Manual ACI Revizuit Final PDF

AUDIT ȘI CONTROL INTERN
ÎN ACTIVITATEA
FINANCIAR-BANCARĂ
Autori:
Drd MBA Bogdan Mihai
Cornelia Dumitrescu
Gabriela Andrei
CONȚINUT
1. AUDITUL INTERN ŞI GUVERNANŢA CORPORATIVĂ .................................................. 3

1.1.ROLUL ŞI POZIŢIA AUDITULUI INTERN ÎN GUVERNANŢA CORPORATIVĂ ............ 7
1.2. DEFINIȚIA AUDITULUI INTERN ........................................................................................ 8
1.3. AUDITUL INTERN vs. AUDITUL EXTERN ......................................................................... 9
1.4. SCURTĂ ISTORIE A AUDITULUI INTERN ÎN ROMÂNIA .............................................. 11
2. CADRUL DE CONTROL INTERN ...................................................................................... 13
2.1. MODELUL COSO .................................................................................................................. 16
2.2. MODELUL „CELOR TREI LINII DE APĂRARE” (3LOD)................................................. 24
2.3. MODELUL COCO .................................................................................................................. 30
2.4. CADRUL NAŢIONAL DE REGLEMENTARE .................................................................... 30
3. AUDIT INTERN BANCAR ...................................................................................................... 34
3.1. AUDITUL INTERN - ELEMENTE INTRODUCTIVE ......................................................... 34
3.2. OBIECTIVE ŞI RESPONSABILITĂŢI .................................................................................. 36
3.3. STANDARDELE INTERNAŢIONALE DE AUDIT INTERN ............................................. 44
3.4. CODUL DE ETICĂ ................................................................................................................. 46
3.5. TIPURI DE AUDIT INTERN ÎN SISTEMUL BANCAR ...................................................... 47
3.6. METODE DE LUCRU ............................................................................................................ 50
3.7. CONTROLUL DE CALITATE AL MUNCII DE AUDIT ..................................................... 52
3.8. RISCUL DE AUDIT ................................................................................................................ 54
4. ABORDAREA AUDITULUI INTERN PRIN PRISMA RISCURILOR BANCARE...... 56
4.1. INTRODUCERE ...................................................................................................................... 56
4.2. IMPORTANŢA GESTIONĂRII RISCURILOR BANCARE ................................................ 58
4.3. RISCURI BANCARE .............................................................................................................. 60
4.4. ANALIZA RISCULUI BANCAR – METODĂ DE AUDIT .................................................. 66
4.5. AUDITUL RISCURILOR BANCARE ................................................................................... 68
5. STRUCTURA UNEI MISIUNI DE AUDIT .......................................................................... 77
5.1. PLANIFICAREA MISIUNII DE AUDIT ............................................................................... 78
5.2. REALIZAREA AUDITULUI .................................................................................................. 79
5.3. REVIZIA REZULTATELOR MISIUNII DE AUDIT ............................................................ 81
6. FRAUDA ................................................................................................................................ 83
Audit şi control intern în activitatea bancară 2

1. AUDITUL INTERN ŞI GUVERNANŢA CORPORATIVĂ
GUVERNANŢA CORPORATIVĂ - CONCEPT
Noţiunea de audit intern şi cea de control intern se circumscriu conceptului mai larg de
„guvernanţă corporativă”.
Pentru a fi viabilă şi a avea succes, orice organizaţie trebuie să-şi fixeze un cadru fundamental de
organizare, care să stabilească modul în care se adoptă deciziile strategice pe termen lung, dar şi a
celor curente, legate de conducerea de zi cu zi a operaţiunilor. Acest cadru care defineşte structura
de conducere şi de control a organizaţiei, dar şi modul de împărţire a rolurilor şi
responsabilităţilor între actorii implicaţi (acţionari, administratori, directori, conducători ai
diverselor structuri ale societăţii, angajaţi, sindicate, clienţi şi parteneri de afaceri, autorităţi
centrale şi locale etc.) este cunoscut sub denumirea generică de „guvernanţă corporativă”.
Nu există o definiţie unică a guvernanţei corporative, după cum nu există un singur model de
bună guvernanţă. Conform definiţiei date de Institutul Auditorilor Intern1 (în continuare TheIIA)
în glosarul de termeni, guvernanţa este „combinaţia de procese şi structuri implementate de
conducerea organizaţiei pentru a informa, direcţiona, conduce şi monitoriza activităţile
organizaţiei în vederea îndeplinirii obiectivelor sale”. Într-o formă simplificată, guvernanţă
corporativă desemnează sistemul de reguli şi mecanisme prin care companiile, inclusiv
instituţiile de credit, sunt conduse şi controlate.
De-a lungul timpului, începând cu anii 80, Organizaţia pentru Cooperare şi Dezvoltare
Economică (The Organisation for Economic Co-operation and Development - OECD) s-a
implicat activ în cercetarea practicilor în materie de guvernanţă corporativă, devenind astfel o
autoritate recunoscută în acest domeniu. Conform definiţiei propuse de OECD, guvernanţa
corporativă constă într-un un set de relaţii dintre managementul organizaţiei, structura sa de
administrare, acţionari şi alte persoane care au un interes în legătură cu organizaţia (eng.
stakeholder). Guvernanţa corporativă furnizează structura, respectiv mecanismele, procesele şi
procedurile, prin care sunt fixate obiectivele instituţiei şi prin care se stabilesc mijloacele de
atingere a acestor obiective şi de monitorizare a performanţelor.
Sistemul de guvernanţă corporativă specifică modul de distribuire a drepturilor şi

responsabilităţilor între diferiţi participanţi din cadrul organizaţiei, precum Consiliul de
Administraţie/Supraveghere, manageri, acţionari şi alte persoane interesate, si stabileşte regulile
si procedurile pentru adoptarea deciziilor.
Un model adecvat de guvernanţă corporativă trebuie să ofere stimulente Consiliului de

Administraţie şi Managementului pentru a urmări obiectivele ce sunt în interesul instituţiei şi ale
acţionarilor săi şi, de asemenea, să faciliteze monitorizarea eficace a performanţelor companiei.
Existenţa unui sistem eficient de guvernanţă corporativă, atât la nivelul individual al companiei
cât şi în întreaga economie pe ansamblu este esenţială pentru funcţionarea adecvată a economiei
de piaţă. Sistemul de guvernanţă oferă încredere investitorilor că interesele lor sunt protejate, că
există mecanisme şi proceduri prin care pot urmări şi controla performanţele companiilor în care
au făcut plasamente.
1
Institutul Auditorilor Intern (eng. The Institute of Internal Auditors) este principala asociaţie profesională
recunoscută pe plan internaţional dedicată dezvoltării şi promovării profesiei de auditor intern.

Sistemul de guvernanţă corporativă face parte a contextului economic general, în care sunt
cuprinse printre altele şi politicile macroeconomice ale guvernului, gradul de competiţie existent
pe piaţă produselor şi al serviciilor etc.
Ca set de reguli pe baza cărora companiile sunt conduse şi controlate, sistemul de guvernanţă
corporativă este rezultatul unor norme, tradiţii şi modele comportamentale dezvoltate de fiecare
sistem legislativ. El depinde în mod direct de cadrul legal şi de reglementare, dar şi de arhitectura
instituţională din ţara respectivă. Suplimentar, sistemul de guvernanţă corporativă este influenţat
de factori precum etica din mediul de afaceri, nivelul de responsabilitate socială al companiilor şi
gradul de implicarea acestora în viaţă comunităţii etc.
Prin eforturile depuse de OECD, principiile guvernanţei corporative au început să se armonizeze

pe plan internaţional. Un prim pas l-a constituit publicarea, în 1999, de către OECD a „principiile
privind guvernanţa corporativă”, revizuite în anul 2004 2 . În esenţă, principiile OECD vizează
asigurarea unui cadru transparent de adoptare a deciziilor si care sa respecte legislaţia în vigoare,
specificarea clară a drepturilor acţionarilor (în cele din urmă guvernanţa corporativă trebuie să
protejeze drepturile acţionarilor), transparența informaţiei, stabilirea responsabilităţii Consiliului
de Administraţie/Supraveghere astfel încât acesta să ţină cont de interesele diferitelor grupuri
de acţionari etc.
Principiile stabilite de OECD constituie un ghid util în implementarea guvernanţei corporative la
nivelul fiecărei ţări. Aceste principii au fost introduse în legislaţia economică românească.
În prezent, în România cadrul legal general privind guvernanţa corporativă are la bază două
reglementări fundamentale:
1) Legea societăţilor nr. 31/1990, cu modificările şi completările ulterioare – aplicabilă

companiilor din sectorul privat. Conform acestei legii, societăţile pe acţiuni pot alege, prin
actul constitutiv, unul din cele două sisteme de administrare:
a. Sistemul unitar - societatea pe acţiuni este administrată de unul sau mai mulţi
administratori, desemnaţi de către adunarea generală ordinară a acţionarilor, numărul
acestora fiind totdeauna impar. Când sunt mai mulţi administratori, ei constituie un
Consiliu de Administraţie. Consiliul de Administraţie stabileşte direcţiile principale de
activitate şi de dezvoltare ale societăţii. Conducerea de zi cu zi a societăţii este asigurată
de un sau mai mulţi directori, desemnaţi de către Consiliul de Administraţie (în acest caz
unul intre ei este numit director general). Directorii pot fi numiţi dintre administratori sau
din afara Consiliului de administraţie. De multe ori preşedintele Consiliului de
administraţie este numit şi director general. Activitatea directorilor este supravegheată de
către Consiliul de administraţie.
b. Sistemul dualist - societatea pe acţiuni este administrată de un directorat şi de un Consiliu
de Supraveghere. Directoratul este format din unul sau mai mulţi membri (directori),
numărul acestora fiind totdeauna impar, desemnat/desemnaţi de Consiliul de
Supraveghere. În cazul societăţilor pe acţiuni ale căror situaţii financiare anuale fac
obiectul unei obligaţii legale de auditare, cum sunt şi instituţiile de credit, directoratul este
format din cel puţin 3 membri. Membrii Consiliului de Supraveghere sunt desemnaţi de
adunarea generală a acţionarilor. În aceste sistem, conducerea societăţii revine în
exclusivitate directoratului, însă acesta acţionează sub controlul permanent al Consiliului
de supraveghere.
2
La începutulanului 2014, OECD a lansatprocesul de revizuire a principiilor de guvernanţăcorporativă, care ar trebui
să se finalizeze în termen de un an.

2) Ordonanţa de urgenţă a Guvernului nr. 109/2011 privind guvernanţa corporativă a
întreprinderilor publice, cu modificările şi completările ulterioare – pentru companiile din
sectorul de stat.
Suplimentar, în 2008 Bursa de Valori Bucureşti a emis un “Cod de Guvernanţă Corporativă”

recomandat companiilor admise la tranzacţionare pe piaţa reglementată. Societățile comerciale
tranzacționate pe piața reglementată a BVB care au decis adoptarea totală sau parțială a acestui
Cod transmit BVB, anual, o Declarație de conformare sau neconformare cu prevederile CGC
(“Declaratie”), care va conține informații privind recomandările CGC implementate în mod
efectiv de către acestea și modalitatea de implementare.
Dată fiind importanţa pe care o au instituţiile de credit în economie, funcţia socială pe care o
îndeplinesc şi sensibilitatea lor faţă de percepţia publicului (reputaţia fiind activul cel mai
important), guvernanţa corporatistă în sectorul bancar a fost un subiect tratat cu mare atenţie de
către autorităţile de reglementare şi supraveghere bancară, astfel că şi problematica auditului a
fost abordată în mod riguros. Cu toate acestea, recenta criză financiară traversată de economia
mondială a reliefat slăbiciunile semnificative ale sistemului de guvernanţă corporativă din
sectorul bancar.
La nivel internațional, problematica guvernanţei corporative în bănci a fost abordată însă cu mult
înainte de apariţia acestei crize. În septembrie 1999, Comitetul de la Basel pe probleme de
supraveghere bancară (Basel Committee on Banking Supervision) publica o lucrare de referinţă
intitulată “Enhancing Corporate Governance for Banking Organisations”, prin care se urmărea
reiterarea importanţei principiilor generale enunţate de OECD. Documentul a fost revizuit în
2006, urmărindu-se consolidarea unor aspecte cheie ale guvernanţei corporative, cum ar fi:
- Implicarea Consiliului de Administraţie/Supraveghere în aprobarea strategiei băncii;
- Stabilirea clară a atribuţiilor şi responsabilităţilor la nivelul întregii organizaţii;
- Asigurarea unor politici de remunerare în linie cu obiectivele pe termen lung ale băncii;
- Identificarea şi gestionarea adecvată a riscurilor generate de operaţiunile care nu sunt
suficient de transparente.
Ulterior publicării acestui document, au existat numeroase cazuri în care mecanismele de

guvernanţă corporativă au eşuat, multe dintre acestea fiind puse în lumină în timpul crizei
financiare recente. Prin acestea se numără situaţii în care Consiliul de Administraţie sau Consiliul
de Supraveghere nu a monitorizat în mod adecvat activitatea managementului, când activitatea de
administrare a riscurilor a fost ineficace sau când activităţile şi/sau structurile băncii erau foarte
complexe şi opace, fiind greu de înţeles inclusiv pentru conducerea instituţiei
Pe acest fond, Comitetul de la Basel a decis să actualizeze principiile menţionate, astfel încât
acestea să continue să fie relevante atât pentru instituţiile de credit cât şi pentru autorităţile de
supraveghere. Eforturile de revizuire s-au materializat în anul 2010 prin publicarea documentului
“Principles for enhancing corporate governance”. Printre domeniile cheie asupra cărora Comitetul
şi-a concentrat atenţia cu această ocazie se numără şi cele legate de managementul riscurilor şi
controalele interne:
- Orice bancă trebuie să dispună de o funcţie de management al riscului (inclusiv un şef de
risc - chief risk officer), o funcţie de conformitate şi o funcţie de audit intern, care să
dispună de suficientă autoritate, importanţă, independenţă şi resurse şi care să aibă acces
direct la Consiliul de Administraţie/Supraveghere;
- Riscurile trebuie identificate, evaluate şi monitorizate în mod continuu atât la nivel
consolidat, cât şi pe entităţi componente ale grupului;
- Banca trebuie să dispună de un sistemul de control intern eficace;

- Managementul eficient al riscului presupune o comunicare internă clară, fără ocolişuri şi
rapidă cu privire la riscuri atât pe orizontală cât şi pe verticală, prin raportarea către
managementul superior şi Consiliul de Administraţie/Supraveghere.
In 2018 Autoritatea Bancar Europeana a emis Ghidul EBA/GL/2017/11 privind cadrul de

administrare a activitatii, revizuit in 2021, ce contine orientari emise in baza Regulamentului
1093/2010 si prezinta punctul de vedere al ABE privind practicile adecavte in materie de
supraveghere in cadrul sistemului european al supraveghetorilor financiari.
În sectorul financiar-bancar românesc, prevederile legale prin care se reglementează aspectele

legate de guvernanţa corporativă se regăsesc, în cea mai mare parte, în:
a) Ordonanţa de urgenţă nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului,
aprobată prin Lege nr. 227/2007;
b) Regulamentul nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, modificat
de Regulamentul nr. 11/2020 pentru modificarea și completarea Regulamentului Băncii
Naționale a României nr. 5/2013 privind cerințe prudențiale pentru instituțiile de credit
c) Regulamentul 20/13.10.2009 privind instituțiile financiare nebancare, modificat de
Regulamentul nr. 3/2021 pentru modificarea şi completarea Regulamentului Băncii
Naţionale a României nr. 20/2009 privind instituţiile financiare nebancare
d) Legea nr. 129/2019 pentru prevenirea și combaterea spălării banilor și finanțării
terorismului, precum și pentru modificarea și completarea unor acte normative
e) Regulamentul nr. 2/2019 privind prevenirea și combaterea spălării banilor și finanțării
terorismului
f) O.U.G. nr. 111/2020 privind modificarea și completarea Legii nr. 129/2019 pentru
prevenirea și combaterea spălării banilor și finanțării terorismului, precum și pentru
modificarea și completarea unor acte normative, pentru completarea art. 218 din O.U.G.
nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, pentru modificarea și
completarea Legii nr. 207/2015 privind Codul de procedură fiscală, precum și pentru
completarea art. 12 alin. (5) din Legea nr. 237/2015 privind autorizarea și supravegherea
activității de asigurare și reasigurare
Aceste reglementări vor fi prezentate şi analizate extensiv în cuprinsul următoarelor capitole.
De-a lungul timpului s-au creat câteva mituri legate de guvernanţa corporativǎ care s-au dovedit
nefondate:
 Un număr mai ridicat de membrii ai Consiliului de Administraţie independenţi de

Conducerea Executivă determină o mai buna guvernare corporativă. Acest mit a fost
spulberat la începutul anilor 2000 - unele dintre cele mai mari scandaluri au fost legate de
companii cu un număr mare de membrii independenți ai board-ului (ex. Enron , World
Com).Recompensarea în funcţie de performanţă motivează salariaţii să contribuie
mai activ la binele comun al companiei. Studiile recente în materie de psihologia muncii
au reliefat faptul că satisfacţia muncii şi comportamentul activ pentru binele comun nu
sunt stimulate prin recompense financiare.
 Transparenta în ceea ce priveşte salariile conducerii motivează angajaţii să
muncească mai mult pentru a urca pe scara ierarhică. Diferenţele dintre salariile
conducerii și cele ale angajaţilor au crescut constant în ultimi 30 de ani, ducând la
accentuarea frustrărilor în rândul acestora din urmă.
 Prin monitorizarea mai strictă a angajaţilor se îmbunătăţeşte comportamentul
acestora. Dimpotrivă, cercetările empirice au dovedit că supervizarea foarte strictă
demotivează personalul şi scade loialitatea față de companie.

1.1.ROLUL ŞI POZIŢIA AUDITULUI INTERN ÎN GUVERNANŢA
CORPORATIVĂ
Auditul reprezintă un element de bază al guvernanţei corporative. Pentru a înţelege rolul auditului
intern bancar trebuie să avem în vedere modul în care instituţiile de credit sunt administrate.
Astfel, structura de conducerea a unei băncii este organizată pe două paliere:
a. Un organ de conducere care exercită funcţia de supraveghere, care în textul

Regulamnetului 5/2013 poartă denumirea de „organul de conducere în funcţia sa de
supraveghere” – este reprezentat de Consiliul de Administraţie - în cazul în care banca a
optat pentru sistemul unitar de administrare, şi respectiv de Consiliul de Supraveghere - în
cazul băncilor care au ales sistemului dualist de administrare (model de inspiraţie
germană, întâlnit în România în special la băncile austriece).
Aceste organe îndeplinesc un rol de supraveghere prin faptul că monitorizează şi
controlează procesului decizional de la nivelurile inferioare de conducere, şi în primul
rând activitatea conducerii executive.
b. Un organ de conducere care asigură managementul curent, de zi cu zi al băncii –poartă
denumirea de „conducerea superioară” (alte sintagme folosite pentru a desemna acest
organ sunt „conducerea executivă”, „managementul superior”, „executivii” etc.) –
Conducerea superioară este reprezentată de directori - în cazul sistemului unitar de
administrare (directorii pot fi și membri ai Consiliului de Administraţie), şi respectiv de
către Directorat (format din cel puţin trei membri) - în cazul sistemului dualist de
administrare.
Funcţia de audit intern îndeplineşte o misiune extrem de importantă în ceea ce priveşte

mentenanţa curentă a sistemului de control intern, a sistemelor şi proceselor de management al
riscurilor şi de guvernanţă – domenii de maxim interes pentru autoritatea de supraveghere
bancară. Auditul intern îşi formează propria opinie, independentă, obiectivă şi documentată, cu
privire la riscurile la care se expune banca, iar această opinie se bazează pe informaţii obţinute în
mod nemijlocit direct de la sursa primară, întrucât auditul intern are acces la toate documentele,
datele şi informaţiile financiare sau operaţionale.
Rolul auditului intern este de a fumiza opinii independente pentru structura de conducere a
băncii cu privire la calitatea şi eficacitatea sistemelor şi proceselor de control intern, de
management al riscurilor şi de guvernanţă. Această opinie, care are la bază constatările şi
recomandările rezultate în urma verificărilor efectuate de auditul intern, se raportează atât
organelor cu funcţie de supraveghere, cât şi conducerii superioare (managementului). Astfel,
pentru primii, auditul intern constituie un instrument absolut esenţial, fără de care nu-şi pot
îndeplini funcţia de baza, aceea de monitorizare a activităţilor conducerii executive. Auditul
reprezintă „ochii şi urechile” acestora.
Pentru conducerea superioară (management), auditul intern reprezintă o „centură de siguranţă”,
întrucât oferă posibilitatea ca deficienţele şi vulnerabilităţile din activitatea de care răspund să fie
identificate şi remediate înainte de a fi prea târziu, înainte ca acestea să se agraveze şi să genereze
costuri substanţiale. Întrucât metoda de lucru a auditului intern are la baza o analiză critică, de
multe ori conducerea executivă şi managementul, în general, priveşte cu reticenţă acest
departament. După cum se poate observa, informaţiile produse de auditul intern sunt utile în
primul rând utilizatorilor interni. În cazul auditului intern din sectorul bancar, mai există o
categorie de beneficiari ai acestor informaţii, respectiv autorităţile de supraveghere prudenţială.

Introducerea auditului în ţara noastră în perioada de tranziţie la economia de piaţă este urmarea
interesului generalizat de adoptare şi/sau armonizare a reglementărilor naţionale cu cele prevăzute
pe plan internaţional.
Dinamica internaţională a dezvoltării instituţiilor financiare determină o continuă perfecţionare a
standardelor de contabilitate şi audit, în paralel cu perfecţionarea cât mai complexă şi adecvată a
profesioniştilor în domeniu.
1.2. DEFINIȚIA AUDITULUI INTERN
Pentru a putea proceda la o analiză relevantă a materiei, ar trebui să începem prin delimitarea
conceptului. Termenul de audit este relativ nou introdus în limba română (în ediţia din 1998 a
DEX nu apare) întrucât în sistemul socialist de organizare a economiei nu exista ca atare, o parte
din conţinutul său se regăsea în ceea ce se numea „revizie contabilă” şi respectiv „control
financiar”.
Termenul de audit vine din latina „auditum = ascultare”, însă a fost introdus în literatura de
specialitate economică pe filiera limbii engleze, unde înseamnă verificare sau inspecţie
specializată. Termenul s-a impus iniţial în domeniul financiar, dar ulterior s-a extins şi în alte
domenii, astfel că în prezent asistăm la o adevărată modă de a folosi termenul in sintagme diverse,
în general pentru a desemna analize mai complexe. Există „audit de marketing” (anterior studiu
sau analiza de marketing), „audit al calităţii”, „audit social”, „audit energetic” etc.
În ceea ce priveşte domeniul auditului intern, a fost dificil să se contureze o definiţie unanim
acceptată, întrucât această profesie a avut în timp o evoluţie rapidă, lărgindu-și continuu
conţinutul.
În acest moment, definiţia folosită pe plan internaţional şi preluată cu unele ajustări în legislaţia
statelor dezvoltate, inclusiv în legislaţia românească, este cea dată de Institutul Auditorilor Interni
(IIA):
Auditul intern este o activitate independentă, de asigurare obiectivă şi de consiliere,

destinată să adauge valoare şi să antreneze îmbunătăţirea activităţilor organizaţiei.
Auditul intern ajută organizaţia în îndeplinirea obiectivelor sale, printr-o abordare
sistematică şi disciplinată în ceea ce priveşte evaluarea şi îmbunătăţirea eficacităţii
proceselor de management al riscurilor, de control şi de guvernanţă.
Întrucât definiţia este relativ absconsă, sunt necesare câteva clarificări privind unele cuvinte
cheie:
• Este o activitate care presupune un grad ridicat de independenţă şi obiectivitate

Independenţa este un atribut al departamentului de audit intern = libertatea pe care o are
funcţia de audit intern de a-şi îndeplini responsabilităţile cu imparţialitate, fără
intervenţii/imixtiuni din afară. Independenţa auditului intern derivă din modul de
organizare a acestei structuri, poziţia sa în cadrul instituţiei, linia de raportare, relaţiile cu
celelalte departament.
Obiectivitatea este un atribut individual al auditorilor. Presupune, prin altele, evitarea
conflictului de interese: auditorii interni nu trebuie să fie implicaţi în realizarea altor
activităţi de natură operaţională şi în general nu li se vor repartiza sarcini care în mod
normal se presupune că vor fi supuse auditării.
• Este o activitatea de asigurare şi consultanţă

În mod tradiţional, activitatea auditului intern îmbracă forma unor verificări ce au ca
obiect diverse activităţi, procese sau operaţiuni din cadrul instituţiei. Întrucât acestea au
drept scop să furnizeze structurii de conducere o „asigurare” că au fost implementate
controale ce funcţionează în mod eficace, iar riscurile sunt gestionate corespunzător,
verificările respective poartă denumirea de „misiuni de asigurare” sau „angajamente de
asigurare”. Atragem atenţia asupra faptului că asigurarea respectivă nu este echivalentă cu
o garanţie absolută, întrucât şi activitatea de audit este supusă greşelii (aşa numitul „risc
de audit” – respectiv posibilitatea ca în cadrul unei misiuni de asigurare echipa de audit să
emită o opinie greşită ca urmare nedetectării unei probleme semnificative).
În ceea ce priveşte consultanţa, aceasta este o direcţie nouă de dezvoltare a auditului intern
şi presupune furnizarea de asistenţă de specialitate (sfaturi) structurilor instituţiei în
probleme legate de control şi managementul riscurilor.
Între cele două tipuri de angajamente, respectiv cele de asigurare şi cele de consultanţă,
există diferenţe semnificative, pe care le vom trata în capitolele următoare.
• Destinat să adauge valoare

Scopul final al auditului intern nu este de a vâna greşelile colegilor, ci de a îmbunătăţi
activitate organizaţiei şi de a o susţine în îndeplinirea obiectivelor sale. Acest fapt
presupune înţelegerea nevoilor organizaţiei şi raportarea permanentă la acestea
(obiectivele specifice ale auditului intern pleacă de la obiectivele majore ale organizaţiei).
• Abordare sistematică şi disciplinată

Deşi presupune anumite aptitudini, activitatea de audit intern se desfăşoară într-un cadru
riguros reglementat din punct de vedere metodologic, având la bază un set de standarde
profesionale unanim acceptate pe plan internaţional, proceduri interne specifice fiecărei
organizaţii şi reguli de bună practică.
1.3. AUDITUL INTERN vs. AUDITUL EXTERN
În sectorul bancar, activitatea de audit se întâlneşte sub două forme:

a) auditul financiar – denumit şi audit extern în care este cuprins şi audit statutar (legal),
şi
b) auditul intern.
Cursul de faţă îşi propune să se concentreze asupra problematici auditul intern bancar, dar va
aborda marginal şi domeniul auditului financiar.
Auditul financiar reprezintă activitatea de examinare efectuată de către profesionişti
abilitaţi/certificaţi (persoane care au calitatea de auditori financiari şi au fost autorizaţi să
exercite această profesie) asupra situaţiilor financiare ale unei entităţi (bilanţ; cont de profit si
pierdere; situaţia modificărilor capitalului propriu; situaţia fluxurilor de numerar; note explicative
la situaţiile financiare anuale).
Atunci când această examinare este efectuată în baza mandatului primit din partea proprietarilor
entităţii în cauză şi are drept scop certificarea situaţiilor financiare, respectiv exprimarea unei
opinii cu privire la faptul că acestea reflectă o imagine fidelă, clară şi completă a poziţiei şi
performanţelor financiare în perioada examinată (de obicei, un an financiar), auditul financiar
poartă denumirea de audit statutar sau legal (practic o forma specifică a auditului financiar).
Opiniile auditorilor financiari sunt utile în primul rând cei din afara entităţii, care îşi doresc să afle
informaţii din surse credibile, independente, despre starea financiara a entităţii. În general aceştia

sunt acţionarii, investitorii potenţiali, creditori, partenerii de afaceri (în special furnizorii
comerciali).
În vederea alinierii sistemului contabil românesc la Standardele Internaţionale de Contabilitate
aplicabile instituţiilor de credit, la începutul anului 2003, au intrat în vigoare reglementările
contabile armonizate cu Directivele C.E.E.
Tot în anul 2000 şi tot în scopul armonizării internaţionale, Camera Auditorilor din România
emite Standardele de Audit Financiar, împreuna cu Codul privind conduita etică şi profesională.
Astfel, s-a asigurat armonizarea cu două standarde de bază internaţionale, şi, pentru prima dată,
este definit clar conceptul de audit, precum şi principiile de bază, procedurile esenţiale,
instrucţiunile practice de audit.
În prezent, entităţile obligate conform legislaţiei în vigoare să aibă situaţiile financiare auditate
sunt:
a. societăţile care îndeplinesc cel puţin două din cele trei condiţii de mai jos:
b. deţin active totale peste 3.650.000 euro;
c. au cifra de afaceri netă peste 7.300.000 euro;
d. au un număr mediu de salariaţi mai mare sau egal cu 50.
e. societăţile considerate de interes public, respectiv instituţiile de credit, societăţile de
asigurare/reasigurare, entităţile reglementate şi supravegheate de Comisia Naţionala a
Valorilor Mobiliare (în prezent Autoritatea de Supraveghere Financiară), societăţile
comerciale ale căror valori mobiliare sunt admise la tranzacţionare pe o piaţă
reglementată, companiile şi societăţile naţionale, persoanele juridice care aparţin unui
grup de societăţi şi intră în perimetrul de consolidare de către o societate-mamă care aplică
Standardele Internaţionale de Raportare Financiară, societăţile de leasing şi persoanele
juridice, altele decât cele de mai sus, care beneficiază de împrumuturi nerambursabile sau
cu garanţia statului.
În România, auditul financiar în sectorul bancar însă prezintă unele particularităţi, prezentate mai
jos, impuse prin reglementările specifice acestui domeniu, ce se regăsesc în cuprinsul Ordonanţei
de urgenţă nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, cu modificările şi
completările ulterioare:
1. Auditorii financiari ai instituţiilor de credit trebuie să fie aprobaţi de Banca Naţională a
României (BNR). BNR poate respinge numirea unui auditor financiar dacă apreciază că
acesta nu dispune de experienţă şi/sau independenţă adecvate pentru îndeplinirea
sarcinilor specifice sau dacă există constatări potrivit cărora acesta nu a respectat cerinţele
de conduită etică şi profesională specifice. De asemenea BNR poate retrage aprobarea
acordată unui auditor financiar, în situaţia în care acesta nu îşi îndeplineşte în mod
corespunzător atribuţiile
2. Instituţiile de credit au obligaţia să înlocuiască periodic auditorul financiar sau să solicite
auditorului financiar înlocuirea periodică a coordonatorului echipei care realizează auditul
financiar.
3. Auditorul financiar al unei instituţii de credit trebuie să informeze BNR de îndată ce, în
exercitarea atribuţiilor sale, a luat cunoştinţă despre orice fapt sau decizie în legătură cu
instituţia de credit care reprezintă o încălcare semnificativă a legislaţiei, sau este de natură
să afecteze capacitatea instituţiei de credit de a funcţiona în continuare ori care poate
conduce la un refuz din partea auditorului financiar de a-şi exprima opinia asupra
situaţiilor financiare sau la exprimarea de către acesta a unei opinii cu rezerve.
4. BNR poate solicita auditorului financiar al instituţiei de credit să furnizeze orice detalii,
clarificări, explicaţii legate de activitatea de audit financiar desfăşurată. BNR are acces la
orice documente întocmite de auditorii financiari pe parcursul acţiunii de audit.

Auditul intern este parte a sistemului de control intern al unei entităţi care monitorizează în mod
continuu funcţionarea sistemului şi a entităţii în general. Din această perspectivă, unii autori
consideră că auditul intern este „controlul controalelor” întrucât exercită controlul final în cadrul
entităţii, examinând celelalte componente ale sistemului intern de control.
Conform Legii nr. 31/1990 privind societăţile comerciale, cu modificările şi completările

ulterioare, auditul intern este obligatoriu pentru organizaţiile ale căror situaţii financiare anuale
sunt supuse, potrivit legii, auditului financiar. Aceste organizaţii sunt obligate să organizeze şi să
asigure exercitarea activităţii profesionale de audit intern, in conformitate cu normele legale in
vigoare. Pentru regiile autonome, companiile naţionale şi societăţile naţionale, precum si pentru
alte entităţi economice cu capital majoritar de stat, auditul intern trebuie organizat in conformitate
cu legislaţia privind auditul intern din entităţile publice.
1.4. SCURTĂ ISTORIE A AUDITULUI INTERN ÎN ROMÂNIA
Aşa cum am menţionat anterior, termenul de audit intern a fost introdus relativ recent în
vocabularul economic, întrucât în perioada comunistă nu exista. De altfel acest termen este
specific ţărilor din spaţiul anglo-saxon şi s-a impus târziu în spaţiul cu legislaţie de inspiraţie
franceză. Activităţile cu conţinut apropiat erau denumite „revizie contabilă”, „control financiar”,
„control financiar intern”, „control financiar de gestiune” şi priveau exclusiv entităţile din
domeniul public.
Introducerea conceptului de audit în ţara noastră, în perioada de tranziţie la economia de piaţă,

este urmarea interesului generalizat de adoptare şi/sau armonizare a reglementărilor naţionale cu
cele prevăzute pe plan european sau internaţional.
Prima utilizare a acestui termen în plan legislativ are loc odată cu apariţia în 1994 a Ordonanţei
Guvernului nr. 65 privind organizarea activităţii de expertiză contabilă şi a contabililor
autorizaţi, care menţiona printre atribuţiile pe care le poate exercita expertul contabil (art.6, lit.c)
şi pe cea legată de „efectuarea de analize economico-financiare, audit financiar-contabil şi
evaluări patrimoniale”.
Un reper important în ceea ce priveşte constituirea acestei profesii l-a reprezentat apariţia în 1999
a Ordonanţei de urgenţă nr. 75 privind activitatea de audit financiar. Această reglementare a
creat cadrul juridic pentru organizarea activităţii de audit financiar şi de audit intern în ţara
noastră şi a pus bazele organizării Camerei Auditorilor Financiari din România (organizaţie
profesională de utilitate publică, fără scop lucrativ).
La nivel metodologic, activitatea de audit intern a fost reglementată odată cu adoptarea de către
CAFR a Hotărârii nr.88/2007 pentru aprobarea Normelor de audit intern, care cuprind
„Standardele de audit intern”, asimilate ca norme naţionale de audit intern, precum şi „Proceduri
privind cadrul general de desfăşurare a misiunilor de audit intern”.
În sectorul bancar, prima reglementare a băncii centrale care viza domeniul auditului intern a
constituit-o Normă nr. 17/2003 privind organizarea şi controlul intern al activităţii instituţiilor de
credit şi administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii
de audit intern a instituţiilor de credit, publicat in Monitorul Oficial nr. 47 - 20/01/2004. Acest

act normativ cuprinde şi prima definiţie juridică a auditului intern bancar şi stabileşte regulile de
bază ale acestei activităţi printr-un număr de 35 de articole.
În sectorul instituțiilor financiare nebancare, prima reglementare a băncii centrale ce viza auditul
intern a fost Norma BNR nr 18/2006 privind organizarea și controlul intern, administrarea
riscurilor semnificative, precum și desfășurarea activității de audit intern a instituțiilor financiare
nebancare. Această reglementare a fost modificată de Regulamentul 20/13.10.2009 privind
insitutiile financiare nebancare.
Ulterior, Regulamentul BNR nr.18/2009 privind cadrul de administrare a activităţii instituţiilor

de credit, procesul intern de evaluare a adecvării capitalului la riscuri şi condiţiile de
externalizare a activităţilor acestora, care a înlocuit Norma 17/2003 nu a mai dat o definiţie a
auditului intern, pornind de la premisa ca elementele definitori ale activităţii de audit sunt deja de
notorietate. De asemenea, regulamentul respectiv este mai puţin detaliat, întrucât o bună parte a
materiei fusese acoperită între timp prin Hotărârea nr.88 a CAFR din 2007, prin care s-au
aprobat normele de audit intern la nivel naţional.
La sfârşitul anului 2013, BNR a emis un nou regulament care înlocuieşte printre altele şi
Regulamentul 18/209 – este vorba de Regulamentul 5/2013 privind cerinţele prudenţiale pentru
instituţiile de credit, publicat în Monitorul Oficial, Partea I nr. 841 din 30.12.2013.
Conform dispoziţiilor finale ale acestei reglementări, majoritatea prevederilor legate de cadrul de
administrare a activităţii instituţiilor de credit, inclusiv cele referitoare la controlul intern şi
activitatea de audit, din cuprinsul Regulamentului18/2009 rămân valabile până la data de 30 iunie
2014, când vor fi abrogate şi înlocuite cu cele din cuprinsul noului regulament.
Legea nr. 162/2017 privind auditul statutar al situațiilor financiare anuale și al situațiilor
financiare anuale consolidate și de modificare a unor acte normative reglementează auditul
statutar al situațiilor financiare anuale și al situațiilor financiare anuale consolidate, întocmite
potrivit legii contabilității și reglementărilor contabile aplicabile.

2. CADRUL DE CONTROL INTERN
Etimologia cuvântului „control” provine din expresia latinească „contra trolus", prin care se
înţelege „verificarea unui act duplicat după original”.
În literatura de specialitate avem şi alte accepţiuni, astfel:
■ în accepţiunea francofonă, controlul este o verificare, o inspecţie atentă a corectitudinii
unui act;
■ în accepţiunea anglo-saxonă - care s-a impus in cele din urmă la nivel mondial - controlul
este un atribut al managementului şi constă în acţiunea de supraveghere a cuiva sau a ceva, dar în
acelaşi timp înseamnă şi puterea de a conduce şi stăpâni o activitate sau o situaţie. Sensul cel mai
comun asociat controlului este acela de verificare, ce permite managementului să coordoneze
activităţile din cadrul organizaţiei.
După cum s-a arătat în capitolul precedent, unul dintre principalele obiective ale auditului intern îl
reprezintă evaluarea eficienţei şi a gradului de adecvare a sistemului de control intern, a cărui
parte componentă este.
Orice organizaţie există pentru a îndeplini o misiune, pentru a atinge nişte obiective fixate de
proprietarii săi. În demersurile pentru îndeplinirea acestor obiective organizaţiile se confruntă cu
numeroase obstacole sau riscuri. În acest capitol vom discuta despre diversele componente ale
sistemului sau cadrului de control intern pe care organizaţiile le-au dezvoltat pentru a reduce şi
gestiona aceste riscuri.
În vorbirea curentă, sintagma de “control intern” are semnificaţii dintre cele mai variate, în
funcţie de perspectiva utilizatorului. Astfel, prin „control intern” de multe ori se face referire la un
compartiment distinct, cu atribuţii de verificare a celorlalte structurii organizatorice din cadrul
instituţiei (în trecut acesta purta denumirea de Control Financiar de Gestiune sau Control
Financiar Intern). De asemenea, prin control intern se poate înţelege activitatea specifică
exercitată de personalul care lucrează în departamentul de control intern menţionat anterior.
Perioada 1990 -1999 s-a caracterizat prin profunde reorganizări în toate planurile activităţii
economice, inclusiv în materia controlului intern. Începând din 1999, în sistemul legislativ
românesc se face distincţie între conceptul de „control intern” şi conceptul de „audit intern”, în
conformitate cu practica internaţională. În mod concret, managerul stabileşte pentru fiecare
domeniu, compartiment, activitate sau program formele de control intern care nu implică costuri
suplimentare, menite să limiteze riscurile asociate activităţilor, sub diverse forme:
- autocontrolul propriilor activităţi efectuate prin respectarea de către fiecare salariat a
procedurilor de lucru instituite;
- controlul mutual, realizat între fazele unui lanţ procedural, exercitat de fiecare post de
lucru asupra modului de efectuare a prelucrărilor în cadrul postului de lucru anterior,
pentru a putea adăuga propriile prelucrări şi a pregăti controlul pe care îl va efectua postul
de lucru următor;
- controlului ierarhic, exercitat pe fiecare nivel de responsabilitate;
Alături de aceste forme de control intern, ataşate intrinsec activităţilor curente ale fiecărui post de
lucru, managerul poate stabili şi alte forme de control intern care intră în lanţul operaţiilor, dar
care presupun costuri suplimentare, având reguli procedurale distincte, fiind chiar structuri de sine
stătătoare, spre exemplu:
- controale de calitate în diferite puncte-cheie ale lanţului operaţiunilor;

- controlul financiar preventiv;
- controlul financiar de gestiune (patrimonial);
- controlul financiar-contabil;
- controlul administrativ;
- inspecţii ş.a.
Distinct de acestea, auditul intern are rolul de a evalua şi de a da o asigurare fundamentată şi
obiectivă managementului asupra gradului de funcţionalitate, atât pe ansamblul sistemului de
control intern, cât şi pe fiecare formă concretă de manifestare a acestuia, conform cadrului
metodologic şi procedural şi practicii recunoscute în domeniu.
În 1948, Institutul American al Contabililor Publici Certificaţi (American Institute of Certified
Public Accountants – AICPA) recunoaşte pentru prima oară ca termenul de „control intern” are
un sens mai larg decât cel atribuit în mod obişnuit: “Controlul intern cuprinde planificarea
organizatorică, măsurile adoptate în cadrul afacerii pentru a proteja activele, a verifica
corectitudinea datelor contabile, a promova eficienţa operaţională şi a încuraja adeziunea la
politicile stabilite de conducere.”
La sfârşitul anilor 80, cinci organizaţii profesionale americane3 s-au reunit într-un comitet, sub
conducerea senatorului James C. Treadway, pentru a investiga problematica raportărilor
financiare frauduloase care determinat o serie de scandaluri financiare în SUA în perioada
respectivă. Astfel a luat naştere „Committee of Sponsoring Organizations of the Treadway
Commission” (COSO), organizaţie care va avea un cuvânt important de spus în domeniul
controlului intern, întrucât principiile şi practicile de organizare a controlului intern pe care le-a
promovat s-au impus ca standarde în această materie în SUA, fiind importate ulterior şi în statele
Europei occidentale.
În septembrie 1992, COSO a publicat un document de referinţă în acest domeniu intitulat
„Controlul intern – cadrul integrat” (eng. Internal Control— Integrated Framework) care va fi
republicat cu mici amendamente în 1994. O variantă actualizată a acestui document a fost lansată
în 2013. În prezent, abordarea dominantă pe plan internaţional în privinţa controlului intern este
reprezentată de acest, cunoscut drept „modelul COSO”.
Definiţia controlului intern:

Conform COSO, controlul intern este un proces, realizat de structurile de la toate palierele
de conducere şi execuţie (Consiliul de Administraţie sau de Supraveghere, conducerea
executivă, personalul de execuţie), destinat să ofere o asigurare rezonabilă că:
i) operaţiunile şi activităţile organizaţiei sunt eficiente şi se realizează în mod eficace;
ii) că datele şi informaţiile cuprinse în raportările financiare sunt corecte şi complete;
iii) că organizaţia îşi desfăşoară activitatea respectând cadrul legal aplicabil (în
conformitate cu reglementările aplicabile).
Modelul şi definiţia controlului intern propuse de COSO au fost preluate şi de Comitetul de la
Basel (Basel Committee on Banking Supervision) în cuprinsul a două rapoarte 4 elaborate pe
această temă în 1998:
3
Institute of Management Accountants (IMA), the American Accounting Association (AAA), the American Institute
of Certified Public Accountants (AICPA), the Institute of Internal Auditors (IIA) şi Financial Executives
International (FEI).
4 Interesul acordat controlului intern şi caracterului său continuu este consecinţa analizei cauzelor care au determinat
înregistrarea de pierderi semnificative de către unele bănci; această analiză a identificat lipsa unor sisteme de control

 „Framework for the evaluation of internal control systems” (ianuarie 1998);
 „Framework for internal control systems in banking organisations” (septembrie 1998)
Conform Comitetului de la Basel, un sistem eficace de control intern reprezintă o componentă
esenţială a managementului bancar şi, în acelaşi timp, constituie fundaţia pentru funcţionarea
sigură şi durabilă a instituţiilor de credit. Comitetul de la Basel preia conceptul de control intern
dezvoltat de COSO şi il prezintă ca fiind un proces continuu la care participă Consiliul de
Administraţie sau de Supraveghere, conducerea superioară, precum şi personalul băncilor de la
toate nivelurile. Este subliniat astfel faptul că nu este vorba doar despre o procedură sau o
politică aplicată la un moment dat, ci de un cumul de acţiuni desfăşurate continuu la toate nivelele
băncii. Particularizate la sectorul bancar, obiectivele controlului intern pot fi clasificate astfel:
1. eficienţa şi eficacitate operaţiunilor/activităţilor (obiective de performanţă);

Controlul intern urmăreşte protejarea băncii împotriva pierderilor şi, de asemenea, să
asigure că angajaţii băncii contribuie la realizarea ţintelor operaţionale, fără costuri
neprevăzute sau excesive şi fără punerea altor interese (cum ar fi cele ale unui angajat, ale
unui furnizor sau ale unui client) înaintea intereselor băncii.
2. corectitudinea, gradul de cuprindere şi promptitudinea transmiterii informaţiilor

financiare şi operaţionale (obiective de informare);
Controlul intern urmăreşte crearea condiţiilor pentru la furnizarea la timp şi corect a
informaţiilor (de obicei sub forma unor rapoarte) relevante, necesare luării deciziilor în
cadrul băncii. Aceste obiective se referă, de asemenea, şi la necesitatea existenţei unor
conturi anuale de venituri şi cheltuieli, ale situaţiilor financiare, ale prezentării altor
informaţii referitoare la aspectele financiare şi a rapoartelor către acţionari, autorităţi de
supraveghere şi alte părţi externe implicate. Informaţiile primite de către management,
Consiliul de Administraţie, acţionari şi autorităţile de supraveghere trebuie să aibă o
calitate şi acurateţe suficiente, astfel încât destinatarii acestora să se poată baza pe acestea
în luarea deciziilor. Termenul de credibil, legat de situaţiile financiare, se referă la
elaborarea situaţiilor care sunt prezentate corect şi se bazează pe principii contabile şi
reguli complete şi bine definite.
3. conformitatea cu legile şi reglementările în vigoare (obiective de conformitate).

Controlul intern urmăreşte să asigure că toate activităţile băncii sunt desfăşurate în
conformitate cu legile şi reglementările în vigoare, cerinţele de supraveghere precum şi
politicile, normele şi procedurile băncii, în scopul protejării renumelui şi reputaţiei băncii.
Această definiţie reflectă câteva concepte fundamentale. Controlul intern:

- Urmăreşte atingerea unor obiective din una sau mai multe categorii – obiective
operaţionale sau de performanţă (legate de eficienţa şi eficacitatea operaţiunilor),
intern adecvate ca fiind un determinant major al pierderilor. Concluzia trasă din aceste experienţe a fost că un sistem
de control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi
putut limita amploarea acestora. Prin urmare, un sistem de control intern eficient reprezintă o componentă critică a
gestionării unei bănci, care poate sprijini realizarea obiectivelor băncii. Interesul acordat controlului intern şi
caracterului său continuu este consecinţa analizei cauzelor care au determinat înregistrarea de pierderi semnificative
de către unele bănci; această analiză a identificat lipsa unor sisteme de control intern adecvate ca fiind un determinant
major al pierderilor. Concluzia trasă din aceste experienţe a fost că un sistem de control intern eficient ar fi putut
preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin
urmare, un sistem de control intern eficient reprezintă o componentă critică a gestionării unei bănci, care poate
sprijini realizarea obiectivelor băncii.

obiective legate de raportare (acurateţea raportărilor financiare) şi obiective de
conformitate (activităţile organizaţiei respectă prevederile legale);
- Este un proces format din sarcini, operaţiuni şi activităţi curente cu caracter
permanent – el reprezintă un mijloc şi nu un scop în sine;
Controlul intern nu este un eveniment, un factor sau o circumstanţă, ci o serie de
acţiuni/măsuri răspândite pe fluxul de operaţii al fiecărei activităţi (se întrepătrund cu
activităţile operaţionale ale organizaţiei), fiind inerente modului în care este condusă
afacerea. Activităţile ce se desfăşoară în cadrul unei entităţi au la bază procese elementare
de management: planificarea, execuţia şi monitorizarea. Controlul intern se integrează în
fiecare din aceste elemente fiind parte componentă a lor.
- Este realizat de oameni – conţinutul său nu este determinat doar de politici, manuale de
proceduri, sisteme şi formulare, ci în primul rând de oamenii şi de acţiunile pe care aceştia
le adoptă pe fiecare palier al organizaţiei.
Controlul intern se realizează prin ceea ce spun şi prin ceea ce fac oamenii din cadrul
organizaţiei, oamenii sunt cei care stabilesc obiectivele organizaţiei şi pun în operă
mecanisme de control.
- Este în măsură să furnizeze doar o asigurare rezonabilă - în opoziţie cu o asigurare
absolută sau o garanţie, întrucât în viaţa reală pot apărea scăpări, erori etc. În plus, cel mai
performant control poate fi eludat de către personalul de conducere.
- Se adaptează modului de organizare a instituţiei – se implementează la nivelul întregii
instituţii, dar şi la nivelul individual al unei sucursale, departament, proces etc.
2.1. MODELUL COSO

Conform modelul COSO, controlul intern este format din următoarele 5 componente integrate,
care sunt reprezentate grafic sub forma unui cub.

1. Mediul de control – baza controlului intern
Resursele umane reprezintă cel mai important activ al oricărei organizaţii. Calitatea acestor
resurse determină succesul sau eşecul pe termen lung al organizaţiei. În consecinţă, este firesc ca
atitudinea personalului să fie determinantă inclusiv pentru controlul intern al organizaţiei, iar rolul
cel mai important revine factorilor de conducere.
Consiliul de Administraţie/Supraveghere şi conducerea executivă dau tonul în cadrul instituţiei
(eng. - tone at the top) în ceea ce priveşte importanţa controlului intern, inclusiv standardele de
conduită/comportament aşteptate. Managementul este cel care stabileşte şi comunică personalului
aşteptările şi exigenţele în ceea ce priveşte performanţa profesională, dar şi conduita profesională
şi morală. În acest sens, se consideră că cel mai important mijloc de transmitere a mesajului
privind comportamentul etic aşteptat de la angajaţii organizaţiei este exemplul personal al
liderilor săi.
Această componentă – mediul de control – este puternic influenţată de istoria şi cultura
organizaţiei şi cuprinde :
- integritatea morală, valorile etice la care aderă managementul şi personalul organizaţiei;
- modul de organizare şi administrare a organizaţiei, inclusiv aspectele legate de împărţirea
rolurilor şi responsabilităţilor la vârful organizaţiei;
- procesul de atragere, dezvoltare şi retenţie a salariaţilor valoroşi;
- rigoarea aplicată în procesul de evaluare a performanţelor profesionale;
- modul de promovare şi de remunerare a salariaţilor în funcţie de performanţe;
- atenţia şi îndrumarea pe care o acordă consiliul de administraţie/supraveghere problemelor
organizaţiei.
Întrucât nu îmbracă o formă materială (cu mici excepţii, când îmbracă forma concretă a unui cod
de etică sau reguli interne de comportament), este de multe ori considerată o componentă “soft” şi
din acest motiv este dificil de reglementat şi de evaluat.
Principiile care se impun în legătură cu această componentă sunt următoarele:

- Organizaţia trebuie să promoveze şi să demonstreze angajamentul în ceea ce priveşte
integritatea morală şi valorile etice ale salariaţilor săi;
- Structura de conducere care îndeplineşte funcţia de supraveghere, respectiv Consiliul de
Administraţie sau Consiliul de Supraveghere (după caz), trebuie să arate că este
independent de conducerea executivă şi să-şi exercite atribuţiile de supraveghere inclusiv
asupra modului în care este conceput şi implementat controlul intern;
- Managementul trebuie să stabilească, sub supravegherea Consiliului de Administraţie sau
a Consiliului de Supraveghere, modul de împărţire a sarcinilor şi responsabilităţilor pentru
atingerea obiectivelor, cu linii de raportare clare;
- Organizaţia trebuie să-şi demonstreze angajamentul în ceea ce priveşte atragerea,
dezvoltarea şi reţinerea salariaţilor competenţi.
2. Evaluarea riscurilor
Orice entitate, indiferent de structură, dimensiune, sectorul în care activează se confruntă cu
riscuri care îi afectează capacitatea de a supravieţui, succesul pe piaţă, puterea financiară,
imaginea, calitatea produselor şi a serviciilor, a oamenilor.

Organizaţia trebuie să cunoască riscurile la care se expune şi să le trateze în mod conştient,
respectiv să decidă dacă merită să şi le asume, dacă poate să le reducă sau să le transfere (prin
asigurare).
Ce este riscul?
Risc este posibilitatea ca un eveniment viitor incert să afecteze atingerea obiectivelor.
Riscul este determinat de două dimensiuni:
i) ca efect sau severitate(valoarea pagubelor pe care le poate produce – evident o estimare);
ii) ca probabilitate de producere.
Din acest motiv, pentru evaluarea unui risc de multe ori se foloseşte un sistemul de coordonate
bidimensional (coordonate carteziene), reprezentate grafic sub forma de heat map.
În exemplul de mai sus, riscul 1 este estimat ca având o probabilitate ridicată şi un efect mare, în
consecinţă este un risc sever.
Stabilirea obiectivelor reprezintă o precondiţie pentru identificarea riscurilor, iar aceasta se poate
face într-o manieră sistematică, structurată sau poate fi un proces informal. Obiectivele pot fi
obiectivele explicite (ex. implementarea unui sistem informatic, creşterea cotei de piaţă) sau
implicite (ex. păstrarea nivelului de performanţă anterior). De obicei, în stabilirea obiectivelor se
utilizează o abordare top-down: din misiunea sau strategia organizaţiei derivă obiectivele sale
majore, care se translatează în sub-obiectivele aferente structurilor organizaţiei (vânzâri,
producţie, etc). După ce obiectivele sunt conturate se identifică factorii critici de succes: de ce
anume este nevoie pentru ca obiectivele sǎ fie atinse?
În faza următoare se identifică riscurile, pornind de la întrebarea esenţială: ce anume poate merge
prost? În acest sens se iau în considerare:
i) factori externi
- economici (ex. evoluţia preţurilor, bariere la intrarea pe piaţă);
- naturali (ex. calamităţi naturale);
- politici (ex. schimbarea regimului politic);
- sociali (ex. schimbări demografice);
- tehnologici/IT (ex. apariţia unor noi tehnologii ).
ii) factori interni
- infrastructura (ex. mutarea call-center într-un alt oraş);

- personal (ex. accidente de munca, fraude interne);
- procese (ex. introducerea unor proceduri/operaţiuni noi fără respectarea
protocoalelor de management al schimbării);
- tehnologici/IT (ex. schimbarea sistemului IT).
După identificarea riscurilor urmează etapa de evaluare sau măsurare a riscurilor, unde se folosesc
tehnici cantitative (ex. utilizarea datelor istorice pentru a face predicţii în ceea ce priveşte
valoarea la risc sau distribuţia pierderilor operaţionale, teste de stres, analiza de scenarii) sau
tehnici calitative (ex. interviuri cu specialişti sau cu managementul, şedinţe de brainstorming).
Cunoscând riscurile relevante, managementul are posibilitatea să decidă în cunoştinţă de cauză
modalitatea de acţiune sau „reacţia (răspunsul) la risc”, care poate fi:
• de evitare – eliminarea activităţilor purtătoare de risc (ex. o banca renunţă la produsul
„credit doar cu buletinul” datorită riscurilor asociate)
• de reducere – sunt adoptate măsuri pentru reducerea probabilităţii sau/şi a efectului
(activităţi de control suplimentare);
• de transfer – prin asigurare, hedging sau externalizarea unor activităţi/operaţiuni;
• de acceptare – atunci când nu se adopta nici o măsură sau se creează rezerve
(provizioane) pentru situaţia în care riscul se materializează.
3. Activităţile de control
Activităţile de control sunt acţiunile stabilite în cuprinsul politicilor şi procedurilor prin care se
creează condiţiile ca directivele managementului în ceea ce priveşte reducerea riscurilor să fie
duse la îndeplinire. Simplificat, activităţile de control reprezintă toate mecanismele şi operaţiunile
adoptate pentru ţinerea sub control a riscurilor. Formele concrete pe care le îmbracă aceste
activităţi sunt foarte diverse şi depind de complexitatea organizaţiei, domeniul în care activează,
tradiţia şi cultura organizaţională etc.
Cele mai frecvente sunt:

- separarea responsabilităţilor – presupune separarea unei tranzacţii/operaţiuni sau proces
astfel încât acestea să nu fie sub controlul unei singure persoane. Reprezintă de multe ori
cea mai eficace activitate de control.
- aprobări & autorizări;
- supervizarea exercitată în mod nemijlocit de manager asupra operaţiunilor sensibile;
- examinarea performanţelor operaţionale faţă de bugete sau previziuni;
- comparaţii ale unor performanţe individuale faţă de trendul general;
- verificarea concordanţei între două categorii de date
- măsuri fizice de protecţie a valorilor;
- inventare periodice;
- monitorizarea unor indicatori cheie (KPI – Key Performance Indicators – ex. numărul de
ore de nefuncţionare a bancomatelor, durata medie a unor operaţiuni etc)
Activităţile de control se realizează la toate nivelele organizaţiei şi în diverse etape ale procesului
de business, acoperind inclusiv mediul IT.
Exemple de activităţi de control în sectorul bancar:

 Controale realizate de Consililul de Administraţie/Supraveghere şi managementul
executiv - Consiliul de administraţie şi managementul executiv solicită deseori rapoarte
de prezentare şi de performanţă care le permit să analizeze progresul băncii către atingerea
obiectivele propuse. De exemplu, managementul executiv poate analiza rapoarte care
evidenţiază rezultatele obţinute faţă de cele bugetate. Întrebările generate de
managementul executiv ca urmare a acestor analize şi răspunsurile date de către nivelurile
de management inferioare, reprezintă o activitate de control care poate detecta probleme
cum ar fi slăbiciuni în control, erori în raportările financiare sau activităţi frauduloase.
 Controale făcute de conducerea departamentelor sau direcţiilor – care primesc şi
analizează rapoarte ale performanţelor standard şi ale excepţiilor, cu o frecvenţă zilnică,
săptămânală sau lunară. Analizele funcţionale sunt mai frecvente şi mai detaliate decât
cele ale consililului de administraţie şi managementului executiv. De exemplu, un director
al activităţii de creditare comercială poate analiza zilnic rapoarte referitoare la restanţieri,
rambursări, veniturile din dobânzi ale portofoliului de credite, în timp ce managerii de pe
nivelurile ierarhice superioare pot analiza rapoarte similare, lunar şi într-o formă mai
sumară care să includă toate segmentele de creditare. În cazul controalelor realizate de
Consiliul de Administraţie şi managementul executiv, întrebările care sunt generate ca
rezultat al analizelor acestor rapoarte şi răspunsurile la aceste întrebări reprezintă o
activitate de control.
 Inventarieri - inventarierile se axează de obicei pe verificare şi confirmarea pe teren a
existenţei activele tangibile, inclusiv a mijloacelor fixe, a obiectelor de inventar, a
numerarului şi a titlurilor de valoare (valorile mobiliare), conform evidenţei contabile şi a
evidenţei operative.
 Conformitatea cu limitele de expunere – stabilirea unor limite prudente reprezentând
expunerea băncii la diferite riscuri, este un important element de gestiune a riscurilor. De
exemplu, conformitatea cu limitele pentru clienţii care beneficiază de credite şi pentru
alte entităţi cu care banca intră în relaţii, reduce concentrarea băncii pe riscul de creditare
şi ajută la diversificarea riscului. Prin urmare, un aspect important al controalelor interne
este un proces de control al respectării unor astfel de limite şi monitorizarea cazurilor de
nerespectare.
 Aprobări şi autorizări – solicitarea de aprobări şi autorizări pentru tranzacţii peste
anumite limite asigură faptul că managementul cunoaşte tranzacţia sau situaţia şi ajută la
stabilirea responsabilităţilor.
 Verificări şi reconcilieri – verificările detaliilor tranzacţiilor şi activităţilor precum şi
rezultatele modelelor de gestiune a riscurilor folosite de bancă reprezintă importante
activităţi de control. Reconcilieri periodice, cum ar fi compararea cash-flow-urilor cu
înregistrările şi situaţiile contabile, pot duce la identificarea activităţilor sau înregistrărilor
contabile care necesită modificări. Prin urmare, rezultatele acestor verificări trebuie să fie
raportate nivelului corespunzător de management ori de câte ori probleme sau potenţiale
probleme sunt detectate.
În funcţie de obiectiv, activităţile de control pot fi:
- Preventive – implementate pentru a preîntâmpina apariţia evenimentelor nedorite (ex.
separarea responsabilităţilor, utilizarea parolelor pentru accesul la staţiile de lucru);
- Detective – implementate pentru a identifica situaţiile indezirabile care deja s-au produs
(ex. inventarierea, confirmări externe ale soldurilor conturilor deţinute la bănci);
- Directive – urmăresc să determine sau să încurajeze apariţia unor situaţii dezirabile (ex.
programe de pregătire inhouse, şedinţe periodice de evaluare a progresului proiectului);

- Compensatorii – proiectate pentru a “compensa” lipsa unor controale normale (ex.
supraveghere mai strânsă atunci când nu exista posibilitatea separării responsabilităţilor).
În funcţie de modul executare şi de suportul tehnic implicat, activităţile de control pot fi:
- Manuale
- Automatizate, care la rândul lor se împart în
o Activităţi de control automatizate cu caracter general – sunt aplicabile tuturor
sistemelor IT din cadrul instituţiei, fiind destinate sa asigure integritatea, credibilitatea
şi acurateţea datelor şi aplicaţiilor informatice (ex. standardele de back-up, regulile si
procedurile privind securitatea IT, standardele de dezvoltare inhouse a aplicaţiilor IT,
regulile de instalare a aplicaţiilor pe staţiile de lucru individuale etc);
o Activităţi de control automatizate cu caracter specific (de aplicaţie) – acestea sunt
integrate în aplicaţia IT şi depind de modul in care a fost concepută/programată
aplicaţia respectivă (ex. verificarea automată de către aplicaţie a concordanţei dintre
CNP şi data naşterii, imposibilitatea introducerii unei date de naştere din viitor etc)
În ceea ce priveşte controlul intern, mai mult nu înseamnă mai bine. Astfel, activităţile de control
excesive pe fluxul de operaţiuni pot genera efecte perverse, subminând eficacitatea de ansamblu a
sistemului. Imaginaţi-vă că un document elaborat de un salariat este verificat în mod obişnuit de
alte cinci persoane. Întrucât fiecare din aceste cinci persoane ştie că mai sunt alţi lucrători care
trebuie să examineze lucrarea, îşi vor exercita atribuţiile cu mai puţină rigoare, sperând că o
eventuală eroare va fi detectată de ceilalţi. În acest fel, este slăbită vigilenţa, iar activitatea
respectivă de control va dobândi doar un caracter formal, care îmbracă probabil forma unei
semnături sau a unei ştampile, însă în realitate este lipsită de conţinut. În plus, activităţile de
control implică anumite costuri monetare sau de oportunitate.
Alte efecte nedorite ale activităţilor de control excesive:
i) creşterea birocraţiei;
ii) - reducerea productivităţii;
iii) - creşterea ciclului de producţie;
iv) - majorarea activităţilor care nu aduc valoare;
v) - reducerea interesului/motivaţiei personalului pentru calitate.
De aceea, între riscurile cu care se confruntă instituţia şi activităţile de control
implementate pentru reducerea lor trebuie să existe un echilibru !
Pentru ca activităţile de control să fie eficace, se urmăresc în general următoarele reguli legate de
plasarea activităţilor de control pe fluxul de operaţiuni:
a. Plasarea activităţilor de control înainte de componentele scumpe ale proiectului sau acolo
unde mai sunt posibile corecţii, conform proverbului „măsoară de două ori înainte să tai”;
b. Acolo unde se termina o etapă a unui proces sau a unei operaţiuni şi începe o fază;
c. Acolo unde se pot face măsuratori;
d. Acolo unde operaţiunile sunt preluate în sarcina altor persoane.
4. Informarea şi comunicarea
La baza deciziilor luate de factorii de conducere de la orice nivel stau diverse informaţii, de
natură financiară sau operaţională, care sunt captate şi raportate în interiorul instituţiei. Calitatea

acestor informaţii influenţează în mod direct procesul decizional şi viabilitatea organizaţiei
respective.
Această dependenţă a organizaţiei de informaţii a determinat COSO să considere că informarea şi
comunicarea o componentă esenţială a controlului intern. Informaţiile importante, relevante
pentru organizaţie trebuie identificate, captate şi comunicate într-o formă corespunzătoare şi în
timp util, astfel încât întreg personalul sǎ-şi poatǎ îndeplini responsabilităţile.
Însă comunicarea se desfăşoară într-un un sens mai larg, acoperind aspecte legate de aşteptările şi
responsabilităţile managementului şi salariaţilor. Comunicarea internǎ eficientǎ implicǎ existenţa
unor fluxuri de informaţii pe verticalǎ (de sus în jos - de la conducerea superioară către salariaţii
cu funcţie de execuţie, dar şi de jos în sus) şi pe orizontală, între departamente/sucursale/agenţii
sau între salariaţii din cadrul departamentelor.
Comunicarea cu exteriorul este la fel de importantă, furnizând informaţii critice pentru
funcţionarea organizaţiei. Aceasta acoperă relaţiile cu clienţii, furnizorii, acţionarii, auditorii
externi, autorităţile de reglementare şi supraveghere, alte autorităţi ale statului, comunitatea locală
etc.
Organizaţiile pot alege să comunice în moduri diferite. Formele de comunicare pe suport de hârtie
includ manuale de operaţiuni, reglementări/norme interne, buletine interne, panouri de informare
etc. Comunicarea se poate realiza prin intâlniri faţă în faţă sau prin mijloace electronice (email,
intranet, website, video conferinţe). Cultura organizaţională şi conţinutul informaţiilor ce urmează
să fie împărtăşite dictează metodele de comunicare. Din perspectiva controlului intern, acţiunile
managementului comunică cel mai bine ce este important şi care sunt priorităţile în cadrul
organizaţiei.
In procesul de comunicare, calitatea informaţiei este critică şi este determinată de o serie de
aspecte:
- Relevanţă – informaţia respectivă este necesară?
- Disponibilitate – informaţia este disponibilă atunci când devine necesară?
- Actualitate – informaţia este cea mai recentă ?
- Corectitudine – datele sunt corecte?
- Accesibilitate – informaţia poate fi obţinută cu uşurinţă de către părţile interesate?
Salariaţii trebuie să ştie modul în care activităţile lor sunt interconectate cu munca celorlalţi,
pentru a înţelege şi semnala dacă apare vreo problemă şi eventual pentru a cunoaşte cauzele şi a
stabili corecţiile necesare. De asemenea, ei trebuie să ştie care este comportamentul aşteptat sau
acceptabil şi ce nu este acceptabil. Au fost cazuri de raportare financiară cu caracter fraudulos în
care managerii, aflaţi sub presiunea atingerii ţintelor de profit, au alterat rezultatele operaţionale
pentru ca poziţia economică a firmei să pară mai bună decât în realitate. În unele dintre aceste
situaţii, nimeni nu le spusese acestora că un astfel de comportament este ilegal sau în orice caz
inacceptabil. Un manager care îşi instruieşte subordonaţii sub forma “Îndeplineşte-ţi tintele – nu
mă intersează cum!” transmite, poate fără să vrea, un mesaj greşit, care va încuraja un
comportament fraudulos.
Personalul trebuie de asemenea să aibă la dispoziţie mijloacele de comunicare a informaţiilor
semnificative către conducere. Salariaţii care execută în mod activităţile de bază ale organizaţiei
pot identifica şi semnaliza problemele imediat ce apar. Spre exemplu, un reprezentant de vânzări
sau o persoană care se ocupă de relaţia cu clienţii ar trebui să poată semnaliza rapid către
management probleme de design ale produsului vândut, identificate în urma discuţiilor cu clienţii.
De asemenea, salariaţii care au luat cunoştinţă de acţiuni frauduloase ale colegilor sau superiorilor

trebuie să aibă posibilitatea să le comunice mai sus pe scara ierarhica, fără teama că ei vor fi
pedepsiţi.
Pentru ca astfel de informaţii să fie raportate de jos în sus trebuie să existe canale de comunicare
deschise şi dorinţă exprimată foarte clar din partea şefilor de a asculta. Personalul trebuie să fie
convins că superiorii ierarhici chiar sunt interesaţi de problemele respective şi că le vor trata în
mod serios. Majoritatea managerilor deşi înţeleg că nu e cazul să „împuşte mesagerul”, datorită
presiunilor curente, nu mai sunt receptivi atunci când subordonaţii le prezintă probleme legitime.
Angajaţii sesizează rapid, prin semnalele transmise de superiori (verbale sau nonverbale), că
aceştia nu au timp sau nu sunt interesaţi de problemele pe care ei le-au descoperit şi astfel se
închide definitiv un canal de comunicare foarte important.
În cele mai multe cazuri, liniile normale de raportare (către superiorul direct) reprezintă canalele
adecvate de comunicare. În unele situaţii însă este nevoie de linii de comunicare separate care să
funcţioneze ca mecanisme de avarie, în cazul în care canalele normare devin inoperabile. Unele
companii furnizează un canal direct către un reprezentant al conducerii superioare sau către şeful
auditului intern sau către un jurist cu rang inalt din cadrul organizaţiei. De asemenea, se transmite
un mesaj clar cu privire la existenta unor mecanisme prin care salariaţii sunt incurajaţi să
raporteze suspiciunile lor legitime cu privire la încălcari ale regulilor interne sau cazuri de frauda
(in engl. - „whistle-blowing”).
Comunicarea dintre conducerea executivă, Consiliul de Administraţie/Supraveghere şi comitetele
sale este de asemenea critică. Managementul trebuie să informeze permanent organele cu funcţie
de supraveghere despre activitatea desfăşurată, evoluţiile şi evenimentele relevante, riscurile şi
oportunităţile asociate. Cu cât această comunicare este mai bună, cu atât atribuţiile de
supraveghere pot fi mai eficient îndeplinite. În acelaşi timp, Consiliul de
Administraţie/Supraveghere trebuie să comunice Managementului de ce informaţii are nevoie, să-
i dea instrucţiuni clare cu privire la direcţiile de urmat şi să-i transmită feed-back pentru acţiunile
şi demersurile asumate.
5. Monitorizarea
Sistemul de control se schimbă cu trecerea timpului. Modul în care se desfăşoară activităţile de
control evoluează. Unele proceduri care erau odată eficace devin desuete sau poate nu se mai
realizează, fie din cauză că salariaţii s-au schimbat, că nu a mai fost timp de pregătire profesională
sau cauzate de reducerile de buget şi a presiunilor legate de lipsa personalului. Mai mult,
circumstanţele care au condus la proiectarea unei anumit mecanism de control poate că s-au
schimbat şi au apărut riscuri noi, care nu sunt abordate în mod corespunzător.
Monitorizarea este componenta prin care se asigură că sistemul de control intern continuă să
opereze în mod eficace. Aceasta presupune evaluarea modului de funcţionare şi a calităţii
sistemului control intern în timp (măsura în care acesta a rămas adecvat şi reuşeşte să menţină
riscurile sub control).
În principiu, monitorizarea se poate realiza prin:
a) activităţiile curente ale managementului;
b) prin evaluări separate.
Activităţile de monitorizare curentă îmbracă multe forme, printre care amintim: supervizarea
efectuată de management, comparaţii şi reconcilieri între datele alte operaţiuni de rutină. Spre
exemplu, diverse rapoarte privind operaţiunile/tranzacţiile sunt comparate cu datele financiare iar
nepotrivirile sau excepţiile sunt analizate de management pentru a de identifica factorii
determinanţi. Sau reclamaţiile primite de la clienţi sunt analizate de management urmărind acelaşi

obiectiv. Seminariile sau şedinţele cu salariaţii furnizează conducerii un feed-back important cu
privire la eficacitatea controalelor.
Evaluările separate aduc beneficiul duc beneficiul “viziunii proaspete” (din afară), dar şi rigoarea
unei abordări sistematice. Acestea îmbracǎ forma:
 auto-evaluǎrilor – când anumite persoane din primesc sarcini punctuale din partea
managementului pentru a analiza modul de organizare şi funcţionare a sistemului de
control intern. În acest domeniu, în ultimi anii a tehnicile au evoluat şi devenit tot mai
riguroase, fiind stabilite reguli de bună practică şi metode speciale prin care managerii şi
echipele pe care le coordonează participă la sesiuni periodice de evaluare a riscurilor cu
care se confruntă şi a controalelor implementate pentru reducerea lor, folosind diferite
instrumente (de cele mai multe ori este vorba de chestionare - metoda poarta denumirea
generică de „Control Self Assessment”);
 auditul intern – auditorii interni efectuează evaluări ale controlului intern ca parte a
sarcinilor curente sau la solicitarea organelor cu funcţie de supraveghere, a conducerii
executive sau a managementului diverselor departamente/subsidiare;
 auditul extern – evaluarea controalelor aferente procesului de raportare financiare este
obligatorie pentru auditorii externi. Rezultatele acestor analize sunt raportate conduceri în
cuprinsul unui document separat de raportul de audit, intitulat de obicei „Management
letter”.
 consultanţă de management - consultanţii in management pot fi invitaţi într-o
organizaţie pentru un număr mare de motive: de la nevoia urgentă de sfaturi strategice la
managementul schimbării într-o companie recent privatizată; de la redefinirea proceselor
de management al relaţiei cu clienţii la instalarea unui sistem informatic în cadrul unei
bănci. Motivul cel mai răspândit pentru angajarea consultanţilor externi este aportul de
cunoştinţe ce lipsesc companiei în cauză, dar și abilitatea consultanţilor de a oferi o
viziune independentă şi o perspectivă originală asupra problemei.
2.2. MODELUL „CELOR TREI LINII DE APĂRARE” (3LOD)
În industria financiară din Marea Britanie s-a impus însă un alt model, mai simplu, care s-a dovedit a
fi uşor de înţeles şi de pus în aplicare, denumit „modelul celor trei linii de apărare”.
Modelul 3LoD (THREE LINES OF DEFENSE) oferă o modalitate simplă şi eficientă pentru a
clarifica rolurile şi sarcinile esenţiale în materie de control intern şi management al riscurilor.
Astfel, sistemul de control al unei organizaţii este privit sub forma liniilor de apărare ale unei cetăţi,
sau ca foile de ceapă, astfel:
a) Prima linie de apărare o reprezintă controlul managerial, respectiv toate activităţile de
control puse în operă de managementul de la nivelul fiecărui departament, sucursală, agenţie,
etc pentru a reduce riscurile curente, din activitatea de zi cu zi. Responsabilitatea pentru
organizarea şi supervizarea acestor activităţi revine în primul rând managementului de linie
(middle management), care trebuie să raporteze mai departe conducerii superioare.
b) A doua linie de apărare este formată din funcţii specializate pentru controlul anumitor
riscuri, organizate la nivel central. În sectorul bancar, aceste funcţii sunt în primul rând cele
care se ocupă de administrarea riscurilor şi de conformitate. Tot aici intră funcţiile de
inspecţie, investigaţii speciale, securitate fizică şi protecţia a informaţiilor confidenţiale sau
chiar cele de resurse umane. Acestea identifică la nivel de ansamblu riscurile cu care se
confruntă instituţia şi stabilesc reguli, norme şi proceduri specifice de monitorizare şi control
al acestor riscuri.

Aceste funcţii care formează a doua linie de apărare au atribuţii în ceea ce priveşte ghidarea,
monitorizarea şi controlul activităţilor din prima linie de apărare şi raportează conducerii
superioare.
c) A treia linie o reprezintă funcţia de audit intern care verifică celelalte două funcţii de
apărare şi furnizează o asigurare independentă Consiliului de Administraţie/Supraveghere şi
conducerii superioare cu privire la eficacitatea acestora.
Cele două modele - COSO şi 3LoD - nu sunt incompatibile, ci dimpotrivă se completează reciproc.
Din acest motiv, acestea au fost preluate şi integrate, cu mici adaptări, în cuprinsul unor documente
de ghidare pentru autorităţile de reglementare şi supraveghere bancară, elaborate fie de Basel
Committee on Banking Supervision (ex. Framework for internal control systems in banking
organisations), fie de Autoritatea Bancară Europeană (ex. EBA Guidelines on internal governance -
GL44).
Comitetul de la Basel a emis în Decembrie 2015 Ocasional Paper – 4LoD pentru instituțiile
financiare (Anexa 8)
Sumar Executiv
1. Criza Financiară Globală, guvernanța corporativă și cele 3LoD
2. Detaliile 3LoD
3. Slăbiciunile și erorile 3 LoD
4. Conceptul 4LoD pentru instituțiile financiare
5. Relațiile între funcțiile 3LoD și 4LoD
5.1. Relațiile dintre auditorii externi și autoritțățile de supraveghere
5.2. Relațiile dintre auditorii interni și autoritțățile de supraveghere
5.3. Relațiile dintre auditorii interni și auditorii externi
5.4. Tranziția de la 3LoD și 4LoD
6. Concluzii
Conceptul 4LoD pentru instituțiile financiare

În 2013, IIA a definit modelul celor 3 linii de apărare, pentru a oferi un cadru standardizat de
guvernanță corporativă și de gestionare a riscurilor pentru sectorul serviciilor financiare, astfel:
„Organul de conducere, conducerea executivă și auditul intern nu sunt separați în linii sau roluri
rigide. Conceptul de „linii” a fost păstrat în interesul familiarității. Cu toate acestea, ”liniile” nu
sunt menite să denote elemente structurale, ci o diferențiere utilă a rolurilor.”
Richard Chamber, Președinte și CEO IIA

Responsabilitățile Organului de Conducere în cadrul modelului 3 linii:
 Acceptă responsabilitatea față de părțile interesate pentru supravegherea organizației.

 Agrează cu părțile interesate asupra monitorizării intereselor comune și comunicării în mod
transparent cu privire la realizarea obiectivelor.
 Încurajează o cultură care promovează comportamentul etic și responsabilitatea.
 Stabilește structuri și procese pentru guvernanță, inclusiv comitete auxiliare, după cum este
necesar.
 Deleagă responsabilitatea și oferă resurse managerilor pentru realizarea obiectivelor
organizației.
 Determină apetitul organizațional la risc și exercită supravegherea managementului riscului
(inclusiv controlul intern).
 Menține supravegherea conformității cu așteptările legale, de reglementare și etice.
 Stabilește și supraveghează o funcție de audit intern independentă, obiectivă și competentă.
Managementul
A. Roluri aferente primei linii
 Conduce și direcționează acțiuni (inclusiv managementul riscurilor) și aplicarea resurselor

pentru atingerea obiectivelor organizației.
 Menține un dialog continuu cu organul de conducere și raportează cu privire la: rezultatele
planificate, efective și așteptate cu privire la obiectivele organizației și risc.
 Stabilește și menține structuri și procese adecvate pentru gestionarea operațiunilor și a
riscurilor (inclusiv controlul intern).
 Asigură respectarea cerințelor legale, de reglementare și etice.
B. Roluri aferente celei de-a doua linii
 Oferă expertiză complementară, sprijin, monitorizare și managementul riscurilor, inclusiv:

o Dezvoltarea, implementarea și îmbunătățirea continuă a practicilor de gestionare a
riscurilor (inclusiv controlul intern) la nivel de proces, sisteme și entitate,
o Atingerea obiectivelor de gestionare a riscurilor, cum ar fi: respectarea legilor,
reglementărilor și comportamentului etic acceptabil; control intern; securitatea informației
și tehnologiei; durabilitate; și asigurarea calității.
 Oferă analize și rapoarte privind adecvarea și eficacitatea managementului riscurilor (inclusiv
controlul intern).
Rolul Auditului Intern
 Este răspunzător în fața organului de conducere și independent față de responsabilitățile

managementului.
 Comunică în mod independent și obiectiv conducerii și organului de conducere, atât în cadrul
angajamentelor de asigurare, cât și de consiliere, cu privire la adecvarea și eficacitatea
guvernării și a gestionării riscurilor (inclusiv controlul intern) pentru a sprijini realizarea
obiectivelor organizaționale și pentru a promova și facilita îmbunătățirea continuă.
 Raportează orice afectare a independenței și obiectivității către organul de conducere și pune
în aplicare măsurile de garantare a acestora, după cum este necesar.

Rolul Furnizorilor de Asigurare Externă
 Oferă o asigurare suplimentară cu privire la:

o Îndeplinirea cerințelor legislative și de reglementare care contribuie la protejarea
intereselor părților interesate,
o Îndeplinirea solicitărilor din partea managementului și a organului de conducere, în
completarea surselor interne de asigurare.
 Colaborarea strânsă sau separarea între organul de conducere și management depinde de
factori precum dimensiunea companiei, prevederi legislative, etc.
 Organul de conducere poate prelua chiar coordonarea unor proiecte strategice sau
operaționale.
Diferențe cheie între cele două modele
1. Numele modelului
2. Versiunea inițială sugera mai mult o abordare reactivă a managementului riscurilor, cultivând
o imagine a trei bariere, care protejează compania de amenințările exterioare. S-a presupus ca
este un concept de management al riscurilor, care se rezumă la activități de management al
riscurilor. În realitate, modelul este un concept de guvernanță corporativă, care impactează
fiecare aspect al afacerii, începând cu modul în care este organizată compania, cum sunt
motivați angajații și părțile interesate (stakeholders) să atingă obiectivele generale, sa
îndeplinească viziunea și strategia companiei.
3. În versiunea inițială nu era foarte clar prezentată alocarea responsabilităților fiecărei linii de
apărare în cadrul organizației, ceea ce conducea la lacune în ceea ce privește responsabilitatea,
dispute în cadrul comunicării și probleme legate de raportare.
Schimbări semnificative aduse de modelul trei linii
1. Este mai puțin focusat pe ”linii” și mai concentrat pe ”principii”, cultivă o abordare mai
colaborativă, angajații individuali adoptând o viziune holistică asupra afacerii, mai degrabă
decât să se concentreze doar pe propriul rol și acolo unde aceasta se află în cadrul celor trei
linii.
2. Nu este despre apărare, este despre a adăuga valoare prin managementul riscurilor. Rolurile
care lucrează împreună contribuie în mod colectiv la crearea și apărarea valorii.
3. Este mult mai flexibil. Modelul celor trei linii este cel mai eficient atunci când este adaptat
pentru a se alinia la obiectivele organizației. Funcțiile, echipele și chiar indivizii pot avea
responsabilități care includ atât roluri din prima, cât și din a doua linie. Cu toate acestea,
direcția și supravegherea rolurilor specifice liniei a doua pot fi concepute pentru a asigura un
anumit grad de independență față de cele din cadrul rolurilor de linia întâi.
4. Rolul organului de conducere este mai clar. Există un accent mai mare pe rolul organului de
conducere și guvernare și rolul activ al organului de conducere în gestionarea riscurilor.
Modelul original s-a axat în mare parte pe responsabilitățile celor trei linii și modul în care
fiecare linie trebuie să raporteze organului de conducere, dar a oferit puține detalii cu privire
la responsabilitățile organismului de conducere în sine.
5. Comunicarea este cheia. Se încurajează întărirea colaborării dintre linii, în scopul prevenirii
duplicării muncii și eliminării lacunelor din cadrul proceselor, care conduc la raportarea
inadecvată. A treia linie, auditul intern, rămâne independentă, dar nu ”izolată”. Principiul
bunei comunicări și colaborări între linii ar trebui aplicat și celei de-a treia linii.

Principiile Modelului Trei Linii
Principiu Descriere
1. Guvernanța  Structuri care permit răspunderea față de părțile interesate
presupune  Acțiuni ale conducerii pentru atingerea obiectivelor și gestionarea
riscurilor
 Asigurare și consiliere prin audit intern independent
2. Rolurile  Structuri pentru o guvernanță eficientă, alinierea la părțile
corpului de interesate
guvernanță  Delegarea și supravegherea conducerii
 Stabilirea și supravegherea auditului intern eficient
3. Rolurile  Prima linie – gestionarea afacerilor și riscului și funcții de asistență
managementului  A doua linie – gestionarea riscurilor, monitorizare, provocare
credibilă
4. Rolurile celei  Asigurare independentă și obiectivă, emite recomandări
de-a treia linii  Adecvarea și eficacitatea guvernanței și a gestionării riscului
5. Independența  Independent de responsabilitățile de conducere (I și a doua linie)
celei de-a treia  Responsabil față de corpul de guvernanță (organul de
linii supraveghere)
6. Crearea și  Alinierea, comunicarea, coordonarea și colaborarea
protejarea
valorii
Aplicarea principiilor presupune:

 Modelul descrie rolurile, nu structurile,
 Permite flexibilitate și adaptabilitate,
 Organizațiile decid structurile,
 Funcțiile din a doua linie pot oferi expertiză suplimentară, supraveghere și provocare,
 Rolurile din a doua linie rămân parte a responsabilităților conducerii,
 Rolurile celei de-a treia linii sunt independente de management.
Critici aduse Noului Model Trei Linii
1. Cultura etică și riscul legat de angajați este tratat superficial. Unii consideră că este trecut
cu vederea un element fundamental al succesului modelului de afacere, respectiv cultura etică
a corporației, văzută ca cea mai importantă strategie de control și atenuare a riscurilor.
2. Funcția de conformitate este subevaluată. Specialiștii în conformitate și-au exprimat
îngrijorarea cu privire la retrogradarea aparentă a funcției de conformitate în noul model. În
versiunea originală, conformitatea a fost listată în mod explicit sub a doua linie de apărare, dar
în actualizare nu se menționează departamentul în sine și nu mai este evidențiat în
reprezentarea grafică. Cu toate acestea, documentul se referă în câteva rânduri la „respectarea
obligațiilor legale, de reglementare și etice”.
3. Noul model este prea orientat spre audit intern. Ținând cont de faptul că acest document
este emis de IIA, el adoptă o abordare axată pe audit, acordând o atenție deosebită valorii
aduse de echipa de audit intern; el acordă mai puțină atenție celorlalte funcții de control
intern.
4. O oportunitate pierdută de a renunța la ”linii”. Nu a fost folosită ocazia de a renunța la
imaginea creată asupra organizării stratificate/ în silozuri a companiilor. Consiliul de
administrație, managementul, auditul intern, conformitatea, administrarea riscurilor trebuie să
colaboreze în ceea ce privește riscul și să lucreze armonios, și nu separați / izolați.

2.3. MODELUL COCO
Cu titlu informativ, precizăm că pe baza modelul COSO dezvoltat în SUA, în 1995 o organizaţie
canadiană (Canadian Institute of Chartered Accountants) a propus un alt model pentru controlul
intern, denumit CoCO. Deşi se dorea o variantă mai concretă şi mai uşor de înţeles decât ruda sa
din SUA, acest model nu a reuşit să se impună la nivel internaţional. În concepţia modelului
CoCo, controlul intern este reprezentat de resursele organizaţiei, procedee, instrumente, sarcinile,
cultura şi tot ceea ce ne putem imagina, adică tot ceea ce putem întreprinde pentru a atinge
obiectivele.
2.4. CADRUL NAŢIONAL DE REGLEMENTARE

În sectorul bancar, cadrul naţional de reglementare a controlului intern este jalonat de două acte
normative:
 OUG nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului – care statuează
regulile fundamentale pentru desfăşurarea activităţii instituţiilor de credit (generic cunoscută
sub titulatura de „legea bancară”);
 Regulamentul BNR nr. 5/2013 privind cerinţe prudenţiale pentru instituţiile de credit, care a
înlocuit Regulamentul BNR 18/2009 privind cadrul de administrare a activităţii instituţiilor
de credit, procesul intern de evaluare a adecvării capitalului la riscuri şi condiţiile de
externalizare a activităţilor acestora. Aceasta reglementare, prescurtată în continuare R5, este
esenţială pentru definirea conţinutului şi modului de organizare a controlului intern
 Regulamentul 20/13.10.2009 privind insitutiile financiare nebancare, care a inlocuit Norma
BNR nr 18/2006 privind organizarea și controlul intern, administrarea riscurilor semnificative,
precum și desfășurarea activității de audit intern a instituțiilor financiare nebancare
În secţiunea dedicată definiţiilor, R5 se referă la „cadru aferent controlului intern”: acesta trebuie
să asigure desfăşurarea unor operaţiuni eficace şi eficiente, controlul corespunzător al riscurilor,
desfăşurarea prudentă a activităţii, credibilitatea informaţiilor financiare şi nefinanciare raportate,
atât intern, cât şi extern, precum şi conformitatea cu cadrul legal şi de reglementare, cerinţele de
supraveghere şi regulile şi deciziile interne ale instituţiei de credit;
R5 cuprinde o întreagă secţiune (secţiunea a 4-a, articolele de la 33 la 60) dedicată controlul
intern.
Controlul intern al unei instituţii de credit presupune:
a) existenţa unui cadru solid aferent controlului intern;
b) existenţa unor funcţii independente de control.
Cadrul aferent controlului intern este format din politicile, procedurile şi activităţile de control
care acoperă instituţia de credit în ansamblul său, inclusiv activităţile tuturor unităţilor
operaţionale, ale funcţiilor-suport şi de control (este vorba de prima linie de aparare din modelul
3LoD), la care se adaugă activitatea desfăşurată de funcţiile independente de control (liniile de
apărare 2 şi 3), care verifică modul de aplicare (conformăre) a respectivelor politici, proceduri şi
activităţi de control.
Funcţiile independente de control sunt:
1. funcţia de administrare a riscurilor;
2. funcţia de conformitate;
3. funcţie de audit intern.

Acestea trebuie să fie independente de arealele de operaţiuni pe care le monitorizează şi
controlează şi independente din punct de vedere organizaţional una faţă de cealaltă. După cum se
observă, această formulă de organizarea a controlului intern pe cele 3 funcţii este în fapt o
preluare a „modelului celor 3 linii de apărare.”
Conform R5, aceste funcţii sunt considerate independente, dacă îndeplinesc următoarele condiţii:
a. personalul său nu exercită nicio atribuţie care să intre în sfera activităţilor pe care
respectiva funcţie urmează să le controleze (nu execută operaţiuni pe care se presupune ca
urmează să le controleze);
b. funcţia de control este separată din punct de vedere organizaţional de activităţile
controlate (un departament separat de cele departamente/unităţi teritoriale);
c. coordonatorul funcţiei de control este subordonat unei persoane care nu are nicio
responsabilitate pe linia conducerii activităţilor pe care funcţia de control le monitorizează
şi controlează (şeful funcţiei de control nu poate fi subordonat unei persoane care
răspunde de activităţi/operaţiuni pe care el le va controla);
d. remunerarea personalului care exercită funcţia de control nu trebuie să fie legată de
performanţa activităţilor pe care funcţia de control le controlează, ci de atingerea
obiectivelor legate de funcţiile respective.
Prin sintagma „organ de conducere”, R5 se referă la Consiliul de Administraţie sau de

Supraveghere, după caz, dar şi la conducerea superioară (executivă)
Funcţiile de control trebuie să transmită periodic organului de conducere rapoarte oficiale privind
deficienţele majore identificate. Aceste rapoarte trebuie să includă măsurile de urmărire pentru
constatările anterioare şi, pentru orice nouă deficienţă majoră identificată, riscurile relevante
implicate, o evaluare a impactului şi recomandări. Organul de conducere trebuie să acţioneze în
privinţa constatărilor funcţiilor de control la timp şi în mod eficace şi trebuie să solicite măsuri
adecvate de remediere.
O prevedere foarte importantă legată de cele trei funcţii independent de control: acestea nu pot fi
externalizate. Centralizarea funcţiilor de control la instituţia de credit-mamă nu se consideră
externalizare din perspectiva unei instituţii de credit filială, persoană juridică română.
a) Funcţia de administrare a riscurilor

Funcţia de administrare a riscurilor trebuie să fie o componentă centrală în cadrul unei instituţii de
credit întrucât trebuie să asigure că toate riscurile semnificative sunt identificate, măsurate şi
raportate în mod corespunzător. Aceasta elaborează strategia instituţiei de credit privind
administrarea riscurilor şi este implicată în toate deciziile privind administrarea riscurilor
semnificative. Ea trebuie să poată oferi o imagine completă asupra întregii game de riscuri la care
este expusă instituţia de credit. În acest sens, funcţia de administrare a riscurilor furnizează
organului de conducere toate informaţiile relevante legate de riscuri (de exemplu, printr-o analiză
tehnică asupra expunerii la risc) pentru a-i permite acestuia să stabilească nivelul
toleranţei/apetitului la risc al instituţiei de credit. De asemenea, trebuie să evalueze strategia
privind administrarea riscurilor, inclusiv obiectivele propuse de către unităţile operaţionale, şi să
acorde consultanţă organului de conducere înainte de luarea unei decizii.
În cazul instituţiilor de credit mari, cu activitate complexă şi sofisticată, se poate lua în
considerare stabilirea unor funcţii dedicate de administrare a riscurilor pentru fiecare linie de
activitate semnificativă. Cu toate acestea, trebuie să existe în cadrul instituţiei de credit o funcţie
centralizată de administrare a riscurilor (inclusiv, după caz, o funcţie de administrare a riscurilor

la nivel de grup la nivelul instituţiei de credit-mamă a grupului) care să furnizeze o vedere de
ansamblu asupra tuturor riscurilor.
Funcţia de administrare a riscurilor trebuie să împartă responsabilitatea de implementare a
strategiei şi a politicii privind administrarea riscurilor unei instituţii de credit cu toate unităţile
operaţionale din cadrul acesteia. În timp ce unităţile operaţionale trebuie să implementeze limitele
de risc relevante, funcţia de administrare a riscurilor trebuie să fie responsabilă de asigurarea că
limitele sunt conforme cu apetitul/toleranţa la risc generală a instituţiei de credit şi de
monitorizarea pe o bază continuă pentru ca instituţia de credit să nu îşi asume riscuri excesive.
În ceea ce priveşte implicarea funcţiei de administrare a riscurilor în procesul decizional, aceasta
trebuie să asigure că aspectele privind riscurile sunt luate în considerare în mod corespunzător. Cu
toate acestea, unităţile operaţionale şi funcţiile-suport şi, în ultimă instanţă, organul de conducere
trebuie să rămână responsabile pentru deciziile luate.
Funcţia de administrare a riscurilor trebuie să analizeze tendinţele şi să recunoască riscurile noi
sau în curs de apariţie care decurg din modificarea circumstanţelor şi condiţiilor.
În cazul în care este necesar, funcţia de administrare a riscurilor trebuie să poată raporta direct
organului de conducere în funcţia sa de supraveghere, independent de raportarea către conducerea
superioară, să poată face sesizări şi să poată avertiza acest organ, atunci când este cazul, dacă au
loc evoluţii specifice ale riscurilor care afectează sau ar putea să afecteze instituţia de credit.
Coordonatorul funcţiei de administrare a riscurilor trebuie să fie un membru independent al
conducerii superioare, cu responsabilităţi distincte privind funcţia de administrare a riscurilor. În
cazul în care natura, extinderea şi complexitatea activităţilor instituţiei de credit nu justifică
numirea unei persoane distincte dintre membrii conducerii superioare, o altă persoană dintre
persoanele care deţin funcţii-cheie ale instituţiei de credit (senior person) poate îndeplini funcţia
respectivă, cu condiţia să nu existe niciun conflict de interese.
Coordonatorul funcţiei de administrare a riscurilor nu poate fi demis fără aprobarea prealabilă a
organului de conducere în funcţia sa de supraveghere şi trebuie să poată avea acces direct la
organul de conducere, în funcţia sa de supraveghere, atunci când este necesar.
b) Funcţia de conformitate
Funcţia de conformitate a unei instituţii de credit trebuie să asigure respectarea politicii de
conformitate şi să raporteze organului de conducere asupra administrării riscului de conformitate.
Riscul de conformitate reprezintă posibilitatea apariţiei unor situaţii de natură să conducă la plata
de către instituţia de credit a unor amenzi, daune şi/sau rezilierea de contracte sau care pot afecta
reputaţia unei instituţii de credit, ca urmare a încălcărilor sau neconformării cu cadrul legal şi de
reglementare, cu acordurile, practicile recomandate sau standardele etice.
Constatările funcţiei de conformitate trebuie să fie luate în considerare de către organul de
conducere în cadrul procesului decizional.
Funcţia de conformitate trebuie să acorde consultanţă organului de conducere asupra prevederilor
cadrului legal şi de reglementare şi asupra standardelor pe care o instituţie de credit este necesar
să le îndeplinească şi evaluează posibilul impact al oricăror schimbări ale cadrului legal şi de
reglementare asupra activităţilor instituţiei de credit.
Funcţia de conformitate are şi rolul de a verifica dacă noile produse şi noile proceduri sunt în
conformitate cu cadrul de reglementare în vigoare şi cu orice amendamente ale acestuia incluse în
acte normative adoptate ale căror prevederi vor deveni aplicabile ulterior.

O instituţie de credit trebuie să numească o persoană responsabilă pentru funcţia de conformitate
la nivelul întregii instituţii de credit şi la nivelul întregului grup (ofiţerul de conformitate sau
coordonatorul funcţiei de conformitate).
c) Funcţia de audit intern

Instituţiile de credit trebuie să dispună de o funcţie de audit intern care să evalueze dacă nivelul
de calitate al cadrului aferent controlului intern este atât eficace, cât şi eficient. Funcţia de audit
intern trebuie să evalueze conformarea tuturor activităţilor şi unităţilor operaţionale ale unei
instituţii de credit (inclusiv funcţia de administrare a riscurilor şi funcţia de conformitate) cu
politicile şi procedurile instituţiei de credit. În acest sens, funcţia de audit intern nu trebuie să fie
combinată cu nicio altă funcţie. Funcţia de audit intern trebuie să evalueze, de asemenea, dacă
politicile şi procedurile existente rămân corespunzătoare şi sunt conforme cu cerinţele cadrului
legal şi de reglementare.
Întrucât activitatea desfăşurată de funcţia de audit intern va fi tratată în detaliu în cuprinsul
capitolelor următoare, ne oprim aici cu prezentarea prevederilor relevante din R5.

3. AUDIT INTERN BANCAR
3.1. AUDITUL INTERN - ELEMENTE INTRODUCTIVE
Conform definiţiei date de Institutul Auditorilor Interni şi unanim acceptată pe plan internaţional,
auditul intern este o activitate independentă de asigurare obiectivă şi de consiliere, destinată să
adauge valoare şi să îmbunătăţească operaţiunile unei organizaţii. Ajută o organizaţie în
îndeplinirea obiectivelor sale printr-o abordare sistematică şi metodică care evaluează şi
îmbunătăţeşte eficacitatea proceselor de management al riscului, control şi guvernanţă.
Definiţia de mai sus conţine o serie de cuvinte cheie care necesită explicaţii suplimentare pentru a
putea fi deplin înţeleasă:
• Auditul intern este o activitate de sine stătătoare (nu este o operaţiune sau un proces
integrat în fluxurile organizaţiei) şi în principiu, poate fi externalizat. În prezent însă, în
sectorul bancar externalizarea funcţiei de audit este interzisă.
• Independenţa si obiectivitatea – sunt atributele esenţiale ale funcţiei de audit intern.
Deşi la prima vedere cei doi termeni par a fi sinonimi, există unele diferenţe, astfel:
- Independenţa – este un atribut al departamentului de audit intern (în engleză
Organizational Independence) şi reprezintă libertatea pe care o are departamentul
pentru a-şi îndeplini responsabilităţile fără intervenţii/imixtiuni din afară. În acest sens,
departamentul de audit intern este o structură distinctă, independentă de celelalte
compartimente ale organizaţiei şi subordonată direct la cel mai înalt nivel ierarhic.
- Obiectivitatea – este un atribut individual al auditorilor (în engleză Individual
Objectivity), care presupune desfăşurarea activităţii în mod imparţial, fără ca judecata
profesională să fie viciată. Acest aspect este legat în primul rând de prolema evitării
conflictului de interese: auditorii interni nu trebuie să fie implicaţi în realizarea altor
activităţi de natură operaţională şi în general nu li se vor repartiza sarcini care în mod
normal se presupune că vor fi supuse auditării.
Conform reglementărilor în vigoare în sectorul bancar din România, o funcţie de control
(reamintim că în această categorie sunt incluse funcţia de administrare a riscurilor, funcţia de
conformitate şi funcţia de audit intern) se consideră a fi independentă dacă îndeplineşte simultan
următoarele condiţii:
a) personalul său nu are nicio atribuţie în sfera activităţilor monitorizate şi controlate;
b) funcţia de control este separată din punct de vedere organizaţional de activităţile
monitorizate şi controlate;
c) coordonatorul funcţiei de control este subordonat unei persoane care nu are nicio
responsabilitate pe linia conducerii activităţilor monitorizate/controlate. Coordonatorul
funcţiei de control trebuie să raporteze în mod direct organului de conducere şi altor
comitete relevante şi trebuie să participe periodic la reuniunile acestora;
d) remunerarea personalului care exercită funcţia de control nu trebuie să fie legată de
performanţa activităţilor pe care le monitorizează/controlează, ci de atingerea obiectivelor
legate de funcţiile respective.
• Activitatea de asigurare obiectivă şi de consultanţă - Rolul tradiţional al auditului
intern a constat în examinarea gradului de adecvare a sistemelor de control intern pentru a

furniza structurii de conducere o asigurare ca respectivele controale funcţionează, iar
riscurile sunt gestionate corespunzător. Misiunile obişnuite de audit sunt denumite
„misiuni de asigurare”. Această asigurare nu este echivalentă cu o garanţie, întrucât şi
activitatea de audit este supusă erorii (ne referim la „riscul de audit” prezentat la sfârşitul
acestui capitol). Consultanţa reprezintă o direcţie nouă de dezvoltare pentru auditul intern.
În mod obişnuit, auditul intern este abilitat să furnizeze consultanţă/oferă sfaturi
structurilor instituţiei pe probleme aflate în domeniul său de expertiză, respectiv cele
legate de control şi de riscuri. Diferenţele dintre misiunile de asigurare şi cele de
consultanţă sunt următoarele:
a) Misiunile de asigurare
- implica evaluarea probelor în vederea formulării unei opinii independente sau a
unor concluzii privind un proces, sistem sau alt subiect supus auditului;
- tipul şi sfera de cuprindere a misiunilor de asigurare (ce anume se verifică) sunt
stabilite de către auditorul intern;
- sunt implicaţi trei subiecţi:
(1) persoana sau grupul implicat(a) direct în procesul, sistemul sau subiectul
auditat – responsabilul pentru proces;
(2) persoanele care efectuează evaluarea – echipa de audit;
(3) persoana sau grupul care utilizează rezultatele evaluării – beneficiarii.
- misiunile de asigurare se finalizează în general cu un raport de audit în care sunt
prezentate slăbiciunile/problemele identificate de echipa de audit şi sunt formulate
recomandări pentru rezolvarea acestora. Raportul de audit se aduce la cunoştinţa
conducerii instituţiei, iar implementarea recomandărilor este monitorizată de către
departamentul de audit intern.
b) Misiunile de consultanţă
- sunt opţionale şi se desfăşoară în general la cererea expresă a beneficiarului
misiunii;
- tipul și sfera de cuprindere a serviciilor de consiliere sunt stabilite de comun acord
cu beneficiarul misiunii;
- implică în general doi subiecţi:
o persoanele care oferă consiliere – echipa de audit
o persoana sau grupul care solicita şi primeşte consiliere – beneficiarul
misiunii.
- rezultatele misiunii de consultanţă sunt aduse doar la cunoştinţa celui care a
solicitat consultanţa, care poate decide dacă implementează sau nu soluţiile
identificate de echipa de audit (acestea sunt opţionale).
• Susţine organizaţia în îndeplinirea obiectivelor sale - obiectivele specifice ale auditului
intern pleacă de la obiectivele majore ale organizaţiei;
• Abordare sistematică şi disciplinată – activitatea de audit intern se desfăşoară pe baza
unor jaloane riguros stabilite, formate din:
 standarde profesionale unanim acceptate;
 proceduri interne specifice sau manuale de audit;
 reguli de bună practică.

De-a lungul timpului, abordarea auditului intern a evoluat de la stilul „tradiţional” în care
auditorii vânau greşelile colegilor auditaţi la un stil mai cooperant („participativ”), orientat în
primul rând către identificarea oportunităţilor de îmbunătăţire a operaţiunilor verificate.
Stilul tradiţional Stilul participativ
Rolul auditorului Poliţistul organizaţiei Consilier/sfătuitor
Autoritatea Puternic formală Mai degrabă informală
Simplu fapt de a fi angajat al Calităţile personale ale

Sursa autorităţii
departamentului de audit intern auditorului intern
Finalitatea
Sancţiuni Sugestii/recomandări
auditului
3.2. OBIECTIVE ŞI RESPONSABILITĂŢI
Pentru a avea o imagine completă asupra obiectivelor şi responsabilităţilor aflate în sarcina

funcţiei de audit intern în sectorul bancar este utilă prezentarea principiilor care stau la baza
acestei profesii, aşa cum au fost consacrate de către Comitetul de la Basel și de Standardele
internaționale de practică profesională a auditului intern publicate de Institutul Auditorilor Interni
(IIA) și asimilate de Camera Auditorilor Financiari din Romania:
Principiul 1 – Rolul auditului intern: O funcţie eficace de audit intern furnizează o asigurare
independentă structurii de conducere [Consiliu de Administraţie/Consiliu de Supraveghere şi
conducerea executivă] cu privire la calitatea și eficacitatea sistemelor și proceselor de control
intern, administrare a riscurilor și de guvernanță ale băncii, contribuind pe acesta cale la
protejarea organizaţie şi a reputaţiei acesteia.
Astfel, auditul intern are un rol crucial în evaluarea şi asigurarea mentenanţei proceselor
menţionate. În acest sens, auditul intern are o viziune proprie, independentă, cu privire la riscurile
cu care se confruntă banca. Auditorii trebuie să aibă posibilitatea de a-şi comunica opiniile,
constatările şi concluziile direct către organele cu funcţie de supraveghere, pe care le sprijină în
acest fel în îndeplinirea funcţiei de monitorizare a activităţii organelor cu funcţie de execuţie
(conducerea executiva/managementul superior).
Principiul 2 - Independenţa şi obiectivitatea: Funcţia de audit intern trebuie să fie

independentaă de activităţile auditate: funcţia de audit intern trebuie sa aibă un status şi o
autoritate suficient de puternice în cadrul băncii ca să permită auditorilor interni să-şi desfăşoare
activitatea fără ingerinţe din afară. Acesta presupune:
 Să poată executa angajamentele de audit (cele cuprinse în planul de audit) din proprie
iniţiativă, în toate zonele din bancă;

 Să aibă libertatea de a comunica intern constările şi evaluările sale folosind canale de
raportare clar definite;
 Să nu fie implicată în proiectarea, selectarea, implementarea şi operarea măsurilor
specifice de control intern (aceasta fiind responsabilitatea managementului);
 Pentru a evita rutina se recomandă „rotaţia” auditorilor interni atât în cadrul
departamentului (vor primi periodic alte sarcini); în cadrul băncii (împrospătarea
permanentă a staff-ului departamentului de audit intern);
 Nivelul de salarizare al auditorilor interni nu trebuie legat de performanţele activităţilor
auditate.
Principiul 3 - Competenţa profesională: Competenţa profesională, privită la nivel individual

(cunoştinţele şi experienţa fiecărui auditor) dar şi colectiv, este o condiţie esenţială pentru ca
funcţia de audit intern să fie eficace.
Competenţa depinde de capacitatea auditorului de a strânge informaţii, de a le interpreta, de a
evalua probele și de a comunica cu partenerii, de a folosi metodologiile și instrumentele potrivite,
de a cunoaşte tehnicile de audit. Competență profesională nu înseamnă însă infailibilitate (în acest
domeniu, referinţa fiind un auditor intern care dă dovada de prudenţă şi competenţă profesională
într-o măsură rezonabilă).
Conducătorul funcţiei de audit intern trebuie să se asigure că resursele umane sunt suficiente și au
un nivel corespunzător de calificare pentru ca funcţia de audit intern să-şi realizeze mandatul. În
aceste sens, este necesar ca departamentul de audit intern per ansamblu să deţină competenţele
necesare pentru a putea examina toate activităţile băncii.
De asemenea, se recomandă evaluarea continuă a staff-ului şi adoptarea de măsuri de pregătire
profesională corelate cu activitatea băncii (noile produse și procese, dezvoltarea sectorului
financiar). Auditorii cu experienţă limitată într-un anumit domeniu trebuie supervizaţi de auditori
mai experimentaţi.
Principiul 4 - Etica profesională: Auditorii intern trebui să aibă un comportament integru:

• Auditorul trebuie să fie onest, să spună adevărul, să transmită un mesaj clar, lipsit de
ambiguităţi;
• Să respecte confidenţialitatea informaţiilor obţinute pe parcursul exercitării sarcinilor de
serviciu, să nu le folosească în interes personal sau pentru scopuri nelegitime;
• Să evite conflictul de interese, respectiv să nu se angajeze în auditarea operaţiunilor pentru
care anterior a fost responsabil, înainte de trecerea unei anumite perioade de timp (cooling
off period – în general 1 an). De asemenea, pachetul salarial nu trebuie să conţină
stimulente care să-l motiveze să acţioneze în sens contrar atribuţiilor şi obiectivelor
funcţiei de audit intern.
• Să aplice codul de etic al băncii sau pe cel al Institutului Auditorilor Interni (The IIA).
Principiul 5 – Statutul auditului intern: Fiecare bancă trebuie să aibă un statut al auditului
intern (Cartă a Auditului, așa cum este denumită în Standardele internaționale de practică
profesională a auditului intern) care să stabilească scopul, poziţia şi autoritatea funcţiei de audit
intern în cadrul băncii, într-o manieră care să sprijine eficacitatea acestei funcţii, conform celor
enunţate la primul principiu.

Acest document („statutul auditului intern”) este elaborat de şeful auditului intern şi
actualizat/revizuit periodic. El trebuie aprobat la nivelul Consiliului de Administraţie/ Consiliului
de Supraveghere şi cuprinde prevederi privind:
- Caracteristicile funcţiei de audit intern
- Scopul și sfera de cuprindere
- Liniile de raportare
- Aspecte legate de posibilitatea externalizării (în România aceasta este interzisă)
- Condiţiile în care se poate apela la funcţia de audit intern pentru a efectua angajamente de
consultanță sau pentru a desfăşura activităţi speciale
- Responsabilitatea directorului departamentului de audit intern
- Cerinţe legate de conformitatea cu standardele relevante in materie de audit intern
- Cerinţe legate de coordonarea cu auditul extern
- Autoritatea funcţiei de audit intern, acces total şi nerestricţionat la date, documente și
active, precum şi posibilitatea de a comunica în mod direct cu orice salariat al băncii.
Principiul 6 - Sfera de cuprindere şi planul de audit: Orice activitate, inclusiv cele

externalizate, şi orice entitate a băncii intră în sfera de cuprindere a funcţiei de audit intern (poate
fi auditată). Auditul intern examinează şi evaluează toate activităţile desfăşurate de către banca,
inclusiv cele externalizate sau realizate în cadrul sucursalelor şi agenţiilor.
Auditul intern trebuie să evalueze în mod independent:
 Eficacitatea și eficiența sistemelor de control intern, administrare a riscurilor și guvernanța
din perspectiva riscurilor curente și a celor viitoare;
 Gradul de adecvare, eficacitatea și integritatea sistemelor informatice din perspectiva
relevanţei datelor, a exactităţii, completitudinii, disponibilităţii şi confidenţialităţii
acestora;
 Modul de asigurare a conformităţii cu legislaţia şi reglementările aplicabile;
 Modul de protejare a activelor băncii.
Activitatea de audit intern trebuie să se desfăşoare pe baza unui plan anual (care poate fi parte a
unui plan multianual). Acest plan trebuie să fie elaborat pe baza unei evaluări robuste a riscurilor,
care să ia în considerare şi informaţii primite din partea organelor de conducere. Planul de audit
se aprobă de către Consiliul de Administraţie/Consiliul de Supraveghere.
Planul de audit trebuie să asigure o acoperire adecvată a problemelor de interes din perspectiva
autorităţii de reglementare (în cazul nostru, BNR). Astfel, departamentul de audit intern trebuie să
aibă capacitatea să verifice teme/domenii de interes pentru autoritatea de reglementare, respectiv
funcţiile cheie de administrare a riscurilor, procesul intern de adecvare a capitalului la riscuri,
controlul lichidităţii, raportarea către autoritatea de reglementare şi supraveghere, activitatea
financiar contabilă etc.

Principiul 7 - Permanenţa funcţiei de audit intern: Fiecare bancă trebuie să aibă o funcţie de
audit permanent.
Dimensiunea funcţiei de audit intern depinde de mărimea băncii, de natura şi de complexitatea
operaţiunilor sale.
În mod normal activitatea de audit intern trebuie realizată de către salariaţii băncii; în cazul unor
eventuale externalizari (nu este cazul în România), Consiliul de Administraţie/Consiliul de
Supraveghere rămâne în continuare responsabile pentru buna funcţionare a funcţiei de audit
intern.
Principiul 8 – Responsabilitatea structurii de conducere: Consiliul de Administraţie/Consiliul

de Supraveghere trebuie să se asigure că managementul superior (conducerea executivă) a
implementat un sistem adecvat de control intern şi, totodată, să sprijine funcția de audit intern în
realizarea sarcinilor ce îi revin. Consiliul de Administraţie/Consiliul de Supraveghere ar trebui:
 să analizeze cel puțin o dată pe an eficienţa şi eficacitatea sistemului de control intern,
inclusiv pe baza informațiilor furnizate de auditul intern;
 să evalueze perfomanţele funcţiei de audit intern şi, în acest context, să ia în considerare
posibilitatea unei “evaluări externe de calitate” a acestei funcţii (conform Standardelor
Internaţionale de Audit ce vor fi prezentate în următoarea secţiune, auditul intern trebuie
să dispună de un program de asigurare şi îmbunătăţire a calităţii. În cadrul acestui
program, evaluările externe reprezintă componenta cea mai importantă întrucât furnizează
o opinie independentă şi calificată cu privire la performanţele auditului intern. Aceste
evaluări externe sunt răspunsul la întrebarea „Cine auditează auditul intern?”)
Conducerea executivă (directorii sau directoratul după caz):
 este responsabilă pentru elaborarea cadrului de control intern, prin care sunt identificate,
evaluate, ţinute sub control şi monitorizate toate riscurile la care banca este expusă;
 trebuie să informeze auditul intern despre iniţiative, proiecte, produse noi, schimbări
operaţionale etc;
 este responsabilă pentru adoptarea măsurilor necesare pentru remedierea deficienţelor
constatate de auditul intern;
 trebuie să asigure resursele necesare funcţiei de audit pentru realizarea mandatului.
Principiul 9 - Responsabilitatea Comitetului de Audit: Comitetul de Audit trebuie să

supervizeze funcţia de audit intern. În acest sens, Comitetul de Audit trebuie:
 să se asigure că funcţia de audit intern este capabilă să-şi exercite responsabilităţile în mod
independent;
 să examineze şi să aprobe planul de audit şi bugetul alocat funcţiei de audit intern;
 să analizeze rapoartele de audit semnificative;
 să se asigure că managementul/conducerea executivă ia măsurile necesare pentru a corecta
deficienţele raportate de auditul intern.
Dar cine este Comitetul de Audit? Comitetul de Audit este un comitet consultativ (o substructură
specializată) al Consiliului de Administraţie/Consiliului de Supraveghere, format exclusiv din
membri neexecutivi (în general 3-5 persoane), care supervizează problemele legate de auditul

intern şi extern, controlul intern şi managementul riscurilor, procesul de raportare financiară. În
România, instituţiile de credit au obligaţia să îşi infiinţeze astfel de comitete5.
Prezentăm mai jos prevederile relevante din cuprinsul Regulamentului BNR nr. 5/2013 privind
cerinţe prudenţiale pentru instituţiile de credit, referitoare la Comitetul de Audit:
Art. 22 - (1) Instituţiile de credit trebuie să înfiinţeze un comitet de audit, potrivit Legii nr.
162/2017 privind auditul statutar al situaţiilor financiare anuale şi al situaţiilor financiare anuale
consolidate şi de modificare a unor acte normative.
(2) Fără a aduce atingere atribuţiilor prevăzute în Legea nr. 162/2017 privind auditul statutar al
situaţiilor financiare anuale şi al situaţiilor financiare anuale consolidate şi de modificare a unor
acte normative, comitetul de audit trebuie, printre altele:
a) să monitorizeze eficacitatea sistemului de control intern şi a sistemelor de administrare a

riscurilor şi, dacă este cazul, a funcţiei de audit intern, în ceea ce priveşte raportarea financiară
a instituţiei de credit, fără a aduce atingere independenţei funcţiei respective;
b) să supravegheze elaborarea de către instituţia de credit a politicilor contabile;
c) să monitorizeze procesul de raportare financiară şi să prezinte recomandări care să vizeze

asigurarea integrităţii acestei raportări;
d) să analizeze şi să monitorizeze independenţa auditorilor financiari astfel cum este prevăzut la

art. 21 - 25, 28 şi 29 din Legea nr. 162/2017 privind auditul statutar al situaţiilor financiare
anuale şi al situaţiilor financiare anuale consolidate şi de modificare a unor acte normative şi
la art. 6 din Regulamentul (UE) nr. 537/2014 al Parlamentului European şi al Consiliului din
16 aprilie 2014 privind cerinţe specifice referitoare la auditul statutar al entităţilor de interes
public şi de abrogare a Deciziei 2005/909/CE a Comisiei, şi în special, caracterul adecvat al
prestării de alte servicii decât cele de audit financiar astfel cum este prevăzut la art. 5 din
regulamentul respectiv;
e) să monitorizeze auditul statutar al situaţiilor financiare anuale şi consolidate, în special

desfăşurarea acestuia, cu luarea în considerare a oricăror constatări şi concluzii ale Autorităţii
pentru Supravegherea Publică a Activităţii de Audit Statutar înfiinţate potrivit Legii nr.
162/2017, astfel cum este prevăzut la art. 26 alin. (6) din Regulamentul (UE) nr. 537/2014;
f) să fie responsabil pentru procedura de selecţie a auditorului financiar şi să recomande, în

vederea aprobării de către adunarea generală a acţionarilor instituţiei de credit, nominalizarea,
onorariul şi revocarea acestora. La nominalizarea auditorului financiar sunt avute în vedere
dispoziţiile art. 16 din Regulamentul (UE) nr. 537/2014, cu excepţia cazului în care se aplică
art. 16 alin. (8) din acelaşi regulament;
g) să revizuiască domeniul de aplicare şi frecvenţa auditului statutar al situaţiilor anuale sau

consolidate;
h) să informeze, astfel cum este prevăzut la art. 65 alin. (6) lit. a) din Legea nr. 162/2017,
organul de conducere în funcţia sa de supraveghere cu privire la rezultatul auditului statutar şi
să explice modul în care a contribuit auditul statutar la integritatea raportării financiare şi rolul
comitetului de audit în procesul respectiv;
i) să primească şi să ia în considerare rapoartele de audit.
5Conform Legii 31/1990 privind societăţile comerciale, cu modificările şi completările ulterioare, Comitetul de
Audit este obligatoriu pentru societăţile supuse auditării.

(3) Comitetul de audit trebuie să fie compus din membri neexecutivi ai organului de conducere
în funcţia sa de supraveghere şi/sau din membrii desemnaţi de adunarea generală a acţionarilor
instituţiei de credit. Majoritatea membrilor comitetului de audit trebuie să fie independenţi de
instituţia de credit, potrivit prevederilor art. 6760 - 6764. Preşedintele comitetului de audit este
numit de membrii acestuia sau de către organul de conducere în funcţia sa de supraveghere al
instituţiei de credit şi este independent de instituţia de credit. În situaţia în care preşedintele este
un fost membru al conducerii superioare a instituţiei de credit, acesta poate ocupa funcţia de
preşedinte al comitetului numai după trecerea unei perioade de timp corespunzătoare, în
conformitate cu criteriile privind independenţa stabilite potrivit prevederilor art. 6760 - 6764.
(4) Fără a aduce atingere cerinţelor de calificare prevăzute de Legea nr. 162/2017 privind
auditul statutar al situaţiilor financiare anuale şi al situaţiilor financiare anuale consolidate şi de
modificare a unor acte normative, membrii comitetului de audit în ansamblul său trebuie să aibă
experienţă practică recentă şi relevantă în domeniul pieţelor financiare sau trebuie să fi obţinut, în
urma activităţilor anterioare, o experienţă profesională suficientă legată în mod direct de
activitatea pe pieţele financiare. Preşedintele comitetului de audit trebuie să aibă cunoştinţe de
specialitate şi experienţă în aplicarea principiilor contabile şi a proceselor de control intern.
În cadrul Regulamentului 20/13.10.2009 privind instituțiile financiare nebancare

Art. 18. (1) Instituţiile financiare nebancare trebuie să dispună de un comitet de audit, format
dintr-un număr de cel puţin 2 membri numiţi de adunarea generală. (2) Fără a aduce atingere
dispoziţiilor alin. (1), componenţa, funcţionarea şi atribuţiile comitetului de audit sunt
reglementate de Legea nr. 162/2017 privind auditul statutar al situaţiilor financiare anuale şi al
situaţiilor financiare anuale consolidate şi de modificare a unor acte normative, de prezentul
regulament şi de regulamentele interne ale fiecărei instituţii financiare nebancare.
Art. 109. Pentru fiecare angajament de audit din planul de audit trebuie întocmit un raport de
audit. Raportul de audit trebuie transmis conducerii structurii auditate, comitetului de audit şi
consiliului de administraţie, respectiv consiliului de supraveghere al instituţiei financiare
nebancare.
Art. 110. În urma analizării recomandărilor auditului intern, conducătorul/conducătorii

responsabil/responsabili de coordonarea structurii auditate dispune/dispun asupra implementării
recomandărilor respective.
Art. 111. Auditul intern urmăreşte modul de implementare a recomandărilor formulate în cadrul
derulării acestei activităţi şi raportează în acest sens, cel puţin semestrial, conducătorilor,
consiliului de administraţie, respectiv consiliului de supraveghere şi comitetului de audit.
După cum se observă, atribuţiile Comitetului de Audit nu se limitează la funcţia de audit intern, ci
privesc şi sistemul de control intern şi de administrare a riscurilor, precum şi auditul extern.
Preşedintele acestui comitet trebui să fie „independent”. Pentru a înţelege ce a dorit legiuitorul să
exprime prin acest termen trebuie să facem referire la art. 1382 din Legea nr. 31/1990 privind
solicităţile comerciale, cu modificările şi completările ulterioare. Astfel, este independent acel
membru neexecutiv al Consiliului de Administraţie/Consiliului de Supraveghere care îndeplineşte
cumulativ următoarele condiţii:

a) nu este director al băncii sau al unei societăţi controlate de către aceasta şi nu a îndeplinit o
astfel de funcţie în ultimii 5 ani;
b) nu a fost salariat al băncii sau al unei societăţi controlate raport de muncă în ultimii 5 ani;
c) nu primeşte şi nu aprimit de la bancă ori de la o societate controlată de aceasta o remuneraţie
suplimentară sau alte avantaje, altele decât cele corespunzând calităţii sale de membru neexecutiv
al Consiliului de Administraţie/Consiliului de Supraveghere;
d) nu este acţionar semnificativ al băncii;
e) nu are şi nici nu a avut în ultimul an relaţii de afaceri cu banca ori cu o societate controlată de
aceasta, fie personal, fie ca asociat, acţionar, administrator, director sau salariat al unei societăţi
care are astfel de relaţii cu societatea, dacă, prin caracterul lor substanţial, acestea sunt de natură
a-i afecta obiectivitatea
f) nu este şi nici nu a fost în ultimii 3 ani auditor financiar al băncii sau al unei societăţi controlate
de aceasta;
g) nu este director într-o altă societate în care un director al băncii este administrator neexecutiv;
h) să nu fi fost membru neexecutiv al Consiliului de Administraţie/Consiliului de Supraveghere al
băncii mai mult de 3 mandate;
i) nu are relaţii de familie cu o persoană aflată în una dintre situaţiile prevăzute la lit. a) şi d).
Principiul 10 - Managementul departamentului de audit intern: Şeful departamentului de

audit intern este responsabil pentru asigurarea conformităţii cu standardele corespunzătoare de
audit intern şi cu codul etic relevant. Din acest punct de vedere sunt recomandate “Standardele
internaţionale de practică profesională a auditului intern” emise de Institutul Auditorilor Interni
(The IIA).
Comitetul de Audit trebuie să se asigure că şeful auditului intern este o persoană cu un
comportament integru; acesta la rândul său trebuie să se asigure de acelaşi lucru pentru personalul
departamentului său.
Principiul 11 – Subordonarea auditului intern: Funcția de audit intern trebuie să răspundă în

faţa Consiliului de Administraţie/Consiliului de Supraveghere sau Comitetului de Audit pentru
toate aspectele legate de exercitarea mandatului conform statutului auditului intern.
Funcţia de audit intern este responsabilă faţă de organele de conducere în funcţia lor de
supraveghere sau faţă de Comitetul de Audit (care este oricum o substructură a acestora), dar
trebuie să informeze cu promptitudine şi conducerea executivă despre constatările sale, astfel
încât aceasta să poată adopta măsurile necesare pentru corectarea deficienţelor şi implementarea
recomandărilor auditorilor interni.
Şeful departamentului de audit intern trebuie să raporteze Consiliului de Administraţie/
Consiliului de Supraveghere sau Comitetului de Audit situaţia deficienţelor constatate care nu au
fost corectate de către management.
Legat de acest aspect al subordonării funcţiei de audit intern, trebuie să subliniem o trăsătură
specifică, care diferenţiază auditul intern de celelalte activităţi/departamente ale instituţiei. Este
vorba de dubla subordonare a auditului intern. Astfel, departamentul de audit intern se
subordonează funcţional Comitetului de Audit (şi astfel indirect Consiliului de
Administraţie/Consiliului de Supraveghere). Totodată, departamentul de audit se subordonează
administrativ unui membru al conducerii executive (de obicei directorului general/CEO).

Subordonarea funcţională către Comitetul de Audit constituie sursa independenţei auditului
intern. Această subordonare înseamnă de fapt că toate deciziile referitoare la modul de
desfăşurare a activităţii de audit intern sunt adoptate la nivelul Comitetului de Audit. Astfel,
Comitetul de Audit:
 aprobă statutul auditului intern;
 aprobă evaluarea riscurilor efectuată de departamentul de audit intern;
 aprobă planurile anuale şi multianuale ale departamentului de audit intern;
 monitorizează activitatea departamentului de audit intern şi verifică dacă au apărut situaţii
care au afectat capacitatii acestuia de a-şi indeplini mandatul;
 este informat de directorul auditului intern cu privire la rezultatele misiunilor de audit şi
orice alte probleme, în cadru privat, fără participarea managementului.
Se recomandă, de asemenea, ca propunerile privind înlocuirea/numirea directorului
departamentului de audit intern, precum şi deciziile privind nivelul salarial și bonusurile anuale
ale acestuia să fie aprobate de către Comitetul de Audit. Tendinţa este ca acest comitet să deţină o
influenţă şi responsabilitate tot mai mare în ceea ce priveşte procesul decizional legat de funcţia
de audit intern.
Subordonarea administrativă a departamentului de audit intern către conducerea executivă
facilitează gestionarea problemelor curente, legate de conducerea de zi cu zi a departamentului. În
sfera subordonării administrative intră de obicei aspecte legate de
 planificarea şi execuţia bugetului;
 gestiunea resurselor umane, inclusiv evaluarea și acordarea majorări salariale;
 comunicarea internă şi fluxurile de informaţii;
 administrarea procedurilor interne ale organizației (ex. aprobarea concediilor, a
deplasărilor interne/externe etc.).
Dubla subordonare asigură un flux sporit de informaţii în cadrul organizaţiei, acces la conducerea
executivă şi comunicarea rezultatelor catre un nivel ierarhic adecvat.
Principiul 12 - Relaţia dintre functiile de audit intern, conformitate şi administrarea

riscurilor: Funcţia de audit intern trebuie să evalueze independent şi să furnizeze o asigurare cu
privire la eficacitatea şi eficienţa sistemelor şi proceselor de control intern, administrare a

riscurilor şi guvernanţă. Auditul intern este a treia linie de aparare care evaluează independent
procesele din celelalte două linii de apărare.
Acest principiu este transpus şi în cuprinsul Regulamentului BNR nr. 5/2013 privind cerinţe
prudenţiale pentru instituţiile de credit:
Art. 54. - (1) Instituţiile de credit trebuie să dispună de o funcţie de audit intern care să
evalueze dacă nivelul de calitate al cadrului aferent controlului intern este atât eficace, cât şi
eficient.
(2) Funcţia de audit intern trebuie să evalueze conformarea tuturor activităţilor şi unităţilor
operaţionale ale unei instituţii de credit (inclusiv funcţia de administrare a riscurilor şi
funcţia de conformitate) cu politicile şi procedurile instituţiei de credit. În acest sens, funcţia
de audit intern nu trebuie să fie combinată cu nicio altă funcţie.
3.3. STANDARDELE INTERNAŢIONALE DE AUDIT INTERN
În 1941 în SUA s-a înfiinţat Institutul Auditorilor Intern (The IIA) care în timp a devenit
principala asociaţie profesională recunoscută pe plan internaţional dedicată dezvoltării şi
promovării profesiei de auditor intern. În prezent, această organizaţie are filiale în peste 165 de
ţări (în România este reprezentată de Asociaţia Auditorilor Interni din România - AAIR), cu cca.
170 000 de membri afiliaţi. The IIA (http://theiia.org) are un buget anual de peste 18 milioane
USD şi peste 125 de angajaţi permanenţi.
De-a lungul timpului, The IIA a elaborat o serie de documente care au conturat regulile general
acceptate pentru desfăşurarea activităţii de audit intern.
Aceste reguli sunt integrate în prezent în documentul intitulat “Cadrul International de Practici
Profesionale” (IPPF - International Professional Practices Framework). Acesta cuprinde o
secţiune obligatorie şi o secţiune cu caracter de recomandare.
În secţiunea obligatorie sunt incluse:
1. Definiţia auditului intern
2. Codul de etică
3. Standardele internaţionale pentru practica profesională a auditului intern
Secţiunea opţională cuprinde:
1. Îndrumări practice privind modul în care Standardele pot fi aplicate
2. Ghiduri practice pentru diferite operaţiuni
3. Documente de poziţie ale The IIA
Standardele internaţionale pentru practica profesională a auditului intern (în continuare
„Standardele”) joacă un rol central în cadrul IPPF emis de The IIA.
Auditul intern se desfăşoară în diferite medii legislative şi culturale; în cadrul unor organizaţii
care diferă din punct de vedere al scopului, mărimii, complexităţii şi structurii; de către persoane
din cadrul sau din afara organizaţiei. Deşi pot exista diferenţe care să influenţeze practica
auditului intern în fiecare dintre aceste medii, este esenţială respectarea Standardelor pentru
îndeplinirea responsabilităţilor auditorilor interni şi a activităţii de audit intern. Dacă legislaţia sau
regulamentele nu permit auditorilor interni sau activităţii de audit intern să respecte anumite
secţiuni ale Standardelor, este necesar să se respecte toate celelalte secţiuni ale Standardelor şi să
se declare neconformitatea existentă.

În cazul în care Standardele sunt utilizate în conxiune cu norme emise de alte autorități de
reglementare, comunicările auditului intern vor putea să precizeze utilizarea acestor norme, după
caz. În astfel de situații, atunci când activitatea de audit intern indică conformarea cu Standardele
și există inconsecvențe între Standarde și celelalte norme, auditorii interni trebuie să respecte
Standardele și pot respecta și celelalte norme, dacă acele norme sunt mai restrictive.
Scopul Standardelor este:

1. Să contureze principiile de bază privind practica de audit intern.
2. Să furnizeze un cadru general pentru desfăşurarea şi dezvoltarea unei game largi de
misiuni de audit intern care să genereze valoare adăugată.
3. Să stabilească cadrul de referinţă pentru evaluarea rezultatelor auditului intern.
4. Să stimuleze îmbunătăţirea proceselor şi operaţiunilor organizaţiei.
Standardele reprezintă cerinţe obligatorii, bazate pe principii, cuprinzând:
 Enunţuri privind cerinţele de bază pentru practica profesională a auditului intern şi pentru
evaluarea eficacităţii acestuia, care se aplică la nivel internaţional, organizaţional şi
individual;
 Interpretări, care clarifică termenii sau conceptele din Enunţuri.
Standardele utilizează termeni având un înţeles specific, precizat în „Glosar”. Mai exact,
Standardele utilizează termenul “trebuie” pentru a preciza o cerinţă obligatorie şi termenul “ar
trebui” dacă se aşteaptă conformitatea cu cerinţa respectivă, cu excepţia situaţiei în care, prin
aplicarea raţionamentului profesional, circumstanţele justifica devierea de la aceasta.
Pentru înţelegerea şi aplicarea corectă a Standardelor, trebuie avute în vedere Enunţurile şi
Interpretarea acestora, precum şi înţelesul lor specific din Glosar.
Standardele se grupează în:
a. Standarde de calificare - descriu calităţile pe care trebuie să le îndeplinească organizaţiile
şi persoanele care execută activităţi de audit intern;
b. Standarde de performanţă - descriu activităţile specifice auditului intern şi asigură criterii
calitative pentru evaluarea performanţelor acestuia.
c. Standardele de implementare - dezvoltă Standardele de calificare şi Standardele de
performanţă prin stabilirea cerinţelor aplicabile pentru misiunile de audit de asigurare
(acestea sunt notate cu „A”) sau de consultanţă (notate cu „C”).
Standardele se aplică auditorilor interni şi activităţilor de audit intern. Toţi auditorii interni sunt
răspunzători pentru respectarea Standardelor cu privire la obiectivitatea individuală, competenţă
şi conştiinciozitate profesională. În plus, auditorii interni sunt răspunzători pentru respectarea
Standardelor care sunt relevante pentru îndeplinirea responsabilităţilor asociate funcţiei lor.
Conducătorii executivi ai auditului (directorii departamentelor de audit intern) sunt răspunzători
pentru respectarea integrală a Standardelor.
Ultima versiune a Standardelor în vigoare începând de la 1 ianuarie 2017 este prezentată integral
în anexa la prezentul manual.
În 2007, Camera Auditorilor Financiari din România a aprobat Normele de audit intern, aplicabile
tuturor entităţilor care sunt supuse auditului financiar. Normele de audit intern se compun din:

 Standardele de audit intern, o versiune mai veche din 2013 a Standardelor internaţionale
elaborate şi publicate de The IIA, asimilate de Camera Auditorilor Financiari din
România, ca norme naţionale de audit intern;
 Proceduri privind cadrul general de desfăşurare a misiunilor de audit intern.
3.4. CODUL DE ETICĂ
Un alt document esenţial pentru activitatea auditorilor interni îl reprezintă codul de etică. The IIA
a elaborat acest document pentru promova o cultura bazată pe etică în profesia de auditor intern.
Un cod de etică este necesar şi adecvat pentru profesia de auditor intern, întrucât aceasta are la
bază încrederea în asigurarea obiectivă, dată de auditul intern.
Codul de etică stabileşte principiile privind comportamentul persoanelor şi organizaţiilor în
executarea auditului intern şi descrie cerinţele minime de conduită al auditorilor.
Codul de etică al IIA

Principiile
Se aşteaptă ca auditorii interni să aplice şi să respecte următoarele principii:
1. Integritate
Integritatea auditorilor interni determină încredere şi astfel asigură baza credibilităţii acordate
raţionamentului lor profesional.
2. Obiectivitate
Auditorii interni manifestă cel mai înalt nivel de obiectivitate profesională în colectarea,
evaluarea şi comunicarea informaţiilor cu privire la activitatea sau procesul aflate în curs de
examinare. Auditorii interni realizează o evaluare echilibrată a tuturor circumstanţelor
relevante, fără a se lăsa, în mod nejustificat, influenţaţi de propriile interese sau de alte
persoane în formularea raţionamentelor.
3. Confidenţialitate
Auditorii interni respectă valoarea şi dreptul de proprietate asupra informaţiilor pe care le
primesc şi nu furnizează informaţii fără aprobare corespunzătoare, decât în cazul în care există
obligaţii legale sau profesionale în acest sens.
4. Competenţă
Auditorii interni aplică cunoştinţele, abilităţile şi experienţa necesare în desfăşurarea auditului
intern.
Reguli de conduită
1. Integritate
Auditorii interni:
1.1. Trebuie să îşi desfăşoare activitatea cu onestitate, bună-credinţă şi responsabilitate.
1.2. Trebuie să respecte legea şi să facă comunicările necesare potrivit legii şi profesiei.
1.3. Trebuie să nu participe, cu bună ştiinţă, la activităţi ilegale şi să nu se implice în acte care
să discrediteze profesia de auditor intern sau organizaţia.

1.4 Trebuie să respecte şi să contribuie la atingerea obiectivelor legitime şi etice ale
organizaţiei.
2. Obiectivitate
Auditorii interni:
2.1. Trebuie să nu participe în orice activitate sau relaţie care poate afecta sau se presupune
că afectează evaluarea lor imparţială. Participarea include acele activităţi sau relaţii personale
care pot fi în conflict cu interesele organizaţiei.
2.2. Nu trebuie să accepte ceva care le poate afecta sau se presupune că afectează
raţionamentul lor profesional.
2.3. Trebuie să comunice toate aspectele semnificative de care au cunoştinţă şi care, în caz
contrar, ar putea distorsiona raportul privind activităţile supuse verificării.
3. Confidenţialitate
Auditorii interni:
3.1. Trebuie să manifeste prudenţă în utilizarea şi să protejeze informaţiile obţinute în timpul
exercitării sarcinilor de serviciu.
3.2. Nu trebuie să utilizeze informaţii în scopul obţinerii unor beneficii personale sau în orice
alt mod care ar fi contrar legii ori în detrimentul obiectivelor legitime şi etice ale organizaţiei.
4. Competenţă
Auditorii interni:
4.1. Trebuie să se implice numai în acele misiuni pentru care au cunoştinţele, abilităţile şi
experienţa necesare.
4.2. Trebuie să desfăşoare auditul intern în conformitate cu Standardele Internaţionale pentru
Practica Profesională a Auditului Intern (Standardele).
4.3. Trebuie să îşi îmbunătăţească, în mod continuu, competenţa, eficacitatea şi calitatea
serviciilor.
3.5. TIPURI DE AUDIT INTERN ÎN SISTEMUL BANCAR
Fiind confruntaţi cu diverse situaţii limită cărora trebuie să le facă faţă, auditorii interni au
dezvoltat până azi un complex amplu de metode pentru a controla ceea ce intră în aria lor de
activitate, toate aceste metode fiind supuse unui proces continuu de ajustare și optimizare pentru a
face faţă în timp util schimbărilor din sistem. Principala reorientare înregistrată se referă la
concentrarea pe riscurile specifice activităţii bancare. Punctul de plecare pentru organizarea
optimă a activităţii, desigur că este planul de audit, care este elaborat de managementul direcţiei
de audit intern şi care include termenul şi frecvenţa activităţilor de audit, fiind bazat pe o evaluare
metodică a riscurilor implicate şi a controalelor aplicate pentru minimizarea acestora. În
dezvoltarea planului de audit directorul de audit intern ține cont de echilibrul dintre cunoștințe,
abilități și alte competențe necesare pentru a completa planul și resursele disponibile.
Planul şi metodologia de audit iau în considerare evoluţiile înregistrate, riscul de obicei mai
mare al noilor activităţi, şi intenţia de auditare a tuturor activităţilor şi entităţilor importante ale
băncii într-o perioadă rezonabilă de timp (principiul ciclului de audit – de exemplu doi ani).

Toate aceste elemente pot determina extinderea, natura și frecvenţa acţiunilor care vor fi
îndeplinite.
Un plan de audit nerealistic, adică un plan care nu cuprinde un buget de timp alocat şi unor alte
sarcini şi activităţi specifice, sau neaşteptate, care nu include un program de pregătire adecvat
necesităţilor echipei de audit, duce implicit la imposibilitatea realizării lui, la neatingerea
aşteptărilor managementului băncii.
În conformitate cu bunele practici, timpul per auditor este estimat la 220zile/an. Planul de audit
trebuie să fie conceput pentru a asigura într-un an:
- Un minim de 60% dedicat activitatilor de audit ordinare;
- 10% - 15% misiunilor de audit excepționale (acestea includ investigații (de fraudă sau
solicitate de Management, Consiliul de Administrație sau Comitetul de Audit);
- 10% dedicat evaluării riscurilor (pentru examinarea riscurilor la care instituția de credit se
expune, pentru colaborarea cu Banca Națională și Auditorii externi pe durata inspecției de
supravegehere/auditului statutar, participarea la Comitetele de Audit, Consiliile de
Administrație și alte comitete)
- 10% supravegherii consolidate (pentru supervizarea activităților de audit și guvernanța
activității subsidiarelor);
- 10% alocat altor activități (training, consultanță, revizuiri și schimbări de metodologii și
regulamente interne).
Planul de audit trebuie discutat cu Managementul Executiv al instituției de credit, să conveargă
obiectivelor strategice ale instituției de credit, să fie aprobat de Comitetul de Audit. Orice
modificare a planului trebuie adusă la cunoștința Managementului Executiv și aprobată de
Comitetul de Audit.
Analiza metodelor de lucru ale auditului intern demarează prin detalierea planificării muncii de
audit, deoarece rezultatele muncii auditorilor sunt fundamental influenţate de aceasta etapă,
planificarea incluzând şi examinarea şi evaluarea informaţiilor disponibile, comunicarea
rezultatelor, urmărirea recomandărilor şi concluziilor.
Principalele tipuri de audit intern sunt:

După scopul misiunii de audit, acestea pot fi:
 Auditul situaţiilor financiare, al cărui scop este evaluarea corectitudinii sistemului contabil, al
informaţiilor şi al situaţiilor financiare care rezultă în baza acestora. Acest tip de audit nu este
efectuat cu regularitate de către auditorii interni, el fiind mai mult obiectiv al auditului
extern. La cererea managementului, auditorii interni se pot concentra şi pe aceste aspecte,
dar nu intră în cadrul normal al activităţii lor;
 Auditul de conformitate, al cărui scop este evaluarea calităţii şi adecvării sistemelor care au ca
scop asigurarea conformităţii cu legile, reglementările, politicile şi procedurile. Menţionăm că
acest tip de audit, într-o măsură mai restrânsă însă, este parte integrantă din orice alt tip de
audit, căci primul pas al oricărei misiuni de audit este evaluarea respectării reglementărilor
interne si externe. De exemplu, orice audit operaţional va evalua şi dacă operaţiunile
auditate sunt efectuate conform procedurilor interne care reglementează acele operaţiuni.
 Auditul operaţional, este principalul tip de audit aplicat într-o instituţie bancară, deoarece el
asigură exprimarea opiniei că operaţiunile desfăşurate în banca respectivă sunt corecte,

complete, adecvate cu directivele managementului, etc. Considerăm că celelalte tipuri de
audit completează alte faţete ale activităţii unei bănci, care în mod normal nu pot fi integral
acoperite în cursul unui audit operaţional.
 Auditul managementului, al cărui scop este evaluarea calităţii abordării managementului în
ceea ce priveşte riscul şi controlul prin prisma obiectivelor băncii. Acest tip de audit este mai
special, el nefiind posibil de aplicat în mod frecvent. Mai mult, pentru acest tip de audit, este
nevoie de experienţă specială, pentru a înţelege şi interpreta acţiunile managementului. În
general acest tip de audit este efectuat de managementul direcţiei de audit.
 Angajamente de consultanță, solicitate de Managementul Executiv, cu avizul Comitetului de
Audit. Auditorii interni vor putea acorda consultanță asupra unor operațiuni pentru care au
avut anterior responsabilități sau asupra cărora au exercitat angajamente de audit, cu condiția
de a nu efectua un angajament de audit similar în anul următor.
Auditul intern poate oferi, în limita cartei de audit, următoarele tipuri de servicii de
consultanță:
 angajamente formale de consultanță - planificate și formalizate într-un document scris;
 angajamente informale de consultanță - activități de rutină (participarea la comitete
permanente, proiecte de durată limitată, întruniri ad-hoc și schimb de informații);
 angajamente speciale de consultanță - participare la fuziuni și achiziții;
 angajamente de consultanță pentru situații deosebite - participarea într-o echipă
stabilită pentru redresarea sau menținerea activităților după un dezastru sau alt
eveniment extraordinar sau într-o echipă desemnată să acorde sprijin temporar pentru
îndeplinirea unei cerințe speciale.
Auditul intern nu va putea agrea desfășurarea unui angajament de consultanță care determină
sustragerea de la cerințele normale aferente unui angajament de audit, dacă serviciul respectiv
este mai bine desfășurat ca și angajament de audit.
Direcţia de audit intern examinează şi evaluează toate activităţile unei bănci din cadrul tuturor
entităţilor acesteia. De aceea, activitatea de audit nu trebuie canalizată pe un singur tip de audit,
ci trebuie folosit cel mai potrivit tip de audit, în funcţie de obiectivele ce trebuie atinse. Mai mult,
activitatea auditorilor nu este limitată doar la auditarea diferitelor funcţiuni, departamente ale
băncii, ci ea este în principiu organizată ca să abordeze o anumită activitate în totalitatea ei, prin
prisma tuturor entităţilor implicate în această activitate.
După întinderea misiunii de audit (aspect cantitativ), auditul efectuat de auditorii interni poate fi:
 Audit general, care acoperă întreaga activitate desfăşurată de unitatea audiată, de la ultimul
control aplicat, până la data misiunii de audit curente. Acest tip de control se realizează
periodic, dar nu la o perioadă de timp determinată, ci în funcţie de anumite criterii stabilite de
conducerea departamentului de audit, însă nu mai puţin de o dată de la o perioadă de timp
bine determinată (în general 2-3 ani sunt între două misiuni de audit general aplicate unei
unităţi).
În alcătuirea planului anual de audit, precum şi în alegerea unităţilor băncii care urmează a fi
auditare, mai mulţi factori sunt luaţi în considerare, în funcţie de complexitatea și riscurile
întâlnite în cazul unităţii ce urmează a fi auditate.
Astfel, în cazul sucursalelor se auditează activitatea casieriei, a operațiunilor efectuate în

numele clienților și în nume propriu, a creditelor originate de aceasta, operațiunile de
contabilitate generală. În aceste cazuri se urmăreşte cu precădere:
- modul efectiv de realizare şi eficienţa operaţiunilor;

- controlul intern, supravegherea activităţii;
- concordanţa cu regulile, normele şi legile în vigoare;
- rezultatele financiare obţinute de sucursală în ultimii ani;
- portofoliul de credite;
- problemele cu care s-a confruntat sucursala în decursul timpului;
- rezultatele ultimului audit.
În privinţa auditului direcţiilor/departamentelor din centrala băncii, auditul acoperă cel puţin
următoarele aspecte:
- rolul direcţiilor/departamentelor în desfăşurarea activităţii la nivelul băncii;
- procesele care stau la baza activităţii respective, precum şi modul de implementare al
acestora;
- nivelul informaţiilor pe care acestea îl furnizează managementului;
- aria de responsabilitate şi eventuale interferenţe ale activităţii cu cea a altor
departamente/direcţii.
 Auditul parţial acoperă activitatea unei entităţi pe o anumită perioadă sau are ca scop
controlul anumitor operaţiuni desfăşurate.
Are aceeaşi structură ca şi auditul general, dar se desfăşoară la o scară mai redusă, pe anumite
activităţi, sau pe întreaga activitate a sucursalei, dar pe un eşantion mult mai redus. Unul din
principalele obiective ale auditului parţial este verificarea implementării recomandărilor
auditului în urma misiunii anterioare de audit. Anvergura auditului parţial este
determinată şi de primele rezultate ale acestei verificări.
De asemenea, controlul activităţii casieriei unităţilor operative este considerat tot un tip de
control parţial. Acest tip de control este aplicat relativ mai des şi are rolul de a evidenţia
acurateţea operaţiunilor efectuate cu numerarul băncii şi a depista eventuale lipsuri
neraportate.
 Auditul special se desfăşoară la cererea expresă a managementului şi are ca scop
examinarea cazurilor de încălcare a regulilor băncii şi atribuirea responsabilităţilor
persoanelor implicate. Totodată, acest tip de audit poate fi iniţiat şi de către managementul
direcţiei de audit, ca urmare a identificării unor nereguli importante în decursul misiunilor de
audit sau chiar în activitatea operaţională zilnică.
3.6. METODE DE LUCRU
Metodele sau testele de audit utilizate de auditori în decursul misiunilor lor sunt alese în funcţie
de obiectivul pe care îl are misiunea respectivă.
Tipurile de teste de audit utilizate, menţionând că mixarea lor cât mai eficientă este determinată de
experienţa auditorului responsabil cu misiunea de audit respectivă, pot fi:
Intervievarea

Procedurile de investigare includ interviuri cu managementul şi personalul unităţii auditate. In
principiu, fiecare misiune de audit conţine această metodă, ea având un aport important în
ajustarea metodologiei de audit planificate înainte de audit, în funcţie de noutăţile aflate la
interviuri. Din nou, experienţa este determinantă în această etapă, de aceea ea este efectuată de
obicei de şeful de misiune. Se recomandă formalizarea interviurilor și asumarea conținutului de
către intervievați și auditori.
Folosirea de chestionare
Folosirea chestionarelor este poate tehnica cu aria cea mai largă de aplicabilitate utilizată de
auditorul care revizuieşte operaţiunile efectuate de unitatea auditată. Acest tip de testare poate
include sugestionarea unor puncte de vedere referitor la un proces, pentru a surprinde reacţia
managementului – “interviu punctat”. Abilităţi speciale sunt necesare pentru ca acest tip de test
să îşi atingă scopul.
Observare şi inspecţie
Observarea implică o verificare atentă şi cu ştiinţă (cunoaştere) a documentelor procesate, a
activităţilor, a activelor. Aceasta înseamnă o examinare vizuală cu un anumit scop, o comparare
mentală cu anumite standarde deja stabilite şi cunoscute. De exemplu, acest tip de test se aplică
în cazul inventarierilor stocurilor, a originalelor contractelor de credit, de servicii, etc. Se
recomandă formalizarea observării și a inspecțiilor și asumarea conținutului procesului verbal
întocmit de către intervievați și auditori.
Revizuirea documentaţiei
Această metodă implică revizuirea rapoartelor şi a documentelor existente, pentru a identifica
controalele aplicate, pentru a înţelege procesul sau activitatea în vederea asigurării acelor evidenţe
care să susţină concluziile auditului.
Revizuiri analitice
Metoda presupune anumite comparaţii şi relaţionări între grupe de date. Testele analitice includ:
(i) analize de trend (tendinţe), cum ar fi analiza fluctuaţiilor;
(ii) benchmarking, asupra bugetelor şi standardelor pre-determinate;
(iii)analiza indicatorilor, a celor financiari sau ai celor aferenţi procesului;
(iv) tehnici de modelare, cum ar fi teste de rezonabilitate, analiza frecvenţei distribuţiei, etc.
Analiza datelor si rapoartele cu excepţii

Se analizează şi se interoghează date istorice (din trecut) pentru a se identifica tendinţele de
evoluţie, ariile problematice, diverse excepţii, etc. Un feedback important pentru echipa de audit
este şi inexistenţa anumitor rapoarte, în special a celor cu excepţii de la nivelurile, limitele
aprobate (de exemplu, raportul depozitelor la termen cu dobânzi diferite de dobânzile aprobate de
management).

Verificare şi punctare
Aceste teste au drept scop evidenţierea faptului că evenimentele sau valorile înregistrate au avut
loc într-adevăr. Se efectuează prin examinarea înregistrărilor în sistemul informatic sau prin
verificarea documentelor aferente. Este o procedură care implică multă rutină, care solicită
răbdare şi atenţie, şi în general, datorită acestui aspect, se aplică unor eşantioane bine
determinate, dar niciodată nu este evitată această metodă.
Urmărirea proceselor
Această metoda presupune urmărirea unei proceduri, începând cu documentele iniţiale ale
procesului audiat, începând cu documentele originale care au demarat procesul respectiv, şi,
continuând pe întregul lor circuit, în cadrul procesului. Se recomandă desenarea unui flowchart și
punctarea elementelor de control lipsa sau a celor care reflectă posibilități de optimizare a
procesului respectiv.
Scanarea
Aceasta este o procedura mai puţin detaliată, care are intenţia de a detecta o situaţie neobişnuită.
Eficienţa scanării depinde de abilitatea auditorului de a identifica elemente neobişnuite şi prin
punctarea din masa mare de informaţii scanate, a acelora care prezintă particularităţi neobişnuite.
Reconcilieri
Acestea sunt un tip de teste de audit care are un scop precis, fiind destinat să analizeze variaţiile
dintre două seturi de informaţii similare. De exemplu, reconcilierea soldurilor conturilor băncii la
alte bănci, în ţară sau străinătate, prin confruntarea situaţiilor proprii cu extrasele de cont
primite de la băncile respective, pentru disponibilităţile băneşti păstrate în conturile lor.
Recalculaţii şi teste de valoare

Sumele si valorile prezentate de entitatea auditată sunt recalculate de către auditor, pentru a
verifica acurateţea acestora sau pentru a evalua corectitudinea evaluării finale.
3.7. CONTROLUL DE CALITATE AL MUNCII DE AUDIT
Fiecare bancă implementează totodată şi politici si proceduri de control şi îmbunătăţire a

calităţii muncii de audit, în aşa fel încât să se asigure că politicile şi procedurile sunt înţelese şi
aplicate corespunzător de către auditori. În conformitate cu standardele internaţionale pentru
practica profesională a auditului intern, Directorul Direcţiei Audit Intern trebuie să elaboreze şi să
actualizeze un program de asigurare şi îmbunătăţire a calităţii, care să acopere toate aspectele
activităţii de audit intern. Monitorizarea continuă face parte integrantă din activitatea zilnică de
supervizare, verificare şi măsurare a activităţii de audit intern. Monitorizarea continuă este

încorporată în metodologiile şi practicile curente, utilizate pentru a conduce activitatea de audit
intern şi presupune folosirea unor procese, instrumente şi informaţii considerate necesare pentru a
evalua conformitatea cu Definiţia Auditului Intern, Codul de Etică şi Standardele.
În privinţa fiecărei misiuni de audit, auditorul responsabil de misiune implementează acele

proceduri de control care sunt potrivite acelei misiuni individuale, în contextul politicilor şi
procedurilor băncii. Coordonatorul (directorul) serviciului/direcţiei de audit, precum şi auditorii cu
responsabilităţi de supervizare vor lua în considerare competenţa profesională a auditorilor cărora
le-au fost delegate sarcini, când decid asupra extinderii sarcinilor de revizuire, supervizare,
coordonare ce intenţionează să le acorde acestora.
Orice activitate delegată va fi făcută de o aşa manieră prin care să se asigure certitudini că munca
va fi desfăşurată cu competenţă de persoane care au pregătirea profesionala necesară în acele
circumstanţe.
Angajaţii cărora le sunt delegate sarcini de audit au nevoie, dar totodată au şi dreptul să primească
direcţionarea potrivită. Direcţionarea implică informarea auditorilor despre responsabilităţile lor,
despre obiectivele procedurale pe care le au de îndeplinit în cursul auditului. Aceasta implică de
asemenea şi furnizarea de informaţii, cum ar fi detalii despre activitatea entităţii auditate, posibile
probleme contabile sau de audit care ar putea afecta natura, lungimea, întinderea procedurilor de
audit aferente acelei misiuni.
Supervizarea muncii de audit este în relaţie directă atât cu direcţionarea cât şi cu revizuirea şi
poate implica elemente ale ambelor acţiuni.
Persoanele cu responsabilităţi de supervizare (auditorii responsabili pentru misiunea în cauză)
efectuează următoarele funcţii în timpul unui audit: participă în misiunea de audit şi
monitorizează progresele, pentru a identifica dacă:
(i) auditorii au pregătirea necesară şi competenţa să ducă la îndeplinire responsabilităţile
acordate;
(ii) auditorii înţeleg ce urmăreşte auditul;
(iii)munca de audit este desfăşurată în concordanţă cu planul de audit şi cu programul de audit.
Persoanele cu responsabilităţi de supervizare se informează despre şi transmit întrebările
semnificative (contabile, de audit) apărute în timpul auditului, prin evaluarea importanţei acestora,
totodată, modifică planul de audit şi programul de audit, dacă este cazul şi rezolvă orice diferende
apărute ca urmare a interpretării profesionale a problemelor identificate şi analizează dacă este
necesară consultanţa specifică suplimentară.
Munca depusă de fiecare echipă de audit este revizuită de către conducătorul acestei activităţi
(manager), pentru a se asigura că:
 munca a fost desfăşurată conform programului de audit;
 munca depusă şi rezultatele obţinute au fost documentate corespunzător;
 toate problemele de audit importante au fost soluţionate sau sunt menţionate în concluziile
auditului;
 obiectivele procedurii de audit au fost îndeplinite, şi

 concluziile exprimate sunt conforme cu rezultatele muncii de audit şi confirmă opinia de audit.
Auditorii îşi documentează afirmaţiile, opiniile lor, care sunt importante în furnizarea acelor
evidenţe care le întăresc opiniile şi care să aducă asigurarea că auditul a fost desfăşurat în
conformitate cu standardele interne de audit.
Documentarea înseamnă acele documente (foi de lucru) întocmite, obţinute şi reţinute de către
auditori în legătură cu misiunea specifică de audit pentru care se face documentarea. Foile de
lucru pot lua atât forma datelor stocate pe hârtie, dar şi a fişierelor electronice.
Foile de lucru, mai mult decât a stoca informaţii, se întocmesc pentru:

- a organiza şi evidenţia etapele parcurse pentru planificarea şi pentru efectuarea auditului;
- a permite o supervizare şi revizie optimă a muncii de audit, şi pentru
- înregistrarea acelor elemente identificate în cursul muncii de audit, pentru a întări opinia
auditorilor.
În funcţie de necesităţile specifice ale unei misiuni de audit, de obicei auditorii au libertatea să
aleagă orice informaţii pe care le consideră relevante şi potrivite pentru misiunea de audit ce o
au de îndeplinit, aceasta pentru a putea sa-şi ducă la îndeplinire munca în cele mai bune
condiţii şi fără restricţii impuse care să le îngrădească creativitatea.
Auditorii adoptă acele proceduri potrivite pentru a menţine confidenţialitatea şi siguranţa păstrării
foilor de lucru, păstrarea acestora pentru o perioadă suficientă pentru a răspunde necesităţilor
practice, şi pentru a fi în concordanţă cu cerinţele legale şi profesionale privind perioada de
arhivare.
Chiar dacă părţi sau extrase din foile de lucru pot fi puse la dispoziţia entităţii auditate, acestea nu
pot fi sub nicio formă utilizate ca şi înregistrări contabile.
Rapoartele de audit sunt chintesenţa muncii auditorilor în cadrul unei misiuni de audit, acestea
oferind conducerii băncii informaţii care vor fi utilizate în procesul decizional.
Misiunile de audit se realizează având la bază metodologia şi principiile generale de audit,
procedurile interne emise de bancă, regulile şi regulamentele emise de Banca Naţională a
României şi alte organizaţii naţionale cu putere decizională (exemplu, Ministerul de Finanţe).
3.8. RISCUL DE AUDIT
Auditorul, chiar şi în echipă nu poate cuprinde totul. El lucrează pe baza de eşantionare, folosind
metode statistice de detecţie. Asta înseamnă că există posibilitatea ca auditorii să nu observe o
problemă care ar putea avea caracter semnificativ - riscul de audit. Dimensiunea acestui risc
depinde de trei componente: de riscul inerent, de riscul de control şi de riscul de nedetectare.
Riscul inerent reprezintă riscul aferent unei operaţiuni în condiţiile în care nu ar exista măsuri de
control intern (la acest nivel se face abstracţie de activitatea de control şi de capacitatea acesteia
de a detecta neregulile).

Riscul de control reprezintă riscul ca măsurile de control instituie să nu prevină şi respectiv să nu
detecteze şi să detecteze în timp util o deficienţă (nereguli/erori). Practic riscurile de control
reprezintă neregulile şi erorile care nu sunt prevenite şi descoperite prin măsurile uzuale de
control. Riscul de control nu poate fi egal cu zero deoarece controlul intern nu poate oferi
siguranţă deplină privind prevenirea sau detectarea erorilor.
Riscul inerent şi riscul de control există independent de activitatea de audit şi nu pot fi controlate
de auditor, dar pot fi evaluate şi determină proiectarea procedurilor de fond care vor menţine
riscul de nedetectare la un nivel acceptabil.
Riscul de nedetectare reprezintă riscul ca o procedură de audit să nu detecteze o eroare sau o

neregulă care ar putea fi semnificativă. Nivelul riscului de nedetectare este legat direct de
metodele/procedurile auditorului. Spre deosebire de riscul inerent şi riscul de control, riscul de
nedetectare poate fi controlat de auditor prin:
 planificarea adecvată a auditului;
 stabilirea corespunzătoare a naturii, duratei şi întinderii lucrărilor;
 identificarea şi evaluarea performanţelor procedurilor de audit.
Riscul de Riscul Riscul de Riscul de

audit = inerent * control * Nedetectare
Deşi acest risc este singurul risc care poate fi controlat de auditor, există mai mulţi factori care pot
genera risc de nedetectare, cum ar fi:
- auditorul nu utilizează procedurile de audit cele mai adecvate;
- auditorul nu aplică în mod corect o anumită procedura de audit;
- auditorul interpretează greşit rezultatele obţinute;
- auditorul nu aplică proceduri adecvate de eşantionare.
Există întotdeauna riscul ca auditorul să nu testeze suficiente tranzacţii dintr-o categorie

semnificativă şi astfel să scape elemente de eroare şi fraudă care să conducă la concluzii eronate.
Dacă auditorul nu reuşeşte să definească cu exactitate activităţile cu risc ridicat, atunci există
riscul ca aceste activităţi să fie auditate superficial. La polul opus, dacă se acordă o atenţie prea
mare activităţilor cu risc scăzut, atunci există pericolul de a rămâne prea puţin timp alocat
activităţilor cu risc ridicat.

4. ABORDAREA AUDITULUI INTERN PRIN PRISMA
RISCURILOR BANCARE
4.1. INTRODUCERE
Acest capitol vă va familiariza cu importanţa gestionării riscurilor bancare din perspectiva
auditului, va prezenta care sunt riscurile bancare, analiza riscului bancar ca metodă de audit,
precum şi auditul riscurilor bancare.
OBIECTIVELE PROCESULUI DE STUDIU
Când veţi termina de studiat acest capitol, veţi putea:
 să cunoaşteţi importanţa gestionării riscurilor bancare din perspectiva auditului,
 să ştiţi care sunt riscurile bancare,
 să prezentaţi analiza riscului bancar - metodă de audit.
In decursul ultimilor 10-15 ani, organizaţiile şi reglementatorii au conştientizat rolul şi importanţa
crescândă a guvernanţei corporatiste, a managementului riscului, controlului şi asigurării.
Dacă restrângem aria de observaţie numai la planul naţional, înfiinţarea Camerei Auditorilor
Financairi din România, reglementarea normelor minimale de audit intern, Norma 17/2003 şi
ulterior Regulamentul 18/2009, completat prin Regulamentul BNR 25/2010, și mai apoi
Regulamentul 5/2013 sunt exemple concrete de cerinţe pentru organizaţii în privinţa identificării
riscurilor cu care acestea se confruntă. Acordul Basel II subliniază în mod special necesitatea
stabilirii unei arhitecturi efective şi eficiente de management al riscului.

Riscul într-o afacere a fost definit şi ca “eveniment viitor şi probabil a cărui producere ar putea
provoca anumite pierderi”. Dar activitatea bancară este prin natura ei o activitate în care riscul
este caracteristică generală.
Considerând activităţile care sunt permise băncilor (menţionate în legea bancară), putem spune că
activitatea bancară poate fi uşor caracterizată ca fiind sensibilă la o serie întreagă de elemente
(pericole, evenimente viitoare etc.) care pot produce anumite pierderi pentru bancă.
Definiţia standard a riscului este aceea că el “reprezintă probabilitatea producerii unui

eveniment cu rezultate adverse pentru subiect.” În acelaşi context, prin expunere la risc se
înţelege valoarea actuală a tuturor pierderilor sau cheltuielilor suplimentare pe care le
suportă sau pe care le-ar putea suporta instituţia financiară în cauză.
Din această definiţie rezultă că expunerea la risc poate fi efectivă sau potenţială, motiv pentru
care riscurile bancare pot fi prezentate în diferite accepţiuni.
De aceea, în domeniul financiar cel puţin, riscul este privit ca un conglomerat sau complex de
riscuri, de cele mai multe ori interdependente, prin aceea că acestea pot avea cauze comune sau că
producerea unui risc poate genera în lanţ şi producerea altor riscuri. Drept urmare, aceste
operaţiuni şi proceduri generează în permanenţă expunere la risc.
Evoluţiile viitoare depind de evenimentele ulterioare, cum ar fi inflaţia, politica monetară şi
schimbările în produsul naţional brut. Unii economişti consideră că la baza problemelor cu care se
confruntă băncile se află factorii macroeconomici. Ei accentuează importanţa riscului deoarece
acesta reprezintă principala problemă a majorităţii băncilor.
O bancă întâmpină multe dificultăţi dacă va trebui să acopere cu capital pierderile înregistrate.
Riscurile, a căror apariţie face ca o bancă să devină insolvabilă, depind de variaţiile veniturilor
prevăzute a se obţine şi de nivelul cheltuielilor acoperite din acestea.
Fiecare bancă are o anumită structură a activelor şi pasivelor. Pe parcursul unei perioade de
gestiune (un an), banca obţine anumite câştiguri şi efectuează anumite cheltuieli, cea mai mare
parte a acestora fiind cheltuielile cu dobânzile la fondurile atrase/plasate.
Atât câştigurile cât şi cheltuielile pot fi estimate în funcţie de structura activelor şi pasivelor, de
operaţiunile efectuate şi de factorii macroeconomici, legislativi etc.
Cauza cea mai frecventă a pierderilor şi insolvabilităţii instituţiilor financiare este dificultatea lor
de a face faţă unor evenimente ce se pot produce, dar care nu au fost prevăzute.
Teoria portofoliului arată că relaţia dintre patrimoniul net al unei bănci, instabilitatea câştigurilor
de pe urma portofoliului şi cheltuielilor de funcţionare determină riscul ce cauzează falimentul
băncii.
Aceasta deoarece riscul de portofoliu se referă la riscul asociat fiecărui element de activ şi de
pasiv, la importanţa combinării lor şi a relaţiei dintre ele. Totodată, portofoliul unei bănci, prin
componenţă, structură, determină scadenţa tuturor activelor şi pasivelor.
Băncile întâmpină dificultăţi dacă sunt incapabile să se adapteze noilor condiţii. Acestea au de
preîntâmpinat eventualele evenimente neprevăzute şi de redus riscurile aferente. Pentru aceasta
pot acţiona în mai multe direcţii:
 pot să crească capitalul, astfel diminuând riscul de faliment şi reducând instabilitatea

veniturilor;

 pot să schimbe politica privind portofoliul, prin orientarea către active cu scadenţă scurtă sau
prin creşterea ponderii pasivelor cu scadenţă pe termen lung;
 pot să clasifice activele şi pasivele în funcţie de reacţia lor la evenimentele neprevăzute.
Rolul capitalului este să reducă riscul prin absorbirea pierderilor, rezolvarea problemelor legate
de lichiditate, limitarea creşterii riscurilor asumate de bancă. Relaţia dintre risc şi capital este
neliniară şi pericolul insolvabilităţii scade rapid atunci când capitalul creşte. În prezent,
autorităţile de reglementare se axează pe măsurarea capitalului. Ele încearcă să afle ce risc îşi
poate asuma o bancă pornind de la evaluarea activelor băncii, politica de creditare, administrarea
numerarului şi calitatea managementului băncii.
Riscul este prezent permanent în activitatea bancară, în fiecare tranzacţie, în fiecare proces.
Este esenţial pentru o bancă să identifice riscurile cu care se confruntă, cele specifice şi cele
asociate, generate de operaţiunile desfăşurate, să le evalueze şi să-şi concentreze forţele pentru
acoperirea corectă a acestora, pentru diminuarea efectelor lor.
O bancă îşi asumă cu bună ştiinţă riscuri, având în vedere că funcţia principală a unei bănci este
de a plasa din resursele proprii sau atrase pe care le are la dispoziţie. Riscurile asociate sunt
diferenţiate în funcţie de natura resurselor pe care banca le plasează.
În domeniul bancar ne aflăm în aşa numita “eră a managementului de risc”, iar managementul
riscului constituie o sarcină extrem de complexă şi importantă a managementului bancar, având în
vedere că, în general, asumarea de riscuri mari poate conduce la pierderi mari.
Unul din instrumentele pe care managementul le poate folosi pentru a cunoaşte care sunt
riscurile cu care se confruntă şi care este amplitudinea acestora este auditul. Atât auditul intern
cât şi cel extern au cunoscut în ultimii ani o schimbare profundă a modului de abordare, prin
aceea că toată metodologia de audit este structurată în funcţie de riscurile cu care se confruntă
entitatea auditată. În consecinţă, rezultatele auditului sunt prezentate managementului prin
prisma riscurilor care trebuie adresate corespunzător.
4.2. IMPORTANŢA GESTIONĂRII RISCURILOR BANCARE
Riscurile bancare sunt de regulă abordate în funcţie de tipul lor, datorită complexităţii şi
diversităţii acestora. Trebuie avut însă în vedere că riscurile sunt interdependente. Această
realitate impune o abordare globală a gestiunii riscurilor, care trebuie să asigure băncii
capacitatea de a identifica şi evalua riscurile, de a le controla, evita si, pe cat posibil minimiza
efectele adverse.
O gestiune globală adecvată a riscurilor asigură băncii capacitatea de a identifica şi cuantifica

riscurile bancare, de a le controla. Alte priorităţi de avut în vedere se referă la anticiparea
pierderilor, constituirea rezervelor, transferul eventual al riscurilor (asigurarea), integrarea
gestiunii riscurilor bancare în sistemul global de gestiune al băncii.
Riscul este un însoţitor permanent al activităţii bancare, strategia şi organizarea băncii fiind
afectate dacă riscurile actuale şi de perspectivă nu sunt luate în considerare.
Fiind permanent prezent, riscul trebuie permanent monitorizat prin instrumente ajustate fiecărui
tip de risc (vom prezenta ulterior diverse metode practice aplicate riscurilor identificate în
activitatea unei bănci). Completitudinea instrumentelor şi corecta lor aplicare sunt obiective
principale ale fiecărei misiuni de audit, atât intern cât şi extern.

Dacă un risc este corect şi la timp identificat şi s-au luat măsurile optime pentru acoperirea lui,
şansa ca riscul să se materializeze este redusă substanţial. Astfel, este în interesul tuturor
optimizarea întregului proces al vieţii unui risc. Procesul este astfel mai eficient, personalul
devine conştient şi responsabil, şi bineînţeles, sarcina auditului este mai rafinată, prin aceea că
devine posibilă contracararea în timp util a efectelor pe care un risc le-ar putea avea asupra
activităţii bancare.
Gestiunea riscului demarează cu descifrarea profilului de risc al diferitelor produse bancare,

pentru principalele activităţi bancare, compararea acestora cu profilul de risc al băncii. Dacă suma
profilurilor de risc identificate depăşeşte profilul de risc al băncii, banca are o valoare pozitivă, în
ansamblul ei, pentru acţionari. Sunt elaborate scenarii de pierderi financiare pentru activităţile,
tranzacţiile şi interfeţele bancare, alocând expunerile la risc diferitelor componente ale riscurilor
şi identificând frecvenţa şi mărimea pierderilor care pot fi generate de expuneri. Deoarece o
anumită expunere poate genera riscuri de mai multe feluri, nivelul de risc trebuie agregat pentru
fiecare expunere şi pentru fiecare categorie de risc, pentru a identifica profilul de risc al unei
bănci.
Controlul riscurilor vizează minimizarea cheltuielilor asociate riscurilor pentru expunerile care au
fost identificate, însă nu pot fi evitate sau eliminate, luând în considerare nivelurile de risc
identificate pentru fiecare categorie de riscuri. Controlul riscurilor, componentă a gestiunii
acestora, utilizează tehnici specifice fiecărei categorii de risc:
 tehnici de gestiune a bilanţului sau de diversificare a portofoliului pentru riscul de piaţă;
 calitatea produselor bancare;
 analiza creditelor neperformante pentru riscul operaţional etc.
Eliminarea sau evitarea riscurilor presupune realizarea prealabilă a identificării şi

cuantificării riscurilor şi apoi îndepărtarea cauzelor care le produc.
În acest sens băncile pot utiliza diverse metode:

 reproiectarea activităţilor asociate şi a fluxurilor de operaţiuni
 eliminarea produselor considerate riscante sau ale căror proceduri operaţionale sunt puţin
cunoscute.
Dacă banca a apreciat corect cheltuielile şi veniturile asociate riscurilor, această etapă poate avea
efect favorabil asupra reducerii costurilor totale. În caz contrar, pot fi eliminate produse care ar
putea genera venituri în viitor.
Din perspectiva gestiunii riscurilor bancare, finanţarea acestora presupune atât acoperirea, cât şi
transferul lor. Cele două metode sunt adecvate unor situaţii diferite:
- acoperirea riscurilor este funcţională în cazul riscurilor cu frecvenţă şi amplitudine a
expunerii previzibile sau atunci când nu există asigurări de piaţă;
- transferul riscurilor este adecvat când expunerea la risc este mai puţin previzibilă sau când
pagubele potenţiale sunt grave, funcţionarea metodei presupunând existenţa pieţelor de
asigurări convenţionale.
În cazul în care riscurile, datorită dimensiunii lor, nu pot fi controlate prin cele două metode, sunt
necesare identificarea şi evaluarea gradului de risc pentru ca managerul să cunoască expunerea
potenţială.

Transferul riscurilor se face prin asigurare sau prin operaţiuni cu instrumente derivate, fiind
utilizabil în cazul riscurilor cu pierderi grave sau când riscurile nu pot fi identificate/evaluate
precis. Teoretic, transferarea riscurilor este o tehnică de ultimă instanţă.
Riscul poate fi considerat ca punct de plecare în cercul monitorizării activităţii unei bănci, el
fiind prezent din momentul începerii activităţii unei bănci şi însoţind fiecare tranzacţie a acesteia.
Identificarea tuturor riscurilor şi a gradului lor de potenţială împlinire este esenţială pentru
desfăşurarea activităţii unei bănci pe termen lung. Managementul trebuie să găsească acele
metode şi instrumente, acel sistem de control intern optim prin care să aibă în permanenţă o
imagine completă a riscurilor activităţii pe care o coordonează, precum şi siguranţa că toate
controalele interne funcţionează şi atenţionează din timp în cazul oricărei nereguli. Aici intervine
auditul intern, care evaluează comprehensivitatea riscurilor identificate şi a metodelor de
acoperire a acestora, justeţea sistemului de control intern in funcţie de riscurile identificate, dar şi
modul în care controalele interne sunt aplicate şi monitorizate.
4.3. RISCURI BANCARE
Orice operaţiune bancară presupune monitorizarea binomului “câştig-pierdere”, motiv pentru

care succesul unei echipe manageriale constă în capacitatea de a anticipa şi atenua orice
posibilitate care conduce la înregistrarea unor pierderi.
Gruparea riscurilor bancare în clase şi tipuri de risc este necesară atât pentru identificarea
trăsăturilor comune (cauze, instrumente/tehnici de gestiune, metode de evaluare etc.), dar şi
pentru abordarea lor corelată ce asigură observarea riscurilor şi posibilitatea găsirii metodelor
optime de gestionare a lor, cât şi asimilarea unor procedee şi tehnici.
Administrarea eficientă a activelor şi pasivelor unei bănci, precum şi a tuturor elementelor conexe
activităţii băncii, presupune monitorizarea următoarelor categorii de riscuri:
Riscuri de plasament Riscuri de structură Riscuri de operare

la bănci a plasamentelor lichiditate
în credite a resurselor numerar
în titluri de valoare pe valute descoperit de cont
în participaţii pe termene tehnic
în mijloace fixe
Riscul de ţară
Riscurile de plasament
Succesul activităţii bancare este strâns legat de corelarea eficientă şi în detaliu între activele şi
pasivele reflectate în bilanţ şi în afara bilanţului. Corelarea activelor cu pasivele implică o
valorificare superioară a resurselor mobilizate de bănci prin angajarea unor operaţiuni active de
plasament, generatoare de profit.
Optimizarea structurii plasamentelor unei bănci reprezintă o condiţie esenţială pentru

maximizarea profitului, dar şi o provocare pentru echipa managerială, care are în vedere două
aspecte esenţiale:
 plasarea fondurilor astfel încât să aducă un venit cât mai mare;
 riscul asociat plasamentului să fie cât mai mic.

Selectarea activelor pe grupe precum şi în cadrul fiecărei grupe, trebuie să ţină seama de câteva
elemente, dintre care: gradul de lichiditate, riscul de neplată, riscul pieţii.
Plasamentele la bănci
Plasamentele la bănci se materializează în depozite şi împrumuturi interbancare. Acestea prezintă,

pe de-o parte, riscul nerecuperării fondurilor prin falimentul unor bănci care au primit aceste
fonduri, cunoscut sub denumirea de risc de insolvabilitate a debitorului iar, pe de altă parte, riscul
apariţiei unor întârzieri în rambursarea acestora la scadenţă, ca formă a riscului de neplată.
În vederea reducerii acestor riscuri, băncile trebuie să monitorizeze băncile partenere, stabilind
limite de risc pe bănci, ca expresie a expunerii maxime ce poate fi asumată din plasamentele
ferme (depozite şi credite) sau potenţiale (din operaţiuni documentare pe banca respectivă).
În acelaşi timp, nu trebuie uitat însă faptul că plasamentele la bănci sunt negarantate, fapt pentru
care recuperarea devine incertă şi mai greoaie decât în cazul expunerilor garantate.
Plasamentele în credite acordate clientelei nebancare

Este cunoscut faptul că, între activele băncilor, facilităţile de credit generează cele mai mari
venituri. Totodată, acestea sunt considerate plasamente cu un grad ridicat de risc, în funcţie de
calitatea afacerii finanţate, de termenele pe care sunt acordate, de calitatea garanţiilor şi nu în
ultimul rând de performanţele clientului.
Orice bancă îşi asumă riscuri atunci când acordă credite şi, în mod cert, toate băncile înregistrează
şi pierderi atunci când unul sau mai mulţi debitori nu îşi onorează obligaţiile.
Oricare ar fi însă nivelul riscurilor asumate, pierderile aferente portofoliului de credite pot fi
minimizate dacă operaţiunile de creditare sunt gestionate cu profesionalism. Din acest punct de
vedere una dintre cele mai importante funcţii ale conducerii băncii este de a controla calitatea
portofoliului de credite, deoarece slaba calitate a creditelor este principala cauză a falimentelor
bancare.
Orice credit reprezintă o anticipare a unor încasări viitoare. Din această perspectivă, un credit
presupune riscul ca aceste încasări să nu se realizeze deloc sau doar parţial. Acest risc este
denumit şi risc de insolvabilitate a debitorului, iar gestionarea lui este esenţială în activitatea
bancară.
Întrucât a preveni este mai uşor decât a corecta, pentru limitarea expunerii la risc este necesară:
 selectarea cererilor de credit în funcţie de calitatea afacerii şi capacitatea acesteia de a genera

suficiente fonduri pentru a asigura rambursarea creditului;
 aprobarea numai a acelor credite care satisfac criteriile de prudenţă ale băncii;
 acceptarea numai a acelor garanţii acoperitoare, care să fie certe, lichide şi a căror valoare să
fie constantă în timp;
 monitorizarea permanentă a situaţiei financiare a debitorilor în scopul preîntâmpinării unor
situaţii care să ducă la incapacitatea de plată a acestuia;
 minimizarea riscului de creditare prin diversificarea portofoliului de credite pe sectoare de
activitate şi termene.

Plasamentele în titluri de valoare
Băncile investesc în titluri de valoare, însă numai în acele titluri care oferă un grad ridicat de
siguranţă, în special cele emise de stat şi organele administrative ale statului sau în titluri emise de
instituţii financiare sau companii foarte puternice.
Riscul investiţiilor în titluri de valoare este mai mic decât în cazul creditelor, dar trebuie avut în
vedere că, similar cu plasamentele la bănci, ele nu sunt acoperite cu garanţii. În fapt, atunci când
se achiziţionează titluri de valoare, banca îşi asumă riscul emitentului acestora care conduce la
asumarea unui risc negarantat pe o bancă comercială, bancă centrală sau pe un client nebancar.
Cu toate acestea, riscul pierderii în totalitate a sumelor investite în titluri de valoare este mai mic
decât în cazul creditelor deoarece există întotdeauna o piaţă secundară care permite valorificarea
acestora pentru acoperirea unor nevoi de lichiditate ale băncii sau pentru minimizarea unor
pierderi.
Plasamentele în participaţii
În general, decizia de a plasa fonduri în participaţii la alte societăţi este de natură strategică, pe
termen lung, şi nu se vizează într-o primă fază obţinerea unor venituri imediate, cât pătrunderea
pe anumite pieţe.
Riscul asociat participaţiilor este ca activitatea societăţii unde banca deţine un pachet de acţiuni
să se deterioreze, aceasta neavând capacitatea de a oferi dividende. Mai mult, datorită
pierderilor, valoarea participaţiei se poate eroda. Totodată, prin aceste participaţii, banca obţine
calitatea de acţionar la societatea respectivă, putând să exercite un control intern al activităţii
acesteia şi, deci, să acţioneze în sensul reducerii riscurilor.
Plasamentele în mijloace fixe

Sunt practic inevitabile, iar pentru băncile nou înfiinţate reprezintă, în prima fază, o mare parte a
capitalului social vărsat.
Riscul care ar putea să apară constă în faptul că, în cazul unor strategii greşit alese prin
dezvoltări necontrolate de investiţii în mijloace fixe, se poate ajunge chiar la faliment întrucât
banca nu mai dispune de suficiente fonduri necesare începerii sau derulării operaţiunilor bancare
propriu-zise. În plus, la începutul activităţii sale, o bancă nu beneficiază de linii de finanţare care
să suplinească imobilizarea fondurilor în mijloace fixe.
Riscurile de structură a activelor şi pasivelor şi gestiunea acestora

Fiecare bancă trebuie să deţină o structură a activelor şi pasivelor care să îi asigure venituri mai
mari decât cheltuielile la fondurile atrase, asigurând realizarea unui profit cât mai mare corelat cu
minimizarea factorilor de risc.
Structura activelor şi pasivelor unei bănci este strâns legată de poziţia de lichiditate a băncii,
asigurând o diversificare a activelor şi pasivelor, a duratelor de angajare şi plasare a acestora
precum şi a tipurilor de valută în care acestea sunt exprimate.
Structura plasamentelor
Structura plasamentelor trebuie urmărită permanent pentru a găsi echilibrul necesar obţinerii de
profit. În acest sens, este foarte important ca ponderea activelor aducătoare de venituri să fie cât
mai mare în totalul activelor, şi în acest mod riscul unei activităţi neprofitabile să fie evitat.

Plasamentele sub formă de numerar, în conturile curente sau în depozite pe termen scurt la alte
bănci prezintă un grad de lichiditate mare, dar generează un profit mai scăzut în comparaţie cu
creditele, de exemplu. Investiţiile în titluri de valoare au un grad mediu de lichiditate şi
corespunzător un profit mediu. În acelaşi timp, creditele prezintă un grad scăzut de lichiditate, dar
sunt generatoare de profituri mari.
O structură dezechilibrată a plasamentelor poate expune banca la riscuri, astfel:

 riscul de lichiditate, în cazul în care se plasează în active aducătoare de venituri mari, care
însă sunt imobilizate până la un anumit termen prezentând în plus riscul de a nu mai putea fi
recuperate de la debitori;
 riscul de a nu obţine venituri suficiente pentru a acoperi cheltuielile efectuate cu atragerea
fondurilor, datorat unui exces de active lichide, dar neaducătoare de venituri.
Structura plasamentelor atrase (resurse)

Este un permanent izvor generator de riscuri, în sensul că o structură neadecvată a resurselor
atrase poate cauza probleme de lichiditate. O structură diversificată a resurselor atrase conduce la
dispersia riscului de retragere a acestora şi oferă o marjă de siguranţă băncii în ceea ce priveşte
posibilităţile de procurare a fondurilor.
Astfel, o bancă ce se bazează pe depozite atrase de la un număr mic de clienţi, dar care au o
pondere mare în totalul resurselor atrase, devine dependentă de aceştia. Mai mult, politica de
dobânzi pasive poate fi influenţată negativ de astfel de depunători, iar cheltuielile băncii pot
creşte necontrolat.
Structura pe valute
Structura activelor şi pasivelor pe valute trebuie astfel concepută încât banca să nu fie
semnificativ afectată ca urmare a evoluţiei aleatoare a cursului unei anumite valute. În consecinţă,
structura pe valute devine expresia gestionării riscului valutar.
Riscul valutar reprezintă sensibilitatea situaţiei financiare a băncii faţă de fluctuaţiile viitoare ale
cursului valutar în care sunt exprimate activele şi pasivele sale. O variaţie adversă a cursului
valutar pe piaţă poate duce la diminuarea profitului din operaţiuni bancare sau chiar la pierderi.
Activele şi pasivele externe sunt integrate în bilanţul băncii prin conversie în moneda naţională la
cursul zilei. Variaţia acestui curs poate antrena pierderi sau câştiguri independente de eforturile
băncii sau de calitatea managementului.
Astfel, expunerea potenţială la acest risc depinde de mărimea diferenţei dintre activele şi pasivele
într-o anumită valută. În general, structura pe valute şi termene a plasamentelor trebuie să
urmărească structura pe valute şi termene a resurselor.
În acest sens, băncile ar trebui să evite plasamentele în valute slabe sau în curs de depreciere. De
exemplu, nu este indicat pentru o bancă cu resurse preponderent exprimate în lei să se angajeze în
activităţi de creditare în valută în condiţiile unei tendinţe de devalorizare mare a leului faţă de
celelalte valute.
Structura pe termene
După cum am mai menţionat, în calitatea sa de intermediar financiar, banca realizează
operaţiunea de transformare a scadenţelor prin atragerea de fonduri pe termen scurt şi plasarea

acestora pe termene, de obicei, mai lungi. În consecinţă, banca este pusă în faţa unei situaţii de
lipsă de lichiditate potenţială.
Ca regulă generală, corelarea scadenţelor pasivelor cu cele ale activelor presupune ca termenele
pentru care sunt mobilizate resursele să fie mai mari decât perioada pentru care sunt constituite
plasamentele.
Gestionarea scadenţelor se realizează zilnic prin urmărirea fluxului de disponibilităţi ca intrări şi
ieşiri de fonduri.
Totodată, trebuie avută în vedere menţinerea unui stoc tampon de active lichide pentru a putea
compensa eventuale retrageri neaşteptate ale deponenţilor.
Riscurile de operare şi gestiunea acestora

Aşa cum am mai menţionat, orice operaţiune presupune o serie de riscuri generate de modificarea
structurilor de active şi pasive sau de pierderi de substanţă (nerecuperarea fondurilor). În acelaşi
timp, fiecărei operaţiuni i se poate asocia un risc de operare care este consecinţa unor erori în
activitatea curentă a băncii menite să asigure lichiditatea zilnică (de exemplu: întârzieri în
efectuarea unor operaţiuni de atragere/plasare de fonduri, alimentarea conturilor Nostro).
Riscul de lichiditate
Este cel mai important risc pe care o bancă îl administrează zilnic, şi poate fi definit ca
posibilitatea producerii unui eveniment nefavorabil cauzat de incapacitatea băncii de a face faţă
obligaţiilor sale financiare pe termen scurt la un moment dat.
Riscul de lichiditate este ridicat atunci când banca nu gestionează corect fluxurile de numerar
provenite din utilizarea facilităţilor de credit, nerambursarea la termen a creditelor şi depozitelor
acordate sau retragerile de fonduri coroborate cu imposibilitatea de a avea acces la surse atrase.
În funcţie de resursele pe care le au, băncile pot fi în situaţia de a îşi dori să ofere credite pe
termen lung, pe care să le finanţeze din resurse (depozite) pe termen scurt.
Riscul de lichiditate apare atunci când banca trebuie să facă faţă unor scadenţe diferite între
activele (creditele acordate) şi pasivele proprii (depozitele atrase). Banca se supune de bunăvoie
acestui risc, deoarece ea profită din nivelurile diferite ale dobânzilor, ratele fiind diferite în funcţie
de durata tranzacţiei.
Riscul devine manifest atunci când depozitele ajunse la scadenţă nu sunt prelungite (sau sunt
prelungite pe o altă perioadă decât cea iniţială pe care miza banca). Astfel, se poate ca
rambursarea creditelor să nu acopere diferenţa, banca fiind obligată să acorde dobânzi mai mari,
pentru a atrage noi depozite sau să apeleze la alte variante (ex. să vândă active), pentru a dispune
de lichidităţile necesare a acoperi diferenţele.
Riscul de lichiditate este monitorizat de bănci prin analiza detaliată a scadenţelor activelor şi
pasivelor şi stabilirea acestor scadenţe cu prudenţă. Totodată, ele menţin o pondere a activelor
lichide (de ex.: numerar, disponibilităţi la bancă, titluri de valoare etc.) la dispoziţia lor şi îşi
planifică fluxurile de trezorerie cât mai bine.
Banca Naţională a venit în întâmpinarea activării dezorganizate a acestui risc şi a stabilit nivelul
minim de lichiditate de păstrat de către bănci. Orice scădere sub acest nivel este “amendată” de
către BNR, Direcţia Supraveghere, cel puţin printr-o monitorizare ulterioară mai atentă a

activităţilor. Totodată, BNR a solicitat băncilor să aibă pregătit un plan de lichiditate imediat
posibil a fi pus în aplicare în eventuale situaţii de criză. Această solicitare a pus băncile în situaţia
de a conştientiza anumite probleme cu care s-ar putea confrunta şi mai ales să găsească soluţii
pentru a ieşi optim din asemenea încercări.
Riscul de lichiditate poate fi activat în anumite situaţii, cum ar fi:

 management guvernamental eronat în ceea ce priveşte economia naţională;
 incertitudine economică generală;
 neîncredere în sistemul bancar;
 ofertă redusă (minimă) pentru atragerea de resurse monetare de pe piaţă;
 împrumuturi pe termen scurt sau pe termen lung în exces.
Pot fi contracarate efectele factorilor menţionaţi prin:

 creşterea şi diversificarea surselor de constituire a depozitelor;
 creşterea aportului firmelor finanţatoare;
 managementul scadenţelor activelor şi pasivelor;
 acordarea de credite plecând de la depozitele atrase.
Pentru acoperirea nevoilor de lichiditate se pot folosi atât active cât şi pasive. Sursa tradiţională
de lichiditate o reprezintă activele lichide, în sensul transformării rapide a acestora (atunci când
este posibil) şi cu o cheltuială minimă în bani lichizi (numerar sau disponibil în contul curent).
Riscul de numerar
Riscul de numerar pentru o bancă înseamnă posibilitatea de a înregistra pierderi potenţiale ca
urmare a:
 păstrării în casierie a unei cantităţi de numerar mai mare decât cel necesar derulării
operaţiunilor zilnice;
 neprogramării corespunzătoare a alimentării cu numerar.
Riscul de descoperit de cont

Descoperitul de cont curent (Nostro) este, de regulă, efectul unei activităţi defectuoase la nivelul
trezoreriei, în sensul că poziţia Nostro a băncii nu este monitorizată corespunzător sau
instrucţiunile de acoperire a soldurilor debitoare s-au executat cu întârziere.
În aceste cazuri, cheltuielile băncii cresc ca urmare a eforturilor considerabile de a mobiliza pe
termen scurt resurse necesare acoperirii lipsei de disponibilităţi în aceste conturi sau a plăţii unor
dobânzi penalizatoare. În afara acestor cheltuieli sporite, apariţia repetată a situaţiei de descoperit
de cont poate crea deteriorări majore a “bonităţii” băncii în sensul că descoperitul de cont repetat
poate fi interpretat de către banca în evidenţele căreia este deschis contul ca primul semnal al unei
“jene financiare”.
Riscul tehnic
Având în vedere că majoritatea tranzacţiilor care se referă la administrarea activelor şi pasivelor
sunt de valori mari şi necesită efectuarea fără întârziere a operaţiunilor, executarea acestora atrage
după sine aşa numitul risc tehnic. Se are în vedere că nefuncţionarea unor sisteme informatice şi
de telecomunicaţie sau de genul SWIFT, REUTERS, telex, poate crea situaţii insurmontabile
pentru o bancă.

Astfel de situaţii pot fi depăşite prin asigurarea unor sisteme de securitate suplimentară, cum ar fi
linii de comunicaţie duble, echipamente de rezervă (“hot-back”).
RISCUL DE ŢARĂ
Pe lângă toate riscurile prezentate anterior, un tip specific de risc care trebuie luat în considerare,
impus de operaţiuni financiar-bancare (credite, garanţii, asigurări) cu parteneri de peste frontieră
constă în probabilitatea nerecuperării creanţelor de către banca creditoare. Este vorba despre
riscul de ţară. Având în vedere complexitatea acestuia, organismele internaţionale de analiză şi
evaluare (agenţiile de evaluare) acordă o importanţă deosebită acestuia, iar rezultatele analizelor
influenţează hotărâtor în procesul de finanţare al ţărilor care au nevoie de acest ajutor.
Nu trebuie confundat riscul de ţară cu riscul de credit, ele fiind fundamental diferite în ceea ce
priveşte cel puţin motivele pentru care cel împrumutat nu poate rambursa la timp. În primul caz,
motivul poate fi declanşarea unui război civil sau schimbării bruşte de regim, a unor tulburări
sociale, sau catastrofe naturale. În al doilea caz, rambursarea este din cauza debitorului, fiind doar
rezultatul degradării situaţiei sale financiare.
Unul din factorii riscului de ţară este riscul politic (suveran). Instabilitatea politică a unui stat,
după amploarea sa, provoacă situaţii cu diverse grade de gravitate pentru creditor. Creanţele
deţinute în aceste ţări instabile politic au grad mare de risc, care culminează cu anularea datoriilor
faţă de străinătate de către ţara respectivă.
Odată identificate riscurile şi metodele de monitorizare a lor, adică acel sistem de controale
interne prin care managementul beneficiază la timp şi complet de imaginea de ansamblu a
situaţiei pe care trebuie să o considere când ia decizii operaţionale, intervine rolul auditului.
Auditul intern prin metodele sale de monitorizare, aduce confirmare managementului că ce a
decis el este pus în practică corect şi la timp.
4.4. ANALIZA RISCULUI BANCAR – METODĂ DE AUDIT

Pentru a putea fi analizat, riscul trebuie precis definit, el fiind de fapt o diferenţă faţă de o stare
normală sau ideală şi care poate avea consecinţe reale sau potenţiale. Un risc nu se defineşte doar
printr-o situaţie observată sau judecată superficial. Trebuie clarificat cu precizie nivelul situaţiei
normale (ideale) şi pe de altă parte, posibilitatea de a avea colectate fapte indiscutabile, care pot fi
interogate iterativ asupra cauzelor şi a consecinţelor acestora, pentru ca în final să putem avea o
propunere de soluţie de rezolvare.
Odată definit riscul, toate informaţiilor aferente fiecărei etape din viaţa unui risc sunt organizate,
pentru ca acestea să fie analizate cât mai detaliat. Această etapă este esenţială, deoarece pe baza
rezultatelor analizei se vor propune şi se vor concretiza acele metode considerate a fi optime
pentru o monitorizare adecvată a riscurilor respective. Dacă această analiză nu este efectuată de
persoane avizate, când şi cum trebuie, orice metode ulterioare, oricât de sofisticate, nu vor putea
să contracareze eventualele consecinţe. Deoarece un risc neidentificat, sau identificat
necorespunzător, se va manifesta cu siguranţă, orice breşă va deveni activă, iar acoperirea
consecinţelor va costa mai mult decât prevenirea riscurilor respective.
De aceea, auditorii îşi îmbunătăţesc permanent metodele de apreciere a riscurilor şi a

controalelor interne aferente.

Analiza fiecărui risc presupune parcurgerea anumitor etape, pe care le prezentăm în continuare.
Pentru o evaluare eficientă a analizei unui risc, considerăm cel mai eficient ca rezultatele să fie
prezentate într-o formă sintetică, de document numită ‘Fişa riscului’.
O fişă de risc se nominalizează în funcţie de metodologia de rezolvare a problemelor şi conţine un

anumit număr de informaţii necesare pentru tratarea problemelor specificate.
Orice fişă de risc trebuie să conţină cel puţin următoarele:
 misiunea;
 auditorul;
 tipul de risc;
 cauzele explicate;
 consecinţe reale/potenţiale;
 semnăturile celor ce au participat la definirea riscului (şef misiune, auditor, responsabil
domeniu audiat).
Fişa de risc poate fi un instrument metodologic important deoarece:
- sintetizează toate informaţiile privind riscul, deci acestea trebuie să fie complete, ceea ce
obligă auditorul să analizeze informaţiile preluate metodic şi riguros;
- facilitează identificarea riscurilor
- permite validarea riscurilor şi a recomandărilor de către persoanele auditare, înainte de a
redacta raportul de audit;
- ajută şi uşurează asamblarea informaţiei cu ocazia redactării raportului de audit şi al
raportului de sinteză.
În analiza oricărui risc sunt parcurse în principiu următoarele faze, iar rezultatele fiecărei etape
determină modalitatea de abordare a fazei următoare, ca întindere, profunzime, resurse alocate
etc.:
1. Identificarea riscurilor: fiecărei activităţi îi sunt specifice anumite riscuri, care desigur
ca sunt completate cu riscurile generale, identificate în fiecare activitate. O bancă trebuie să
identifice riscurile cu care se confruntă, pentru a găsi în timp real metode de a le acoperi sau
măcar de a le diminua. Prezentăm mai jos riscurile cu care se confruntă sistemul bancar, atât în
general cât şi în particular, precum şi o analiză a fiecărui tip de risc. Prezentarea cuprinde tipul de
risc, definirea acestuia, pentru a fi clară aria de cuprindere, apoi pe baza unei situaţii cu care s-ar
putea întâlni o bancă, analizăm fiecare risc prin stabilirea cauzelor, a consecinţelor, dar mai ales a
recomandărilor pentru depăşirea eventualelor probleme.
2. Identificarea cauzelor: reprezintă efortul depus pentru a identifica fiecare punct slab,
originea şi tipul erorii de la care s-a pornit. Fiecare punct slab este determinat de mai multe cauze,
aparente sau profunde, care necesită fiecare un efort special de identificare.
3. Stabilirea arborelui cauzelor: adică identificarea punctului slab şi detalierea condiţiilor

de apariţie a acestuia: cine, ce, unde, când, cum, cât etc.
4. Stabilirea fişei riscului: Riscul este o situaţie care prezintă o diferenţă faţă de o stare
normală (o normă) sau o stare ideală şi care poate avea consecinţe reale sau potenţiale. El trebuie
definit cu precizie, pentru a putea fi normalizat. Pentru fiecare risc se poate întocmi o fişă, care
conţine un număr de informaţii necesare pentru tratarea problemelor identificate şi ar trebui
nominalizată în funcţie de metodologia aleasă pentru rezolvarea problemei respective.
Fişa riscului sintetizează informaţiile privind riscul, informaţii pe care apoi auditorul le
analizează. Aceasta permite identificarea riscurilor adevărate, precum şi validarea riscurilor de
către persoanele auditate.

5. Evaluarea consecinţelor: reprezintă precizarea consecinţelor în termeni de risc real sau
potenţial, funcţie de fiecare punct slab identificat. În acest punct al analizei ar trebui întocmită o
listă de riscuri, aceasta putând fi utilizată şi ca un memo al unei misiuni de audit.
6. Întocmirea arborelui consecinţelor: această etapă permite cercetarea efectelor unui

punct slab, mergând de la specificul general spre unitatea de consecinţe. Mai multe puncte slabe
au acelaşi efect şi un punct elementar poate avea efecte diferite. În consecinţă, pentru a realiza un
arbore al consecinţelor complet, se cere ca fiecare consecinţă identificată să arate ce anume
antrenează la rândul ei. Se impune astfel utilizarea listei riscurilor bancare şi clasice cu care se
poate confrunta o bancă şi reprezentarea separată a nivelurilor acestor riscuri. Urmează apoi
interogarea tuturor consecinţelor în care se cuprind respectivele riscuri şi la care auditorul poate
nu se gândeşte imediat.
7. Recomandări: A face recomandări înseamnă a identifica pentru fiecare punct slab

acţiunile care vor putea anula problema. Acestea nu vor putea depăşi linia reglementărilor şi a
legislaţiei, care vor trebui obligatoriu respectate. Recomandările permit îmbunătăţirea
performanţei domeniului ce este audiat, şi, în special, stăpânirea riscurilor inerente ale activităţii
din domeniu. Acestea depind de libertatea de a schimba domeniul, precum şi de credibilitatea
direcţiei de control şi de audit.
Pentru aplicarea rezultatelor analizei riscurilor se pot utiliza două metode:
- planning simplu, unde este prezentată scadenţa dorită pentru utilizarea recomandărilor;
- metoda literară, prin utilizarea foilor de angajament şi urmărire, unde sunt descrise în cuvinte,
importanţa şi urgenţa diferitelor recomandări.
8. Urmărirea îndeplinirii aplicării recomandărilor: constă în controlul realizărilor în

conformitate cu foile de angajament şi urmărire, conform recomandărilor făcute de auditori şi
validate de persoanele auditate. Auditorul urmăreşte la termenele negociate/stabilite, cu ocazia
şedinţelor de validare, rezultatele obţinute privind înlăturarea punctelor slabe şi a modului în care
s-au aplicat recomandările. Această fază este deosebit de importantă, deoarece în cazul în care
auditorii nu urmăresc angajamentele, se favorizează neinstrumentarea recomandărilor făcute.
Direcţia de audit intern trebuie să asigure o urmărire riguroasă a îndeplinirii recomandărilor
formulate.
Aceasta deoarece, managementul poate face o analiză detaliată a oportunităţii şi corectitudinii
deciziilor pe care le-a luat numai dacă ştie că ceea ce a decis a fost dus la îndeplinire şi mai mult,
dacă ştie care sunt efectele acelor decizii.
4.5. AUDITUL RISCURILOR BANCARE

Evenimentele generatoare de riscuri sunt produse ca urmare a influenţelor diverşilor factori,
interni (natura activităţii bancare, structura organizatorică, factorul uman, schimbări la nivelul
organizaţiei, desfăşurarea activităţii interne neadecvat, etc.), şi externi (condiţii economice,
schimbări în mediul bancar, schimbări de legislaţie, tehnologie, fiscalitate, concurenţă, etc.),
factori care pot afecta îndeplinirea obiectivelor băncii.
Fiecare entitate bancară trebuie să îşi stabilească un cadru eficient şi unitar pentru procesele de
identificare, notificare, analiză şi monitorizare a evenimentelor de risc la nivelul unităţilor
operative, pentru ca apoi acestea (riscurile) să fie administrate la nivel centralizat. Tipurile de
riscuri se pot manifesta în oricare din activităţile desfăşurate de către entităţile funcţionale ale
băncii.

Procesul de identificare a riscurilor include identificarea atât a riscurilor care sunt controlabile de
către bancă (pentru care banca stabileşte dacă îşi asumă aceste riscuri sau măsura în care doreşte
să le reducă prin proceduri de control), dar şi a celor necontrolabile (pentru care banca va decide
dacă le acceptă sau dacă le elimină sau reduce nivelul activităţilor afectate de riscurile respective).
Periodic, banca efectuează sistematic o evaluare a riscurilor semnificative, evaluare care ţine cont
şi de implicaţiile corelării fiecărui risc semnificativ cu celelalte riscuri la care este expusă banca,
precum şi de previzionările anumitor indicatori, pe baza unor scenarii, inclusiv în condiţii de
criză.
Pentru administrarea corespunzătoare a riscurilor, fiecare bancă îşi construieşte propriul sistem
de măsuri, printre care:
 sisteme de proceduri de autorizare a operaţiunilor afectate de riscurile respective;
 sisteme de stabilire a limitelor de expunere la risc şi de monitorizare a acestora ;
 sisteme de raportare a expunerilor la risc;
 sisteme de proceduri pentru situaţii neprevăzute;
 sisteme de proceduri care să prevină utilizări necorespunzătoare a anumitor informaţii;
 programe pentru personal (recrutare, remunerare, instruire).
Dacă identificarea riscurilor, evaluarea şi monitorizarea lor sunt responsabilitatea

managementului băncii, este responsabilitatea auditului să îşi exprime opinia referitor la modul
de îndeplinire a fiecărei responsabilităţi şi în plus, să facă propuneri/recomandări pentru
corectarea fiecărei deficienţe constatate.
Analiza consecinţelor manifestării unui risc permite prioritizarea acestora în funcţie de

amplitudinea cantitativă a eventualelor pierderi ce pot fi generate, dar şi în funcţie de posibilităţile
de remediere a consecinţelor respective.
Cauzele cele mai des întâlnite care generează producerea unui risc sunt:
- decizii operaţionale incorecte (ex. cotaţii neadecvate);
- nerespectarea procedurilor interne aprobate;
- neaplicarea controalelor interne stabilite;
- nerespectarea măsurilor de securitate impuse;
- nesegregarea sau segregarea necorespunzătoare a responsabilităţilor;
- analize insuficiente înainte de luarea unei anumite decizii (ex. înainte de lansarea unui anumit
produs, pe o anumită piaţă etc.);
- nerespectarea anumitor principii deontologice.
Consecinţa cea mai importantă este pierderea financiară, ca eveniment final al împlinirii
fiecărui risc. De fapt, orice risc nemonitorizat corespunzător conduce în final la rezultate
financiare diminuate semnificativ.
Recomandările pentru fiecare din riscurile prezentate pot fi sintetizate ca mai jos, cu menţiunea
că acestea sunt de fapt ajustări ale acţiunilor practicate operativ de bănci, la sistemul optim de
monitorizare a riscurilor pe care fiecare echipă de management se străduieşte să îl implementeze:
- stabilirea de comitete de monitorizare a riscurilor. Această recomandare este făcută pentru
fiecare risc menţionat, deoarece considerăm că prin aceste comitete sunt analizate toate
evenimentele unei anumite activităţi, şi orice deviere de la un standard stabilit este imediat
monitorizat;

- stabilirea de limite pentru tranzacţii, adică limite de autorizare operaţiuni pentru fiecare nivel
(salariat, şef serviciu, director etc.), pentru fiecare tip de tranzacţie, valute etc. Urmărirea
încadrării în aceste limite este uşor de făcut prin diverse rapoarte de excepţii de la reguli
impuse, unde fiecare excepţie trebuie să fie justificată ;
- reglementarea acelor activităţi care nu au fost incluse în nici o normă sau procedură internă.
Auditul managementului riscurilor este partea esenţială a oricărei misiuni de audit, deoarece în
funcţie de rezultatele acestei analize se va construi întreaga metodologie de audit ulterioară.
Concluzia este că “riscul este un însoţitor permanent al activităţii bancare”.
Riscurile există în activitatea oricărui compartiment bancar însă foarte importantă este aprecierea
lor corectă în funcţie de locul acestora în cadrul ansamblurilor de riscuri.
Ca urmare, acestea trebuie permanent identificate şi evaluate, astfel încât în orice moment al
activităţii bancare să existe o imagine reală a situaţiei, pentru a se putea acţiona în consecinţă.
Un alt aspect este faptul că permanent apar şi pot apare noi riscuri generate de activităţi şi noi
strategii bancare, care uneori nu au un precedent pentru a putea fi imediat identificate şi
prevenite, deci, permanent apar alte metode şi tehnici de identificare şi apreciere a acestora.
Procesul de adecvare a capitalului la riscuri (ICAAP) este de asteptat să fie revizuit periodic de
catre structuri independente care sa asigure ca:
 Riscurile identificate acoperă și sunt proporționale cu scala, diversitatea și complexitatea
activităților băncii
 Valoarea, tipul și alocarea fondurilor proprii este adecvată pentru expunerea la risc a
băncii
 Procesele interne componente ale ICAAP sunt derulate într-un mod adecvat și eficient
Atribuțiile standard ale auditului intern în procesul de adecvare a capitalului la riscuri sunt:
- Evaluarea proceselor interne componente ale ICAPP în vederea emiterii unei opinii cu
privire la adecvarea și eficiența acestuia;
- Abordare extinsa, în cazul în care structura de audit intern are capacitatea și resursele
necesare pentru a emite opinii cu privire la riscurile identificate și adecvarea fondurilor
proprii.
Procesul de adecvare a capitalului la riscuri (ICAAP) reprezintă setul de strategii și procese

solide, eficiente și complete care permite unei bănci să evalueze și să mențină în mod continuu
nivelurile, tipurile și distribuția capitalurilor proprii adecvate nivelurilor estimate pentru riscurile
la care poate fi expusă banca.

Linii directoare privind guvernanța internă în cadrul ICAAP:
• IG 1: Instituțiile trebuie să aibă o structură organizațională care este transparentă și
stabilită într-un mod care să promoveze și să demonstreze un management eficient și
prundent al instituției atât la nivel individual cât și la nivel de grup;
• IG 2: Liniile de raportare și alocarea responsabilităților și a autorității în cadrul instituției
trebuie să fie clare, precise și bine definite, transparente, coerente și consolidate;
• IG 3: Instituțiile trebuie să organizeze funcțiunea de management a riscului în direcția
facilitării implementării politicilor de risc și de management al riscurilor instituției;
• IG 4: Responsabilitățile organului de conducere trebuie să fie clar definite într-un
document scris. Acestea trebuie să includă definirea obiectivelor de afaceri, strategiile de
risc și profilul de risc și să adopte politicile necesare pentru atingerea acestor obiective.
• IG 5: Organul de conducere trebuie să asigure comunicarea strategiilor și politicilor către
întreg personalul relevant din cadrul organizației;
• IG 6: Organul de conducere trebuie să revizuiască periodic și sistematic strategiile și
politicile pentru administrarea riscurilor instituției;
• IG 7: Organul de conducere trebuie să dezvolte și să mențină sisteme de control robuste și
eficiente;
• IG 8: Organul de conducere trebuie să asigure faptul că sistemele de control intern conferă
segregarea atribuțiilor, în vederea prevenirii conflictelor de interes;

• IG 9: Organul de conducere trebuie să stabilească strategii și politici eficiente în vederea
menținerii continue a valorilor, tipurilor și distribuției capitalului intern și a fondurilor
proprii într-un mod adecvat acoperirii riscurilor institutiei;
• IG 10: Organul de conducere trebuie să monitorizeze și să evalueze periodic eficacitatea
structurii organizatorice a institutiei.
• IG 11: Organul de conducere trebuie să fie activ și independent și trebuie să fie capabil să
explice deciziile sale autorității de supraveghere sau altor părți interesate (și abilitate să fie
informate);
• IG 12: Organul de conducere trebuie să aibă politici pentru selectarea, remunerarea,
monitorizarea și planificarea succesiunii personalului cheie;
• IG 13: Organul de conducere trebuie să promoveze standarde etice și profesionale înalte și
o cultură a controlului intern;
• IG 14: Instituțiile trebuie să asigure existența, aplicând o alocare adecvată pe principiul
proportionalității, a următoarelor trei funcțiuni primare în vederea implementării unui
sistem de control intern eficient și cuprinzător în toate ariile de activitate ale instituției:
• (i) funcțiunea de control a riscului,
• (ii) funcțiunea conformitate,
• (iii) funcțiunea audit intern.
• IG 15: Funcțiunea de control a riscului trebuie să asigure conformitatea cu politicile de
risc;
• IG 16: Funcțiunea conformitate trebuie să asigure identificarea și evaluarea riscului de
conformitate;
• IG 17: Funcțiunea audit intern trebuie să permită structurii de conducere să asigure
calitatea unor controale interne care să fie efective și eficiente;
• IG 18: Trebuie să fie implementate sisteme de control și sisteme informaționale capabile
să acopere toate activitățile semnificative ale institutiei;
• IG 19: Organul de conducere trebuie să implementeze proceduri interne de alertare pentru
comunicarea din partea angajaților a “îngrijorărilor” privind guvernanța internă;
• IG 20: Instituțiile trebuie să aplice cerințele generale agreate de transparența în conducerea
afacerilor;
• IG 21: Fiecare instituție trebuie să prezinte poziția curentă și viitoarele estimări într-un
mod echilibrat, precis și oportun.
Riscul de credit: riscul curent sau viitor asupra veniturilor sau capitalului provenit din
incapacitatea debitorilor de a-și respecta termenii contractuali față de instituție (risc de
nerambursare). Acest risc include riscul rezidual, riscul de credit în securitizare și riscul de
transfer (crossborder sau transfer risk).
 Riscul de concentrare: ca parte a riscului de credit, riscul de concentrare include:

 expuneri mari (individuale sau conexate) și
 expuneri semnificative față de grupuri de contrapartide a căror eventualitate de default
este condusă de factori comuni (sector, economie, locație geografică, tip de instrument
financiar).
 Riscul rezidual: subcategorie a riscului de credit: riscul prin care se recunoaște

posibilitatea ca tehnicile de măsurare și mitigare a riscului de credit să fie mai puțin
eficiente decât așteptările.
Riscul de piață: riscul curent sau viitor asupra veniturilor sau capitalului provenit din mutări
adverse în preturile obligațiunilor, acțiunilor sau prețurilor bunurilor sau a ratelor de schimb
aferente portofoliului de tranzacționare. Acest risc poate aparea din formarea pieței,
tranzacționare, luare de poziții în obligațiuni, acțiuni, mărfuri sau derivative. Acest risc include

riscul valutar, definit ca riscul curent sau viitor asupra veniturilor sau capitalului provenit din
mișcări adverse ale ratelor de schimb.
Risc operațional: riscul de pierderi provenite din evenimente ce țin de procese, sisteme
inadecvate sau erori ale acestora, inclusiv erori ale personalului. Acest risc include riscurile IT,
legal și de conformitate.
 Riscul legal și de conformitate: subcategorie a riscului operațional: riscul curent sau

viitor asupra veniturilor sau capitalului provenit din nerespectarea sau neconformitatea cu
legile, regulile, regulamentele, bunele practici sau standardelor etice.
 Riscul IT: subcategorie a riscului operational: riscul curent sau viitor asupra veniturilor
sau capitalului provenit din tehnologia informatica și procesarea inadecvată din punct de
vedere al manevrabilității, exclusivității, integrității, controlului și a integrității sau
continuității, sau provenite din strategii și politici IT inadecvate sau din utilizarea
neadecvată a sistemelor IT ale instituției.
Riscul de lichiditate: riscul curent sau viitor asupra veniturilor sau capitalului provenit din
incapacitatea instituției de a plăti la scadență datoriile contractate.
Riscul de rata a dobânzii: riscul curent sau viitor asupra veniturilor sau capitalului provenit din
mutări adverse ale ratelor de dobândă.
Riscul de decontare: riscul ca o instituție de credit să livreze un activ vândut sau numerar în
schimbul unui activ cumpărat fără să încaseze numerarul aferent activului vândut sau să
primească activul cumpărat. Riscul de decontare cuprinde și risc de credit și risc de decontare.
Risc reputațional: riscul curent sau viitor asupra veniturilor sau capitalului provenit dintr-o
percepție adversă asupra imaginii instituției financiare din partea clienților, contrapartidelor,
acționarilor, investitorilor, reglementatorilor de piață.
Riscul strategic: riscul curent sau viitor asupra veniturilor sau capitalului provenit din
schimbările mediului de afaceri sau din decizii de afaceri adverse, implementate neadecvat sau
din lipsa deciziilor care să raspundă unor schimbări ale mediului de afaceri.
Riscurile afacerii: reprezintă toate celelalte riscuri în afara de riscul de credit, riscul de piață,
riscul de rată a dobânzii, riscul de lichiditate, riscul operațional, riscul strategic și riscul
reputațional.
Viziunea BASEL III asupra riscurilor și încadrarea riscurilor în piloni:

Guvernanța internă și riscurile aferente:
Componentele procesului de adecvare a capitalului la riscuri sunt:

1. Identificarea riscurilor:
- Strategia de risc
- Profilul de risc
- Analiza produselor și serviciilor oferite precum și a proceselor interne
2. Măsurarea riscurilor
- Stabilirea de algoritmi de măsurare și cuantificare a riscurilor identificate
- Realizarea periodică a cuantificării riscurilor identificate
3. Determinarea cerinței de capital

- Stabilirea modelelor care stau la baza alocării de capital pentru riscurile identificate și
cuantificate
- Calculul cerinței de capital
4. Teste de stres
- Identificarea și stabilirea ipotezelor pentru testele de stres
- Derularea testelor de stres în vederea determinării posibilelor cerințe suplimentare de
capital
5. Consolidarea rezultatelor
- Cerințele de capital reglementate + cerințele de capital suplimentare identificate
6. Procesul de autoevaluare
- Autoevaluarea anuală a structurilor și proceselor băncii în vederea determinării, identificării,
alocării corecte a riscurilor precum și pentru conștientizarea acestora în vederea implementării
soluțiilor de mitigare a riscurilor
7. ICAAP Book
- Document annual prin care este prezentat întreg procesul de adecvare a capitalului la riscuri.
ELEMENTE ESENŢIALE PENTRU STUDIU

 să cunoaşteţi importanţa gestionării riscurilor bancare din perspectiva auditului;
 să ştiţi care sunt riscurile bancare;
 să prezentaţi analiza riscului bancar - metodă de audit.
ÎNTREBĂRI DE AUTOEVALUARE
Întrebările care urmează vă dau posibilitatea să verificaţi înţelegerea materialului din acest
capitol.. După ce aţi răspuns la toate întrebările, comparaţi răspunsurile dvs. Cu răspunsurile
din model de la sfârşitul capitolului. Dacă aveţi neclarităţi, revedeţi materialul relevant din
acest capitol sau cereţi ajutorul tutorului/expertului dvs.
1. Care este definiţia standard a riscului?
2. Care este sistemul de măsuri pe care fiecare bancă îl construieşte pentru administrarea
corespunzătoare a riscurilor?
3. Care sunt cauzele cele mai des întâlnite care generează producerea unui risc?
RECAPITULARE
După ce aţi terminat de studiat acest capitol, reflectaţi câteva momente asupra obiectivelor
procesului de studiu. Răspunsul la întrebările de autoevaluare ar trebui să vă arate cât aţi reuşit să
învăţaţi. Dacă nu sunteţi siguri că aţi realizat obiectivele procesului de studiu, este util să recitiţi
părţile relevante din acest capitol, înainte de a studia mai departe. După ce aţi revăzut obiectivele
de studiu şi consideraţi că vi le-aţi însuşit, ar trebui să acordaţi câteva minute recitirii materialului,
pentru a aprofunda înţelegerea lui. De asemenea, ar fi util să revizuiţi răspunsurile pentru
întrebările de autoevaluare. Aceasta vă va ajuta la recapitularea pentru examen.

RĂSPUNSURI MODEL LA ÎNTREBĂRILE DE AUTOEVALUARE (capitolul 4)
1. Definiţia standard a riscului este aceea că el “reprezintă probabilitatea producerii unui

eveniment cu rezultate adverse pentru subiect.” În acelaşi context, prin expunere la risc se
înţelege valoarea actuală a tuturor pierderilor sau cheltuielilor suplimentare pe care le suportă sau
pe care le-ar putea suporta instituţia financiară în cauză.
2. Pentru administrarea corespunzătoare a riscurilor, fiecare bancă îşi construieşte propriul sistem
de măsuri, printre care:
- sisteme de proceduri de autorizare a operaţiunilor afectate de riscurile respective;
- sisteme de stabilire a limitelor de expunere la risc şi de monitorizare a acestora ;
- sisteme de raportare a expunerilor la risc;
- sisteme de proceduri pentru situaţii neprevăzute;
- sisteme de proceduri care să prevină utilizări necorespunzătoare a anumitor informaţii;
- programe pentru personal (recrutare, remunerare, instruire).
3. Cauzele cele mai des întâlnite care generează producerea unui risc sunt:
- decizii operaţionale incorecte (ex. cotaţii neadecvate);
- nerespectarea procedurilor interne aprobate;
- neaplicarea controalelor interne stabilite ;
- nerespectarea măsurilor de securitate impuse;
- nesegregarea sau segregarea necorespunzătoare a responsabilităţilor;
- analize insuficiente înainte de luarea unei anumite decizii (ex., înainte de lansarea unui anumit
produs, pe o anumită piaţă, etc.);
- nerespectarea anumitor principii deontologice.

5. STRUCTURA UNEI MISIUNI DE AUDIT
INTRODUCERE
Acest capitol vă va familiariza cu planificarea misiunii de audit, realizarea auditului şi revizia
rezultatelor misiunii de audit.

 să înţelegeţi planificarea misiunii de audit,
 să cunoaşteţi realizarea auditului,
 să înţelegeţi revizia rezultatelor misiunii de audit.
Misiunea de audit este parte a unui plan de audit elaborat si aprobat de către Comitetul de Audit.
Planul de audit se elaborează pe o perioadă de timp în general de până la 3 ani, cu defalcare

anuală a misiunilor de audit.
Planul are la bază analize de prioritizare a zonelor de audit, a activităţilor, în funcţie de resursele
disponibile.
Coordonatorul activităţii de audit trebuie să asigure respectarea unui ciclu de audit pentru fiecare
structură/unitate auditată prin realizarea cel puţin a unui audit în intervalul maxim de timp pentru
a asigura continuitatea şi eficienţa misiunilor de audit.
Planul anual de audit trebuie sa ia in considerare si următoarele:

 instrucţiuni sau cerinţe ale conducerii;
 misiuni de audit statutare solicitate de cadrul de reglementare;
 dezvoltări neaşteptate în mediul economic general.
Resursele umane necesare pentru îndeplinirea planului de audit şi timpul alocat sunt determinate
anual.
Misiunile de audit sunt planificate în zonele în care sunt identificate cele mai importante
slăbiciuni în sistemul de controale interne, în conformitate cu metodologia relevantă, în baza
analizelor rezultatelor misiunilor precedente şi/sau ale monitorizării permanente a rezultatelor.
Planul departamentului de audit trebuie sa fie realist: de exemplu trebuie să cuprindă un buget de
timp pentru alte sarcini şi activităţi cum ar fi examinări specifice, formulare de opinii şi training.
Planul include o menţionare detaliată a resurselor necesare în ceea ce priveşte resursele umane şi
alte resurse. Referitor la resursele umane trebuie luat în considerare nu numai numărul, dar şi
competenţa profesională a acestora. Planul de audit trebuie revizuit periodic şi actualizat ori de
cate ori este necesar.
Planul de audit trebuie aprobat de către Comitetul de Audit şi de către Consiliul de Administraţie,
structuri care monitorizează permanent realizarea planului.

5.1. PLANIFICAREA MISIUNII DE AUDIT
Conducerea departamentului de audit intern elaborează un plan pentru toate sarcinile care trebuie
realizate în cadrul misiunii respective.
Planificarea misiunii se face prin identificarea şi evaluarea iniţială a riscurilor asociate

activităţilor ce vor fi auditate. Conducerea departamentului de audit intern trebuie să stabilească,
în scris, principiile metodologiei de evaluare a riscurilor şi să le actualizeze în mod regulat astfel
încât acestea să reflecte schimbările sistemului de control intern sau a procesului de lucru, și să
încorporeze noile segmente de activităţi (business lines).
Selecţia echipei de audit
Selecţia echipei de audit este realizată în funcţie de cunoştinţele, capacităţile şi calificările

auditorilor.
Pentru fiecare misiune de audit este desemnat un Şef de misiune de audit, care are şi următoarele
responsabilităţi:
- Planificarea auditului
- Coordonarea şi instruirea auditorilor
- Revizuirea muncii de audit.
Pentru a asigura independenţa şi obiectivitatea pentru fiecare proiect de audit, auditorii nu trebuie
să aibă rude apropiate şi nu trebuie să fi lucrat în zona de auditat în ultimul an. Totodată, acelaşi
auditor nu poate audita aceeaşi zonă de audit în mod consecutiv. Componența echipelor de audit
este schimbată, pe cât posibil, la fiecare misiune.
Analiza activităţii ce urmează a fi auditată
Auditorii trebuie să se instruiască, să colecteze şi să revizuiască toate informaţiile necesare care

sunt relevante pentru aria de aplicabilitate a auditului.
Principalele surse de informare sunt:

 Rapoartele de audit anterioare
 Regulamentele interne
 Manualele de proceduri interne
 Cerinţele de reglementare
 Rapoartele contabile
 Rapoartele auditorilor externi şi autorităţilor de reglementare
 Rapoarte generate de aplicaţiile informatice
Pregătirea paşilor de audit
În urma analizei activităţii ce urmează a fi auditată, Șeful misiunii de audit defineşte paşii de audit
de urmat de către membrii echipei, asigurându-se pe tot parcursul misiunii de documentarea
corespunzătoare a rezultatelor muncii de audit.

5.2. REALIZAREA AUDITULUI
Şedinţa de deschidere
La începutul oricărei misiuni de audit general, se organizează o şedinţă cu managementul unităţii

auditate, în care este prezentată echipa de audit, aria de aplicabilitate a auditului, documentaţia
necesară şi durata auditului. Şedinţa are şi un scop informativ, deoarece auditorii trebuie să
înţeleagă în profunzime natura activităţilor pe care le vor audita (de exemplu, obiectivele de
afaceri, operaţiunile, procesele şi riscurile relevante, informaţii despre incidente grave, proiecte
critice în curs de dezvoltare, etc.).
Documentarea
Etapa de documentare constă în colectarea sistematică a datelor, analiza lor şi evaluarea în

legătură cu scopul auditului şi formarea unei opinii despre eficacitatea şi eficienţa sistemului de
controale interne.
Documentarea se realizează prin:

 Interviuri cu personalul unităţii auditate pentru a cunoaşte punctele slabe în procesarea şi
supravegherea sarcinilor realizate, cunoştinţele personalului, probleme speciale în derulare
care trebuie investigate, probleme operaţionale, productivitatea şi securitatea sistemelor de
informare, etc. Interviuri au loc cu personalul de la toate nivelele în funcţie de nevoile de
audit.
 Selecţia şi analiza eşantionului în funcţie de criteriile specificate.
 Revizuirea documentelor cu privire la modul de operare a unităţii auditate
 Revizia procedurilor cu privire la aplicaţiile informatice, sisteme, proceduri cu privire la
supraveghere şi monitorizare.
Evaluarea rezultatelor obţinute in urma misiunii de audit
Toate rezultatele obţinute în urma misiunii de audit sunt evaluate în termeni de importanţă.
Evaluarea rezultatelor este bazată pe estimarea impactului. Pe baza numărului şi importanţei
deficienţelor în termeni de risc, este realizată o evaluare globală a sistemului de controale interne.
Documentarea misiunii de audit
Documentarea paşilor de audit se realizează prin colectarea de documente suport pentru a susţine
rezultatele testelor şi recomandările auditului. Rezultatele auditului sunt documentate prin datele
înregistrate în sistem de către auditor (descrierea eşantionului), fişele revizuite şi alte documente
care au fost luate în considerare, testele de detaliu şi de control efectuate).
Foile de lucru sunt întocmite şi trebuie documentate corespunzător pentru a:

(a) fi baza în planificarea şi evaluarea performantei auditului;
(b) asigura procesul de control şi revizuirea muncii de audit;
(c) înregistra evidenţele de audit rezultate în timpul misiunii de audit, documentând opinia
auditorului.

Setul complet de documente de audit este arhivat în Dosarul de audit.
Şedinţa de final
La sfârşitul misiunii de audit, are loc o şedinţă de final cu managementul unităţii auditate.
Scopul şedinţei trebuie să asigure:

 Prezentarea şi discutarea rezultatelor auditului.
 Furnizarea de explicaţii despre rezultatele şi recomandările auditului.
 Actualizarea auditorului despre deficienţele deja rezolvate sau măsurile de corecţie iniţiate în
timpul auditului.
Pregătirea raportului de audit
Raportul de audit al unei misiuni de audit trebuie să aibă în principiu o formă standardizată şi
trebuie să includă cel puţin următoarele:
 Datele unităţii auditate.
 Perioada de audit revizuită şi durata auditului.
 Numele şi semnăturile auditorilor.
 Aria de aplicabilitate a auditului.
 Un rezumat cu informaţiile de bază despre organizarea şi operarea unităţii auditate,
principalele aspecte identificate, principalele măsuri de corecţie în desfăşurare şi evaluarea
generală a adecvării, eficacităţii si eficienţei sistemului de controale interne.
 Prezentarea detaliată a deficienţelor constatate şi a recomandărilor corespunzătoare.
 Anexe cu informaţii suplimentare, unde e necesar.
Rapoartele de audit trebuie să fie scurte, clare, exacte şi obiective. În ce priveşte prezentarea
responsabilităţilor personalului, acestea trebuie să fie specifice şi să fie suficient documentate.
Conform standardului de practică profesională în auditul intern 2400 și a celor de implementare,
rapoartele trebuie aibă următoarele criterii de calitate:
- Comunicările precise nu includ erori sau distorsiuni şi redau fidel faptele.
- Comunicările obiective sunt echitabile, imparţiale, nepărtinitoare şi sunt rezultatul unei
evaluări corecte şi echilibrate asupra tuturor faptelor şi circumstanţelor relevante.
- Comunicările clare sunt uşor de înţeles şi logice, evitând limbajul tehnic inutil şi furnizând
toate informaţiile semnificative şi relevante.
- Comunicările concise sunt făcute la obiect şi evită digresiunile inutile şi detaliile superflue,
redundanţa şi prolixitatea.
- Comunicările constructive sunt utile pentru clientul misiunii şi organizaţie şi conduc la
îmbunătăţiri, acolo unde este necesar.
- Comunicărilor complete nu le lipseşte nimic esenţial pentru beneficiarii cărora li se adresează
şi includ toate informaţiile, precum şi constatările semnificative şi relevante pentru susţinerea
recomandărilor şi concluziilor.
- Comunicările realizate la timp sunt oportune şi rapide, în funcţie de importanţa problemei
semnalate, permiţând conducerii să ia măsurile corective adecvate.

5.3. REVIZIA REZULTATELOR MISIUNII DE AUDIT
Deficienţele identificate sunt revizuite înainte de şedinţa de închidere de către șeful misiunii de
audit pentru a confirma acoperirea ariei de aplicabilitate a auditului, înregistrarea completă şi
documentarea rezultatelor şi pentru a agrea cu auditorul rezultatele în termeni de risc şi stabilirea
responsabilităţilor.
Întregul proiect de audit este revizuit de coordonatorul departamentului sau o persoană desemnată
de acesta, pentru a se asigura că toate sarcinile de audit au fost realizate în conformitate cu
metodologiile interne.
Misiunile trebuie să facă obiectul unei supervizări corespunzătoare în vederea asigurării

îndeplinirii obiectivelor, asigurării calităţii şi dezvoltării profesionale a personalului.
Fiind una din obiectivele principale ale auditului - evaluarea organizarii si functionării sistemului
de control intern – este motivul pentru care această activitate este prioritară pentru auditori și vor
trebui să aloce un interval de timp suficient pentru verificări si evaluări. Rezultatele acestor tipuri
de verificări vor folosi la identificarea slăbiciunilor din sistemul de control intern și implicit la
corectarea acestora.

 planificarea misiunii de audit,
 realizarea auditului,
 revizia rezultatelor misiunii de audit.
ÎNTREBĂRI DE AUTOEVALUARE
Întrebările care urmează vă dau posibilitatea să verificaţi înţelegerea materialului din acest
capitol. După ce aţi răspuns la toate întrebările, comparaţi răspunsurile dvs. Cu răspunsurile din
model de la sfârşitul capitolului. Dacă aveţi neclarităţi, revedeţi materialul relevant din acest
capitol sau cereţi ajutorul tutorului/expertului dvs.
1. Ce trebuie să ia în considerare planul anual de audit ?
2. Cum este realizată selecţia echipei de audit?
3. Care sunt etapele realizării auditului?

RECAPITULARE
După ce aţi terminat de studiat acest capitol, reflectaţi câteva momente asupra obiectivelor
procesului de studiu. Răspunsul la întrebările de autoevaluare ar trebui să vă arate cât aţi reuşit să
învăţaţi. Dacă nu sunteţi siguri că aţi realizat obiectivele procesului de studiu, este util să recitiţi
părţile relevante din acest capitol, înainte de a studia mai departe. După ce aţi revăzut obiectivele
de studiu şi consideraţi că vi le-aţi însuşit, ar trebui să acordaţi câteva minute recitirii materialului,
pentru a aprofunda înţelegerea lui. De asemenea, ar fi util să revizuiţi răspunsurile pentru
întrebările de autoevaluare. Aceasta vă va ajuta la recapitularea pentru examen.
RĂSPUNSURI MODEL LA ÎNTREBĂRILE DE AUTOEVALUARE (SESIUNEA 5)
1. Planul anual de audit trebuie sa ia în considerare şi următoarele:

 instrucţiuni sau cerinţe ale conducerii;
 misiuni de audit statutare solicitate de cadrul de reglementare;
 dezvoltări neaşteptate în mediul economic general.
2. Selecţia echipei de audit este realizată în funcţie de cunoştinţele, capacităţile şi calificările
inspectorilor.
Pentru fiecare misiune de audit este desemnat un Sef de misiune de audit, care are şi următoarele
responsabilităţi:
- Planificarea auditului
- Coordonarea şi instruirea auditorilor
- Revizia lucrării de audit.
3. Şedinţa de deschidere, documentarea, evaluarea rezultatelor obţinute în urma misiunii de audit,

documentarea misiunii de audit, şedinţa de final, pregătirea raportului de audit.

6. FRAUDA
INTRODUCERE
Acest capitol vă va familiariza cu noţiunea de fraudă, formele de fraudă în detrimentul şi în
beneficiul organizaţiei.

 să cunoaşteţi formele de fraudă în detrimentul şi în beneficiul organizaţiei,
 să înţelegeţi responsabilităţile auditorilor interni cu privire la detectarea şi prevenirea
fraudei, şi investigarea fraudelor,
 să înţelegeţi măsurile ce se pot adopta în vederea descurajării fraudelor.
Frauda poate fi definită ca orice act ilegal, caracterizat prin înşelăciune, disimulare sau trădarea
încrederii. Responsabilitatea pentru a preveni/descuraja frauda aparţine în primul rând
conducerii instituţiei bancare.
Aceste acte nu sunt caracterizate în mod necesar de ameninţarea cu violenţa sau de utilizarea
forţei fizice.
Fraudele sunt comise de persoane şi organizaţii cu scopul de a obţine bani, bunuri sau servicii;
pentru a evita plata sau pierderea serviciilor; sau pentru a-şi asigura un avantaj personal sau de
afaceri.
Frauda încorporează o paletă variată de nereguli şi acte ilegale.
Frauda este săvârşită de o persoană sau grup de persoane cu scopul obţinerii de foloase sau
beneficii necuvenite, în detrimentul sau în beneficiul organizaţiei.
De asemenea, poate fi săvârşită de persoane din interiorul sau exteriorul organizaţiei.
Forme de fraudă în detrimentul organizaţiei:

- luarea de mită
- insider trading
- înşelăciune
- plăţi pentru bunuri şi servicii care nu au fost furnizate
- tranzacţii fictive
Forme de fraudă în beneficiul organizaţiei:

- plăţi ilegale (ex. darea de mită, contribuţii la partide politice, coruperea funcţionarilor, etc.)
- erori intenţionate cu scopul manipulării situaţiilor financiare sau evitarea plăţii taxelor şi
impozitelor
- neraportarea tranzacţiilor şi activităţilor suspecte ale clienţilor
- tranzacţii supra sau subevaluate

In general, 3 factori influenţează comiterea fraudei:
1. Oportunitatea
- exploatarea breșelor de control

- încălcarea/ocolirea unor controale
- managementul superior poate ocoli mai uşor controalele sau le poate ignora datorită
poziţiei ierarhice în cadrul organizaţiei
2. Motivația
- puterea (ex., atacuri informatice efectuate cu scopul de a arăta că se poate, fără a crea
prejudicii de imagine sau financiare)
- împlinirea unei dorinţe (ex., lăcomie, viciu)
- presiunea
3. Justificarea
- cultura
- perioade de dificultate financiară
- ,,împrumutul’’ banilor sau bunurilor instituţiei
- dorinţa de a nu se supune regulilor
Auditorii interni nu trebuie să deţină abilităţile şi deprinderile unui expert în fraudă. Totuşi, în
cadrul misiunilor de audit trebuie să acorde o atenţie sporită factorilor care ar putea genera o
posibilă fraudă (ex. lipsa controalelor, controale ineficiente).
De asemenea, auditorii interni trebuie să înţeleagă schemele de fraudă, şi să fie permanent atenţi
la semnalele care prevestesc o posibilă fraudă.
Responsabilităţile auditorilor interni cu privire la detectarea şi prevenirea fraudei:
- asistarea managementului superior în redactarea unei Politici antifraudă (actualizarea în

permanenţă a acesteia)
- să considere riscurile de fraudă în evaluarea generală asupra controalelor, precum şi în
cazul fiecărei misiuni de audit

- să deţină suficiente cunoştinţe pentru a sesiza semnalele de fraudă
- să acorde o atenţie sporită oportunităţilor de comitere a fraudei
- să evalueze indiciile unei posibile fraude
- să recomande o anchetă în caz că există indicii ale unei posibile fraude
- în cazul schemelor de fraudă complexe auditul intern trebuie să solicite ajutor calificat din
interiorul sau exteriorul organizaţiei
Rolul auditului intern în investigarea fraudelor trebuie definit în Statut.
Standardul IIA 1210.A2

Auditorul intern trebuie să deţină cunoştinţe suficiente pentru a identifica indiciile unei
fraude, dar aceasta nu înseamnă că trebuie să aibă competenţa unei persoane a cărei principală
responsabilitate este identificarea, detectarea şi investigarea fraudelor.
PA 1210.A2-1
Doar procedurile de audit, chiar dacă sunt aplicate cu conştiinciozitatea profesională
necesară, nu pot garanta identificarea fraudelor.
Responsabilităţile auditorilor interni în ceea ce priveşte investigarea fraudelor
Auditorii interni trebuie să determine dacă într-adevăr a avut loc o fraudă, dimensiunea acesteia,
persoana sau persoanele implicate precum şi modul de operare.
După finalizarea investigaţiei şi extragerea concluziilor finale, auditorii interni recomandă

îmbunătăţirea proceselor de control cu scopul preîntâmpinării apariţiei pe viitor a unei fraude
identice.
In funcţie de fiecare organizaţie în parte, rolul auditorilor interni în investigarea fraudei poate
varia.
Astfel:
a. Auditul intern este principalul responsabil pentru investigarea fraudei – sau –
b. Resursa atrasă în echipa de investigaţie (coparticipant) – sau –
c. Auditul intern nu este implicat în procesul de investigare al fraudei (întrucât instituţiile
financiare respective deţin departamente Anti-Fraudă distincte)
Investigarea fraudelor constă în efectuarea de proceduri extinse de audit necesare şi utile în a

determina dacă frauda s-a produs într-adevăr, împrejurările în care s-a produs, persoanele
responsabile, schema de fraudă folosită, motivele care au creat premisele producerii fraudei
respective (brese de control intern, lacune ale procedurilor, lipsa segregării responsabilităţilor,
complicitatea angajaţilor, etc.).
De obicei, auditorii interni sau specialiştii anti-fraudă ai organizaţiei desfăşoară investigaţii de

detectare a posibilelor fraude.
În investigarea unei fraude, auditorii interni:

i) evaluează nivelul fraudei şi complicitatea în comiterea fraudei
ii) analizează competenţele şi stabilesc resursele necesare pentru investigarea fraudei
iii) coordonează activităţile de investigare a fraudei cu managementul superior, middle
management, direcţia juridică şi/sau alţi specialişti al căror aport este necesar în
soluţionarea fraudei

iv) trebuie să conştientizeze şi să înţeleagă drepturile tuturor părţilor implicate
In timpul investigării fraudei auditorii interni trebuie să informeze periodic managementul
superior în legătură cu stadiul şi rezultatele fraudei investigate, concluziile preliminare,
procedurile necesare a fi urmate în vederea soluţionării fraudei.
De asemenea, în timpul comunicării periodice cu managementul superior în legătură cu stadiul

investigării fraudei, directorul direcţiei de audit intern trebuie să informeze managementul dacă
există suficiente informaţii / dovezi / probe de audit / concluzii pentru a desfăşura o misiune
completă de investigare a fraudei.
In urma finalizării investigaţiei anti-fraudă auditul intern trebuie:
- să formuleze recomandări pentru a preveni-/preîntâmpina pe cât posibil producerea unor

fraude similare în viitor;
- să propună analizarea în cadrul Comisiei de Disciplină a abaterilor semnalate în legătura
cu angajaţii implicaţi în schema de fraudă;
- să propună măsuri de întărire a breșelor de control intern care au facilitat producerea
fraudei;
- să recomande actualizarea politicilor, normelor, procedurilor şi instrucţiunilor interne în
consecinţă;
- să comunice în cadrul organizaţiei incidentul produs.
Obiectivul auditului intern în cadrul prevenirii şi detectării fraudelor este acela de a furniza
asistenta managementului organizaţiei prin furnizarea de evaluări, efectuarea de analize,
propunerea de controale interne precum şi formularea de recomandări practice.
Obiectivul final este crearea unui sistem de control intern eficient, la un cost rezonabil.
Atât prevenirea cât şi combaterea fraudelor depind de adecvarea controlului intern implementat
de management.
Oportunităţi care permit sau încurajează frauda
– controale interne ineficiente (ex. lipsa de segregare a responsabilităţilor, lipsa de personal,

personal necalificat, acces nerestricţionat la bunuri şi valori, tranzacţii efectuate fără autorizaţii
– posibilitatea de a ocoli controlul existent
– lipsa abilităţilor sau neefectuarea verificării de către supervizori
– acces nerestricţionat în sistemele IT&C ale instituţiei
– existenţa de active lichide uşor vandabile
– complicitatea angajaţilor
Factori de risc de fraudă în raport cu ciclul de creditare:

- Credite acordate unor clienţi fictivi/tranzacţii cu companii afiliate; lipsa identificării
legăturilor între administratori/asociați, afaceri comune, etc
- Falsa identitate şi informaţii false despre solicitările de credit /dubla-garantare /evaluări
frauduloase /garanţii falsificate sau fără valoare
- Dosare de credit “subţiri” cu informaţii financiare sumare, incomplete, documentaţie de
slabă calitate sau in cazul in care managementul pretinde că debitorul are situaţie
patrimonială bună şi prezintă o bonitate neîndoielnică
- Valori provenind din evaluări care par supraevaluate, evaluatori folosiţi din afara
perimetrului permis de regulament

- Prelungiri repetate sau condiţii revizuite în mod generos atunci când clientul are dificultăţi
la rambursare
- Documente sau dosare păstrate în birourile directorilor în afara perimetrului obişnuit de
îndosariere
- Recomandare excesiva din partea directorului sau inspectorului de creditare sau din
dosarul de credit lipsesc date sau documente importante
- Indicii privind controale slabe asupra documentaţiei, de exemplu, punerea la dispozitie a
fondurilor înainte ca documentaţia să fie complete
- Soluţionare neaşteptată a creditelor-problemă cu puţin timp înainte de sfârşitul perioadei
de creditare sau înaintea unei misiuni de audit, respectiv o creditare nouă neaşteptată în
apropierea sfârşitului perioadei de creditare
- Credite care dintr-o dată devin performante cu puţin timp înaintea sfârşitului perioadei de
creditare sau înaintea unei misiuni de audit.
Factori de risc in legatura cu sursele atrase:

- Camuflarea deponenţilor (Ascunderea identităţii unui deponent, posibil în legătură cu
transformarea fondurilor sau spălarea banilor)
- Nume similare sau care sună la fel în cazul unor conturi diverse;
- Deponenţi-persoane juridice din străinătate fără un obiect de activitate clar definit sau
despre care se cunosc puţine informaţii.
- Sustrageri din depozitele clienţilor
- Clienţi care au contacte ocazionale cu banca, adica la intervale mari de timp si au depozite
la termen > 6 luni
- Referentii de ghiseu, sunt persoane autorizate a dispune de conturile clientilor, în special
la conturile de depozite de genul celor sus mentionate
- Inexistenţa unor proceduri de control in cazul depozitelor atrase si in special la cele
mentionate la primul punct.
Indicii de fraudă internă:
- împrumuturi dese de la colegi

- vicii costisitoare
- un standard de viaţă nejustificat
- refuzul de a-şi lua vacanţă
- refuzul de a răspunde la întrebări obişnuite
- încasarea de sume de bani fără o justificare plauzibilă
Forme de fraudă:
- efectuarea de depozite pe termen scurt în numele clienţilor fără acordul acestora

- transferul banilor din contul unui client în alt cont şi apoi retragerea banilor
- decontarea unor cheltuieli neefectuate
- oferirea de preţuri privilegiate sau costuri mai mici clienţilor speciali
- oferirea de credite pe baza unei documentaţii false sau persoane fictive
- furtul sau folosirea bunurilor instituţiei în interes personal
- denaturarea datelor

Măsuri ce se pot adopta în vederea descurajării fraudelor:
- crearea şi menţinerea unui control intern eficient

- tonul dat de conducerea superioară
- ’’Feud hot line’’ pentru angajaţi
- seminarii anti-fraudă cu angajaţii
- existenta unei funcţii de audit intern profesioniste şi bine instruită
- efectuarea de controale inopinate
- efectuarea de angajamente specifice anti fraudă

 forme de fraudă în detrimentul organizaţiei;
 forme de fraudă în beneficiul organizaţiei;
 responsabilităţile auditorilor interni cu privire la detectarea şi prevenirea fraudei;
 responsabilităţile auditorilor interni în ceea ce priveşte investigarea fraudelor;
 indicii de fraudă;
 forme de fraudă;
 măsuri ce se pot adopta în vederea descurajării fraudelor.

Manual ACI Revizuit Final PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Manual ACI Revizuit Final PDF

Încărcat de

Drepturi de autor:

Formate disponibile

AUDIT ȘI CONTROL INTERN

1. AUDITUL INTERN ŞI GUVERNANŢA CORPORATIVĂ .................................................. 3

Audit şi control intern în activitatea bancară 2

GUVERNANŢA CORPORATIVĂ - CONCEPT

Sistemul de guvernanţă corporativă specifică modul de distribuire a drepturilor şi

Un model adecvat de guvernanţă corporativă trebuie să ofere stimulente Consiliului de

Audit şi control intern în activitatea bancară 3

Prin eforturile depuse de OECD, principiile guvernanţei corporative au început să se armonizeze

1) Legea societăţilor nr. 31/1990, cu modificările şi completările ulterioare – aplicabilă

Audit şi control intern în activitatea bancară 4

Suplimentar, în 2008 Bursa de Valori Bucureşti a emis un “Cod de Guvernanţă Corporativă”

Ulterior publicării acestui document, au existat numeroase cazuri în care mecanismele de

Audit şi control intern în activitatea bancară 5

In 2018 Autoritatea Bancar Europeana a emis Ghidul EBA/GL/2017/11 privind cadrul de

În sectorul financiar-bancar românesc, prevederile legale prin care se reglementează aspectele

Aceste reglementări vor fi prezentate şi analizate extensiv în cuprinsul următoarelor capitole.

 Un număr mai ridicat de membrii ai Consiliului de Administraţie independenţi de

Audit şi control intern în activitatea bancară 6

a. Un organ de conducere care exercită funcţia de supraveghere, care în textul

Funcţia de audit intern îndeplineşte o misiune extrem de importantă în ceea ce priveşte

Audit şi control intern în activitatea bancară 7

1.2. DEFINIȚIA AUDITULUI INTERN

Auditul intern este o activitate independentă, de asigurare obiectivă şi de consiliere,

• Este o activitate care presupune un grad ridicat de independenţă şi obiectivitate

• Este o activitatea de asigurare şi consultanţă

Audit şi control intern în activitatea bancară 8

• Destinat să adauge valoare

• Abordare sistematică şi disciplinată

1.3. AUDITUL INTERN vs. AUDITUL EXTERN

În sectorul bancar, activitatea de audit se întâlneşte sub două forme:

Audit şi control intern în activitatea bancară 9

Audit şi control intern în activitatea bancară 10

Conform Legii nr. 31/1990 privind societăţile comerciale, cu modificările şi completările

1.4. SCURTĂ ISTORIE A AUDITULUI INTERN ÎN ROMÂNIA

Introducerea conceptului de audit în ţara noastră, în perioada de tranziţie la economia de piaţă,

Audit şi control intern în activitatea bancară 11

Ulterior, Regulamentul BNR nr.18/2009 privind cadrul de administrare a activităţii instituţiilor

Audit şi control intern în activitatea bancară 12

Audit şi control intern în activitatea bancară 13

Definiţia controlului intern:

Audit şi control intern în activitatea bancară 14

1. eficienţa şi eficacitate operaţiunilor/activităţilor (obiective de performanţă);

2. corectitudinea, gradul de cuprindere şi promptitudinea transmiterii informaţiilor

3. conformitatea cu legile şi reglementările în vigoare (obiective de conformitate).

Această definiţie reflectă câteva concepte fundamentale. Controlul intern:

Audit şi control intern în activitatea bancară 15

2.1. MODELUL COSO

Audit şi control intern în activitatea bancară 16

Principiile care se impun în legătură cu această componentă sunt următoarele:

Audit şi control intern în activitatea bancară 17

Audit şi control intern în activitatea bancară 18

Cele mai frecvente sunt:

Audit şi control intern în activitatea bancară 19

Audit şi control intern în activitatea bancară 20

Audit şi control intern în activitatea bancară 21

Audit şi control intern în activitatea bancară 22

Audit şi control intern în activitatea bancară 23

2.2. MODELUL „CELOR TREI LINII DE APĂRARE” (3LOD)

Audit şi control intern în activitatea bancară 24

Audit şi control intern în activitatea bancară 25

Audit şi control intern în activitatea bancară 26

 Acceptă responsabilitatea față de părțile interesate pentru supravegherea organizației.

A. Roluri aferente primei linii