CAPITOLUL III

AUDITUL INTERN
SI MANAGEMENTUL RISCURILOR
AUDIT INTERN

Definirea riscului de afaceri


AUDIT INTERN
Factorii de risc

Tipuri de expuneri

Expunere financiara

Expunere juridica

Expunere IT

Expunere de oportunitate

Expunere de eficienta

Expunere de resurse umane

Expunere de mediu

AUDIT INTERN

Factorii de risc:

Calitatea sistemului de control intern
Competenta managementului
Integritatea managementului
Marimea companiei
Modificari recente in sistemul contabil
Complexitatea operatiunilor
Lichiditatea activelor
Schimbari recente ale personalului cheie
Starea economica a companiei
AUDIT INTERN

Factorii de risc (continuare):

Crestere rapida
Calitatea sistemelor informatice existente
Timpul scurs de la ultima misiune de audit
Presiunea asupra managementului pentru indeplinirea obiectivelor
Masura in care activitatea companiei este reglementata legal
Nivelul moralului angajatilor
Planurile de audit ale auditorilor independenti
Expunerea la factorii politici
Distantele dintre diferite puncte de lucru si sediul central al companiei


AUDIT INTERN
Care sunt factorii de interes pentru actionarii si managementul companiei?


Minimizarea surprizelor neplacute

Rezolvarea incertitudinilor si variatiilor fata de asteptari

Maximizarea oportunitatilor pentru succes si performante superioare

Angajarea intregii organizatii in procesul de administrare a riscului

Alinierea obiectivelor organizatiei cu modul de actiune

Un proces de comunicare eficienta a riscurilor precum si raportare periodica
asupra riscurilor si controalelor

Un proces de identificare a oportunitatilor

AUDIT INTERN
Definirea riscului de afaceri

Riscul privit din mai multe puncte de vedere

Din punct de vedere operational Din punctul de vedere al angajatilor
Exemple de riscuri:
Reducerea numarului de clienti.
Produsele bancare nu sunt
acceptate de piata.
Defectiuni ale
sistemelor/tehnologiei.
Nefunctionarea controalelor
financiare.
Neconformitate cu normele BNR.
Exemple de riscuri:
Siguranta si securitatea locului de
munca.
Clienti nemultumiti.
Plecarea din companie a colegilor.
Nu fac fata cerintelor.
Compania este preluata de alta
firma.
Departamentul meu se
externalizeaza.
AUDIT INTERN
Definirea riscului de afaceri

Riscul privit din mai multe puncte de vedere


Din punctul de vedere al Consiliului de
Administratie
Din punct de vedere strategic
Principalele riscuri:
Strategia companiei este cea corecta?
Structura companiei este buna?
Avem angajati competenti?
Procesele companiei sunt de cea mai
buna calitate?
Sistemele noastre informatice sunt
cele mai eficiente?
Politicile bancare sunt corecte?
Cum comunicam toate aceste
aspecte?
Principalele riscuri:
Considerand lantul nostru de valori,
care este profilul nostru de risc?
Care sunt limitele sau actiunile pe care
ar trebui sa le aplicam pentru
gestionarea riscurilor noastre?
Cum cuantificam riscurile afacerii?
Care este opinia celorlalte grupuri
interesate de organizatia noastra?
Care este imaginea bancii pe piata?
AUDIT INTERN
Definirea riscului de afaceri
Managementul riscului. Cum este perceput riscul?

Utilizarea - Beneficii crescute prin
oportunitatilor managementul bazat pe
valoare
- Imbunatatirea alocarii
capitalului pe produse bancare

Minimizarea - Protejarea reputatiei bancii
incertitudinilor - Atingerea celor mai bune practici
aferente afacerii - Intelegerea si evaluarea riscurilor
la care se expune banca


Administrarea - Evitarea riscului specific bancar
crizelor & - Conformitate cu standardele de guvernanta
conformitate corporatista si cu normele de activitati specifice
- Situatiile de criza ale altor banci si ale sistemului
- Situatiile de criza ale bancii
AUDIT INTERN
Definirea riscului de afaceri


Riscul gradul in care evenimente viitoare necunoscute pot avea un impact
asupra abilitatii organizatiei de a-si atinge obiectivele


Principalele arii ce pot afecta valoarea actiunilor companiei.
Riscurile presupun:

Hazard riscul ca ceva rau sa se intample;

Incertitudine riscul ca rezultatele obtinute sa nu corespunda cerintelor
anticipate si de cele mai multe ori necesare;

Oportunitate permite exploatarea oportunitatilor identificate pe piata care
sa livreze un avantaj competitiv efectiv bancii.

AUDIT INTERN
Clasificarea riscurilor exemplu

Riscuri extreme:
Sistemul IT cade si nu se mai pot recupera datele;
O frauda interna de mari dimensiuni produce mari pagube firmei.

Riscuri mari:
Noile produse bancare nu sunt acceptate de piata;
Intreaga echipa de manageri din departamentul credite decide sa plece din
banca.

Riscuri medii:
Lansare intarziata a noilor produse;
Imposibilitatea procesarii corecte a tranzactiilor.

Riscuri scazute:
Mijloace fixe incorect clasificate;
Lipsa training personal.

AUDIT INTERN
Tratamentul riscului
TRANSFER Transferarea/impartirea responsabilitatii sau suportarii
pierderii prin mijloace legale, prin asigurare, joint ventures sau prin contracte
de externalizare si produse bancare specifice (swap).

EVITARE Luarea unei decizii informative pentru evitarea implicarii intr-o
situatie riscanta prin evitarea jurisdictiei, refuzarea furnizarii anumitor servicii
sau neacceptarea utilizarii unor produse bancare riscante.

REDUCERE Eliminarea sursei riscului sau reducerea probabilitatii aparitiei
acestuia (ex. Proceduri pentru asigurarea calitatii, mentenanta preventiva,
implementarea unor controale procedurale si de management) sau
Minimizarea consecintelor riscurilor (ex. Elaborarea unui plan pentru situatii
neprevazute, managementul crizelor, conditii si termeni contractuali).

ACCEPTARE Acceptarea riscului sau riscul rezidual ramas dupa ce s-a pus in
practica unul dintre tratamentele de mai sus.

AUDIT INTERN
Riscul inerent sau brut
Riscul ca un eveniment ce afecteaza obiectivele bancii sa se produca si avand
in vedere supozitia ca nu sunt implementate controale sau alte mijloace
de gestionare a riscurilor.

Riscul rezidual
Riscul ca un eveniment ce afecteaza obiectivele bancii sa se produca dupa ce s-au
luat in calcul toate actiunile prezente sau propuse pentru limitarea riscurilor.

Nivelul riscului rezidual si raspunsul la riscul identificat

Eficace Raspunsul la risc este adecvata scopului.
Moderat Exista cateva probleme legate de adecvarea raspunsului la risc
ce pot conduce la surprize/rezultate neplacute.
Limitat Raspunsul nu este satisfacator si poate usor conduce la
surprize/rezultate neplacute in timpul desfasurarii normale a
activitatii.
Nici unul Raspunsul la risc nu reduce deloc riscul inerent.

AUDIT INTERN
MANAGEMENTUL RISCURILOR


Scopul este minimizarea riscurilor idenificate.

Minimalizarea nu poate fi cuantificata.

Scopul il reprezinta actiunea prin care un risc este adus la un nivel acceptabil.


Amenintare Vulnerabilitate
+ = Risc inacceptabil
puternica ridicata

AUDIT INTERN
AMENINTARI


Analiza amenintarii Oare se va produce?

Daca se va produce, cat va fi de grav?

Amenintarile trebuiesc identificate si evaluate

Pasi la nivelul unei activitati

1. Identificarea activitatii de referinta

2. Identificarea amenintarilor posibile pentru fiecare subactivitate

3. Determinarea nivelului de gravitate pe fiecare subactivitate

4. Definirea unei scari valorice globale

AUDIT INTERN

Se pot aprecia 4 niveluri de gravitate a amenintarilor, in functie de efectul asupra
societatii, daca amenintarea se materializeaza:

NIVEL 4 - VITAL Pericliteaza existenta societatii


NIVEL 3 - GRAV Poate compromite viitorul societatii


NIVEL 2 - IMPORTANT Cu impact semnificativ asupra
activitatii

NIVEL 1 - NESEMNIFICATIV

Evaluarea trebuie facuta pentru amenintari importante nu pentru toate.

AUDIT INTERN

Exemplu:



Amenintarea NIVEL 1 NIVEL 2 NIVEL 3 NIVEL 4
Falsificarea
datelor in scop
de frauda
Pierdere < 0,1
Mil.
Pierdere 0,1 M
1 M
Pierdere 1 M
10 M
Pierdere > 10 M
Intarzierea platii
salariilor
Intarziere < 2
zile
Intarziere 2 zile
15 zile
Intarziere > 15
zile
Alterarea bazei
de date privind
clientii
Nr.clienti < 1
la o sucursala
Clienti 10 20
la mai multe
sucursale
Toti clientii
Acces
neautorizat la
baza de date
Atac singular Atac concentrat,
nefinalizat
Acces la
componente
nonbancare
Acces la baza de
date clienti
AUDIT INTERN
VULNERABILITATE


Vulnerabilitatile unui organism reprezinta punctele in care acesta poate fi atacat

Analiza vulnerabilitatii reprezinta un diagnostic al starii de securitate

Starea de securitate (de siguranta) trebuie evaluata

NIVEL 1 - Securitate minimala

NIVEL 2 - Securitatea este eficace fata de atacuri (amenintari) medii

NIVEL 3 - Securitatea este eficace fata de amenintari grave sau exceptionale

NIVEL 4 - Securitatea este eficace fata de toate amenintarile

AUDIT INTERN
EVALUAREA RISCULUI
CHESTIONARE

ATENTIE: Raspunsurile la chestionar pot fi nuantate

- Da, in general, dar cu exceptia

- Da, partial, in procent de x %

- Da, teoretic, dar practic nu se aplica peste tot si la toti

- Da, este in curs de implementare

- Da, este prevazut, dar deocamdata

Trebuie insistat pentru a obtine raspunsul transant.

AUDIT INTERN
Analiza riscului

O situatie de risc, este descrierea unei disfunctii si a manierei in care aceasta
disfunctie se poate produce.

Trebuiesc identificate cauzele si originea riscului:

- ACCIDENT - tipul si circumstantele
- EROARE - natura si autorul
- ATAC (EVENIMENT) EXTERIOR - natura, autorul

Scenariul riscului se descrie prin:
- Tipul de consecinte Impactul
- Resursele implicate
- Cauzele care au dus la crearea situatiei de risc

Impactul comensurabil pe scara de valori este IMPACT INTRINSEC

AUDIT INTERN

- Consecinta directa a unui risc (materializat)= se extinde in timp si spatiu sau
se poate multiplica
- Corolar: Exista masuri care pot reduce riscul sau propagarea lui (masuri de
protectie)

Evaluarea eficacitatii normelor de protectie directa

NIVEL 1 - Efectul este limitat sau nul
NIVEL 2 - Efectul este mediu
NIVEL 3 - Efectul este important
NIVEL 4 - Efectul este important si extins

AUDIT INTERN
Evaluarea potentialitatii riscului
Nivel 4 - Foarte probabil - Scenariul de risc se va produce sigur in scurt timp
Riscul s-a produs nimeni nu e surprins

Nivel 3 - Probabil - Scenariul de risc se poate produce intr-un termen
scurt
Riscul s-a produs suntem mirati, dar nu susprinsi

Nivel 2 - Improbabil - Scenariul de risc care s-ar putea sa nu se produca
Riscul s-a produs se termina asteptarea

Nivel 1 - Foarte improbabil- Scenariul de risc nu este imposibil, dar exista o
probabilitate infima sa se realizeze
Riscul s-a produs Nimeni nu-l astepta, toata lumea e surprinsa

Nivel 0 - Imposibil - Este un scenariu imposibil. Este teoretic, de studiu.

AUDIT INTERN

GRILA GRAVITATII GLOBALE

Gravitatea = IMPACT POTENTIALITATE







I = 4 G = 2 G = 3 G = 4 G = 4
I = 3 G = 2 G = 3 G = 3 G = 4
I = 2 G = 1 G = 2 G = 2 G = 3
I = 1 G = 1 G = 1 G = 1 G = 2
P = 1 P = 2 P = 3 P = 4
AUDIT INTERN

GRILA GRAVITATII GLOBALE (CONTINUARE)



















ANALIZA RISCULUI

DECIZIA DE
LANSARE
ANALIZA ACTIVITATII
IDENTIFICAREA PROCESELOR CRITICE
NIVELUL GRAVITATII
DISFUNCTIONALITATII
SCARA DE VALORI
IDENTIFICAREA RISCULUI
SCARA DE VALORI
ANALIZA SI CUANTIFICAREA RISCULUI RELATIV LA
IMPACT SI POTENTIALITATE
DECIZIA ASUPRA
ACCEPTABILITATII
AUDIT INTERN

CICLUL DE VIATA AL
MANAGEMENTULUI SECURITATII




Maturitatea
-Analiza riscurilor
-Gestiunea riscurilor

4
Cresterea
-Plan de securitate
-Referentiale de securitate
- Sensibilizarea personalului
3
Somnul
Nimic

1
Trezirea
-Auditul general
-Sensibilizarea conducerii
2
AUDIT INTERN
Reprezentarea grafica a evaluarii riscurilor in functie de probabilitate si
impact (exemplul 1)
Risc
valutar
Controale
interne
Evolutia
preturilor
Impact
1
4 3 2
1
2
3
4
Legenda

1-Risc mic
2-Risc mediu
3-Risc mare
4-Risc semnificativ








Calamitati
naturale
Riscul
produselor
substituente Riscul de
indatorare
Riscul de
reglementare
Risc de
frauda
Risc reputational
Riscul de
neincasare

Actiune imediata
Decizie strategica
AUDIT INTERN

REPREZENTAREA GRAFICA A EVALUARII RISCURILOR IN FUNCTIE DE
PROBABILITATE SI IMPACT (EXEMPLUL 2)
AUDIT INTERN
PROCESUL DE EVALUARE A RISCURILOR LA NIVEL DE ORGANIZATIE

Procesul de evaluare a riscurilor la nivel de organizatie include urmatoarii
pasi:

1 Planificarea activitatii de evaluare a riscurilor;
2 Colectarea informatiei si identificarea riscurilor;
3 Procesul de evaluare a riscurilor;
4 Intocmirea si implementarea Planului de actiune si reducere a
riscurilor;
5 Monitorizarea implementarii Planului de actiune si reducere a
riscurilor.


AUDIT INTERN
Tabel de evaluare a riscurilor (exemplu)


Risc Nivel
risc
Probabilitate Impact Descrierea
consecintelor
Strategii
existente
Nivel risc
rezidual
Strategii
necesare
AUDIT INTERN
Obtinerea informatiilor


SURSE DE
INFORMATII
Rapoartele
anterioare
de audit
Organigramele
companiei
Situatiile
Financiare
Rapoartele
Auditului
extern
Interviuri
Manualele de
proceduri
Minutele
intalnirilor
departamentale
Ierarhia
sistemelor
(Diagrame si
documentatie)