Documente Academic
Documente Profesional
Documente Cultură
ÎN ACTIVITATEA
FINANCIAR-BANCARĂ
Autori:
Drd MBA Bogdan Mihai
Cornelia Dumitrescu
Gabriela Andrei
CONȚINUT
Noţiunea de audit intern şi cea de control intern se circumscriu conceptului mai larg de
„guvernanţă corporativă”.
Pentru a fi viabilă şi a avea succes, orice organizaţie trebuie să-şi fixeze un cadru fundamental de
organizare, care să stabilească modul în care se adoptă deciziile strategice pe termen lung, dar şi a
celor curente, legate de conducerea de zi cu zi a operaţiunilor. Acest cadru care defineşte structura
de conducere şi de control a organizaţiei, dar şi modul de împărţire a rolurilor şi
responsabilităţilor între actorii implicaţi (acţionari, administratori, directori, conducători ai
diverselor structuri ale societăţii, angajaţi, sindicate, clienţi şi parteneri de afaceri, autorităţi
centrale şi locale etc.) este cunoscut sub denumirea generică de „guvernanţă corporativă”.
Nu există o definiţie unică a guvernanţei corporative, după cum nu există un singur model de
bună guvernanţă. Conform definiţiei date de Institutul Auditorilor Intern1 (în continuare TheIIA)
în glosarul de termeni, guvernanţa este „combinaţia de procese şi structuri implementate de
conducerea organizaţiei pentru a informa, direcţiona, conduce şi monitoriza activităţile
organizaţiei în vederea îndeplinirii obiectivelor sale”. Într-o formă simplificată, guvernanţă
corporativă desemnează sistemul de reguli şi mecanisme prin care companiile, inclusiv
instituţiile de credit, sunt conduse şi controlate.
De-a lungul timpului, începând cu anii 80, Organizaţia pentru Cooperare şi Dezvoltare
Economică (The Organisation for Economic Co-operation and Development - OECD) s-a
implicat activ în cercetarea practicilor în materie de guvernanţă corporativă, devenind astfel o
autoritate recunoscută în acest domeniu. Conform definiţiei propuse de OECD, guvernanţa
corporativă constă într-un un set de relaţii dintre managementul organizaţiei, structura sa de
administrare, acţionari şi alte persoane care au un interes în legătură cu organizaţia (eng.
stakeholder). Guvernanţa corporativă furnizează structura, respectiv mecanismele, procesele şi
procedurile, prin care sunt fixate obiectivele instituţiei şi prin care se stabilesc mijloacele de
atingere a acestor obiective şi de monitorizare a performanţelor.
1
Institutul Auditorilor Intern (eng. The Institute of Internal Auditors) este principala asociaţie profesională
recunoscută pe plan internaţional dedicată dezvoltării şi promovării profesiei de auditor intern.
În prezent, în România cadrul legal general privind guvernanţa corporativă are la bază două
reglementări fundamentale:
2
La începutulanului 2014, OECD a lansatprocesul de revizuire a principiilor de guvernanţăcorporativă, care ar trebui
să se finalizeze în termen de un an.
Dată fiind importanţa pe care o au instituţiile de credit în economie, funcţia socială pe care o
îndeplinesc şi sensibilitatea lor faţă de percepţia publicului (reputaţia fiind activul cel mai
important), guvernanţa corporatistă în sectorul bancar a fost un subiect tratat cu mare atenţie de
către autorităţile de reglementare şi supraveghere bancară, astfel că şi problematica auditului a
fost abordată în mod riguros. Cu toate acestea, recenta criză financiară traversată de economia
mondială a reliefat slăbiciunile semnificative ale sistemului de guvernanţă corporativă din
sectorul bancar.
La nivel internațional, problematica guvernanţei corporative în bănci a fost abordată însă cu mult
înainte de apariţia acestei crize. În septembrie 1999, Comitetul de la Basel pe probleme de
supraveghere bancară (Basel Committee on Banking Supervision) publica o lucrare de referinţă
intitulată “Enhancing Corporate Governance for Banking Organisations”, prin care se urmărea
reiterarea importanţei principiilor generale enunţate de OECD. Documentul a fost revizuit în
2006, urmărindu-se consolidarea unor aspecte cheie ale guvernanţei corporative, cum ar fi:
- Implicarea Consiliului de Administraţie/Supraveghere în aprobarea strategiei băncii;
- Stabilirea clară a atribuţiilor şi responsabilităţilor la nivelul întregii organizaţii;
- Asigurarea unor politici de remunerare în linie cu obiectivele pe termen lung ale băncii;
- Identificarea şi gestionarea adecvată a riscurilor generate de operaţiunile care nu sunt
suficient de transparente.
De-a lungul timpului s-au creat câteva mituri legate de guvernanţa corporativǎ care s-au dovedit
nefondate:
Auditul reprezintă un element de bază al guvernanţei corporative. Pentru a înţelege rolul auditului
intern bancar trebuie să avem în vedere modul în care instituţiile de credit sunt administrate.
Astfel, structura de conducerea a unei băncii este organizată pe două paliere:
Rolul auditului intern este de a fumiza opinii independente pentru structura de conducere a
băncii cu privire la calitatea şi eficacitatea sistemelor şi proceselor de control intern, de
management al riscurilor şi de guvernanţă. Această opinie, care are la bază constatările şi
recomandările rezultate în urma verificărilor efectuate de auditul intern, se raportează atât
organelor cu funcţie de supraveghere, cât şi conducerii superioare (managementului). Astfel,
pentru primii, auditul intern constituie un instrument absolut esenţial, fără de care nu-şi pot
îndeplini funcţia de baza, aceea de monitorizare a activităţilor conducerii executive. Auditul
reprezintă „ochii şi urechile” acestora.
Pentru conducerea superioară (management), auditul intern reprezintă o „centură de siguranţă”,
întrucât oferă posibilitatea ca deficienţele şi vulnerabilităţile din activitatea de care răspund să fie
identificate şi remediate înainte de a fi prea târziu, înainte ca acestea să se agraveze şi să genereze
costuri substanţiale. Întrucât metoda de lucru a auditului intern are la baza o analiză critică, de
multe ori conducerea executivă şi managementul, în general, priveşte cu reticenţă acest
departament. După cum se poate observa, informaţiile produse de auditul intern sunt utile în
primul rând utilizatorilor interni. În cazul auditului intern din sectorul bancar, mai există o
categorie de beneficiari ai acestor informaţii, respectiv autorităţile de supraveghere prudenţială.
Pentru a putea proceda la o analiză relevantă a materiei, ar trebui să începem prin delimitarea
conceptului. Termenul de audit este relativ nou introdus în limba română (în ediţia din 1998 a
DEX nu apare) întrucât în sistemul socialist de organizare a economiei nu exista ca atare, o parte
din conţinutul său se regăsea în ceea ce se numea „revizie contabilă” şi respectiv „control
financiar”.
Termenul de audit vine din latina „auditum = ascultare”, însă a fost introdus în literatura de
specialitate economică pe filiera limbii engleze, unde înseamnă verificare sau inspecţie
specializată. Termenul s-a impus iniţial în domeniul financiar, dar ulterior s-a extins şi în alte
domenii, astfel că în prezent asistăm la o adevărată modă de a folosi termenul in sintagme diverse,
în general pentru a desemna analize mai complexe. Există „audit de marketing” (anterior studiu
sau analiza de marketing), „audit al calităţii”, „audit social”, „audit energetic” etc.
În ceea ce priveşte domeniul auditului intern, a fost dificil să se contureze o definiţie unanim
acceptată, întrucât această profesie a avut în timp o evoluţie rapidă, lărgindu-și continuu
conţinutul.
În acest moment, definiţia folosită pe plan internaţional şi preluată cu unele ajustări în legislaţia
statelor dezvoltate, inclusiv în legislaţia românească, este cea dată de Institutul Auditorilor Interni
(IIA):
Întrucât definiţia este relativ absconsă, sunt necesare câteva clarificări privind unele cuvinte
cheie:
În ceea ce priveşte consultanţa, aceasta este o direcţie nouă de dezvoltare a auditului intern
şi presupune furnizarea de asistenţă de specialitate (sfaturi) structurilor instituţiei în
probleme legate de control şi managementul riscurilor.
Între cele două tipuri de angajamente, respectiv cele de asigurare şi cele de consultanţă,
există diferenţe semnificative, pe care le vom trata în capitolele următoare.
Tot în anul 2000 şi tot în scopul armonizării internaţionale, Camera Auditorilor din România
emite Standardele de Audit Financiar, împreuna cu Codul privind conduita etică şi profesională.
Astfel, s-a asigurat armonizarea cu două standarde de bază internaţionale, şi, pentru prima dată,
este definit clar conceptul de audit, precum şi principiile de bază, procedurile esenţiale,
instrucţiunile practice de audit.
În prezent, entităţile obligate conform legislaţiei în vigoare să aibă situaţiile financiare auditate
sunt:
a. societăţile care îndeplinesc cel puţin două din cele trei condiţii de mai jos:
b. deţin active totale peste 3.650.000 euro;
c. au cifra de afaceri netă peste 7.300.000 euro;
d. au un număr mediu de salariaţi mai mare sau egal cu 50.
e. societăţile considerate de interes public, respectiv instituţiile de credit, societăţile de
asigurare/reasigurare, entităţile reglementate şi supravegheate de Comisia Naţionala a
Valorilor Mobiliare (în prezent Autoritatea de Supraveghere Financiară), societăţile
comerciale ale căror valori mobiliare sunt admise la tranzacţionare pe o piaţă
reglementată, companiile şi societăţile naţionale, persoanele juridice care aparţin unui
grup de societăţi şi intră în perimetrul de consolidare de către o societate-mamă care aplică
Standardele Internaţionale de Raportare Financiară, societăţile de leasing şi persoanele
juridice, altele decât cele de mai sus, care beneficiază de împrumuturi nerambursabile sau
cu garanţia statului.
În România, auditul financiar în sectorul bancar însă prezintă unele particularităţi, prezentate mai
jos, impuse prin reglementările specifice acestui domeniu, ce se regăsesc în cuprinsul Ordonanţei
de urgenţă nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, cu modificările şi
completările ulterioare:
1. Auditorii financiari ai instituţiilor de credit trebuie să fie aprobaţi de Banca Naţională a
României (BNR). BNR poate respinge numirea unui auditor financiar dacă apreciază că
acesta nu dispune de experienţă şi/sau independenţă adecvate pentru îndeplinirea
sarcinilor specifice sau dacă există constatări potrivit cărora acesta nu a respectat cerinţele
de conduită etică şi profesională specifice. De asemenea BNR poate retrage aprobarea
acordată unui auditor financiar, în situaţia în care acesta nu îşi îndeplineşte în mod
corespunzător atribuţiile
2. Instituţiile de credit au obligaţia să înlocuiască periodic auditorul financiar sau să solicite
auditorului financiar înlocuirea periodică a coordonatorului echipei care realizează auditul
financiar.
3. Auditorul financiar al unei instituţii de credit trebuie să informeze BNR de îndată ce, în
exercitarea atribuţiilor sale, a luat cunoştinţă despre orice fapt sau decizie în legătură cu
instituţia de credit care reprezintă o încălcare semnificativă a legislaţiei, sau este de natură
să afecteze capacitatea instituţiei de credit de a funcţiona în continuare ori care poate
conduce la un refuz din partea auditorului financiar de a-şi exprima opinia asupra
situaţiilor financiare sau la exprimarea de către acesta a unei opinii cu rezerve.
4. BNR poate solicita auditorului financiar al instituţiei de credit să furnizeze orice detalii,
clarificări, explicaţii legate de activitatea de audit financiar desfăşurată. BNR are acces la
orice documente întocmite de auditorii financiari pe parcursul acţiunii de audit.
Aşa cum am menţionat anterior, termenul de audit intern a fost introdus relativ recent în
vocabularul economic, întrucât în perioada comunistă nu exista. De altfel acest termen este
specific ţărilor din spaţiul anglo-saxon şi s-a impus târziu în spaţiul cu legislaţie de inspiraţie
franceză. Activităţile cu conţinut apropiat erau denumite „revizie contabilă”, „control financiar”,
„control financiar intern”, „control financiar de gestiune” şi priveau exclusiv entităţile din
domeniul public.
Un reper important în ceea ce priveşte constituirea acestei profesii l-a reprezentat apariţia în 1999
a Ordonanţei de urgenţă nr. 75 privind activitatea de audit financiar. Această reglementare a
creat cadrul juridic pentru organizarea activităţii de audit financiar şi de audit intern în ţara
noastră şi a pus bazele organizării Camerei Auditorilor Financiari din România (organizaţie
profesională de utilitate publică, fără scop lucrativ).
La nivel metodologic, activitatea de audit intern a fost reglementată odată cu adoptarea de către
CAFR a Hotărârii nr.88/2007 pentru aprobarea Normelor de audit intern, care cuprind
„Standardele de audit intern”, asimilate ca norme naţionale de audit intern, precum şi „Proceduri
privind cadrul general de desfăşurare a misiunilor de audit intern”.
În sectorul bancar, prima reglementare a băncii centrale care viza domeniul auditului intern a
constituit-o Normă nr. 17/2003 privind organizarea şi controlul intern al activităţii instituţiilor de
credit şi administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii
de audit intern a instituţiilor de credit, publicat in Monitorul Oficial nr. 47 - 20/01/2004. Acest
În sectorul instituțiilor financiare nebancare, prima reglementare a băncii centrale ce viza auditul
intern a fost Norma BNR nr 18/2006 privind organizarea și controlul intern, administrarea
riscurilor semnificative, precum și desfășurarea activității de audit intern a instituțiilor financiare
nebancare. Această reglementare a fost modificată de Regulamentul 20/13.10.2009 privind
insitutiile financiare nebancare.
La sfârşitul anului 2013, BNR a emis un nou regulament care înlocuieşte printre altele şi
Regulamentul 18/209 – este vorba de Regulamentul 5/2013 privind cerinţele prudenţiale pentru
instituţiile de credit, publicat în Monitorul Oficial, Partea I nr. 841 din 30.12.2013.
Conform dispoziţiilor finale ale acestei reglementări, majoritatea prevederilor legate de cadrul de
administrare a activităţii instituţiilor de credit, inclusiv cele referitoare la controlul intern şi
activitatea de audit, din cuprinsul Regulamentului18/2009 rămân valabile până la data de 30 iunie
2014, când vor fi abrogate şi înlocuite cu cele din cuprinsul noului regulament.
Legea nr. 162/2017 privind auditul statutar al situațiilor financiare anuale și al situațiilor
financiare anuale consolidate și de modificare a unor acte normative reglementează auditul
statutar al situațiilor financiare anuale și al situațiilor financiare anuale consolidate, întocmite
potrivit legii contabilității și reglementărilor contabile aplicabile.
Etimologia cuvântului „control” provine din expresia latinească „contra trolus", prin care se
înţelege „verificarea unui act duplicat după original”.
În literatura de specialitate avem şi alte accepţiuni, astfel:
■ în accepţiunea francofonă, controlul este o verificare, o inspecţie atentă a corectitudinii
unui act;
■ în accepţiunea anglo-saxonă - care s-a impus in cele din urmă la nivel mondial - controlul
este un atribut al managementului şi constă în acţiunea de supraveghere a cuiva sau a ceva, dar în
acelaşi timp înseamnă şi puterea de a conduce şi stăpâni o activitate sau o situaţie. Sensul cel mai
comun asociat controlului este acela de verificare, ce permite managementului să coordoneze
activităţile din cadrul organizaţiei.
După cum s-a arătat în capitolul precedent, unul dintre principalele obiective ale auditului intern îl
reprezintă evaluarea eficienţei şi a gradului de adecvare a sistemului de control intern, a cărui
parte componentă este.
Orice organizaţie există pentru a îndeplini o misiune, pentru a atinge nişte obiective fixate de
proprietarii săi. În demersurile pentru îndeplinirea acestor obiective organizaţiile se confruntă cu
numeroase obstacole sau riscuri. În acest capitol vom discuta despre diversele componente ale
sistemului sau cadrului de control intern pe care organizaţiile le-au dezvoltat pentru a reduce şi
gestiona aceste riscuri.
În vorbirea curentă, sintagma de “control intern” are semnificaţii dintre cele mai variate, în
funcţie de perspectiva utilizatorului. Astfel, prin „control intern” de multe ori se face referire la un
compartiment distinct, cu atribuţii de verificare a celorlalte structurii organizatorice din cadrul
instituţiei (în trecut acesta purta denumirea de Control Financiar de Gestiune sau Control
Financiar Intern). De asemenea, prin control intern se poate înţelege activitatea specifică
exercitată de personalul care lucrează în departamentul de control intern menţionat anterior.
Perioada 1990 -1999 s-a caracterizat prin profunde reorganizări în toate planurile activităţii
economice, inclusiv în materia controlului intern. Începând din 1999, în sistemul legislativ
românesc se face distincţie între conceptul de „control intern” şi conceptul de „audit intern”, în
conformitate cu practica internaţională. În mod concret, managerul stabileşte pentru fiecare
domeniu, compartiment, activitate sau program formele de control intern care nu implică costuri
suplimentare, menite să limiteze riscurile asociate activităţilor, sub diverse forme:
- autocontrolul propriilor activităţi efectuate prin respectarea de către fiecare salariat a
procedurilor de lucru instituite;
- controlul mutual, realizat între fazele unui lanţ procedural, exercitat de fiecare post de
lucru asupra modului de efectuare a prelucrărilor în cadrul postului de lucru anterior,
pentru a putea adăuga propriile prelucrări şi a pregăti controlul pe care îl va efectua postul
de lucru următor;
- controlului ierarhic, exercitat pe fiecare nivel de responsabilitate;
Alături de aceste forme de control intern, ataşate intrinsec activităţilor curente ale fiecărui post de
lucru, managerul poate stabili şi alte forme de control intern care intră în lanţul operaţiilor, dar
care presupun costuri suplimentare, având reguli procedurale distincte, fiind chiar structuri de sine
stătătoare, spre exemplu:
- controale de calitate în diferite puncte-cheie ale lanţului operaţiunilor;
3
Institute of Management Accountants (IMA), the American Accounting Association (AAA), the American Institute
of Certified Public Accountants (AICPA), the Institute of Internal Auditors (IIA) şi Financial Executives
International (FEI).
4 Interesul acordat controlului intern şi caracterului său continuu este consecinţa analizei cauzelor care au determinat
înregistrarea de pierderi semnificative de către unele bănci; această analiză a identificat lipsa unor sisteme de control
intern adecvate ca fiind un determinant major al pierderilor. Concluzia trasă din aceste experienţe a fost că un sistem
de control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi
putut limita amploarea acestora. Prin urmare, un sistem de control intern eficient reprezintă o componentă critică a
gestionării unei bănci, care poate sprijini realizarea obiectivelor băncii. Interesul acordat controlului intern şi
caracterului său continuu este consecinţa analizei cauzelor care au determinat înregistrarea de pierderi semnificative
de către unele bănci; această analiză a identificat lipsa unor sisteme de control intern adecvate ca fiind un determinant
major al pierderilor. Concluzia trasă din aceste experienţe a fost că un sistem de control intern eficient ar fi putut
preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin
urmare, un sistem de control intern eficient reprezintă o componentă critică a gestionării unei bănci, care poate
sprijini realizarea obiectivelor băncii.
- Este realizat de oameni – conţinutul său nu este determinat doar de politici, manuale de
proceduri, sisteme şi formulare, ci în primul rând de oamenii şi de acţiunile pe care aceştia
le adoptă pe fiecare palier al organizaţiei.
Controlul intern se realizează prin ceea ce spun şi prin ceea ce fac oamenii din cadrul
organizaţiei, oamenii sunt cei care stabilesc obiectivele organizaţiei şi pun în operă
mecanisme de control.
- Este în măsură să furnizeze doar o asigurare rezonabilă - în opoziţie cu o asigurare
absolută sau o garanţie, întrucât în viaţa reală pot apărea scăpări, erori etc. În plus, cel mai
performant control poate fi eludat de către personalul de conducere.
- Se adaptează modului de organizare a instituţiei – se implementează la nivelul întregii
instituţii, dar şi la nivelul individual al unei sucursale, departament, proces etc.
Întrucât nu îmbracă o formă materială (cu mici excepţii, când îmbracă forma concretă a unui cod
de etică sau reguli interne de comportament), este de multe ori considerată o componentă “soft” şi
din acest motiv este dificil de reglementat şi de evaluat.
2. Evaluarea riscurilor
Orice entitate, indiferent de structură, dimensiune, sectorul în care activează se confruntă cu
riscuri care îi afectează capacitatea de a supravieţui, succesul pe piaţă, puterea financiară,
imaginea, calitatea produselor şi a serviciilor, a oamenilor.
În exemplul de mai sus, riscul 1 este estimat ca având o probabilitate ridicată şi un efect mare, în
consecinţă este un risc sever.
Stabilirea obiectivelor reprezintă o precondiţie pentru identificarea riscurilor, iar aceasta se poate
face într-o manieră sistematică, structurată sau poate fi un proces informal. Obiectivele pot fi
obiectivele explicite (ex. implementarea unui sistem informatic, creşterea cotei de piaţă) sau
implicite (ex. păstrarea nivelului de performanţă anterior). De obicei, în stabilirea obiectivelor se
utilizează o abordare top-down: din misiunea sau strategia organizaţiei derivă obiectivele sale
majore, care se translatează în sub-obiectivele aferente structurilor organizaţiei (vânzâri,
producţie, etc). După ce obiectivele sunt conturate se identifică factorii critici de succes: de ce
anume este nevoie pentru ca obiectivele sǎ fie atinse?
În faza următoare se identifică riscurile, pornind de la întrebarea esenţială: ce anume poate merge
prost? În acest sens se iau în considerare:
i) factori externi
- economici (ex. evoluţia preţurilor, bariere la intrarea pe piaţă);
- naturali (ex. calamităţi naturale);
- politici (ex. schimbarea regimului politic);
- sociali (ex. schimbări demografice);
- tehnologici/IT (ex. apariţia unor noi tehnologii ).
ii) factori interni
- infrastructura (ex. mutarea call-center într-un alt oraş);
3. Activităţile de control
Activităţile de control sunt acţiunile stabilite în cuprinsul politicilor şi procedurilor prin care se
creează condiţiile ca directivele managementului în ceea ce priveşte reducerea riscurilor să fie
duse la îndeplinire. Simplificat, activităţile de control reprezintă toate mecanismele şi operaţiunile
adoptate pentru ţinerea sub control a riscurilor. Formele concrete pe care le îmbracă aceste
activităţi sunt foarte diverse şi depind de complexitatea organizaţiei, domeniul în care activează,
tradiţia şi cultura organizaţională etc.
4. Informarea şi comunicarea
La baza deciziilor luate de factorii de conducere de la orice nivel stau diverse informaţii, de
natură financiară sau operaţională, care sunt captate şi raportate în interiorul instituţiei. Calitatea
5. Monitorizarea
Sistemul de control se schimbă cu trecerea timpului. Modul în care se desfăşoară activităţile de
control evoluează. Unele proceduri care erau odată eficace devin desuete sau poate nu se mai
realizează, fie din cauză că salariaţii s-au schimbat, că nu a mai fost timp de pregătire profesională
sau cauzate de reducerile de buget şi a presiunilor legate de lipsa personalului. Mai mult,
circumstanţele care au condus la proiectarea unei anumit mecanism de control poate că s-au
schimbat şi au apărut riscuri noi, care nu sunt abordate în mod corespunzător.
Monitorizarea este componenta prin care se asigură că sistemul de control intern continuă să
opereze în mod eficace. Aceasta presupune evaluarea modului de funcţionare şi a calităţii
sistemului control intern în timp (măsura în care acesta a rămas adecvat şi reuşeşte să menţină
riscurile sub control).
În principiu, monitorizarea se poate realiza prin:
a) activităţiile curente ale managementului;
b) prin evaluări separate.
Activităţile de monitorizare curentă îmbracă multe forme, printre care amintim: supervizarea
efectuată de management, comparaţii şi reconcilieri între datele alte operaţiuni de rutină. Spre
exemplu, diverse rapoarte privind operaţiunile/tranzacţiile sunt comparate cu datele financiare iar
nepotrivirile sau excepţiile sunt analizate de management pentru a de identifica factorii
determinanţi. Sau reclamaţiile primite de la clienţi sunt analizate de management urmărind acelaşi
În industria financiară din Marea Britanie s-a impus însă un alt model, mai simplu, care s-a dovedit a
fi uşor de înţeles şi de pus în aplicare, denumit „modelul celor trei linii de apărare”.
Modelul 3LoD (THREE LINES OF DEFENSE) oferă o modalitate simplă şi eficientă pentru a
clarifica rolurile şi sarcinile esenţiale în materie de control intern şi management al riscurilor.
Astfel, sistemul de control al unei organizaţii este privit sub forma liniilor de apărare ale unei cetăţi,
sau ca foile de ceapă, astfel:
a) Prima linie de apărare o reprezintă controlul managerial, respectiv toate activităţile de
control puse în operă de managementul de la nivelul fiecărui departament, sucursală, agenţie,
etc pentru a reduce riscurile curente, din activitatea de zi cu zi. Responsabilitatea pentru
organizarea şi supervizarea acestor activităţi revine în primul rând managementului de linie
(middle management), care trebuie să raporteze mai departe conducerii superioare.
b) A doua linie de apărare este formată din funcţii specializate pentru controlul anumitor
riscuri, organizate la nivel central. În sectorul bancar, aceste funcţii sunt în primul rând cele
care se ocupă de administrarea riscurilor şi de conformitate. Tot aici intră funcţiile de
inspecţie, investigaţii speciale, securitate fizică şi protecţia a informaţiilor confidenţiale sau
chiar cele de resurse umane. Acestea identifică la nivel de ansamblu riscurile cu care se
confruntă instituţia şi stabilesc reguli, norme şi proceduri specifice de monitorizare şi control
al acestor riscuri.
Cele două modele - COSO şi 3LoD - nu sunt incompatibile, ci dimpotrivă se completează reciproc.
Din acest motiv, acestea au fost preluate şi integrate, cu mici adaptări, în cuprinsul unor documente
de ghidare pentru autorităţile de reglementare şi supraveghere bancară, elaborate fie de Basel
Committee on Banking Supervision (ex. Framework for internal control systems in banking
organisations), fie de Autoritatea Bancară Europeană (ex. EBA Guidelines on internal governance -
GL44).
Comitetul de la Basel a emis în Decembrie 2015 Ocasional Paper – 4LoD pentru instituțiile
financiare (Anexa 8)
Sumar Executiv
1. Criza Financiară Globală, guvernanța corporativă și cele 3LoD
2. Detaliile 3LoD
3. Slăbiciunile și erorile 3 LoD
4. Conceptul 4LoD pentru instituțiile financiare
5. Relațiile între funcțiile 3LoD și 4LoD
5.1. Relațiile dintre auditorii externi și autoritțățile de supraveghere
5.2. Relațiile dintre auditorii interni și autoritțățile de supraveghere
5.3. Relațiile dintre auditorii interni și auditorii externi
5.4. Tranziția de la 3LoD și 4LoD
6. Concluzii
Conceptul 4LoD pentru instituțiile financiare
„Organul de conducere, conducerea executivă și auditul intern nu sunt separați în linii sau roluri
rigide. Conceptul de „linii” a fost păstrat în interesul familiarității. Cu toate acestea, ”liniile” nu
sunt menite să denote elemente structurale, ci o diferențiere utilă a rolurilor.”
Richard Chamber, Președinte și CEO IIA
Managementul
1. Numele modelului
2. Versiunea inițială sugera mai mult o abordare reactivă a managementului riscurilor, cultivând
o imagine a trei bariere, care protejează compania de amenințările exterioare. S-a presupus ca
este un concept de management al riscurilor, care se rezumă la activități de management al
riscurilor. În realitate, modelul este un concept de guvernanță corporativă, care impactează
fiecare aspect al afacerii, începând cu modul în care este organizată compania, cum sunt
motivați angajații și părțile interesate (stakeholders) să atingă obiectivele generale, sa
îndeplinească viziunea și strategia companiei.
3. În versiunea inițială nu era foarte clar prezentată alocarea responsabilităților fiecărei linii de
apărare în cadrul organizației, ceea ce conducea la lacune în ceea ce privește responsabilitatea,
dispute în cadrul comunicării și probleme legate de raportare.
1. Este mai puțin focusat pe ”linii” și mai concentrat pe ”principii”, cultivă o abordare mai
colaborativă, angajații individuali adoptând o viziune holistică asupra afacerii, mai degrabă
decât să se concentreze doar pe propriul rol și acolo unde aceasta se află în cadrul celor trei
linii.
2. Nu este despre apărare, este despre a adăuga valoare prin managementul riscurilor. Rolurile
care lucrează împreună contribuie în mod colectiv la crearea și apărarea valorii.
3. Este mult mai flexibil. Modelul celor trei linii este cel mai eficient atunci când este adaptat
pentru a se alinia la obiectivele organizației. Funcțiile, echipele și chiar indivizii pot avea
responsabilități care includ atât roluri din prima, cât și din a doua linie. Cu toate acestea,
direcția și supravegherea rolurilor specifice liniei a doua pot fi concepute pentru a asigura un
anumit grad de independență față de cele din cadrul rolurilor de linia întâi.
4. Rolul organului de conducere este mai clar. Există un accent mai mare pe rolul organului de
conducere și guvernare și rolul activ al organului de conducere în gestionarea riscurilor.
Modelul original s-a axat în mare parte pe responsabilitățile celor trei linii și modul în care
fiecare linie trebuie să raporteze organului de conducere, dar a oferit puține detalii cu privire
la responsabilitățile organismului de conducere în sine.
5. Comunicarea este cheia. Se încurajează întărirea colaborării dintre linii, în scopul prevenirii
duplicării muncii și eliminării lacunelor din cadrul proceselor, care conduc la raportarea
inadecvată. A treia linie, auditul intern, rămâne independentă, dar nu ”izolată”. Principiul
bunei comunicări și colaborări între linii ar trebui aplicat și celei de-a treia linii.
1. Cultura etică și riscul legat de angajați este tratat superficial. Unii consideră că este trecut
cu vederea un element fundamental al succesului modelului de afacere, respectiv cultura etică
a corporației, văzută ca cea mai importantă strategie de control și atenuare a riscurilor.
2. Funcția de conformitate este subevaluată. Specialiștii în conformitate și-au exprimat
îngrijorarea cu privire la retrogradarea aparentă a funcției de conformitate în noul model. În
versiunea originală, conformitatea a fost listată în mod explicit sub a doua linie de apărare, dar
în actualizare nu se menționează departamentul în sine și nu mai este evidențiat în
reprezentarea grafică. Cu toate acestea, documentul se referă în câteva rânduri la „respectarea
obligațiilor legale, de reglementare și etice”.
3. Noul model este prea orientat spre audit intern. Ținând cont de faptul că acest document
este emis de IIA, el adoptă o abordare axată pe audit, acordând o atenție deosebită valorii
aduse de echipa de audit intern; el acordă mai puțină atenție celorlalte funcții de control
intern.
4. O oportunitate pierdută de a renunța la ”linii”. Nu a fost folosită ocazia de a renunța la
imaginea creată asupra organizării stratificate/ în silozuri a companiilor. Consiliul de
administrație, managementul, auditul intern, conformitatea, administrarea riscurilor trebuie să
colaboreze în ceea ce privește riscul și să lucreze armonios, și nu separați / izolați.
În secţiunea dedicată definiţiilor, R5 se referă la „cadru aferent controlului intern”: acesta trebuie
să asigure desfăşurarea unor operaţiuni eficace şi eficiente, controlul corespunzător al riscurilor,
desfăşurarea prudentă a activităţii, credibilitatea informaţiilor financiare şi nefinanciare raportate,
atât intern, cât şi extern, precum şi conformitatea cu cadrul legal şi de reglementare, cerinţele de
supraveghere şi regulile şi deciziile interne ale instituţiei de credit;
R5 cuprinde o întreagă secţiune (secţiunea a 4-a, articolele de la 33 la 60) dedicată controlul
intern.
Controlul intern al unei instituţii de credit presupune:
a) existenţa unui cadru solid aferent controlului intern;
b) existenţa unor funcţii independente de control.
Cadrul aferent controlului intern este format din politicile, procedurile şi activităţile de control
care acoperă instituţia de credit în ansamblul său, inclusiv activităţile tuturor unităţilor
operaţionale, ale funcţiilor-suport şi de control (este vorba de prima linie de aparare din modelul
3LoD), la care se adaugă activitatea desfăşurată de funcţiile independente de control (liniile de
apărare 2 şi 3), care verifică modul de aplicare (conformăre) a respectivelor politici, proceduri şi
activităţi de control.
Funcţiile independente de control sunt:
1. funcţia de administrare a riscurilor;
2. funcţia de conformitate;
3. funcţie de audit intern.
b) Funcţia de conformitate
Funcţia de conformitate a unei instituţii de credit trebuie să asigure respectarea politicii de
conformitate şi să raporteze organului de conducere asupra administrării riscului de conformitate.
Riscul de conformitate reprezintă posibilitatea apariţiei unor situaţii de natură să conducă la plata
de către instituţia de credit a unor amenzi, daune şi/sau rezilierea de contracte sau care pot afecta
reputaţia unei instituţii de credit, ca urmare a încălcărilor sau neconformării cu cadrul legal şi de
reglementare, cu acordurile, practicile recomandate sau standardele etice.
Constatările funcţiei de conformitate trebuie să fie luate în considerare de către organul de
conducere în cadrul procesului decizional.
Funcţia de conformitate trebuie să acorde consultanţă organului de conducere asupra prevederilor
cadrului legal şi de reglementare şi asupra standardelor pe care o instituţie de credit este necesar
să le îndeplinească şi evaluează posibilul impact al oricăror schimbări ale cadrului legal şi de
reglementare asupra activităţilor instituţiei de credit.
Funcţia de conformitate are şi rolul de a verifica dacă noile produse şi noile proceduri sunt în
conformitate cu cadrul de reglementare în vigoare şi cu orice amendamente ale acestuia incluse în
acte normative adoptate ale căror prevederi vor deveni aplicabile ulterior.
Conform definiţiei date de Institutul Auditorilor Interni şi unanim acceptată pe plan internaţional,
auditul intern este o activitate independentă de asigurare obiectivă şi de consiliere, destinată să
adauge valoare şi să îmbunătăţească operaţiunile unei organizaţii. Ajută o organizaţie în
îndeplinirea obiectivelor sale printr-o abordare sistematică şi metodică care evaluează şi
îmbunătăţeşte eficacitatea proceselor de management al riscului, control şi guvernanţă.
Definiţia de mai sus conţine o serie de cuvinte cheie care necesită explicaţii suplimentare pentru a
putea fi deplin înţeleasă:
• Auditul intern este o activitate de sine stătătoare (nu este o operaţiune sau un proces
integrat în fluxurile organizaţiei) şi în principiu, poate fi externalizat. În prezent însă, în
sectorul bancar externalizarea funcţiei de audit este interzisă.
• Independenţa si obiectivitatea – sunt atributele esenţiale ale funcţiei de audit intern.
Deşi la prima vedere cei doi termeni par a fi sinonimi, există unele diferenţe, astfel:
- Independenţa – este un atribut al departamentului de audit intern (în engleză
Organizational Independence) şi reprezintă libertatea pe care o are departamentul
pentru a-şi îndeplini responsabilităţile fără intervenţii/imixtiuni din afară. În acest sens,
departamentul de audit intern este o structură distinctă, independentă de celelalte
compartimente ale organizaţiei şi subordonată direct la cel mai înalt nivel ierarhic.
- Obiectivitatea – este un atribut individual al auditorilor (în engleză Individual
Objectivity), care presupune desfăşurarea activităţii în mod imparţial, fără ca judecata
profesională să fie viciată. Acest aspect este legat în primul rând de prolema evitării
conflictului de interese: auditorii interni nu trebuie să fie implicaţi în realizarea altor
activităţi de natură operaţională şi în general nu li se vor repartiza sarcini care în mod
normal se presupune că vor fi supuse auditării.
Conform reglementărilor în vigoare în sectorul bancar din România, o funcţie de control
(reamintim că în această categorie sunt incluse funcţia de administrare a riscurilor, funcţia de
conformitate şi funcţia de audit intern) se consideră a fi independentă dacă îndeplineşte simultan
următoarele condiţii:
a) personalul său nu are nicio atribuţie în sfera activităţilor monitorizate şi controlate;
b) funcţia de control este separată din punct de vedere organizaţional de activităţile
monitorizate şi controlate;
c) coordonatorul funcţiei de control este subordonat unei persoane care nu are nicio
responsabilitate pe linia conducerii activităţilor monitorizate/controlate. Coordonatorul
funcţiei de control trebuie să raporteze în mod direct organului de conducere şi altor
comitete relevante şi trebuie să participe periodic la reuniunile acestora;
d) remunerarea personalului care exercită funcţia de control nu trebuie să fie legată de
performanţa activităţilor pe care le monitorizează/controlează, ci de atingerea obiectivelor
legate de funcţiile respective.
• Activitatea de asigurare obiectivă şi de consultanţă - Rolul tradiţional al auditului
intern a constat în examinarea gradului de adecvare a sistemelor de control intern pentru a
Finalitatea
Sancţiuni Sugestii/recomandări
auditului
Principiul 1 – Rolul auditului intern: O funcţie eficace de audit intern furnizează o asigurare
independentă structurii de conducere [Consiliu de Administraţie/Consiliu de Supraveghere şi
conducerea executivă] cu privire la calitatea și eficacitatea sistemelor și proceselor de control
intern, administrare a riscurilor și de guvernanță ale băncii, contribuind pe acesta cale la
protejarea organizaţie şi a reputaţiei acesteia.
Astfel, auditul intern are un rol crucial în evaluarea şi asigurarea mentenanţei proceselor
menţionate. În acest sens, auditul intern are o viziune proprie, independentă, cu privire la riscurile
cu care se confruntă banca. Auditorii trebuie să aibă posibilitatea de a-şi comunica opiniile,
constatările şi concluziile direct către organele cu funcţie de supraveghere, pe care le sprijină în
acest fel în îndeplinirea funcţiei de monitorizare a activităţii organelor cu funcţie de execuţie
(conducerea executiva/managementul superior).
Principiul 5 – Statutul auditului intern: Fiecare bancă trebuie să aibă un statut al auditului
intern (Cartă a Auditului, așa cum este denumită în Standardele internaționale de practică
profesională a auditului intern) care să stabilească scopul, poziţia şi autoritatea funcţiei de audit
intern în cadrul băncii, într-o manieră care să sprijine eficacitatea acestei funcţii, conform celor
enunţate la primul principiu.
Activitatea de audit intern trebuie să se desfăşoare pe baza unui plan anual (care poate fi parte a
unui plan multianual). Acest plan trebuie să fie elaborat pe baza unei evaluări robuste a riscurilor,
care să ia în considerare şi informaţii primite din partea organelor de conducere. Planul de audit
se aprobă de către Consiliul de Administraţie/Consiliul de Supraveghere.
Planul de audit trebuie să asigure o acoperire adecvată a problemelor de interes din perspectiva
autorităţii de reglementare (în cazul nostru, BNR). Astfel, departamentul de audit intern trebuie să
aibă capacitatea să verifice teme/domenii de interes pentru autoritatea de reglementare, respectiv
funcţiile cheie de administrare a riscurilor, procesul intern de adecvare a capitalului la riscuri,
controlul lichidităţii, raportarea către autoritatea de reglementare şi supraveghere, activitatea
financiar contabilă etc.
Dar cine este Comitetul de Audit? Comitetul de Audit este un comitet consultativ (o substructură
specializată) al Consiliului de Administraţie/Consiliului de Supraveghere, format exclusiv din
membri neexecutivi (în general 3-5 persoane), care supervizează problemele legate de auditul
h) să informeze, astfel cum este prevăzut la art. 65 alin. (6) lit. a) din Legea nr. 162/2017,
organul de conducere în funcţia sa de supraveghere cu privire la rezultatul auditului statutar şi
să explice modul în care a contribuit auditul statutar la integritatea raportării financiare şi rolul
comitetului de audit în procesul respectiv;
5Conform Legii 31/1990 privind societăţile comerciale, cu modificările şi completările ulterioare, Comitetul de
Audit este obligatoriu pentru societăţile supuse auditării.
(4) Fără a aduce atingere cerinţelor de calificare prevăzute de Legea nr. 162/2017 privind
auditul statutar al situaţiilor financiare anuale şi al situaţiilor financiare anuale consolidate şi de
modificare a unor acte normative, membrii comitetului de audit în ansamblul său trebuie să aibă
experienţă practică recentă şi relevantă în domeniul pieţelor financiare sau trebuie să fi obţinut, în
urma activităţilor anterioare, o experienţă profesională suficientă legată în mod direct de
activitatea pe pieţele financiare. Preşedintele comitetului de audit trebuie să aibă cunoştinţe de
specialitate şi experienţă în aplicarea principiilor contabile şi a proceselor de control intern.
Art. 109. Pentru fiecare angajament de audit din planul de audit trebuie întocmit un raport de
audit. Raportul de audit trebuie transmis conducerii structurii auditate, comitetului de audit şi
consiliului de administraţie, respectiv consiliului de supraveghere al instituţiei financiare
nebancare.
Art. 111. Auditul intern urmăreşte modul de implementare a recomandărilor formulate în cadrul
derulării acestei activităţi şi raportează în acest sens, cel puţin semestrial, conducătorilor,
consiliului de administraţie, respectiv consiliului de supraveghere şi comitetului de audit.
După cum se observă, atribuţiile Comitetului de Audit nu se limitează la funcţia de audit intern, ci
privesc şi sistemul de control intern şi de administrare a riscurilor, precum şi auditul extern.
Preşedintele acestui comitet trebui să fie „independent”. Pentru a înţelege ce a dorit legiuitorul să
exprime prin acest termen trebuie să facem referire la art. 1382 din Legea nr. 31/1990 privind
solicităţile comerciale, cu modificările şi completările ulterioare. Astfel, este independent acel
membru neexecutiv al Consiliului de Administraţie/Consiliului de Supraveghere care îndeplineşte
cumulativ următoarele condiţii:
Dubla subordonare asigură un flux sporit de informaţii în cadrul organizaţiei, acces la conducerea
executivă şi comunicarea rezultatelor catre un nivel ierarhic adecvat.
În 1941 în SUA s-a înfiinţat Institutul Auditorilor Intern (The IIA) care în timp a devenit
principala asociaţie profesională recunoscută pe plan internaţional dedicată dezvoltării şi
promovării profesiei de auditor intern. În prezent, această organizaţie are filiale în peste 165 de
ţări (în România este reprezentată de Asociaţia Auditorilor Interni din România - AAIR), cu cca.
170 000 de membri afiliaţi. The IIA (http://theiia.org) are un buget anual de peste 18 milioane
USD şi peste 125 de angajaţi permanenţi.
De-a lungul timpului, The IIA a elaborat o serie de documente care au conturat regulile general
acceptate pentru desfăşurarea activităţii de audit intern.
Aceste reguli sunt integrate în prezent în documentul intitulat “Cadrul International de Practici
Profesionale” (IPPF - International Professional Practices Framework). Acesta cuprinde o
secţiune obligatorie şi o secţiune cu caracter de recomandare.
În secţiunea obligatorie sunt incluse:
1. Definiţia auditului intern
2. Codul de etică
3. Standardele internaţionale pentru practica profesională a auditului intern
Secţiunea opţională cuprinde:
1. Îndrumări practice privind modul în care Standardele pot fi aplicate
2. Ghiduri practice pentru diferite operaţiuni
3. Documente de poziţie ale The IIA
Standardele internaţionale pentru practica profesională a auditului intern (în continuare
„Standardele”) joacă un rol central în cadrul IPPF emis de The IIA.
Auditul intern se desfăşoară în diferite medii legislative şi culturale; în cadrul unor organizaţii
care diferă din punct de vedere al scopului, mărimii, complexităţii şi structurii; de către persoane
din cadrul sau din afara organizaţiei. Deşi pot exista diferenţe care să influenţeze practica
auditului intern în fiecare dintre aceste medii, este esenţială respectarea Standardelor pentru
îndeplinirea responsabilităţilor auditorilor interni şi a activităţii de audit intern. Dacă legislaţia sau
regulamentele nu permit auditorilor interni sau activităţii de audit intern să respecte anumite
secţiuni ale Standardelor, este necesar să se respecte toate celelalte secţiuni ale Standardelor şi să
se declare neconformitatea existentă.
Un alt document esenţial pentru activitatea auditorilor interni îl reprezintă codul de etică. The IIA
a elaborat acest document pentru promova o cultura bazată pe etică în profesia de auditor intern.
Un cod de etică este necesar şi adecvat pentru profesia de auditor intern, întrucât aceasta are la
bază încrederea în asigurarea obiectivă, dată de auditul intern.
Codul de etică stabileşte principiile privind comportamentul persoanelor şi organizaţiilor în
executarea auditului intern şi descrie cerinţele minime de conduită al auditorilor.
Reguli de conduită
1. Integritate
Auditorii interni:
1.1. Trebuie să îşi desfăşoare activitatea cu onestitate, bună-credinţă şi responsabilitate.
1.2. Trebuie să respecte legea şi să facă comunicările necesare potrivit legii şi profesiei.
1.3. Trebuie să nu participe, cu bună ştiinţă, la activităţi ilegale şi să nu se implice în acte care
să discrediteze profesia de auditor intern sau organizaţia.
Fiind confruntaţi cu diverse situaţii limită cărora trebuie să le facă faţă, auditorii interni au
dezvoltat până azi un complex amplu de metode pentru a controla ceea ce intră în aria lor de
activitate, toate aceste metode fiind supuse unui proces continuu de ajustare și optimizare pentru a
face faţă în timp util schimbărilor din sistem. Principala reorientare înregistrată se referă la
concentrarea pe riscurile specifice activităţii bancare. Punctul de plecare pentru organizarea
optimă a activităţii, desigur că este planul de audit, care este elaborat de managementul direcţiei
de audit intern şi care include termenul şi frecvenţa activităţilor de audit, fiind bazat pe o evaluare
metodică a riscurilor implicate şi a controalelor aplicate pentru minimizarea acestora. În
dezvoltarea planului de audit directorul de audit intern ține cont de echilibrul dintre cunoștințe,
abilități și alte competențe necesare pentru a completa planul și resursele disponibile.
Planul şi metodologia de audit iau în considerare evoluţiile înregistrate, riscul de obicei mai
mare al noilor activităţi, şi intenţia de auditare a tuturor activităţilor şi entităţilor importante ale
băncii într-o perioadă rezonabilă de timp (principiul ciclului de audit – de exemplu doi ani).
Analiza metodelor de lucru ale auditului intern demarează prin detalierea planificării muncii de
audit, deoarece rezultatele muncii auditorilor sunt fundamental influenţate de aceasta etapă,
planificarea incluzând şi examinarea şi evaluarea informaţiilor disponibile, comunicarea
rezultatelor, urmărirea recomandărilor şi concluziilor.
Direcţia de audit intern examinează şi evaluează toate activităţile unei bănci din cadrul tuturor
entităţilor acesteia. De aceea, activitatea de audit nu trebuie canalizată pe un singur tip de audit,
ci trebuie folosit cel mai potrivit tip de audit, în funcţie de obiectivele ce trebuie atinse. Mai mult,
activitatea auditorilor nu este limitată doar la auditarea diferitelor funcţiuni, departamente ale
băncii, ci ea este în principiu organizată ca să abordeze o anumită activitate în totalitatea ei, prin
prisma tuturor entităţilor implicate în această activitate.
După întinderea misiunii de audit (aspect cantitativ), auditul efectuat de auditorii interni poate fi:
Audit general, care acoperă întreaga activitate desfăşurată de unitatea audiată, de la ultimul
control aplicat, până la data misiunii de audit curente. Acest tip de control se realizează
periodic, dar nu la o perioadă de timp determinată, ci în funcţie de anumite criterii stabilite de
conducerea departamentului de audit, însă nu mai puţin de o dată de la o perioadă de timp
bine determinată (în general 2-3 ani sunt între două misiuni de audit general aplicate unei
unităţi).
În alcătuirea planului anual de audit, precum şi în alegerea unităţilor băncii care urmează a fi
auditare, mai mulţi factori sunt luaţi în considerare, în funcţie de complexitatea și riscurile
întâlnite în cazul unităţii ce urmează a fi auditate.
În privinţa auditului direcţiilor/departamentelor din centrala băncii, auditul acoperă cel puţin
următoarele aspecte:
- rolul direcţiilor/departamentelor în desfăşurarea activităţii la nivelul băncii;
- procesele care stau la baza activităţii respective, precum şi modul de implementare al
acestora;
- nivelul informaţiilor pe care acestea îl furnizează managementului;
- aria de responsabilitate şi eventuale interferenţe ale activităţii cu cea a altor
departamente/direcţii.
Auditul parţial acoperă activitatea unei entităţi pe o anumită perioadă sau are ca scop
controlul anumitor operaţiuni desfăşurate.
Are aceeaşi structură ca şi auditul general, dar se desfăşoară la o scară mai redusă, pe anumite
activităţi, sau pe întreaga activitate a sucursalei, dar pe un eşantion mult mai redus. Unul din
principalele obiective ale auditului parţial este verificarea implementării recomandărilor
auditului în urma misiunii anterioare de audit. Anvergura auditului parţial este
determinată şi de primele rezultate ale acestei verificări.
De asemenea, controlul activităţii casieriei unităţilor operative este considerat tot un tip de
control parţial. Acest tip de control este aplicat relativ mai des şi are rolul de a evidenţia
acurateţea operaţiunilor efectuate cu numerarul băncii şi a depista eventuale lipsuri
neraportate.
Auditul special se desfăşoară la cererea expresă a managementului şi are ca scop
examinarea cazurilor de încălcare a regulilor băncii şi atribuirea responsabilităţilor
persoanelor implicate. Totodată, acest tip de audit poate fi iniţiat şi de către managementul
direcţiei de audit, ca urmare a identificării unor nereguli importante în decursul misiunilor de
audit sau chiar în activitatea operaţională zilnică.
Metodele sau testele de audit utilizate de auditori în decursul misiunilor lor sunt alese în funcţie
de obiectivul pe care îl are misiunea respectivă.
Tipurile de teste de audit utilizate, menţionând că mixarea lor cât mai eficientă este determinată de
experienţa auditorului responsabil cu misiunea de audit respectivă, pot fi:
Intervievarea
Folosirea de chestionare
Folosirea chestionarelor este poate tehnica cu aria cea mai largă de aplicabilitate utilizată de
auditorul care revizuieşte operaţiunile efectuate de unitatea auditată. Acest tip de testare poate
include sugestionarea unor puncte de vedere referitor la un proces, pentru a surprinde reacţia
managementului – “interviu punctat”. Abilităţi speciale sunt necesare pentru ca acest tip de test
să îşi atingă scopul.
Observare şi inspecţie
Observarea implică o verificare atentă şi cu ştiinţă (cunoaştere) a documentelor procesate, a
activităţilor, a activelor. Aceasta înseamnă o examinare vizuală cu un anumit scop, o comparare
mentală cu anumite standarde deja stabilite şi cunoscute. De exemplu, acest tip de test se aplică
în cazul inventarierilor stocurilor, a originalelor contractelor de credit, de servicii, etc. Se
recomandă formalizarea observării și a inspecțiilor și asumarea conținutului procesului verbal
întocmit de către intervievați și auditori.
Revizuirea documentaţiei
Această metodă implică revizuirea rapoartelor şi a documentelor existente, pentru a identifica
controalele aplicate, pentru a înţelege procesul sau activitatea în vederea asigurării acelor evidenţe
care să susţină concluziile auditului.
Revizuiri analitice
Metoda presupune anumite comparaţii şi relaţionări între grupe de date. Testele analitice includ:
(i) analize de trend (tendinţe), cum ar fi analiza fluctuaţiilor;
(ii) benchmarking, asupra bugetelor şi standardelor pre-determinate;
(iii)analiza indicatorilor, a celor financiari sau ai celor aferenţi procesului;
(iv) tehnici de modelare, cum ar fi teste de rezonabilitate, analiza frecvenţei distribuţiei, etc.
Urmărirea proceselor
Această metoda presupune urmărirea unei proceduri, începând cu documentele iniţiale ale
procesului audiat, începând cu documentele originale care au demarat procesul respectiv, şi,
continuând pe întregul lor circuit, în cadrul procesului. Se recomandă desenarea unui flowchart și
punctarea elementelor de control lipsa sau a celor care reflectă posibilități de optimizare a
procesului respectiv.
Scanarea
Aceasta este o procedura mai puţin detaliată, care are intenţia de a detecta o situaţie neobişnuită.
Eficienţa scanării depinde de abilitatea auditorului de a identifica elemente neobişnuite şi prin
punctarea din masa mare de informaţii scanate, a acelora care prezintă particularităţi neobişnuite.
Reconcilieri
Acestea sunt un tip de teste de audit care are un scop precis, fiind destinat să analizeze variaţiile
dintre două seturi de informaţii similare. De exemplu, reconcilierea soldurilor conturilor băncii la
alte bănci, în ţară sau străinătate, prin confruntarea situaţiilor proprii cu extrasele de cont
primite de la băncile respective, pentru disponibilităţile băneşti păstrate în conturile lor.
Orice activitate delegată va fi făcută de o aşa manieră prin care să se asigure certitudini că munca
va fi desfăşurată cu competenţă de persoane care au pregătirea profesionala necesară în acele
circumstanţe.
Angajaţii cărora le sunt delegate sarcini de audit au nevoie, dar totodată au şi dreptul să primească
direcţionarea potrivită. Direcţionarea implică informarea auditorilor despre responsabilităţile lor,
despre obiectivele procedurale pe care le au de îndeplinit în cursul auditului. Aceasta implică de
asemenea şi furnizarea de informaţii, cum ar fi detalii despre activitatea entităţii auditate, posibile
probleme contabile sau de audit care ar putea afecta natura, lungimea, întinderea procedurilor de
audit aferente acelei misiuni.
Supervizarea muncii de audit este în relaţie directă atât cu direcţionarea cât şi cu revizuirea şi
poate implica elemente ale ambelor acţiuni.
Persoanele cu responsabilităţi de supervizare (auditorii responsabili pentru misiunea în cauză)
efectuează următoarele funcţii în timpul unui audit: participă în misiunea de audit şi
monitorizează progresele, pentru a identifica dacă:
(i) auditorii au pregătirea necesară şi competenţa să ducă la îndeplinire responsabilităţile
acordate;
(ii) auditorii înţeleg ce urmăreşte auditul;
(iii)munca de audit este desfăşurată în concordanţă cu planul de audit şi cu programul de audit.
Persoanele cu responsabilităţi de supervizare se informează despre şi transmit întrebările
semnificative (contabile, de audit) apărute în timpul auditului, prin evaluarea importanţei acestora,
totodată, modifică planul de audit şi programul de audit, dacă este cazul şi rezolvă orice diferende
apărute ca urmare a interpretării profesionale a problemelor identificate şi analizează dacă este
necesară consultanţa specifică suplimentară.
Munca depusă de fiecare echipă de audit este revizuită de către conducătorul acestei activităţi
(manager), pentru a se asigura că:
munca a fost desfăşurată conform programului de audit;
munca depusă şi rezultatele obţinute au fost documentate corespunzător;
toate problemele de audit importante au fost soluţionate sau sunt menţionate în concluziile
auditului;
obiectivele procedurii de audit au fost îndeplinite, şi
Auditorii îşi documentează afirmaţiile, opiniile lor, care sunt importante în furnizarea acelor
evidenţe care le întăresc opiniile şi care să aducă asigurarea că auditul a fost desfăşurat în
conformitate cu standardele interne de audit.
Documentarea înseamnă acele documente (foi de lucru) întocmite, obţinute şi reţinute de către
auditori în legătură cu misiunea specifică de audit pentru care se face documentarea. Foile de
lucru pot lua atât forma datelor stocate pe hârtie, dar şi a fişierelor electronice.
În funcţie de necesităţile specifice ale unei misiuni de audit, de obicei auditorii au libertatea să
aleagă orice informaţii pe care le consideră relevante şi potrivite pentru misiunea de audit ce o
au de îndeplinit, aceasta pentru a putea sa-şi ducă la îndeplinire munca în cele mai bune
condiţii şi fără restricţii impuse care să le îngrădească creativitatea.
Auditorii adoptă acele proceduri potrivite pentru a menţine confidenţialitatea şi siguranţa păstrării
foilor de lucru, păstrarea acestora pentru o perioadă suficientă pentru a răspunde necesităţilor
practice, şi pentru a fi în concordanţă cu cerinţele legale şi profesionale privind perioada de
arhivare.
Chiar dacă părţi sau extrase din foile de lucru pot fi puse la dispoziţia entităţii auditate, acestea nu
pot fi sub nicio formă utilizate ca şi înregistrări contabile.
Rapoartele de audit sunt chintesenţa muncii auditorilor în cadrul unei misiuni de audit, acestea
oferind conducerii băncii informaţii care vor fi utilizate în procesul decizional.
Misiunile de audit se realizează având la bază metodologia şi principiile generale de audit,
procedurile interne emise de bancă, regulile şi regulamentele emise de Banca Naţională a
României şi alte organizaţii naţionale cu putere decizională (exemplu, Ministerul de Finanţe).
Auditorul, chiar şi în echipă nu poate cuprinde totul. El lucrează pe baza de eşantionare, folosind
metode statistice de detecţie. Asta înseamnă că există posibilitatea ca auditorii să nu observe o
problemă care ar putea avea caracter semnificativ - riscul de audit. Dimensiunea acestui risc
depinde de trei componente: de riscul inerent, de riscul de control şi de riscul de nedetectare.
Riscul inerent reprezintă riscul aferent unei operaţiuni în condiţiile în care nu ar exista măsuri de
control intern (la acest nivel se face abstracţie de activitatea de control şi de capacitatea acesteia
de a detecta neregulile).
Riscul inerent şi riscul de control există independent de activitatea de audit şi nu pot fi controlate
de auditor, dar pot fi evaluate şi determină proiectarea procedurilor de fond care vor menţine
riscul de nedetectare la un nivel acceptabil.
Deşi acest risc este singurul risc care poate fi controlat de auditor, există mai mulţi factori care pot
genera risc de nedetectare, cum ar fi:
- auditorul nu utilizează procedurile de audit cele mai adecvate;
- auditorul nu aplică în mod corect o anumită procedura de audit;
- auditorul interpretează greşit rezultatele obţinute;
- auditorul nu aplică proceduri adecvate de eşantionare.
4.1. INTRODUCERE
Acest capitol vă va familiariza cu importanţa gestionării riscurilor bancare din perspectiva
auditului, va prezenta care sunt riscurile bancare, analiza riscului bancar ca metodă de audit,
precum şi auditul riscurilor bancare.
OBIECTIVELE PROCESULUI DE STUDIU
Când veţi termina de studiat acest capitol, veţi putea:
să cunoaşteţi importanţa gestionării riscurilor bancare din perspectiva auditului,
să ştiţi care sunt riscurile bancare,
să prezentaţi analiza riscului bancar - metodă de audit.
In decursul ultimilor 10-15 ani, organizaţiile şi reglementatorii au conştientizat rolul şi importanţa
crescândă a guvernanţei corporatiste, a managementului riscului, controlului şi asigurării.
Dacă restrângem aria de observaţie numai la planul naţional, înfiinţarea Camerei Auditorilor
Financairi din România, reglementarea normelor minimale de audit intern, Norma 17/2003 şi
ulterior Regulamentul 18/2009, completat prin Regulamentul BNR 25/2010, și mai apoi
Regulamentul 5/2013 sunt exemple concrete de cerinţe pentru organizaţii în privinţa identificării
riscurilor cu care acestea se confruntă. Acordul Basel II subliniază în mod special necesitatea
stabilirii unei arhitecturi efective şi eficiente de management al riscului.
Fiecare bancă are o anumită structură a activelor şi pasivelor. Pe parcursul unei perioade de
gestiune (un an), banca obţine anumite câştiguri şi efectuează anumite cheltuieli, cea mai mare
parte a acestora fiind cheltuielile cu dobânzile la fondurile atrase/plasate.
Atât câştigurile cât şi cheltuielile pot fi estimate în funcţie de structura activelor şi pasivelor, de
operaţiunile efectuate şi de factorii macroeconomici, legislativi etc.
Cauza cea mai frecventă a pierderilor şi insolvabilităţii instituţiilor financiare este dificultatea lor
de a face faţă unor evenimente ce se pot produce, dar care nu au fost prevăzute.
Teoria portofoliului arată că relaţia dintre patrimoniul net al unei bănci, instabilitatea câştigurilor
de pe urma portofoliului şi cheltuielilor de funcţionare determină riscul ce cauzează falimentul
băncii.
Aceasta deoarece riscul de portofoliu se referă la riscul asociat fiecărui element de activ şi de
pasiv, la importanţa combinării lor şi a relaţiei dintre ele. Totodată, portofoliul unei bănci, prin
componenţă, structură, determină scadenţa tuturor activelor şi pasivelor.
Băncile întâmpină dificultăţi dacă sunt incapabile să se adapteze noilor condiţii. Acestea au de
preîntâmpinat eventualele evenimente neprevăzute şi de redus riscurile aferente. Pentru aceasta
pot acţiona în mai multe direcţii:
Rolul capitalului este să reducă riscul prin absorbirea pierderilor, rezolvarea problemelor legate
de lichiditate, limitarea creşterii riscurilor asumate de bancă. Relaţia dintre risc şi capital este
neliniară şi pericolul insolvabilităţii scade rapid atunci când capitalul creşte. În prezent,
autorităţile de reglementare se axează pe măsurarea capitalului. Ele încearcă să afle ce risc îşi
poate asuma o bancă pornind de la evaluarea activelor băncii, politica de creditare, administrarea
numerarului şi calitatea managementului băncii.
Riscul este prezent permanent în activitatea bancară, în fiecare tranzacţie, în fiecare proces.
Este esenţial pentru o bancă să identifice riscurile cu care se confruntă, cele specifice şi cele
asociate, generate de operaţiunile desfăşurate, să le evalueze şi să-şi concentreze forţele pentru
acoperirea corectă a acestora, pentru diminuarea efectelor lor.
O bancă îşi asumă cu bună ştiinţă riscuri, având în vedere că funcţia principală a unei bănci este
de a plasa din resursele proprii sau atrase pe care le are la dispoziţie. Riscurile asociate sunt
diferenţiate în funcţie de natura resurselor pe care banca le plasează.
În domeniul bancar ne aflăm în aşa numita “eră a managementului de risc”, iar managementul
riscului constituie o sarcină extrem de complexă şi importantă a managementului bancar, având în
vedere că, în general, asumarea de riscuri mari poate conduce la pierderi mari.
Unul din instrumentele pe care managementul le poate folosi pentru a cunoaşte care sunt
riscurile cu care se confruntă şi care este amplitudinea acestora este auditul. Atât auditul intern
cât şi cel extern au cunoscut în ultimii ani o schimbare profundă a modului de abordare, prin
aceea că toată metodologia de audit este structurată în funcţie de riscurile cu care se confruntă
entitatea auditată. În consecinţă, rezultatele auditului sunt prezentate managementului prin
prisma riscurilor care trebuie adresate corespunzător.
Riscurile bancare sunt de regulă abordate în funcţie de tipul lor, datorită complexităţii şi
diversităţii acestora. Trebuie avut însă în vedere că riscurile sunt interdependente. Această
realitate impune o abordare globală a gestiunii riscurilor, care trebuie să asigure băncii
capacitatea de a identifica şi evalua riscurile, de a le controla, evita si, pe cat posibil minimiza
efectele adverse.
Riscul este un însoţitor permanent al activităţii bancare, strategia şi organizarea băncii fiind
afectate dacă riscurile actuale şi de perspectivă nu sunt luate în considerare.
Fiind permanent prezent, riscul trebuie permanent monitorizat prin instrumente ajustate fiecărui
tip de risc (vom prezenta ulterior diverse metode practice aplicate riscurilor identificate în
activitatea unei bănci). Completitudinea instrumentelor şi corecta lor aplicare sunt obiective
principale ale fiecărei misiuni de audit, atât intern cât şi extern.
Controlul riscurilor vizează minimizarea cheltuielilor asociate riscurilor pentru expunerile care au
fost identificate, însă nu pot fi evitate sau eliminate, luând în considerare nivelurile de risc
identificate pentru fiecare categorie de riscuri. Controlul riscurilor, componentă a gestiunii
acestora, utilizează tehnici specifice fiecărei categorii de risc:
tehnici de gestiune a bilanţului sau de diversificare a portofoliului pentru riscul de piaţă;
calitatea produselor bancare;
analiza creditelor neperformante pentru riscul operaţional etc.
Dacă banca a apreciat corect cheltuielile şi veniturile asociate riscurilor, această etapă poate avea
efect favorabil asupra reducerii costurilor totale. În caz contrar, pot fi eliminate produse care ar
putea genera venituri în viitor.
Din perspectiva gestiunii riscurilor bancare, finanţarea acestora presupune atât acoperirea, cât şi
transferul lor. Cele două metode sunt adecvate unor situaţii diferite:
- acoperirea riscurilor este funcţională în cazul riscurilor cu frecvenţă şi amplitudine a
expunerii previzibile sau atunci când nu există asigurări de piaţă;
- transferul riscurilor este adecvat când expunerea la risc este mai puţin previzibilă sau când
pagubele potenţiale sunt grave, funcţionarea metodei presupunând existenţa pieţelor de
asigurări convenţionale.
În cazul în care riscurile, datorită dimensiunii lor, nu pot fi controlate prin cele două metode, sunt
necesare identificarea şi evaluarea gradului de risc pentru ca managerul să cunoască expunerea
potenţială.
Riscul poate fi considerat ca punct de plecare în cercul monitorizării activităţii unei bănci, el
fiind prezent din momentul începerii activităţii unei bănci şi însoţind fiecare tranzacţie a acesteia.
Identificarea tuturor riscurilor şi a gradului lor de potenţială împlinire este esenţială pentru
desfăşurarea activităţii unei bănci pe termen lung. Managementul trebuie să găsească acele
metode şi instrumente, acel sistem de control intern optim prin care să aibă în permanenţă o
imagine completă a riscurilor activităţii pe care o coordonează, precum şi siguranţa că toate
controalele interne funcţionează şi atenţionează din timp în cazul oricărei nereguli. Aici intervine
auditul intern, care evaluează comprehensivitatea riscurilor identificate şi a metodelor de
acoperire a acestora, justeţea sistemului de control intern in funcţie de riscurile identificate, dar şi
modul în care controalele interne sunt aplicate şi monitorizate.
Gruparea riscurilor bancare în clase şi tipuri de risc este necesară atât pentru identificarea
trăsăturilor comune (cauze, instrumente/tehnici de gestiune, metode de evaluare etc.), dar şi
pentru abordarea lor corelată ce asigură observarea riscurilor şi posibilitatea găsirii metodelor
optime de gestionare a lor, cât şi asimilarea unor procedee şi tehnici.
Administrarea eficientă a activelor şi pasivelor unei bănci, precum şi a tuturor elementelor conexe
activităţii băncii, presupune monitorizarea următoarelor categorii de riscuri:
Riscul de ţară
Riscurile de plasament
Succesul activităţii bancare este strâns legat de corelarea eficientă şi în detaliu între activele şi
pasivele reflectate în bilanţ şi în afara bilanţului. Corelarea activelor cu pasivele implică o
valorificare superioară a resurselor mobilizate de bănci prin angajarea unor operaţiuni active de
plasament, generatoare de profit.
Plasamentele la bănci
În vederea reducerii acestor riscuri, băncile trebuie să monitorizeze băncile partenere, stabilind
limite de risc pe bănci, ca expresie a expunerii maxime ce poate fi asumată din plasamentele
ferme (depozite şi credite) sau potenţiale (din operaţiuni documentare pe banca respectivă).
În acelaşi timp, nu trebuie uitat însă faptul că plasamentele la bănci sunt negarantate, fapt pentru
care recuperarea devine incertă şi mai greoaie decât în cazul expunerilor garantate.
Orice bancă îşi asumă riscuri atunci când acordă credite şi, în mod cert, toate băncile înregistrează
şi pierderi atunci când unul sau mai mulţi debitori nu îşi onorează obligaţiile.
Oricare ar fi însă nivelul riscurilor asumate, pierderile aferente portofoliului de credite pot fi
minimizate dacă operaţiunile de creditare sunt gestionate cu profesionalism. Din acest punct de
vedere una dintre cele mai importante funcţii ale conducerii băncii este de a controla calitatea
portofoliului de credite, deoarece slaba calitate a creditelor este principala cauză a falimentelor
bancare.
Orice credit reprezintă o anticipare a unor încasări viitoare. Din această perspectivă, un credit
presupune riscul ca aceste încasări să nu se realizeze deloc sau doar parţial. Acest risc este
denumit şi risc de insolvabilitate a debitorului, iar gestionarea lui este esenţială în activitatea
bancară.
Întrucât a preveni este mai uşor decât a corecta, pentru limitarea expunerii la risc este necesară:
Riscul investiţiilor în titluri de valoare este mai mic decât în cazul creditelor, dar trebuie avut în
vedere că, similar cu plasamentele la bănci, ele nu sunt acoperite cu garanţii. În fapt, atunci când
se achiziţionează titluri de valoare, banca îşi asumă riscul emitentului acestora care conduce la
asumarea unui risc negarantat pe o bancă comercială, bancă centrală sau pe un client nebancar.
Cu toate acestea, riscul pierderii în totalitate a sumelor investite în titluri de valoare este mai mic
decât în cazul creditelor deoarece există întotdeauna o piaţă secundară care permite valorificarea
acestora pentru acoperirea unor nevoi de lichiditate ale băncii sau pentru minimizarea unor
pierderi.
Plasamentele în participaţii
În general, decizia de a plasa fonduri în participaţii la alte societăţi este de natură strategică, pe
termen lung, şi nu se vizează într-o primă fază obţinerea unor venituri imediate, cât pătrunderea
pe anumite pieţe.
Riscul asociat participaţiilor este ca activitatea societăţii unde banca deţine un pachet de acţiuni
să se deterioreze, aceasta neavând capacitatea de a oferi dividende. Mai mult, datorită
pierderilor, valoarea participaţiei se poate eroda. Totodată, prin aceste participaţii, banca obţine
calitatea de acţionar la societatea respectivă, putând să exercite un control intern al activităţii
acesteia şi, deci, să acţioneze în sensul reducerii riscurilor.
Riscul care ar putea să apară constă în faptul că, în cazul unor strategii greşit alese prin
dezvoltări necontrolate de investiţii în mijloace fixe, se poate ajunge chiar la faliment întrucât
banca nu mai dispune de suficiente fonduri necesare începerii sau derulării operaţiunilor bancare
propriu-zise. În plus, la începutul activităţii sale, o bancă nu beneficiază de linii de finanţare care
să suplinească imobilizarea fondurilor în mijloace fixe.
Structura activelor şi pasivelor unei bănci este strâns legată de poziţia de lichiditate a băncii,
asigurând o diversificare a activelor şi pasivelor, a duratelor de angajare şi plasare a acestora
precum şi a tipurilor de valută în care acestea sunt exprimate.
Structura plasamentelor
Structura plasamentelor trebuie urmărită permanent pentru a găsi echilibrul necesar obţinerii de
profit. În acest sens, este foarte important ca ponderea activelor aducătoare de venituri să fie cât
mai mare în totalul activelor, şi în acest mod riscul unei activităţi neprofitabile să fie evitat.
Structura pe valute
Structura activelor şi pasivelor pe valute trebuie astfel concepută încât banca să nu fie
semnificativ afectată ca urmare a evoluţiei aleatoare a cursului unei anumite valute. În consecinţă,
structura pe valute devine expresia gestionării riscului valutar.
Riscul valutar reprezintă sensibilitatea situaţiei financiare a băncii faţă de fluctuaţiile viitoare ale
cursului valutar în care sunt exprimate activele şi pasivele sale. O variaţie adversă a cursului
valutar pe piaţă poate duce la diminuarea profitului din operaţiuni bancare sau chiar la pierderi.
Activele şi pasivele externe sunt integrate în bilanţul băncii prin conversie în moneda naţională la
cursul zilei. Variaţia acestui curs poate antrena pierderi sau câştiguri independente de eforturile
băncii sau de calitatea managementului.
Astfel, expunerea potenţială la acest risc depinde de mărimea diferenţei dintre activele şi pasivele
într-o anumită valută. În general, structura pe valute şi termene a plasamentelor trebuie să
urmărească structura pe valute şi termene a resurselor.
În acest sens, băncile ar trebui să evite plasamentele în valute slabe sau în curs de depreciere. De
exemplu, nu este indicat pentru o bancă cu resurse preponderent exprimate în lei să se angajeze în
activităţi de creditare în valută în condiţiile unei tendinţe de devalorizare mare a leului faţă de
celelalte valute.
Structura pe termene
După cum am mai menţionat, în calitatea sa de intermediar financiar, banca realizează
operaţiunea de transformare a scadenţelor prin atragerea de fonduri pe termen scurt şi plasarea
Ca regulă generală, corelarea scadenţelor pasivelor cu cele ale activelor presupune ca termenele
pentru care sunt mobilizate resursele să fie mai mari decât perioada pentru care sunt constituite
plasamentele.
Gestionarea scadenţelor se realizează zilnic prin urmărirea fluxului de disponibilităţi ca intrări şi
ieşiri de fonduri.
Totodată, trebuie avută în vedere menţinerea unui stoc tampon de active lichide pentru a putea
compensa eventuale retrageri neaşteptate ale deponenţilor.
Riscul de lichiditate
Este cel mai important risc pe care o bancă îl administrează zilnic, şi poate fi definit ca
posibilitatea producerii unui eveniment nefavorabil cauzat de incapacitatea băncii de a face faţă
obligaţiilor sale financiare pe termen scurt la un moment dat.
Riscul de lichiditate este ridicat atunci când banca nu gestionează corect fluxurile de numerar
provenite din utilizarea facilităţilor de credit, nerambursarea la termen a creditelor şi depozitelor
acordate sau retragerile de fonduri coroborate cu imposibilitatea de a avea acces la surse atrase.
În funcţie de resursele pe care le au, băncile pot fi în situaţia de a îşi dori să ofere credite pe
termen lung, pe care să le finanţeze din resurse (depozite) pe termen scurt.
Riscul de lichiditate apare atunci când banca trebuie să facă faţă unor scadenţe diferite între
activele (creditele acordate) şi pasivele proprii (depozitele atrase). Banca se supune de bunăvoie
acestui risc, deoarece ea profită din nivelurile diferite ale dobânzilor, ratele fiind diferite în funcţie
de durata tranzacţiei.
Riscul devine manifest atunci când depozitele ajunse la scadenţă nu sunt prelungite (sau sunt
prelungite pe o altă perioadă decât cea iniţială pe care miza banca). Astfel, se poate ca
rambursarea creditelor să nu acopere diferenţa, banca fiind obligată să acorde dobânzi mai mari,
pentru a atrage noi depozite sau să apeleze la alte variante (ex. să vândă active), pentru a dispune
de lichidităţile necesare a acoperi diferenţele.
Riscul de lichiditate este monitorizat de bănci prin analiza detaliată a scadenţelor activelor şi
pasivelor şi stabilirea acestor scadenţe cu prudenţă. Totodată, ele menţin o pondere a activelor
lichide (de ex.: numerar, disponibilităţi la bancă, titluri de valoare etc.) la dispoziţia lor şi îşi
planifică fluxurile de trezorerie cât mai bine.
Banca Naţională a venit în întâmpinarea activării dezorganizate a acestui risc şi a stabilit nivelul
minim de lichiditate de păstrat de către bănci. Orice scădere sub acest nivel este “amendată” de
către BNR, Direcţia Supraveghere, cel puţin printr-o monitorizare ulterioară mai atentă a
Pentru acoperirea nevoilor de lichiditate se pot folosi atât active cât şi pasive. Sursa tradiţională
de lichiditate o reprezintă activele lichide, în sensul transformării rapide a acestora (atunci când
este posibil) şi cu o cheltuială minimă în bani lichizi (numerar sau disponibil în contul curent).
Riscul de numerar
Riscul de numerar pentru o bancă înseamnă posibilitatea de a înregistra pierderi potenţiale ca
urmare a:
păstrării în casierie a unei cantităţi de numerar mai mare decât cel necesar derulării
operaţiunilor zilnice;
neprogramării corespunzătoare a alimentării cu numerar.
Riscul tehnic
Având în vedere că majoritatea tranzacţiilor care se referă la administrarea activelor şi pasivelor
sunt de valori mari şi necesită efectuarea fără întârziere a operaţiunilor, executarea acestora atrage
după sine aşa numitul risc tehnic. Se are în vedere că nefuncţionarea unor sisteme informatice şi
de telecomunicaţie sau de genul SWIFT, REUTERS, telex, poate crea situaţii insurmontabile
pentru o bancă.
RISCUL DE ŢARĂ
Pe lângă toate riscurile prezentate anterior, un tip specific de risc care trebuie luat în considerare,
impus de operaţiuni financiar-bancare (credite, garanţii, asigurări) cu parteneri de peste frontieră
constă în probabilitatea nerecuperării creanţelor de către banca creditoare. Este vorba despre
riscul de ţară. Având în vedere complexitatea acestuia, organismele internaţionale de analiză şi
evaluare (agenţiile de evaluare) acordă o importanţă deosebită acestuia, iar rezultatele analizelor
influenţează hotărâtor în procesul de finanţare al ţărilor care au nevoie de acest ajutor.
Nu trebuie confundat riscul de ţară cu riscul de credit, ele fiind fundamental diferite în ceea ce
priveşte cel puţin motivele pentru care cel împrumutat nu poate rambursa la timp. În primul caz,
motivul poate fi declanşarea unui război civil sau schimbării bruşte de regim, a unor tulburări
sociale, sau catastrofe naturale. În al doilea caz, rambursarea este din cauza debitorului, fiind doar
rezultatul degradării situaţiei sale financiare.
Unul din factorii riscului de ţară este riscul politic (suveran). Instabilitatea politică a unui stat,
după amploarea sa, provoacă situaţii cu diverse grade de gravitate pentru creditor. Creanţele
deţinute în aceste ţări instabile politic au grad mare de risc, care culminează cu anularea datoriilor
faţă de străinătate de către ţara respectivă.
Odată identificate riscurile şi metodele de monitorizare a lor, adică acel sistem de controale
interne prin care managementul beneficiază la timp şi complet de imaginea de ansamblu a
situaţiei pe care trebuie să o considere când ia decizii operaţionale, intervine rolul auditului.
Auditul intern prin metodele sale de monitorizare, aduce confirmare managementului că ce a
decis el este pus în practică corect şi la timp.
În analiza oricărui risc sunt parcurse în principiu următoarele faze, iar rezultatele fiecărei etape
determină modalitatea de abordare a fazei următoare, ca întindere, profunzime, resurse alocate
etc.:
1. Identificarea riscurilor: fiecărei activităţi îi sunt specifice anumite riscuri, care desigur
ca sunt completate cu riscurile generale, identificate în fiecare activitate. O bancă trebuie să
identifice riscurile cu care se confruntă, pentru a găsi în timp real metode de a le acoperi sau
măcar de a le diminua. Prezentăm mai jos riscurile cu care se confruntă sistemul bancar, atât în
general cât şi în particular, precum şi o analiză a fiecărui tip de risc. Prezentarea cuprinde tipul de
risc, definirea acestuia, pentru a fi clară aria de cuprindere, apoi pe baza unei situaţii cu care s-ar
putea întâlni o bancă, analizăm fiecare risc prin stabilirea cauzelor, a consecinţelor, dar mai ales a
recomandărilor pentru depăşirea eventualelor probleme.
2. Identificarea cauzelor: reprezintă efortul depus pentru a identifica fiecare punct slab,
originea şi tipul erorii de la care s-a pornit. Fiecare punct slab este determinat de mai multe cauze,
aparente sau profunde, care necesită fiecare un efort special de identificare.
4. Stabilirea fişei riscului: Riscul este o situaţie care prezintă o diferenţă faţă de o stare
normală (o normă) sau o stare ideală şi care poate avea consecinţe reale sau potenţiale. El trebuie
definit cu precizie, pentru a putea fi normalizat. Pentru fiecare risc se poate întocmi o fişă, care
conţine un număr de informaţii necesare pentru tratarea problemelor identificate şi ar trebui
nominalizată în funcţie de metodologia aleasă pentru rezolvarea problemei respective.
Fişa riscului sintetizează informaţiile privind riscul, informaţii pe care apoi auditorul le
analizează. Aceasta permite identificarea riscurilor adevărate, precum şi validarea riscurilor de
către persoanele auditate.
Fiecare entitate bancară trebuie să îşi stabilească un cadru eficient şi unitar pentru procesele de
identificare, notificare, analiză şi monitorizare a evenimentelor de risc la nivelul unităţilor
operative, pentru ca apoi acestea (riscurile) să fie administrate la nivel centralizat. Tipurile de
riscuri se pot manifesta în oricare din activităţile desfăşurate de către entităţile funcţionale ale
băncii.
Periodic, banca efectuează sistematic o evaluare a riscurilor semnificative, evaluare care ţine cont
şi de implicaţiile corelării fiecărui risc semnificativ cu celelalte riscuri la care este expusă banca,
precum şi de previzionările anumitor indicatori, pe baza unor scenarii, inclusiv în condiţii de
criză.
Pentru administrarea corespunzătoare a riscurilor, fiecare bancă îşi construieşte propriul sistem
de măsuri, printre care:
sisteme de proceduri de autorizare a operaţiunilor afectate de riscurile respective;
sisteme de stabilire a limitelor de expunere la risc şi de monitorizare a acestora ;
sisteme de raportare a expunerilor la risc;
sisteme de proceduri pentru situaţii neprevăzute;
sisteme de proceduri care să prevină utilizări necorespunzătoare a anumitor informaţii;
programe pentru personal (recrutare, remunerare, instruire).
Cauzele cele mai des întâlnite care generează producerea unui risc sunt:
- decizii operaţionale incorecte (ex. cotaţii neadecvate);
- nerespectarea procedurilor interne aprobate;
- neaplicarea controalelor interne stabilite;
- nerespectarea măsurilor de securitate impuse;
- nesegregarea sau segregarea necorespunzătoare a responsabilităţilor;
- analize insuficiente înainte de luarea unei anumite decizii (ex. înainte de lansarea unui anumit
produs, pe o anumită piaţă etc.);
- nerespectarea anumitor principii deontologice.
Consecinţa cea mai importantă este pierderea financiară, ca eveniment final al împlinirii
fiecărui risc. De fapt, orice risc nemonitorizat corespunzător conduce în final la rezultate
financiare diminuate semnificativ.
Recomandările pentru fiecare din riscurile prezentate pot fi sintetizate ca mai jos, cu menţiunea
că acestea sunt de fapt ajustări ale acţiunilor practicate operativ de bănci, la sistemul optim de
monitorizare a riscurilor pe care fiecare echipă de management se străduieşte să îl implementeze:
- stabilirea de comitete de monitorizare a riscurilor. Această recomandare este făcută pentru
fiecare risc menţionat, deoarece considerăm că prin aceste comitete sunt analizate toate
evenimentele unei anumite activităţi, şi orice deviere de la un standard stabilit este imediat
monitorizat;
Auditul managementului riscurilor este partea esenţială a oricărei misiuni de audit, deoarece în
funcţie de rezultatele acestei analize se va construi întreaga metodologie de audit ulterioară.
Concluzia este că “riscul este un însoţitor permanent al activităţii bancare”.
Riscurile există în activitatea oricărui compartiment bancar însă foarte importantă este aprecierea
lor corectă în funcţie de locul acestora în cadrul ansamblurilor de riscuri.
Ca urmare, acestea trebuie permanent identificate şi evaluate, astfel încât în orice moment al
activităţii bancare să existe o imagine reală a situaţiei, pentru a se putea acţiona în consecinţă.
Un alt aspect este faptul că permanent apar şi pot apare noi riscuri generate de activităţi şi noi
strategii bancare, care uneori nu au un precedent pentru a putea fi imediat identificate şi
prevenite, deci, permanent apar alte metode şi tehnici de identificare şi apreciere a acestora.
Procesul de adecvare a capitalului la riscuri (ICAAP) este de asteptat să fie revizuit periodic de
catre structuri independente care sa asigure ca:
Riscurile identificate acoperă și sunt proporționale cu scala, diversitatea și complexitatea
activităților băncii
Valoarea, tipul și alocarea fondurilor proprii este adecvată pentru expunerea la risc a
băncii
Procesele interne componente ale ICAAP sunt derulate într-un mod adecvat și eficient
Atribuțiile standard ale auditului intern în procesul de adecvare a capitalului la riscuri sunt:
- Evaluarea proceselor interne componente ale ICAPP în vederea emiterii unei opinii cu
privire la adecvarea și eficiența acestuia;
- Abordare extinsa, în cazul în care structura de audit intern are capacitatea și resursele
necesare pentru a emite opinii cu privire la riscurile identificate și adecvarea fondurilor
proprii.
Riscul de piață: riscul curent sau viitor asupra veniturilor sau capitalului provenit din mutări
adverse în preturile obligațiunilor, acțiunilor sau prețurilor bunurilor sau a ratelor de schimb
aferente portofoliului de tranzacționare. Acest risc poate aparea din formarea pieței,
tranzacționare, luare de poziții în obligațiuni, acțiuni, mărfuri sau derivative. Acest risc include
Risc operațional: riscul de pierderi provenite din evenimente ce țin de procese, sisteme
inadecvate sau erori ale acestora, inclusiv erori ale personalului. Acest risc include riscurile IT,
legal și de conformitate.
Riscul IT: subcategorie a riscului operational: riscul curent sau viitor asupra veniturilor
sau capitalului provenit din tehnologia informatica și procesarea inadecvată din punct de
vedere al manevrabilității, exclusivității, integrității, controlului și a integrității sau
continuității, sau provenite din strategii și politici IT inadecvate sau din utilizarea
neadecvată a sistemelor IT ale instituției.
Riscul de lichiditate: riscul curent sau viitor asupra veniturilor sau capitalului provenit din
incapacitatea instituției de a plăti la scadență datoriile contractate.
Riscul de rata a dobânzii: riscul curent sau viitor asupra veniturilor sau capitalului provenit din
mutări adverse ale ratelor de dobândă.
Riscul de decontare: riscul ca o instituție de credit să livreze un activ vândut sau numerar în
schimbul unui activ cumpărat fără să încaseze numerarul aferent activului vândut sau să
primească activul cumpărat. Riscul de decontare cuprinde și risc de credit și risc de decontare.
Risc reputațional: riscul curent sau viitor asupra veniturilor sau capitalului provenit dintr-o
percepție adversă asupra imaginii instituției financiare din partea clienților, contrapartidelor,
acționarilor, investitorilor, reglementatorilor de piață.
Riscul strategic: riscul curent sau viitor asupra veniturilor sau capitalului provenit din
schimbările mediului de afaceri sau din decizii de afaceri adverse, implementate neadecvat sau
din lipsa deciziilor care să raspundă unor schimbări ale mediului de afaceri.
Riscurile afacerii: reprezintă toate celelalte riscuri în afara de riscul de credit, riscul de piață,
riscul de rată a dobânzii, riscul de lichiditate, riscul operațional, riscul strategic și riscul
reputațional.
ÎNTREBĂRI DE AUTOEVALUARE
Întrebările care urmează vă dau posibilitatea să verificaţi înţelegerea materialului din acest
capitol.. După ce aţi răspuns la toate întrebările, comparaţi răspunsurile dvs. Cu răspunsurile
din model de la sfârşitul capitolului. Dacă aveţi neclarităţi, revedeţi materialul relevant din
acest capitol sau cereţi ajutorul tutorului/expertului dvs.
1. Care este definiţia standard a riscului?
2. Care este sistemul de măsuri pe care fiecare bancă îl construieşte pentru administrarea
corespunzătoare a riscurilor?
3. Care sunt cauzele cele mai des întâlnite care generează producerea unui risc?
RECAPITULARE
După ce aţi terminat de studiat acest capitol, reflectaţi câteva momente asupra obiectivelor
procesului de studiu. Răspunsul la întrebările de autoevaluare ar trebui să vă arate cât aţi reuşit să
învăţaţi. Dacă nu sunteţi siguri că aţi realizat obiectivele procesului de studiu, este util să recitiţi
părţile relevante din acest capitol, înainte de a studia mai departe. După ce aţi revăzut obiectivele
de studiu şi consideraţi că vi le-aţi însuşit, ar trebui să acordaţi câteva minute recitirii materialului,
pentru a aprofunda înţelegerea lui. De asemenea, ar fi util să revizuiţi răspunsurile pentru
întrebările de autoevaluare. Aceasta vă va ajuta la recapitularea pentru examen.
INTRODUCERE
Acest capitol vă va familiariza cu planificarea misiunii de audit, realizarea auditului şi revizia
rezultatelor misiunii de audit.
Misiunea de audit este parte a unui plan de audit elaborat si aprobat de către Comitetul de Audit.
Planul are la bază analize de prioritizare a zonelor de audit, a activităţilor, în funcţie de resursele
disponibile.
Coordonatorul activităţii de audit trebuie să asigure respectarea unui ciclu de audit pentru fiecare
structură/unitate auditată prin realizarea cel puţin a unui audit în intervalul maxim de timp pentru
a asigura continuitatea şi eficienţa misiunilor de audit.
Resursele umane necesare pentru îndeplinirea planului de audit şi timpul alocat sunt determinate
anual.
Misiunile de audit sunt planificate în zonele în care sunt identificate cele mai importante
slăbiciuni în sistemul de controale interne, în conformitate cu metodologia relevantă, în baza
analizelor rezultatelor misiunilor precedente şi/sau ale monitorizării permanente a rezultatelor.
Planul departamentului de audit trebuie sa fie realist: de exemplu trebuie să cuprindă un buget de
timp pentru alte sarcini şi activităţi cum ar fi examinări specifice, formulare de opinii şi training.
Planul include o menţionare detaliată a resurselor necesare în ceea ce priveşte resursele umane şi
alte resurse. Referitor la resursele umane trebuie luat în considerare nu numai numărul, dar şi
competenţa profesională a acestora. Planul de audit trebuie revizuit periodic şi actualizat ori de
cate ori este necesar.
Planul de audit trebuie aprobat de către Comitetul de Audit şi de către Consiliul de Administraţie,
structuri care monitorizează permanent realizarea planului.
Conducerea departamentului de audit intern elaborează un plan pentru toate sarcinile care trebuie
realizate în cadrul misiunii respective.
Pentru fiecare misiune de audit este desemnat un Şef de misiune de audit, care are şi următoarele
responsabilităţi:
- Planificarea auditului
- Coordonarea şi instruirea auditorilor
- Revizuirea muncii de audit.
Pentru a asigura independenţa şi obiectivitatea pentru fiecare proiect de audit, auditorii nu trebuie
să aibă rude apropiate şi nu trebuie să fi lucrat în zona de auditat în ultimul an. Totodată, acelaşi
auditor nu poate audita aceeaşi zonă de audit în mod consecutiv. Componența echipelor de audit
este schimbată, pe cât posibil, la fiecare misiune.
În urma analizei activităţii ce urmează a fi auditată, Șeful misiunii de audit defineşte paşii de audit
de urmat de către membrii echipei, asigurându-se pe tot parcursul misiunii de documentarea
corespunzătoare a rezultatelor muncii de audit.
Şedinţa de deschidere
Documentarea
Toate rezultatele obţinute în urma misiunii de audit sunt evaluate în termeni de importanţă.
Evaluarea rezultatelor este bazată pe estimarea impactului. Pe baza numărului şi importanţei
deficienţelor în termeni de risc, este realizată o evaluare globală a sistemului de controale interne.
Documentarea paşilor de audit se realizează prin colectarea de documente suport pentru a susţine
rezultatele testelor şi recomandările auditului. Rezultatele auditului sunt documentate prin datele
înregistrate în sistem de către auditor (descrierea eşantionului), fişele revizuite şi alte documente
care au fost luate în considerare, testele de detaliu şi de control efectuate).
Şedinţa de final
La sfârşitul misiunii de audit, are loc o şedinţă de final cu managementul unităţii auditate.
Raportul de audit al unei misiuni de audit trebuie să aibă în principiu o formă standardizată şi
trebuie să includă cel puţin următoarele:
Datele unităţii auditate.
Perioada de audit revizuită şi durata auditului.
Numele şi semnăturile auditorilor.
Aria de aplicabilitate a auditului.
Un rezumat cu informaţiile de bază despre organizarea şi operarea unităţii auditate,
principalele aspecte identificate, principalele măsuri de corecţie în desfăşurare şi evaluarea
generală a adecvării, eficacităţii si eficienţei sistemului de controale interne.
Prezentarea detaliată a deficienţelor constatate şi a recomandărilor corespunzătoare.
Anexe cu informaţii suplimentare, unde e necesar.
Rapoartele de audit trebuie să fie scurte, clare, exacte şi obiective. În ce priveşte prezentarea
responsabilităţilor personalului, acestea trebuie să fie specifice şi să fie suficient documentate.
Conform standardului de practică profesională în auditul intern 2400 și a celor de implementare,
rapoartele trebuie aibă următoarele criterii de calitate:
- Comunicările precise nu includ erori sau distorsiuni şi redau fidel faptele.
- Comunicările obiective sunt echitabile, imparţiale, nepărtinitoare şi sunt rezultatul unei
evaluări corecte şi echilibrate asupra tuturor faptelor şi circumstanţelor relevante.
- Comunicările clare sunt uşor de înţeles şi logice, evitând limbajul tehnic inutil şi furnizând
toate informaţiile semnificative şi relevante.
- Comunicările concise sunt făcute la obiect şi evită digresiunile inutile şi detaliile superflue,
redundanţa şi prolixitatea.
- Comunicările constructive sunt utile pentru clientul misiunii şi organizaţie şi conduc la
îmbunătăţiri, acolo unde este necesar.
- Comunicărilor complete nu le lipseşte nimic esenţial pentru beneficiarii cărora li se adresează
şi includ toate informaţiile, precum şi constatările semnificative şi relevante pentru susţinerea
recomandărilor şi concluziilor.
- Comunicările realizate la timp sunt oportune şi rapide, în funcţie de importanţa problemei
semnalate, permiţând conducerii să ia măsurile corective adecvate.
Deficienţele identificate sunt revizuite înainte de şedinţa de închidere de către șeful misiunii de
audit pentru a confirma acoperirea ariei de aplicabilitate a auditului, înregistrarea completă şi
documentarea rezultatelor şi pentru a agrea cu auditorul rezultatele în termeni de risc şi stabilirea
responsabilităţilor.
Întregul proiect de audit este revizuit de coordonatorul departamentului sau o persoană desemnată
de acesta, pentru a se asigura că toate sarcinile de audit au fost realizate în conformitate cu
metodologiile interne.
ÎNTREBĂRI DE AUTOEVALUARE
Întrebările care urmează vă dau posibilitatea să verificaţi înţelegerea materialului din acest
capitol. După ce aţi răspuns la toate întrebările, comparaţi răspunsurile dvs. Cu răspunsurile din
model de la sfârşitul capitolului. Dacă aveţi neclarităţi, revedeţi materialul relevant din acest
capitol sau cereţi ajutorul tutorului/expertului dvs.
După ce aţi terminat de studiat acest capitol, reflectaţi câteva momente asupra obiectivelor
procesului de studiu. Răspunsul la întrebările de autoevaluare ar trebui să vă arate cât aţi reuşit să
învăţaţi. Dacă nu sunteţi siguri că aţi realizat obiectivele procesului de studiu, este util să recitiţi
părţile relevante din acest capitol, înainte de a studia mai departe. După ce aţi revăzut obiectivele
de studiu şi consideraţi că vi le-aţi însuşit, ar trebui să acordaţi câteva minute recitirii materialului,
pentru a aprofunda înţelegerea lui. De asemenea, ar fi util să revizuiţi răspunsurile pentru
întrebările de autoevaluare. Aceasta vă va ajuta la recapitularea pentru examen.
Frauda poate fi definită ca orice act ilegal, caracterizat prin înşelăciune, disimulare sau trădarea
încrederii. Responsabilitatea pentru a preveni/descuraja frauda aparţine în primul rând
conducerii instituţiei bancare.
Aceste acte nu sunt caracterizate în mod necesar de ameninţarea cu violenţa sau de utilizarea
forţei fizice.
Fraudele sunt comise de persoane şi organizaţii cu scopul de a obţine bani, bunuri sau servicii;
pentru a evita plata sau pierderea serviciilor; sau pentru a-şi asigura un avantaj personal sau de
afaceri.
Frauda este săvârşită de o persoană sau grup de persoane cu scopul obţinerii de foloase sau
beneficii necuvenite, în detrimentul sau în beneficiul organizaţiei.
1. Oportunitatea
2. Motivația
- puterea (ex., atacuri informatice efectuate cu scopul de a arăta că se poate, fără a crea
prejudicii de imagine sau financiare)
- împlinirea unei dorinţe (ex., lăcomie, viciu)
- presiunea
3. Justificarea
- cultura
- perioade de dificultate financiară
- ,,împrumutul’’ banilor sau bunurilor instituţiei
- dorinţa de a nu se supune regulilor
Auditorii interni nu trebuie să deţină abilităţile şi deprinderile unui expert în fraudă. Totuşi, în
cadrul misiunilor de audit trebuie să acorde o atenţie sporită factorilor care ar putea genera o
posibilă fraudă (ex. lipsa controalelor, controale ineficiente).
De asemenea, auditorii interni trebuie să înţeleagă schemele de fraudă, şi să fie permanent atenţi
la semnalele care prevestesc o posibilă fraudă.
PA 1210.A2-1
Doar procedurile de audit, chiar dacă sunt aplicate cu conştiinciozitatea profesională
necesară, nu pot garanta identificarea fraudelor.
Auditorii interni trebuie să determine dacă într-adevăr a avut loc o fraudă, dimensiunea acesteia,
persoana sau persoanele implicate precum şi modul de operare.
In funcţie de fiecare organizaţie în parte, rolul auditorilor interni în investigarea fraudei poate
varia.
Astfel:
a. Auditul intern este principalul responsabil pentru investigarea fraudei – sau –
b. Resursa atrasă în echipa de investigaţie (coparticipant) – sau –
c. Auditul intern nu este implicat în procesul de investigare al fraudei (întrucât instituţiile
financiare respective deţin departamente Anti-Fraudă distincte)
Obiectivul auditului intern în cadrul prevenirii şi detectării fraudelor este acela de a furniza
asistenta managementului organizaţiei prin furnizarea de evaluări, efectuarea de analize,
propunerea de controale interne precum şi formularea de recomandări practice.
Obiectivul final este crearea unui sistem de control intern eficient, la un cost rezonabil.
Atât prevenirea cât şi combaterea fraudelor depind de adecvarea controlului intern implementat
de management.
Forme de fraudă: