activiti/entiti, precum i asupra controlului acestei activiti/entiti. Subsidiarele bancare i nebancare ale unei bnci trebuie s aib propriile lor sisteme de control intern i propriul audit intern, acesta din urm putnd fi realizat fie de departamentul de audit intern din compania mam, fie de un departament al acestora, subordonat celui din compania mam. n cel de-al doilea caz, principiile de audit intern trebuie s fie stabilite la nivel central, de ctre compania-mam, pentru ntreg grupul de firme, iar departamentul central de audit intern trebuie s se implice n recrutarea i evaluarea auditorilor interni din subsidiare. n msura n care externalizarea unor activiti nu nseamn eliminarea responsabilitilor bncii n acel domeniu, atunci nici auditul intern al bncii nu poate fi exonerat de atribuiile ce-i revin n legtur cu aceste activiti.
16
15
Audit Bancar
MSBANK
16
n Regulamentul BNR nr.18/2009, principiul exhaustivitii nu apare distinct formulat, dar reiese din coninutul pe care trebuie s-l aib statutul auditului intern (art. 60, alin.1): Statutul auditului intern trebuie s prevad dreptul de iniiativ al auditorului intern i autoritatea acestuia de a comunica cu orice membru din cadrul personalului instituiei de credit, de a examina orice activitate, structur a instituiei de credit, precum i accesul acestuia la orice nregistrri, fiiere i informaii interne , inclusiv la informaii destinate organelor cu funcie de conducere, precum i la procese-verbale i alte materiale cu caracter similar ale tuturor organelor de decizie i consultative, care prezint relevan n ndeplinirea atribuiilor sale. n plus fa de principiile menionate mai sus, Banca Naional menioneaz confidenialitatea care trebuie pstrat de ctre auditorii interni, n sensul de pruden n utilizarea informaiilor, de protecie a informaiilor; acestei cerine trebuie s-i rspund, de fapt, ntreg personalul bncii, aa cum este stipulat i n Legea bancar.
3. Cadrul normativ de desfurare a activitii de audit intern bancar Obiectivele, responsabilitile i principiile activitii de audit intern (unele prezentate n subcapitolele 2.1. i 2.2) sunt exprimate i sumarizate n unele documente cu caracter internaional (Standardele internaionale ale activitii de audit i Codul de etic a auditorului intern, emise de Institute of Internal Auditors) i cu caracter naional: Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabil entitilor publice; Regulamentul BNR nr.18/2009 privind cadrul de administrare a activitii instituiilor de credit, procesul intern de evaluare a adecvrii capitalului la riscuri si condiiile de externalizare a activitilor acestora; Hotrrea Camerei Auditorilor Financiari din Romnia nr. 88/2007 pentru aprobarea Normelor de audit intern. De menionat este faptul c globalizarea pieelor financiare i a fluxurilor de capital au impus alinierea standardelor naionale de audit la cele internaionale, prin aderarea organizaiilor naionale ale auditorilor la cele internaionale i la documentele emise de acestea. Totodat, n ceea ce privete domeniul bancar exist recomandri cu titlu de ndrumar la nivel internaional (principiile enunate de ctre Comitetul de Supraveghere Bancar de la
16
Audit Bancar
MSBANK
17
Basel), reflectate la nivel naional prin reglementri ale bncilor centrale, iar la nivelul fiecrei instituii bancare prin Statutul (Carta) auditului intern. 3.1. Statutul (carta) auditului intern Carta auditului garanteaz statutul i autoritatea departamentului de audit intern al bncii.17 Carta auditului trebuie s cuprind, conform principiului enunat de Comitetul de Supraveghere Bancar de la Basel, cel puin urmtoarele: obiectivele i sfera de activitate; poziia departamentului n cadrul organizaiei, drepturile i obligaiile sale; responsabilitile conductorului departamentului de audit intern . Reglementarea actual a BNR (Regulamentul nr. 18/2009) se concentreaz pe obligativitatea includerii n statutul auditului intern a elementelor care asigur autoritatea acestei funcii n cadrul bncii: statutul auditului intern trebuie s prevad dreptul de iniiativ al auditorului intern i autoritatea acestuia de a comunica cu orice membru din cadrul personalului instituiei de credit, de a examina orice activitate, structur a instituiei de credit, precum i accesul acestuia la orice nregistrri, fiiere i informaii interne, inclusiv la informaii destinate organelor cu funcie de conducere, precum i la procese-verbale i alte materiale cu caracter similar ale tuturor organelor de decizie i consultative (art. 60, alin. 2) Carta trebuie s fie ntocmit i revizuit periodic de ctre departamentul de audit intern, aprobat de conducerea bncii i de consiliul de administraie (cu avizul comitetului de audit) i adus la cunotina ntregului personal al bncii. n Carta Auditului Intern18 elaborat de ctre Bank for International Settlements, cu valoare de ndrumar pentru bnci, sunt stipulate ca i componente ale cartei declararea misiunii, a independenei i obiectivitii auditului intern, definirea sferei de cuprindere i a responsabilitilor, delimitarea autoritii i a standardelor acestei activiti. Conform acestui document, misiunea auditului intern este aceea de a asigura realizarea operaiunilor bncii n conformitate cu cele mai nalte standarde. n ceea ce privete poziia departamentului de audit intern n cadrul bncii, aceasta este definit prin poziia efectiv n cadrul organigramei i diagrama de relaii care i asigur
17
Principiul 6 enunat n Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 18 Internal Audit Charter, Internal Audit, Version 1.0, martie 2003
17
Audit Bancar
MSBANK
18
independen (departamentul rspunde direct conducerii bncii i raporteaz ctre comitetul de audit numit de ctre consiliul de administraie) i prin delimitarea activitilor sale fa de celelalte operaiuni ale bncii, care i confer obiectivitate (auditul intern nu este implicat n activitile zilnice de control, care sunt realizate de ctre fiecare structur organizatoric). Potrivit Cartei, sfera de activitate a auditului intern include revizuirea procedurilor de management al riscurilor, a sistemului intern de control, a sistemelor informaionale i a procesului de conducere (detaliate la subcapitolul 2.1.). n ceea ce privete autoritatea, Carta statueaz dreptul auditului intern de a avea acces n toate domeniile bncii, la toate documentele, la toate informaiile necesare, din documente, nregistrri sau de la persoane, de a comunica cu orice membru al personalului bncii. n plus fa de aceasta, B.N.R. menioneaz necesitatea ca statutul s prevad, n mod expres, dreptul la iniiativ al auditorului intern, precum i dreptul acestuia de a avea acces la informaii destinate conducerii i procese verbale i alte materiale cu caracter similar ale tuturor organelor de decizie i consultative, care prezint relevan n ndeplinirea atribuiilor sale.19 Responsabilitile definite n acest document se refer att la nivelul departamentului de audit intern, ct i la conductorul acestuia, legate de planificarea, desfurarea, raportarea activitii de audit intern, precum i de relaia cu auditul extern. Carta stipuleaz faptul c activitatea de audit intern ar trebui s se desfoare n conformitate cu standardele celei mai bune practici profesionale (best professional practice), aa cum au fost acestea definite de Institutul Auditorilor Interni sau de Comitetul de Supraveghere Bancar de la Basel. Dup cum se poate observa, statutul activitii de audit intern reprezint documentul de politic a bncii n sfera auditului intern, o form special de regulamentul de organizare i funcionare a departamentului respectiv n cadrul bncii. 3.2. Standardele internaionale de audit intern ale Institutului Auditorilor Interni (Institute of Internal Auditors) Dat fiind diversitatea de medii culturale i legale, de organizaii n care funcioneaz auditul intern, Institutul Auditorilor Interni a emis Standardele Internaionale pentru Practica Profesional a Auditului Intern. Ultima variant a Standardelor a aprut n 2009 i a suportat unele schimbrii n 2011. Scopul Standardelor este:
19
Art. 60 din Regulamentul BNR nr. 18/2009
18
Audit Bancar
MSBANK
19
1) de a delimita principiile de baz care definesc cele mai bune practici n domeniul auditului intern; 2) de a constitui un cadru pentru realizarea i promovarea unei game largi de activiti prin care auditul intern s aduc plus valoare; 3) de a reprezenta un etalon pentru evaluarea activitii de audit intern; 4) de a ncuraja mbuntirea proceselor i operaiunilor organizaionale. De-a lungul timpului, Standardele au constituit sursa primar pentru stabilirea principiilor de funcionare a auditului intern n diverse domenii specifice, inclusiv in domeniul sectorului public sau n sectorul bancar. Astfel, la baza principiilor enunate de Bank for International Settlements, preluate ulterior de autoritile de reglementare a sectorului bancar (inclusiv BNR), stau enunurile Standardelor Internaionale. Aceste Standarde definesc principiile de baz i caracteristicile pe care funcia de audit trebuie s le ndeplineasc (Attribute Standards), stabilesc modul de organizare i desfurare a procesului de audit intern (Performance Standards) i modul de interpretare i aplicare a standardelor cu caracter general la unele aciuni concrete, n cadrul angajamentelor de asigurare sau de consultan (Implementation Standards). Menionarea acestor standarde internaionale este fcut doar cu titlu informativ, expunerea privind activitatea de audit intern bancar fiind axat pe principiile enunate de Comitetul pentru Supraveghere Bancar de la Basel i pe actul normativ al Bncii Naionale a Romniei.
3.3. Codul de etic a auditorului intern Comitetul de Practici Internaionale de Audit (International Auditing Practices Committee) din cadrul International Federation of Accountants a elaborat un Cod de etic profesional n domeniul auditului, cod la care face trimitere i legislaia romn n vigoare referitoare la audit financiar20. Acest document, la care se raporteaz i Comitetul de Supraveghere Bancar de la Basel, statueaz principiile pe care trebuie s le urmeze auditorii interni (n concordan cu
20
Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003
19
Audit Bancar
MSBANK
20
principiile auditului intern), precum i conduita care trebuie respectat pentru aplicarea acestor principii. Astfel, activitatea auditorului intern trebuie s se nscrie pe urmtoarele coordonate: integritate; obiectivitate (analiza realizat de auditorul intern trebuie s fie echilibrat i neinfluenat de propriile interese sau interesele unor alte persoane); confidenialitate (auditorul intern trebuie s nu dezvluie informaiile la care are acces n activitatea sa dect n situaiile prevzute prin reglementri); competen (auditorul intern trebuie s aib pregtirea i experiena necesare pentru activitatea sa). Integritatea nseamn c auditorul intern trebuie s-i ndeplineasc atribuiile cu onestitate, diligen i responsabilitate; trebuie s nu ia parte, cu bun tiin, la activiti ilegale sau s se angajeze n aciuni care pot s-l discrediteze; trebuie s respecte legea i s fac numai dezvluirile permise de lege sau de profesie; trebuie s respecte i s contribuie la realizarea obiectivelor etice ale organizaiei din care face parte. Pentru meninerea obiectivitii, auditorul intern trebuie s nu participe la activiti sau s nu aib relaii sau s nu accepte ceva care s-i influeneze judecata profesional, iar dac are cunotin despre un fapt care ar putea distorsiona activitatea, trebuie s dezvluie acel fapt. Respectarea principiului confidenialitii presupune pruden n utilizarea informaiilor, protejarea informaiilor la care are acces n ndeplinirea atribuiilor i neutilizarea informaiilor n folos personal sau n oricare alt manier care ar putea aduce atingere intereselor organizaiei din care face parte. Competena n activitatea auditorului intern nseamn ca acesta s nu se angajeze n activiti pentru care nu are pregtirea i experiena necesar, s respecte standardele internaionale de audit i s i perfecioneze continuu pregtirea profesional i calitatea serviciilor. 4. Organizarea auditului intern bancar Activitatea de audit intern bancar se realizeaz prin dou forme organizatorice: departamentul de audit intern i comitetul de audit. Despre departamentul de audit s-a vorbit cu prilejul prezentrii principiilor activitii i a cartei auditului intern, att din punct de vedere al locului su n cadrul organigramei
20
Audit Bancar
MSBANK
21
bncii, ct i din punctul de vedere al atribuiilor i responsabilitilor. n legtur cu acesta, un singur aspect merit s mai fie detaliat, i anume cel referitor la conductorul departamentului de audit. 4.1. Atribuiile i responsabilitile conductorului departamentului de audit intern bancar Conform Standardelor Internaionale de Audit intern, ce se regsesc ntr-o form sintetic n textul principiul 12 enunat Comitetul de Supraveghere Bancar de la Basel 21, coordonatorul departamentului de audit intern rspunde de: 1) dezvoltarea i meninerea unui program de asigurare a calitii i mbuntirea activitii de audit intern; 2) monitorizarea i evaluarea eficienei programului de asigurare a calitii auditului intern; 3) asigurarea competenei profesionale a auditorilor interni, pregtirea profesional a acestora, asigurarea resurselor adecvate desfurrii activitii; 4) stabilirea politicilor i procedurilor aferente activitii de audit intern; 5) coordonarea activitilor desfurate de auditorii interni din cadrul bncii cu cele ale furnizorilor de servicii de audit intern din afara bncii; 6) elaborarea planului de audit intern; 7) informarea consiliului de administraie i a comitetului de audit cu privire la activitatea desfurat. Pentru a completa fia acestuia, ar mai trebui fcut referire i la cerinele de pregtire profesional pentru ocuparea postului, n conformitate cu Statutul auditului intern, Codul de etic a auditorului intern, i la cerina legal, din Romnia, ca acesta s fie auditor financiar22. 4.2. Comitetul de audit Regulamentul BNR nr.18/2009 (art. 51) instituie obligativitatea existenei unui comitet de audit n cadrul fiecrei bnci, prelund recomandarea Comitetului de la Basel pentru Supraveghere Bancar. Motivaia acestei recomandri rezid n necesitatea existenei unui
21
Conductorul departamentului de audit intern trebuie s fie responsabil pentru asigurarea desfurrii activitii acestuia n conformitate cu principii interne de audit solide. 22 Ordonana de Urgen a Guvernului nr. 75/1999 aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003
21
Audit Bancar
MSBANK
22
organ consultativ, cu caracter permanent, care s sprijine consiliului de administraie, repectiv consiliul de supraveghere n cazul bncilor care au adoptat sistemul dualist de administrare, n ndeplinirea dificilei sarcini de a menine i ntri sistemul de control intern. i n ceea ce privete componena, competenele i funcionarea comitetului de audit, Banca Naional a Romniei aplic recomandrile Comitetului de la Basel. Referitor la componena comitetului, sunt nsuite recomandrile Comitetului de la Basel menite s mpiedice apariia situaiilor de conflict de interese (comitetul de audit trebuie s includ, n majoritate, membri ai organelor cu funcie de supraveghere care nu ndeplinesc i funcii de conducere - n cazul sistemului unitar), precum i cele referitoare la competena profesional (comitetul de audit trebuie s includ membri ai organelor cu funcie de supraveghere care dein o nelegere clar a rolului acestui comitet pentru exercitarea funciei de audit intern). Competenele comitetului sunt: supravegherea auditorilor interni i auditorilor financiari; aprobarea sau propunerea de aprobare adresat organelor cu funcie de supraveghere sau acionarilor privind numirea, remunerarea i revocarea auditorului financiar; avizarea sferei de cuprindere a auditului i a frecvenei angajamentelor de audit; primirea rapoartelor de audit; asigurarea c organele cu funcie de conducere iau msurile de remediere necesare pentru a soluiona deficienele identificate n activitatea de control i de conformitate, precum i a altor probleme identificate de auditori. Dup unele opinii23, n fruntea acestor competene ar trebui s se afle cea legat de alegerea celui mai bun candidat pentru postul de coordonator al departamentului de audit intern; comitetul de audit trebuie s se asigure c persoana desemnat corespunde profilului moral i profesional potrivit funciei. Zonele principale de preocupare a comitetului de audit se refer la funcionarea sistemului de control intern i a departamentului de audit intern, ariile de risc ce trebuie acoperite de auditul intern i cel extern, corectitudinea i credibilitatea informaiilor financiare furnizate conducerii bncii i altor instituii, conformarea bncii cu prevederile cadrului legal i normativ. Stabilirea periodicitii ntrunirilor comitetului de audit este lasat de Banca Naional a Romniei la latitudinea bncilor, pentru a fi stabilit n cadrul regulamentului comitetului.
23
Asking the Right Questions: Sage Advice for Audit Committees, Jacqueline K. Wagner, General Auditor, revista Directors and Boards, septembrie 2000
22
Audit Bancar
MSBANK
23
Dup unele preri24, comitetul de audit ar trebui s se ntlneasc de cel puin patru ori pe an, iar una dintre aceste ntruniri trebuie s fie dedicat situaiilor financiare anuale. 4.3. Externalizarea activitii de audit intern Externalizarea poate aduce avantajele unei expertize nalte, mai ales pe proiecte speciale de audit, dar poate genera i riscuri pentru banc (cum ar fi riscul de pierderi sau riscul de a avea control redus asupra activitii externalizate). Aceste riscuri trebuie s fie monitorizate i gestionate atent, cu att mai mult cu ct activitatea de audit intern este foarte important, iar consiliul de administraie al bncii rmne responsabil de funcionarea eficient a sistemului de control i n cazul externalizrii unei pri a acestuia. n linie cu evoluiile generale n materie de audit intern i innd cont de recomandrile Comitetului de la Basel, prin Regulamentul nr. 18/2009, Banca Naional a Romniei a eliminat posibilitatea externalizrii funciilor sistemului de control intern ale unei bncii (art.32, alin.3) Astfel, n principiu activitatea de audit intern nu mai poate fi externalizat. Cu toate acestea, nelegnd c n practic pot s apar situaii speciale ce reclam cunotine din domenii de ni, pe care auditorii intern nu le dein, BNR a lsat deschis opiunea unei externalizri extrem de limitate a auditului intern. Limitrile privesc att sfera de cuprindere pentru care se poate face apel la externalizare, ct i tipul externalizrii. Astfel, din perspectiva sferei de cuprindere, pot fi externalizate serviciile de audit intern ce privesc activiti ce nu sunt specifice instituiilor de credit, respectiv altele dect cele prevzute la art. 18 alin. (1) lit. a)-n) din Ordonana de urgen a Guvernului nr. 99/2006, aprobat cu modificri i completri prin Legea nr. 227/2007, cu modificrile i completrile ulterioare. n ceea ce privete formele de externalizare acceptate pentru aceste servicii, Regulamentul nr. 18/2009 face referire exclusiv la coparticipare (cnd la realizarea angajamentelor de audit intern particip att personalul propriu ce activeaz n cadrul funciei de audit intern, ct i resurse externe) i subcontractare (cnd un angajament de audit intern sau doar o parte a acestuia este realizat de ctre un partener extern, de obicei pentru o perioad limitat de timp). n cazul n care se apeleaz la una din formele de externalizare menionate, organele cu funcie de supraveghere i organele cu funcie de conducere rmn responsabile pentru
24
TCF Financial Corporation, Audit Committee Charter, octombrie 2002
23
Audit Bancar
MSBANK
24
adecvarea i funcionarea eficace a sistemului de control intern i a auditului intern, iar coordonatorul extern/externi. Studiul efectuat de Comitetul de la Basel25 relev faptul c externalizarea auditului intern nu este o practic obinuit n cele mai multe ri, iar atunci cnd se recurge la servicii externe, acestea sunt, de obicei, furnizate de o firm din cadrul grupului de care aparine banca respectiv. De cele mai multe ori, bncile mici i externalizeaz auditul intern, dar numai activitatea n sine, nu i responsabilitatea. 5. Relaia dintre departamentul de audit intern i autoritatea de supraveghere Relaia dintre autoritatea de supraveghere i departamentul de audit intern al unei bnci ar trebui s fie una bivalent: pe de o parte, de control exercitat de ctre autoritate asupra activitii de audit intern, iar pe de alt parte, de colaborare. Autoritatea de supraveghere bancar ar trebui s evalueze activitatea departamentului de audit intern al bncii i, n cazul n care rezultatul este satisfctor, se poate baza pe aceasta pentru a identifica domeniile cu risc potenial26. Aceasta reprezint o abordare indirect pentru evaluarea eficienei i calitii sistemului de control intern, din care face parte i auditul intern. Evaluarea activitii desfurate de auditul intern se poate face pe baza principiilor i regulilor cuprinse n reglementrile bancare referitoare att la organizarea i funcionarea auditului intern, ct i la sistemele de control intern i de administrare a riscurilor, pe baza statutului auditului intern i a codului de conduit a auditorilor interni. n cazul n care supra-controlul ntr-o banc este de o calitate satisfctoare, autoritatea de supraveghere poate prelua rapoartele acestuia pentru a identifica problemele sistemului de control intern din cadrul bncii sau pentru a identifica ariile cu risc potenial care nu au intrat recent n vizorul auditului intern. n ceea ce privete colaborarea dintre autoritatea de supraveghere i departamentul de audit al bncii, Comitetul privind Supravegherea Bancar de la Basel opineaz c ar trebui s aib loc consultri periodice ntre cele dou pri n care s se discute domeniile cu risc i
25
activitii
de
audit
rspunde
de
evaluarea
furnizorului/furnizorilor
Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002 26 Principiul 13, Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
24
Audit Bancar
MSBANK
25
msurile luate pentru acoperirea riscurilor. Totodat, aceste discuii ar trebui lrgite la nivelul ntregului sistem bancar, pentru subiecte de interes comun, ce in de politici i de reglementri. Comentariile Comitetului n legtur cu relaia de colaborare merg pn la a sugera ca autoritatea de supraveghere s fie un scut de protecie al conductorului departamentului de audit intern al unei bnci, care sa-l protejeze de msurile pe care conducerea bncii deranjat de sesizrile acestuia le-ar putea lua. Aceste recomandri au fost aplicate n practic, dup cum relev studiul Comitetului de la Basel27; organismele de supraveghere evalueaz munca departamentelor de audit din bncile pe care le controleaz prin ntlniri periodice, evaluri la faa locului i rapoarte. Totodat, au loc consultri pe probleme de funcionare a departamentului de audit, de reglementri n domeniul supravegherii i implicaiile acestora asupra controlului intern i a auditului intern. 6. Relaia dintre auditorii interni i auditorii externi n opinia Comitetului privind Supravegherea Bancar de la Basel, auditorii interni i cei externi ar trebui s colaboreze. Aceast prere mbrac forma unei recomandri fcute autoritii pentru supraveghere bancar : Autoritile de supraveghere ar trebui s ncurajeze consultarea dintre auditorii interni i externi pentru a face cooperarea lor ct mai eficient i mai eficace.28 Pe de o parte, se consider c auditorii externi pot avea un impact important asupra calitii controlului intern prin activitile lor de audit, inclusiv prin discuiile cu conducerea i consiliul de administraie al bncii, cu comitetul de audit, sau prin recomandrile fcute cu privire la mbuntirea controlului intern. Pe de alt parte, auditorului extern ar trebui s i se pun la dispoziie rapoartele de audit intern referitoare la situaiile financiare ale bncii i ar trebui s fie informat cu privire la toate aspectele importante sesizate de auditorul intern n domeniul acesta. De asemenea, conductorului departamentului de audit intern i revine sarcina de a contribui la determinarea naturii, perioadei i ntinderii auditului extern astfel nct cele dou activiti s fie coordonate i s nu se produc suprapuneri inutile.
27
Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002 28 Principiul 16, Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
25
Audit Bancar
MSBANK
26
Mijloacele de cooperare i comunicare se refer la ntlniri periodice pentru a discuta probleme de interes comun, tehnici, metode i terminologie specifice auditului, precum i schimbul de rapoarte de audit. Organismele de supraveghere subliniaz importana consultrilor periodice dintre auditorii interni i cei externi pentru coordonarea mai bun a aciunilor i evitarea duplicrii activitii de audit. Relaiile dintre auditul intern al unei bnci i auditorul extern i autoritatea de supraveghere sunt, astfel, prezentate ntr-o ipostaz mai puin obinuit pentru cultura bancar romneasc, unde exist ideea ori a unui raport de concuren, de for, ori a unui raport antagonic. Dac se analizeaz obiectivele activitii tuturor acestor trei factori, se poate observa c exist o convergen evident a intereselor lor, care impune n mod firesc ideea de colaborare. i dac acest lucru devine evident, nu mai trebuie dect ncrederea prilor pentru ca relaia de colaborare s funcioneze29.
7. Desfurarea activitii de audit intern 7.1 Tipuri de audit intern Conform definiiei prevzute n Standardele Internaionale de Audit Intern, activitatea de audit se materializeaz n angajamente de asigurare i angajamente de consultan. In cazul angajamentelor de asigurare, obiectivul auditorului intern este de a evalua probele pentru a oferi o opinie independent sau concluzii cu privire la un proces, un sistem, o activitate sau alte subiecte. Forma i scopul misiunii de asigurare sunt determinate de ctre auditorul intern. n general, n misiunile de asigurare sunt implicate trei pri: (1) persoana sau grupul implicat direct in procesul, sistemul sau problema n cauz proprietarul procesului, (2) persoana sau grupul care face evaluarea auditorul intern, i (3) persoana sau grupul care folosete evaluarea utilizatorul. Angajamentul de consultan mbrac forma unor servicii de consiliere efectuate n general la cererea expres a unui client, natura i sfera de cuprindere fiind agreate acesta. Serviciile de consultan implic n general dou pri: (1) persoana sau grupul care ofer recomandarea auditorul intern, i (2) persoana sau grupul care caut i primete
29
If there is no trust, co-operation cannot exist. - Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
26
Audit Bancar
MSBANK
27
recomandri clientul misiunii. n derularea serviciilor de consultan, auditorul intern trebuie s-i menin obiectivitatea i s nu-i asume responsabilitatea managementului. De asemenea, n reglementarea iniial a activitii de audit intern bancar (ne referim aici la Norma BNR nr. 17/2003), angajamentele de asigurare au fost clasificate, n funciei de obiectul evalurilor, astfel: a) audit financiar n scopul evalurii credibilitii sistemului contabil i informatic i a situaiilor financiare anuale; b) audit de conformitate referitor la conformitatea activitii bncii cu legile, reglementrile i procedurile; c) audit operaional const n verificarea calitii i adecvrii sistemelor i procedurilor, analiza critic a structurii organizatorice, evaluarea adecvrii metodelor i resurselor n raport cu obiectivele stabilite; d) audit al conducerii cu obiectivul de a evalua din punct de vedere calitativ modul n care este exercitat funcia de conducere pentru ndeplinirea obiectivelor instituiei de credit. Regulamentul nr. 18/2009 care a nlocuit Norma 17/2003 a renunat la aceast clasificare, cu caracter mai degrab didactic, specific fazei natere a auditului intern, ca urmare a trecerii la o etap calitativ nou, de consolidare a profesiei. Un argument de fond care a condus la eliminarea oricror meniuni la tipologiile misiunilor de audit intern rezid n imposibilitatea practic de a cataloga riguros un angajament de audit ntr-una din categoriile anterior prezentate. Departamentul de audit intern al unei bnci examineaz i evalueaz toate activitile bncii, desfurate de toate entitile acesteia. Prin urmare, auditul intern nu trebuie s se concentreze numai pe un anumit tip de audit, ci s utilizeze forma de audit cea mai adecvat obiectivului de audit ce trebuie atins. Mai mult, activitatea de audit nu trebuie s se structureze numai pe auditarea diverselor departamente ale bncii, ci i pe activiti derulate prin aportul mai multor departamente. In ceea ce privete angajamentele de consultan, urmtoarele forme: angajamente oficiale de consultan planificate i formalizate ntr-un document scris; Norma 17/2003 distingea ntre
27
Audit Bancar
MSBANK
28
angajamente neoficiale de consultan participarea la comitete permanente, proiecte pe durat limitat, ntruniri ad-hoc i schimb de informaii; angajamente speciale de consultan participri la fuziuni i achiziii; angajamente de consultan pentru cazuri deosebite participarea ntr-o echip stabilit pentru redresarea sau meninerea activitilor dup un dezastru sau alt eveniment extraordinar sau ntr-o echip desemnat s acorde sprijin pentru ndeplinirea unei cerine speciale.
n prezent, Regulamentul 18/2007 nu mai face aceast distincie, ns conine prevederi specifice legate de angajamentele de consultan n cuprinsul art. 53: (1) Auditorii interni pot formula recomandri cu privire la procedurile de control intern. (2) Fr a prejudicia obiectivitatea i imparialitatea auditului intern, la cererea organelor cu funcie de conducere ale instituiei de credit, acesta poate s exprime opinii legate de modul n care principiile de control intern sunt respectate n unele situaii specifice, cum ar fi: reorganizri de amploare, demararea unor noi activiti importante sau riscante, constituirea sau reorganizarea sistemelor de control al administrrii riscurilor, a sistemelor informaionale sau informatice. (3) Fr a prejudicia obiectivitatea i imparialitatea auditului intern, auditorii interni vor putea acorda consultan asupra unor operaiuni pentru care au avut anterior responsabiliti sau asupra crora au exercitat angajamente de audit, n conformitate cu statutul auditului intern, cu condiia de a nu efectua un angajament de audit n anul urmtor. (4) Auditul intern nu va putea agrea desfurarea unui angajament de consultan care determin sustragerea de la cerinele normale aferente unui angajament de audit, dac serviciul respectiv este mai bine desfurat ca angajament de audit30. 7.2. Derularea activitii de audit intern bancar a. Activitatea departamentului de audit intern se desfoar n baza unui plan de audit, ntocmit de conductorul departamentului, avizat de comitetul de audit. La baza ntocmirii planului de audit trebuie s se afle nelegerea activitilor semnificative ale bncii i evaluarea riscurilor asociate acestora. Evaluarea riscurilor are loc pe baza unei metodologii, a unor principii stabilite de ctre conductorul departamentului de audit intern, care trebuie actualizate periodic astfel nct s
30
Prin expresia angajamente de audit , BNR se refer de fapt n acest context la angajamentele de asigurare. 28
Audit Bancar
MSBANK
29
reflecte schimbrile din sistemul de control intern, din activitatea bncii (att din punct de vedere operaional, ct i din punct de vedere strategic). Evaluarea riscurilor se face pentru toate activitile i toate entitile bncii, precum i pentru ntregul sistem de control intern. Pe baza rezultatelor acestor evaluri se ntocmete planul de audit, un plan multianual; acesta trebuie s ncorporeze, astfel, i o component de previziune, respectiv inovrile i dezvoltrile estimate i gradul general de risc mai ridicat asociat noilor activiti. Planul trebuie astfel alctuit nct s acopere, ntr-o perioad rezonabil31 (de exemplu, de trei ani), toate activitile i entitile semnificative. Planul trebuie s cuprind termenele, natura i frecvena angajamentelor planificate, precum i resursele necesare pentru realizarea acestuia, inclusiv cele de personal (att din punct de vedere numeric, ct i din punct de vedere al competenei profesionale). n opinia Comitetului de la Basel32, planul de audit intern trebuie s fie realist, adic s rezerve timp i pentru alte angajamente (de consultan) i pentru pregtire profesional. Totodat, planul poate face obiectul revizuirii i actualizrii ori de cte ori este necesar. b. Pentru derularea fiecrui angajament de audit se realizeaz un program de audit; acesta descrie obiectivele urmrite i etapele activitii de audit. n realizarea acestuia, auditorii interni trebuie s in seama de: obiectivele activitii auditate i mijloacele prin care activitatea i controleaz performana; riscurile semnificative pentru activitatea respectiv, obiectivele, resursele, operaiunile i metodele prin care impactul potenial al riscului este meninut la un nivel acceptabil; adecvarea i eficacitatea a administrrii riscurilor i a sistemelor de control n comparaie cu un model de control relevant;
-
oportunitile de a aduce mbuntiri semnificative activitii de administrare a riscurilor i de control33.
31
n opinia B.N.R., aceast perioad trebuie stabilit prin statutul auditului intern (Art. 115 (4), Normele nr. 17/2003) 32 Internal audit in banks and the supervisors relationship with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
33
International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors, October, 2001
29
Audit Bancar
MSBANK
30
Prin urmare, obiectivele programului trebuie s reflecte rezultatele evalurii riscurilor identificate pentru activitatea auditat. Resursele i perioada de timp alocate trebuie s corespund caracteristicilor activitii auditate, complexitii acesteia i expunerilor la risc. Programul de audit reprezint un instrument relativ flexibil, ce poate fi adaptat i completat n funcie de riscurile identificate pe parcursul derulrii angajamentului; acesta, precum i modificrile ulterioare, fac obiectul aprobrii de ctre conductorul departamentului de audit intern. Procedurile de identificare, analiz, evaluare i nregistrarea a informaiilor pe perioada de desfurare a angajamentului de audit sunt cuprinse, dup metode bine determinate, n fie de lucru, aprobate de conductorul departamentului de audit intern nainte de nceperea angajamentului. Coordonatorul departamentului de audit trebuie s stabileasc politici privind pstrarea datelor aferente fiecrui angajament i privind comunicarea acestora unor tere pri, cu acordul conducerii bncii. Tot coordonatorului departamentului de audit intern i revine sarcina de a superviza desfurarea angajamentelor pentru a se asigura c obiectivele acestora vor fi atinse, c activitatea se ridic la standardele de calitate dorite i c personalul este alocat eficient. Standardul de audit 240034, referitor la comunicarea rezultatelor angajamentului de audit, stipuleaz: Auditorii interni trebuie s comunice rezultatele angajamentului cu promptitudine. Aceast meniune se refer att la comunicarea, pe parcursul derulrii angajamentului, a unor informaii ce necesit atenie imediat sau a stadiului derulrii angajamentului, sub forma unor rapoarte interimare, ct i la ntocmirea, ntr-o perioad ct mai scurt de la ncheierea angajamentului, a raportului de audit. Raportul de audit rezultat n urma unui angajament trebuie s prezinte obiectivele, scopul i ntinderea angajamentului, perioada auditat, constatrile (inclusiv cele referitoare la stadiul ndeplinirii recomandrilor din angajamente anterioare), rspunsurile structurii auditate, recomandrile auditului intern i un plan de aciuni pentru punerea n aplicare a acestora. Raportul de audit este transmis conducerii structurii auditate i, ntr-o form sumar, conductorilor bncii. n cazul n care raportul conine informaii privilegiate, legate de aciuni ilegale sau necorespunztoare, care nu trebuie cunoscute de ctre toi destinatarii
34
International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors, October, 2001
30
Audit Bancar
MSBANK
31
raportului, acestea trebuie s fie dezvluite ntr-un raport separat, transmis consiliului de administraie. Conductorul departamentului de audit intern are ca obligaie monitorizarea implementrii recomandrilor fcute n urma angajamentelor de audit. Aceast misiune este facilitat de instrumentul folosit, i anume planul de aciuni; acesta stabilete importana recomandrii fcute, responsabilitile persoanelor implicate n remedierea deficienelor constatate, termenul de ndeplinire a recomandrii, complexitatea msurii de corectare i implicaiile nerealizrii acestei msuri. Rezultatele monitorizrii trebuie aduse la cunotin, cel puin semestrial, consiliului de administraie i comitetului de audit. La nivelul departamentului de audit intern se pstreaz evidena angajamentelor de audit i a rapoartelor rezultate n urma acestora Pe aceast baz se poate face evaluarea eficienei programului de asigurare a calitii activitii de audit, respectiv: - evaluarea conformitii cu normele de audit intern i codul de conduit; adecvarea activitii de audit intern la statutul auditului intern, obiectivele, politicile i procedurile aferente; contribuia auditului intern la mbuntirea procesului de administrare a riscurilor, de conducere i la sistemul de control intern; modul n care auditul intern a contribuit la mbuntirea activitii bncii.
Pentru evaluarea calitii activitii departamentului de audit intern ntr-o anumit perioad de timp se pot folosi o serie de indicatori:35 indicatori ai activitii: numr de angajamente realizate; numrul activitilor i structurilor auditate; numrul recomandrilor propuse; numrul recomandrilor aplicate, numrul de zile alocate, n medie, unui angajament; numrul de zile alocate, n medie, pentru fiecare faz a angajamentelor; evoluia numrului i tipului de deficiene constatate; indicatori de gestiune: cheltuieli cu salarizarea auditorilor interni; pregtirea profesional a auditorilor interni; alte cheltuieli; indicatori de organizare: numr de angajamente pe auditor intern; numr de teme noi pe auditor intern; indicatori de animaie: numr de edine n echip; numr de zile alocate pentru formarea profesional a auditorilor interni.
35
cheltuieli cu
Vasile Dedu -Gestiune i audit bancar, pag. 322 323, Editura Economic, Bucureti, 2003
31
Audit Bancar
MSBANK
32
n ultim instan, performanele financiare ale instituiei bancare obinute n condiii de bun gestionare a riscurilor reprezint indicatorul final care exprim i eficiena i eficacitatea activitii de audit intern. Cuvinte cheie Independena auditului Imparialitatea auditului Continuitatea auditului Externalizarea auditului Exerciii i ntrebri 1. Ce reprezint independena, imparialitatea, continuitatea i exhaustivitatea auditului intern bancar? 2. Ce caliti i competene trebuie s ndeplineasc un conductor al departametului de audit intern? 3. Creionai dup propria inspiraie un model de statut al auditului intern. Competena profesional Exhaustivitatea auditului Statutul auditului intern Codul de etic Conducatorul auditului Comitetul de audit
Autoritatea de supraveghere Auditori externi
CAPITOLUL 3
CONTROLUL INTERN BANCAR
1. Obiectivele controlului intern bancar 2. Elementele principale ale sistemului de control intern bancar
2.1. Rolul i responsabilitile consiliului de administraie i ale conductorilor bncii 2.2. Identificarea i evaluarea riscurilor 2.3. Activitile de control i separarea atribuiilor 2.4. Informare i comunicare 2.5. Activitile de monitorizare i de corectare a deficienelor
3. Evaluarea sistemelor de control intern de ctre autoritile de supraveghere

Controlul intern bancar
32
Audit Bancar
MSBANK
33
Dup cum s-a artat n capitolul precedent, unul dintre principalele obiective ale auditului intern l reprezint evaluarea eficienei i a gradului de adecvare a sistemului de control intern, a crui parte component este. Controlul intern, aa cum este definit de Comitetul de la Basel 36, reprezint un proces continuu la care particip consiliul de administraie, conductorii, precum i personalul bncilor. Este subliniat astfel faptul c nu este vorba doar despre o procedur sau o politic aplicat la un moment dat, ci de un cumul de aciuni desfurate continuu la toate nivelurile bncii. Interesul acordat controlului intern i caracterului su continuu este consecina analizei cauzelor care au determinat nregistrarea de pierderi semnificative de ctre unele bnci; aceast analiz a identificat lipsa unor sisteme de control intern adecvate ca fiind un determinant major al pierderilor. Concluzia tras din aceste experiene a fost c un sistem de control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern eficient reprezint o component critic a gestionrii unei bnci, care poate sprijini realizarea obiectivelor bncii i atingerea intelor sale de profitabilitate. Regulamentul 18/2007 definete controlul intern astfel: proces continuu, destinat s furnizeze o asigurare rezonabil pentru ndeplinirea obiectivelor de performan eficacitatea i eficiena activitilor desfurate -, de informare - credibilitatea, integritatea i furnizarea la timp a informaiilor financiare i ale celor necesare conducerii - i de conformitate - conformarea cu legile i reglementrile aplicabile, precum i cu politicile i procedurile interne - i care, pentru a fi eficace, necesit implementarea urmtoarelor 3 funcii: funcia de administrare a riscurilor 37 , funcia de conformitate i funcia de audit intern. Controlul intern include, de asemenea, organizarea contabilitii, tratamentul informaiilor, evaluarea riscurilor i sistemele de msurare a acestora 1. Obiectivele controlului intern bancar Obiectivele de performan ale controlului intern se refer la eficiena i eficacitatea cu care banca i utilizeaz activele i alte resurse i la protecia bncii mpotriva pierderilor.
36
Framework for internal control systems in banking organisations, Basle Committee on Banking Supervision, Basle, septembrie 1998 37 In Regulamentul 18/2009 se folosete iniial expresia funcia de control al riscurilor care este nlocuita cu sintagma funcia de administrare a riscurilor odat cu intrarea n vigoare a Regulamentului nr. 25/2010 pentru modificarea i completarea Regulamentului 18/2009.
33
Audit Bancar
MSBANK
34
Prin proiectarea normelor de control intern trebuie s se asigure c ntregul personal al bncii se preocup de atingerea obiectivelor acesteia cu eficien i integritate, fr costuri excesive i fr a plasa alte interese naintea celor ale bncii. Obiectivele privind informaiile sunt legate de pregtirea n mod operativ a unor rapoarte relevante i de ncredere, care s stea la baza procesului de luare a deciziilor n banc. Totodat, se refer la informaiile financiare, la situaiile financiare anuale i altele de acest gen, destinate consiliului de administraie, acionarilor, organismelor de supraveghere, a cror calitate i integritate este absolut necesar pentru luarea deciziilor. Obiectivele de conformitate trebuie atinse pentru a proteja reputaia i autorizaia de funcionare, prin respectarea legilor, cerinelor autoritii de supraveghere, normelor i politicilor interne. 2. Elementele principale ale sistemului de control intern bancar Procesul de control intern, iniial conceput ca un mecanism de reducere a riscurilor de fraud, furt i eroare, a cptat n timp multe alte valene, adresndu-se unei varieti mai mari de riscuri cu care se confrunt banca i de acoperirea crora depinde realizarea obiectivelor bncii. Controlul intern cuprinde cinci elemente aflate n strns corelare: 1. rolul i responsabilitile structurii de conducere pe linia controlului intern; 2. identificarea i evaluarea riscurilor; 3. activitile de control i separarea atribuiilor; 4. informarea i comunicarea; 5. activitile de monitorizare i de corectare a deficienelor. Problemele identificate n analiza pierderilor suferite de bnci se circumscriu acestor cinci elemente, a cror funcionare este esenial pentru atingerea celor trei obiective ale controlului intern. 2.1. Rolul i responsabilitile structurii de conducere Structura de conducere a unei bnci este format din organele de administrare i de conducere stabilite potrivit actelor constitutive, care asigur ndeplinirea funciei de supraveghere (consiliului de administraie, n cadrul sistemului unitar de administrare, i consiliului de supraveghere, n cadrul sistemului dualist de administrare) i a funciei de
34
Audit Bancar
MSBANK
35
conducere (directori, n cadrul sistemului unitar de administrare, i directorat, n cadrul sistemului dualist de administrare). Regulamentul nr. 18/2009 dedic un numr impresionant de prevederi stabilirii rolului i responsabilitilor structurii de conducere pe linia controlului intern: Art. 10. - (1) Structura de conducere a unei instituii de credit mam este responsabil pentru stabilirea strategiei i politicilor generale la nivel de grup i la nivelul filialelor, precum i pentru determinarea structurii de administrare a filialelor care contribuie cel mai bine la exercitarea funciei de supraveghere la nivelul grupului. (2) n cazul unei instituii de credit filial, structura de conducere a acesteia trebuie s aib n vedere obiectivele de afaceri, profilul de risc i politicile stabilite de ctre structura de conducere a instituiei-mam. (3) n cazul n care instituia de credit este filial a unei instituii strine, structura de conducere a instituiei de credit filial este responsabil pentru implementarea corespunztoare a strategiilor i a politicilor stabilite de ctre instituia-mam, cu respectarea obligaiilor impuse de legislaia romn. (4) n cazul n care o instituie de credit desfoar activitate n strintate fie prin intermediul unei sucursale, fie prin intermediul unei filiale, structura de conducere a instituiei de credit este responsabil pentru implementarea corespunztoare a strategiilor i a politicilor stabilite, cu respectarea obligaiilor impuse de legislaia din ara n care respectiva sucursal sau filial i desfoar activitatea. Art. 11. - Organele cu funcie de conducere ale unei instituii de credit trebuie s se asigure c strategiile i politicile, inclusiv orice modificare a acestora, sunt cuprinse n ghiduri scrise, manuale sau alte documente i sunt comunicate personalului instituiei de credit n funcie de responsabilitile deinute cel puin pn la nivelul necesar pentru ndeplinirea atribuiilor specifice. Art. 12. - (1) Structura de conducere a unei instituii de credit trebuie s revizuiasc n mod sistematic i regulat, cel puin o dat pe an, strategiile i politicile privind administrarea riscurilor respectivei instituii de credit, pentru a reflecta modificrile factorilor interni i externi, avnd n vedere, n special, modificrile mediului macroeconomic n care instituia de credit i desfoar activitatea i poziia n cadrul ciclului economic. (2) Pentru dezvoltarea i meninerea unor bune practici de administrare a activitii, organele cu funcie de supraveghere ale unei instituii de credit pot constitui un comitet care
35
Audit Bancar
MSBANK
36
s le asiste n ndeplinirea atribuiilor ce le revin pe linia administrrii riscurilor, cum ar fi un comitet de administrare a riscurilor, i trebuie s constituie un comitet care s le asiste n ndeplinirea atribuiilor ce le revin pe linia auditului - comitetul de audit. Art. 13. - (1) Structura de conducere a unei instituii de credit trebuie s dezvolte i s menin un sistem solid de control intern. (2) n sensul alin. (1), structura de conducere a unei instituii de credit trebuie s organizeze funcia de administrare a riscurilor, funcia de conformitate i funcia de audit intern, potrivit prevederilor seciunii a 3-a din prezentul capitol. Art. 14. - (1) Structura de conducere a unei instituii de credit trebuie s se asigure c sistemul de control intern prevede o separare adecvat a atribuiilor, avnd ca scop prevenirea conflictelor de interese - de exemplu, responsabiliti duale ale unei persoane n domenii cum ar fi: acionarea n front office i back office, aprobarea tragerii fondurilor i tragerea efectiv, evaluarea documentaiei de credit i monitorizarea clientului dup contractarea creditului. Domeniile care pot fi afectate de poteniale conflicte de interese trebuie s fie identificate i supuse unei monitorizri independente exercitate de persoane neimplicate direct n activitile respective, a cror informare este efectuat pe baza unor linii de raportare stabilite n mod corespunztor. (2) n sensul alin. (1), n procesul de concepere a sistemului de control intern, structura de conducere trebuie s se asigure c exist un proces decizional clar, transparent i formalizat i o alocare clar a responsabilitilor i a competenei, astfel nct s se asigure conformitatea cu deciziile i procedurile interne. (3) Mecanismele de control intern dezvoltate de structura de conducere trebuie s fie adecvate activitii desfurate de instituia de credit i trebuie s cuprind proceduri de administrare i contabile riguroase. (4) Organele cu funcie de supraveghere trebuie s asigure c organele cu funcie de conducere implementeaz politici i proceduri destinate s promoveze integritatea i comportamentul profesionist. n acest sens se pot avea n vedere, spre exemplu, stabilirea unor standarde de etic, coduri de conduit. (5) Organele cu funcie de supraveghere trebuie s asigure c organele cu funcie de conducere implementeaz politici care interzic sau, dup caz, limiteaz n mod adecvat activitile, relaiile sau situaiile care ar putea reduce calitatea cadrului de administrare, cum ar fi: conflicte de interese, acordarea de credite salariailor, membrilor structurii de conducere sau acionarilor, oferirea unui tratament preferenial persoanelor aflate n relaii speciale.
36
Audit Bancar
MSBANK
37
(6) Politicile stabilite de structura de conducere trebuie s asigure c activitile care pot da natere la conflicte de interese sunt desfurate cu un grad suficient de independen unele fa de altele - de exemplu, prin stabilirea unor bariere n calea circulaiei informaiilor ntre diferite activiti, stabilirea de linii de raportare i controale interne separate. Art. 15. - (1) Organele cu funcie de supraveghere sunt responsabile pentru supravegherea activitii organelor cu funcie de conducere i conformitii respectivei activiti cu strategiile i politicile stabilite de structura de conducere. (2) Organele cu funcie de conducere ale unei instituii de credit sunt responsabile de implementarea strategiilor i politicilor stabilite de structura de conducere. (3) Organele cu funcie de conducere sunt responsabile pentru delegarea atribuiilor ctre persoanele cu funcie de conducere de nivel mediu din cadrul instituiei de credit i pentru supravegherea modului n care sunt exercitate responsabilitile delegate, rmnnd responsabile fa de organele cu funcie de supraveghere pentru performana instituiei de credit. Art. 16. - (1) Structura de conducere a unei instituii de credit trebuie s stabileasc strategii i politici eficace pentru a menine, pe o baz continu, un nivel, o structur i o distribuire att a capitalului rezultat n urma aplicrii procesului intern de evaluare a adecvrii capitalului la riscuri - capital intern -, ct i a fondurilor proprii, corespunztoare pentru acoperirea riscurilor la care este supus instituia de credit, aa cum este prevzut la cap. III. (2) n sensul alin. (1), structura de conducere a unei instituii de credit trebuie s asigure c strategiile i politicile aferente att capitalului intern, ct i fondurilor proprii sunt cuprinztoare i proporionale cu natura, extinderea i complexitatea activitii desfurate, c documentaia specific tipurile de fonduri proprii care pot fi utilizate i, dup caz, c distribuirea fondurilor proprii n cadrul grupului din care face parte instituia de credit este n conformitate cu cerinele legale privind alocarea capitalului ctre filiale. (3) Structura de conducere a unei instituii de credit poate stabili o componen a capitalului intern care s fie diferit de cea a capitalului stabilit prin reglementri de Banca Naional a Romniei. Art. 17. - (1) Structura de conducere a unei instituii de credit trebuie s monitorizeze i s evalueze periodic eficacitatea cadrului de administrare a activitii instituiei de credit. (2) n sensul alin. (1), cel puin o dat pe an, structura de conducere a unei instituii de credit trebuie s revizuiasc i, dac este necesar, s modifice politicile referitoare la
37
Audit Bancar
MSBANK
38
cadrul de administrare a activitii instituiei de credit, aa cum este acesta prevzut n prezentul regulament. (3) n sensul alin. (1), cel puin o dat pe an, structura de conducere a instituiei de credit trebuie s revizuiasc cadrul de administrare a activitii instituiei de credit, pentru a ine cont de orice schimbare a factorilor interni i externi care afecteaz instituia de credit. Art. 18. - (1) Structura de conducere a unei instituii de credit trebuie s fie activ i independent i s fie n msur s explice deciziile sale Bncii Naionale a Romniei i altor pri interesate care au dreptul s obin astfel de informaii. (2) n sensul alin. (1), membrii structurii de conducere a instituiei de credit trebuie s aib independena de a lua cele mai bune decizii n interesul instituiei de credit, bazate att pe informaiile primite, ct i pe orice factori relevani pentru luarea deciziilor. (3) Membrii structurii de conducere a unei instituii de credit trebuie s aib o nelegere clar a rolului lor i trebuie s fie capabili s emit propriile raionamente profesionale care s fundamenteze deciziile luate. (4) Structura de conducere are responsabilitatea final pentru operaiunile i soliditatea financiar ale instituiilor de credit. (5) n sensul alin. (4), n plus fa de responsabilitile prevzute n prezentul regulament, membrii structurii de conducere trebuie cel puin: a) s neleag i s i ndeplineasc rolul de supraveghere, inclusiv prin nelegerea profilului de risc al instituiei de credit; b) s aprobe strategia de afaceri general a instituiei de credit, inclusiv politica general de risc i procedurile de administrare a riscului; c) s evite conflictele de interese; d) s se abin de la luarea unor decizii n raport cu care se afl n situaia de conflict de interese; e) s aloce timp suficient pentru ndeplinirea responsabilitilor ce le revin; f) s dein experien adecvat, cu luarea n considerare a creterii dimensiunilor i complexitii instituiei de credit; g) s evalueze periodic eficacitatea practicilor de administrare a activitii i s procedeze la modificarea acestora n situaia n care rezultatele analizei cer aceasta; h) s promoveze operarea n condiii de siguran i soliditatea instituiei de credit, s neleag cadrul de reglementare aplicabil acesteia i s asigure c instituia de credit menine o relaie eficient cu autoritile de supraveghere;
38
Audit Bancar
MSBANK
39
i) s evite implicarea organelor cu funcie de supraveghere n conducerea de zi cu zi a instituiei de credit. Art. 19. - (1) Structura de conducere a instituiei de credit trebuie s asigure c politicile i practicile de remunerare a personalului instituiei de credit, inclusiv a membrilor organelor de supraveghere i a membrilor organelor de conducere, corespund culturii instituiei de credit, obiectivelor i strategiei pe termen lung, precum i mediului de control al acesteia. (2) n sensul alin. (1), politica de remunerare a instituiei de credit nu trebuie s ncurajeze asumarea excesiv a riscurilor. (3) Politica de remunerare a unei instituii de credit trebuie s fie accesibil tuturor angajailor, iar procesul de evaluare a personalului trebuie s fie formalizat n mod corespunztor i trebuie s fie transparent pentru angajai. (4) Structura de conducere a unei instituii de credit trebuie s aprobe principiile politicii generale de remunerare a instituiei de credit, iar organele cu funcie de supraveghere trebuie s asigure supravegherea aplicrii acestora. (5) n sensul alin. (4), organele cu funcie de supraveghere pot constitui un comitet care s le asiste, format n totalitate sau n majoritate din membri neexecutivi ai consiliului de administraie, n cazul instituiilor de credit care au adoptat sistemul unitar de administrare, i din membri ai consiliului de supraveghere, n cazul instituiilor de credit care au adoptat sistemul dualist de administrare. (6) Implementarea politicii de remunerare a unei instituii de credit trebuie s fac obiectul unei evaluri independente i periodice, cel puin anual, conferindu-se o atenie special prevenirii acordrii de stimulente pentru asumarea excesiv a riscurilor i pentru alte comportamente adverse. (7) n cazul n care acordarea de stimulente este corelat cu performana, remunerarea trebuie s aib n vedere att performana individual, ct i pe cea colectiv. (8) n sensul alin. (7), la definirea performanei individuale trebuie s fie luai n considerare i factori care sunt diferii de performana financiar, cum ar fi cunotinele acumulate/calificrile obinute, dezvoltarea personal, conformarea cu sistemele i controalele instituiei de credit, implicarea n strategiile de afaceri i n politicile semnificative ale instituiei de credit i contribuia la performana echipei. (9) Msurarea performanei, ca baz pentru acordarea bonusurilor, trebuie s includ ajustri pentru riscuri, inclusiv pentru riscul de lichiditate, i costul capitalului.
39
Audit Bancar
MSBANK
40
(10) Remunerarea membrilor neexecutivi ai consiliului de administraie, n cazul instituiilor de credit care au adoptat sistemul unitar de administrare, i a membrilor consiliului de supraveghere, n cazul instituiilor de credit care au adoptat sistemul dualist de administrare, nu trebuie corelat ntr-un mod necorespunztor cu performana pe termen scurt a instituiei de credit. (11) n situaia n care membrii organelor cu funcie de conducere sunt eligibili pentru acordarea de stimulente corelate cu performana instituiei de credit, nivelul remunerrii acestora trebuie s fac obiectul unor condiii relevante i obiective i nu trebuie corelat n mod excesiv cu performana pe termen scurt a instituiei de credit. (12) Instituiile de credit trebuie s asigure un raport rezonabil ntre remuneraia de baz i bonusuri. n cazul n care este pltit un bonus semnificativ, bonusul nu trebuie s fie numai o plat n numerar direct, ci trebuie s conin i o component flexibil, amnat, cum ar fi aciuni, opiuni sau alte fonduri. (13) n sensul alin. (12), componenta amnat a bonusului trebuie s fie corelat cu performana viitoare a unei instituii de credit n cadrul unui orizont de timp rezonabil. Art. 20. - (1) Structura de conducere a unei instituii de credit trebuie s dispun de politici privind selectarea, remunerarea, monitorizarea i planificarea succesiunii persoanelor cu funcii-cheie de execuie. (2) n sensul alin. (1), trebuie s se asigure c persoanele care dein funcii-cheie de execuie au calificarea i experiena necesare pentru ndeplinirea atribuiilor ce le revin, iar schemele de remunerare trebuie stabilite ntr-un mod care s evite ncurajarea asumrii imprudente a riscurilor sau maximizarea profiturilor pe termen scurt. (3) n sensul alin. (2), structura de conducere trebuie s stabileasc criterii clare pentru evaluarea calificrii i experienei persoanelor cu funcii-cheie de execuie. Art. 21. - (1) Structura de conducere a unei instituii de credit trebuie s promoveze standarde profesionale i de etic ridicate, precum i o cultur privind controlul intern, a cror implementare n cadrul ntregii instituii de credit s contribuie la diminuarea riscurilor la care aceasta este expus. (2) n sensul alin. (1), structura de conducere a unei instituii de credit trebuie s dispun de politici clare legate de modul n care aceste standarde trebuie ndeplinite, a cror implementare trebuie s fie revizuit n mod continuu.
2.2. Identificarea i evaluarea riscurilor

40
Audit Bancar
MSBANK
41
Din punctul de vedere al controlului intern, n identificarea i evaluarea riscurilor trebuie s fie analizai att factorii interni (complexitatea structurii organizatorice, natura activitilor bncii, modificri organizatorice, calitatea personalului i fluctuaia acestuia etc), ct i factorii externi (fluctuaii n mediul economic, modificri n mediul concurenial bancar, nnoirea tehnologic etc) care pot avea un impact negativ asupra atingerii intelor de performan i asupra atingerii obiectivelor controlului intern. Acest demers se deosebete de procesul de gestionare a riscurilor, axat de obicei, pe strategii pentru gsirea cii de mijloc ntre profit i risc n diferite domenii ale bncii, i are ca obiectiv asigurarea concordanei controlului intern al bncii cu natura, complexitatea i riscurile activitii desfurate de aceasta. Identificarea i evaluarea riscurilor trebuie s acopere toate riscurile cu care banca se confrunt att la nivel de ansamblu al bncii, ct i la toate nivelurile organizatorice ale acesteia. Procesul trebuie s aib un caracter continuu, adic s aib n vedere att riscurile ataate activitilor prezente, ct i pe cele aduse de apariia unor noi activiti sau cele nou aprute/determinate n legtur cu operaiunile deja derulate, iar procedurile de control trebuie modificate astfel nct s se adapteze la riscurile nou aprute. De exemplu, n cazul apariiei unui nou produs, banca trebuie s analizeze noul instrument financiar i tranzaciile de pia asociate i s evalueze riscurile implicate. Determinarea ntregii diversiti de probleme ce nsoete adoptarea unui nou produs (adesea fcut prin metoda scenariilor) trebuie s-i gseasc contraponderea n msuri adecvate de control. Procesul de evaluare a riscurilor se adreseaz att aspectelor cuantificabile, ct i aspectelor necuantificabile ale riscurilor i trebuie s pun n balan costul implicat de controlul riscurilor i beneficiile pe care acesta le poate aduce. Totodat, acest proces include i determinarea caracterului controlabil sau necontrolabil al riscurilor; n ceea ce privete riscurile controlabile, banca trebuie s stabileasc dac accept acele riscuri sau modul n care le contracareaz prin msuri de control; n cazul riscurilor care nu pot fi controlate, banca trebuie s decid dac le accept, dac le elimin sau dac reduce nivelul activitilor afectate de riscurile respective. Regulamentul 18/2009 impune ca evaluarea riscurilor s se realizeze de ctre specialiti din cadrul bncii care nu au responsabiliti n realizarea performanei comerciale i financiare, pentru a nu permite apariia unei situaii de conflict de interese, dar aceasta presupune ca specialitii care fac evaluarea s aib experien relevant n derularea activitilor ce fac obiectul evalurii riscurilor.
41
Audit Bancar
MSBANK
42
n practic s-a observat c managementul bncilor nclin, de multe ori, n favoarea unor operaiuni cu randament ridicat, fr a evalua corect riscurile asociate acestor tranzacii i nu aloc suficiente resurse pentru a monitoriza i evalua expunerile la risc. Totodat, s-a constatat c multe dintre pierderile nregistrate s-au datorat neactualizrii procesului de evaluare a riscurilor odat cu schimbarea mediului de afaceri. 2.3. Activitile de control i separarea atribuiilor Activitile de control intern trebuie astfel concepute i derulate nct s asigure acoperirea riscurilor identificate i evaluate, ca parte integrant a activitilor zilnice. Activitile de control trebuie definite pentru fiecare nivel organizatoric al bncilor i implic dou etape: stabilirea politicilor i procedurilor de control i verificarea respectrii politicilor i procedurilor de control. Activitile de control implic personalul de la toate nivelurile, ncepnd cu consiliul de administraie i terminnd cu personalul de execuie: consiliul de administraie i conductorii bncii solicit adesea prezentri i rapoarte despre performan pentru a analiza progresul fcut de ctre instituie ctre realizarea obiectivelor sale. De exemplu, pot fi cerute rapoarte referitoare la realizarea bugetului de venituri i cheltuieli, iar analizarea acestora, mpreun cu conducerea departamentelor poate duce la detectarea unor deficiene de control, a unor erori n raportrile financiare sau a unor activiti frauduloase; la nivelul compartimentelor sau sediilor secundare ale bncii se pot face analize operative zilnice, sptmnale sau lunare; controale faptice, care se refer la restricionarea accesului la active precum titluri sau numerar, restricionarea accesului la conturile clienilor etc.; analiza ncadrrii n limitele impuse expunerilor la risc i urmrirea modului n care sunt soluionate situaiile de neconformitate. Stabilirea unor limite prudente expunerilor la risc reprezint un aspect important al gestionrii riscului; ncadrarea n anumite limite pe debitori sau pe alte contrapartide reduce concentrarea de risc a bncii i contribuie la diversificarea profilului de risc al acesteia. Prin urmare, un aspect important al activitii de control este urmrirea ncadrrii n aceste limite.
42
Audit Bancar
MSBANK
43
aprobri i autorizri solicitarea aprobrii sau autorizrii unor tranzacii ce depesc anumite limite de sum are rolul de a asigura controlul asupra realizrii operaiunilor respective de ctre nivelul de conducere competent i de a stabili responsabilitile; verificri i reconcilieri constau n verificri ale detaliilor tranzaciilor ntre diferite structuri organizatorice (de exemplu, ntre cei care iniiaz tranzaciile front office i cei care nregistreaz i monitorizeaz tranzaciile back office) sau n compararea cash flow-urilor cu extrasele de cont, n vederea asigurrii concordanei i efectuarea coreciilor necesare. Rezultatele acestor verificri i reconcilieri trebuie raportate nivelului de conducere competent. Activitile de control sunt mai eficiente dac sunt privite ca parte integrant a
activitilor zilnice i nu ca o aciuni adiionale, de o importan mai mic. Desfurate n aceast manier, activitile de control dau posibilitatea gsirii unor soluii rapide la modificarea condiiilor de lucru i duc la evitarea costurilor suplimentare. Structura de conducere are nu numai sarcina de a stabili politici i proceduri de control, ci i de a urmri respectarea acestora la toate nivelurile i de a urmri gradul de adecvare a acestora la modificrile din activitatea bncii, iar pentru realizarea acestor deziderate are la ndemn un instrument special auditul intern. Un sistem de control intern eficient cere s existe o separare corespunztoare a atribuiilor i ca personalului s nu-i fie alocate responsabiliti care s duc la conflicte de interese. Ariile cu poteniale conflicte de interese trebuie identificate, minimizate i monitorizate atent de ctre personal independent.38 Din analiza pierderilor determinate de lipsa controlului, autoritile de supraveghere au concluzionat c una dintre cauzele majore o reprezint lipsa unei separri adecvate a atribuiilor. Astfel, alocarea unor atribuii aflate n relaie conflictual unei singure persoane (de exemplu, responsabiliti att n front office, ct i n back office n zona de tranzacionare) d acelei persoane acces la active de valoare i la posibilitatea de a manipula informaiile financiare n folos personal sau de a ascunde pierderile. Prin urmare, unele atribuii ar trebui s fie mprite, pe ct posibil, ntre mai multe persoane, pentru a se reduce riscul manipulrii de date financiare sau al nsuirii ilicite a unor active.
38
Principiul 6, Framework for internal control systems in banking organisations, Basle Committee on Banking Supervision, Basle, septembrie 1998
43
Audit Bancar
MSBANK
44
Separarea atribuiilor nu se limiteaz numai la controlul exercitat de o singur persoan att n front office, ct i n back office, ci este o cerin valabil i pentru alte domenii, cum ar fi: aprobarea utilizrii fondurilor i tragerea efectiv a acestora; acces la conturi ale clienilor i la conturile bncii; analiza documentaiilor de credit i monitorizarea creditului dup acordarea acestuia.
Prin urmare, este necesar nu numai identificarea i monitorizarea zonelor cu conflict de interese potenial, dar i revizuirea periodic a responsabilitilor i funciilor persoanelor cheie din banc, pentru ca acetia s nu se afle n poziia de a acoperi deficienele. 2.4. Informare i comunicare Informarea adecvat i comunicarea efectiv sunt eseniale pentru funcionarea corespunztoare a sistemului de control intern. Din perspectiva unei bnci, pentru ca informaiile s fie utile, acestea trebuie s fie relevante, de ncredere, accesibile, s fie furnizate la timp i ntr-un format constant n timp. Informaiile se refer att la cele interne, financiare, operaionale i de conformitate, dar i la cele externe, referitoare la evenimente i mprejurri relevante pentru luarea deciziilor n cadrul bncii. Procesul de luare a deciziilor de ctre conducere poate fi afectat de lipsa de ncredere n informaiile sau de informaiile eronate furnizate de un sistem informaional care nu este bine proiectat i controlat. O component critic a activitilor unei bnci o constituie stabilirea i meninerea unui sistem de gestiune a informaiilor (obinute att electronic, ct i prin mijloace neelectronice) care s acopere toate domeniile bncii. Acest sistem trebuie s conin i proceduri privind securitatea informaiilor, respectiv mijloace de prevenire a dezvluirii informaiilor secrete sau confideniale sau de prevenire a folosirii informaiilor de ctre personalul instituiei pentru obinerea unor beneficii personale, care ar putea prejudicia banca att din punct de vedere material, ct i reputaional. Sistemele informatice din cadrul sistemului informaional trebuie s rspund acelorai cerine de securitate a informaiei, att n sensul menionat mai nainte, ct i n sensul asigurrii unor informaii relevante, de ncredere i al asigurrii funcionrii fr ntreruperi. Avnd n vedere riscurile implicate de obinerea, manipularea i pstrarea informaiilor obinute prin sistemul informatic, bncile trebuie s acorde atenie cerinelor
44
Audit Bancar
MSBANK
45
organizatorice i de control intern legate de procesarea informaiei n form electronic, precum i celor referitoare la pstrarea probelor de audit intern. O prim cerin n acest sens se refer la monitorizarea sistemelor informatice de ctre o structur organizatoric separat de cea care le utilizeaz, ca o aplicare a principiului separrii atribuiilor pentru evitarea apariiei unor situaii de conflict de interese. n ceea ce privete controlul, acesta trebuie s aib n vedere att sistemul informatic ca ntreg, ct i fiecare aplicaie informatic din componena acestuia. Controalele generale vizeaz intreaga infrastructur hardware i de comunicaii a sistemelor informatice (sisteme mainframe, sisteme client/server, routere, echipamente de reea, staii de lucru ale utilizatorilor finali), precum i asupra sistemelor de operare, avnd ca scop asigurarea funcionrii continue i corespunztoare a acestora. Controalele generale includ stabilirea i aplicarea unei strategii de informatizare, a procedurilor interne de salvare i restaurare a datelor, a politicilor de efectuare a achiziiilor, a procedurilor de dezvoltare a aplicaiilor informatice, a procedurilor de administrare i ntreinere, precum i a politicilor de securitate viznd accesul fizic i logic la resursele sistemului informatic. Controalele efectuate la nivelul aplicaiilor informatice se realizeaz att prin cuprinderea unor etape de validare i control n cadrul aplicaiei informatice, ct i proceduri manuale de verificare a modului de procesare a tranzaciilor i efectuarea operaiunilor. n lipsa unor proceduri adecvate de control asupra sistemelor informatice (inclusiv a celor n curs de implementare, de dezvoltare), bncile pot nregistra pierderi de date sau de programe datorit unor proceduri necorespunztoare privind securitatea fizic i electronic, datorit avarierii echipamentelor i disfunciilor sau datorit unor proceduri de rezerv sau de recuperare a datelor dezvoltate intern i neadecvate. Pe lng riscurile i controalele ataate la care s-a fcut referire mai sus, exist i riscuri datorate unor factori externi, n afara posibilitilor de control al bncilor (riscul de producere a unor calamiti naturale, de exemplu). Pentru asigurarea mpotriva acestor riscuri, bncile trebuie s elaboreze planuri alternative (de rezerv) care s le asigure continuitatea funcionrii. Dei bazate pe replicarea sistemelor critice fie prin existena unor sisteme de rezerv ntr-o alt locaie a bncii, fie prin intermediul unui furnizor extern de servicii (deci, pe asigurarea continuitii funcionrii sistemelor informatice), aceste planuri de urgen trebuie s implice toate elementele care in de buna desfurare a operaiunilor. Totodat, pentru asigurarea funcionrii i disponibilitii acestor sisteme de rezerv este necesar testarea lor periodic.
45
Audit Bancar
MSBANK
46
Un alt aspect deosebit de important legat de informaie l reprezint comunicarea, cea care d valoare informaiei. Conducerea bncii trebuie s stabileasc unele ci de comunicare pentru ca informaiile s ajung n timp util la oamenii care au nevoie de acestea. Aceste informaii se refer att la politici i proceduri ale bncii, ct i la cele legate de performana bncii. Personalul trebuie s cunoasc procedurile i politicile bncii, n general, i pe cele care au implicaii asupra atribuiilor i responsabilitilor sale, n special. Totodat, personalul trebuie s aib n permanen imaginea progresului fcut pe calea atingerii obiectivelor instituiei pentru a contientiza efectele activitii sale. Structura organizatoric a bncii trebuie s faciliteze diseminarea informaiilor de sus n jos, de jos n sus i pe orizontal. Prin aceste fluxuri de informaii, consiliul de administraie cunoate riscurile incumbate de activitile derulate de banc i performana instituiei, iar conducerea operativ i personalul operativ iau cunotin de strategia, politicile i procedurile bncii. Totodat, comunicarea pe orizontal ntre diferite structuri organizatorice d posibilitatea ca informaia intrat pe o poart de acces s poat fi cunoscut i de alte departamente afectate de informaia primit. 2.5. Activitile de monitorizare i de corectare a deficienelor Avnd n vedere faptul c industria bancar este dinamic, bncile trebuie s monitorizeze i s evalueze continuu sistemul de control intern, ca urmare a modificrii condiiilor interne i externe, i trebuie s ntreasc acest sistem pentru a-I menine eficiena. Monitorizarea sistemului de control trebuie s fie fcut att de personalul operativ, ct i de cel din cadrul controlului financiar i din cadrul auditului intern. Pentru ca aceast funcie s nu fie acoperit numai la nivel teoretic, conducerea bncii trebuie s stabileasc clar persoanele n sarcina crora cad atribuiile de monitorizare. Banca Naional a Romniei opineaz c monitorizarea sistemului intern de control trebuie s fie efectuat att de personalul responsabil pentru fiecare structur a instituiei de credit, ct i de auditul intern Monitorizarea sistemului de control intern are att o component zilnic, ct i una periodic, de evaluare separat a procesului de control privit n ansamblu. Monitorizarea pe baz zilnic ofer avantajul detectrii i corectrii rapide a deficienelor din sistemul de control intern, dar eficiena sa depinde de integrarea sistemului de control intern n mediul operaional bancar i de rapoartele de control generate. Spre deosebire de aceasta, evaluarea periodic este menit s ofere o imagine a eficacitii ntregului sistem de control intern i a activitii de monitorizare i cade att n sarcina personalului responsabil pentru fiecare
46
Audit Bancar
MSBANK
47
compartiment i sediu secundar (autoevaluare), ct i a auditului intern. n ceea ce privete periodicitatea acestor evaluri, Banca Naional a Romniei se raliaz prerii Comitetului de la Basel care consider c parametrii care determin frecvena monitorizrii unei activiti sunt riscurile implicate de acea activitate i natura i frecvena schimbrilor din activitatea respectiv. Rezultatele monitorizrii i, n special, deficienele constatate trebuie s fie aduse imediat la cunotina nivelului de conducere competent s ia msuri corective, iar cele majore trebuie raportate conducerii bncii i consiliului de administraie. Reglementarea BNR subliniaz faptul c responsabilitatea de a stabili un sistem de detectare a deficienelor sistemului de control intern i de a ntreprinde msuri pentru soluionarea deficienelor revine conductorilor bncilor, care, n realizarea acestei atribuii, se bazeaz pe auditul intern. Multe bnci au nregistrat pierderi datorit lipsei de monitorizare efectiv a sistemului de control intern; adesea aceste sisteme nu au avut procese de monitorizare continu, iar evalurile separate realizate fie nu erau adecvate, fie nu erau urmrite adecvat de ctre conducere. n unele cazuri, absena monitorizrii a nceput cu lipsa de atenie i de reacie la informaiile zilnice primite de ctre conducere referitoare la aspecte neuzuale ale activitii (de exemplu, depiri ale limitelor de expunere, lipsa de situaii financiare ale debitorilor etc). ntr-o banc, pierderile din activitatea de tranzacionare erau nregistrate ntr-un cont fictiv de client; dac banca ar fi avut o procedur prin care extrasul de cont s fi fost trimis lunar prin pot clientului, iar clientul s confirme soldul contului, aceste pierderi ar fi putut fi detectate nainte s produc probleme majore bncii. n alte cazuri, activitatea sau divizia bncii care a cauzat pierderi masive avea numeroase caracteristici ce indicau un nivel crescut al riscului, cum ar fi un nivel neobinuit al profitului sau creterea rapid a unei activiti aflate la distan mare de central sau de compania-mam. Datorit unei lipse de evaluare a riscurilor, bncile respective nu au alocat suficiente resurse suplimentare pentru a controla i monitoriza activitile cu risc ridicat. De fapt, n unele cazuri, activitile cu risc ridicat erau derulate cu mai puin supraveghere dect cele cu profil de risc mai sczut, iar conducerea nu a reacionat cum trebuia la observaiile fcute de auditorii externi i interni. Auditul intern nu a fost eficient n multe cazuri, prin combinarea a trei factori: realizarea unor audituri treptate, lipsa unei depline nelegeri a activitii bncii i urmrirea neadecvat a unor probleme. Auditul fragmentat a rezultat din structurarea programelor de
47
Audit Bancar
MSBANK
48
audit intern ca serii de angajamente separate pe unele activiti din cadrul aceluiai departament sau din cadrul bncii. Deoarece procesul de audit era fragmentat, activitatea nu era bine neleas de ctre personalul departamentului de audit. Dac acesta ar fi fost altfel organizat, permind auditorilor s urmreasc procese i funcii de la nceput la sfrit (de exemplu, urmrirea unei tranzacii de la iniiere pn la raportare) le-ar fi permis s neleag mai bine. n plus, ar fi dat oportunitatea de a verifica i testa adecvarea controlului n fiecare etap a procesului. n alte cazuri, pregtirea necorespunztoare a personalului de la departamentul de audit intern n domeniul de marketing, sistem informatic i alte arii sofisticate a contribuit la problemele auditului intern. Deoarece personalul nu a avut expertiza necesar, a ezitat n a pune ntrebri n cazul unor suspiciuni, iar dac a pus ntrebri, a acceptat orice rspuns primit, ca atare. Auditul intern poate s se dovedeasc ineficient i atunci cnd conducerea nu urmrete problemele identificate de auditori, fie datorit lipsei de consideraie acordat acestei activiti, fie datorit faptului c nu urmrete prin rapoarte periodice progresul fcut n rezolvarea problemelor sesizate. 3. Evaluarea sistemelor de control intern de ctre autoritile de supraveghere Dei consiliul de administraie i conducerea bncii poart responsabilitatea dezvoltrii i meninerii unui sistem de control intern eficient, autoritile de supraveghere trebuie s evalueze adecvarea sistemului de control intern al unei bnci n funcie de profilul de risc al acesteia i atenia dat de ctre conducerea bncilor problemelor semnalate de sistemul de control intern. Evaluarea realizat de autoritatea de supraveghere trebuie s se refere nu numai la ntreg sistemul de control intern, dar i la controlul exercitat n anumite zone de activitate cu risc ridicat, cum ar fi zone caracterizate printr-o profitabilitate neobinuit, cretere rapid, noi produse bancare sau zone deprtate fizic fa de sediul central. Totodat, o atenie deosebit trebuie acordat zonelor care n trecut au fost asociate cu deficiene ale sistemului de control intern i cu pierderi determinate de aceste deficiene. Autoritatea de supraveghere trebuie s urmreasc i modificrile care au avut loc n activitatea bncii i modul n care acestea ar fi trebuit s reflecte sau au avut impact asupra sistemului de control intern. Astfel de modificri se refer la schimbri n mediul bancar i economic, angajarea de personal nou, sisteme informaionale noi, activiti sau domenii ce
48
Audit Bancar
MSBANK
49
nregistreaz o cretere rapid, introducerea de noi tehnologii, de noi produse, restructurri sau reorganizri, expansiunea operaiunilor n strintate. Pentru a evalua calitatea controlului intern, autoritile de supraveghere pot avea mai multe abordri. Astfel, acestea pot evalua activitatea departamentului de audit intern al bncii, pe baza analizei documentelor produse, a metodologiei folosite pentru a identifica, msura, monitoriza i controla riscul. n cazul n care calitatea activitii departamentului de audit intern este satisfctoare, autoritatea de supraveghere poate utiliza rapoartele auditorilor interni ca baz pentru identificarea problemelor de control ale bncii sau pentru a identifica ariile cu risc potenial pe care auditorii interni nu le-au evaluat recent. Unele autoriti de supraveghere folosesc procesul de autoevaluare prin care conducerea bncii analizeaz procedurile de control pe fiecare activitate n parte i certific faptul c acestea sunt adecvate. Ali supraveghetori pot solicita auditarea extern periodic a anumitor domenii, pentru anumite scopuri. n final, autoritile de supraveghere pot combina modalitile descrise mai nainte cu propriile lor evaluri i examinri, la faa locului, a controlului intern. Evalurile la faa locului includ att o evaluare a activitilor, ct i testarea la nivel de tranzacie pentru a obine o verificare independent a proceselor de control intern ale bncii. Testarea la nivel de tranzacii are n vedere adecvarea i respectarea politicilor, procedurilor i limitelor interne, acurateea i coninutul rapoartelor ctre conducere i a situaiilor financiare, eficacitatea procedurilor de control. Pentru a evalua eficacitatea celor cinci elemente ale controlului intern dintr-o banc, autoritatea de supraveghere trebuie s: identifice obiectivele controlului intern care sunt relevante pentru profilul bncii (creditarea, investiiile, contabilitatea etc); evalueze eficacitatea elementelor controlului intern nu numai prin aprecierea politicilor i procedurilor, dar i a documentaiei, prin discuii cu personalul (pentru a aprecia mediul de lucru) i prin testarea tranzaciilor; discute periodic deficienele identificate i recomandrile fcute pentru remediere cu consiliul de administraie i cu conducerea bncii; aprecieze msurile corective luate i dac au fost luate la timp.
49
Audit Bancar
MSBANK
50
Acolo unde legislaia permite, autoritile de supraveghere pot nlocui astfel de inspecii la faa locului cu analizarea rapoartelor produse de ctre auditorii externi la solicitarea lor. n aceste cazuri, auditorii externi trebuie s evalueze activitatea bncii i s testeze tranzaciile, aa cu s-a specificat mai sus, n cadrul unor angajamente de audit, iar supraveghetorii trebuie s evalueze calitatea auditului extern. Indiferent de abordarea folosit, autoritile de supraveghere trebuie s ia n considerare observaiile i recomandrile fcute de auditorii externi cu privire la eficacitatea controlului intern i s aprecieze modul n care consiliul de administraie a rspuns la ceste observaii i recomandri. Cuvinte cheie Sistemul de control intern Consiliul de Administraie Conductorii Bncii Exerciii i ntrebri 1. Care este rolul consilului de administrare n cadrul sistemului de control intern? 2. Este suficient s existe un sistem solid de control intern n cadrul bncilor pentru a gestiona riscurile? Justificai rspunsul 3. Care sunt etapele de gestiune a riscurilor? 4. Modelai o list de autoevaluare a controlelor asociate activitii unei sucursale. Identificarea riscurilor Evaluarea riscurilor Separarea atribuiilor Informare Comunicare Monitorizare
CAPITOLUL 4
RELAIA DINTRE AUTORITATEA DE SUPRAVEGHERE I AUDITORUL EXTERN
1. Rolul auditorului extern al bncii 2. Rolul autoritii de supraveghere 3. Relaia dintre autoritatea de supraveghere i auditorul extern
1. Rolul auditorului extern al bncii
50
Audit Bancar
MSBANK
51
Obiectivul auditrii situaiilor financiare ale unei bnci de ctre un auditor extern este acela de a avea o opinie a unui auditor independent referitoare la respectarea prevederilor legale n materie. Aceast opinie ntrete credibilitatea situaiilor financiare ale unei bnci, dar nu d garanii cu privire la viabilitatea viitoare a instituiei i nu se refer la eficiena sau eficacitatea cu care conducerea a gestionat activitatea bncii. Prevederile legale referitoare la realizarea situaiilor financiare difer de la ar la ar, iar opiniile auditorilor externi sunt formulate pe baza acestora sau, n cazul n care raportarea pe baza standardelor de contabilitate internaional acceptate este permis n ara respectiv, opinia auditorului extern se bazeaz pe Standardele Internaionale de Contabilitate39. Standardul Internaional de Audit 700, Raportul auditorului cu privire la situaiile financiare40, prevede faptul c auditorii externi trebuie s identifice ara la care se raporteaz (ara unde se afl sediul central al bncii) i legislaia contabil aplicabil, n cazul n care ara respectiv nu a adoptat Standardele Internaionale de Contabilitate. Pentru desfurarea activitii sale, auditorul extern trebuie s dispun de proceduri adecvate astfel nct s reduc riscul de a emite opinii necorespunztoare n cazul n care situaiile financiare ale unei bnci sunt eronate. Dezvoltarea acestor proceduri presupune identificarea i evaluarea prealabil a riscurilor inerente de eroare, dar i a riscului ca sistemele de contabilitate i de control ale unei bnci s nu aib posibiliti de prevenire sau de detectare i corectare a erorilor (riscul de control). Totodat, auditorul extern trebuie s analizeze dac necorelrile din situaiile financiare sunt rezultatul unei erori sau a unei aciuni frauduloase (riscul de fraud). Standardul de Audit 240, Responsabilitatea auditorului n ceea ce privete evaluarea riscului de fraud i de eroare n auditarea situaiilor financiare, enumer factori ai riscului de fraud, a cror prezen poate semnala posibilitatea existenei unei fraude. n aprecierea nivelului de risc inerent, auditorii externi trebuie s in seama de particularitile pe care bncile le au fa de alte companii: lucreaz cu un volum mare de instrumente monetare; au tranzacii internaionale (iniiate ntr-o jurisdicie, nregistrate n alta i gestionate n cu totul alta); au un raport capital/total active sczut, ceea ce le mrete vulnerabilitatea la schimbrile de mediu economic; au active cu valoare variabil i greu de determinat; se angajeaz ntr-o varietate de tranzacii, cu volum i valori mari; opereaz
39
Standardele Internaionale de Contabilitate sunt emise de Comitetul Standardelor de Contabilitate (C.S.I.C.), n care sunt reprezentate 78 de ri. Obiectivul C.S.I.C. este de a promova accepiunea universal a standardelor n prezentarea rapoartelor auditate i a declaraiilor financiare. Vasile Dedu, Gestiune i audit bancar, pag. 326, Editura Economic, Bucureti, 2003 40 Comitetul Internaional al Practicilor de Audit, din cadrul Federaiei Internaionale a Contabililor, emite standarde privind practicile de audit general acceptate. (Idem)
51
Audit Bancar
MSBANK
52
printr-o reea de sucursale i departamente dispersate geografic; tranzaciile pot fi iniiate direct de ctre clieni, fr intervenia salariailor bncii; i asum multe angajamente extrabilaniere; trebuie s se ncadreze n indicatorii de prudenialitate stabilite de organismele de reglementare; au acces la sisteme de pli i decontri; pot emite sau tranzaciona instrumente financiare complexe, dintre care unele trebuie nregistrate la valoarea just etc. Toate aceste aspecte indic existena unui nalt nivel potenial de risc al unei bnci, care ar necesita un audit detaliat al tuturor tranzaciilor. ns extinderea activitii auditorului extern pn la acest nivel ar fi consumatoare de timp, scump i nepractic, de aceea auditorul extern trebuie s se bazeze n demersul su pe evalurile fcute de auditul intern al bncii n ceea ce privete riscul inerent de eroare material, riscul de control i testarea procedurilor de control intern destinate s previn, s detecteze i s corecteze erorile materiale. Astfel, calitatea auditului intern determin natura, perioada i extinderea procedurilor de audit ale auditorilor externi. n aprecierea auditului intern, auditorul extern are n vedere statutul auditului intern, obiectivul acestuia, competena profesional a auditorilor interni i grija profesional cu care acetia i ndeplinesc responsabilitile41. n urma angajamentului de audit, realizat pe baza procedurilor stabilite innd seama de modul de administrare a riscul inerent i de control, auditorul extern trebuie s detecteze neconcordanele evideniate de situaiile financiare ale bncii, la nivel individual sau agregat, care sunt substaniale n raport cu informaia financiar. Materialitatea42 erorilor este legat de influena pe care acestea ar putea s-o aib asupra deciziilor economice pe care utilizatorii le iau pe baza situaiilor financiare ale bncii. Auditorul evalueaz substanialitatea att la nivelul situaiei financiare n ansamblu, ct i n relaie cu anumite conturi i clase de tranzacii. n urma analizei substanialitii diferitelor neconcordane detectate, se stabilesc mai multe niveluri de substanialitate n funcie de aspectul sub care sunt examinate situaiile financiare i de destinatarul opiniei auditorului extern (consiliul de administraie al bncii sau autoritatea de supraveghere). Auditul extern nu garanteaz faptul c toate neconcordanele substaniale vor fi detectate, datorit unor factori precum limitele inerente ale controlului intern, caracterului convingtor i nu concludent al documentaiei puse la dispoziia auditorului extern. Riscul
41
SIA 610 Aprecierea activitii auditului intern, The relationship between banking supervisors and banks exterbal auditors, Basel Committee on Banking Supervision, January 2002 42 Substanialitate materialitate, realitate
52
Audit Bancar
MSBANK
53
nedetectrii unei neconcordane substaniale determinat de fraud este mai ridicat dect cel de nedetectare a unei neconcordane determinat de eroare, deoarece frauda poate implica scheme sofisticate i bine organizate (falsificare, nenregistrarea deliberat a unor tranzacii, neprezentarea sau prezentarea ntr-o anumit manier a unei tranzacii. Mai mult, riscul nedetectrii fraudelor comise la nivelul conducerii bncii este mult mai ridicat dect cel al nedetectrii fraudelor la nivelul personalului de execuie, deoarece membrii consiliului de administraie i ai conducerii executive se prezum a fi integri i se afl n poziii n care pot eluda procedurile normale de control. Prin urmare, auditorul extern i planific i desfoar auditul cu o atitudine de scepticism profesional, recunoscnd c pot exista cazuri care determin existena unor neconcordane substaniale n situaiile financiare. n cazul detectrii unor erori substaniale n cadrul situaiilor financiare, cum ar fi o politic necorespunztoare de conducere a contabilitii, evaluarea neadecvat a unor active, nedezvluirea unor informaii, auditorul extern trebuie s cear conducerii bncilor s ajusteze situaiile i s corecteze erorile. n cazul n care conducerea bncii refuz s acioneze pentru reglarea neconcordanelor sau nu ofer toate informaiile i explicaiile necesare, auditorul extern emite o opinie cu rezerve sau poate chiar refuza emiterea unei opinii. Deoarece un astfel de raport sau lipsa acestuia ar avea efecte serioase asupra credibilitii i chiar asupra stabilitii bncii, conducerea acesteia ia, de obicei, msurile necesare pentru a evita astfel de situaii. Pe lng obiectivul principal al activitii auditorului extern, acesta poate comunica i alte informaii conducerii bncii referitoare la deficiene constatate n controlul intern, informaii eronate etc., dar care nu influeneaz raportul final al acestuia. n unele ri, auditorul extern realizeaz, prin prevederi statutare sau prin convenie, o form lung a raportului su , destinat conducerii bncii sau autoritii de supraveghere, pe probleme legate de componena soldurilor conturilor, de portofoliul supus banca, conformitatea cu reglementri i legi. Auditorul extern are obligaia, n unele ri printre care i Romnia 43, s raporteze prompt autoritii de supraveghere orice fapt care constituie o nclcare a legilor i reglementrilor, care afecteaz capacitatea bncii de a-i continua activitatea sau care conduce la emiterea unei opinii cu rezerve.44
43 44
de credite, lichiditate,
venituri, indicatori financiari, adecvarea sistemului de control intern, riscurile la care este
Art. 61, Legea bancar nr. 58/1998 modificat prin Legea nr. 357/2002 i Legea nr. 485/2003 The relationship between banking supervisors and banks exterbal auditors, Basel Committee on Banking Supervision, January 2002
53
Audit Bancar
MSBANK
54
2. Rolul autoritii de supraveghere Obiectivul principal al supravegherii prudeniale este de a menine stabilitatea i ncrederea n sistemul bancar. n plus, supravegherea este adesea direcionat pe verificarea conformitii cu cu legile i reglementrile ce guverneaz bncile i activitile acestora. Supravegherea bancar ncepe de la procedurile de autorizare a unei bnci menite s dea asigurri referitoare la calitatea acionarilor, a membrilor consiliului de administraie i ai conducerii, la concordana organizrii i controlului intern al bncii cu planul su de afaceri i cu strategiile acesteia, a structurii legale cu cea operaional, la adecvarea capitalului i la lichiditate, la calitatea auditorului financiar. Supravegherea continu este realizat pe baz de recomandri i ndrumri. n pachetul consultativ Noul Acord de la Basel emis n ianuarie 2001, Comitetul de Supraveghere Bancar de la Basel propune un cadru de adecvare a capitalului bazat pe trei piloni complementari: cerinele privind capitalul minim pe cele trei mari categorii de risc: de credit, de pia i operaional; revizuirea procesului de supraveghere a adecvrii capitalului, n care, pe de o parte, bncile evalueaz i urmresc continuu meninerea adecvrii capitalului, n funcie de riscurile prezente i viitoare, iar pe de alt parte, supraveghetorii analizeaz procedurile bncii n domeniu i intervin de timpuriu pentru a apariia unor situaii de neprudenialitate; transparen - publicarea de ctre bnci a informaiilor calitative i cantitative referitoare la capitalul lor i la profilul de risc. Autoritile de supraveghere monitorizeaz i pot limita o serie de riscuri bancare, cum ar fi riscul de credit, riscul de pia, riscul de lichiditate, riscul operaional, riscul legal i reputaional. n acest scop autoritile pot dezvolta sisteme de msurare expunerea la anumite riscuri, pe baza crora stabilesc limite de expunere. De exemplu, Banca Naional a Romniei a prevzut, n Legea bancar nr. 58/1998 cu modificrile ulterioare, limite referitoare la expunerea fa de un singur debitor, la expunerile mari, la expunerile fa de persoanele aflate n relaii speciale cu banca, la activele de genul titlurilor participative, la poziia valutar etc.
54
Audit Bancar
MSBANK
55
Un alt aspect care intr n atenia supraveghetorilor este organizarea i funcionarea sistemului de control intern, n legtur cu care se apreciaz adecvarea la natura, obiectivul i nivelul activitii bncii. Totodat, o mare importan este acordat de autoritile de supraveghere calitii conducerii bncii. Prin inspecii la faa locului, unde dialogurile purtate cu conducerea bncii dau posibilitatea nelegerii planurilor de afaceri i a strategiilor, iar observaiile i contactele cu personalul bncii relev adecvarea personalului, a resurselor materiale i echipamentelor bncii, supraveghetorii pot evalua competena conducerii. O supraveghere eficient se realizeaz pe baza colectrii i analizrii informaiilor despre banc (situaii financiare, raportri), care arat ncadrarea n anumii indicatori de prudenialitate i constituie baza discuiilor cu conducerea bncii. Pentru validarea acestor informaii, autoritile de supraveghere pot folosi fie inspeciile la faa locului, fie auditorii externi ai bncii. Mandatul dat acestora din urm se poate extinde i asupra verificrii adecvrii sistemului de control intern al bncii. n unele ri, pentru a-i ntregi imaginea despre administrarea bncii i sistemul de operare al acesteia, autoritile de supraveghere se ntlnesc periodic cu comitetul de audit i consiliul de administraie, putnd astfel s aprecieze eficacitatea activitii comitetului sau s sprijine banca n rezolvarea unor probleme. 3. Relaia dintre autoritatea de supraveghere i auditorul extern Din cele expuse n acest capitol, se pot identifica unele puncte de tangen ntre cele dou entiti: ndeplinirea cerinelor prevzute de lege de ctre auditorul extern al unei bnci (de experien, independen etc) reprezint unul dintre elementele analizate n cadrul procedurii de autorizare a bncii de ctre organismul de supraveghere; obligaiile ce revin auditorului extern referitoare la raportarea i informarea supraveghetorilor cu privire la unele fapte descoperite n cursul desfurrii angajamentului de auditare a situaiilor financiare ale unei bnci; autoritatea de supraveghere se bazeaz pe certificarea dat de auditorul extern al bncii cu privire la realitatea i corectitudinea informaiilor cuprinse n situaiile financiare ale bncii;
55
Audit Bancar
MSBANK
56
supraveghetorii pot mandata auditorii externi pentru evaluarea calitii controlului intern, a sistemului contabil, a conformitii activitii bncii cu cerinele legale i de reglementare, a adecvrii structurii organizatorice etc att autoritatea de supraveghere, ct i auditorul extern apreciaz calitatea controlului intern n cursul obinuit al activitii lor, chiar dac pentru scopuri diferite; auditorul extern poate folosi informaiile date de supraveghetori pentru a-i realiza atribuiile mai eficient. Se poate concluziona c, pentru meninerea stabilitii sistemului bancar i pentru
ntrirea securitii bncilor n scopul protejrii intereselor deponenilor, autoritatea de supraveghere dispune de un colaborator competent, care i d asigurarea cu privire la credibilitatea situaiilor financiare ale bncilor, i poate semnala aspecte alertante din activitatea bncilor i pe care l poate mputernici s realizeze o parte din munca sa. Avnd n vedere complexitatea crescnd a industriei bancare, obiectivele organismelor de supraveghere i ale auditorilor externi sunt din ce n ce mai greu de atins. Din multe puncte de vedere, ambele tipuri de instituii trebuie s fac fa unor provocri similare i, din ce n ce mai mult, rolurile lor sunt percepute ca fiind complementare. Cooperarea dintre supraveghetori i auditorii externi (care poate mbrca i forma unor ntlniri periodice) face ca procesul de supraveghere s fie mai eficient i mai eficace, iar interesul public general fa de stabilitatea sistemului bancar s fie astfel mai bine slujit. Exerciii i ntrebri 1. Care este rolul auditorului extern n procesul de derulare a activitii unei bnci solide? 2. Atunci cnd o banc i externalizeaz funcia de audit intern, poate aceasta s contracteze aceai firm att pentru activitatea de audit intern ct i pentru auditul extern? Justificai rspunsul. 3. Este important prezena autoritii de supraveghere n cadrul general al unui sistem bancar solid? Justificai rspunsul.
56
Audit Bancar
MSBANK
57
57
Audit Bancar
MSBANK
58
CAPITOLUL 5
1. Prezentare general
AUDITAREA PROCESELOR I TEHNICILOR DE EVALUARE A RISCURILOR
2. Matricea riscurilor, suport pentru stabilirea planului de audit Cuvinte cheie ntrebri i exerciii
1. Prezentare general n contextul dezvoltrii complexitii activitilor bancare, lumea bancar a nceput s contientizeze pericolul apariiei unor noi elemente ce poart un anumit grad de risc de pierdere. Astfel, cercettorii ct i bancherii din ntreaga lume caut soluii fiabile care s-i ajute n demersul lor de a administra riscurile aferente oricrei activiti comerciale dar mai ales celei bancare. n consecin, Comitetul de la Basel care opereaz n cadrul Bncii Reglementrilor Internaionale a emis un numr de recomandri cu privire la administrarea riscurilor n cadrul activitilor bancare, numindu-le generic sub apelativul BASEL urmat de un numr ce reprezint ordinea apariiei. Iniial, Comitetul de la Basel a emis n 1988 principii de administrare a riscului de credit, care ulterior au fost reinute sub denumirea de Basel I. Aici, Comitetul specifica modalitile de administrare a riscului de credit i necesitatea alocrii de capital pentru acoperirea eventualelor pierderi ce ar fi putut avea loc n contextul unei gestionri neadecvate a portofoliului de credite sau a altor active purttoare de risc. Astfel, aceste recomandri au condus bncile la clasificarea activelor sale n funcie de gradul de risc asociat i ponderarea acestora n calculul solvabilitii i pragului minim care trebuie s fie atins. Era foarte bine cunoscut formula:
Capital Risc de credit
> 8%
58
Audit Bancar
MSBANK
59
n demersul lor de a se dezvolta i a evita n mod moral legislaia restrictiv (prin inovaie), bncile au nceput s intre pe pia cu noi instrumente de trezorerie i investiii (instrumente derivative) care incumbau noi tipuri de risc neincluse pn n 1996 n calculul capitalului minim obligatoriu: riscul de pia. Astfel, Comitetul de la Basel s-a adaptat rapid la noile tendine i n 1996 modific BASEL I prin adugarea riscului de pia la calculul capitalului minim obligatoriu.
Capital Risc de credit+Risc de pia
> %
Recent, mai exact ncepnd cu 1999, lumea bancar a adus n discuie introducerea unui concept a crui manifestare este veche i universal dar care nu fusese luat n calculul capitalului minim obligatoriu mai mult din comoditate dect din alte motive, avnd n vedere dificultatea, timpul necesar i tehnicile anevoioase de calcul al su: riscul operaional. De asemenea, avnd n vedere dezvoltarea tehnicilor de calcul ale riscurilor de credit i de pia (internal rating approach, advanced internal rating approach, VaR, etc.), Comitetul a hotrt nlocuirea vechiului BASEL I cu noile descoperiri adunate sub denumirea generic de BASEL II, a crui aplicare va avea loc la nceputul anului 2007. Capital Risc de credit+ Risc de pia+ Risc operaional Astfel, funcia de audit intern trebuie s se adapteze noilor tendine descrise n cadrul acestui nou acord, care reitereaz rolul foarte important al auditului intern n desfurarea adecvat a gestiunii riscurilor din cadrul unei bnci. Aici, Comitetul menioneaz n cadrul celor 10 principii de gestionare a riscului operaional din cadrul bncilor c auditul nu trebuie s se implice efectiv n activitatea de gestiune a riscurilor, ci el trebuie s evalueze dac factorii responsabili aplic principiile i tehnicile adecvate de gestiune i n ultim instan s asiste sau s sftuiasc persoanele responsabile. Este adevrat ns, c tot Comitetul este contient c, atunci cnd avem n discuie o banc mic, s-ar putea s ne ntlnim cu situaia n care auditul intern are n sarcin i gestionarea riscului, dar aceasta nu ar trebui s mai continue, odat ce recomandrile BASEL II intr n vigoare. Trebuie avut n vedere c acest Comitet nu face altceva dect s accentueze meniunile fcute de ctre OECD referitoare la guvernana corporativ (corporate governance) care pune existena funciei independente de 8%
>
59
Audit Bancar
MSBANK
60
audit intern ca o condiie necesar pentru o bun organizare a companiei. Mai jos se poate observa locul auditului n cadrul activitii de gestiune a riscurilor.
Cu alte cuvinte, n activitatea cotidian de auditare a activitilor bancare, auditorul intern se va ghida dup matricea riscurilor implicate (vezi mai jos detalii despre matrice) n respectiva activitate auditat. Dac anumite elemente de risc au fost depistate, atunci auditorul intern trebuie s discute cu responsabilul respectivei activiti semnalndu-i pericolul unei eventuale apariii sau existena acestora i s ofere recomandri n sensul prentmpinrii sau reducerii/eliminrii acestora, rmnnd tot timpul n afara procesului de gestionare, dar evalund periodic stadiul n care se afl implementarea recomandrilor. Avnd n vedere faptul c tehnicile i metodele de gestionare a riscurilor ar trebui s fac parte din cadrul unei alte prezentri care s fie dedicat acestora, autorii o s prezinte doar riscurile care trebuie s fie urmrite i care sunt recunoscute de ctre BASEL II i preluate de ctre BNR n Norma 17/2003.
60
Audit Bancar
MSBANK
61
Astfel, auditorul intern trebuie s observe riscurile ce se pot manifesta la un moment dat n cadrul bncii pe fiecare departament i global, nelimitndu-se doar la un anumit risc care este caracteristic funciunii auditate. De exemplu, n cadrul departamentului de credite, la prima vedere, putem spune c ne vom ntlni doar cu riscul de credit, dat fiind denumirea departamentului care ne trimite la o astfel de abordare. Dar nimic nu este mai fals comparativ cu opinia emis anterior. Aici, vom putea descoperi c i riscul de dobnd, valutar sau chiar i cel operaional ar putea avea manifestri ntr-o msur mai mare sau mai mic. n ceea ce privete riscul operaional, exist o grani foarte sensibil ntre a determina dac o pierdere este aferent riscului operaional sau celui de credit (ex. nerambursarea unui credit pentru c debitorul a prezentat la banc documente false, acest eveniment fiind pus sub umbrela riscului operaional). Pentru a avea n minte ntreaga gam de riscuri ce ar putea s apar la un moment dat n cadrul bncii, schema de mai jos este ct se poate de relevant. Riscuri bancare
Riscuri financiare
Structura bilanului
Risc operaional
Riscul de legislaie
Risc de afacere
Risc de strategie
Riscuri externe
Risc politic
Structura contului de profit si pierdere Solvabilitatea Riscul de credit
Sistemele interne i riscul operaional Riscul de tehnologie
Risc de politici ale organizaiei Infrastructur financiar Risc sistematic (de ar)
Risc de contagiere
Risc de criz bancar Alte riscuri
Conducere i fraud
Riscul de lichiditate
Riscul de dobnd
Riscul de pia
Riscul valutar
2. Matricea riscurilor. Suport pentru stabilirea planului de audit.
61
Audit Bancar
MSBANK
62
n general, la sfritul anului, atunci cnd are loc un bilan al activitii funciei audit intern pentru a stabili dac planul pe anul respectiv a fost ndeplinit i ntocmirea planului de audit pentru anul viitor care va include i eventualele misiuni nerealizate, coordonatorul departamentului de audit intern va ntocmi o matrice de risc pentru fiecare departament care va avea ca rezultat o not. Aceast not va fi comparat cu intervalele prestabilite i ncadrat ntr-unul din ele care va specifica i frecvena auditului pentru respectivul departament (trimestrial, semestrial, anual, o dat la doi ani, trei ani, etc.) Indiferent de departamentul auditat, aceast matrice va trebui s conin printre altele i urmtoarele ntrebri/aspecte: I. ntrebri referitoare la evaluarea riscului. care este semnificaia departamentului auditat n activitatea bncii? ct de mare este probabilitatea ca riscul s creasc sau ca riscuri adiionale s apar datorit modificrilor n cadrul general al activitii/afacerii? exist riscuri adiionale datorit complexitii activitii bncii? a. semnificaia i riscul inerent al departamentului
b. tipuri de risc ct de mare este riscul de credit potenial? ct de mare este riscul de pia potenial? Ct de mare este riscul operaional potenial (fr IT)? Ct de mare este riscul potenial n sfera IT? Ct de mare este riscul potenial generat de participri/ deinerea de imobile?
II. ntrebri referitoare la evaluarea controlului. a. Cadrul general sunt cunoscute n mod adecvat riscurile, controalele i securitatea n rndul membrilor departamentului auditat? Sunt definite clar interfaele cu celelalte uniti/parteneri de outsourcing? Sunt definite clar responsabilitile conducerii? Sunt adecvate numrul, calificarea i experiena personalului n legtur cu activitatea departamentului auditat? Realizarea sarcinilor este descris n cadrul unor politici scrise suficient de detaliate, relevante i actualizate? Se potrivesc cldirile i echipamentele tehnice activitii auditate?
62
Audit Bancar
MSBANK
63
b. Gestiunea riscului - n special riscuri inerente exist instrumente/precauii adecvate pentru a identifica, msura, monitoriza i controla riscurile? Sunt limitele adecvate comparativ cu riscurile implicate? Sunt utilizate metode adecvate pentru identificarea noilor riscuri i deviaiilor fa de standard i se acioneaz adecvat? limita i gestionarea riscurile inerente activitii auditate?Este conducerea bine informat despre expunerea la risc a unitii n timp util i o manier adecvat? c. Sistemul de controale interne sunt controalele adecvate i corect realizate n funcie de aria de cuprindere i complexitatea activitii unitii? Este sistemul de controale interne periodic revzut i modificat conform nevoilor mai ales n momentele de schimbare a mediului de afaceri? Sunt definite controalele realizate ca intenionate? Sunt toate deficienele abordate eficient i rezolvate n timp util?
d. Conformitatea cu reglementrile interne i externe sunt respectate toate obligaiile legale i de supraveghere? sunt nsuite toate procedurile i politicile interne? personalul i directorii responsabili sunt familiari cu toate reglementrile interne i externe relevante? Pentru fiecare ntrebare se pot ntlni 4 categorii de relevan pentru activitatea auditat. Acestea sunt: nici o relevan, relevan sczut, relevan normal i relevan mare. De asemenea, se atribuie pe acelai principiu note referitoare la riscul ce-l implic fiecare ntrebare. Notele riscului sunt de la 1 la 4 i au acelai neles ca i relevana (1-deloc, 2sczut, 3-normal, 4-mare). Combinnd cele dou rezultate, un program automat va determina nota general pentru activitatea auditat care va fi folosit pentru determinarea frecvenei auditului. Cuvinte cheie solvabilitate; riscuri financiare; guvernan corporativ; matricea riscurilor
63
Audit Bancar
MSBANK
64
riscuri operaionale; riscuri ale afacerii; riscuri externe; ntrebri i exerciii
relevana notarea riscului
1. Definii fiecare categorie de risc implicat n activitile bancare. 2. Care este rolul auditului n cadrul activitii de gestionare a riscurilor? 3. Care sunt elementele ce apar ntr-o matrice de risc? 4. Pe baza rspunsului anterior, creai o matrice a riscurilor aferent departamentului de credite. ncercai i pentru celelalte departamente.
64
Audit Bancar
MSBANK
65
CAPITOLUL 6
2. Planul anual de audit
ACTIVITATEA DE AUDIT PROPRIU ZIS. ABORDARE PRACTIC
1. Calculul capacitii auditului 3. Etapele activitii de audit intern 4. ntocmirea raportului de audit intern Cuvinte cheie ntrebri i exerciii 5. Abordare practic 5.1. Activitatea de creditare 5.2. Trezorerie i piee de capital 5.3. Trade Finance (pasive contingente A.Garanii bancare C.Acreditive 5.4. Pli 1.Pli interne (de pe teritoriul rii) 2.Pli internaionale 5.5. Contabilitate 5.6. Furnizori/cheltuieli 5.7. Personal/resurse umane 5.8. Administrarea cldirilor i mijloacelor fixe 5.9. Auditul de conformitate 5.10. Auditul sistemelor informaionale 1. Calculul capacitii auditului nainte de a se realiza planul anual de audit intern, coordonatorul departamentului audit intern trebuie s calculeze numrul efectiv de zile care pot fi lucrate de ctre personalul angajat la momentul respectiv.
65
Audit Bancar
MSBANK
66
La calcularea capacitii auditului, coordonatorul trebuie s ia n considerare numrul de zile lucrtoare, zilele legale de srbtoare, zilele de concediu de odihn sau medical (se face o estimare care s se apropie de numrul legal de zile de concediu), etc. n general, calculul ia forma unui tabel ca cel de mai jos:
Numrul de persoane angajate Din care centrala bncii Numrul persoanelor din audit Procent Capacitatea auditului pe 3 ani (de vzut mai jos) Procent din total personal din centrala bncii Numrul de personal din audit Numrul de zile pe an Minus Week-enduri Srbtori legale Vacan de odihn Boli sau alte vacane Capacitatea auditului Din care: 19% compliance i AML 5% consultan 10% audit extern 5% audituri neplanificate Zilele lucrtoare de audit planificat pe an n urmtorii 3 ani Minus Altele 1000 300 10 1 4026 3 10 3650 1080 80 210 80 2200 418 110 220 110 1342 4026 0 4026
Determinarea capacitii de audit va trebui s evalueze i urmtorii doi ani, astfel nct aceasta s prezinte o estimare pe trei ani n vederea planificrii efectivelor de personal necesar auditului intern. 2. Planul anual de audit. n desfurarea activitii de audit intern, planul anual reprezint un ghid sau, mai mult, echivalentul bugetului de venituri aferent departamentelor orientate ctre vnzri, adic, cu alte cuvinte acesta determin anumii termeni care trebuie s fie realizai. Aa cum s-a menionat i n capitolul anterior, planul de audit va trebui s reflecte rezultatele matricelor de risc. Astfel, dac activitatea auditat eman un risc semnificativ, atunci aceasta ar trebui s fie auditat periodic la fiecare 3 luni. n continuare, pe msura scderii gradului de risc implicat, auditul poate fi desfurat la fiecare 6 luni, n fiecare an, la
66
Audit Bancar
MSBANK
67
doi ani sau chiar 3 ani. Mai jos, autorii v prezint un model de plan anual de audit intern n condiiile n care departamentul are trei persoane angajate. Departamentul Perioada Nr. de zile Nr. 20 10 5 5 5 5 auditori 3 3 3 3 2 1 Realizat (sfrit an)
Credite/legal/retail 05.01.2004Trade finance TFO TBO Sucursala 1 Custodie Etc. 02.02.2004 09.02.200423.02.2004 01.03.200405.03.2004 08.03.200412.03.2004 15.03.200419.04.2004 15.03.200419.04.2004
Tabelul va continua cu enumerarea celorlalte departamente sau uniti care ar trebui s fie auditate conform matricelor de risc pn la sfritul anului. Dup cum s-a observat, n acelai timp se pot realiza mai multe misiuni de audit, ns, aceasta modalitate poate fi utilizat numai n cazul n care banca dispune de efectivele de personal necesare. Evident, acest plan poate suferi modificri de-a lungul anului, n funcie de noile activiti sau produse ce au fost introduse fr a se ti aceasta la momentul ntocmirii. De asemenea, toate activitile rmase neauditate vor fi repartizate n planul de audit pentru anul urmtor. Acest plan trebuie s fie ntocmit de ctre coordonatorul departamentului de audit intern i aprobat de ctre consiliul de administraie. 3. Etapele activitii de audit intern Etapa I. Informare general privind obiectivul ce urmeaz a fi auditat 1. Lucrri preliminare informare, documentare referitoare la relaiile cu mediul extern de afaceri; informare privind reglementrile legale, statutare, profesionale;
67
Audit Bancar
MSBANK
68
comparaii cu alte societi (bnci) cu acelai profil.
2. Primele legturi oficiale cu unitatea auditat (management, structuri operatorii) informri, documente referitoare la principalele niveluri structurale, planuri, persoane, rezultate, deficiene; vizite la manageri, directori, servicii, operatori; informare preliminar privind documentele de gestiune (evidena operativ).
3. Orientarea planificat i nceperea lucrrilor deschiderea dosarului permanent de lucru; analiza riscurilor de audit: definirea obiectivelor de audit, stabilirea limitelor de aprofundare, precizarea duratelor (persoanelor);
stabilirea departamentelor, seciilor, serviciilor, i locurilor de operare unde se vor efectua testri
Etapa II. Derularea misiunii de audit 1. Stabilirea procedurilor folosirea manualului de proceduri, dup caz; elaborarea diagramelor de circulaie (informaii, documente); alctuirea de memorandumuri.
2. Stabilirea testelor de conformitate simulri sau/i teste la un numr de tranzacii diferite cu scopul de a verifica procedurile de control i finalizarea controlului: adaptabilitatea sistemului de control. 3. Evaluarea preliminar a controlului intern puncte forte ale sistemului de control; puncte slabe ale sistemului de control.
4. Teste de permanen teste de verificare a continuitii i eficacitii punctelor forte ale sistemului.
5. Evaluarea controlului punctele forte ale sistemului de control; slbiciunile, deficiene ale sistemului de control;
68
Audit Bancar
MSBANK
69
documente de sintez.
Etapa III. Finalizarea misiunii de audit 1. Evaluarea definitiv a controlului intern aciuni semnificative; aciuni puin semnificative; elaborarea unor noi programe; teste complementare; elaborarea unor noi programe;
2. Stabilirea i raportarea opiniei 4. ntocmirea raportului de audit intern Raportul de audit respect anumite principii, o anumit form, iar coninutul su se supune anumitor norme. Raportul de audit intern este i trebuie s fie un document de informare pentru conducere. La simpla lectur a raportului, superiorii ierarhici trebuie s tie dac exist un bun control asupra domeniului auditat i care sunt, eventual, msurile importante ce trebuie luate pentru a mbunti situaia. Pentru a rspunde acestei funcii, nu este nevoie ca raportul de audit s detalieze investigaiile efectuate. Trebuie i este nevoie ca raportul de audit s detalieze investigaiile efectuate? Trebuie i este de ajuns s prezinte o argumentaie clar, care s se bazeze pe identificarea exact a riscurilor observate sau descoperite i care s precizeze n linii mari punctele slabe i msurile ce trebuie luate ? ns raportul de audit mai trebuie s fie, din punctul de vedere al entitii auditate, i un instrument de lucru. Pornind de la raportul de audit, responsabilii auditai vor ntreprinde aciuni corective, ceea ce nu s-ar putea face numai cu indicaii generale. Aadar, documentul trebuie s analizeze i s prezinte n mod obligatoriu detaliile constatrilor i observaiilor. Recomandrile trebuie s fie concrete i precise, pentru ca responsabilii s nu rmn nelmurii, i s fie n msur s defineasc cu exactitate aciunile ce trebuie ntreprinse. Rezultatul acestei abordri este un raport lung. Raportul de audit va trebui s rspund acestor dou exigene prin adoptarea unei structuri originale pe care o putem analiza n patru pri: Prima pagin i scrisoarea de transmitere
69
Audit Bancar
MSBANK
70
n funcie de regulile bncii i de cultura ei, raportul este-sau nu- nsoit de o scurt scrisoare de transmitere. De foarte multe ori, scrisoarea de transmitere lipsete iar pe prima pagin se indic principalele meniuni care nu trebuie omise: n primul rnd, titlul misiunii i data de trimitere a raportului care precizeaz foarte clar data de ncheiere a operaiunilor de audit. Eventual, se amintete ordinul de misiune iniial; sunt menionate numele auditorilor care au participat la lucrri, mpreun cu cel al efilor de misiune; este foarte indicat ca cei interesai s semneze cu numele lor, cu excepia cazului - pe care vei vedea c nu-l recomandm - n care nu au participat la redactarea raportului. Produsul final este astfel validat de ctre cei care au contribuit la crearea sa; din acelai spirit de claritate se cere precizarea numelor destinatarilor raportului de audit. Dac au fost difuzate doar extrase, se vor preciza i beneficiarii acestor extrase. Este foarte important ca la fiecare nivel al structurii ierarhice s se tie foarte clar cine a primit documentul. O meniune special precizeaz cine este entitatea auditat, destinatar principal i responsabil cu aplicarea recomandrilor. O meniune obligatorie de confidenialitate mai figureaz pe prima pagin (sau pe copert). Aceast cerin de confidenialitate implic numerotarea diferitelor exemplare i precizarea numrului n faa numelui fiecrui destinatar. Regulile interne ale serviciului de audit trebuie s interzic n mod normal editarea sau fotocopierea raportului. Sumar- introducere i sintez Acest ansamblu introductiv ncepe prin sumarul detaliat al raportului pentru a putea face uor trimiteri la un subiect sau altul. Acest sumar este indispensabil mai ales pentru rapoartele voluminoase sau care au multe anexe. Introducerea este n general destul de scurt. Ea trebuie s cuprind n mod obligatoriu dou informaii: prezentarea domeniului de aciune i a obiectivelor misiunii. ntr-adevr, cititorul nu cunoate neaprat ordinul de misiune, i nici raportul de orientare a fortiori; aceast prezentare precizeaz aadar cu o foarte mare utilitate scopul urmrit i limitele n care s-au situat investigaiile (limite n timp i spaiu);
70
Audit Bancar
MSBANK
71
o descriere foarte scurt a organizrii unitii sau a funciei auditate; i aceasta nu pentru c entitile auditate solicit acest lucru, ci pentru a rspunde primei funcii a raportului: informarea conducerii. La nivelurile cele mai nalte ale ierarhiei, poate s fie nevoie de o prezentare a organizrii mediului auditat.
n final, sinteza. Unii autori o numesc scrisoarea preedintelui, ceea ce subliniaz foarte clar obiectivul sintezei: s informeze conducerea i s respecte astfel prima funcie a documentului. Acest capitol, clar separat de celelalte, permite responsabilului de la nivel nalt s opreasc lectura n acel punct pentru a consulta n detaliu diferitele probleme pe care dorete s le aprofundeze. Acest lucru presupune ca sinteza s respecte dou reguli eseniale: - trebuie s fie scurt: nu mai mult de o pagin i jumtate, pentru a nu se lungi sau repeta. - trebuie s fie precis i s permit cititorului s-i formeze o opinie dup lectur. n aceast sintez auditorul apreciaz calitatea controlului intern. n acest scop, ea nu trebuie s fie un simplu rezumat al corpului raportului care conine numai observaii negative. Nota de sintez restabilete echilibrul, corelnd aspectele pozitive cu cele negative. Astfel poate fi aplicat Norma 2410.A2: Comunicarea trebuie s in cont de punctele forte identificate. S precizm c anumite rapoarte de audit aplic Norma evocnd aspectele pozitive din corpul raportului. Dar pe lng faptul c aceast metod ngreuneaz prezentarea i atenueaz punctele slabe, ea nu permite aplicarea Normei 2410.A1, care impune o opinie general a auditorului. Tehnicile de apreciere care permit formularea acestei opinii globale sunt tratate n capitolul urmtor. Aceste tehnici sunt cu att mai necesare cu ct auditorului intern i se cere de aici nainte s-i assume opinia formulat, fapt care indic importana sintezei. Uneori, acest document de sintez este lsat la sfritul raportului: aceasta este o greeal, deoarece cititorul are tendina de a face o lectur integral, n timp ce scopul urmrit este tocmai evitarea acestui parcurs. Corpul raportului- sau Raportul detaliat Este documentul integral destinat n primul rnd entitii auditate i care cuprinde: constatri, recomandri i rspunsuri la recomandri, toate prezentate n ordinea logic i coerent a sumarului. Din pcate, exist o disput ntre dou coli n privina formei acestei pri care reprezint esena raportului: o coal tradiional care susine faptul c raportul de audit intern este un document destinat lecturii, i nu o cantitate de informaii care trebuie
71
Audit Bancar
MSBANK
72
descifrate din documentele de lucru. Corpul raportului trebuie aadar redactat ca orice alt raport, adic conform tradiiei. o coal inovatoare susine faptul c, avnd n vedere c practica foilor de lucru este generalizat datorit structurii sale coerente i logice, este de ajuns s clasm toate foile de lucru conform ordinii anunate n sumar i corpul Raportului este gata n forma sa definitiv. Aceast practic are riscurile ei: n starea ei iniial, foaia de lucru este un document abrupt, fr nuane i a crei form voit simplificat l poate oca pe cititorul neavizat. De aceea, este recomandat s nu alegei aceast cale dect dac o permit contextul i cultura. Concluzia-Planul de aciune- Anexele Concluzia unui raport de audit nu este obligatorie: adevrata concluzie este nota de sintez de la nceputul documentului. Putem totui s facem o scurt ncheiere (15 rnduri), nu pentru a repeta ceea ce s-a spus n sintez, ci pentru a deschide dou direcii posibile: fie pentru a anuna - sau a sugera - alte misiuni al cror interes a fost evideniat prin prezenta misiune de audit; fie pentru a reaminti - fcnd referire la planul de audit aprobat - la ce dat va avea loc urmtoarea misiune de audit intern pe aceeai tem. Dup aceast scurt concluzie urmeaz un document completat de ctre entitatea auditat, trimis mpreun cu rspunsurile la recomandri i anexat la raport: este vorba de planul de aciune. Este un simplu formular, standardizat de auditul intern, i care permite entitii auditate s precizeze n cadrul fiecrei recomandri cine, ce i cnd va aciona. Pentru a rspunde acestor obiective, actul anexat la sfritul raportului cuprinde naintea numrului fiecrei recomandri numele persoanei responsabile cu punerea n aplicare i termenul n care recomandarea va fi pus n aplicare i finalizat. Vom vedea mai trziu la ce folosesc aceste informaii, ns imediat dup difuzarea raportului, destinatarii tiu cui s i se adreseze pentru fiecare problem adus n discuie. Forma cea mai simpl i cea mai tradiional este aceasta: Plan de aciune Recomandri Nr.1 Nr.2 Persoana responsabil eful de departament Director sucursal Data limit de finalizare 30.06.2004 30.05.2004
Majoritatea rapoartelor de audit intern conin i anexe pentru a nu complica prea mult textul documentului. De aceea, toate tabelele, graficele, textele oficiale, regulile procedurale,
72
Audit Bancar
MSBANK
73
schemele etc. care susin demonstraia sunt lsate n anexe, mpreun cu trimiterile i referinele de rigoare care s permit identificarea lor fr probleme. n rapoartele importante, care necesit numeroase trimiteri, se utilizeaz uneori un caiet cu anexe, un fel de raport complementar care nu este destinat citirii integrale. Utilizarea anexelor prezint anumite pericole: auditorul trebuie s se limiteze la documentele indispensabile pentru o mai bun nelegere a raportului; ar fi un adevrat dezastru dac am aduga documente inutile, doar pentru a obine un anumit volum. Rspunsurile la recomandri Fiecare constatare d natere unei recomandri a auditorului care este prezentat entitilor auditate n timpul reuniunii de ncheiere. Dac entitile auditate au rezerve n privina realismului i aplicabilitii lor, i le vor exprima acum. Auditorii interni vor ine cont de acest lucru, sau nu, n funcie de cum apreciaz observaiile fcute. Deoarece recomandarea a devenit astfel definitiv din punct de vedere al formei, se cere un rspuns oficial din partea entitilor auditate pentru ca observaiile lor s poat fi integrate n raport. Aceste rspunsuri la recomandri se materializeaz n dou feluri: fie - i aceasta este practica anglo-saxon - rspunsul este reinut i notat nc de la reuniunea de ncheiere, n aa fel nct la sfritul reuniunii s existe un text definitiv: raport i rspunsuri. Raportul definitiv astfel finalizat este disponibil n orele de dup reuniune, ba chiar n cteva minute, dac actualizrile i nregistrrile au fost fcute pe calculator n timp real. Nu mai trebuie adugate la document dect planul de aciune. practica francez este mai tradiional: ntre exprimarea oral n timpul reuniunii i luarea de poziie n scris dorim s lsm entitii auditate un rgaz de gndire, care variaz n funcie de banc (de la 8 zile la 3 sptmni). Rspunsul scris ajunge aadar puin mai trziu la serviciul de audit intern, care l integreaz, aa cum este, n raportul de audit dup fiecare recomandare. Aceste rspunsuri la recomandri trebuie s respecte trei principii fundamentale:
1. Principiul 1 Trebuie s reprezinte o luare de poziie clar i fr ambiguitate prin care entitatea auditat:
73
Audit Bancar
MSBANK
74
- fie accept recomandarea, acesta fiind aa cum i trebuie - cazul cel mai ntlnit, mai ales dup reconcilierile i validrile din timpul reuniunii de ncheiere. - fie nu accept dect parial, i numai pentru unele dispoziii - fie o refuz, ceea ce nu trebuie s se ntmple dect n mod excepional. Auditorilor trebuie s li se atrag atenia asupra acestei probleme, deoarece unele refuzuri nu reprezint rezultatul unei negri a constatrii, ci al caracterului nepotrivit al soluiei propuse. De aceea, eful misiunii, mai experimentat i cunoscnd mai bine mediul, trebuie s vegheze n mod special asupra calitii i pertinenei recomandrilor propuse. 2. Principiul 2 Materializarea rspunsului entitii auditate este Planul de aciune la care s-a fcut trimitere n prezentarea structurii raportului de audit. Odat cu acceptarea recomandrii, se va decide cine va fi responsabil cu punerea ei n aplicare i cnd. Acest aspect este foarte important deoarece introduce auditul n domeniul operaional, permite trecerea de la teorie la practic i d recomandrilor auditorului un efect care i pune n valoare aciunea. 3. Principiul 3 Dac recomandarea nu este dect parial acceptat, sau dac este refuzat total a fortiori, rspunsul entitii auditate conine scurte explicaii care i justific poziia. De asemenea, rspunsul trebuie neaprat s se refere la recomandare, el nu trebuie s reprezinte o ocazie de a nega constatrile de fapt care figureaz n raportul de audit, aceste probleme trebuind s fi fost rezolvate n timpul edinei de ncheiere. Dac cumva nu a fost nici una, nici alta i dac Rspunsurile la recomandri s-ar transforma n critici ale raportului de audit nsui, responsabilul auditului intern este cel care trebuie s fac ordine: - fie avnd iniiativa unei reuniuni de reconciliere; - fie oprind orice ncercare de dezbatere din partea auditorilor si, dup ce s-a asigurat nc o dat de pertinena observaiilor acestora. Monitorizarea raportului de audit intern Auditorii interni au avut ntotdeauna grij s tie ce se va ntmpla cu recomandrile lor pentru a putea msura eficacitatea real a lucrrilor lor i s verifice soluiile date unor probleme n care s-au implicat total. ns exist pericolul de a vrea s mearg prea departe, cci, dac modalitile de monitorizare difer uneori n funcie de banc, exist un principiu cu care toat lumea este de acord: auditorul intern nu ia parte la aplicarea propriilor sale recomandri. Principiul care pleac chiar de la definiia funciei: auditorul nu este cineva care face lucrurile, este cineva care privete cum sunt fcute lucrurile.
74
Audit Bancar
MSBANK
75
Auditorul intern are dreptul s fie informat referitor la aplicarea recomandrilor sale, drept care va permite msurarea eficacitii, completarea dosarelor i, deci, s ncheie auditele ulterioare. Acest drept se bazeaz pe cteva principii normative de la care nu ne putem abate. Cuvinte cheie capacitatea auditului; planul anual de audit; etapa de informare; derularea misiuni de audit; ntrebri i exerciii 1. Cum se calculeaz capacitatea auditului ntr-o banc? Exemplificai pentru o banc care are 3 persoane angajate n cadrul departamentului de audit intern. 2. Care sunt elementele luate n consideraie la ntocmirea planului anual de audit? Exemplificai pentru o banc care are 10 sucursale i urmtoarele departamente: credite, pli interne i externe, operaiuni de comer internaional (trade finance), legislative, trezorerie (front office, back office), contabilitate i financiar, informatic, calitate. Not: unitile trebuie s fie auditate anual cu excepia a dou sucursale care trebuie s fie auditate o dat la 2 ani i a funcie de back office care trebuie auditat trimestrial (cele dou sucursale au fost auditate anul precedent). 3. Care sunt etapele activitii de audit? 4. Enumerai seciunile unui raport de audit? 5. Este important s se ntocmeasc un plan de aciune i s se monitorizeze realizarea recomandrilor stipulate n acesta? finalizarea misiunii de audit; raportul de audit; plan de aciune; monitorizarea raportului de audit.
75
Audit Bancar
MSBANK
76
76
Audit Bancar
MSBANK
77
5. Abordare practic. n cadrul acestei pri se dorete a se prezenta foarte succint extrase de constatri realizate n cadrul diferitelor audituri realizate n domeniile de activitate ale unei bnci. Acolo unde extrasele din rapoartele de audit nu sunt relevante, se vor prezenta liste de verificare care sunt utilizate de catre auditori n misiuniule lor de audit. 5.1. Activitatea de creditare 1. Debitor: MMM srl ara: Romnia Industria: prelucrarea lemnului Scopul creditului: investiii Data Aprobrii: 28.03.2005 Comitetul de Credite Tipul creditului INV Suma total 255.000 Moneda Soldul EURO 255.000 Perioada 31.07.2009 Rata dobnzii 7.5% Comisioane -
polia de asigurare nu este nregistrat n Arhiva Electronic de Garanii Reale Mobiliare Alte asigurri nu au fost nregistrate n AEGRM Garanii au fost evaluate la 487.483 EURO
CREDIT Opinia auditorului* Conform BNR C C
RATING CLIENT Opinia auditorului* Rating CRM C B
2. Tragerea creditului : 25/03/2005 3. Ipoteca : 30.03.2005 4. Situaiile Financiare : 31.12.2004 a) profit :899.061.000 ROL = 24.631 EUR b) Venit Net= 41.193.410.000 = 1.128.586 EUR
77
Audit Bancar
MSBANK
78
c) Datorii pltibile ntr-un an : 10.289.433.000 = 281.902 EUR d) Datorii pltibile peste un an : 13.209.276.000 = 361.987 EUR Aspecte critice : Condiii precedente (precedent conditions) asigurarea cldirii nu a fost realizat de ctre client i nu a fost monitorizat de ctre banc- de asemenea, nu a fost nregistrat n Arhiva Electronic de Garanii Reale Mobiliare. Copiile bilanelor primite de la clieni nu sunt tampilate pentru a dovedi conformitatea cu originalul Tragerea creditului nainte de aprobarea lui de ctre persoanele copetente i constituirea garaniilor. Extras din raportul de audit : Constatare : garaniilor in timp efectiv, permitnd tragerea creditului naintea constituirii garaniilor. Dupa constituirea garaniilor, banca nu a reuit s controleze asigurarea acestora. Mai mult banca a permis tragerea creditului nainte de obinerea aprobrilor din partea Comitetului de Credit. Recomandare : Banca trebuie sa implementeze un sistem Termenul limit de Rspuns unitate auditat :
Pentru clientul MMM SRL, banca nu a monitorizat constituirea Suntem de acord
de remediere : O sptmn de
monitorizare/control a a ctivitii de creditare n sensul la semnarea raportului de constituirii garaniilor n timp efectiv i nepermiterea efecturii audit tragerilor nainte de obinerea aprobrii Risc: credit i operaional 5.2. Trezorerie i Piee de Capital
Contrapartida: Banca X Tipul tranzaciei: FX spot Suma: 1.000.000 EURO Rata de schimb: 36.400 ROL Dealer: Bogdan Ioan
78
Audit Bancar
MSBANK
79
Data: 31.03.2005 n urma consultrii documentelor suport ale tranzaciei de mai sus s-au putut reine urmtoarele: Aspecte critice: Dealerul Bogdan Ioan are dreptul s tranzacioneze n limita a 500.000 EURO pe tranzacie, astfel c n cazul nostru dealerul i-a depit limita. Expunerea pe contrapartid aprobat de consiliul de administraie era de 800.000 EURO Deal ticket-ul nu era semnat de doua persoane (dealer i un ofier back-office)lipsa principiului celor 4 ochi. Extras din raportul de audit: Constatare: n cazul tranzacie interbancare FX din data de 31.03.2005 cu contrapartida Banca X, n valoare de 1.000.000 EURO, s-a constatat c principiul celor 4 ochi nu a fost respectat, ceea ce a condus la nerespectarea limitei pe dealer i pe contrapartid. Recomandare: Directorul unitii trebuie s implementeze un sistem solid de cntrol intern prin care s nu se mai permit depirea limitelor aprobate de consiliul de administraie Risc: pia i operaional 5.3. Trade Finance (pasive contigente) Scrisori de Garanie Client: XYZ SRL Tip scrisoare de garanie: pentru licitaie Suma: 1.500.000.000ROL Garanii: 1.500.000.000 ROL (depozit la banc) Data aprobrii: 31.03.2005
79
Rspunsul unitii auditate: De acord
Termenul limit de implementare: imediat
Audit Bancar
MSBANK
80
Emis: 28.03.2005 Beneficiar: Primria Municipiului Bucureti Data expirrii: 28.04.2005 n urma verificrii documentelor suport acestei tranzacii, s-au constatat urmtoarele: Aspecte critice: Clientul nu oferise bncii contractul de participare la licitaie n care ar fi trebuit s se menioneze necesitatea unei scrisori de garanie, suma acesteia, beneficiarul i valabilitatea sa. Textul scrisorii de garanie nu menineaz data expirrii. Depozitul este n valoare mai mica de 110% din valoarea scrisorii de garanie.
Extras din raportul de audit: Constatare: Rspunsul unitii
n cazul scrisorii de garanie emis la cererea clientului XYZ SRL auditate: din data de 28.03.2005, banca nu a solicitat contractul de participare De acord cu anumite la licitaie, nu a menionat data expirrii scrisorii n textul acesteia. mentiuni: Toate constatrile au De asemenea, scrisoarea a fost emis nainte de a fi aprobat, iar fost colateralul valoreaz mai puin de 110% din valoarea scrisorii. Recomandare: Unitatea trebuie s respecte procedura in vigoare. Risc: credit i operaional remediate n de timpul auditului Termen limit
implementare: imediat
80
Audit Bancar
MSBANK
81
B. Acreditive Client: XYZ SRL Tip acreditiv: de import Suma: 500.000 EURO Data deschiderii: 30.03.2005 Data expirrii: 90 de zile de la trimiterea documentelor Data plii: 30.07.2005 n urma verificrii documentelor suport ale acestei tranzacii, s-au constatat urmtoarele: Aspecte critice Printre documentele obligatorii trimise de ctre exportator au lipsit certificatul de origine i scrisoarea de transport rutier
Extras din raportul de audit: Constatare: n cazul acreditivului de import emis de banc la cererea clientului XYZ SRL, banca nu a solicitat aprobarea clientului de a face plata acreditivului avnd n vedere uzanele n cazul n care exportatorul nu trimite toate documentele obligatorii (Ex: scrisoare de transport rutier i certificat de origine.) Recomandare: Unitatea trebuie sa respecte n ntregime uzanele internaionale. Risc: reputaional i operaional 5.4. Pli 1.Plile interne (de pe teritoriul rii) Instrument de plat: Cec Beneficiar: XYZ SRL Suma: 500.000.000 ROL Data emiterii: 30.05.2005 Data depunerii la banc: 30.03.2005 Data compensrii: 31.03.2005 Data ncasrii: 01.04.2005 Circuit: 1 n urma verificrii documentelor suport, s-au constatat urmtoarele: Aspecte critice: nregistrarea ncasrii n contul clientului bncii cu o ntrziere datorit eecului sistemului informatic i neverificrii de ctre personalul unitii a creditii conturilor
81
Rspunsul unitii auditate: De acord cu meniunea ca am luat acceptul clientului prin telefon. Termenul limit de implementare: Imediat
Audit Bancar
MSBANK
82
Lipsa semnturii beneficiarului pe borderoul de ncasare cec. Discrepan ntre suma scris n litere i ceea scris n cifre (s-a ncasat suma scris n cifre)
Extras din raportul de audit: Constatare: n cazul cecului de ncasat avnd cabeneficiar clientul bncii XYZ SRL, din data de 30.03.2005, banca nu a urmrit ncasarea acestuia, nu a verificat existena semnturii incasatorului pe borderou i nu a ncasat suma scrisa n litere. Recomanadare: Unitatea trebuie s verifice de fiecare dat ca toate nstrumentele de ncasat s-au dus pe conturile clienilor. De asemenea, un program de (auto)control trebuie sa fie implementat imediat Risc: operaional 2.Plile internaionale Tipul tranzaciei: ncasare Beneficiar: XYZ SRL Suma: 500.000 EURO Reprezint: mprumut pe termen lung Data: 30.03.2005 n urma verificrii documentelor suport ale tranzaciei, s-au constatat urmtoarele: Beneficiarul nu a adus la banc un formular DIE n termen de 10 zile i nici documentele de credit, Extras din raportul de audit: Constatare: Conform normelor n vigoare, clienii care au ncasat anumite sume de la extern, trebuie s completeze un formular DIE n maxim 10 zile de la data valut. Echipa de audit a constatat c acest principiu nu a fost respectat n cazul ncasrii din data de 30.03.2005, n sum de 500.000 EURO,
82
Rspunsul uniti auditate: De acord cu meniunea c n cazul nencasrii, cauza principal este eecul sistemului informatic. Termen limit de implementare: Imediat
Rspunsul unitii auditate: De acord
Audit Bancar
MSBANK
83
avnd ca beneficiar clientul XYZ SRL. De asemenea, acesta nu a adus documentele de credit care au stat la baza acestei ncasri Recomandare: acestui tip de tranzacii Risc: Reputaional 5.5 Contabilitate Unul dintre cele mai importante elemente care este verificat n cadrul funciei de contabilitate este inventarul sau cu alte cuvinte evidena i nregistrarea pe clase de inventar a tuturor obiectelor de inventar. O atenie deosebit trebuie acordat modului n care obiectele de inventar au fost clasificate, pentru c fiecare clas de obiecte de inventar are o perioad de amortizare diferit. 5.6. Furnizori/Cheltuieli n cadrul acestui tip de audit, n general, auditorii verific c toate nregistrrile contabile referitoare la cheltuile ntreprinse cu furinizorii de diferite servicii sau produse sunt ntradevr susinute de documente justificative. Printre cheltuielile nregistrate de bnci s-ar putea numra i urmtoarele: Protecia i paza Mai ales n cadrul auditurilor de sucursale, auditorii trebuie sa acorde o importa deosebit de mare modului n care sucursalele sunt securitizate i pzite. Mai jos, putei citi un extras dintr-un raport de audit: Constatare: Rspunsul unitii publicitate; simpozioane echipamente premii; materiale -etc Termenul limit de
Unitatea trebuie s impementeze un sistem de monitorizare a implementat: Imediat
83
Audit Bancar
MSBANK
84
n urma unui test realizat de ctre echipa de audit la sucursala x, s-a auditate: constatat ca echipa de intervenie a ajuns dupa 15 minute de la De acord declanarea alarmei, cu o ntrziere de aproximativ 10 minute fa de maximul admis. Recomandare: sucursala vor ncepe prospectarea piei pentru Termenul limit de
Echipa de securitate din centrala bncii mpreun cu directorul de implementare: nlocuirea O lun de la semnarea acestui raport furnizorului de servicii de intervenii Risc: operaional
5.7. Personal/Resurse umane Evaluarea sistemului Evaluarea sprijinului acordat de ctre sistemul informatic departamentului de personal (automatizare, sistem de redactare documente, sisteme de afaceri pentru informarea personalului, contabilizarea salariilor, plata impozitelor ctre Casa Naional de Asigurare i sntate, contabilizarea n balan i a costurilor.). n ceea ce privete sistemele de afaceri, se evalueaz: 1. funciile sistemului disponibil i necesitile utilizatorului, 2. introducerea datelor i procedurile de validare a nregistrrilor (detalii statice, date despre salarizare), 3. chestionarele disponibile, 4. listrile disponibile, 5. securitizarea accesului pentru date confideniale (sistem de securitizare prin parol), 6. notificarea prompt a biroului de salarizare. n detaliu, urmtorii pai de audit se recomand: 1. Se obin manualele, descrierile, normele i politicile n legtur cu administrarea personalului i se verific dac: au fost aprobate, sunt actuale/actualizate (ex. cum ar fi ghidurile, politicile de cltorie, impozitarea, asigurarea, legislaia),
84
Audit Bancar
MSBANK
85
incorporeaz toate procedurile i sistemele,
2. Se indentific numrul de personal, numele angajailor/fiele postului (n timpul ntlnirilor de prezentare a conducerii din prima zi a vizitei de audit). 3. Se obine dosarul de personal pentru toi angajaii selectai de ctre auditul intern (ex. se selecteaz un eantion de 20 angajai) i se verific existena i completitudinea lor: - contractul de munc (contracte standarde sau individuale, prezentarea clar att a drepturilor ct i a obligaiilor prilor, semnate de ambele pri), - documentele ce certific calificarea (certificatul colar sau universitar, certificate de la angajatorul anterior, referine), - documente personale (certificatul de natere, certificatul de naionalitate, certificatul de nregistrare dac este cazul), - nregistrarea la casa de asigurare naional, - declaraie semnat de pstrare a confidenialitii, - carduri de nregistrare a angajailor artnd evoluia salariului i calificrii, - copii ale corespondenei cu personalul referitoare la salariu i promovare, - documente pentru aprobarea angajrii personalului, - alte materiale care ar putea fi necesare pentru a se conforma cu regulile i reglementrile locale. 3. Se identific procedurile pentru pregtirea salariilor i se verific perioada de plat a salariilor pentru un eantion reprezentativ de angajai cum ar fi: corectitudinea salariilor brute, plata lucrului peste program, plata impozitelor i deducerilor, contribuiile la casa de asigurare naional sau fondul/planul de asigurare medical, plata bonusurilor, replata angajailor sau credite pentru tichete de sezon, pli de subvenionare a ipotecii acordate pentru credit de locuin, avansuri salariale i rambursarea lor adecvat.
i se asigur c nu sunt pltii oamenii manechin.
85
Audit Bancar
MSBANK
86
5. Se identific pachetele de beneficii oferite personalului i se verific acurateea i aprobarea lor. 6. Se verific nregistrrile de prezen (ex. un eantion de 10 angajai): completitudinea nregistrrilor aferente concediilor medicale i vacanelor, sistemul de monitorizare pentru a asigura c vacana nu depete limita, politica pentru zilele de vacan luate n avans, politica referitoare la utilizarea obligatorie a unui numr pre-definit de zile de vacan luate la rnd, certificatul medical pentru concediu medical ce depete numrul predefinit de zile (conform cu reglementrile locale). 7. Verificarea sistemului de compensare a lucrului peste program (ex. un eantion de 10 angajai): politica general referitoare la lucrul peste program, numirea personalului, sistemul de monitorizare i aprobare
8. Se identific orele oficiale de lucru i se asigur prin observaie n timpul vizitei de audit c personalul respect aceste ore. 9. Se selecteaz un eantion reprezentativ de pli facturate realizate de ctre departamentul de resurse umane i se verific dac: calculele sunt corecte, factura pltit este conform cu instruciunile originale, cheltuielile au fost aprobate de ctre angajaii autorizai, detaliile de pe tampil au fost incluse.
10. Dac plata salariilor se realizeaz prin alte bnci se verific extrasul bncii originale i contul din balan. 11. Dac se permite departamentului de resurse umane s obin listarea actual a creditelor nerambursate ale personalului i s se asigure c toate sunt aprobate, dobnzile sunt corecte, replata principalului i dobnzii se face la momentul exigibilitii.
86
Audit Bancar
MSBANK
87
12. Exist un ghid pentru personal i este acesta distribuit ctre ntreg personalul (coninut: drepturi i obligaii ale personalului, beneficii suplimentare, plata lucrului peste program, orele de lucru, etc.). 13. Se obin normele despre revizuirea evalurii performanelor personalului. Se evalueaz sistemul referitor la ratingul performanei i factorii cheie de performan (ex. cunoaterea jobului, relaiile organizatorice i n echip, punctele forte ale angajatului, ariile de mbuntire, planul de dezvoltare/promovare). 14. Se obin documente despre training i se evalueaz trainingul oferit angajailor. 15. Se obin documente i norme despre planificarea i dezvoltarea personalului. 16. Se verific existena consiliului de reprezentare a personalului (dac este obligatoriu conform legii locale). 17. Se evalueaz procedurile despre pregtirea bugetelor de personal pentru ntreaga unitate (sucursal, filial). 18. Se evalueaz statisticile asupra fluctuaiilor (demisiilor) i comentariile asupra motivelor pentru terminarea contactului de munc. 19. Se evalueaz normele locale asupra proteciei personalului feminin gravid i concediilor de maternitate i conformitatea cu astfel de norme. 20. Se obin informaii asupra existenei unei legislaii de protejare a forei de munc i se evalueaz dac sunt respectate. 21. Se evalueaz procedurile generale referitoare la timpul de prob (perioada calificat). Ex. note pentru urmrire, evaluare nainte de expirarea contractului de munc, extindere scris a terminrii contractului de munc. 5.8. Administrarea cldirilor i mijloacelor fixe Responsabilitile i ndatoririle unitii organizatorice nsrcinate cu administrarea cldirilor variaz de la o pia la alta. Astfel, urmtoarele acoper activitile care sunt cel mai rspndit acceptate ca fiind n cadrul acestor ndatoriri. Oricum, aceast gam de activiti nu trebuie s fie privit atotcuprinztoare, i programul de audit trebuie s fie adaptat la nivelul local pentru a acoperi ntreaga arie a gamei de operaiuni ce vizeaz cldirile i mijloacele fixe. Ca o regul general, toate procedurile i costurile legate de aceste conturi de cheltuieli aferente departamentului responsabil cu cldirile i mijloacele fixe trebuie s fie incluse n misiunea de audit.
87
Audit Bancar
MSBANK
88
Cu toate c att cumprarea de bunuri/servicii i decontarea facturilor relevante sunt o component semnificativ a ndatoririlor departamentului respectiv, paii necesari de audit nu sunt subliniai n aceast lucrare, att timp ct ei sunt artai programul de audit aferent cheltuielilor. A. Cldirile bncii Cldiri nchiriate: Se verific chiria actual i se asigur c banca este n conformitate cu obligaiile sale aa cum au fost descrise n articolele din contractul de leasing. Verificarea valorii chiriei pltite ntre contractul de leasing i contul de cheltuieli relevant. Se verific scadenarul plilor de chirie i se indentific sumele fixe de chirie, impozitele i cheltuielile operaionale. Se asigur c diferite componente ale plilor de chirie sunt nregistrate n conturile de cheltuieli adecvate, Se verific creterile de chirie i acordul dintre pri Se asigur c cheltuielile operaionale incluse n plile de chirie nu sunt facturate separate la banc, Se evalueaz procedurile pentru ntreinere asigurat de proprietar n legtur cu meninerea/repararea care cade n sarcina sa. Se asigur c banca nu este taxat cu costurile aferente acestor reparaii/menineri. Cldirile proprii Se obin toate legile i reglementrile legale referitoare la proprietatea cldirii i se verific dac banca este n conformitate cu astfel de reglementri. Se verific proiectele construciei n ceea ce privete conformitatea lor cu toate reglementrile externe i interne. Proiectele construciei/renovrii sunt de obicei foarte complexe i implic un numr mare de personal att extern ct i intern. Auditul intern nu este menit s aib o expertiz profund asupra tehnicilor de construire sau problemelor arhitecturale. Aceasta este responsabilitatea echipei de proiect i un arhitect care se bucur de ncrederea bncii este n mod normal n responsabilitatea unui supervizor de proiect profesionist.
88
Audit Bancar
MSBANK
89
Oricum, se poate anticipa c auditul intern va verifica unele aspecte generale i va formula o opinie asupra calitii generale a proiectului: 1. Se verific cererea de proiect i se desfoar o verificare plauzibil referitoare la faptul dac au fost incorporate toate informaiile relevante cunoscute la acel moment. 2. Se verific dac cererea de proiect a fost corect aprobat de ctre autoritile locale i din administraia central a bncii. 3. Se compar costurile de proiect cu costurile actuale i se obin informaii asupra motivelor cauzatoare de depiri substaniale ale costului. 4. Se compar data proiectat de terminare cu data actual de terminare i se obin cauzele ntrzierilor. 5. Se verific procedurile pentru implicarea continu a supravegherii proiectului i se evalueaz dac aceasta a fost suficient pentru dezvoltarea proiectului n timp i acurat. 6. Se asigur c raportul de terminare a proiectului a fost pregtit pentru organele relevante n rang superior, artnd cifrele proiectate i actuale i furniznd explicaii despre deviaiile substaniale. 7. Se asigur c depirile de cost i timp au fost adecvat aprobate ct mai curnd dup ce au fost identificate. 8. Se asigur c fie banca sau arhitectul mandatat au obinut oferte competitive de la un numr rezonabil de contractori/prestatori. Se evalueaz explicaiile dac nu a fost ales cel mai bun ofertant. 9. Se verific scadenarul amortizrii i se asigur c sunt n conformitate cu reglementrile locale relevante. n ntreaga lume, industria de construcii este notorie la practicile neetice. Cnd se verific un proiect, trebuie s fii mereu atent la aceast posibilitate i ntlnete-te imediat cu conducerea n cazul n care simi c ceva este suspicios. B. ntreinerea i Reparaiile 1. Se verific toate contractele de ntreinere referitoare la urmtoarele: a. s-au obinut oferte competitive nainte de a se alege partenerul? b. se repet aceste licitaii de oferte la intervale predefinite pentru a se asigura n mod continuu c banca primete servicii profesionale la un pre corect? c. sunt necesare contracte de ntreinere, ex. pot fi prestate astfel de servicii de ctre angajaii bncii la costuri mai mici?
89
Audit Bancar
MSBANK
90
d. contractele de ntreinere includ toate detaliile obligatorii: Descrierea ambigu a serviciilor de prestat, Data nceperii i perioada contractului, Preul i termenele plii, Momentele de intervenie, Clauzele de penalitate; 2. S-a verificat sigurana celui ce realizeaz ntreinerea? 3. Se verific, folosind un eantion, un numr de facturi referitoare la contractele de ntreinere: a. au fost ntr-adevr prestate serviciile facturate i a fost aceasta confirmat de ctre personalul bncii? b. sunt preurile n conformitate cu contractul de ntreinere? 4. Se verific procedurile pentru reparaiile/mbuntirile necesare: a. cererea, b. estimrile de cost, c. aprobri, d. comanda i supravegherea, e.verificarea i decontarea facturilor; Trebuie s se aib grij la diferenierea dintre mbuntirea cosmetic , care ar fi clasificat ca o cheltuial operaional, i mbuntirea unui capital sau a unui bun nchiriat, care ar avea o viat de utilizare predeterminat i ar fi amortizat de-a lungul vieii sale de utilizare. 5. Exist o verificare care s asigure c ntreinerea satisface banca? 6. Se verific procedurile de control n legtur cheltuielile cu energia i decontarea facturii. 7. Se evalueaz dac energia este consumat la un cost eficient i ntr-o manier contiincioas fa de mediu. C. Asigurarea 1. Se obine un scadenar al polielor de asigurare n vigoare la data examinrii i se verific politicile de baz pentru: a) completitudine (incluznd cesionarea), b) validitate, c) acoperire,
90
Audit Bancar
MSBANK
91
d) deductibiliti, e) banca s fie artat ca asigurat sau beneficiara pierderii, f) protejare. 2. Se verific prima de asigurare pentru: a. Corectitudine, b. autorizarea adecvat, c. plata prompt pentru a evita intermitene n acoperire, d. tratamentul contabil cu privire la primele prepltite. 3. Sunt primele de asigurare eficiente din punct de vedere al costului? 4. osete banca serviciile unui broker profesionist pentru a obine sfaturi despre prime reduse? 5. n cazul n care banca folosete un broker: s-au obinut oferte competitive de la un numr de societi de asigurri destul de mare pentru a asigura ratele de prim cele mai bune? 6. tot ceea ce se poate asigura este acoperit de o poli de asigurare? S se rein c, n principiu, banca trebuie s caute protecia mpotriva numai a acelor riscuri care ar cauza, dac s-ar petrece, pierderi nsemnate sau care ar amenina existena viitoare a bncii. n legtur cu riscurile minore, banca trebuie mai degrab s se autoasigure i s acopere pierderile dac i atunci cnd acestea au loc din fluxul de numerar (cash flow), pentru c aceast abordare este n general mai puin costisitoare dect asigurarea pentru fiecare risc care este asigurabil teoretic. 7. Se verific dac acoperirea prin asigurare este adecvat referitoare la riscurile de baz. n mod tipic, o astfel de verificare ar atinge probleme ca cele ce urmeaz: a. este suficient asigurarea pentru instrumentele n numerar/negociabile pentru a acoperi sumele mari? b. s-au luat n consideraie la asigurare amelioraiunile/eliberrile de active fixe. c. s-au ncheiat polie de asigurare nenecesare pentru riscuri care sunt deja acoperite de ctre asigurri a unei tere persoane (ex. asigurarea proprietarilor pentru cldirile nchiriate). 8. Se verific orice pierdere nregistrat de banc n legtur cu riscurile asigurate i se evalueaz procedurile pentru trimiterea i decontarea despgubirilor. 9. A cumprat banca o poli de asigurare de fidelitate care s acopere pierderile din fraude? Au avut loc fraude i au fost trimise cereri de despgubire pentru societile de asigurri?
91
Audit Bancar
MSBANK
92
D. Arhive, Pstrarea nregistrrilor 1. Exist o politic cuprinztoare referitoare la pstrarea nregistrrilor, stabilind perioadele de pstrare pentru toate tipurile de nregistrri i documente? 2. Sunt astfel de perioade de pstrare n conformitate cu reglementrile locale i/sau internaionale? 3. Sunt pstrate toate nregistrrile n conformitate cu politica? 4. Este restricionat accesul la arhive numai persoanelor autorizate? 5. Cum sunt eliberate nregistrrile dup perioada de pstrare? 5.1. (sensibile) sunt tocate? 5.2. fa de mediu i cu un cost eficient? 6. Exist o ordine transparent de arhivare care s asigure o urmrire uoar a nregistrrilor cnd este necesar? 7. n cazul arhivelor externe: se verific contractul cu furnizorul extern, n special n legtur cu: 7.1. secretul bancar, 7.2. procedurile de acces 7.3. timpul de introducere, 7.4. timpul terminrii E. Camera de coresponden 1. Se verific procedurile referitoare la primirea corespondenei pentru a se asigura c ntreaga coresponden este procesat n timp util i cu o grij considerabil referitoare la aspectele normale de secret. n particular, aceast verificare trebuie s ating urmtoarele probleme: 1.1. se livreaz toat corespondena primit ctre i deschis de ctre unitatea central (cu excepia scrisorilor personalizate sau confideniale care trebuie s fie nmnate destinatarului)? Sunt toate documentele (incluznd pierderile din documentele tocate) eliberate ntr-o manier contiincioas documentele importante
92
Audit Bancar
MSBANK
93
1.2. Este realizat deschiderea i sortarea corespondenei de ctre un angajat care nu acioneaz ca i casier, contabil sau alt funcie originatoare sau introductoare de alte nregistrri ale bncii? 1.3. Este aceast funcie rotat periodic ntre doi sau mai muli angajai? 1.4. Exist nregistrri ale corespondenei primite i poate fi aceast coresponden urmrit pn la ultimul primitor? 1.5. Exist nregistrri pentru primirea de numerar sau instrumente negociabile i este adus la cunotina unitii procesatoare aceast primire? 1.6. Este livrat toat corespondena primit prompt ctre zonele procesatoare? 1.7. Se aplic tampila cu data i ora pe corespondent? 1.8. neleg oamenii implicai n activitatea de coresponden distribuirea responsabilitilor n cadrul bncii aa nct corespondena primit s poat fi alocat prompt ctre unitatea relevant? 2. Se verific procedurile n legtur cu corespondena trimis: a. este colectat corespondena trimis n mod periodic de la diferitele uniti ale bncii? b. este aceasta introdus prompt n plicuri cu timbru pentru a se asigura c prsete banca n aceeai zi? c. este personalul implicat avertizat corect despre taxele potale aferente tuturor tipurilor de coresponden/destinaii pentru a se asigura c scrisorile nu au fost timbrate nici peste dar nici sub valoarea normal? d. sunt primite confirmri de la autoritile potale n legtur cu corespondena nregistrat i consignaia de valori? e. exist un sistem de control care s previn utilizarea neadecvat a timbrelor potale sau a mainilor potale? f. exist proceduri care s previn fiecare angajat de la sustragerea de coresponden pentru a zdrnici livrarea sa ctre clieni (ex. traderii ridicnd confirmrile dealerilor)? 3. Se verific procedurile n legtur cu serviciul de curierat: a. contractele (acorduri), b. costurile/verificarea facturilor, c. utilizarea, d. scadenarul livrrilor i recepionrii, e. ofertele periodice competitive de la diferii curieri.
93
Audit Bancar
MSBANK
94
4. Exist o politic n legtur cu corespondena privat a angajailor? a. rechizitele/timbrele s nu fie utilizate pentru corespondena privat; b. angajaii ar trebui s fie descurajai n a primi scrisori private pe adresa bncii F. Mainile companiei 1. Exist o politic aprobat referitoare la mainile bncii stipulnd norme clare despre cine este ndreptit s utilizeze mainile? 2. Stipuleaz aceast politic n mod clar care din cheltuielile realizate sunt suportate de banc/angajat? 3. Sunt cumprrile maini i decontarea cheltuielilor curente n conformitate cu politica de mai sus? 4. Dac utilizarea mainii bncii constituie un beneficiu impozabil: este reflectat corect aceast situaie n calcularea tatelor de salarii ale angajailor? 5. Sunt oferite rabaturi (reduceri) de ctre dealerii de maini? 6. S-au ncheiat acorduri cu staii de benzin/ntreinere i staii de service pentru a asigura reduceri adecvate? 7. Se verific procedurile referitoare la alegerea mainilor bncii: 7.1. 7.2. a. sunt cheltuielile distribuite pe fiecare main? b. Sunt cheltuielile peste medie urmrite? G. Mijloace fixe/obiecte de inventar/rechizite 1. Au fost autorizate achiziiile de mijloace fixe/obiecte de inventar n conformitate cu politica de cheltuieli a bncii? 2. S-au obinut oferte competitive nainte de a se face comanda? Se evalueaz explicaiile n cazul n care cea mai bun ofert nu a fost aleas. 3. Angajaii bncii au confirmat cu acuratee primirea bunurilor comandate nainte de decontarea facturii? metodologia de obinere a unui pre de vnzare real (valoarea contabil/valoarea de pia/valoarea oficial), licitaie. 8. Se verific informaiile conducerii asupra cheltuielilor aferente mainilor bncii:
94
Audit Bancar
MSBANK
95
4. S-au oferit reduceri adecvate de ctre furnizor n cazul unor comenzi mari sau continue? 5. S-au nregistrat amelioraiunile la mijloacele fixe ce depesc o anumit sum (care trebuie s fie n conformitate cu reglementrile fiscale locale) la capitolul mijloace fixe i au fost trecute la cheltuieli acelea sub suma limit? 6. Se amortizeaz mijloacele fixe n conformitate cu reglementrile locale? 7. Sunt nregistrate adecvat toate mijloacele fixe n registru i pot fi identificate uor prin registru (ex. prin numerotare n serie)? 8. Se realizeaz cel puin anual un inventar al mijloacelor fixe? 9. Se verific procedurile referitoare la casarea (cedarea) mijloacelor fixe. 10. Sunt protejate n mod adecvat mjloacele fixe de furt i nsuire ilegal? 11. Sunt pstrate obiectele de inventar ntr-o manier acurat i ordonat? Se inspecteaz rafturile pentru curenie i se uureaz recuperarea obiectelor de papetrie. 12. Accesul la bunuri (rechizite) este restricionat la persoanele autorizate? 13. Sunt utilizate formulare de rechizite pentru distribuirea acestora? 14. Se ntocmete un registru de stocuri referitoare la rechizite? Sunt nregistrate adecvat toate achiziiile/distribuirile? Ofer acest registru de stocuri semnale de avertisment timpurii pentru comandarea prompt de noi rechizite? 15. Exist sisteme de control adecvate pentru a preveni luarea ilegal de rechizite? 16. 16.1. direct pe pia? 16.2. eficient din punct de vedere al costului? 16.3. nivelul administaiei centrale? 16.4. Sunt stabilite standarde generale pentru achiziiile decentralizate (tip, marc, preuri maxime, etc.)? 17. Se evalueaz dac problemele de mediu sunt luate n consideraie la procesul de achiziii (ex. hrtie reciclabil, articole care pot fi reciclate uor dup terminarea vieii lor de utilizare fr a deteriora mediul). Sunt stabilite bugete pentru achiziiile descentralizate i se respect aceste bugete adecvat monitorizate la este acest sistem sensibil i Se verific sistemul de achiziie a rechizitelor de ctre unitile descentralizate/sucursale: sunt autorizate s comande
95
Audit Bancar
MSBANK
96
18. Se verific dac utilizarea copiatorului este monitorizat i dac exist msuri de prevenire i de detectare mpotriva utilizrii neautorizate sau abuzive. H. Comunicaiile 1. Se verific nregistrrile echipamentelor existente (telefoane, telecopiatoare, telexuri, etc) i se evalueaz dac locaia fiecrui articol este bine documentat. 2. Se verific sistemul de monitorizare n legtur cu cheltuielile de comunicare: 2.1. fiecare utilizator? 2.2. efilor de departament pentru verificare? 2.3. fiind abuzive, urmrite? 3. Sunt contieni angajaii de cheltuielile respective? 4. Exist restricii pe interioarele de telefon pentru convorbirile la distan lung? 5. Sunt cheltuielile cu telefonul, telex i telecopiator impuse clienilor de fiecare dat cnd este posibil? 6. Personalul dispecer vorbete limbi strine pentru a ntmpina adecvat telefoanele primite? 7. Dispeceratul este dotat cu lista tuturor interioarelor i este aceasta actualizat n mod adecvat oricnd au loc schimbri de personal? 8. Este restricionat accesul la telecopiatoare i mainile telex doar ctre personalul autorizat? 9. Sunt cheile de test pstrate n loc sigur pentru a asigura c persoanele neautorizate nu au acces? 10. Sunt detectate prompt mesajele telex de testare i este acest exerciiu documentat prin iniialele personalului responsabil? 11. Sunt telexele i faxurile primite distribuite prompt ctre unitile responsabile? I. Securitatea general 1. Se menine o list a cheilor i se verific periodic dac lipsesc chei? 2. Sunt modificate periodic codurile de acces? 3. Exist un program scris de securitate i a fost acesta aprobat de ctre conducere?
96
pot fi mprite cheltuielile pe Sunt asfel de distribuiri supuse Sunt cheltuielile, care apar ca
Audit Bancar
MSBANK
97
4. Se verific acest program pentru urmtoare prevederi: 4.1. un program pentru inspeciile periodice, testarea i utilizarea instrumentelor de securitate instalate n banc, incluznd nregistrrile pstrate referitoare la astfel de inspecii, testri i utilizri. 4.2. se determin dac toate devizele i instrumentele negociabile sunt pstrate n tezaure cu ncuietori sau n seifuri n timpul orelor nelucrtoare i sub controlul adecvat n timpul orelor de lucru. 4.3. lungul perioadei pentru care sunt utilizate. 4.4. programului de securitate. 5. Exist un ofier de securitate desemnat s administreze programul scris de securitate? 6. Se verific sistemul existent pentru paza cldirilor n timpul orelor nelucrtoare, incluznd sistemele de alarm la unitile slab protejate. 7. Sunt localizate n mod vizibil extinctoarele de foc? Sunt acestea verificate periodic? Este personalul pregtit pentru utilizarea lor? 8. Sunt efectuate exerciii de incendii periodic pentru angajai? 9. Exist truse de prim ajutor i se verific periodic coninutul lor n vederea renlocuirilor necesare? 10. Exist ui de salvare i coridoare neobturate de materiale care ar putea obstruciona trecerea sigur n caz de urgen? J. Personal n aria de cuprindere a auditului trebuie s fie inclus tot personalul ce raporteaz efului departamentului de administraie, ex: - recepionitii, - operatorii telefonici, - mesagerii. Aceast verificare se va concentra asupra urmtoarelor aspecte: 1. Utilizarea capacitilor disponibile;
97
desemnarea unei persoane care va asigura c toate instrumentele de securitate sunt n funciune i opereaz de-a pregtirea i repregtirea
periodic a ntregului personal referitor la responsabilitile lor din cadrul
Audit Bancar
MSBANK
98
2. Pregtirea adecvat; 3. Planuri de nlocuire n cazul absenei de la birou; 4. Economisiri posibile prin realocarea responsabilitilor (ex. conceptual integrator (pool concept) pentru recepioniti/operatori de telefonie sau mesageri/ personal arhivar); 5. Economisiri posibile prin evitarea lucrului peste program (ex. sistemul de ture de lucru, angajai part-time, restructurarea ncrcturii (sarcinii) muncii) Aceast verificare va atrage dup sine o inventariere complet a tuturor ndatoririlor i responsabilitilor personalului respectiv pentru a se identifica domeniile posibile unde ndatoririle ar putea fi asumate de ctre resurse la costuri mai mici. 5.9. Auditul de conformitate Auditurile de conformitate sunt realizate n primul rnd ca o verificare a aderrii bncii la reguli i reglementri i ca o evaluare a corectitudinii, completitudinii i siguranei datelor contabile. ntr-un audit atotcuprinztor, acestea sunt alturate evalurii sistemului (n faza de testare referitoare la proceduri i controale). n cazurile n care se realizeaz un audit pur de conformitate, procedurile operaionale nu sunt un obiectiv major al unui astfel de audit, dar ele trebuie s nu fie neglijate ntr-un tot. Neconformitatea poate fi rezultatul erorii umane, neglijenei sau unei purtri rele, dar n mod egal rezultatul direct sau indirect al procedurilor sau slbiciunilor de control. Instrumentele majore implicate sunt: 1.1 Numrarea stocurilor Exemplu: 1. numerar, 2. cecuri de cltorie, 3. instrumente negociabile, 4. instrumente de titlu, 5. bunuri n depozitare, 6. echipamente de birou i alte maini de lucru. Astfel de audituri nu sunt n mod obinuit anunate n avans,ci sunt realizate inopinat. 1.2 Verificri de siguran Exemplu: corectitudinea
98
Audit Bancar
MSBANK
99
1. calculelor de dobnzi i comisioane, 2. conturilor furnizori/clieni, 3. cereri de rambursare cheltuieli, 4. reevaluarea valutar. 1.3 Autoritile de aprobare Exist aprobri adecvate pentru toate tranzaciile ce solicit aprobarea aa cum politicile i procedurile existente stipuleaz? 1.4 Contabilizarea Procedurile de operare trebuie s asigure c toate tranzaciile sunt introduse n conturile respective n mod corect, complet i fr ntrziere. Este responsabilitatea auditorului s se asigure, prin mijloace de testare pe baz de eantion semnificativ, c aceste obligaii primare sunt satisfcute. Aceasta include aderarea la principiile de contabilitate existente (att locale ct i internaionale). 1.5 Obligaii legale Auditorul trebuie s se asigure c unitatea respect toate obligaiile, ex: 1. legea bancar, 2. reglementrile bncii centrale, 3. principiile naionale de contabilitate, 4. secretul bancar, 5. prevenirea splrii banilor. 1.6 Reglementri de protecie 1. restricii de acces, 2. parole, coduri, 3. custodia cheii, 4. programe de urgen, 5. acoperire cu asigurarea, Att timp ct nu exist o organizare sau procedur perfect, este chiar normal ca n cursul unui audit de conformitate s fie prezentate erorile i punctele slabe. Pentru a evalua impactul unor astfel de cazuri asupra operaiilor generale a entitii auditate, va fi necesar s se identifice tipul, mrimea, frecvena producerii a astfel de deficiene.
99
Audit Bancar
MSBANK
100
n mod echivalent, motivele de baz urmeaz s fie explorate, ex: 1. separarea neadecvat a funciilor, 2. probleme de resurse umane (pregtire, experien), 3. lipsa supravegherii manageriale, 4. sisteme de control insuficiente, 5. puncte slabe ale sistemelor, 6. probleme de interfa cu alte uniti. Auditorul trebuie s fie informat despre motive pentru a fi capabil s recomande soluiile efective pentru problemele aprute. n elaborarea recomandrilor, este responsabilitatea auditorului de a gsi un echilibru adecvat ntre: 1. riscul rezultat din punctele slabe identificate, i 2. costurile adiionale provocate de aciunile de remediere recomandate. 5.10. Auditul sistemelor informaionale n funcie de capacitatea disponibil a auditului i a cunotinelor de IT, grupul de audit trebuie s realizeze audituri referitoare la IT pentru urmtoarele domenii/proceduri: securitatea fizic, auditul profilului utilizatorilor, verificarea pstrrii datelor i a sistemului de salvare a datelor, precauiile de recuperare dup dezastre sau planuri de contigen, controalele aplicaiei, securitatea tranzaciilor.
Securitatea fizic Se determin dac: procedurile de personal i responsabilitile abordeaz terminarea contractului de munc, funcii ncruciate i pregtiri legate de sisteme; controalele legate de securitatea fizic sunt adecvate pentru a preveni accesul neautorizat n perimetrul centrului informatic;
100
Audit Bancar
MSBANK
101
controalele de mediu sunt adecvate pentru a minimiza pierderile aferente hardware/software provocate de incediu sau inundaie; procedurile de backup (nlocuire- salvare) unui dezastru. sunt adecvate pentru a minimiza ntreruperile i pentru a proteja banca mpotriva pierderii de date n eventualitatea
1.1. Aspecte organizatorice/proceduri de personal Se identific acele poziii responsabile pentru meninerea programelor, alternanei sistemului/fiierelor de date i utilizarea diferitelor sisteme ale centrului informatic. Dac este necesar, se verific fiele de post scrise pentru fiecare responsabilitate funcional descris n organigram; Se determin dac s-au realizat prevederi pentru nlocuirea personalului din poziiile cheie; Se determin dac procedurile de terminare sunt adecvate: a) cardurile de identificare ale angajatului trebuie s fie returnat atunci cnd el sau ea a terminat contractul de munc, b) parolele care au fost utilizate de angajatul ce-i termin contractul de munc trebuie s fie anulate sau schimbate, c) cheile angajatului respectiv trebuie s fie returnate i/sau ncuietoarele s fie schimbate, d) exist o sesiune/procedur de verificare a terminrii contractului de munc? Se determin dac este oferit o pregtire i supraveghere adecvat referitoare la sistem acordat angajailor ce utilizeaz sistemul; Se determin dac personalul prestatorilor de servicii este supravegheat n timpul ederii acestuia n centrul informatic; Se obine sau documenteaz o opinie general asupra sistemelor informatice (incluznd resursele de hardware, software, personalul de ntreinere/design i utilizatorii) din cadrul centrului informatic; Se determin pragul critic general al fiecrui sistem major identificat; Pe liniile de reea se includ n cadrul sistemului de securitate aspecte de call-back sau cteva alte mijloace de control care s asigure accesul autorizat?
101
Audit Bancar
MSBANK
102
Se determin dac exist proceduri scrise de operare a sistemului (n special pentru deschiderea i nchiderea calculatorului, meninerea fiierelor i ntreinerea preventiv).
1.2.
Securitatea fizic/controalele mediului
Se determin dac procedurile i politicile de securitate fizic sunt adecvate prin evaluarea controalelor cu ajutorul interviului i observaiei. Se utilizeaz urmtorii pai de audit/ntrebri n determinarea adecvrii: se asigur c exist proceduri scrise valabile care previn acordarea de acces la facilitile informatice personalului neautorizat, se asigur c personalul autorizat este n mod specific definit n standardele de operare i/sau proceduri, se observ la cteva momente diferite dac doar persoanele autorizate sunt n aria de procesare, se determin dac facilitile din camera calculatoarelor sunt restricionate prin utilizarea de chei, cartele magnetice sau alte dispozitive de securitate automatizate, locul unde se afl serverele este situat la parter i exist o fereastra de observaie? locul unde se afl serverele se afl la subsol? exist aer condiionat la parter care preia aer din exterior? exist un acces direct la locaia serverelor din exterior sau printr-un hol public? sunt pstrate ntr-o custodie adecvat cheile de la cabinete, camerele cu echipamente i dulapurile electrice? este centrul informatic protejat mpotriva catastrofelor, ex. coliziuni ale aeronavelor, etc? Adecvarea sistemelor de protecie mpotriva incendiilor trebuie s fie determinat prin utilizarea urmtoarelor aspecte: instruciuni clare i adecvate mpotriva incendiilor trebuie s fie pstrate ntr-un loc strategic; alarm de incendiu i ntreruptoare de urgen pentru curent electric trebuie s fie clar vizibile i neobstrucionate;
102
Audit Bancar
MSBANK
103
camera calculatoarelor trebuie s aib un sistem de stingere a incendiilor care trebuie s fie testat periodic de ctre reprezentantul service-ului; sistemul de detectare a incendiului trebuie s detecteze fumul, cldura excesiv sau miros de combustibil; detectoarele trebuie s fie localizate n conductele de aer din tavan i sub podeaua fals; detectoarele trebuie s fie testate frecvent i protejate printr-o surs de electricitate suplimentar; atunci cnd alarma de incendiu este activat, ea trebuie s sune n afara camerei cu calculatoare pn la staia de paz i la o staie de pompieri sau centru de control urgene;
personalul centrului de date trebuie s fie capabil s identifice sonorul alarmei de incendiu.
Echipamentul de mediu i controalele trebuie s fie adecvate pentru a proteja hardwareul mpotriva pagubelor. Se utilizeaz urmtoarele domenii pentru a se determina adecvarea: ventilaia i aerul condiionat trebuie s fie adecvat pentru a menine nivelul de temperatur adecvat specificat de ctre productor; nregistrarea termometrelor i indicatorilor de umiditate trebuie s fie localizat aa nct citirea lor s fie uor de realizat; aceste instrumente trebuie s fie monitorizate periodic de ctre o persoan pregtit; hardware-ul trebuie nchis automat pentru a se proteja de pagube dac s-au atins temperaturi neacceptabile; echipamentele de calcul trebuie s fie supuse unor inspecii periodice, curenie i inspecie i trebuie pstrate nregistrri ale acestor activiti; tavanul camerei cu calculatoare trebuie s fie construit adecvat pentru a preveni intrarea apei; trebuie evitat trecerea conductelor i a aburilor prin tavan; o scurgere adecvat trebuie s fie instalat; trebuie s fie instalat un sistem de aer condiionat independent care s fie dotat cu o surs de electricitate de rezerv; tot timpul, camera cu calculatoare trebuie s fie pstrat curat;
103
Audit Bancar
MSBANK
104
care este expunerea la inundaii? ar putea ca o eav spart sau un ru crescut s cauzeze pagube?
Auditul profilelor utilizatorilor Utilizatorii sistemelor informatice trebuie s fie adecvat identificai i angajaii care au acces autorizat i obligatoriu trebuie s-i realizeze ndatoririle stabilite. n plus, trebuie s existe i meninute accesri i piste de audit (audit trails) pentru a reflecta accesul utilizatorului i modificrile realizate la fiierele de date sensibile (ex. fiierul original al prestatorului de servicii, fiierele originale de furnizori/clieni, fiierul original al angajatului, fiiere de tate de plat): Se cere o copie a politicilor de securitate a accesului; Se ntreab directorul de IT dac exist o procedur scris ca s controleze adugrile sau modificrile la restriciile de acces ale utilizatorilor cureni; Se obin copii ale unor formulare de autorizare a accesului i se verific acurateea autorizrilor i accesului (acestea ar trebui sa fie pstrate de ctre IT ca o pist de audit); Se ntreab directorul de IT cum este notificat departamentul de IT atunci cnd un angajat i termin contractul de munc sau i schimb responsabilitile; Se ntreab directorul de IT dac exist utilizatori care au capabilitatea de supraveghetori sau care au acces nelimitat; Cum sunt tranzaciile sau aciunile aprobate i documentate atunci cnd au fost iniiate de aceti angajai: 1. se ntreab directorul de IT dac modificrile reelei sunt autorizate i documentate (trebuie s existe o pist de audit a modificrilor echipamentului de reea); 2. se ntreab directorul de IT dac etichetele de sistem sunt pstrate; 3. exist etichete de acces la sistem care s nregistreze accesul la calculator sau la reeaua de comunicare; 4. exist etichete de tranzacii/piste de audit pentru a nregistra adugrile, tergerile i modificrile realizate datelor; 5. se ntreab directorul de IT dac etichetele problem sunt pstrate de centrul de date/operaiuni;
104
Audit Bancar
MSBANK
105
6. se ntreab directorul de IT dac etichetele activitii sistemului sunt utilizate pentru a captura utilizarea resurselor de hardware asociate serverelor, CPU, activitii de salvare a accesului. Acesta este mijlocul primar pentru identificarea problemelor de procesare create de ctre componente neadecvate sau euate; Se ntreb directorul de IT care proces/procedur asigur conformitatea cu contractele de licen pentru software; Se ntreab directorul de IT dac accesul n sistemul informatic este mprit ntre utilizatori. Accesul mprit ct i parolele trebuie s fie interzise dac civa utilizatori nu solicit acces doar la interogri de date/informaii neconfideniale; Se ntreab directorul de IT dac modemurile sunt ataate la server (ofer acces la distan); Se intervieveaz administratorii de sistem pentru a se determina dac li s-au oferit seciuni de pregtire referitoare la securitizarea serverelor; Se determin dac exist topologie a reelei; Se ntreab directorul de IT dac este cineva responsabil pentru contabilizarea tuturor hardware-urile i softurile din cadrul companiei; Se ntreab directorul de IT cum sunt protejate de virui computerele i serverele; Se determin ce proceduri exist pentru a preveni sau detecta prezena unui virus in servere i se verific cine este responsabil pentru realizarea acestor proceduri; Sunt ncrcate softuri anti-virus pe staiile de lucru i cunosc utilizatorii cum s ruleze programul? Se ntreab civa utilizatori pentru a se determina dac cunosc care sunt paii ce trebuie urmai dac un virus este detectat sau suspectat pe calculatorul lor?
Verificarea pstrrii datelor i planului de rezerv-salvare (backup) Privire general se discut despre administrarea nregistrrilor cu personalul responsabil; se obine o copie a standardelor i procedurilor referitoare la administrarea nregistrrilor (casetelor);
105
Audit Bancar
MSBANK
106
se determin dac sistemul informatic a setat fiiere de date i perioadele de pstrare a nregistrrilor; Se determin dac aceste perioade de pstrare sunt rezonabile pentru planul de rezerv (backup), dezastre/recuperare i audit.
Procedurile de salvare i controalele Se determin dac procedurile de salvare a sistemul i fiierelor de date sunt adecvate pentru a minimiza timpul de recuperare i /sau pierdere de date; Ct de des sunt salvate casetele i sunt pstrate n afara bncii? Cum sunt controlate informaiile sensibile/critice? Se asigur c fiierele critice i programele sunt salvate i pstrate n afara bncii din motive de recuperare; Ce proceduri au fost stabilite pentru a asigura conformitatea operrii calculatorului cu procedurile de salvare? Exist proceduri dezvoltate pentru a se asigura integritatea i completitudinea proceselor de salvare programat? Se determin dac salvrile sunt pstrate n afara bncii? Se asigur dac un numr adecvat de generaii sunt pstrate n afara bncii; Trebuie s se utilizeze etichete externe i interne pentru a identifica casetele.
Recuperarea Se verific dac planurile de rencepere/recuperare a ntreruperilor calculatoarelor pe termen scurt includ abilitatea de a identifica starea tuturor procesrilor la punctul unde aplicaia a euat pentru a stabili sfritul nregistrrii tranzaciilor; Au fost stabilite proceduri de recuperare pentru volumele de salvare? Au fost testate procedurile? Au fost testate procedurile de recuperare a bazei de date? Se determin dac facilitatea calculatorului i depozitarea materialelor a fost testat periodic. Sunt fiierele de salvare testate pentru fezabilitate (6-12 luni)?
106
Audit Bancar
MSBANK
107
Securitate Cine are acces la realizarea salvrii? Cum obine procesul de salvare accesul la un sistem? Care sunt procedurile pentru mutarea casetelor din bibliotec? Se verific dac fiierele de salvare din afara bncii sunt protejate.
Documentarea Sunt pstrate liste de inventar cu casetele depozitate n afara bncii? Sunt documentate problemele i soluiile pentru a arta care sunt paii ce trebuie urmai pentrua restaura fiierele sau integritatea programului? Precauii de contigene i recuperare dup dezastru Obiectivul auditului Se verific dac planul de recuperare dup dezastru este adecvat pentru a asigura repornirea sistemelor informatice n timp util de-a lungul unor condiii adverse i dac este n concordan cu planul actual de continuare a afacerii i reflect mediul actual de desfurare a afacerii. se determin dac exist planuri de recuperare a aplicaiei pentru restaurarea proceselor computerizate dup o ntrerupere pe termen scurt i lung; se verific dac aceste planuri abordeaz att nevoile de restaurare tehnic ct i procedurile alternative de procesare a utilizatorului-final; se stabilesc ct timp ar putea organizaia funciona confortabil i evita pierderile financiare semnificative dac aspectele computerizate ale acestei activiti ar eua; se verific dac planurile de repornire/recuperare i recuperarea de dup dezastru ofer posibilitatea restaurrii acestei activiti n timpul necesar pentru a evita pierderile financiare semnificative. Chestionar
107
Audit Bancar
MSBANK
108
etc.
Exist un plan de recuperare de dup dezastru? Dac exist un plan, cnd a fost actualizat ultima oar? Care sunt procedurile de actualizare a planului? Cine este responsabil pentru administrarea sau coordonarea planului? Este responsabilitatea administratorului/coordonatorului s actualizeze planul? Exist o echip de implementare a recuperrii de dup dezastru? Unde este pstrat planul de recuperare de dup dezastru? Unde este pstrat lista cu coordonatele echipei de implementare? Unde este locul de facilitare a salvrii? Exist locuri alternative? Exerciiul include utilizarea facilitilor de salvare? Dac nu, cnd au fost ultima oar utilizate facilitile de salvare? Dac au fost utilizate cu peste un an n urm, cum a determinat organizaia c programele sale pot nc funciona pe echipamentele de rezerv? Care a fost rezultatul exerciiului? Cum a mbuntit pregtirea? Ce sisteme critice sunt acoperite de plan? Ce sisteme nu sunt acoperite de plan? De ce? Planul funcioneaz n orice condiii? Care este procedura pentru activarea planului?
Documentare se obine copia planului organizaiei de recuperare de dup dezastru, se obine o list a membrilor echipei de implementare, se obine o copie curent a organigramei, se obine lista actual a stocurilor, se obine o copie a contractelor cu privire la utilizarea facilitilor de rezerv.
108
Audit Bancar
MSBANK
109
Paii testului Se verific planul de recuperare de dup dezastru; Se verific dac planul conine calificarea datei pentru a se asigura moneda; Se verific dac planul a fost actualizat n ultimele 12 luni; Se verific dac exist o monitorizare efectiv a strii supraveghere a planului; Se verific locul de pstrare a planului; dac este diferit fa de cel mai de sus, se verific locaia de pstrare a listei de contact a echipei de implementare; Se verific dac lista cu echipa de implementare conine asociai activi, titlul lor actual i locaia, incluznd domiciliul prezent i numerele de telefon de la birou; Se verific dac membrii echipei sunt contieni de rolul i responsabilitile lor; Se verific dac un program de testare i pregtire exist i este adecvat (cel puin anual); Se verific data exerciiului; Se verific dac punctele slabe identificate n ultimul exerciiu au fost abordate i corectate; Se verific dac planurile corespund planului de continuare a afacerii; Se verific dac planul reflect mediul actual al sistemului; Se verific dac toate programele critice, fiierele de date, resursele de calculatoare (i sistemul de operare) sunt acoperite; Se verific dac sistemele neacoperite sunt sub observaie; Se verific dac planul incorporeaz prioritizarea aplicaiilor critice i a sistemelor; Se verific dac planul acoper procedurile pentru declararea dezastrului, nchiderea general i migrarea operaiilor ctre locul de rezerv; Se verific dac planul include cerinele de timp pentru recuperarea/disponibilitatea unor astfel de sisteme critice i c ele sunt rezonabile; Se verific orice contract pentru utilizarea facilitilor de rezerv i documentele respective. Se verific dac locul este adecvat; Se verific dac locul are hardware adecvat i dispozitive de telecomunicaii pentru restaurarea operaiilor;
109
Audit Bancar
MSBANK
110
Se verific procedurile pentru evaluarea periodic a facilitilor de rezerv i echipamentelor pentru a se asigura adecvarea; Se verific dac locul este adecvat protejat de accesul neautorizat; Se verific dac este eficient protecia echipamentelor i soft-urile de rezerv; Se verific dac contractele cu locul de rezerv sunt de natura i la un nivel organizaional care au o probabilitate substanial de a putea fi onorate pentru perioade substaniale (50 ore pe sptmn pentru dou sptmni consecutive);
Se verific dac planul conine contigene n cazul condiiilor adverse prelungite; Se verific dac planurile conin instruciuni scrise de operare i proceduri ce include procedurile de regenerare a sistemului; Se verific locul de depozitare a stocurilor; Se verific dac planul include proceduri controlate pentru restaurarea locului original pentru operaiile normale; Se verific eficacitatea procedurilor de rezerv n general; Se verific dac programul critic, fiierele de date i resursele computerizate definite pentru planul de rezerv sunt de fapt create i trimise n afara bncii; Se verific dac biblioteca media actual realizat de ctre utilizatori corespunde bibliotecii de la locul de rezerv;etc.
Controalele aplicaiei Utilizatorii-finali Se determin mijloacele primare de introducere i procesare de date; Se determin dac organizaia practic dreptul de proprietate asupra datelor. Dac da, se identific i intervieveaz proprietarul datelor pentru a se determina dac a neles rolul i responsabilitile sale; Se intervieveaz un eantion de directori - utilizatori finali pentru a se determina atitudinile conducerii-utilizatoare final cu privire la calitatea i efectivitatea sistemului; Se determin de la conducerea-utilizatoare final ce neleg ei c reprezint riscurile, expunerile i limitrile asociate cu sistemul;
110
Audit Bancar
MSBANK
111
Se determin numrul de utilizatori finali ce lucreaz cu sistemul, locaiile lor i responsabilitile asociate sistemului. Se obine o organigram pentru aceste poziii i oameni.
Se determin dac aceast aplicaie genereaz date pentru agenii legale sau reglementare; Se evalueaz calitatea documentelor utilizatorului final; Se identific programele de pregtire disponibile pentru utilizatorii finali. Se evalueaz aceast pregtire pentru a se determina dac este adecvat, actual i disponibil pentru oamenii noi;
Se determin dac activitatea utilizatorului final este adecvat supervizat.
Interfaele sistemului se determin ce alte aplicaii interfereaz (manual sau electronic) cu aceast aplicaie; se determin cum verific sau asigur utilizatorul final c interfaele furnizeaz date complete, adecvate i autorizate. Administrarea fiierelor se determin perioadele de pstrare pentru diferitele fiiere de date ale aplicaiilor cheie; se evalueaz dac perioadele de pstrare satisfac raportarea ctre conducere, raportarea ctre autoritile fiscale i cerinele interne de contabilitate; Se determin dac utilizatorul final, conducerea i proprietarii de date sunt contieni de perioadele de pstrare ale diferitelor fiiere de date ale aplicaiilor cheie i dac aceti directori sunt satisfcui cu durata de pstrare. Securitatea tranzaciilor Se identific toate tranzaciile din cadrul fiecrui subsistem (incluznd acelea generate automat de ctre calculator). Controalele introducerii
111
Audit Bancar
MSBANK
112
Controalele introducerii asigur c tranzaciile sunt introduse i acceptate de ctre calculator, procesate doar o dat, fr duplicate i erorile n cmpurile de date financiare i nefinanciare sunt identificate, separate de tranzaciile valide, corectate n timp util, i returnate procesrii primare. Cum sunt iniiate tranzaciile? Cum este tranzacia autorizat (semntura manual, semntura electronic, autorizarea accesului la ecran, etc)? Cine introduce datele surs? Sunt aceste persoane separate de acelea care reconciliaz rezultatele procesrii? Cum sunt datele surs introduse n aplicaie? Dup ce datele surs sunt introduse n aplicaie, sunt ele marcate cu verificat sau semnate ntr-un fel care s indice c au fost introduse, reducnd riscul duplicrii accidentale sau reutilizarea documentului? Exist o separare de ndatoriri adecvat pentru cei autorizai s actualizeze datele? Cum sunt controlate documentele de date surs pentru completitudine i acuratee? Exist o perioad de pstrare pentru datele surs?
Se identific controalele existente care asigur completitudinea i acurateea introducerii: Dac controalele introducerii include utilizarea de totaluri de control, sunt comparate totalurile generate de calculator cu totalurile stabilite independent? Ce rapoarte obin utilizatorii pentru a verifica i monitoriza operarea aplicaiei (totaluri de control, sumarizri, numrarea erorilor, rapoarte de excepii, etc)? Se determin cum sunt evitate sau identificate tranzaciile duplicat? Se determin dac i cum sunt datele primite de la alte aplicaii validate pentru completitudine i acuratee. Controalele de procesare Controalele de procesare asigur c tranzaciile sunt acceptate de ctre calculator, procesate cu o logic valid, trecndu-se prin toate fazele procesrii i actualizate n fiierele de date corecte.
112
Audit Bancar
MSBANK
113
se identific controalele existente pentru asigurarea completitudinii i acurateei procesrii; se documenteaz procedurile de reconciliere ale utilizatorului final care faciliteaz completitudinea i acurateea procesrii; ce rapoarte obin utilizatorii pentru a verifica i monitoriza operarea aplicaiei? se descrie cum se verific totalurile de control; se descrie orice comparare a rezultatelor aciunilor la cele anterioare pentru verificri rezonabile; cum verific utilizatorii actualizrile fiierelor contra autorizaiilor? se determin dac procedurile de reconciliere speciale trebuie s fie aplicate la sfritul lunii, anului fiscal, etc.
Corectarea erorii Se determin impactul pe care datele i erorile de procesare le au asupra procesrii; Se determin dac erorile sunt separate ntr-un fiier suspensiv; Se determin dac acest fiier este cumulativ sau nu; Se verific rapoartele de erori pentru a determina dac sunt de mrime rezonabil; Se determin cum sunt corectate erorile; Se determin dac tranzaciile corectate sunt autorizate; Se verific dac tranzaciile corectate sunt reintroduse n procesarea principal fie la punctul iniial de introducere fie printr-un proces de corectare a erorii speciale; Se determin dac procesul de corectare a erorii nlocuiete articolele din fiierul suspensiv; Se determin promptitudinea corectrii erorii; Se identific cum monitorizeaz utilizatorii finali erorile rmase i desfoar n timp util investigaiile suplimentare; Exist o separare adecvat a sarcinilor (custodie, autorizare, nregistrare i reconciliere periodic) pentru cei autorizai s actualizeze datele? Se determin dac toate reconcilierile i procedurile de corecie a erorilor sunt documentate n documentele utilizatorului final;
113
Audit Bancar
MSBANK
114
Exist un raport de excepii generat pentru tranzaciile eronate de mult timp nerezolvate?
Controalele rezultatului Controalele rezultatului asigur c datele rezultatului sunt raportate n manier corect, vizibil/disponibil doar personalului autorizat, adecvat reinute sau distruse, supuse procesrii necesare pistelor de audit i dac sunt eronate, separate de tranzaciile valide, corectate i reintroduse n procesarea principal. se identific dac rezultatul este distribuit; se determin dac distribuirea reduce expunerile la vizualizarea neautorizat a informaiilor sensibile fie prin implicarea imprimantelor de la locaia utilizatorului final fie prin utilizarea listelor de verificare a distribuirii rezultatului; cum asigur organizaia ca rapoartele i fiierele s fie distribuite la utilizatorii finali corespunztori; cine primete rapoartele de rezultat? Sunt ele separate de acelea de desfurare a introducerii? cum verific utilizatorul final c toate rapoartele au fost primite i c toate paginile rapoartelor au fost incluse? includ rapoartele de rezultat urmtoarele informaii de identificare: 1. titlul raportului, 2. numele/numrul programului de procesare, 3. a fost produs data i ora raportului, 4. perioada acoperit. Cum evideniaz utilizatorul final primirea rapoartelor i fiierelor (liste de verificare, semnturile,etc)? Exist o separare adecvat a sarcinilor? Cum sunt identificate i distribuite rapoartele confideniale? Se identific toate formularele speciale utilizate n procesare i raportare. Se determin dac formularele sensibile sunt protejate;
114
Audit Bancar
MSBANK
115
Sunt oamenii responsabili cu protecia documentelor sensibile diferii de cei care pstreaz nregistrrile contabile respective? Exist proceduri speciale de generare a rapoartelor sensibile?
Documentele utilizatorului final Documentele utilizatorului sunt sursele primare de informare pentru tot personalul responsabil pentru utilizarea zilnic a aplicaiei. exist documente ale utilizatorului final ce explic iniierea adecvat a documentului surs, autorizaia, colectarea de date, pregtirea introducerii, administrarea rapoartelor, corectarea erorii i pstrarea rapoartelor/datelor? sunt pstrate documentele surs n aa fel nct datele pierdute sau distruse n timpul procesrii ulterioare pot fi recreate? Fiecare tip de document surs are o perioad specific de pstrare?
Autorizarea Controalele de autorizare asigur c toate informaiile i datele introduse sau utilizate n procesare sunt autorizate de ctre conducere i reprezentanii evenimentului care de fapt are loc. Dac tranzaciile sunt autorizate manual, ce controale asigur c nu are loc nici o modificare neautorizat dup autorizare, ci nainte de stabilirea controalelor de introducere? Se determin dac nivelul conducerii corespunztor autorizeaz activitatea; Dac autorizarea tranzaciei este facilitat de ctre restricii de acces logic, se selecteaz un eantion de reguli de acces la introducerea i actualizarea tranzaciilor i se verific persoana adecvat care are aceste capaciti; Se identific orice depire permis sau trecere pe lng validarea datelor i se editeaz verificrile; Se determin cine poate face depiri i se verific dac acele persoane sunt n poziia de conducere care trebuie s aib aceast autoritate; Sunt nregistrate automat toate depirile aa nct aceste aciuni s poat fi ulterior analizate pentru acuratee.
115
Audit Bancar
MSBANK
116
Separarea ndatoririlor Sunt separate ndatoririle astfel nct nici o persoan s nu realizeze mai mult de una dintre urmtoarele operaii: 1. autorizarea tranzaciei 2. iniierea tranzaciilor 3. introducerea tranzaciei 4. distribuirea rezultatului? Sunt corectate tranzaciile respinse necauzate de introducerea de erori de ctre utilizatorul care a iniiat tranzacia? Are utilizatorul final responsabilitatea ultim pentru completitudinea i acurateea tuturor datelor aplicaiei?
116
Audit Bancar
MSBANK
117
Bibliografie V. Dedu -Gestiune i audit bancar, Editura Economic, Bucureti, 2003 E. Nicolaescu -Auditul interno privire spre viitor, Revista Audit Financiar, ianuarie 2003 J. Renard Teoria i practica auditului intern, Ministerul Finanelor Publice, Bucureti, 2002 A. Rusovici, F. Cojoc, Gh. Rusu Audit financiar, servicii conexe i de consultan n bnci, Monitorul oficial, Bucureti, 2001 J. K. Wagner Asking the Right Questions: Sage Advice for Audit Committees, revista Directors and Boards, septembrie 2000 TCF Financial Corporation, Audit Committee Charter, octombrie 2002 Ordonana de Urgen a Guvernului nr. 75/1999, aprobat cu modificri i completri prin Legea nr. 133/2002, apoi modificat prin Ordonana Guvernului nr. 67/2002, aprobat cu modificri i completri prin Legea nr. 12/2003 Legea nr. 672/2002 privind auditul public intern Norma B.N.R. nr. 17/2003 privind organizarea i controlul intern al activitii bncilor, administrarea riscurilor semnificative, precum i organizarea i desfurarea activitii de audit intern n cadrul bncilor Legea bancar nr. 58/1998 modificat prin Legea nr. 357/2002 i Legea nr. 485/2003 Internal audit in banking organisations and the relationship of the supervisory authorities with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 Internal audit in banks and the supervisors relationship with auditors: A survey, Basel Committee on Banking Supervision, Bank for International Settlements, August 2002
117
Audit Bancar
MSBANK
118
Internal audit in banking organisations and the relationship with internal and external auditors, Basel Committee on Banking Supervision, Basel, 2000 Internal Audit Charter, Internal Audit, Version 1.0, martie 2003 International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors, October, 2001 Framework for internal control systems in banking organisations, Basle Committee on Banking Supervision, Basle, septembrie 1998 The relationship between banking supervisors and banks exterbal auditors, Basel Committee on Banking Supervision, January 2002
118

Audit Bancar

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Audit Bancar

Încărcat de

Drepturi de autor:

Formate disponibile

ACADEMIA DE STUDII ECONOMICE

CATEDRA DE MONEDA Programul de Master Specializat

Prof. univ. dr. Vasile Dedu

CUPRINS CAPITOLUL 1 CAPITOLUL 2 CAPITOLUL 3 CAPITOLUL 4 CAPITOLUL 5 CAPITOLUL 6

1. Consideraii etimologice i evoluioniste privind auditul 2. Definiii

AUDITUL INTERN BANCAR

1. Obiective i modaliti de aciune ale auditului intern bancar

2. Principiile auditului intern bancar

3. Cadrul normativ de desfurare a activitii de audit intern bancar

4. Organizarea auditului intern bancar

Hotararea CAFR nr.88/2007 pentru aprobarea Normelor de audit intern

Independena auditului intern bancar10

Exhaustivitatea auditului intern16

Art. 60 din Regulamentul BNR nr. 18/2009

TCF Financial Corporation, Audit Committee Charter, octombrie 2002

oportunitile de a aduce mbuntiri semnificative activitii de administrare a riscurilor i de control33.

Autoritatea de supraveghere Auditori externi

CONTROLUL INTERN BANCAR

3. Evaluarea sistemelor de control intern de ctre autoritile de supraveghere

2.2. Identificarea i evaluarea riscurilor

RELAIA DINTRE AUTORITATEA DE SUPRAVEGHERE I AUDITORUL EXTERN

AUDITAREA PROCESELOR I TEHNICILOR DE EVALUARE A RISCURILOR

Structura contului de profit si pierdere Solvabilitatea Riscul de credit

Sistemele interne i riscul operaional Riscul de tehnologie

Risc de criz bancar Alte riscuri

2. Matricea riscurilor. Suport pentru stabilirea planului de audit.

riscuri operaionale; riscuri ale afacerii; riscuri externe; ntrebri i exerciii

relevana notarea riscului

ACTIVITATEA DE AUDIT PROPRIU ZIS. ABORDARE PRACTIC

comparaii cu alte societi (bnci) cu acelai profil.

CREDIT Opinia auditorului* Conform BNR C C

RATING CLIENT Opinia auditorului* Rating CRM C B

Pentru clientul MMM SRL, banca nu a monitorizat constituirea Suntem de acord

Rspunsul unitii auditate: De acord

Termenul limit de implementare: imediat

Extras din raportul de audit: Constatare: Rspunsul unitii

Rspunsul unitii auditate: De acord

Unitatea trebuie s impementeze un sistem de monitorizare a implementat: Imediat

incorporeaz toate procedurile i sistemele,

i se asigur c nu sunt pltii oamenii manechin.

periodic a ntregului personal referitor la responsabilitile lor din cadrul

Securitatea fizic/controalele mediului

Se determin dac activitatea utilizatorului final este adecvat supervizat.

S-ar putea să vă placă și