+ All Categories
Home > Documents > MODULUL: AUDIT BANCAR – NOTE DE CURS – Prof. univ. dr. Vasile Dedu Spec. dr. Ramona-Vali Bratu...

MODULUL: AUDIT BANCAR – NOTE DE CURS – Prof. univ. dr. Vasile Dedu Spec. dr. Ramona-Vali Bratu...

Date post: 07-Aug-2015
Category:
Upload: elena-pleu
View: 97 times
Download: 3 times
Share this document with a friend
Description:
ACADEMIA DE STUDII ECONOMICE CATEDRA DE MONEDA Programul de Master Specializat BANCAS
115
Audit Bancar BANCAS 1 ACADEMIA DE STUDII ECONOMICE CATEDRA DE MONEDA Programul de Master Specializat BANCAS MODULUL: AUDIT BANCAR NOTE DE CURS Prof. univ. dr. Vasile Dedu Spec. dr. Ramona-Vali Bratu Spec. dr. Florin Stroe BUCURESTI 2009
Transcript
Page 1: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

1

ACADEMIA DE STUDII ECONOMICE

CATEDRA DE MONEDA

Programul de Master Specializat

BANCAS

MODULUL: AUDIT BANCAR

– NOTE DE CURS –

Prof. univ. dr. Vasile Dedu

Spec. dr. Ramona-Vali Bratu

Spec. dr. Florin Stroe

– BUCURESTI 2009 –

Page 2: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

2

CUPRINS

CAPITOLUL 1 ACTIVITATEA DE AUDIT

CAPITOLUL 2 AUDITUL INTERN BANCAR

CAPITOLUL 3 CONTROLUL INTERN BANCAR

CAPITOLUL 4 RELAŢIA DINTRE AUTORITATEA DE SUPRAVEGHERE ŞI AUDITORUL EXTERN

CAPITOLUL 5 AUDITAREA PROCESELOR ŞI TEHNICILOR DE EVALUARE A RISCURILOR

CAPITOLUL 6 ACTIVITATEA DE AUDIT PROPRIU – ZISĂ. ABORDARE PRACTICĂ

Page 3: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

3

CAPITOLUL 1 ACTIVITATEA DE AUDIT

1. Consideraţii etimologice şi evoluţioniste privind auditul

2. Definiţii

1. Consideraţii etimologice şi evoluţioniste privind auditul

Deşi cuvântul audit a pătruns în limbajul cotidian al societăţii româneşti în forma sa

englezească, se pare că originile acestuia se găsesc în latinescul auditus, care înseamnă a

asculta, a audia. Acest termen avea chiar o conotaţie financiară, în Roma antică fiind

practicată verificarea verbală a fondurilor sau ascultarea fondurilor.

Există, aşadar o primă semnificaţie a activităţii de audit – aceea de verificare; sensul

acesteia s-a îmbogăţit pe măsură ce activitatea economică a devenit din ce în ce mai

complexă, în condiţii de risc amplificat. Astfel, în timp, nu a mai fost suficient controlul

asupra unor anumite domenii, înregistrări sau evidenţe, ci asupra întregii contabilităţi şi

gestiuni; a fost făcut saltul de la aprecierile cantitative la cele calitative, de la constatări la

consultanţă; nu a mai fost suficientă verificarea post factum, ci a devenit importantă

prevenirea manifestării riscurilor, iar greutatea s-a deplasat de la auditul extern la cel intern.

În acelaşi timp, aria activităţii de audit s-a extins de la administrarea banilor publici către

întreprinderile private. Atât procesul acesta evolutiv, cât şi consideraţiile filosofice (de

exemplu, chiar contabilitatea poate fi considerată formă a auditului, în măsura în care metoda

evidenţei în partidă dublă reprezintă o formă intrinsecă de verificare, nu?) explică multiplele

valenţe conferite auditului în zilele noastre.

1. Definiţii

Există o multitudine de definiţii date auditului, dar nu în accepţiunea sa generală, ci

pe componente ale sale.

Astfel, Compania Naţională a Comisarilor de Conturi din Franţa dă definiţia auditului

financiar: examinarea realizată de un profesionist competent şi independent de organizaţie, în

vederea exprimării unei opinii motivate asupra regularităţii, sincerităţii şi imaginii fidele a

conturilor anuale ale întreprinderii.

Page 4: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

4

Institutul American al Contabililor Publici Autorizaţi (AICPA) prezintă auditul ca pe

o examinare ordinară a situaţiilor financiare, efectuată de un contabil public autorizat, în

vederea exprimării unei opinii cu privire la corectitudinea cu care aceste documente prezintă

situaţia financiară, rezultatele operaţiunilor efectuate şi schimbările intervenite în situaţia

financiară a organizaţiei, în conformitate cu principiile contabile general acceptate

(Standardul de Audit nr. 1).

În România, Ordonanţa de Urgenţă a Guvernului nr. 75/1999 privind activitatea de

audit financiar (cu modificările ulterioare)1 prezintă auditul financiar ca “activitatea de

examinare, în vederea exprimării de către auditorii financiari, a unei opinii asupra situaţiilor

financiare, în conformitate cu standardele de audit, armonizate cu standardele internaţionale

de audit şi adoptate de Camera Auditorilor Financiari din România”.

Există, aşadar, trei definiţii date auditului financiar din care răzbate un filon comun, şi

anume că acesta reprezintă o activitate de examinare a situaţiilor financiare, de către o

persoană competentă sau autorizată (francezii nu au dat măsura “competenţei”), pentru

formularea unei opinii asupra corectitudinii cu care aceste documente prezintă situaţia

financiară a organizaţiei, atât static, cât şi în dinamică. Şi pentru ca această opinie să fie

“motivată”, se folosesc şi reperele în funcţie de care se fac aprecierile: “principiile contabile

general acceptate” sau standardele de audit.

În afara diferenţelor stilistice date, probabil, de trăsăturile naţionale (unii fiind mai

riguroşi în exprimare, iar alţii mai lirici), transpare şi o altă diferenţă: în Franţa s-ar părea că

această activitate este încredinţată “comisarilor de conturi” (persoane abilitate să efectueze

controlul legal al conturilor societăţilor comerciale), în SUA numai contabilii publici

autorizaţi pot să desfăşoare activităţi de audit, iar în România - auditorii financiari. Astfel,

primele două definiţii vădesc apropierea dintre audit financiar şi controlul contabil. În

schimb, în a treia definiţie apare o categorie distinctă de specialişti, iar pentru a înţelege la ce

se referă această categorie este necesară analiza activităţilor pe care aceştia le pot desfăşura,

prezentate în acelaşi act normativ: activitatea de audit financiar, de audit intern, de

consultanţă financiar – contabilă şi fiscală, de asigurare a managementului financiar –

contabil, de expertiză contabilă, de evaluare, activităţi de reorganizare judiciară şi lichidare.

Prin urmare, este vorba de un super-specialist, care ar trebui să se numească auditor, dat

1 Ordonanţa de Urgenţă a Guvernului nr. 75/1999 a fost aprobată cu modificări şi completări prin Legea nr.

133/2002, apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin

Legea nr. 12/2003

Page 5: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

5

fiind faptul că aria lui de expertiză depăşeşte auditul financiar, iar o definiţie posibilă a

auditului ar putea fi dată prin enumerarea activităţilor desfăşurate de aceşti specialişti.

Ceea ce scapă acestor definiţii este, însă, scopul activităţii de audit; exprimarea unei

opinii nu poate fi un scop în sine, poate fi doar un mijloc. Adică, pentru ce este nevoie de

audit? La ce foloseşte o opinie independentă şi competentă privind corectitudinea reflectării

situaţiei financiare? Se poate răspunde că băncile, în analiza de creditare, solicită companiilor

o astfel de opinie sau că băncilor li se solicită, prin lege, auditarea situaţiilor financiare sau în

alte multe feluri. Dar tipul acesta de răspunsuri nu ar fi reflectarea unei nevoi resimţite şi a

unei utilităţi interne, ci a unor constrângeri şi utilizări externe. Partea aceasta este acoperită

de definiţia auditului intern dată de către Institutul Auditorilor Interni (IIA): “Auditul intern

este o activitate independentă, de asigurare obiectivă şi de consultanţă menită să adauge

valoare şi să îmbunătăţească operaţiunile unei organizaţii. Acesta sprijină o organizaţie să

îşi realizeze obiectivele, aducând o abordare sistematică şi disciplinată în evaluarea şi

îmbunătăţirea eficacităţii procesului de management al riscului, de control şi de conducere”.

Comitetul de Supraveghere Bancară de la Basel2 şi-a însuşit întru totul conceptul lansat de

IIA cu privire la auditul intern.3

Şi legislaţia românească în materie4 preia această definiţie, în forme mai concentrate

sau mai detaliate. Astfel, în legislaţia privind auditul financiar apare următoarea definiţie:

“Auditul intern reprezintă activitatea de examinare obiectivă a ansamblului activităţilor

entităţii economice în scopul furnizării unei evaluări independente a managementului

riscului, controlului şi proceselor de conducere a acestuia”. Deşi pare a câştiga în concizie,

aceasta omite, de fapt, scopul real al activităţii de audit, comiţând aceeaşi confuzie între scop

şi mijloacele de realizare, şi excluzând componenta de consultanţă.

Componenta de consultanţă apare, însă, deşi într-o formulă alternativă, în definiţia

auditului intern bancar din Norma nr. 17/2003 a Băncii Naţionale a României5: “activitate

independentă, destinată îmbunătăţirii activităţii băncilor, fie prin îndeplinirea unor

angajamente de audit, fie prin acordarea de consultanţă structurilor entităţilor auditate”.

2 Comitetul de Supraveghere Bancară de la Basel este comitetul autorităţilor de supraveghere bancară înfiinţat

de guvernatorii băncilor centrale din Grupul celor Zece Ţări în 1975. De obicei se întruneşte la Bank for

International Settlements (Banca Reglementelor Internaţionale), unde este localizat secretariatul său permanent. 3 “Internal audit in banking organisations and the relationship of the supervisory authorities with internal and

external auditors”, Basel Committee on Banking Supervision, Basel, 2000 4Ordonanţa de Urgenţă a Guvernului nr. 75/1999 aprobată cu modificări şi completări prin Legea nr. 133/2002,

apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin Legea nr.

12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabilă entităţilor publice 5 Titlul complet: Norma B.N.R. nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor,

administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de audit intern în cadrul

băncilor

Page 6: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

6

Dacă se explicitează şi noţiunea de angajament de audit, rezultă următoarea definiţie

a auditului intern bancar: activitate independentă, destinată îmbunătăţirii activităţii

instituţiilor de credit, fie printr-o examinare obiectivă a modului de realizare a administrării

riscurilor, sistemului de control intern şi proceselor de conducere ale instituţiilor de credit, în

scopul furnizării unei asigurări rezonabile că acestea funcţionează corespunzător şi vor

permite atingerea obiectivelor instituţiilor de credit, precum şi în scopul formulării unor

recomandări de îmbunătăţire a activităţii acestora, fie prin acordarea de servicii de

consultanţă structurilor/entităţilor auditate.

Din cele de mai sus se poate extrage ceea ce poate fi considerată o definiţie completă

a auditului, aplicabilă şi domeniului bancar : activitatea, realizată de persoane autorizate,

de examinare obiectivă a ansamblului activităţilor entităţii economice, care are ca

rezultat formularea unei evaluări independente a managementului riscului, a

controlului şi proceselor de conducere, şi a unor sugestii pentru îmbunătăţirea

eficacităţii operaţiunilor, în scopul sprijinirii realizării obiectivelor entităţii economice.

După cum se observă, această definiţie sumarizează (poate nu în cea mai bună

sintagmă) trăsăturile auditului (competenţă, obiectivitate, independenţă), sfera preocupărilor

sale (ansamblul activităţilor entităţii economice, nu numai evidenţa contabilă), materializarea

rezultatelor acestuia (evaluare şi consultanţă), precum şi scopul auditului.

În definiţia de mai sus a fost omis în mod intenţionat caracterul “sistematic şi

disciplinat” al auditului, deoarece acesta este specific auditului intern, făcând deosebirea faţă

de cel extern. În opinia unor autori, diferenţa dintre cele două categorii de audit ar fi faptul că

cel extern este realizat de o firmă specializată, independentă, din afara entităţii economice, iar

cel intern de o structură din cadrul organizaţiei. În zilele noastre, când se vorbeşte tot mai

mult despre externalizarea auditului intern şi despre independenţa auditului intern, acest

argument nu poate rezista.

În cele ce urmează, obiectul expunerii se va restrânge la forma cea mai complexă a

auditului din domeniul bancar (dat fiind caracterul său continuu, sistematic) - auditul intern

bancar. În ceea ce priveşte definiţia acestuia, opţiunea personală merge către cea dată de

IIA, însuşită de Comitetul de la Basel, nu către cea a Băncii Naţionale a României (deoarece

consider că examinarea îşi poate găsi finalitatea numai în formularea de sugestii

(consultanţă), iar consultanţa nu poate fi dată fără o examinare prealabilă a stării de fapt), şi

cu atât mai puţin către cea dată de Institutul Francez de Audit (2000) (care restrânge rolul

Page 7: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

7

auditului intern la acela de supra-control)6. Totuşi, singura definiţie “legală”, în momentul de

faţă, aplicabilă domeniului bancar se regăseşte în norma Băncii Naţionale a României, care

este concordantă cu cea din O.U.G. nr. 75/1999, cu modificările ulterioare.

Cuvinte cheie

Audit Activitatea de audit

Audit intern

Audit intern bancar

Întrebări

1. Ce este auditul intern bancar?

2. Care este diferenţa dintre auditul de tip anglo-saxon şi cel francofon?

6 “Auditul intern este, în cadrul unei organizaţii, o funcţie – exercitată într-o manieră independentă şi cu mandat – de

evaluare a controlului intern. Acest demers specific concurează cu bunul control asupra riscurilor de către responsabili”-

Eugen Nicolaescu,“Auditul intern–o privire spre viitor”, Revista Audit Financiar, ianuarie 2003

Page 8: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

8

CAPITOLUL 2 AUDITUL INTERN BANCAR

1. Obiective şi modalităţi de acţiune ale auditului intern bancar

2. Principiile auditului intern bancar

2.1 Independenţa auditului intern bancar

2.2. Imparţialitatea auditului intern bancar

2.3. Continuitatea auditului intern bancar

2.4. Competenţa profesională

2.5. Exhaustivitatea auditului intern bancar

3. Cadrul normativ de desfăşurare a activităţii de audit intern

bancar

3.1. Statutul (carta) auditului intern

3.2. Standardele internaţionale de audit intern ale I.A.I.

3.3. Codul de etică a auditorului intern

4. Organizarea auditului intern bancar

4.1. Atribuţiile şi responsabilităţile conducătorului departamentului de audit intern

4.2. Comitetul de audit

4.3. Externalizarea activităţii de audit intern

5. Relaţia dintre departamentul de audit intern şi autoritatea de su-

praveghere

6. Relaţia dintre auditorii interni şi auditorii externi

7. Desfăşurarea activităţii de audit intern

7.1. Tipuri de audit intern

7.2. Derularea activităţii de audit intern bancar

1. Obiective şi modalităţi de acţiune ale auditului intern bancar

O.U.G. nr. 57/1999, cu modificările ulterioare, identifică următoarele obiective ale auditului

intern:

a) verificarea conformităţii activităţilor din entitatea economică auditată cu politicile,

programele şi managementul acestuia, în conformitate cu prevederile legale;

Page 9: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

9

b) evaluarea gradului de adecvare şi aplicare a controalelor financiare şi nefinanciare

dispuse şi efectuate de către conducerea unităţii în scopul creşterii eficienţei activităţii

entităţii economice;

c) evaluarea gradului de adecvare a datelor/informaţiilor financiare şi nefinanciare destinate

conducerii pentru cunoaşterea realităţii din entitatea economică;

d) protejarea elementelor patrimoniale bilanţiere şi extrabilanţiere şi identificarea

e) metodelor de prevenire a fraudelor şi pierderilor de orice fel.

Se observă faptul că aici sunt definite, de fapt, căile de acţiune pentru îndeplinirea

obiectivului auditului intern bancar. Într-o altă exprimare, cele enumerate ar putea fi

categorisite drept obiective “intermediare”: asigurarea concordanţei activităţii cu politicile,

programele, normele şi prevederile legale, creşterea eficacităţii activităţii de control,

îmbunătăţirea calităţii procesului decizional, ridicarea eficienţei activităţii.

Din norma Băncii Naţionale a României, din articolele Secţiunii I – Obiectivul auditului

intern, Capitolul VIII, se pot extrage următoarele referiri la acest subiect: “Obiectivul

auditului intern îl reprezintă îmbunătăţirea activităţii instituţiilor de credit” şi “… să

contribuie la îndeplinirea obiectivelor lor (băncilor) prin prezentarea unei abordări

sistematice şi disciplinate….”.

Prin urmare, se poate sintetiza că obiectivul auditului intern bancar este cel de a

contribui la îndeplinirea obiectivelor băncilor (îmbunătăţirea activităţii reprezentând

obiectivul primar şi general al unei bănci), iar obiectivele punctuale, pe domenii de

activitate, sunt:

a) asigurarea concordanţei activităţii cu politicile, programele, normele şi prevederile legale;

b) creşterea eficacităţii activităţii de control;

c) îmbunătăţirea calităţii procesului decizional;

d) creşterea eficienţei activităţii băncii.

Pentru realizarea acestor obiective, auditul bancar intern acţionează pe următoarele căi7:

1. evaluarea eficienţei şi gradului de adecvare a sistemului de control intern;

2. evaluarea modului de aplicare şi a eficacităţii procedurilor de administrare a riscurilor şi a

metodologiilor de evaluare a riscurilor semnificative;

7 Conform normei B.N.R., capitolul VIII, Secţiunea I - Obiectivele auditului intern şi “Internal audit in banking

organisations and the relationship with internal and external auditors”, Basel Committee on Banking

Supervision, Basel, 2000

Page 10: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

10

3. analiza relevanţei şi integrităţii datelor furnizate de sistemele informaţionale de gestiune

şi financiare, inclusiv de sistemul informatic;

4. evaluarea acurateţei şi credibilităţii înregistrărilor contabile şi situaţiilor financiare;

5. evaluarea gradului de adecvare a nivelului fondurilor proprii ale instituţiilor de credit în

funcţie de riscurile la care acestea sunt expuse;

6. evaluarea modului în care se asigură protejarea elementelor patrimoniale bilanţiere şi

extrabilanţiere şi identificarea metodelor de prevenire a fraudelor şi pierderilor de orice

fel8;

7. testarea atât a operaţiunilor, cât şi a funcţionării procedurilor specifice de control;

8. evaluarea eficienţei operaţiunilor instituţiilor de credit9;

9. evaluarea modului în care sunt respectate dispoziţiile cadrului legal, cerinţele codurilor de

conduită, precum şi evaluarea modului în care sunt implementate politicile şi procedurile

instituţiei de credit;

10. testarea integrităţii, credibilităţii şi, după caz, a oportunităţii raportărilor, inclusiv a celor

destinate utilizatorilor externi.

După cum se observă, aria de competenţă alocată auditului intern bancar este

atotcuprinzătoare: sistem de control intern, administrarea riscurilor, sistem informaţional,

contabilitate, calitatea administrării patrimoniului, operaţiuni. Astfel, auditul intern apare ca

un supra-controlor al controlului intern, este mai mult decât orice formă de control extern sau

de supraveghere, dar în acelaşi timp, parte a sistemului de control intern al unei bănci10

.

Prin examinarea problemelor globale ale băncii, evaluarea riscurilor, controlului,

calităţii, eficienţei, tehnologiei şi formularea unor opinii clare şi adecvate, auditul intern

bancar reprezintă un instrument foarte valoros pus în slujba conducerii unei bănci, o

adevărată “eminenţă cenuşie” a băncii.

În unele ţări (printre care şi România), deşi înregistrările contabile intră în sfera

auditului intern, auditarea situaţiilor financiare nu este inclusă în competenţele acestuia.

Astfel, se consideră că aceasta cade în responsabilitatea auditorilor externi ai băncii, rolul

auditului intern fiind limitat, în acest domeniu, la sprijinirea auditorilor externi.

De asemenea, din practica unor ţări, se poate observa că există o tendinţă din

8 Numai în Norma B.N.R. nr. 17/2003

9 Numai în Norma B.N.R. nr. 17/2003

10 Dacă auditul intern este parte a sistemului intern pe care îl evaluează, atunci funcţia de audit intern implică o

componentă de autoevaluare

Page 11: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

11

ce în ce mai pregnantă ca aprecierea modului de încadrare a activităţii unei bănci în

prevederile legale şi normative să se facă nu de către auditul intern, ci de către o structură

organizatorică separată, dedicată acestei problematici.

În ceea ce priveşte funcţia de consultanţă atribuită auditului intern, un studiu al

Comitetului de la Basel11

arată că aceasta ar trebui să fie una auxiliară funcţiei principale şi

că ar trebui exercitată cu foarte mare grijă pentru a nu compromite obiectivitatea evaluării

activităţilor în care auditorii interni au dat consultanţă. De altfel, în practică, majoritatea

timpului este alocată de către departamentul de audit pentru realizarea funcţiei de bază (75-

95%) şi numai 0-20% pentru consultanţă. Mai mult, activitatea de consultanţă se limitează,

de cele mai multe ori, la recomandări legate de controlul aferent unor proiecte sau planuri,

fără să fie asumate responsabilităţi operaţionale.

2. Principiile auditului intern bancar

Comitetul de Supraveghere Bancară de la Basel conturează cadrul de desfăşurare a

activităţii de audit intern bancar sub forma unor principii care acoperă atât

caracteristicile generale ale activităţii, cerinţele referitoare la auditorii interni, cât şi

desfăşurarea auditului intern. În cele ce urmează, au fost extrase principiile cu caracter de

trăsături generale.

Independenţa auditului intern bancar12

“ Departamentul de audit intern al unei bănci trebuie să fie independent de activităţile

auditate. Departamentul trebuie să fie, de asemenea, independent faţă de procesul de control

intern de zi cu zi. Aceasta presupune ca departamentului de audit intern să I se dea un statut

corespunzător în cadrul băncii şi acest departament să îşi îndeplinească sarcinile cu

obiectivitate şi imparţialitate”.

Astfel, pentru asigurarea independenţei sale faţă de restul activităţilor băncii,

departamentul de audit intern trebuie să fie subordonat direct conducerii executive a băncii

11

“Internal audit in banks and the supervisor’s relationship with auditors: A survey”, Basel Committee on

Banking Supervision, Bank for International Settlements, August 2002 12

Principiul 5 enunţat în “Internal audit in banking organisations and the relationship with internal and external

auditors”, Basel Committee on Banking Supervision, Basel, 2000

Page 12: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

12

sau consiliului de administraţie sau comitetului de audit (de pe lângă consiliul de

administraţie).

Pe lângă asigurarea independenţei departamentului în cadrul organigramei băncii,

principiul acesta trebuie să se aplice şi activităţii sale. Departamentul de audit intern trebuie

să-şi poată exercita atribuţiile din iniţiativă proprie în toate departamentele, sediile şi

activităţile băncii. Rezultatele activităţii sale, evaluările sale trebuie să poată fi făcute

cunoscute, pe plan intern, şi, în unele cazuri, chiar direct consiliului de administraţie,

comitetului de audit sau auditorului extern (de exemplu, când se apreciază că o decizie a

conducerii executive a băncii a fost luată fără respectarea prevederilor legale).

Banca Naţională a României subscrie întru totul la aceste cerinţe privind asigurarea

independenţei auditului intern, atât prin mijloace organizatorice, cât şi funcţional –

instituţionale, şi optează pentru subordonarea departamentului de audit intern faţă de

consiliul de administraţie al băncii, nu faţă de conducerea executivă.

2.2. Imparţialitatea auditului intern bancar 13

“Departamentul de audit intern ar trebui să fie obiectiv şi imparţial, ceea ce înseamnă că ar

trebui să fie într-o poziţie care să-i permită realizarea atribuţiilor fără părtinire şi fără

ingerinţe.”

Acest principiu vine în completarea primului enunţat, accentuând aspectul de

independenţă a judecăţii pe care auditorii interni trebuie să fie capabili să o facă. Prin urmare,

auditorii interni trebuie să nu fie implicaţi în operaţiunile băncii sau în proiectarea

procedurilor şi implementarea măsurilor de control intern, iar cei recrutaţi din interiorul

băncii trebuie să nu fi fost implicaţi în trecutul apropiat în activităţile auditate; totodată, se

are în vedere rotirea periodică a domeniilor auditate. Banca Naţională a României opinează

că personalul implicat într-un angajament de audit pe poate audita un domeniu în care a

lucrat numai după trecerea unei perioade de cel puţin un an.

Totuşi, asigurarea imparţialităţii auditorilor interni nu înseamnă că departamentului

de audit intern nu i se pot solicita opinii, de către conducerea băncii, în legătură cu principiile

controlului intern, cu planurile de reorganizare, cu iniţierea unor activităţi noi importante sau

cu risc ridicat, cu gestiunea sistemului informatic şi informaţional. Implicarea sa trebuie,

însă, să se limiteze la acest rol consultativ, şi să nu se extindă asupra măsurilor de

13

Principiul 7 enunţat în “Internal audit in banking organisations and the relationship with internal and external

auditors”, Basel Committee on Banking Supervision, Basel, 2000

Page 13: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

13

implementare. Banca Naţională a României defineşte mai clar cadrul în care auditorii interni

pot acorda consultanţă asupra unor operaţiuni în care au avut anterior responsabilităţi sau pe

care le-au auditat, şi anume “cu condiţia de a nu efectua un angajament de audit în anul

următor”14

În practica unor bănci, pentru asigurarea imparţialităţii auditorilor interni, sunt impuse

reguli cu privire la recrutarea acestora din afara băncii, necorelarea remunerării acestora cu

performanţa sau profitul băncii, separarea atribuţiilor în ceea ce priveşte implementarea

recomandărilor, neimplicarea auditorilor în activitatea de proiectare a procedurilor de control

sau administrative.

În România, Banca Naţională restricţionează accesul la responsabilitatea de auditori

interni persoanelor care sunt soţi, rude sau afini până la gradul al patrulea inclusiv cu

conducătorii unei bănci.

2.3. Continuitatea auditului intern bancar15

“Auditul intern ar trebui să fie o funcţie permanentă. În îndeplinirea îndatoririlor şi

responsabilităţilor sale, conducerea băncii ar trebui să ia toate măsurile necesare astfel

încât banca să poată conta în permanenţă pe o funcţionare adecvată a auditului intern

corespunzătoare mărimii băncii şi naturii operaţiunilor sale. Aceste măsuri includ

asigurarea departamentului de audit intern cu resurse şi personal corespunzător pentru

îndeplinirea obiectivelor sale”.

Demn de remarcat este faptul că formularea principiului continuităţii auditului intern

nu se rezumă la partea enunţiativ - declarativă, ci se extinde la mijloacele prin care se poate

asigura caracterul permanent al acestei activităţi: resurse şi personal. Astfel, este evidenţiat

faptul că, pe lângă calitatea şi numărul personalului aferent auditului intern, sunt necesare şi

resurse financiare adecvate (pentru remunerare, pregătire profesională, deplasări la unităţile

teritoriale), resurse logistice, informatice şi informaţionale.

Conducerea băncilor verifică alocarea de personal şi resurse pentru auditul intern, fie

permanent, fie anual, comparând activitatea departamentului cu cea planificată sau făcând

comparaţii cu bănci comparabile ca mărime. În medie, personalul alocat activităţii de audit

14

Art. 103, Norme nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor, administrarea

riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de audit intern în cadrul băncilor

Page 14: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

14

intern într-o bancă reprezintă aproximativ 1% din totalul personalului; procentul acesta

variază în funcţie de mărimea băncii şi de activităţile derulate de către aceasta.

Banca Naţională a României subliniază faptul că asigurarea unei activităţi de audit

intern adecvate, corespunzătoare dimensiunii şi naturii operaţiunilor unei bănci cade în

sarcina conducătorilor instituţiei16

.

2.4.Competenţa profesională17

“Competenţa profesională a fiecărui auditor intern şi a departamentului de audit intern, ca

întreg, este esenţială pentru îndeplinirea corespunzătoare a rolului auditului intern”.

Departamentul de audit intern trebuie să acopere toate activităţile băncii, iar acestea

devin din ce în ce mai complexe; mai mult, acestui departament i se pot cere opinii cu privire

la noi domenii care ar putea fi introduse în nomenclatorul băncii.

Prin urmare, un auditor intern trebuie să aibă cunoştinţe înalte, experienţă vastă, să se

pregătească continuu şi să îşi actualizeze permanent cunoştinţele în domeniul bancar şi în cel

al tehnicilor de audit. Totodată, acesta trebuie să aibă capacitatea de a colecta informaţii, de a

le examina, de a evalua situaţia şi de a comunica concluzii.

La aceste cerinţe privind pregătirea profesională, Banca Naţională a României adaugă

exigenţe morale: auditorii interni trebuie să fie corecţi, oneşti şi incoruptibili18

.

Cu un astfel de “portret - robot”, recrutarea de specialişti pentru departamentul

de audit intern al unei bănci apare ca o provocare pentru departamentul de resurse umane.

Dacă se iau în considerare şi cerinţele legate de asigurarea obiectivităţii şi imparţialităţii,

gestiunea resurselor umane în domeniul auditului intern poate părea chiar o “misiune

imposibilă”. Aprecierea adecvării nivelului de pregătire a candidaţilor pentru posturile de

auditori interni ţine de politica fiecărei bănci în domeniu; unele bănci (în special cele mici)

pun accentul, în recrutarea personalului pentru audit, mai mult pe cunoştinţe şi experienţă

profesionale, decât pe existenţa unor titluri profesionale.

Competenţa profesională trebuie menţinută prin pregătire la locul de muncă, pregătire

internă şi externă, rotaţia personalului în cadrul departamentului de audit etc.

15

Principiul 4 enunţat în “Internal audit in banking organisations and the relationship with internal and external

auditors”, Basel Committee on Banking Supervision, Basel, 2000 16

Art. 98 (2), Norma B.N.R. nr. 17/2003 17

Principiul 8 enunţat în “Internal audit in banking organisations and the relationship with internal and external

auditors”, Basel Committee on Banking Supervision, Basel, 2000

Page 15: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

15

2.5.Exhaustivitatea auditului intern19

“Toate activităţile şi toate entităţile unei bănci trebuie să intre în aria de activitate a

auditului intern”.

Nici una dintre activităţile sau entităţile unei bănci (incluzând sucursale, subsidiare şi

activităţi externalizate) nu poate fi exclusă din preocupările departamentului de audit intern.

Totuşi, pentru o corectă înţelegere a sferei auditului intern, trebuie făcute nişte

nuanţări şi precizări la această declaraţie de exhaustivitate. La modul general, auditul intern

trebuie să examineze şi să evalueze eficienţa şi eficacitatea controlului intern (înţeles ca

sistem, nu ca departament) şi modul în care sunt îndeplinite responsabilităţile de control. Din

acest punct de vedere, activitatea de audit intern reprezintă o analiză de risc a sistemului

intern de control.

În particular, auditul intern trebuie să evalueze: respectarea politicilor, principiilor,

regulilor, reglementărilor (fără a se suprapune, totuşi, cu funcţia corespunzătoare a

controlului intern); integritatea, acurateţea şi acoperirea informaţiilor financiare şi de

gestiune; continuitatea şi soliditatea sistemelor informatice; funcţionarea departamentelor

băncii.

Chiar dacă pentru o anume activitate sau entitate există un departament separat de

control şi monitorizare, auditul intern trebuie să se întindă şi asupra acestei activităţi/entităţi,

precum şi asupra controlului acestei activităţi/entităţi.

Subsidiarele bancare şi nebancare ale unei bănci trebuie să aibă propriile lor sisteme

de control intern şi propriul audit intern, acesta din urmă putând fi realizat fie de

departamentul de audit intern din compania – mamă, fie de un departament al acestora,

subordonat celui din compania – mamă. În cel de-al doilea caz, principiile de audit intern

trebuie să fie stabilite la nivel central, de către compania-mamă, pentru întreg grupul de

firme, iar departamentul central de audit intern trebuie să se implice în recrutarea şi evaluarea

auditorilor interni din subsidiare.

În măsura în care externalizarea unor activităţi nu înseamnă eliminarea

responsabilităţilor băncii în acel domeniu, atunci nici auditul intern al băncii nu poate fi

exonerat de atribuţiile ce-i revin în legătură cu aceste activităţi.

18

Art. 104, Norma B.N.R. nr. 17/2003 19

Principiul 9 enunţat în “Internal audit in banking organisations and the relationship with internal and external

auditors”, Basel Committee on Banking Supervision, Basel, 2000

Page 16: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

16

În Norma Băncii Naţionale a României nr. 17/2003, principiul exhaustivităţii nu

apare distinct formulat, dar enumerarea activităţilor pe care trebuie să le cuprindă, în

principal, auditul intern induce această idee.

În plus faţă de principiile menţionate mai sus, Banca Naţională menţionează

confidenţialitatea care trebuie păstrată de către auditorii interni, în sensul de prudenţă în

utilizarea informaţiilor, de protecţie a informaţiilor; acestei cerinţe trebuie să-i răspundă, de

fapt, întreg personalul băncii, aşa cum este stipulat şi în Legea bancară.

3. Cadrul normativ de desfăşurare a activităţii de audit intern bancar

Obiectivele, responsabilităţile şi principiile activităţii de audit intern (unele

prezentate în subcapitolele 2.1. şi 2.2) sunt exprimate şi sumarizate în unele documente cu

caracter internaţional (Standardele internaţionale ale activităţii de audit şi Codul de etică a

auditorului intern, emise de Institute of Internal Auditors sau cele referitoare la audit, în

general, emise de International Auditing Practices Committee din cadrul International

Federation of Accountants) şi cu caracter naţional: Ordonanţa de Urgenţă a Guvernului nr.

75/1999 aprobată cu modificări şi completări prin Legea nr. 133/2002, apoi modificată prin

Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin Legea nr.

12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabilă entităţilor publice;

Normele B.N.R. nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor,

administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de

audit intern în cadrul băncilor; “Norme minimale ale activităţii de audit” ale Camerei

Auditorilor Financiari din România.

De menţionat este faptul că globalizarea pieţelor financiare şi a fluxurilor de capital

au impus alinierea standardelor naţionale de audit la cele internaţionale, prin aderarea

organizaţiilor naţionale ale auditorilor la cele internaţionale şi la documentele emise de

acestea (de exemplu, normele elaborate de International Auditing Practices Committee au

fost asimilate de către Camera Auditorilor din România).

Totodată, în ceea ce priveşte domeniul bancar există recomandări cu titlu de îndrumar

la nivel internaţional (principiile enunţate de către Comitetul de Supraveghere Bancară de la

Page 17: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

17

Basel), reflectate la nivel naţional prin reglementări ale băncilor centrale, iar la nivelul

fiecărei instituţii bancare – prin Statutul (Carta) auditului intern.

3.1. Statutul (carta) auditului intern

“Carta auditului garantează statutul şi autoritatea departamentului de audit intern al

băncii”.20

Carta auditului trebuie să cuprindă, conform principiului enunţat de Comitetul de

Supraveghere Bancară de la Basel, cel puţin următoarele:

- obiectivele şi sfera de activitate;

- poziţia departamentului în cadrul organizaţiei, drepturile şi obligaţiile sale;

- responsabilităţile conducătorului departamentului de audit intern.

B.N.R. adaugă la aceste elemente şi termenii şi condiţiile în care auditorii interni pot

furniza servicii de consultanţă sau pot îndeplini sarcini speciale.

Carta trebuie să fie întocmită şi revizuită periodic de către departamentul de audit intern,

aprobată de conducerea băncii şi de consiliul de administraţie (cu avizul comitetului de audit)

şi adusă la cunoştinţa întregului personal al băncii.

În Carta Auditului Intern21

elaborată de către Bank for International Settlements, cu

valoare de îndrumar pentru bănci, sunt stipulate ca şi componente ale cartei declararea

misiunii, a independenţei şi obiectivităţii auditului intern, definirea sferei de cuprindere şi a

responsabilităţilor, delimitarea autorităţii şi a standardelor acestei activităţi.

Conform acestui document, misiunea auditului intern este aceea de a asigura realizarea

operaţiunilor băncii în conformitate cu cele mai înalte standarde.

În ceea ce priveşte poziţia departamentului de audit intern în cadrul băncii, aceasta este

definită prin poziţia efectivă în cadrul organigramei şi diagrama de relaţii care îi asigură

independenţă (departamentul răspunde direct conducerii băncii şi raportează către comitetul

de audit numit de către consiliul de administraţie) şi prin delimitarea activităţilor sale faţă de

celelalte operaţiuni ale băncii, care îi conferă obiectivitate (auditul intern nu este implicat în

activităţile zilnice de control, care sunt realizate de către fiecare structură organizatorică).

20

Principiul 6 enunţat în “Internal audit in banking organisations and the relationship with internal and external

auditors”, Basel Committee on Banking Supervision, Basel, 2000 21

“Internal Audit Charter”, Internal Audit, Version 1.0, martie 2003

Page 18: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

18

Potrivit Cartei, sfera de activitate a auditului intern include revizuirea procedurilor de

management al riscurilor, a sistemului intern de control, a sistemelor informaţionale şi a

procesului de conducere (detaliate la subcapitolul 2.1.).

În ceea ce priveşte autoritatea, Carta statuează dreptul auditului intern de a avea acces în

toate domeniile băncii, la toate documentele, la toate informaţiile necesare, din documente,

înregistrări sau de la persoane, de a comunica cu orice membru al personalului băncii. În plus

faţă de aceasta, B.N.R. menţionează necesitatea ca statutul să prevadă, în mod expres, dreptul

la iniţiativă al auditorului intern, precum şi dreptul acestuia de a avea acces la “informaţii

destinate conducerii şi procese verbale şi alte materiale cu caracter similar ale tuturor

organelor de decizie şi consultative, care prezintă relevanţă în îndeplinirea atribuţiilor sale.”22

Responsabilităţile definite în acest document se referă atât la nivelul departamentului de

audit intern, cât şi la conducătorul acestuia, legate de planificarea, desfăşurarea, raportarea

activităţii de audit intern, precum şi de relaţia cu auditul extern.

Carta stipulează faptul că activitatea de audit intern ar trebui să se desfăşoare în

conformitate cu standardele celei mai bune practici profesionale (“best professional

practice”), aşa cum au fost acestea definite de Institutul Auditorilor Interni sau de Comitetul

de Supraveghere Bancară de la Basel.

După cum se poate observa, statutul activităţii de audit intern reprezintă actul normativ

care reglementează activitatea de audit intern, regulamentul de organizare şi funcţionare a

departamentului respectiv în cadrul băncii.

3.2. Standardele internaţionale de audit intern ale Institutului Auditorilor Interni (Institute of

Internal Auditors)

Dată fiind diversitatea de medii culturale şi legale, de organizaţii în care funcţionează

auditul intern, Institutul Auditorilor Interni a emis în iunie 1999 un set de “Standarde

Internaţionale pentru Practica Profesională a Auditului Intern”, pentru a stabili

responsabilităţile esenţiale ale acestei activităţi, indiferent de domeniul sau mediul în care se

desfăşoară (aplicabile, deci, şi băncilor) şi care constituie, practic, echivalentul principiilor

enunţate de Bank for International Settlements.

Aceste Standarde definesc principiile de bază şi cadrul de desfăşurare (“Attribute

Standards”), cuantificarea performanţei auditului intern (“Performance Standards”) şi modul

22

Art. 111 (1) din Norma nr. 17/2003 ale B.N.R.

Page 19: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

19

de aplicare a standardelor cu caracter general la unele acţiuni concrete (“Implementation

Standards”).

Menţionarea acestor standarde internaţionale este făcută doar cu titlu informativ,

expunerea privind activitatea de audit intern bancar fiind axată pe principiile enunţate de

Comitetul pentru Supraveghere Bancară de la Basel şi pe actul normativ al Băncii Naţionale

a României.

3.3. Codul de etică a auditorului intern

Comitetul de Practici Internaţionale de Audit (International Auditing Practices Committee)

din cadrul International Federation of Accountants a elaborat un Cod de etică profesională în

domeniul auditului, cod la care face trimitere şi legislaţia română în vigoare referitoare la

audit financiar23

.

În ceea ce priveşte auditul intern bancar, şi norma Băncii Naţionale a României face

referire la un cod privind conduita etică a auditorului intern24

, fără a preciza dacă este vorba

despre cel menţionat mai sus sau de Codul de etică a auditorului intern elaborat de Institutul

Auditorilor Interni.

Acesta din urmă, la care se raportează şi Comitetul de Supraveghere Bancară de la

Basel, statuează principiile pe care trebuie să le urmeze auditorii interni (în concordanţă cu

principiile auditului intern), precum şi conduita care trebuie respectată pentru aplicarea

acestor principii.

Astfel, activitatea auditorului intern trebuie să se înscrie pe următoarele coordonate:

- integritate;

- obiectivitate (analiza realizată de auditorul intern trebuie să fie echilibrată şi

neinfluenţată de propriile interese sau interesele unor alte persoane);

- confidenţialitate (auditorul intern trebuie să nu dezvăluie informaţiile la care are acces în

activitatea sa decât în situaţiile prevăzute prin reglementări);

- competenţă (auditorul intern trebuie să aibă pregătirea şi experienţa necesare pentru

activitatea sa).

23

Ordonanţa de Urgenţă a Guvernului nr. 75/1999 aprobată cu modificări şi completări prin Legea nr.

133/2002, apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin

Legea nr. 12/2003

24

Art. 104, Norma B.N.R.nr. 17/2003

Page 20: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

20

Integritatea înseamnă că auditorul intern trebuie să-şi îndeplinească atribuţiile cu

onestitate, diligenţă şi responsabilitate; trebuie să nu ia parte, cu bună ştiinţă, la activităţi

ilegale sau să se angajeze în acţiuni care pot să-l discrediteze; trebuie să respecte legea şi să

facă numai dezvăluirile permise de lege sau de profesie; trebuie să respecte şi să contribuie la

realizarea obiectivelor etice ale organizaţiei din care face parte.

Pentru menţinerea obiectivităţii, auditorul intern trebuie să nu participe la activităţi sau să

nu aibă relaţii sau să nu accepte ceva care să-i influenţeze judecata profesională, iar dacă are

cunoştinţă despre un fapt care ar putea distorsiona activitatea, trebuie să dezvăluie acel fapt.

Respectarea principiului confidenţialităţii presupune prudenţă în utilizarea informaţiilor,

protejarea informaţiilor la care are acces în îndeplinirea atribuţiilor şi neutilizarea

informaţiilor în folos personal sau în oricare altă manieră care ar putea aduce atingere

intereselor organizaţiei din care face parte.

Competenţa în activitatea auditorului intern înseamnă ca acesta să nu se angajeze în

activităţi pentru care nu are pregătirea şi experienţa necesară, să respecte standardele

internaţionale de audit şi să îşi perfecţioneze continuu pregătirea profesională şi calitatea

serviciilor.

4. Organizarea auditului intern bancar

Activitatea de audit intern bancar se realizează prin două forme organizatorice:

departamentul de audit intern şi comitetul de audit.

Despre departamentul de audit s-a vorbit cu prilejul prezentării principiilor activităţii

şi a cartei auditului intern, atât din punct de vedere al locului său în cadrul organigramei

băncii, cât şi din punctul de vedere al atribuţiilor şi responsabilităţilor. În legătură cu acesta,

un singur aspect merită să mai fie detaliat, şi anume cel referitor la conducătorul

departamentului de audit.

4.1.Atribuţiile şi responsabilităţile conducătorului departamentului de audit intern bancar

Pornind de la principiul 12 enunţat Comitetul de Supraveghere Bancară de la Basel25

,

norma Băncii Naţionale a României26

realizează o adevărată fişă a postului de conducător al

departamentului de audit intern.

25

“Conducătorul departamentului de audit intern trebuie să fie responsabil pentru asigurarea desfăşurării

activităţii acestuia în conformitate cu principii interne de audit solide.”

Page 21: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

21

Conform acesteia, coordonatorul departamentului de audit intern răspunde de:

1) dezvoltarea şi menţinerea unui program de asigurare a calităţii şi îmbunătăţirea activităţii

de audit intern;

2) monitorizarea şi evaluarea eficienţei programului de asigurare a calităţii auditului intern;

3) asigurarea competenţei profesionale a auditorilor interni, pregătirea profesională a

acestora, asigurarea resurselor adecvate desfăşurării activităţii;

4) stabilirea politicilor şi procedurilor aferente activităţii de audit intern;

5) coordonarea activităţilor desfăşurate de auditorii interni din cadrul băncii cu cele ale

furnizorilor de servicii de audit intern din afara băncii;

6) elaborarea planului de audit intern;

7) informarea consiliului de administraţie şi a comitetului de audit cu privire la activitatea

desfăşurată.

Pentru a completa fişa acestuia, ar mai trebui făcută referire şi la cerinţele de pregătire

profesională pentru ocuparea postului, în conformitate cu Statutul auditului intern, Codul de

etică a auditorului intern, şi la cerinţa legală, din România, ca acesta să fie auditor financiar27

.

4.2.Comitetul de audit

Norma Băncii Naţionale a României nr. 17/2003 (Art. 120 (1)) instituie

obligativitatea existenţei unui comitet de audit în cadrul fiecărei bănci, preluând

recomandarea Comitetului de la Basel pentru Supraveghere Bancară. Motivaţia acestei

recomandări rezidă în necesitatea existenţei unui organ consultativ, cu caracter permanent,

care să sprijine consiliului de administraţie al unei bănci în îndeplinirea dificilei sarcini de a

menţine şi întări sistemul de control intern.

Şi în ceea ce priveşte componenţa, competenţele şi funcţionarea comitetului de audit,

Banca Naţională a României aplică recomandările Comitetului de la Basel. Se precizează,

astfel, că activitatea comitetului trebuie să se desfăşoare pe baza unui regulament aprobat de

către consiliul de administraţie.

26

Art. 113, Norma B.N.R. nr. 17/2003 27

Ordonanţa de Urgenţă a Guvernului nr. 75/1999 aprobată cu modificări şi completări prin Legea nr.

133/2002, apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin

Legea nr. 12/2003

Page 22: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

22

Referitor la componenţa comitetului, sunt însuşite recomandările Comitetului de la

Basel menite să împiedice apariţia situaţiilor de conflict de interese (membrii să fie membri

ai consiliului de administraţie, dar să nu fi fost sau să nu fie conducători ai acesteia), precum

şi cele referitoare la competenţa profesională (experienţă corespunzătoare, iar cel puţin un

membru să aibă experienţă în domeniul auditului sau contabilităţii).

Competenţele comitetului sunt fie de ordin general (încurajarea comunicării dintre

consiliul de administraţie, conducătorii băncii, auditul intern, auditorul extern şi organismul

de supraveghere bancară), fie specifice:

- avizarea cartei auditului intern, a planului de audit şi a necesarului de resurse pentru

această activitate;

- asigurarea relaţiei cu auditorul extern, în sensul primirii planului de audit de la auditorul

extern, a concluziilor şi recomandărilor acestuia28

;

- analiza constatărilor şi recomandărilor auditului intern şi a planului de implementare a

acestora.

După unele opinii29

, în fruntea acestor competenţe ar trebui să se afle cea legată de

alegerea celui mai bun candidat pentru postul de coordonator al departamentului de audit

intern; comitetul de audit trebuie să se asigure că persoana desemnată corespunde profilului

moral şi profesional potrivit funcţiei.

Zonele principale de preocupare a comitetului de audit se referă la funcţionarea

sistemului de control intern şi a departamentului de audit intern, ariile de risc ce trebuie

acoperite de auditul intern şi cel extern, corectitudinea şi credibilitatea informaţiilor

financiare furnizate conducerii băncii şi altor instituţii, conformarea băncii cu prevederile

cadrului legal şi normativ.

Stabilirea periodicităţii întrunirilor comitetului de audit este lasată de Banca Naţională a

României la latitudinea băncilor, pentru a fi stabilită în cadrul regulamentului comitetului.

După unele păreri30

, comitetul de audit ar trebui să se întâlnească de cel puţin patru ori pe

an, iar una dintre aceste întruniri trebuie să fie dedicată situaţiilor financiare anuale.

28

În proiectul normei B.N.R., fusese inclusă ca atribuţie şi “formularea unei recomandări cu privire la numirea

auditorului extern”; în norma aprobată aceasta apare la capitolul de “activităţi permise” (Art. 126). 29

“Asking the Right Questions: Sage Advice for Audit Committees”, Jacqueline K. Wagner, General Auditor,

revista “Directors and Boards”, septembrie 2000 30

TCF Financial Corporation, Audit Committee Charter, octombrie 2002

Page 23: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

23

4.3.Externalizarea activităţii de audit intern

Externalizarea poate aduce avantajele unei expertize înalte, mai ales pe proiecte

speciale de audit, dar poate genera şi riscuri pentru bancă (cum ar fi riscul de

pierderi sau riscul de a avea control redus asupra activităţii externalizate). Aceste riscuri

trebuie să fie monitorizate şi gestionate atent, cu atât mai mult cu cât activitatea de audit

intern este foarte importantă, iar consiliul de administraţie al băncii rămâne responsabil de

funcţionarea eficientă a sistemului de control şi în cazul externalizării unei părţi a acestuia.

În unele ţări, ideea externalizării (totale) auditului intern nu este agreată,

considerându-se că departamentul de audit intern al băncii trebuie să aibă nivelul necesar de

competenţă profesională pentru a acoperi toate activităţile cheie ale băncii. Totuţi, se admite

ideea cooptării unui expert extern care să facă anumite evaluări pentru departamentul de

audit (externalizare parţială).

Banca Naţională a României este favorabilă ideii de externalizare a unei activităţi

bancare, dar în limite clar definite printr-o politică a băncii, în condiţiile existenţei unor

proceduri de administrare a riscurilor asociate activităţilor externalizate şi cu stipularea

clară a responsabilităţilor fiecărei părţi implicate în cadrul contractului de prestări servicii.

Astfel, în opinia băncii centrale, procedurile de administrare a riscurilor ataşate

activităţilor externalizate trebuie să se refere cel puţin la următoarele aspecte: criteriile de

evaluare a societăţii prestatoare de servicii, nivelul de competenţă de aprobare a

externalizării, monitorizarea permanentă a derulării contractului de externalizare şi existenţa

unor planuri alternative pentru cazul în care este necesară schimbarea societăţii prestatoare

de servicii.

În ceea ce priveşte cazul particular al auditului intern, Banca Naţională stabileşte că

decizia de externalizare totală sau parţială a acestuia trebuie să aparţină consiliului de

administraţie a băncii, cu avizul comitetului de audit şi pe baza fundamentărilor şi

propunerilor formulate de către coordonatorul activităţii de audit intern (care trebuie să

rămână în interiorul băncii).

În ceea ce priveşte firma prestatoare de servicii de audit intern, în unele ţări (şi în

România31

) este impusă condiţia ca aceasta să fie diferită de auditorul extern, dar părerea

unanim împărtăşită este aceea că trebuie să îndeplinească condiţii de competenţă

profesională şi de performanţă financiară. Referitor la performanţa financiară, norma Băncii

31

Art. 87 (b) din Normele nr. 17/2003 ale B.N.R.

Page 24: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

24

Naţionale a României reţine indicatorul de solvabilitate, dar pune accent pe indicatorii de

calitate ai firmei respective: reputaţia, calitatea serviciului, personal competent, specializarea

în auditarea respectivei categorii de instituţie financiară etc.

Deosebit de importantă, după alegerea auditorului intern din afara băncii, este

alocarea clară a responsabilităţilor fiecărei părţi în cadrul contractului de prestări servicii.

Astfel, trebuie să se stipuleze cel puţin următoarele drepturi şi obligaţii ale băncii

contractante: asigurarea existenţei unor date actualizate şi a altor informaţii, măsurile ce se

pot lua împotriva societăţii prestatoare de servicii în cazul încălcării confidenţialităţii,

necesitatea aprobării planului de audit intern. În sarcina societăţii prestatoare de servicii

trebuie reţinute cel puţin următoarele obligaţii: asigurarea accesului unor entităţi din

România la datele şi informaţiile aferente operaţiunilor din România, în cazul externalizării

unor activităţi în afara graniţelor ţării, asigurarea securităţii/confidenţialităţii datelor (prin

angajamentul de confidenţialitate, separarea datelor băncii de cele ale societăţii şi de cele ale

altor clienţi ai acesteia), asigurarea resurselor necesare pentru realizarea prevederilor

contractuale.

Studiul efectuat de Comitetul de la Basel32

relevă faptul că externalizarea auditului

intern nu este o practică obişnuită în cele mai multe ţări, iar atunci când se recurge la servicii

externe, acestea sunt, de obicei, furnizate de o firmă din cadrul grupului de care aparţine

banca respectivă. De cele mai multe ori, băncile mici îşi externalizează auditul intern , dar

numai activitatea în sine, nu şi responsabilitatea.

5. Relaţia dintre departamentul de audit intern şi autoritatea de supraveghere

Relaţia dintre autoritatea de supraveghere şi departamentul de audit intern al unei

bănci ar trebui să fie una bivalentă: pe de o parte, de control exercitat de către autoritate

asupra activităţii de audit intern, iar pe de altă parte, de colaborare.

“Autoritatea de supraveghere bancară ar trebui să evalueze activitatea

departamentului de audit intern al băncii şi, în cazul în care rezultatul este satisfăcător, se

poate baza pe aceasta pentru a identifica domeniile cu risc potenţial”33

.

32

“Internal audit in banks and the supervisor’s relationship with auditors: A survey”, Basel Committee on

Banking Supervision, Bank for International Settlements, August 2002 33

Principiul 13, “Internal audit in banks and the supervisor’s relationship with auditors, Basel Committee on

Banking Supervision, Bank for International Settlements, August 2001

Page 25: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

25

Aceasta reprezintă o abordare indirectă pentru evaluarea eficienţei şi calităţii

sistemului de control intern, din care face parte şi auditul intern. Evaluarea activităţii

desfăşurate de auditul intern se poate face pe baza principiilor şi regulilor cuprinse în

reglementările bancare referitoare atât la organizarea şi funcţionarea auditului intern, cât şi la

sistemele de control intern şi de administrare a riscurilor, pe baza statutului auditului intern şi

a codului de conduită a auditorilor interni.

În cazul în care “supra-controlul” într-o bancă este de o calitate satisfăcătoare,

autoritatea de supraveghere poate prelua rapoartele acestuia pentru a identifica problemele

sistemului de control intern din cadrul băncii sau pentru a identifica ariile cu risc potenţial

care nu au intrat recent în vizorul auditului intern.

În ceea ce priveşte colaborarea dintre autoritatea de supraveghere şi departamentul de

audit al băncii, Comitetul privind Supravegherea Bancară de la Basel opinează că ar trebui să

aibă loc consultări periodice între cele două părţi în care să se discute domeniile cu risc şi

măsurile luate pentru acoperirea riscurilor. Totodată, aceste discuţii ar trebui lărgite la nivelul

întregului sistem bancar, pentru subiecte de interes comun, ce ţin de politici şi de

reglementări. Comentariile Comitetului în legătură cu relaţia de colaborare merg până la a

sugera ca autoritatea de supraveghere să fie un “scut” de protecţie al conducătorului

departamentului de audit intern al unei bănci, care sa-l protejeze de măsurile pe care

conducerea băncii “deranjată” de sesizările acestuia le-ar putea lua.

Aceste recomandări au fost aplicate în practică, după cum relevă studiul Comitetului

de la Basel34

; organismele de supraveghere evaluează munca departamentelor de audit din

băncile pe care le controlează prin întâlniri periodice, evaluări la faţa locului şi rapoarte.

Totodată, au loc consultări pe probleme de funcţionare a departamentului de audit, de

reglementări în domeniul supravegherii şi implicaţiile acestora asupra controlului intern şi a

auditului intern.

6. Relaţia dintre auditorii interni şi auditorii externi

În opinia Comitetului privind Supravegherea Bancară de la Basel, auditorii interni şi

cei externi ar trebui să colaboreze. Această părere îmbracă forma unei recomandări făcute

autorităţii pentru supraveghere bancară : “Autorităţile de supraveghere ar trebui să încurajeze

34

“Internal audit in banks and the supervisor’s relationship with auditors: A survey”, Basel Committee on

Banking Supervision, Bank for International Settlements, August 2002

Page 26: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

26

consultarea dintre auditorii interni şi externi pentru a face cooperarea lor cât mai eficientă şi

mai eficace.”35

Pe de o parte, se consideră că auditorii externi pot avea un impact important

asupra calităţii controlului intern prin activităţile lor de audit, inclusiv prin discuţiile cu

conducerea şi consiliul de administraţie al băncii, cu comitetul de audit, sau prin

recomandările făcute cu privire la îmbunătăţirea controlului intern.

Pe de altă parte, auditorului extern ar trebui să i se pună la dispoziţie rapoartele de

audit intern referitoare la situaţiile financiare ale băncii şi ar trebui să fie informat cu privire

la toate aspectele importante sesizate de auditorul intern în domeniul acesta.

De asemenea, conducătorului departamentului de audit intern îi revine sarcina de a

contribui la determinarea naturii, perioadei şi întinderii auditului extern astfel încât cele două

activităţi să fie coordonate şi să nu se producă suprapuneri inutile.

Mijloacele de cooperare şi comunicare se referă la întâlniri periodice pentru a discuta

probleme de interes comun, tehnici, metode şi terminologie specifice auditului, precum şi

schimbul de rapoarte de audit. Organismele de supraveghere subliniază importanţa

consultărilor periodice dintre auditorii interni şi cei externi pentru coordonarea mai bună a

acţiunilor şi evitarea duplicării activităţii de audit.

Relaţiile dintre auditul intern al unei bănci şi auditorul extern şi autoritatea de

supraveghere sunt, astfel, prezentate într-o ipostază mai puţin obişnuită pentru cultura

bancară românească, unde există ideea ori a unui raport de concurenţă, de forţă, ori a unui

raport antagonic. Dacă se analizează obiectivele activităţii tuturor acestor trei factori, se poate

observa că există o convergenţă evidentă a intereselor lor, care impune în mod firesc ideea de

colaborare. Şi dacă acest lucru devine evident, nu mai trebuie decât încrederea părţilor pentru

ca relaţia de colaborare să funcţioneze36

.

35

Principiul 16, “Internal audit in banks and the supervisor’s relationship with auditors, Basel Committee on

Banking Supervision, Bank for International Settlements, August 2001 36

“If there is no trust, co-operation cannot exist.” - “Internal audit in banks and the supervisor’s relationship

with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001

Page 27: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

27

7. Desfăşurarea activităţii de audit intern

7.1 Tipuri de audit intern

Normele B.N.R. nr. 17/200337

preiau, atunci când se referă la formele de audit intern,

specifice unui angajament de audit, clasificarea dată de Comitetul de la Basel:

a) audit financiar – în scopul evaluării credibilităţii sistemului contabil şi informatic şi a

situaţiilor financiare anuale;

b) audit de conformitate – referitor la conformitatea activităţii băncii cu legile,

reglementările şi procedurile;

c) audit operaţional – constă în verificarea calităţii şi adecvării sistemelor şi procedurilor,

analiza critică a structurii organizatorice, evaluarea adecvării metodelor şi resurselor în

raport cu obiectivele stabilite;

d) audit al conducerii – cu obiectivul de a evalua din punct de vedere calitativ modul în

care este exercitată funcţia de conducere pentru îndeplinirea obiectivelor instituţiei de

credit.

Departamentul de audit intern al unei bănci examinează şi evaluează toate activităţile

băncii, desfăşurate de toate entităţile acesteia. Prin urmare, auditul intern nu trebuie să se

concentreze numai pe un anumit tip de audit, ci să utilizeze forma de audit cea mai adecvată

obiectivului de audit ce trebuie atins. Mai mult, activitatea de audit nu trebuie să se

structureze numai pe auditarea diverselor departamente ale băncii, ci şi pe activităţi derulate

prin aportul mai multor departamente.

Banca Naţională a României identifică38

, de asemenea, şi următoarele tipuri de servicii de

consultanţă pe care departamentul de audit le poate realiza:

- angajamente oficiale de consultanţă – planificate şi formalizate într-un document scris;

- angajamente neoficiale de consultanţă – participarea la comitete permanente, proiecte

pe durată limitată, întruniri ad-hoc şi schimb de informaţii;

- angajamente speciale de consultanţă – participări la fuziuni şi achiziţii;

- angajamente de consultanţă pentru cazuri deosebite – participarea într-o echipă

stabilită pentru redresarea sau menţinerea activităţilor după un dezastru sau alt eveniment

37

Art. 114 (1), Norma nr. 17/2003 a Bancii Naţionale a României 38

Art. 114 (2), Norma nr. 17/2003 a Băncii Naţionale a României

Page 28: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

28

extraordinar sau într-o echipă desemnată să acorde sprijin pentru îndeplinirea unei cerinţe

speciale.

7.2. Derularea activităţii de audit intern bancar

a. Activitatea departamentului de audit intern se desfăşoară în baza unui plan de audit,

întocmit de conducătorul departamentului, avizat de comitetul de audit şi aprobat de către

consiliul de administraţie şi de conducătorii băncii.

La baza întocmirii planului de audit trebuie să se afle înţelegerea activităţilor

semnificative ale băncii şi evaluarea riscurilor asociate acestora.

Evaluarea riscurilor are loc pe baza unei metodologii, a unor principii stabilite de către

conducătorul departamentului de audit intern, care trebuie actualizate periodic astfel încât să

reflecte schimbările din sistemul de control intern, din activitatea băncii (atât din punct de

vedere operaţional, cât şi din punct de vedere strategic). Evaluarea riscurilor se face pentru

toate activităţile şi toate entităţile băncii, precum şi pentru întregul sistem de control intern.

Pe baza rezultatelor acestor evaluări se întocmeşte planul de audit, un plan multianual;

acesta trebuie să încorporeze, astfel, şi o componentă de previziune, respectiv inovările şi

dezvoltările estimate şi gradul general de risc mai ridicat asociat noilor activităţi. Planul

trebuie astfel alcătuit încât să acopere, într-o perioadă rezonabilă39

(de exemplu, de trei ani),

toate activităţile şi entităţile semnificative. Planul trebuie să cuprindă termenele, natura şi

frecvenţa angajamentelor planificate, precum şi resursele necesare pentru realizarea acestuia,

inclusiv cele de personal (atât din punct de vedere numeric, cât şi din punct de vedere al

competenţei profesionale).

În opinia Comitetului de la Basel40

, planul de audit intern trebuie să fie realist, adică să

rezerve timp şi pentru alte angajamente (de consultanţă) şi pentru pregătire profesională.

Totodată, planul poate face obiectul revizuirii şi actualizării ori de câte ori este necesar.

b. Pentru derularea fiecărui angajament de audit se realizează un program de audit; acesta

descrie obiectivele urmărite şi etapele activităţii de audit.

39

În opinia B.N.R., această perioadă trebuie stabilită prin statutul auditului intern (Art. 115 (4), Normele nr.

17/2003) 40

“Internal audit in banks and the supervisor’s relationship with auditors, Basel Committee on Banking

Supervision, Bank for International Settlements, August 2001

Page 29: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

29

În realizarea acestuia, auditorii interni trebuie să ţină seama de:

- obiectivele activităţii auditate şi mijloacele prin care activitatea îşi controlează

performanţa;

- riscurile semnificative pentru activitatea respectivă, obiectivele, resursele, operaţiunile şi

metodele prin care impactul potenţial al riscului este menţinut la un nivel acceptabil;

- adecvarea şi eficacitatea a administrării riscurilor şi a sistemelor de control în comparaţie

cu un model de control relevant;

- oportunităţile de a aduce îmbunătăţiri semnificative activităţii de administrare a riscurilor

şi de control41

.

Prin urmare, obiectivele programului trebuie să reflecte rezultatele evaluării riscurilor

identificate pentru activitatea auditată. Resursele şi perioada de timp alocate trebuie să

corespundă caracteristicilor activităţii auditate, complexităţii acesteia şi expunerilor la risc.

Programul de audit reprezintă un instrument relativ flexibil, ce poate fi adaptat şi

completat în funcţie de riscurile identificate pe parcursul derulării angajamentului; acesta,

precum şi modificările ulterioare, fac obiectul aprobării de către conducătorul

departamentului de audit intern.

Procedurile de identificare, analiză, evaluare şi înregistrarea a informaţiilor pe perioada

de desfăşurare a angajamentului de audit sunt cuprinse, după metode bine determinate, în fişe

de lucru, aprobate de conducătorul departamentului de audit intern înainte de începerea

angajamentului.

Coordonatorul departamentului de audit trebuie să stabilească politici privind păstrarea

datelor aferente fiecărui angajament şi privind comunicarea acestora unor terţe părţi, cu

acordul conducerii băncii. Tot coordonatorului departamentului de audit intern îi revine

sarcina de a superviza desfăşurarea angajamentelor pentru a se asigura că obiectivele acestora

vor fi atinse, că activitatea se ridică la standardele de calitate dorite şi că personalul este

alocat eficient.

Standardul de audit 240042

, referitor la comunicarea rezultatelor angajamentului de audit,

stipulează: “Auditorii interni trebuie să comunice rezultatele angajamentului cu

41

International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors,

October, 2001 42

International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors,

October, 2001

Page 30: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

30

promptitudine”. Această menţiune se referă atât la comunicarea, pe parcursul derulării

angajamentului, a unor informaţii ce necesită atenţie imediată sau a stadiului derulării

angajamentului, sub forma unor rapoarte interimare, cât şi la întocmirea, într-o perioadă cât

mai scurtă de la încheierea angajamentului, a raportului de audit.

Raportul de audit rezultat în urma unui angajament trebuie să prezinte obiectivele,

scopul şi întinderea angajamentului, perioada auditată, constatările (inclusiv cele referitoare

la stadiul îndeplinirii recomandărilor din angajamente anterioare), răspunsurile structurii

auditate, recomandările auditului intern şi un plan de acţiuni pentru punerea în aplicare a

acestora.

Raportul de audit este transmis conducerii structurii auditate şi, într-o formă sumară,

conducătorilor băncii. În cazul în care raportul conţine informaţii privilegiate, legate de

acţiuni ilegale sau necorespunzătoare, care nu trebuie cunoscute de către toţi destinatarii

raportului, acestea trebuie să fie dezvăluite într-un raport separat, transmis consiliului de

administraţie.

Conducătorul departamentului de audit intern are ca obligaţie monitorizarea

implementării recomandărilor făcute în urma angajamentelor de audit. Această misiune este

facilitată de instrumentul folosit, şi anume planul de acţiuni; acesta stabileşte importanţa

recomandării făcute, responsabilităţile persoanelor implicate în remedierea deficienţelor

constatate, termenul de îndeplinire a recomandării, complexitatea măsurii de corectare şi

implicaţiile nerealizării acestei măsuri. Rezultatele monitorizării trebuie aduse la cunoştinţă,

cel puţin semestrial, consiliului de administraţie şi comitetului de audit.

La nivelul departamentului de audit intern se păstrează evidenţa angajamentelor de

audit şi a rapoartelor rezultate în urma acestora Pe această bază se poate face evaluarea

eficienţei programului de asigurare a calităţii activităţii de audit, respectiv: - evaluarea

conformităţii cu normele de audit intern şi codul de conduită;

- adecvarea activităţii de audit intern la statutul auditului intern, obiectivele, politicile şi

procedurile aferente;

- contribuţia auditului intern la îmbunătăţirea procesului de administrare a riscurilor, de

conducere şi la sistemul de control intern;

- modul în care auditul intern a contribuit la îmbunătăţirea activităţii băncii.

Page 31: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

31

Pentru evaluarea calităţii activităţii departamentului de audit intern într-o anumită perioadă

de timp se pot folosi o serie de indicatori:43

- indicatori ai activităţii: număr de angajamente realizate; numărul activităţilor şi

structurilor auditate; numărul recomandărilor propuse; numărul recomandărilor aplicate,

numărul de zile alocate, în medie, unui angajament; numărul de zile alocate, în medie,

pentru fiecare fază a angajamentelor; evoluţia numărului şi tipului de deficienţe

constatate;

- indicatori de gestiune: cheltuieli cu salarizarea auditorilor interni; cheltuieli cu

pregătirea profesională a auditorilor interni; alte cheltuieli;

- indicatori de organizare: număr de angajamente pe auditor intern; număr de teme noi pe

auditor intern;

- indicatori de animaţie: număr de şedinţe în echipă; număr de zile alocate pentru

formarea profesională a auditorilor interni.

În ultimă instanţă, performanţele financiare ale instituţiei bancare obţinute în condiţii

de bună gestionare a riscurilor reprezintă indicatorul final care exprimă şi eficienţa şi

eficacitatea activităţii de audit intern.

Cuvinte cheie

Independenţa auditului Competenţa profesională Codul de etică

Imparţialitatea auditului Exhaustivitatea auditului Conducatorul auditului

Continuitatea auditului Statutul auditului intern Comitetul de audit

Externalizarea auditului Autoritatea de supraveghere Auditori externi

Exerciţii şi întrebări

1. Ce reprezintă independenţa, imparţialitatea, continuitatea şi exhaustivitatea auditului intern

bancar?

2. Ce calităţi şi competenţe trebuie să îndeplinească un conducător al departametului de audit

intern?

43

Vasile Dedu -“Gestiune şi audit bancar”, pag. 322 – 323, Editura Economică, Bucureşti, 2003

Page 32: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

32

3. Creonaţi după propria inspiraţie un model de statut al auditului intern.

Page 33: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

33

CAPITOLUL 3 CONTROLUL INTERN BANCAR

1. Obiectivele controlului intern bancar

2. Elementele principale ale sistemului de control intern bancar

2.1. Rolul şi responsabilităţile consiliului de administraţie şi ale

conducătorilor băncii

2.2. Identificarea şi evaluarea riscurilor

2.3. Activităţile de control şi separarea atribuţiilor

2.4. Informare şi comunicare

2.5. Activităţile de monitorizare şi de corectare a deficienţelor

3. Evaluarea sistemelor de control intern de către autorităţile de

supraveghere

Controlul intern bancar

După cum s-a arătat în capitolul precedent, unul dintre principalele obiective ale

auditului intern îl reprezintă evaluarea eficienţei şi a gradului de adecvare a sistemului de

control intern, a cărui parte componentă este.

Controlul intern, aşa cum este definit de Norma B.N.R. nr.17/2003 şi de Comitetul

de la Basel44

, reprezintă un proces continuu la care participă consiliul de administraţie,

conducătorii, precum şi personalul băncilor. Este subliniat astfel faptul că nu este vorba

doar despre o procedură sau o politică aplicată la un moment dat, ci de un cumul de acţiuni

desfăşurate continuu la toate nivelurile băncii.

Interesul acordat controlului intern şi caracterului său continuu este consecinţa

analizei cauzelor care au determinat înregistrarea de pierderi semnificative de către unele

bănci; această analiză a identificat lipsa unor sisteme de control intern adecvate ca fiind un

determinant major al pierderilor. Concluzia trasă din aceste experienţe a fost că un sistem de

control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au

dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern

44

“Framework for internal control systems in banking organisations”, Basle Committee on Banking

Supervision, Basle, septembrie 1998

Page 34: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

34

eficient reprezintă o componentă critică a gestionării unei bănci, care poate sprijini realizarea

obiectivelor băncii şi atingerea ţintelor sale de profitabilitate.

1. Obiectivele controlului intern bancar

Definiţia dată mai sus cuprinde trăsătura pregnantă a controlului intern, participanţii

la acest proces, dar nu este completă; lipseşte partea referitoare la conţinutul acestei activităţi,

care se regăseşte descris prin obiectivele controlului intern.

Principalele obiective ale procesului de control intern pot fi categorisite astfel:

1. eficienţa şi eficacitatea activităţilor (obiective de performanţă);

2. relevanţa, credibilitatea , caracterul complet şi oportun al informaţiilor financiare şi de

gestiune (obiective privind informaţia);

3. conformitatea cu legile şi reglementările aplicabile (obiective de conformitate).

Obiectivele de performanţă ale controlului intern se referă la eficienţa şi eficacitatea cu

care banca îşi utilizează activele şi alte resurse şi la protecţia băncii împotriva pierderilor.

Prin proiectarea normelor de control intern trebuie să se asigure că întregul personal al băncii

se preocupă de atingerea obiectivelor acesteia cu eficienţă şi integritate, fără costuri excesive

şi fără a plasa alte interese înaintea celor ale băncii.

Obiectivele privind informaţiile sunt legate de pregătirea în mod operativ a unor rapoarte

relevante şi de încredere, care să stea la baza procesului de luare a deciziilor în bancă.

Totodată, se referă la informaţiile financiare, la situaţiile financiare anuale şi altele de acest

gen, destinate consiliului de administraţie, acţionarilor, organismelor de supraveghere, a

căror calitate şi integritate este absolut necesară pentru luarea deciziilor.

Obiectivele de conformitate trebuie atinse pentru a proteja reputaţia şi autorizaţia de

funcţionare, prin respectarea legilor, cerinţelor autorităţii de supraveghere, normelor şi

politicilor interne.

2. Elementele principale ale sistemului de control intern bancar

Procesul de control intern, iniţial conceput ca un mecanism de reducere a riscurilor de

fraudă, furt şi eroare, a căpătat în timp multe alte valenţe, adresându-se unei varietăţi mai

mari de riscuri cu care se confruntă banca şi de acoperirea cărora depinde realizarea

obiectivelor băncii.

Controlul intern cuprinde cinci elemente aflate în strânsă corelare:

Page 35: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

35

1. supravegherea exercitată de către consiliul de administraţie şi conducerea băncii;

2. identificarea şi evaluarea riscurilor;

3. activităţile de control şi separarea atribuţiilor;

4. informarea şi comunicarea;

5. activităţile de monitorizare şi de corectare a deficienţelor.

Problemele identificate în analiza pierderilor suferite de bănci se circumscriu acestor

cinci elemente, a căror funcţionare este esenţială pentru atingerea celor trei obiective ale

controlului intern.

2.1. Rolul şi responsabilităţile consiliului de administraţie şi ale conducătorilor băncilor

“Consiliul de administraţie ar trebui să aibă responsabilitatea aprobării şi revizuirii

periodice45

a strategiilor de ansamblu şi a politicilor semnificative ale băncii; înţelegerii

riscurilor majore cu care banca are de-a face, stabilirii nivelurilor acceptabile ale acestor

riscuri şi asigurării că sunt luate măsurile necesare de către conducerea băncii pentru a

identifica, măsura, monitoriza şi controla aceste riscuri; aprobării structurii organizatorice;

şi asigurării asupra faptului că eficacitatea sistemului de control intern este monitorizată de

conducerea băncii. Consiliul de administraţie este responsabil, în ultimă instanţă, pentru

stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.”46

Consiliul de administraţie îndrumă şi supraveghează conducerea băncilor, iar pentru a

îndeplini aceste atribuţii membrii acestuia trebuie să fie obiectivi, capabili, cu o pregătire

profesională adecvată, să aibă o bună cunoaştere a activităţilor băncii şi a riscurilor cu care

se confruntă aceasta. În acest sens, Legea nr. 485/2003 pentru modificarea şi completarea

Legii bancare nr. 58/1998 impune condiţii cu privire la experienţa profesională necesară

pentru a putea fi membru al consiliului de administraţie al unei bănci, şi anume “experienţă

de minimum 3 ani în domeniul financiar – bancar sau într-un domeniu care poate fi

considerat relevant pentru activitatea băncii”.

Totodată, pentru a permite menţinerea obiectivităţii, în unele ţări consiliul are membri

care nu sunt implicaţi în conducerea activităţilor de zi cu zi ale băncii. În România, aceeaşi

lege citată mai sus are o nuanţă mai categorică, mai restrictivă în această privinţă, şi anume:

45

Norma B.N.R. nr. 17/2003 stabileşte periodicitatea cu care este necesară a se îndeplini această atribuţie, şi

anume “cel puţin anual”. 46

Principiul 1, “Framework for internal control systems in banking organisations”, Basle Committee on

Banking Supervision, Basle, septembrie 1998

Page 36: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

36

“În cazul în care conducătorii băncii fac parte din consiliul de administraţie, numărul

membrilor acestuia trebuie să fie stabilit astfel încât administratorii care nu au şi calitatea de

conducător să constituie majoritatea.” (pct. 41 privind modificare Art. 26 al Legii 58/1998).

Mijloacele prin care consiliul de administraţie îşi poate exercita atribuţiile,

identificate de Norma B.N.R. nr. 17/2003, Art. 5. (3 ) sunt:

- discuţii periodice (de regulă trimestrial) cu conducerea operativă privind eficienţa

sistemului de control intern;

- analiza periodică (de regulă trimestrial) a evaluărilor sistemului de control intern

efectuate de conducerea operativă, de auditul intern şi, după caz, de auditorul financiar

extern şi de autoritatea de supraveghere;

- asigurarea implementării de către conducerea operativă a recomandărilor formulate de

auditul intern, de auditorul financiar şi de Banca Naţională a României cu privire la

deficienţele sistemului de control intern şi examinarea efectului măsurilor implementate.

La acestea, Comitetul de la Basel adaugă şi revizuirea periodică a strategiei băncii şi a

limitelor de risc, care apare şi ca atribuţie a consiliului de administraţie.

În unele ţări, printre care şi România, consiliul de administraţie se bazează pe ajutorul dat

de comitetul de audit, constituit din membri ai acestuia (vezi capitolul 2.4.2.). Comitetul

examinează în detaliu informaţiile şi rapoartele primite, supraveghează procesul de raportare

financiară şi sistemul de control intern, este în contact direct cu departamentul de audit intern

şi cu auditorul financiar, dar dreptul de decizie aparţine consiliului de administraţie.

“Conducătorii băncilor ar trebui să aibă responsabilitatea implementării strategiilor şi

politicilor aprobate de consiliul de administraţie; responsabilitatea identificării,

monitorizării şi controlului riscurilor din activitatea băncii; responsabilitatea menţinerii

unei structuri organizatorice care desemnează clar relaţiile de autoritate, responsabilitate şi

de raportare; responsabilitatea de a se asigura că responsabilităţile delegate sunt realizate;

responsabilitatea stabilirii de politici adecvate de control intern; şi responsabilitatea

monitorizării eficienţei şi adecvării sistemului de control intern.”47

Opinia autorităţii de reglementare în domeniul bancar din România, exprimată prin

Norma nr. 17/2003, diferă de cea de mai sus în unele locuri, fie prin nuanţări, fie prin

generalizări, fie prin înglobarea unor atribuţii conexe celor statuate de Comitetul de la Basel.

47

Principiul 2, “Framework for internal control systems in banking organisations”, Basle Committee on

Banking Supervision, Basle, septembrie 1998

Page 37: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

37

Astfel, în domeniul riscurilor semnificative, Banca Naţională a României. precizează că

atribuţiile conducătorilor se referă atât la coordonarea procesului de elaborare a

procedurilor, cât şi la luarea măsurilor necesare pentru identificarea, evaluarea,

monitorizarea şi controlul riscurilor.

În ceea ce priveşte atribuţiile delegate conducerii operative, Banca Naţională a României

menţionează că acestea se referă doar la stabilirea politicilor şi procedurilor de control intern,

în timp ce în domeniul structurii organizatorice atribuţia conducătorilor este foarte “largă” –

de a menţine o structură organizatorică adecvată.

Mai mult, norma Băncii Naţionale a României identifică atribuţiile conducătorilor în

domeniul personalului: să se asigure că activităţile băncii sunt derulate de personal calificat,

având experienţă şi cunoştinţe necesare şi să asigure instruirea corespunzătoare a

personalului.

În comentariile ce însoţesc enunţarea acestui principiu, Comitetul de la Basel face

referire însă şi la retribuirea corespunzătoare a personalului cu funcţie de control şi la

obligaţia conducătorilor de a institui politici privind recompensarea şi promovarea

personalului, care să răsplătească comportamentul adecvat al acestuia şi să minimizeze

cazurile de ignorare sau nerespectare a mecanismelor de control intern.

“Consiliul de administraţie şi conducătorii băncii sunt responsabili pentru

promovarea unor înalte standarde de etică şi integritate şi pentru crearea unei culturi

organizaţionale care să sublinieze şi să demonstreze întregului personal importanţa

controlului intern. Întregul personal al unei organizaţii bancare trebuie să înţeleagă rolul

său în cadrul procesului de control intern şi să fie angajat deplin în acest proces.”48

Contribuţia consiliului de administraţie şi a conducătorilor băncii la crearea unei

puternice culturi a controlului constă şi în propriul exemplu, în etica dovedită în afaceri, atât

în interiorul instituţiei, cât şi în afara acesteia; cuvintele, atitudinea şi acţiunile acestora

afectează integritatea, etica şi alte aspecte ale culturii controlului în bancă.

Personalul trebuie să conştientizeze că, în măsuri diferite, controlul intern reprezintă

responsabilitatea fiecărui angajat al băncii; aproape toţi angajaţii produc informaţii utilizate

de sistemul de control intern sau acţionează pentru efectuarea controlului.

48

Principiul 3, “Framework for internal control systems in banking organisations”, Basle Committee on

Banking Supervision, Basle, septembrie 1998

Page 38: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

38

Un element esenţial al unui sistem de control intern puternic este acela ca întreg

personalul să îşi îndeplinească responsabilităţile şi să comunice conducerii, pe diferite

niveluri, problemele operaţionale apărute, cazurile de încălcare a codului de conduită, a

politicilor şi a reglementărilor.

De asemenea, conducerea băncii trebuie să evite implementarea unor politici care să

aibă efecte nedorite din punct de vedere al controlului. Astfel, politicile care pun un accent

prea mare pe ţinte de performanţă sau pe alte rezultate operaţionale pe termen scurt pot

determina neglijarea aspectelor care ţin de riscurile pe termen lung; nesepararea clară a

responsabilităţilor sau a atribuţiilor de control pot duce la utilizarea neeficientă a resurselor

sau la tăinuirea performanţelor slabe. În cazul în care schemele de promovare şi premiere a

personalului se bazează numai pe criterii legate de profitabilitate, dar nu şi pe cele care ţin de

control şi de rezolvarea problemelor identificate de auditul intern, mesajul transmis de

conducere este unul negativ la adresa importanţei controlului intern.

În concluzie, se poate afirma că existenţa unei puternice culturi a controlului nu

garantează realizarea obiectivelor strategice ale unei bănci, dar lipsa acesteia creează condiţii

prielnice pentru erori şi pierderi, care pun în pericol atingerea ţintelor băncii.

2.2. Identificarea şi evaluarea riscurilor

Din punctul de vedere al controlului intern, în identificarea şi evaluarea riscurilor trebuie

să fie analizaţi atât factorii interni (complexitatea structurii organizatorice, natura

activităţilor băncii, modificări organizatorice, calitatea personalului şi fluctuaţia acestuia etc),

cât şi factorii externi (fluctuaţii în mediul economic, modificări în mediul concurenţial

bancar, înnoirea tehnologică etc) care pot avea un impact negativ asupra atingerii ţintelor de

performanţă şi asupra atingerii obiectivelor controlului intern.

Acest demers se deosebeşte de procesul de gestionare a riscurilor, axat de obicei, pe

strategii pentru găsirea căii de mijloc între profit şi risc în diferite domenii ale băncii, şi are

ca obiectiv asigurarea concordanţei controlului intern al băncii cu natura, complexitatea şi

riscurile activităţii desfăşurate de aceasta.

Identificarea şi evaluarea riscurilor trebuie să acopere toate riscurile cu care banca se

confruntă atât la nivel de ansamblu al băncii, cât şi la toate nivelurile organizatorice ale

acesteia. Procesul trebuie să aibă un caracter continuu, adică să aibă în vedere atât riscurile

ataşate activităţilor prezente, cât şi pe cele aduse de apariţia unor noi activităţi sau cele nou

apărute/determinate în legătură cu operaţiunile deja derulate, iar procedurile de control

Page 39: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

39

trebuie modificate astfel încât să se adapteze la riscurile nou apărute. De exemplu, în cazul

apariţiei unui nou produs, banca trebuie să analizeze noul instrument financiar şi tranzacţiile

de piaţă asociate şi să evalueze riscurile implicate. Determinarea întregii diversităţi de

probleme ce însoţeşte adoptarea unui nou produs (adesea făcută prin metoda scenariilor)

trebuie să-şi găsească contraponderea în măsuri adecvate de control.

Procesul de evaluare a riscurilor se adresează atât aspectelor cuantificabile, cât şi

aspectelor necuantificabile ale riscurilor şi trebuie să pună în balanţă costul implicat de

controlul riscurilor şi beneficiile pe care acesta le poate aduce. Totodată, acest proces include

şi determinarea caracterului controlabil sau necontrolabil al riscurilor; în ceea ce priveşte

riscurile controlabile, banca trebuie să stabilească dacă acceptă acele riscuri sau modul în

care le contracarează prin măsuri de control; în cazul riscurilor care nu pot fi controlate,

banca trebuie să decidă dacă le acceptă, dacă le elimină sau dacă reduce nivelul activităţilor

afectate de riscurile respective.

Norma B.N.R. nr. 17/2003 impune ca evaluarea riscurilor să se realizeze de către

specialişti din cadrul băncii care nu au responsabilităţi în realizarea performanţei comerciale

şi financiare49

, pentru a nu permite apariţia unei situaţii de conflict de interese, dar aceasta

presupune ca specialiştii care fac evaluarea să aibă experienţă relevantă în derularea

activităţilor ce fac obiectul evaluării riscurilor.

În practică s-a observat că managementul băncilor înclină, de multe ori, în favoarea unor

operaţiuni cu randament ridicat, fără a evalua corect riscurile asociate acestor tranzacţii şi nu

alocă suficiente resurse pentru a monitoriza şi evalua expunerile la risc. Totodată, s-a

constatat că multe dintre pierderile înregistrate s-au datorat neactualizării procesului de

evaluare a riscurilor odată cu schimbarea mediului de afaceri.

2.3. Activităţile de control şi separarea atribuţiilor

Activităţile de control intern trebuie astfel concepute şi derulate încât să asigure

acoperirea riscurilor identificate şi evaluate, ca parte integrantă a activităţilor zilnice.

Activităţile de control trebuie definite pentru fiecare nivel organizatoric al băncilor şi implică

două etape: stabilirea politicilor şi procedurilor de control şi verificarea respectării

politicilor şi procedurilor de control.

49

Art. 13, Norme nr. 7/2003 privind organizarea şi controlul intern al activităţii băncilor, administrarea

riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de audit intern în cadrul băncilor

Page 40: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

40

Activităţile de control implică personalul de la toate nivelurile, începând cu consiliul de

administraţie şi terminând cu personalul de execuţie:

- consiliul de administraţie şi conducătorii băncii solicită adesea prezentări şi rapoarte

despre performanţă pentru a analiza progresul făcut de către instituţie către realizarea

obiectivelor sale. De exemplu, pot fi cerute rapoarte referitoare la realizarea bugetului de

venituri şi cheltuieli, iar analizarea acestora, împreună cu conducerea departamentelor

poate duce la detectarea unor deficienţe de control, a unor erori în raportările financiare

sau a unor activităţi frauduloase;

- la nivelul compartimentelor sau sediilor secundare ale băncii se pot face analize operative

zilnice, săptămânale sau lunare;

- controale faptice, care se referă la restricţionarea accesului la active precum titluri sau

numerar, restricţionarea accesului la conturile clienţilor etc.;

- analiza încadrării în limitele impuse expunerilor la risc şi urmărirea modului în care sunt

soluţionate situaţiile de neconformitate. Stabilirea unor limite prudente expunerilor la risc

reprezintă un aspect important al gestionării riscului; încadrarea în anumite limite pe

debitori sau pe alte contrapartide reduce concentrarea de risc a băncii şi contribuie la

diversificarea profilului de risc al acesteia. Prin urmare, un aspect important al activităţii

de control este urmărirea încadrării în aceste limite.

- aprobări şi autorizări – solicitarea aprobării sau autorizării unor tranzacţii ce depăşesc

anumite limite de sumă are rolul de a asigura controlul asupra realizării operaţiunilor

respective de către nivelul de conducere competent şi de a stabili responsabilităţile;

- verificări şi reconcilieri – constau în verificări ale detaliilor tranzacţiilor între diferite

structuri organizatorice (de exemplu, între cei care iniţiază tranzacţiile – front office şi cei

care înregistrează şi monitorizează tranzacţiile – back office) sau în compararea cash

flow-urilor cu extrasele de cont, în vederea asigurării concordanţei şi efectuarea

corecţiilor necesare. Rezultatele acestor verificări şi reconcilieri trebuie raportate

nivelului de conducere competent.

Activităţile de control sunt mai eficiente dacă sunt privite ca parte integrantă a

activităţilor zilnice şi nu ca o acţiuni adiţionale, de o importanţă mai mică. Desfăşurate în

această manieră, activităţile de control dau posibilitatea găsirii unor soluţii rapide la

modificarea condiţiilor de lucru şi duc la evitarea costurilor suplimentare.

Consiliul de administraţie are nu numai sarcina de a stabili politici şi proceduri de

control, ci şi de a urmări respectarea acestora la toate nivelurile şi de a urmări gradul de

Page 41: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

41

adecvare a acestora la modificările din activitatea băncii, iar pentru realizarea acestor

deziderate are la îndemână un instrument special – auditul intern.

“Un sistem de control intern eficient cere să existe o separare corespunzătoare a

atribuţiilor şi ca personalului să nu-i fie alocate responsabilităţi care să ducă la conflicte de

interese. Ariile cu potenţiale conflicte de interese trebuie identificate, minimizate şi

monitorizate atent de către personal independent.”50

Din analiza pierderilor determinate de lipsa controlului, autorităţile de supraveghere au

concluzionat că una dintre cauzele majore o reprezintă lipsa unei separări adecvate a

atribuţiilor. Astfel, alocarea unor atribuţii aflate în relaţie conflictuală unei singure persoane

(de exemplu, responsabilităţi atât în front office, cât şi în back office în zona de

tranzacţionare) dă acelei persoane acces la active de valoare şi la posibilitatea de a manipula

informaţiile financiare în folos personal sau de a ascunde pierderile. Prin urmare, unele

atribuţii ar trebui să fie împărţite, pe cât posibil, între mai multe persoane, pentru a se reduce

riscul manipulării de date financiare sau al însuşirii ilicite a unor active.

Separarea atribuţiilor nu se limitează numai la controlul exercitat de o singură persoană

atât în front office, cât şi în back office, ci este o cerinţă valabilă şi pentru alte domenii, cum

ar fi:

- aprobarea utilizării fondurilor şi tragerea efectivă a acestora;

- acces la conturi ale clienţilor şi la conturile băncii;

- analiza documentaţiilor de credit şi monitorizarea creditului după acordarea acestuia.

Prin urmare, este necesară nu numai identificarea şi monitorizarea zonelor cu conflict de

interese potenţial, dar şi revizuirea periodică a responsabilităţilor şi funcţiilor persoanelor –

cheie din bancă, pentru ca aceştia să nu se afle în poziţia de a “acoperi” deficienţele.

2.4. Informare şi comunicare

Informarea adecvată şi comunicarea efectivă sunt esenţiale pentru funcţionarea

corespunzătoare a sistemului de control intern. Din perspectiva unei bănci, pentru ca

informaţiile să fie utile, acestea trebuie să fie relevante, de încredere, accesibile, să fie

furnizate la timp şi într-un format constant în timp.

50

Principiul 6, “Framework for internal control systems in banking organisations”, Basle Committee on

Banking Supervision, Basle, septembrie 1998

Page 42: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

42

Informaţiile se referă atât la cele interne, financiare, operaţionale şi de conformitate,

dar şi la cele externe, referitoare la evenimente şi împrejurări relevante pentru luarea

deciziilor în cadrul băncii. Procesul de luare a deciziilor de către conducere poate fi afectat de

lipsa de încredere în informaţiile sau de informaţiile eronate furnizate de un sistem

informaţional care nu este bine proiectat şi controlat.

O componentă critică a activităţilor unei bănci o constituie stabilirea şi menţinerea

unui sistem de gestiune a informaţiilor (obţinute atât electronic, cât şi prin mijloace ne-

electronice) care să acopere toate domeniile băncii. Acest sistem trebuie să conţină şi

proceduri privind securitatea informaţiilor, respectiv mijloace de prevenire a dezvăluirii

informaţiilor secrete sau confidenţiale sau de prevenire a folosirii informaţiilor de către

personalul instituţiei pentru obţinerea unor beneficii personale, care ar putea prejudicia banca

atât din punct de vedere material, cât şi reputaţional. Sistemele informatice din cadrul

sistemului informaţional trebuie să răspundă aceloraşi cerinţe de securitate a informaţiei, atât

în sensul menţionat mai înainte, cât şi în sensul asigurării unor informaţii relevante, de

încredere şi al asigurării funcţionării fără întreruperi.

Având în vedere riscurile implicate de obţinerea, manipularea şi păstrarea

informaţiilor obţinute prin sistemul informatic, băncile trebuie să acorde atenţie cerinţelor

organizatorice şi de control intern legate de procesarea informaţiei în formă electronică,

precum şi celor referitoare la păstrarea probelor de audit intern.

O primă cerinţă în acest sens se referă la monitorizarea sistemelor informatice de

către o structură organizatorică separată de cea care le utilizează, ca o aplicare a principiului

separării atribuţiilor pentru evitarea apariţiei unor situaţii de conflict de interese.

În ceea ce priveşte controlul, acesta trebuie să aibă în vedere atât sistemul informatic

ca întreg, cât şi fiecare aplicaţie informatică din componenţa acestuia.

Acţiunile de control general se efectuează asupra infrastructurii hardware şi de

comunicaţii a sistemelor informatice (sisteme mainframe, sisteme client/server, routere,

echipamente de reţea, staţii de lucru ale utilizatorilor finali), precum şi asupra sistemelor de

operare, având ca scop verificarea funcţionării continue şi corespunzătoare a acestora.

Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de

informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de

efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor

de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi

logic la resursele sistemului informatic.

Page 43: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

43

Controalele efectuate la nivelul aplicaţiilor informatice se realizează atât prin

cuprinderea unor etape de validare şi control în cadrul aplicaţiei informatice, cât şi proceduri

manuale de verificare a modului de procesare a tranzacţiilor şi efectuarea operaţiunilor.

În lipsa unor proceduri adecvate de control asupra sistemelor informatice (inclusiv a

celor în curs de implementare, de dezvoltare), băncile pot înregistra pierderi de date sau de

programe datorită unor proceduri necorespunzătoare privind securitatea fizică şi electronică,

datorită avarierii echipamentelor şi disfuncţiilor sau datorită unor proceduri de rezervă sau de

recuperare a datelor dezvoltate intern şi neadecvate.

Pe lângă riscurile şi controalele ataşate la care s-a făcut referire mai sus, există şi

riscuri datorate unor factori externi, în afara posibilităţilor de control al băncilor (riscul de

producere a unor calamităţi naturale, de exemplu). Pentru asigurarea împotriva acestor

riscuri, băncile trebuie să elaboreze planuri alternative (de rezervă) care să le asigure

continuitatea funcţionării. Deşi bazate pe replicarea sistemelor critice fie prin existenţa unor

sisteme de rezervă într-o altă locaţie a băncii, fie prin intermediul unui furnizor extern de

servicii (deci, pe asigurarea continuităţii funcţionării sistemelor informatice), aceste planuri

de urgenţă trebuie să implice toate elementele care ţin de buna desfăşurare a operaţiunilor.

Totodată, pentru asigurarea funcţionării şi disponibilităţii acestor sisteme de rezervă este

necesară testarea lor periodică.

Un alt aspect deosebit de important legat de informaţie îl reprezintă comunicarea,

cea care dă valoare informaţiei. Conducerea băncii trebuie să stabilească unele căi de

comunicare pentru ca informaţiile să ajungă în timp util la oamenii care au nevoie de acestea.

Aceste informaţii se referă atât la politici şi proceduri ale băncii, cât şi la cele legate de

performanţa băncii. Personalul trebuie să cunoască procedurile şi politicile băncii, în general,

şi pe cele care au implicaţii asupra atribuţiilor şi responsabilităţilor sale, în special. Totodată,

personalul trebuie să aibă în permanenţă imaginea progresului făcut pe calea atingerii

obiectivelor instituţiei pentru a conştientiza efectele activităţii sale.

Structura organizatorică a băncii trebuie să faciliteze diseminarea informaţiilor de

sus în jos, de jos în sus şi pe orizontală. Prin aceste fluxuri de informaţii, consiliul de

administraţie cunoaşte riscurile incumbate de activităţile derulate de bancă şi performanţa

instituţiei, iar conducerea operativă şi personalul operativ iau cunoştinţă de strategia,

politicile şi procedurile băncii. Totodată, comunicarea pe orizontală între diferite structuri

organizatorice dă posibilitatea ca informaţia intrată pe o poartă de acces să poată fi

cunoscută şi de alte departamente afectate de informaţia primită.

Page 44: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

44

2.5. Activităţile de monitorizare şi de corectare a deficienţelor

Având în vedere faptul că industria bancară este dinamică, băncile trebuie să

monitorizeze şi să evalueze continuu sistemul de control intern, ca urmare a modificării

condiţiilor interne şi externe, şi trebuie să întărească acest sistem pentru a-I menţine eficienţa.

Monitorizarea sistemului de control trebuie să fie făcută atât de personalul operativ,

cât şi de cel din cadrul controlului financiar şi din cadrul auditului intern. Pentru ca această

funcţie să nu fie acoperită numai la nivel teoretic, conducerea băncii trebuie să stabilească

clar persoanele în sarcina cărora cad atribuţiile de monitorizare. Banca Naţională a României

opinează că monitorizarea sistemului intern de control trebuie să fie efectuată “atât de

personalul responsabil pentru fiecare compartiment şi sediu secundar al instituţiei de credit,

cât şi de auditul intern”51

Monitorizarea sistemului de control intern are atât o componentă zilnică, cât şi una

periodică, de evaluare separată a procesului de control privit în ansamblu. Monitorizarea pe

bază zilnică oferă avantajul detectării şi corectării rapide a deficienţelor din sistemul de

control intern, dar eficienţa sa depinde de integrarea sistemului de control intern în mediul

operaţional bancar şi de rapoartele de control generate. Spre deosebire de aceasta, evaluarea

periodică este menită să ofere o imagine a eficacităţii întregului sistem de control intern şi a

activităţii de monitorizare şi cade atât în sarcina personalului responsabil pentru fiecare

compartiment şi sediu secundar (autoevaluare), cât şi a auditului intern. În ceea ce priveşte

periodicitatea acestor evaluări, Banca Naţională a României se raliază părerii Comitetului de

la Basel care consideră că parametrii care determină frecvenţa monitorizării unei activităţi

sunt riscurile implicate de acea activitate şi natura şi frecvenţa schimbărilor din activitatea

respectivă.

Rezultatele monitorizării şi, în special, deficienţele constatate trebuie să fie aduse

imediat la cunoştinţa nivelului de conducere competent să ia măsuri corective, iar cele majore

trebuie raportate conducerii băncii şi consiliului de administraţie.

Norma B.N.R. nr. 17/2003 subliniază faptul că responsabilitatea de a stabili un sistem

de detectare a deficienţelor sistemului de control intern şi de a întreprinde măsuri pentru

soluţionarea deficienţelor revine conducătorilor băncilor, care, în realizarea acestei atribuţii,

se bazează pe auditul intern.

51

Art. 31 (3), Norme nr. 7/2003 privind organizarea şi controlul intern al activităţii băncilor, administrarea

riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de audit intern în cadrul băncilor

Page 45: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

45

Multe bănci au înregistrat pierderi datorită lipsei de monitorizare efectivă a sistemului

de control intern; adesea aceste sisteme nu au avut procese de monitorizare continuă, iar

evaluările separate realizate fie nu erau adecvate, fie nu erau urmărite adecvat de către

conducere.

În unele cazuri, absenţa monitorizării a început cu lipsa de atenţie şi de reacţie la

informaţiile zilnice primite de către conducere referitoare la aspecte neuzuale ale activităţii

(de exemplu, depăşiri ale limitelor de expunere, lipsa de situaţii financiare ale debitorilor

etc). Într-o bancă, pierderile din activitatea de tranzacţionare erau înregistrate într-un cont

fictiv de client; dacă banca ar fi avut o procedură prin care extrasul de cont să fi fost trimis

lunar prin poştă clientului, iar clientul să confirme soldul contului, aceste pierderi ar fi putut

fi detectate înainte să producă probleme majore băncii.

În alte cazuri, activitatea sau divizia băncii care a cauzat pierderi masive avea

numeroase caracteristici ce indicau un nivel crescut al riscului, cum ar fi un nivel neobişnuit

al profitului sau creşterea rapidă a unei activităţi aflate la distanţă mare de centrală sau de

compania-mamă. Datorită unei lipse de evaluare a riscurilor, băncile respective nu au alocat

suficiente resurse suplimentare pentru a controla şi monitoriza activităţile cu risc ridicat. De

fapt, în unele cazuri, activităţile cu risc ridicat erau derulate cu mai puţină supraveghere decât

cele cu profil de risc mai scăzut, iar conducerea nu a reacţionat cum trebuia la observaţiile

făcute de auditorii externi şi interni.

Auditul intern nu a fost eficient în multe cazuri, prin combinarea a trei factori:

realizarea unor audituri treptate, lipsa unei depline înţelegeri a activităţii băncii şi urmărirea

neadecvată a unor probleme. Auditul fragmentat a rezultat din structurarea programelor de

audit intern ca serii de angajamente separate pe unele activităţi din cadrul aceluiaşi

departament sau din cadrul băncii. Deoarece procesul de audit era fragmentat, activitatea nu

era bine înţeleasă de către personalul departamentului de audit. Dacă acesta ar fi fost altfel

organizat, permiţând auditorilor să urmărească procese şi funcţii de la început la sfârşit (de

exemplu, urmărirea unei tranzacţii de la iniţiere până la raportare) le-ar fi permis să înţeleagă

mai bine. În plus, ar fi dat oportunitatea de a verifica şi testa adecvarea controlului în fiecare

etapă a procesului. În alte cazuri, pregătirea necorespunzătoare a personalului de la

departamentul de audit intern în domeniul de marketing, sistem informatic şi alte arii

sofisticate a contribuit la problemele auditului intern. Deoarece personalul nu a avut

expertiza necesară, a ezitat în a pune întrebări în cazul unor suspiciuni, iar dacă a pus

întrebări, a acceptat orice răspuns primit, ca atare.

Page 46: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

46

Auditul intern poate să se dovedească ineficient şi atunci când conducerea nu

urmăreşte problemele identificate de auditori, fie datorită lipsei de consideraţie acordată

acestei activităţi, fie datorită faptului că nu urmăreşte prin rapoarte periodice progresul făcut

în rezolvarea problemelor sesizate.

3. Evaluarea sistemelor de control intern de către autorităţile de supraveghere

Deşi consiliul de administraţie şi conducerea băncii poartă responsabilitatea dezvoltării şi

menţinerii unui sistem de control intern eficient, autorităţile de supraveghere trebuie să

evalueze adecvarea sistemului de control intern al unei bănci în funcţie de profilul de risc

al acesteia şi atenţia dată de către conducerea băncilor problemelor semnalate de sistemul de

control intern.

Evaluarea realizată de autoritatea de supraveghere trebuie să se refere nu numai la

întreg sistemul de control intern, dar şi la controlul exercitat în anumite zone de activitate cu

risc ridicat, cum ar fi zone caracterizate printr-o profitabilitate neobişnuită, creştere rapidă,

noi produse bancare sau zone depărtate fizic faţă de sediul central.

Totodată, o atenţie deosebită trebuie acordată zonelor care în trecut au fost asociate cu

deficienţe ale sistemului de control intern şi cu pierderi determinate de aceste deficienţe.

Autoritatea de supraveghere trebuie să urmărească şi modificările care au avut loc în

activitatea băncii şi modul în care acestea ar fi trebuit să reflecte sau au avut impact asupra

sistemului de control intern. Astfel de modificări se referă la schimbări în mediul bancar şi

economic, angajarea de personal nou, sisteme informaţionale noi, activităţi sau domenii ce

înregistrează o creştere rapidă, introducerea de noi tehnologii, de noi produse, restructurări

sau reorganizări, expansiunea operaţiunilor în străinătate.

Pentru a evalua calitatea controlului intern, autorităţile de supraveghere pot avea mai

multe abordări. Astfel, acestea pot evalua activitatea departamentului de audit intern al

băncii, pe baza analizei documentelor produse, a metodologiei folosite pentru a identifica,

măsura, monitoriza şi controla riscul.

În cazul în care calitatea activităţii departamentului de audit intern este satisfăcătoare,

autoritatea de supraveghere poate utiliza rapoartele auditorilor interni ca bază pentru

identificarea problemelor de control ale băncii sau pentru a identifica ariile cu risc potenţial

pe care auditorii interni nu le-au evaluat recent.

Unele autorităţi de supraveghere folosesc procesul de autoevaluare prin care

conducerea băncii analizează procedurile de control pe fiecare activitate în parte şi certifică

Page 47: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

47

faptul că acestea sunt adecvate. Alţi supraveghetori pot solicita auditarea externă periodică a

anumitor domenii, pentru anumite scopuri.

În final, autorităţile de supraveghere pot combina modalităţile descrise mai înainte cu

propriile lor evaluări şi examinări, la faţa locului, a controlului intern. Evaluările la faţa

locului includ atât o evaluare a activităţilor, cât şi testarea la nivel de tranzacţie pentru a

obţine o verificare independentă a proceselor de control intern ale băncii. Testarea la nivel de

tranzacţii are în vedere adecvarea şi respectarea politicilor, procedurilor şi limitelor interne,

acurateţea şi conţinutul rapoartelor către conducere şi a situaţiilor financiare, eficacitatea

procedurilor de control.

Pentru a evalua eficacitatea celor cinci elemente ale controlului intern dintr-o bancă,

autoritatea de supraveghere trebuie să:

- identifice obiectivele controlului intern care sunt relevante pentru profilul băncii

(creditarea, investiţiile, contabilitatea etc);

- evalueze eficacitatea elementelor controlului intern nu numai prin aprecierea

politicilor şi procedurilor, dar şi a documentaţiei, prin discuţii cu personalul (pentru a

aprecia mediul de lucru) şi prin testarea tranzacţiilor;

- discute periodic deficienţele identificate şi recomandările făcute pentru remediere cu

consiliul de administraţie şi cu conducerea băncii;

- aprecieze măsurile corective luate şi dacă au fost luate la timp.

Acolo unde legislaţia permite, autorităţile de supraveghere pot înlocui astfel de inspecţii

la faţa locului cu analizarea rapoartelor produse de către auditorii externi la solicitarea lor. În

aceste cazuri, auditorii externi trebuie să evalueze activitatea băncii şi să testeze tranzacţiile,

aşa cu s-a specificat mai sus, în cadrul unor angajamente de audit, iar supraveghetorii trebuie

să evalueze calitatea auditului extern.

Indiferent de abordarea folosită, autorităţile de supraveghere trebuie să ia în considerare

observaţiile şi recomandările făcute de auditorii externi cu privire la eficacitatea controlului

intern şi să aprecieze modul în care consiliul de administraţie a răspuns la ceste observaţii şi

recomandări.

Cuvinte cheie

Sistemul de control intern Identificarea riscurilor Informare

Consiliul de Administraţie Evaluarea riscurilor Comunicare

Page 48: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

48

Conducătorii Băncii Separarea atribuţiilor Monitorizare

Exerciţii şi întrebări

1. Care este rolul consilului de administrare în cadrul sistemului de control intern?

2. Este suficient să existe un sistem solid de control intern în cadrul băncilor pentru a

gestiona riscurile? Justificaţi răspunsul

3. Care sunt etapele de gestiune a riscurilor?

4. Modelaţi o listă de autoevaluare a controlelor asociate activităţii unei sucursale.

Page 49: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

49

CAPITOLUL 4 RELAŢIA DINTRE AUTORITATEA DE SUPRAVEGHERE ŞI AUDITORUL EXTERN

1. Rolul auditorului extern al băncii

2. Rolul autorităţii de supraveghere

3. Relaţia dintre autoritatea de supraveghere şi auditorul extern

1. Rolul auditorului extern al băncii

Obiectivul auditării situaţiilor financiare ale unei bănci de către un auditor extern este

acela de a avea o opinie a unui auditor independent referitoare la respectarea prevederilor

legale în materie. Această opinie întăreşte credibilitatea situaţiilor financiare ale unei bănci,

dar nu dă garanţii cu privire la viabilitatea viitoare a instituţiei şi nu se referă la eficienţa sau

eficacitatea cu care conducerea a gestionat activitatea băncii.

Prevederile legale referitoare la realizarea situaţiilor financiare diferă de la ţară la

ţară, iar opiniile auditorilor externi sunt formulate pe baza acestora sau, în cazul în care

raportarea pe baza standardelor de contabilitate internaţional acceptate este permisă în ţara

respectivă, opinia auditorului extern se bazează pe Standardele Internaţionale de

Contabilitate52

. Standardul Internaţional de Audit 700, “Raportul auditorului cu privire la

situaţiile financiare”53

, prevede faptul că auditorii externi trebuie să identifice ţara la care se

raportează (ţara unde se află sediul central al băncii) şi legislaţia contabilă aplicabilă, în cazul

în care ţara respectivă nu a adoptat Standardele Internaţionale de Contabilitate.

Pentru desfăşurarea activităţii sale, auditorul extern trebuie să dispună de proceduri

adecvate astfel încât să reducă riscul de a emite opinii necorespunzătoare în cazul în care

situaţiile financiare ale unei bănci sunt eronate. Dezvoltarea acestor proceduri presupune

identificarea şi evaluarea prealabilă a riscurilor inerente de eroare, dar şi a riscului ca

sistemele de contabilitate şi de control ale unei bănci să nu aibă posibilităţi de prevenire sau

de detectare şi corectare a erorilor (riscul de control). Totodată, auditorul extern trebuie să

analizeze dacă necorelările din situaţiile financiare sunt rezultatul unei erori sau a unei

52

“ Standardele Internaţionale de Contabilitate sunt emise de Comitetul Standardelor de Contabilitate (C.S.I.C.),

în care sunt reprezentate 78 de ţări. Obiectivul C.S.I.C. este de a promova accepţiunea universală a standardelor

în prezentarea rapoartelor auditate şi a declaraţiilor financiare.” – Vasile Dedu, “Gestiune şi audit bancar”, pag.

326, Editura Economică, Bucureşti, 2003 53

Comitetul Internaţional al Practicilor de Audit, din cadrul Federaţiei Internaţionale a Contabililor, emite

standarde privind practicile de audit general acceptate. (Idem)

Page 50: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

50

acţiuni frauduloase (riscul de fraudă). Standardul de Audit 240, “Responsabilitatea

auditorului în ceea ce priveşte evaluarea riscului de fraudă şi de eroare în auditarea situaţiilor

financiare”, enumeră factori ai

riscului de fraudă, a căror prezenţă poate semnala posibilitatea existenţei unei fraude.

În aprecierea nivelului de risc inerent, auditorii externi trebuie să ţină seama de

particularităţile pe care băncile le au faţă de alte companii: lucrează cu un volum mare de

instrumente monetare; au tranzacţii internaţionale (iniţiate într-o jurisdicţie, înregistrate în

alta şi gestionate în cu totul alta); au un raport capital/total active scăzut, ceea ce le măreşte

vulnerabilitatea la schimbările de mediu economic; au active cu valoare variabilă şi greu de

determinat; se angajează într-o varietate de tranzacţii, cu volum şi valori mari; operează

printr-o reţea de sucursale şi departamente dispersate geografic; tranzacţiile pot fi iniţiate

direct de către clienţi, fără intervenţia salariaţilor băncii; îşi asumă multe angajamente

extrabilanţiere; trebuie să se încadreze în indicatorii de prudenţialitate stabilite de

organismele de reglementare; au acces la sisteme de plăţi şi decontări; pot emite sau

tranzacţiona instrumente financiare complexe, dintre care unele trebuie înregistrate la

valoarea justă etc.

Toate aceste aspecte indică existenţa unui înalt nivel potenţial de risc al unei bănci,

care ar necesita un audit detaliat al tuturor tranzacţiilor. Însă extinderea activităţii auditorului

extern până la acest nivel ar fi consumatoare de timp, scumpă şi nepractică, de aceea

auditorul extern trebuie să se bazeze în demersul său pe evaluările făcute de auditul intern al

băncii în ceea ce priveşte riscul inerent de eroare materială, riscul de control şi testarea

procedurilor de control intern destinate să prevină, să detecteze şi să corecteze erorile

materiale. Astfel, calitatea auditului intern determină natura, perioada şi extinderea

procedurilor de audit ale auditorilor externi.

În aprecierea auditului intern, auditorul extern are în vedere statutul auditului intern,

obiectivul acestuia, competenţa profesională a auditorilor interni şi grija profesională cu care

aceştia îşi îndeplinesc responsabilităţile54

.

În urma angajamentului de audit, realizat pe baza procedurilor stabilite ţinând seama

de modul de administrare a riscul inerent şi de control, auditorul extern trebuie să detecteze

neconcordanţele evidenţiate de situaţiile financiare ale băncii, la nivel individual sau agregat,

care sunt substanţiale în raport cu informaţia financiară.

54

SIA 610 “Aprecierea activităţii auditului intern”, “The relationship between banking supervisors and banks

exterbal auditors”, Basel Committee on Banking Supervision, January 2002

Page 51: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

51

Substanţialitatea55

erorilor este legată de influenţa pe care acestea ar putea s-o aibă asupra

deciziilor economice pe care utilizatorii le iau pe baza situaţiilor financiare ale băncii.

Auditorul evaluează substanţialitatea atât la nivelul situaţiei financiare în ansamblu, cât şi în

relaţie cu anumite conturi şi clase de tranzacţii.

În urma analizei substanţialităţii diferitelor neconcordanţe detectate, se stabilesc mai

multe niveluri de substanţialitate în funcţie de aspectul sub care sunt examinate situaţiile

financiare şi de destinatarul opiniei auditorului extern (consiliul de administraţie al băncii sau

autoritatea de supraveghere).

Auditul extern nu garantează faptul că toate neconcordanţele substanţiale vor fi

detectate, datorită unor factori precum limitele inerente ale controlului intern, caracterului

“convingător” şi nu concludent al documentaţiei puse la dispoziţia auditorului extern. Riscul

nedetectării unei neconcordanţe substanţiale determinată de fraudă este mai ridicat decât cel

de nedetectare a unei neconcordanţe determinată de eroare, deoarece frauda poate implica

scheme sofisticate şi bine organizate (falsificare, neînregistrarea deliberată a unor tranzacţii,

neprezentarea sau prezentarea într-o anumită manieră a unei tranzacţii. Mai mult, riscul

nedetectării fraudelor comise la nivelul conducerii băncii este mult mai ridicat decât cel al

nedetectării fraudelor la nivelul personalului de execuţie, deoarece membrii consiliului de

administraţie şi ai conducerii executive se prezumă a fi integri şi se află în poziţii în care pot

eluda procedurile normale de control. Prin urmare, auditorul extern îşi planifică şi desfăşoară

auditul cu o atitudine de scepticism profesional, recunoscând că pot exista cazuri care

determină existenţa unor neconcordanţe substanţiale în situaţiile financiare.

În cazul detectării unor erori substanţiale în cadrul situaţiilor financiare, cum ar fi o

politică necorespunzătoare de conducere a contabilităţii, evaluarea neadecvată a unor active,

nedezvăluirea unor informaţii, auditorul extern trebuie să ceară conducerii băncilor să

ajusteze situaţiile şi să corecteze erorile.

În cazul în care conducerea băncii refuză să acţioneze pentru reglarea

neconcordanţelor sau nu oferă toate informaţiile şi explicaţiile necesare, auditorul extern

emite o opinie cu rezerve sau poate chiar refuza emiterea unei opinii. Deoarece un astfel de

raport sau lipsa acestuia ar avea efecte serioase asupra credibilităţii şi chiar asupra stabilităţii

băncii, conducerea acesteia ia, de obicei, măsurile necesare pentru a evita astfel de situaţii.

55

Substanţialitate – materialitate, realitate

Page 52: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

52

Pe lângă obiectivul principal al activităţii auditorului extern, acesta poate comunica

şi alte informaţii conducerii băncii referitoare la deficienţe constatate în controlul intern,

informaţii eronate etc., dar care nu influenţează raportul final al acestuia.

În unele ţări, auditorul extern realizează, prin prevederi statutare sau prin convenţie, o

formă lungă a raportului său , destinat conducerii băncii sau autorităţii de supraveghere, pe

probleme legate de componenţa soldurilor conturilor, de portofoliul de credite, lichiditate,

venituri, indicatori financiari, adecvarea sistemului de control intern, riscurile la care este

supusă banca, conformitatea cu reglementări şi legi.

Auditorul extern are obligaţia, în unele ţări printre care şi România56

, să raporteze

prompt autorităţii de supraveghere orice fapt care constituie o încălcare a legilor şi

reglementărilor, care afectează capacitatea băncii de a-şi continua activitatea sau care

conduce la emiterea unei opinii cu rezerve.57

2. Rolul autorităţii de supraveghere

Obiectivul principal al supravegherii prudenţiale este de a menţine stabilitatea şi

încrederea în sistemul bancar. În plus, supravegherea este adesea direcţionată pe verificarea

conformităţii cu cu legile şi reglementările ce guvernează băncile şi activităţile acestora.

Supravegherea bancară începe de la procedurile de autorizare a unei bănci menite să dea

asigurări referitoare la calitatea acţionarilor, a membrilor consiliului de administraţie şi ai

conducerii, la concordanţa organizării şi controlului intern al băncii cu planul său de afaceri

şi cu strategiile acesteia, a structurii legale cu cea operaţională, la adecvarea capitalului şi la

lichiditate, la calitatea auditorului financiar. În unele ţări, autoritatea de supraveghere

trebuie să autorizeze şi transferul unei părţi importante din acţiunile băncii sau a unui pachet

de control; în România, Banca Naţională autorizează tacit pe cei ce devin acţionari

semnificativi ai unei bănci58

.

Supravegherea continuă este realizată pe bază de recomandări şi îndrumări. În pachetul

consultativ “Noul Acord de la Basel” emis în ianuarie 2001, Comitetul de Supraveghere

Bancară de la Basel propune un cadru de adecvare a capitalului bazat pe trei piloni

complementari:

56

Art. 61, Legea bancară nr. 58/1998 modificată prin Legea nr. 357/2002 şi Legea nr. 485/2003 57

“The relationship between banking supervisors and banks exterbal auditors”, Basel Committee on Banking

Supervision, January 2002

Page 53: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

53

- cerinţele privind capitalul minim pe cele trei mari categorii de risc: de credit, de piaţă şi

operaţional;

- revizuirea procesului de supraveghere a adecvării capitalului, în care, pe de o parte,

băncile evaluează şi urmăresc continuu menţinerea adecvării capitalului, în funcţie de

riscurile prezente şi viitoare, iar pe de altă parte, supraveghetorii analizează procedurile

băncii în domeniu şi intervin de timpuriu pentru a apariţia unor situaţii de

neprudenţialitate;

- transparenţă - publicarea de către bănci a informaţiilor calitative şi cantitative referitoare

la capitalul lor şi la profilul de risc.

Autorităţile de supraveghere monitorizează şi pot limita o serie de riscuri bancare, cum ar

fi riscul de credit, riscul de piaţă, riscul de lichiditate, riscul operaţional, riscul legal şi

reputaţional. În acest scop autorităţile pot dezvolta sisteme de măsurare expunerea la anumite

riscuri, pe baza cărora stabilesc limite de expunere. De exemplu, Banca Naţională a

României a prevăzut, în Legea bancară nr. 58/1998 cu modificările ulterioare, limite

referitoare la expunerea faţă de un singur debitor, la expunerile mari, la expunerile faţă de

persoanele aflate în relaţii speciale cu banca, la activele de genul titlurilor participative, la

poziţia valutară etc.

Un alt aspect care intră în atenţia supraveghetorilor este organizarea şi funcţionarea

sistemului de control intern, în legătură cu care se apreciază adecvarea la natura, obiectivul şi

nivelul activităţii băncii.

Totodată, o mare importanţă este acordată de autorităţile de supraveghere calităţii

conducerii băncii. Prin inspecţii la faţa locului, unde dialogurile purtate cu conducerea băncii

dau posibilitatea înţelegerii planurilor de afaceri şi a strategiilor, iar observaţiile şi contactele

cu personalul băncii relevă adecvarea personalului, a resurselor materiale şi echipamentelor

băncii, supraveghetorii pot evalua competenţa conducerii.

O supraveghere eficientă se realizează pe baza colectării şi analizării informaţiilor

despre bancă (situaţii financiare, raportări), care arată încadrarea în anumiţi indicatori de

prudenţialitate şi constituie baza discuţiilor cu conducerea băncii.

Pentru validarea acestor informaţii, autorităţile de supraveghere pot folosi fie

inspecţiile la faţa locului, fie auditorii externi ai băncii. Mandatul dat acestora din urmă se

poate extinde şi asupra verificării adecvării sistemului de control intern al băncii.

58

Art. 51-52, Legea bancară nr. 58/1998 modificată prin Legea nr. 357/2002 şi Legea nr. 485/2003

Page 54: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

54

În unele ţări, pentru a-şi întregi imaginea despre administrarea băncii şi sistemul de

operare al acesteia, autorităţile de supraveghere se întâlnesc periodic cu comitetul de audit şi

consiliul de administraţie, putând astfel să aprecieze eficacitatea activităţii comitetului sau să

sprijine banca în rezolvarea unor probleme.

3. Relaţia dintre autoritatea de supraveghere şi auditorul extern

Din cele expuse în acest capitol, se pot identifica unele puncte de tangenţă între cele două

entităţi:

- îndeplinirea cerinţelor prevăzute de lege de către auditorul extern al unei bănci (de

experienţă, independenţă etc) reprezintă unul dintre elementele analizate în cadrul

procedurii de autorizare a băncii de către organismul de supraveghere;

- obligaţiile ce revin auditorului extern referitoare la raportarea şi informarea

supraveghetorilor cu privire la unele fapte descoperite în cursul desfăşurării

angajamentului de auditare a situaţiilor financiare ale unei bănci;

- autoritatea de supraveghere se bazează pe certificarea dată de auditorul extern al băncii

cu privire la realitatea şi corectitudinea informaţiilor cuprinse în situaţiile financiare ale

băncii;

- supraveghetorii pot mandata auditorii externi pentru evaluarea calităţii controlului intern,

a sistemului contabil, a conformităţii activităţii băncii cu cerinţele legale şi de

reglementare, a adecvării structurii organizatorice etc

- atât autoritatea de supraveghere, cât şi auditorul extern apreciază calitatea controlului

intern în cursul obişnuit al activităţii lor, chiar dacă pentru scopuri diferite;

- auditorul extern poate folosi informaţiile date de supraveghetori pentru a-şi realiza

atribuţiile mai eficient.

Se poate concluziona că, pentru menţinerea stabilităţii sistemului bancar şi pentru

întărirea securităţii băncilor în scopul protejării intereselor deponenţilor, autoritatea de

supraveghere dispune de un colaborator competent, care îi dă asigurarea cu privire la

credibilitatea situaţiilor financiare ale băncilor, îi poate semnala aspecte alertante din

activitatea băncilor şi pe care îl poate împuternici să realizeze o parte din munca sa.

Având în vedere complexitatea crescândă a industriei bancare, obiectivele

organismelor de supraveghere şi ale auditorilor externi sunt din ce în ce mai greu de atins.

Din multe puncte de vedere, ambele tipuri de instituţii trebuie să facă faţă unor provocări

similare şi, din ce în ce mai mult, rolurile lor sunt percepute ca fiind complementare.

Page 55: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

55

Cooperarea dintre supraveghetori şi auditorii externi (care poate îmbrăca şi forma unor

întâlniri periodice) face ca procesul de supraveghere să fie mai eficient şi mai eficace, iar

interesul public general faţă de stabilitatea sistemului bancar să fie astfel mai bine slujit.

Exerciţii şi întrebări

1. Care este rolul auditorului extern în procesul de derulare a activităţii unei bănci solide?

2. Atunci când o bancă îşi externalizează funcţia de audit intern, poate aceasta să contracteze

aceaşi firmă atât pentru activitatea de audit intern cât şi pentru auditul extern? Justificaţi

răspunsul.

3. Este importantă prezenţa autorităţii de supraveghere în cadrul general al unui sistem

bancar solid? Justificaţi răspunsul.

Page 56: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

56

CAPITOLUL 5 AUDITAREA PROCESELOR ŞI TEHNICILOR DE EVALUARE A RISCURILOR

1. Prezentare generală

2. Matricea riscurilor, suport pentru stabilirea planului de audit

Cuvinte – cheie

Întrebări şi exerciţii

1. Prezentare generală

În contextul dezvoltării complexităţii activităţilor bancare, lumea bancară a început să

conştientizeze pericolul apariţiei unor noi elemente ce poartă un anumit grad de risc de

pierdere. Astfel, cercetătorii cât şi bancherii din întreaga lume caută soluţii fiabile care să-i

ajute în demersul lor de a administra riscurile aferente oricărei activităţi comerciale dar mai

ales celei bancare.

În consecinţă, Comitetul de la Basel care operează în cadrul Băncii Reglementărilor

Internaţionale a emis un număr de recomandări cu privire la administrarea riscurilor în cadrul

activităţilor bancare, numindu-le generic sub apelativul BASEL urmat de un număr ce

reprezintă ordinea apariţiei.

Iniţial, Comitetul de la Basel a emis în 1988 principii de administrare a riscului de credit,

care ulterior au fost reţinute sub denumirea de Basel I. Aici, Comitetul specifica modalităţile

de administrare a riscului de credit şi necesitatea alocării de capital pentru acoperirea

eventualelor pierderi ce ar fi putut avea loc în contextul unei gestionări neadecvate a

portofoliului de credite sau a altor active purtătoare de risc. Astfel, aceste recomandări au

condus băncile la clasificarea activelor sale în funcţie de gradul de risc asociat şi ponderarea

acestora în calculul solvabilităţii şi pragului minim care trebuie să fie atins. Era foarte bine

cunoscută formula:

Capital > 8%

Risc de credit

Page 57: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

57

În demersul lor de a se dezvolta şi a evita în mod moral legislaţia restrictivă (prin

inovaţie), băncile au început să intre pe piaţă cu noi instrumente de trezorerie şi investiţii

(instrumente derivative) care incumbau noi tipuri de risc neincluse până în 1996 în calculul

capitalului minim obligatoriu: riscul de piaţă. Astfel, Comitetul de la Basel s-a adaptat rapid

la noile tendinţe şi în 1996 modifică BASEL I prin adăugarea riscului de piaţă la calculul

capitalului minim obligatoriu.

Capital >8%

Risc de credit+Risc de piaţă

Recent, mai exact începând cu 1999, lumea bancară a adus în discuţie introducerea unui

concept a cărui manifestare este veche şi universală dar care nu fusese luat în calculul

capitalului minim obligatoriu mai mult din comoditate decât din alte motive, având în vedere

dificultatea, timpul necesar şi tehnicile anevoioase de calcul al său: riscul operaţional. De

asemenea, având în vedere dezvoltarea tehnicilor de calcul ale riscurilor de credit şi de piaţă

(internal rating approach, advanced internal rating approach, VaR, etc.), Comitetul a hotărât

înlocuirea vechiului BASEL I cu noile descoperiri adunate sub denumirea generică de

BASEL II, a cărui aplicare va avea loc la începutul anului 2007.

Capital >8%

Risc de credit+ Risc de piaţă+ Risc operaţional

Astfel, funcţia de audit intern trebuie să se adapteze noilor tendinţe descrise în cadrul

acestui nou acord, care reiterează rolul foarte important al auditului intern în desfăşurarea

adecvată a gestiunii riscurilor din cadrul unei bănci. Aici, Comitetul menţionează în cadrul

celor 10 principii de gestionare a riscului operaţional din cadrul băncilor că auditul nu trebuie

să se implice efectiv în activitatea de gestiune a riscurilor, ci el trebuie să evalueze dacă

factorii responsabili aplică principiile şi tehnicile adecvate de gestiune şi în ultimă instanţă să

asiste sau să sfătuiască persoanele responsabile. Este adevărat însă, că tot Comitetul este

conştient că, atunci când avem în discuţie o bancă mică, s-ar putea să ne întâlnim cu situaţia

în care auditul intern are în sarcină şi gestionarea riscului, dar aceasta nu ar trebui să mai

continue, odată ce recomandările BASEL II intră în vigoare. Trebuie avut în vedere că acest

Comitet nu face altceva decât să accentueze menţiunile făcute de către OECD referitoare la

guvernanţa corporativă (corporate governance) care pune existenţa funcţiei independente de

Page 58: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

58

audit intern ca o condiţie necesară pentru o bună organizare a companiei. Mai jos se poate

observa locul auditului în cadrul activităţii de gestiune a riscurilor.

Cu alte cuvinte, în activitatea cotidiană de auditare a activităţilor bancare, auditorul intern se

va ghida după matricea riscurilor implicate (vezi mai jos detalii despre matrice) în respectiva

activitate auditată. Dacă anumite elemente de risc au fost depistate, atunci auditorul intern

trebuie să discute cu responsabilul respectivei activităţi semnalându-i pericolul unei

eventuale apariţii sau existenţa acestora şi să ofere recomandări în sensul preîntâmpinării sau

reducerii/eliminării acestora, rămânând tot timpul în afara procesului de gestionare, dar

evaluând periodic stadiul în care se află implementarea recomandărilor.

Având în vedere faptul că tehnicile şi metodele de gestionare a riscurilor ar trebui să facă

parte din cadrul unei alte prezentări care să fie dedicată acestora, autorii o să prezinte doar

riscurile care trebuie să fie urmărite şi care sunt recunoscute de către BASEL II şi preluate de

către BNR în Norma 17/2003.

Page 59: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

59

Astfel, auditorul intern trebuie să observe riscurile ce se pot manifesta la un moment dat

în cadrul băncii pe fiecare departament şi global, nelimitându-se doar la un anumit risc care

este caracteristic funcţiunii auditate. De exemplu, în cadrul departamentului de credite, la

prima vedere, putem spune că ne vom întâlni doar cu riscul de credit, dată fiind denumirea

departamentului care ne trimite la o astfel de abordare. Dar nimic nu este mai fals comparativ

cu opinia emisă anterior. Aici, vom putea descoperi că şi riscul de dobândă, valutar sau chiar

şi cel operaţional ar putea avea manifestări într-o măsură mai mare sau mai mică. În ceea ce

priveşte riscul operaţional, există o graniţă foarte sensibilă între a determina dacă o pierdere

este aferentă riscului operaţional sau celui de credit (ex. nerambursarea unui credit pentru că

debitorul a prezentat la bancă documente false, acest eveniment fiind pus sub umbrela

riscului operaţional). Pentru a avea în minte întreaga gamă de riscuri ce ar putea să apară la

un moment dat în cadrul băncii, schema de mai jos este cât se poate de relevantă.

2. Matricea riscurilor. Suport pentru stabilirea planului de audit.

În general, la sfârşitul anului, atunci când are loc un bilanţ al activităţii funcţiei audit intern

pentru a stabili dacă planul pe anul respectiv a fost îndeplinit şi întocmirea planului de audit

Riscuri bancare

Structura bilanţului

Riscuri financiare

Structura contului de

profit si pierdere

Solvabilitatea

Riscul de credit

Riscul de piaţă

Riscul valutar

Risc operaţional

Riscul de legislaţie

Sistemele interne şi

riscul operaţional

Riscul de tehnologie

Riscul de lichiditate

Riscul de dobândă

Conducere şi fraudă

Risc de afacere Riscuri externe

Risc de strategie

Risc de politici ale

organizaţiei

Infrastructură

financiară

Risc sistematic

(de ţară)

Risc politic

Risc de contagiere

Risc de criză

bancară

Alte riscuri

Page 60: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

60

pentru anul viitor care va include şi eventualele misiuni nerealizate, coordonatorul

departamentului de audit intern va întocmi o matrice de risc pentru fiecare departament care

va avea ca rezultat o notă. Această notă va fi comparată cu intervalele prestabilite şi încadrată

într-unul din ele care va specifica şi frecvenţa auditului pentru respectivul departament

(trimestrial, semestrial, anual, o dată la doi ani, trei ani, etc.)

Indiferent de departamentul auditat, această matrice va trebui să conţină printre altele şi

următoarele întrebări/aspecte:

I. Întrebări referitoare la evaluarea riscului.

a. semnificaţia şi riscul inerent al departamentului

care este semnificaţia departamentului auditat în activitatea băncii?

cât de mare este probabilitatea ca riscul să crească sau ca riscuri adiţionale să

apară datorită modificărilor în cadrul general al activităţii/afacerii?

există riscuri adiţionale datorită complexităţii activităţii băncii?

b. tipuri de risc

cât de mare este riscul de credit potenţial?

cât de mare este riscul de piaţă potenţial?

Cât de mare este riscul operaţional potenţial (fără IT)?

Cât de mare este riscul potenţial în sfera IT?

Cât de mare este riscul potenţial generat de participări/ deţinerea de imobile?

II. Întrebări referitoare la evaluarea controlului.

a. Cadrul general

sunt cunoscute în mod adecvat riscurile, controalele şi securitatea în rândul

membrilor departamentului auditat?

Sunt definite clar interfaţele cu celelalte unităţi/parteneri de outsourcing?

Sunt definite clar responsabilităţile conducerii?

Sunt adecvate numărul, calificarea şi experienţa personalului în legătură cu

activitatea departamentului auditat?

Realizarea sarcinilor este descrisă în cadrul unor politici scrise suficient de

detaliate, relevante şi actualizate?

Se potrivesc clădirile şi echipamentele tehnice activităţii auditate?

b. Gestiunea riscului - în special riscuri inerente

există instrumente/precauţii adecvate pentru a identifica, măsura, monitoriza

şi controla riscurile?

Page 61: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

61

Sunt limitele adecvate comparativ cu riscurile implicate?

Sunt utilizate metode adecvate pentru identificarea noilor riscuri şi deviaţiilor

faţă de standard şi se acţionează adecvat?

limita şi gestionarea riscurile inerente activităţii auditate?Este conducerea bine

informată despre expunerea la risc a unităţii în timp util şi o manieră

adecvată?

c. Sistemul de controale interne

sunt controalele adecvate şi corect realizate în funcţie de aria de cuprindere şi

complexitatea activităţii unităţii?

Este sistemul de controale interne periodic revăzut şi modificat conform

nevoilor mai ales în momentele de schimbare a mediului de afaceri?

Sunt definite controalele realizate ca intenţionate?

Sunt toate deficienţele abordate eficient şi rezolvate în timp util?

d. Conformitatea cu reglementările interne şi externe

sunt respectate toate obligaţiile legale şi de supraveghere?

sunt însuşite toate procedurile şi politicile interne?

personalul şi directorii responsabili sunt familiari cu toate reglementările

interne şi externe relevante?

Pentru fiecare întrebare se pot întâlni 4 categorii de relevanţă pentru activitatea auditată.

Acestea sunt: nici o relevanţă, relevanţă scăzută, relevanţă normală şi relevanţă mare. De

asemenea, se atribuie pe acelaşi principiu note referitoare la riscul ce-l implică fiecare

întrebare. Notele riscului sunt de la 1 la 4 şi au acelaşi înţeles ca şi relevanţa (1-deloc, 2-

scăzut, 3-normal, 4-mare). Combinând cele două rezultate, un program automat va determina

nota generală pentru activitatea auditată care va fi folosită pentru determinarea frecvenţei

auditului.

Page 62: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

62

Cuvinte cheie

solvabilitate; guvernanţă corporativă;

riscuri financiare; matricea riscurilor

riscuri operaţionale; relevanţa

riscuri ale afacerii; notarea riscului

riscuri externe;

Întrebări şi exerciţii

1. Definiţi fiecare categorie de risc implicat în activităţile bancare.

2. Care este rolul auditului în cadrul activităţii de gestionare a riscurilor?

3. Care sunt elementele ce apar într-o matrice de risc?

4. Pe baza răspunsului anterior, creaţi o matrice a riscurilor aferentă departamentului de

credite. Încercaţi şi pentru celelalte departamente.

Page 63: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

63

CAPITOLUL 6 ACTIVITATEA DE AUDIT PROPRIU – ZISĂ. ABORDARE PRACTICĂ

1. Calculul capacităţii auditului

2. Planul anual de audit

3. Etapele activităţii de audit intern

4. Întocmirea raportului de audit intern

Cuvinte – cheie

Întrebări şi exerciţii

5. Abordare practică

5.1. Activitatea de creditare

5.2. Trezorerie şi pieţe de capital

5.3. Trade Finance (pasive contingente

A.Garanţii bancare

C.Acreditive

5.4. Plăţi

1.Plăţi interne (de pe teritoriul ţării)

2.Plăţi internaţionale

5.5. Contabilitate

5.6. Furnizori/cheltuieli

5.7. Personal/resurse umane

5.8. Administrarea clădirilor şi mijloacelor fixe

5.9. Auditul de conformitate

5.10. Auditul sistemelor informaţionale

1. Calculul capacităţii auditului

Înainte de a se realiza planul anual de audit intern, coordonatorul departamentului audit

intern trebuie să calculeze numărul efectiv de zile care pot fi lucrate de către personalul

angajat la momentul respectiv.

La calcularea capacităţii auditului, coordonatorul trebuie să ia în considerare numărul de

zile lucrătoare, zilele legale de sărbătoare, zilele de concediu de odihnă sau medical (se face

o estimare care să se apropie de numărul legal de zile de concediu), etc. În general, calculul

ia forma unui tabel ca cel de mai jos:

Page 64: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

64

Numărul de persoane angajate 1000

Din care centrala băncii 300

Numărul persoanelor din audit 10

Procent 1

Capacitatea auditului pe 3 ani (de văzut mai jos) 4026

Procent din total personal din centrala băncii 3

Numărul de personal din audit 10

Numărul de zile pe an 3650

Minus

Week-enduri 1080

Sărbători legale 80

Vacanţă de odihnă 210

Boli sau alte vacanţe 80

Capacitatea auditului 2200

Din care:

19% compliance şi AML 418

5% consultanţă 110

10% audit extern 220

5% audituri neplanificate 110

Zilele lucrătoare de audit planificat pe an 1342

În următorii 3 ani 4026

Minus

Altele 0

4026

Determinarea capacităţii de audit va trebui să evalueze şi următorii doi ani, astfel încât

aceasta să prezinte o estimare pe trei ani în vederea planificării efectivelor de personal

necesar auditului intern.

2. Planul anual de audit.

În desfăşurarea activităţii de audit intern, planul anual reprezintă un ghid sau, mai mult,

echivalentul bugetului de venituri aferent departamentelor orientate către vânzări, adică, cu

alte cuvinte acesta determină anumiţi termeni care trebuie să fie realizaţi.

Aşa cum s-a menţionat şi în capitolul anterior, planul de audit va trebui să reflecte

rezultatele matricelor de risc. Astfel, dacă activitatea auditată emană un risc semnificativ,

Page 65: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

65

atunci aceasta ar trebui să fie auditată periodic la fiecare 3 luni. În continuare, pe măsura

scăderii gradului de risc implicat, auditul poate fi desfăşurat la fiecare 6 luni, în fiecare an, la

doi ani sau chiar 3 ani. Mai jos, autorii vă prezintă un model de plan anual de audit intern în

condiţiile în care departamentul are trei persoane angajate.

Departamentul Perioada Nr. de zile Nr.

auditori

Realizat (sfârşit an)

Credite/legal/retail 05.01.2004-

02.02.2004

20 3

Trade finance 09.02.2004-

23.02.2004

10 3

TFO 01.03.2004-

05.03.2004

5 3

TBO 08.03.2004-

12.03.2004

5 3

Sucursala 1 15.03.2004-

19.04.2004

5 2

Custodie 15.03.2004-

19.04.2004

5 1

Etc.

Tabelul va continua cu enumerarea celorlalte departamente sau unităţi care ar trebui să

fie auditate conform matricelor de risc până la sfârşitul anului. După cum s-a observat, în

acelaşi timp se pot realiza mai multe misiuni de audit, însă, aceasta modalitate poate fi

utilizată numai în cazul în care banca dispune de efectivele de personal necesare.

Evident, acest plan poate suferi modificări de-a lungul anului, în funcţie de noile

activităţi sau produse ce au fost introduse fără a se şti aceasta la momentul întocmirii. De

asemenea, toate activităţile rămase neauditate vor fi repartizate în planul de audit pentru anul

următor.

Acest plan trebuie să fie întocmit de către coordonatorul departamentului de audit intern şi

aprobat de către consiliul de administraţie.

3. Etapele activităţii de audit intern

Page 66: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

66

Etapa I. Informare generală privind obiectivul ce urmează a fi auditat

1. Lucrări preliminare

informare, documentare referitoare la relaţiile cu mediul extern de afaceri;

informare privind reglementările legale, statutare, profesionale;

comparaţii cu alte societăţi (bănci) cu acelaşi profil.

2. Primele legături oficiale cu unitatea auditată (management, structuri operatorii)

informări, documente referitoare la principalele niveluri structurale, planuri,

persoane, rezultate, deficienţe;

vizite la manageri, directori, servicii, operatori;

informare preliminară privind documentele de gestiune (evidenţa operativă).

3. Orientarea planificată şi începerea lucrărilor

deschiderea dosarului permanent de lucru;

analiza riscurilor de audit:

- definirea obiectivelor de audit,

- stabilirea limitelor de aprofundare,

- precizarea duratelor (persoanelor);

stabilirea departamentelor, secţiilor, serviciilor, şi locurilor de operare unde se

vor efectua testări

Etapa II. Derularea misiunii de audit

1. Stabilirea procedurilor

folosirea manualului de proceduri, după caz;

elaborarea diagramelor de circulaţie (informaţii, documente);

alcătuirea de memorandumuri.

2. Stabilirea testelor de conformitate

simulări sau/şi teste la un număr de tranzacţii diferite cu scopul de a verifica

procedurile de control şi finalizarea controlului: adaptabilitatea sistemului de

control.

3. Evaluarea preliminară a controlului intern

puncte forte ale sistemului de control;

puncte slabe ale sistemului de control.

4. Teste de permanenţă

teste de verificare a continuităţii şi eficacităţii punctelor forte ale sistemului.

5. Evaluarea controlului

Page 67: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

67

punctele forte ale sistemului de control;

slăbiciunile, deficienţe ale sistemului de control;

documente de sinteză.

Etapa III. Finalizarea misiunii de audit

1. Evaluarea definitivă a controlului intern

acţiuni semnificative;

acţiuni puţin semnificative;

elaborarea unor noi programe;

teste complementare;

elaborarea unor noi programe;

2. Stabilirea şi raportarea opiniei

4. Întocmirea raportului de audit intern

Raportul de audit respectă anumite principii, o anumită formă, iar conţinutul său se

supune anumitor norme.

Raportul de audit intern este şi trebuie să fie un document de informare pentru

conducere. La simpla lectură a raportului, superiorii ierarhici trebuie să ştie dacă există un

bun control asupra domeniului auditat şi care sunt, eventual, măsurile importante ce trebuie

luate pentru a îmbunătăţi situaţia. Pentru a răspunde acestei funcţii, nu este nevoie ca raportul

de audit să detalieze investigaţiile efectuate. Trebuie şi este nevoie ca raportul de audit să

detalieze investigaţiile efectuate? Trebuie şi este de ajuns să prezinte o argumentaţie clară,

care să se bazeze pe identificarea exactă a riscurilor observate sau descoperite şi care să

precizeze în linii mari punctele slabe şi măsurile ce trebuie luate ?

Însă raportul de audit mai trebuie să fie, din punctul de vedere al entităţii auditate, şi un

instrument de lucru. Pornind de la raportul de audit, responsabilii auditaţi vor întreprinde

acţiuni corective, ceea ce nu s-ar putea face numai cu indicaţii generale. Aşadar, documentul

trebuie să analizeze şi să prezinte în mod obligatoriu detaliile constatărilor şi observaţiilor.

Recomandările trebuie să fie concrete şi precise, pentru ca responsabilii să nu rămână

nelămuriţi, şi să fie în măsură să definească cu exactitate acţiunile ce trebuie întreprinse.

Rezultatul acestei abordări este un raport lung.

Raportul de audit va trebui să răspundă acestor două exigenţe prin adoptarea unei

structuri originale pe care o putem analiza în patru părţi:

Prima pagină şi scrisoarea de transmitere

Page 68: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

68

În funcţie de regulile băncii şi de cultura ei, raportul este-sau nu- însoţit de o scurtă

scrisoare de transmitere. De foarte multe ori, scrisoarea de transmitere lipseşte iar pe prima

pagină se indică principalele menţiuni care nu trebuie omise:

în primul rând, titlul misiunii şi data de trimitere a raportului care precizează

foarte clar data de încheiere a operaţiunilor de audit. Eventual, se aminteşte

ordinul de misiune iniţial;

sunt menţionate numele auditorilor care au participat la lucrări, împreună cu

cel al şefilor de misiune; este foarte indicat ca cei interesaţi să semneze cu

numele lor, cu excepţia cazului - pe care veţi vedea că nu-l recomandăm - în

care nu au participat la redactarea raportului. Produsul final este astfel validat

de către cei care au contribuit la crearea sa;

din acelaşi spirit de claritate se cere precizarea numelor destinatarilor

raportului de audit. Dacă au fost difuzate doar extrase, se vor preciza şi

beneficiarii acestor extrase. Este foarte important ca la fiecare nivel al

structurii ierarhice să se ştie foarte clar cine a primit documentul. O menţiune

specială precizează cine este entitatea auditată, destinatar principal şi

responsabil cu aplicarea recomandărilor.

O menţiune obligatorie de confidenţialitate mai figurează pe prima pagină

(sau pe copertă). Această cerinţă de confidenţialitate implică numerotarea

diferitelor exemplare şi precizarea numărului în faţa numelui fiecărui

destinatar. Regulile interne ale serviciului de audit trebuie să interzică în mod

normal editarea sau fotocopierea raportului.

Sumar- introducere şi sinteză

Acest ansamblu introductiv începe prin sumarul detaliat al raportului pentru a putea face

uşor trimiteri la un subiect sau altul. Acest sumar este indispensabil mai ales pentru

rapoartele voluminoase sau care au multe anexe.

Introducerea este în general destul de scurtă. Ea trebuie să cuprindă în mod obligatoriu

două informaţii:

prezentarea domeniului de acţiune şi a obiectivelor misiunii. Într-adevăr,

cititorul nu cunoaşte neapărat ordinul de misiune, şi nici raportul de orientare

a fortiori; această prezentare precizează aşadar cu o foarte mare utilitate

scopul urmărit şi limitele în care s-au situat investigaţiile (limite în timp şi

spaţiu);

Page 69: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

69

o descriere foarte scurtă a organizării unităţii sau a funcţiei auditate; şi aceasta

nu pentru că entităţile auditate solicită acest lucru, ci pentru a răspunde primei

funcţii a raportului: informarea conducerii. La nivelurile cele mai înalte ale

ierarhiei, poate să fie nevoie de o prezentare a organizării mediului auditat.

În final, sinteza. Unii autori o numesc “scrisoarea preşedintelui”, ceea ce subliniază

foarte clar obiectivul sintezei: să informeze conducerea şi să respecte astfel prima funcţie a

documentului. Acest capitol, clar separat de celelalte, permite responsabilului de la nivel înalt

să oprească lectura în acel punct pentru a consulta în detaliu diferitele probleme pe care

doreşte să le aprofundeze. Acest lucru presupune ca sinteza să respecte două reguli esenţiale:

- trebuie să fie scurtă: nu mai mult de o pagină şi jumătate, pentru a nu se lungi sau repeta.

- trebuie să fie precisă şi să permită cititorului să-şi formeze o opinie după lectură.

În această sinteză auditorul apreciază calitatea controlului intern. În acest scop, ea nu

trebuie să fie un simplu rezumat al corpului raportului care conţine numai observaţii

negative. Nota de sinteză restabileşte echilibrul, corelând aspectele pozitive cu cele negative.

Astfel poate fi aplicată Norma 2410.A2: “Comunicarea trebuie să ţină cont de punctele forte

identificate”. Să precizăm că anumite rapoarte de audit aplică Norma evocând aspectele

pozitive din corpul raportului. Dar pe lângă faptul că această metodă îngreunează prezentarea

şi atenuează punctele slabe, ea nu permite aplicarea Normei 2410.A1, care impune o “opinie

generală a auditorului”. Tehnicile de apreciere care permit formularea acestei opinii globale

sunt tratate în capitolul următor. Aceste tehnici sunt cu atât mai necesare cu cât auditorului

intern i se cere de aici înainte să-şi assume opinia formulată, fapt care indică importanţa

sintezei.

Uneori, acest document de sinteză este lăsat la sfârşitul raportului: aceasta este o

greşeală, deoarece cititorul are tendinţa de a face o lectură integrală, în timp ce scopul

urmărit este tocmai evitarea acestui parcurs.

Corpul raportului- sau “Raportul detaliat”

Este documentul integral destinat în primul rând entităţii auditate şi care cuprinde:

constatări, recomandări şi răspunsuri la recomandări, toate prezentate în ordinea logică şi

coerentă a sumarului. Din păcate, există o dispută între două şcoli în privinţa formei acestei

părţi care reprezintă esenţa raportului:

o şcoală “tradiţională” care susţine faptul că raportul de audit intern este un

document destinat lecturii, şi nu o cantitate de informaţii care trebuie

Page 70: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

70

descifrate din documentele de lucru. Corpul raportului trebuie aşadar redactat

ca orice alt raport, adică conform tradiţiei.

o şcoală “inovatoare” susţine faptul că, având în vedere că practica foilor de

lucru este generalizată datorită structurii sale coerente şi logice, este de ajuns

să clasăm toate foile de lucru conform ordinii anunţate în sumar şi corpul

Raportului este gata în forma sa definitivă. Această practică are riscurile ei: în

starea ei iniţială, foaia de lucru este un document abrupt, fără nuanţe şi a cărei

formă voit simplificată îl poate şoca pe cititorul neavizat. De aceea, este

recomandat să nu alegeţi această cale decât dacă o permit contextul şi cultura.

Concluzia-Planul de acţiune- Anexele

Concluzia unui raport de audit nu este obligatorie: adevărata concluzie este nota de

sinteză de la începutul documentului. Putem totuşi să facem o scurtă încheiere (15 rânduri),

nu pentru a repeta ceea ce s-a spus în sinteză, ci pentru a deschide două direcţii posibile:

fie pentru a anunţa - sau a sugera - alte misiuni al căror interes a fost

evidenţiat prin prezenta misiune de audit;

fie pentru a reaminti - făcând referire la planul de audit aprobat - la ce dată va

avea loc următoarea misiune de audit intern pe aceeaşi temă.

După această scurtă concluzie urmează un document completat de către entitatea

auditată, trimis împreună cu răspunsurile la recomandări şi anexat la raport: este vorba de

planul de acţiune. Este un simplu formular, standardizat de auditul intern, şi care permite

entităţii auditate să precizeze în cadrul fiecărei recomandări cine, ce şi când va acţiona.

Pentru a răspunde acestor obiective, actul anexat la sfârşitul raportului cuprinde înaintea

numărului fiecărei recomandări numele persoanei responsabile cu punerea în aplicare şi

termenul în care recomandarea va fi pusă în aplicare şi finalizată. Vom vedea mai târziu la ce

folosesc aceste informaţii, însă imediat după difuzarea raportului, destinatarii ştiu cui să i se

adreseze pentru fiecare problemă adusă în discuţie. Forma cea mai simplă şi cea mai

tradiţională este aceasta:

Plan de acţiune

Recomandări Persoana responsabilă Data limită de finalizare

Nr.1 Şeful de departament 30.06.2004

Nr.2 Director sucursală 30.05.2004

Page 71: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

71

Majoritatea rapoartelor de audit intern conţin şi anexe pentru a nu complica prea mult

textul documentului. De aceea, toate tabelele, graficele, textele oficiale, regulile procedurale,

schemele etc. care susţin demonstraţia sunt lăsate în anexe, împreună cu trimiterile şi

referinţele de rigoare care să permită identificarea lor fără probleme. În rapoartele

importante, care necesită numeroase trimiteri, se utilizează uneori un “caiet cu anexe”, un fel

de raport complementar care nu este destinat citirii integrale. Utilizarea anexelor prezintă

anumite pericole: auditorul trebuie să se limiteze la documentele indispensabile pentru o mai

bună înţelegere a raportului; ar fi un adevărat dezastru dacă am adăuga documente inutile,

doar pentru a obţine un anumit volum.

Răspunsurile la recomandări

Fiecare constatare dă naştere unei recomandări a auditorului care este prezentată

entităţilor auditate în timpul reuniunii de încheiere. Dacă entităţile auditate au rezerve în

privinţa realismului şi aplicabilităţii lor, şi le vor exprima acum. Auditorii interni vor ţine

cont de acest lucru, sau nu, în funcţie de cum apreciază observaţiile făcute. Deoarece

recomandarea a devenit astfel definitivă din punct de vedere al formei, se cere un răspuns

oficial din partea entităţilor auditate pentru ca observaţiile lor să poată fi integrate în raport.

Aceste răspunsuri la recomandări se materializează în două feluri:

fie - şi aceasta este practica anglo-saxonă - răspunsul este reţinut şi notat încă

de la reuniunea de încheiere, în aşa fel încât la sfârşitul reuniunii să existe un

text definitiv: raport şi răspunsuri. Raportul definitiv astfel finalizat este

disponibil în orele de după reuniune, ba chiar în câteva minute, dacă

actualizările şi înregistrările au fost făcute pe calculator în timp real. Nu mai

trebuie adăugate la document decât planul de acţiune.

practica franceză este mai tradiţională: între exprimarea orală în timpul

reuniunii şi luarea de poziţie în scris dorim să lăsăm entităţii auditate un răgaz

de gândire, care variază în funcţie de bancă (de la 8 zile la 3 săptămâni).

Răspunsul scris ajunge aşadar puţin mai târziu la serviciul de audit intern, care

îl integrează, aşa cum este, în raportul de audit după fiecare recomandare.

Aceste răspunsuri la recomandări trebuie să respecte trei principii fundamentale:

1. Principiul 1

Page 72: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

72

Trebuie să reprezinte o luare de poziţie clară şi fără ambiguitate prin care entitatea

auditată:

- fie acceptă recomandarea, acesta fiind – aşa cum şi trebuie - cazul cel mai întâlnit, mai ales

după reconcilierile şi validările din timpul reuniunii de încheiere.

- fie nu acceptă decât parţial, şi numai pentru unele dispoziţii

- fie o refuză, ceea ce nu trebuie să se întâmple decât în mod excepţional.

Auditorilor trebuie să li se atragă atenţia asupra acestei probleme, deoarece unele

refuzuri nu reprezintă rezultatul unei negări a constatării, ci al caracterului nepotrivit al

soluţiei propuse. De aceea, şeful misiunii, mai experimentat şi cunoscând mai bine mediul,

trebuie să vegheze în mod special asupra calităţii şi pertinenţei recomandărilor propuse.

2. Principiul 2

Materializarea răspunsului entităţii auditate este “Planul de acţiune” la care s-a făcut

trimitere în prezentarea structurii raportului de audit. Odată cu acceptarea recomandării, se va

decide cine va fi responsabil cu punerea ei în aplicare şi când. Acest aspect este foarte

important deoarece introduce auditul în domeniul operaţional, permite trecerea de la teorie la

practică şi dă recomandărilor auditorului un efect care îi pune în valoare acţiunea.

3. Principiul 3

Dacă recomandarea nu este decât parţial acceptată, sau dacă este refuzată total a fortiori,

răspunsul entităţii auditate conţine scurte explicaţii care îi justifică poziţia.

De asemenea, răspunsul trebuie neapărat să se refere la recomandare, el nu trebuie să

reprezinte o ocazie de a nega constatările de fapt care figurează în raportul de audit, aceste

probleme trebuind să fi fost rezolvate în timpul şedinţei de încheiere. Dacă cumva nu a fost

nici una, nici alta şi dacă “Răspunsurile la recomandări” s-ar transforma în critici ale

raportului de audit însuşi, responsabilul auditului intern este cel care trebuie să facă ordine:

- fie având iniţiativa unei reuniuni de reconciliere;

- fie oprind orice încercare de dezbatere din partea auditorilor săi, după ce s-a asigurat încă o

dată de pertinenţa observaţiilor acestora.

Monitorizarea raportului de audit intern

Auditorii interni au avut întotdeauna grijă să ştie ce se va întâmpla cu recomandările lor

pentru a putea măsura eficacitatea reală a lucrărilor lor şi să verifice soluţiile date unor

probleme în care s-au implicat total. Însă există pericolul de a vrea să meargă prea departe,

căci, dacă modalităţile de monitorizare diferă uneori în funcţie de bancă, există un principiu

cu care toată lumea este de acord: auditorul intern nu ia parte la aplicarea propriilor sale

Page 73: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

73

recomandări. Principiul care pleacă chiar de la definiţia funcţiei: auditorul nu este cineva care

face lucrurile, este cineva care priveşte cum sunt făcute lucrurile.

Auditorul intern are dreptul să fie informat referitor la aplicarea recomandărilor sale,

drept care va permite măsurarea eficacităţii, completarea dosarelor şi, deci, să încheie

auditele ulterioare. Acest drept se bazează pe câteva principii normative de la care nu ne

putem abate.

Cuvinte cheie

capacitatea auditului; finalizarea misiunii de audit;

planul anual de audit; raportul de audit;

etapa de informare; plan de acţiune;

derularea misiuni de audit; monitorizarea raportului de audit.

Întrebări şi exerciţii

1. Cum se calculează capacitatea auditului într-o bancă? Exemplificaţi pentru o bancă care

are 3 persoane angajate în cadrul departamentului de audit intern.

2. Care sunt elementele luate în consideraţie la întocmirea planului anual de audit?

Exemplificaţi pentru o bancă care are 10 sucursale şi următoarele departamente: credite, plăţi

interne şi externe, operaţiuni de comerţ internaţional (trade finance), legislative, trezorerie

(front office, back office), contabilitate şi financiar, informatică, calitate. Notă: unităţile

trebuie să fie auditate anual cu excepţia a două sucursale care trebuie să fie auditate o dată la

2 ani şi a funcţie de back office care trebuie auditată trimestrial (cele două sucursale au fost

auditate anul precedent).

3. Care sunt etapele activităţii de audit?

4. Enumeraţi secţiunile unui raport de audit?

5. Este important să se întocmească un plan de acţiune şi să se monitorizeze realizarea

recomandărilor stipulate în acesta?

Page 74: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

74

Page 75: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

75

5. Abordare practică.

În cadrul acestei părţi se doreşte a se prezenta foarte succint extrase de constatări realizate în

cadrul diferitelor audituri realizate în domeniile de activitate ale unei bănci. Acolo unde

extrasele din rapoartele de audit nu sunt relevante, se vor prezenta liste de verificare care sunt

utilizate de catre auditori în misiuniule lor de audit.

5.1. Activitatea de creditare

1. Debitor: MMM srl

Ţara: România

Industria: prelucrarea lemnului

Scopul creditului: investiţii

Data Aprobării: 28.03.2005 Comitetul de Credite

Tipul

creditului

Suma

totală

Moneda Soldul Perioada Rata

dobânzii

Comisioane

INV 255.000 EURO 255.000 31.07.2009 7.5% -

poliţa de asigurare nu este înregistrată în Arhiva Electronică de Garanţii Reale

Mobiliare

Alte asigurări nu au fost înregistrate în AEGRM

Garanţii au fost evaluate la 487.483 EURO

CREDIT RATING CLIENT

Opinia auditorului* Conform BNR Opinia auditorului* Rating CRM

C C C B

2. Tragerea creditului : 25/03/2005

3. Ipoteca : 30.03.2005

4. Situaţiile Financiare : 31.12.2004

a) profit :899.061.000 ROL = 24.631 EUR

Page 76: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

76

b) Venit Net= 41.193.410.000 = 1.128.586 EUR

c) Datorii plătibile într-un an : 10.289.433.000 = 281.902 EUR

d) Datorii plătibile peste un an : 13.209.276.000 = 361.987 EUR

Aspecte critice :

Condiţii precedente (precedent conditions) « asigurarea clădirii » nu a fost realizată

de către client şi nu a fost monitorizată de către bancă- de asemenea, nu a fost

înregistrată în Arhiva Electronică de Garanţii Reale Mobiliare.

Copiile bilanţelor primite de la clienţi nu sunt ştampilate pentru a dovedi

conformitatea cu originalul

Tragerea creditului înainte de aprobarea lui de către persoanele copetente şi

constituirea garanţiilor.

Extras din raportul de audit :

Constatare :

Pentru clientul MMM SRL, banca nu a monitorizat constituirea

garanţiilor in timp efectiv, permitând tragerea creditului

înaintea constituirii garanţiilor. Dupa constituirea garanţiilor,

banca nu a reuşit să controleze asigurarea acestora. Mai mult

banca a permis tragerea creditului înainte de obţinerea

aprobărilor din partea Comitetului de Credit.

Răspuns unitate auditată :

Suntem de acord

Recomandare :

Banca trebuie sa implementeze un sistem de

monitorizare/control a a ctivităţii de creditare în sensul

constituirii garanţiilor în timp efectiv şi nepermiterea efectuării

tragerilor înainte de obţinerea aprobării

Termenul limită de

remediere : O săptămână de

la semnarea raportului de

audit

Risc: credit şi operaţional

5.2.Trezorerie şi Pieţe de Capital

Contrapartida: Banca X

Tipul tranzacţiei: FX spot

Page 77: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

77

Suma: 1.000.000 EURO

Rata de schimb: 36.400 ROL

Dealer: Bogdan Ioan

Data: 31.03.2005

În urma consultării documentelor suport ale tranzacţiei de mai sus s-au putut reţine

următoarele:

Aspecte critice:

Dealerul Bogdan Ioan are dreptul să tranzacţioneze în limita a 500.000 EURO pe

tranzacţie, astfel că în cazul nostru dealerul şi-a depăşit limita.

Expunerea pe contrapartidă aprobată de consiliul de administraţie era de 800.000

EURO

Deal ticket-ul nu era semnat de doua persoane (dealer şi un ofiţer back-office)-

lipsa principiului celor 4 ochi.

Extras din raportul de audit:

Constatare:

În cazul tranzacţie interbancare FX din data de 31.03.2005 cu

contrapartida Banca X, în valoare de 1.000.000 EURO, s-a constatat

că principiul celor 4 ochi nu a fost respectat, ceea ce a condus la

nerespectarea limitei pe dealer şi pe contrapartidă.

Răspunsul unităţii

auditate:

De acord

Recomandare:

Directorul unităţii trebuie să implementeze un sistem solid de cntrol

intern prin care să nu se mai permită depăşirea limitelor aprobate de

consiliul de administraţie

Termenul limită de

implementare:

imediat

Risc: piaţă şi operaţional

5.3. Trade Finance (pasive contigente)

Scrisori de Garanţie

Client: XYZ SRL

Tip scrisoare de garanţie: pentru licitaţie

Page 78: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

78

Suma: 1.500.000.000ROL

Garanţii: 1.500.000.000 ROL (depozit la bancă)

Data aprobării: 31.03.2005

Emisă: 28.03.2005

Beneficiar: Primăria Municipiului Bucureşti

Data expirării: 28.04.2005

În urma verificării documentelor suport acestei tranzacţii, s-au constatat următoarele:

Aspecte critice:

Clientul nu oferise băncii contractul de participare la licitaţie în care ar fi trebuit să se

menţioneze necesitatea unei scrisori de garanţie, suma acesteia, beneficiarul şi

valabilitatea sa.

Textul scrisorii de garanţie nu menţinează data expirării.

Depozitul este în valoare mai mica de 110% din valoarea scrisorii de garanţie.

Extras din raportul de audit:

Constatare:

În cazul scrisorii de garanţie emisă la cererea clientului XYZ SRL

din data de 28.03.2005, banca nu a solicitat contractul de participare

la licitaţie, nu a menţionat data expirării scrisorii în textul acesteia.

De asemenea, scrisoarea a fost emisă înainte de a fi aprobată, iar

colateralul valorează mai puţin de 110% din valoarea scrisorii.

Răspunsul unităţii

auditate:

De acord cu anumite

mentiuni:

Toate constatările au

fost remediate în

timpul auditului

Recomandare:

Unitatea trebuie să respecte procedura in vigoare.

Termen limită de

implementare: imediat

Risc: credit şi operaţional

B. Acreditive

Client: XYZ SRL

Tip acreditiv: de import

Page 79: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

79

Suma: 500.000 EURO

Data deschiderii: 30.03.2005

Data expirării: 90 de zile de la trimiterea documentelor

Data plăţii: 30.07.2005

În urma verificării documentelor suport ale acestei tranzacţii, s-au constatat următoarele:

Aspecte critice

Printre documentele obligatorii trimise de către exportator au lipsit certificatul de

origine şi scrisoarea de transport rutier

Extras din raportul de audit:

Constatare:

În cazul acreditivului de import emis de bancă la cererea clientului

XYZ SRL, banca nu a solicitat aprobarea clientului de a face plata

acreditivului având în vedere uzanţele în cazul în care exportatorul

nu trimite toate documentele obligatorii (Ex: scrisoare de transport

rutier şi certificat de origine.)

Răspunsul unităţii

auditate:

De acord cu menţiunea

ca am luat acceptul

clientului prin telefon.

Recomandare:

Unitatea trebuie sa respecte în întregime uzanţele internaţionale.

Termenul limită de

implementare: Imediat

Risc: reputaţional şi operaţional

5.4. Plăţi

1.Plăţile interne (de pe teritoriul ţării)

Instrument de plată: Cec

Beneficiar: XYZ SRL

Suma: 500.000.000 ROL

Data emiterii: 30.05.2005

Data depunerii la bancă: 30.03.2005

Data compensării: 31.03.2005

Data încasării: 01.04.2005

Circuit: 1

În urma verificării documentelor suport, s-au constatat următoarele:

Aspecte critice:

Înregistrarea încasării în contul clientului băncii cu o întârziere datorită eşecului

sistemului informatic şi neverificării de către personalul unităţii a crediătii conturilor

Lipsa semnăturii beneficiarului pe borderoul de încasare cec.

Discrepanţă între suma scrisă în litere şi ceea scrisă în cifre (s-a încasat suma scrisă în

cifre)

Extras din raportul de audit:

Page 80: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

80

Constatare:

În cazul cecului de încasat având cabeneficiar clientul băncii

XYZ SRL, din data de 30.03.2005, banca nu a urmărit

încasarea acestuia, nu a verificat existenţa semnăturii

incasatorului pe borderou şi nu a încasat suma scrisa în litere.

Răspunsul unităţi auditate:

De acord cu menţiunea că

în cazul neîncasării, cauza

principală este eşecul

sistemului informatic.

Recomanadare:

Unitatea trebuie să verifice de fiecare dată ca toate

înstrumentele de încasat s-au dus pe conturile clienţilor. De

asemenea, un program de (auto)control trebuie sa fie

implementat imediat

Termen limită de

implementare: Imediat

Risc: operaţional

2.Plăţile internaţionale

Tipul tranzacţiei: încasare

Beneficiar: XYZ SRL

Suma: 500.000 EURO

Reprezintă: împrumut pe termen lung

Data: 30.03.2005

În urma verificării documentelor suport ale tranzacţiei, s-au constatat următoarele:

Beneficiarul nu a adus la bancă un formular DIE în termen de 10 zile şi nici

documentele de credit,

Extras din raportul de audit:

Constatare:

Conform normelor în vigoare, clienţii care au încasat

anumite sume de la extern, trebuie să completeze un formular

DIE în maxim 10 zile de la data valută. Echipa de audit a

constatat că acest principiu nu a fost respectat în cazul

încasării din data de 30.03.2005, în sumă de 500.000 EURO,

având ca beneficiar clientul XYZ SRL. De asemenea, acesta

nu a adus documentele de credit care au stat la baza acestei

încasări

Răspunsul unităţii auditate:

De acord

Page 81: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

81

Recomandare:

Unitatea trebuie să impementeze un sistem de monitorizare a

acestui tip de tranzacţii

Termenul limită de

implementat: Imediat

Risc: Reputaţional

5.5 Contabilitate

Unul dintre cele mai importante elemente care este verificat în cadrul funcţiei de contabilitate

este inventarul sau cu alte cuvinte evidenţa şi înregistrarea pe clase de inventar a tuturor

obiectelor de inventar.

O atenţie deosebită trebuie acordată modului în care obiectele de inventar au fost clasificate,

pentru că fiecare clasă de obiecte de inventar are o perioadă de amortizare diferită.

5.6. Furnizori/Cheltuieli

În cadrul acestui tip de audit, în general, auditorii verifică că toate înregistrările contabile

referitoare la cheltuile întreprinse cu furinizorii de diferite servicii sau produse sunt într-

adevăr susţinute de documente justificative. Printre cheltuielile înregistrate de bănci s-ar

putea număra şi următoarele:

- publicitate;

- simpozioane

- echipamente

- premii;

- materiale

- -etc

Protecţia şi paza

Mai ales în cadrul auditurilor de sucursale, auditorii trebuie sa acorde o importaţă deosebit de

mare modului în care sucursalele sunt securitizate şi păzite. Mai jos, puteţi citi un extras

dintr-un raport de audit:

Constatare: Răspunsul unităţii

Page 82: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

82

În urma unui test realizat de către echipa de audit la sucursala x, s-a

constatat ca echipa de intervenţie a ajuns dupa 15 minute de la

declanşarea alarmei, cu o întărziere de aproximativ 10 minute faţă

de maximul admis.

auditate:

De acord

Recomandare:

Echipa de securitate din centrala băncii împreună cu directorul de

sucursala vor începe prospectarea piţei pentru înlocuirea

furnizorului de servicii de intervenţii

Termenul limită de

implementare:

O lună de la semnarea

acestui raport

Risc: operaţional

5.7. Personal/Resurse umane

Evaluarea sistemului

Evaluarea sprijinului acordat de către sistemul informatic departamentului de personal

(automatizare, sistem de redactare documente, sisteme de afaceri pentru informarea

personalului, contabilizarea salariilor, plata impozitelor către Casa Naţională de Asigurare şi

sănătate, contabilizarea în balanţă şi a costurilor.).

În ceea ce priveşte sistemele de afaceri, se evaluează:

1. funcţiile sistemului disponibil şi necesităţile utilizatorului,

2. introducerea datelor şi procedurile de validare a înregistrărilor (detalii statice, date

despre salarizare),

3. chestionarele disponibile,

4. listările disponibile,

5. securitizarea accesului pentru date confidenţiale (sistem de securitizare prin parolă),

6. notificarea promptă a biroului de salarizare.

În detaliu, următorii paşi de audit se recomandă:

1. Se obţin manualele, descrierile, normele şi politicile în legătură cu administrarea

personalului şi se verifică dacă:

au fost aprobate,

Page 83: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

83

sunt actuale/actualizate (ex. cum ar fi ghidurile, politicile de călătorie,

impozitarea, asigurarea, legislaţia),

incorporează toate procedurile şi sistemele,

2. Se indentifică numărul de personal, numele angajaţilor/fişele postului (în timpul

întâlnirilor de prezentare a conducerii din prima zi a vizitei de audit).

3. Se obţine dosarul de personal pentru toţi angajaţii selectaţi de către auditul intern (ex.

se selectează un eşantion de 20 angajaţi) şi se verifică existenţa şi completitudinea lor:

- contractul de muncă (contracte standarde sau individuale, prezentarea clară atât a

drepturilor cât şi a obligaţiilor părţilor, semnate de ambele părţi),

- documentele ce certifică calificarea (certificatul şcolar sau universitar, certificate de la

angajatorul anterior, referinţe),

- documente personale (certificatul de naştere, certificatul de naţionalitate, certificatul de

înregistrare dacă este cazul),

- înregistrarea la casa de asigurare naţională,

- declaraţie semnată de păstrare a confidenţialităţii,

- carduri de înregistrare a angajaţilor arătând evoluţia salariului şi calificării,

- copii ale corespondenţei cu personalul referitoare la salariu şi promovare,

- documente pentru aprobarea angajării personalului,

- alte materiale care ar putea fi necesare pentru a se conforma cu regulile şi

reglementările locale.

3. Se identifică procedurile pentru pregătirea salariilor şi se verifică perioada de plată a

salariilor pentru un eşantion reprezentativ de angajaţi cum ar fi:

- corectitudinea salariilor brute,

- plata lucrului peste program,

- plata impozitelor şi deducerilor,

- contribuţiile la casa de asigurare naţională sau fondul/planul de

asigurare medicală,

- plata bonusurilor,

- replata angajaţilor sau credite pentru tichete de sezon,

- plăţi de subvenţionare a ipotecii acordate pentru credit de locuinţă,

- avansuri salariale şi rambursarea lor adecvată.

şi se asigură că nu sunt plătiţi oamenii “manechin”.

Page 84: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

84

5. Se identifică pachetele de beneficii oferite personalului şi se verifică acurateţea şi

aprobarea lor.

6. Se verifică înregistrările de prezenţă (ex. un eşantion de 10 angajaţi):

- completitudinea înregistrărilor aferente concediilor medicale şi

vacanţelor,

- sistemul de monitorizare pentru a asigura că vacanţa nu depăşeşte

limita,

- politica pentru zilele de vacanţă luate în avans,

- politica referitoare la utilizarea obligatorie a unui număr pre-definit

de zile de vacanţă luate la rând,

- certificatul medical pentru concediu medical ce depăşeşte numărul

predefinit de zile (conform cu reglementările locale).

7. Verificarea sistemului de compensare a lucrului peste program (ex. un eşantion de 10

angajaţi):

- politica generală referitoare la lucrul peste program,

- numirea personalului,

- sistemul de monitorizare şi aprobare

8. Se identifică orele oficiale de lucru şi se asigură prin observaţie în timpul vizitei de

audit că personalul respectă aceste ore.

9. Se selectează un eşantion reprezentativ de plăţi facturate realizate de către

departamentul de resurse umane şi se verifică dacă:

- calculele sunt corecte,

- factura plătită este conformă cu instrucţiunile originale,

- cheltuielile au fost aprobate de către angajaţii autorizaţi,

- detaliile de pe ştampilă au fost incluse.

10. Dacă plata salariilor se realizează prin alte bănci se verifică extrasul băncii originale

şi contul din balanţă.

11. Dacă se permite departamentului de resurse umane să obţină listarea actuală a

creditelor nerambursate ale personalului şi să se asigure că toate sunt aprobate, dobânzile

sunt corecte, replata principalului şi dobânzii se face la momentul exigibilităţii.

Page 85: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

85

12. Există un ghid pentru personal şi este acesta distribuit către întreg personalul

(conţinut: drepturi şi obligaţii ale personalului, beneficii suplimentare, plata lucrului peste

program, orele de lucru, etc.).

13. Se obţin normele despre revizuirea evaluării performanţelor personalului. Se

evaluează sistemul referitor la ratingul performanţei şi factorii cheie de performanţă (ex.

cunoaşterea jobului, relaţiile organizatorice şi în echipă, punctele forte ale angajatului, ariile

de îmbunătăţire, planul de dezvoltare/promovare).

14. Se obţin documente despre training şi se evaluează trainingul oferit angajaţilor.

15. Se obţin documente şi norme despre planificarea şi dezvoltarea personalului.

16. Se verifică existenţa consiliului de reprezentare a personalului (dacă este obligatoriu

conform legii locale).

17. Se evaluează procedurile despre pregătirea bugetelor de personal pentru întreaga

unitate (sucursală, filială).

18. Se evaluează statisticile asupra fluctuaţiilor (demisiilor) şi comentariile asupra

motivelor pentru terminarea contactului de muncă.

19. Se evaluează normele locale asupra protecţiei personalului feminin gravid şi

concediilor de maternitate şi conformitatea cu astfel de norme.

20. Se obţin informaţii asupra existenţei unei legislaţii de protejare a forţei de muncă şi

se evaluează dacă sunt respectate.

21. Se evaluează procedurile generale referitoare la timpul de probă (perioada calificată).

Ex. note pentru urmărire, evaluare înainte de expirarea contractului de muncă, extindere

scrisă a terminării contractului de muncă.

5.8. Administrarea clădirilor şi mijloacelor fixe

Responsabilităţile şi îndatoririle unităţii organizatorice însărcinate cu administrarea clădirilor

variază de la o piaţă la alta. Astfel, următoarele acoperă activităţile care sunt cel mai

răspândit acceptate ca fiind în cadrul acestor îndatoriri. Oricum, această gamă de activităţi nu

trebuie să fie privită atotcuprinzătoare, şi programul de audit trebuie să fie adaptat la nivelul

local pentru a acoperi întreaga arie a gamei de operaţiuni ce vizează clădirile şi mijloacele

fixe. Ca o regulă generală, toate procedurile şi costurile legate de aceste conturi de cheltuieli

aferente departamentului responsabil cu clădirile şi mijloacele fixe trebuie să fie incluse în

misiunea de audit.

Page 86: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

86

Cu toate că atât cumpărarea de bunuri/servicii şi decontarea facturilor relevante sunt o

componentă semnificativă a îndatoririlor departamentului respectiv, paşii necesari de audit

nu sunt subliniaţi în această lucrare, atât timp cât ei sunt arătaţi programul de audit aferent

cheltuielilor.

A. Clădirile băncii

Clădiri închiriate:

Se verifică chiria actuală şi se asigură că banca este în conformitate cu obligaţiile sale

aşa cum au fost descrise în articolele din contractul de leasing.

Verificarea valorii chiriei plătite între contractul de leasing şi contul de cheltuieli

relevant.

Se verifică scadenţarul plăţilor de chirie şi se indentifică sumele fixe de chirie,

impozitele şi cheltuielile operaţionale.

Se asigură că diferite componente ale plăţilor de chirie sunt înregistrate în conturile

de cheltuieli adecvate,

Se verifică creşterile de chirie şi acordul dintre părţi

Se asigură că cheltuielile operaţionale incluse în plăţile de chirie nu sunt facturate

separate la bancă,

Se evaluează procedurile pentru întreţinere asigurată de proprietar în legătură cu

menţinerea/repararea care cade în sarcina sa. Se asigură că banca nu este taxată cu

costurile aferente acestor reparaţii/menţineri.

Clădirile proprii

Se obţin toate legile şi reglementările legale referitoare la proprietatea clădirii şi se

verifică dacă banca este în conformitate cu astfel de reglementări.

Se verifică proiectele construcţiei în ceea ce priveşte conformitatea lor cu toate

reglementările externe şi interne.

Proiectele construcţiei/renovării sunt de obicei foarte complexe şi implică un număr

mare de personal atât extern cât şi intern. Auditul intern nu este menit să aibă o expertiză

profundă asupra tehnicilor de construire sau problemelor arhitecturale. Aceasta este

responsabilitatea echipei de proiect şi un arhitect care se bucură de încrederea băncii este în

mod normal în responsabilitatea unui supervizor de proiect profesionist.

Page 87: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

87

Oricum, se poate anticipa că auditul intern va verifica unele aspecte generale şi va

formula o opinie asupra calităţii generale a proiectului:

1. Se verifică cererea de proiect şi se desfăşoară o verificare plauzibilă referitoare la faptul

dacă au fost incorporate toate informaţiile relevante cunoscute la acel moment.

2. Se verifică dacă cererea de proiect a fost corect aprobată de către autorităţile locale şi din

administraţia centrală a băncii.

3. Se compară costurile de proiect cu costurile actuale şi se obţin informaţii asupra motivelor

cauzatoare de depăşiri substanţiale ale costului.

4. Se compară data proiectată de terminare cu data actuală de terminare şi se obţin cauzele

întârzierilor.

5. Se verifică procedurile pentru implicarea continuă a supravegherii proiectului şi se

evaluează dacă aceasta a fost suficientă pentru dezvoltarea proiectului în timp şi acurat.

6. Se asigură că raportul de terminare a proiectului a fost pregătit pentru organele relevante în

rang superior, arătând cifrele proiectate şi actuale şi furnizând explicaţii despre deviaţiile

substanţiale.

7. Se asigură că depăşirile de cost şi timp au fost adecvat aprobate cât mai curând după ce au

fost identificate.

8. Se asigură că fie banca sau arhitectul mandatat au obţinut oferte competitive de la un

număr rezonabil de contractori/prestatori. Se evaluează explicaţiile dacă nu a fost ales cel mai

bun ofertant.

9. Se verifică scadenţarul amortizării şi se asigură că sunt în conformitate cu reglementările

locale relevante.

În întreaga lume, industria de construcţii este notorie la practicile neetice. Când se

verifică un proiect, trebuie să fii mereu atent la această posibilitate şi întâlneşte-te imediat cu

conducerea în cazul în care simţi că ceva este suspicios.

B. Întreţinerea şi Reparaţiile

1. Se verifică toate contractele de întreţinere referitoare la următoarele:

a. s-au obţinut oferte competitive înainte de a se alege partenerul?

b. se repetă aceste licitaţii de oferte la intervale predefinite pentru a se asigura în mod

continuu că banca primeşte servicii profesionale la un preţ corect?

c. sunt necesare contracte de întreţinere, ex. pot fi prestate astfel de servicii de către angajaţii

băncii la costuri mai mici?

Page 88: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

88

d. contractele de întreţinere includ toate detaliile obligatorii:

Descrierea ambiguă a serviciilor de prestat,

Data începerii şi perioada contractului,

Preţul şi termenele plăţii,

Momentele de intervenţie,

Clauzele de penalitate;

2. S-a verificat siguranţa celui ce realizează întreţinerea?

3. Se verifică, folosind un eşantion, un număr de facturi referitoare la contractele de

întreţinere:

a. au fost într-adevăr prestate serviciile facturate şi a fost aceasta confirmată de

către personalul băncii?

b. sunt preţurile în conformitate cu contractul de întreţinere?

4. Se verifică procedurile pentru reparaţiile/îmbunătăţirile necesare:

a. cererea,

b. estimările de cost,

c. aprobări,

d. comanda şi supravegherea,

e.verificarea şi decontarea facturilor;

Trebuie să se aibă grijă la diferenţierea dintre îmbunătăţirea cosmetică , care ar fi

clasificată ca o cheltuială operaţională, şi îmbunătăţirea unui capital sau a unui bun închiriat,

care ar avea o viată de utilizare predeterminată şi ar fi amortizată de-a lungul vieţii sale de

utilizare.

5. Există o verificare care să asigure că întreţinerea satisface banca?

6. Se verifică procedurile de control în legătură cheltuielile cu energia şi decontarea facturii.

7. Se evaluează dacă energia este consumată la un cost eficient şi într-o manieră

conştiincioasă faţă de mediu.

C. Asigurarea

1. Se obţine un scadenţar al poliţelor de asigurare în vigoare la data examinării şi se

verifică politicile de bază pentru:

a) completitudine (incluzând cesionarea),

b) validitate,

c) acoperire,

d) deductibilităţi,

Page 89: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

89

e) banca să fie arătată ca asigurată sau beneficiara pierderii,

f) protejare.

2. Se verifică prima de asigurare pentru:

a. Corectitudine,

b. autorizarea adecvată,

c. plata promptă pentru a evita intermitenţe în acoperire,

d. tratamentul contabil cu privire la primele preplătite.

3. Sunt primele de asigurare eficiente din punct de vedere al costului?

4. oseşte banca serviciile unui broker profesionist pentru a obţine sfaturi despre prime

reduse?

5. în cazul în care banca foloseşte un broker: s-au obţinut oferte competitive de la un

număr de societăţi de asigurări destul de mare pentru a asigura ratele de primă cele mai

bune?

6. tot ceea ce se poate asigura este acoperit de o poliţă de asigurare? Să se reţină că, în

principiu, banca trebuie să caute protecţia împotriva numai a acelor riscuri care ar cauza,

dacă s-ar petrece, pierderi însemnate sau care ar ameninţa existenţa viitoare a băncii. În

legătură cu riscurile minore, banca trebuie mai degrabă să se autoasigure şi să acopere

pierderile dacă şi atunci când acestea au loc din fluxul de numerar (cash flow), pentru că

această abordare este în general mai puţin costisitoare decât asigurarea pentru fiecare risc

care este asigurabil teoretic.

7. Se verifică dacă acoperirea prin asigurare este adecvată referitoare la riscurile de bază.

În mod tipic, o astfel de verificare ar atinge probleme ca cele ce urmează:

a. este suficientă asigurarea pentru instrumentele în numerar/negociabile pentru a

acoperi sumele mari?

b. s-au luat în consideraţie la asigurare amelioraţiunile/eliberările de active fixe.

c. s-au încheiat poliţe de asigurare nenecesare pentru riscuri care sunt deja

acoperite de către asigurări a unei terţe persoane (ex. asigurarea proprietarilor

pentru clădirile închiriate).

8. Se verifică orice pierdere înregistrată de bancă în legătură cu riscurile asigurate şi se

evaluează procedurile pentru trimiterea şi decontarea despăgubirilor.

9. A cumpărat banca o poliţă de asigurare de fidelitate care să acopere pierderile din

fraude? Au avut loc fraude şi au fost trimise cereri de despăgubire pentru societăţile de

asigurări?

Page 90: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

90

D. Arhive, Păstrarea înregistrărilor

1. Există o politică cuprinzătoare referitoare la păstrarea înregistrărilor, stabilind

perioadele de păstrare pentru toate tipurile de înregistrări şi documente?

2. Sunt astfel de perioade de păstrare în conformitate cu reglementările locale şi/sau

internaţionale?

3. Sunt păstrate toate înregistrările în conformitate cu politica?

4. Este restricţionat accesul la arhive numai persoanelor autorizate?

5. Cum sunt eliberate înregistrările după perioada de păstrare?

5.1.documentele importante (sensibile) sunt tocate?

5.2.Sunt toate documentele (incluzând pierderile din documentele tocate) eliberate într-o

manieră conştiincioasă faţă de mediu şi cu un cost eficient?

6. Există o ordine transparentă de arhivare care să asigure o urmărire uşoară a

înregistrărilor când este necesar?

7. În cazul arhivelor externe: se verifică contractul cu furnizorul extern, în special în

legătură cu:

7.1.secretul bancar,

7.2.procedurile de acces

7.3.timpul de introducere,

7.4.timpul terminării

E. Camera de corespondenţă

1. Se verifică procedurile referitoare la primirea corespondenţei pentru a se asigura că

întreaga corespondenţă este procesată în timp util şi cu o grijă considerabilă referitoare la

aspectele normale de secret. În particular, această verificare trebuie să atingă următoarele

probleme:

1.1. se livrează toată corespondenţa primită către şi deschisă de către unitatea

centrală (cu excepţia scrisorilor personalizate sau confidenţiale care trebuie să fie

înmânate destinatarului)?

1.2. Este realizată deschiderea şi sortarea corespondenţei de către un angajat care nu

acţionează ca şi casier, contabil sau altă funcţie originatoare sau introducătoare de

alte înregistrări ale băncii?

1.3. Este această funcţie rotată periodic între doi sau mai mulţi angajaţi?

Page 91: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

91

1.4. Există înregistrări ale corespondenţei primite şi poate fi această corespondenţă

urmărită până la ultimul primitor?

1.5. Există înregistrări pentru primirea de numerar sau instrumente negociabile şi

este adusă la cunoştinţa unităţii procesatoare această primire?

1.6. Este livrată toată corespondenţa primită prompt către zonele procesatoare?

1.7. Se aplică ştampila cu data şi ora pe corespondentă?

1.8. Înţeleg oamenii implicaţi în activitatea de corespondenţă distribuirea

responsabilităţilor în cadrul băncii aşa încât corespondenţa primită să poată fi alocată

prompt către unitatea relevantă?

2. Se verifică procedurile în legătură cu corespondenţa trimisă:

a. este colectată corespondenţa trimisă în mod periodic de la diferitele unităţi ale

băncii?

b. este aceasta introdusă prompt în plicuri cu timbru pentru a se asigura că

părăseşte banca în aceeaşi zi?

c. este personalul implicat avertizat corect despre taxele poştale aferente tuturor

tipurilor de corespondenţă/destinaţii pentru a se asigura că scrisorile nu au fost

timbrate nici peste dar nici sub valoarea normală?

d. sunt primite confirmări de la autorităţile poştale în legătură cu corespondenţa

înregistrată şi consignaţia de valori?

e. există un sistem de control care să prevină utilizarea neadecvată a timbrelor

poştale sau a maşinilor poştale?

f. există proceduri care să prevină fiecare angajat de la sustragerea de

corespondenţă pentru a zădărnici livrarea sa către clienţi (ex. traderii ridicând

confirmările dealerilor)?

3. Se verifică procedurile în legătură cu serviciul de curierat:

a. contractele (acorduri),

b. costurile/verificarea facturilor,

c. utilizarea,

d. scadenţarul livrărilor şi recepţionării,

e. ofertele periodice competitive de la diferiţi curieri.

4. Există o politică în legătură cu corespondenţa privată a angajaţilor?

a. rechizitele/timbrele să nu fie utilizate pentru corespondenţa privată;

b. angajaţii ar trebui să fie descurajaţi în a primi scrisori private pe adresa băncii

Page 92: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

92

F. Maşinile companiei

1. Există o politică aprobată referitoare la maşinile băncii stipulând norme clare despre

cine este îndreptăţit să utilizeze maşinile?

2. Stipulează această politică în mod clar care din cheltuielile realizate sunt suportate de

bancă/angajat?

3. Sunt cumpărările maşini şi decontarea cheltuielilor curente în conformitate cu politica

de mai sus?

4. Dacă utilizarea maşinii băncii constituie un beneficiu impozabil: este reflectată corect

această situaţie în calcularea ştatelor de salarii ale angajaţilor?

5. Sunt oferite rabaturi (reduceri) de către dealerii de maşini?

6. S-au încheiat acorduri cu staţii de benzină/întreţinere şi staţii de service pentru a

asigura reduceri adecvate?

7. Se verifică procedurile referitoare la alegerea maşinilor băncii:

7.1.metodologia de obţinere a unui preţ de vânzare real (valoarea contabilă/valoarea de

piaţă/valoarea oficială),

7.2.licitaţie.

8. Se verifică informaţiile conducerii asupra cheltuielilor aferente maşinilor băncii:

a. sunt cheltuielile distribuite pe fiecare maşină?

b. Sunt cheltuielile peste medie urmărite?

G. Mijloace fixe/obiecte de inventar/rechizite

1. Au fost autorizate achiziţiile de mijloace fixe/obiecte de inventar în conformitate cu

politica de cheltuieli a băncii?

2. S-au obţinut oferte competitive înainte de a se face comanda? Se evaluează

explicaţiile în cazul în care cea mai bună ofertă nu a fost aleasă.

3. Angajaţii băncii au confirmat cu acurateţe primirea bunurilor comandate înainte de

decontarea facturii?

4. S-au oferit reduceri adecvate de către furnizor în cazul unor comenzi mari sau

continue?

5. S-au înregistrat amelioraţiunile la mijloacele fixe ce depăşesc o anumită sumă (care

trebuie să fie în conformitate cu reglementările fiscale locale) la capitolul mijloace fixe şi au

fost trecute la cheltuieli acelea sub suma limită?

Page 93: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

93

6. Se amortizează mijloacele fixe în conformitate cu reglementările locale?

7. Sunt înregistrate adecvat toate mijloacele fixe în registru şi pot fi identificate uşor prin

registru (ex. prin numerotare în serie)?

8. Se realizează cel puţin anual un inventar al mijloacelor fixe?

9. Se verifică procedurile referitoare la casarea (cedarea) mijloacelor fixe.

10. Sunt protejate în mod adecvat mjloacele fixe de furt şi însuşire ilegală?

11. Sunt păstrate obiectele de inventar într-o manieră acurată şi ordonată? Se inspectează

rafturile pentru curăţenie şi se uşurează recuperarea obiectelor de papetărie.

12. Accesul la bunuri (rechizite) este restricţionat la persoanele autorizate?

13. Sunt utilizate formulare de rechizite pentru distribuirea acestora?

14. Se întocmeşte un registru de stocuri referitoare la rechizite? Sunt înregistrate adecvat

toate achiziţiile/distribuirile? Oferă acest registru de stocuri semnale de avertisment timpurii

pentru comandarea promptă de noi rechizite?

15. Există sisteme de control adecvate pentru a preveni luarea ilegală de rechizite?

16. Se verifică sistemul de achiziţie a rechizitelor de către unităţile

descentralizate/sucursale:

16.1. sunt autorizate să comande direct pe piaţă?

16.2. este acest sistem sensibil şi eficient din punct de vedere al costului?

16.3. Sunt stabilite bugete pentru achiziţiile descentralizate şi se respectă aceste bugete

adecvat monitorizate la nivelul administaţiei centrale?

16.4. Sunt stabilite standarde generale pentru achiziţiile decentralizate (tip, marcă,

preţuri maxime, etc.)?

17. Se evaluează dacă problemele de mediu sunt luate în consideraţie la procesul de

achiziţii (ex. hârtie reciclabilă, articole care pot fi reciclate uşor după terminarea vieţii lor de

utilizare fără a deteriora mediul).

18. Se verifică dacă utilizarea copiatorului este monitorizată şi dacă există măsuri de

prevenire şi de detectare împotriva utilizării neautorizate sau abuzive.

H. Comunicaţiile

1. Se verifică înregistrările echipamentelor existente (telefoane, telecopiatoare, telexuri,

etc) şi se evaluează dacă locaţia fiecărui articol este bine documentată.

2. Se verifică sistemul de monitorizare în legătură cu cheltuielile de comunicare:

2.1.pot fi împărţite cheltuielile pe fiecare utilizator?

2.2.Sunt asfel de distribuiri supuse şefilor de departament pentru verificare?

Page 94: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

94

2.3.Sunt cheltuielile, care apar ca fiind abuzive, urmărite?

3. Sunt conştienţi angajaţii de cheltuielile respective?

4. Există restricţii pe interioarele de telefon pentru convorbirile la distanţă lungă?

5. Sunt cheltuielile cu telefonul, telex şi telecopiator impuse clienţilor de fiecare dată

când este posibil?

6. Personalul dispecer vorbeşte limbi străine pentru a întâmpina adecvat telefoanele

primite?

7. Dispeceratul este dotat cu lista tuturor interioarelor şi este aceasta actualizată în mod

adecvat oricând au loc schimbări de personal?

8. Este restricţionat accesul la telecopiatoare şi maşinile telex doar către personalul

autorizat?

9. Sunt cheile de test păstrate în loc sigur pentru a asigura că persoanele neautorizate nu

au acces?

10. Sunt detectate prompt mesajele telex de testare şi este acest exerciţiu documentat

prin iniţialele personalului responsabil?

11. Sunt telexele şi faxurile primite distribuite prompt către unităţile responsabile?

I. Securitatea generală

1. Se menţine o listă a cheilor şi se verifică periodic dacă lipsesc chei?

2. Sunt modificate periodic codurile de acces?

3. Există un program scris de securitate şi a fost acesta aprobat de către conducere?

4. Se verifică acest program pentru următoare prevederi:

4.1.un program pentru inspecţiile periodice, testarea şi utilizarea instrumentelor de

securitate instalate în bancă, incluzând înregistrările păstrate referitoare la astfel

de inspecţii, testări şi utilizări.

4.2.se determină dacă toate devizele şi instrumentele negociabile sunt păstrate în

tezaure cu încuietori sau în seifuri în timpul orelor nelucrătoare şi sub controlul

adecvat în timpul orelor de lucru.

4.3.desemnarea unei persoane care va asigura că toate instrumentele de securitate

sunt în funcţiune şi operează de-a lungul perioadei pentru care sunt utilizate.

4.4.pregătirea şi repregătirea periodică a întregului personal referitor la

responsabilităţile lor din cadrul programului de securitate.

5. Există un ofiţer de securitate desemnat să administreze programul scris de securitate?

Page 95: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

95

6. Se verifică sistemul existent pentru paza clădirilor în timpul orelor nelucrătoare,

incluzând sistemele de alarmă la unităţile slab protejate.

7. Sunt localizate în mod vizibil extinctoarele de foc? Sunt acestea verificate periodic?

Este personalul pregătit pentru utilizarea lor?

8. Sunt efectuate exerciţii de incendii periodic pentru angajaţi?

9. Există truse de prim ajutor şi se verifică periodic conţinutul lor în vederea

reînlocuirilor necesare?

10. Există uşi de salvare şi coridoare neobturate de materiale care ar putea obstrucţiona

trecerea sigură în caz de urgenţă?

J. Personal

În aria de cuprindere a auditului trebuie să fie inclus tot personalul ce raportează şefului

departamentului de administraţie, ex:

- recepţioniştii,

- operatorii telefonici,

- mesagerii.

Această verificare se va concentra asupra următoarelor aspecte:

1. Utilizarea capacităţilor disponibile;

2. Pregătirea adecvată;

3. Planuri de înlocuire în cazul absenţei de la birou;

4. Economisiri posibile prin realocarea responsabilităţilor (ex. conceptual integrator

(pool concept) pentru recepţionişti/operatori de telefonie sau mesageri/ personal

arhivar);

5. Economisiri posibile prin evitarea lucrului peste program (ex. sistemul de ture de

lucru, angajaţi part-time, restructurarea încărcăturii (sarcinii) muncii)

Această verificare va atrage după sine o inventariere completă a tuturor îndatoririlor şi

responsabilităţilor personalului respectiv pentru a se identifica domeniile posibile unde

îndatoririle ar putea fi asumate de către resurse la costuri mai mici.

5.9. Auditul de conformitate

Page 96: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

96

Auditurile de conformitate sunt realizate în primul rând ca o verificare a aderării băncii la

reguli şi reglementări şi ca o evaluare a corectitudinii, completitudinii şi siguranţei datelor

contabile. Într-un audit atotcuprinzător, acestea sunt alăturate evaluării sistemului (în faza de

testare referitoare la proceduri şi controale).

În cazurile în care se realizează un audit pur de conformitate, procedurile operaţionale nu

sunt un obiectiv major al unui astfel de audit, dar ele trebuie să nu fie neglijate într-un tot.

Neconformitatea poate fi rezultatul erorii umane, neglijenţei sau unei purtări rele, dar în mod

egal rezultatul direct sau indirect al procedurilor sau slăbiciunilor de control.

Instrumentele majore implicate sunt:

1.1 Numărarea stocurilor

Exemplu:

1. numerar,

2. cecuri de călătorie,

3. instrumente negociabile,

4. instrumente de titlu,

5. bunuri în depozitare,

6. echipamente de birou şi alte maşini de lucru.

Astfel de audituri nu sunt în mod obişnuit anunţate în avans,ci sunt realizate inopinat.

1.2 Verificări de siguranţă

Exemplu: corectitudinea

1. calculelor de dobânzi şi comisioane,

2. conturilor furnizori/clienţi,

3. cereri de rambursare cheltuieli,

4. reevaluarea valutară.

1.3 Autorităţile de aprobare

Există aprobări adecvate pentru toate tranzacţiile ce solicită aprobarea aşa cum politicile

şi procedurile existente stipulează?

1.4 Contabilizarea

Procedurile de operare trebuie să asigure că toate tranzacţiile sunt introduse în conturile

respective în mod corect, complet şi fără întârziere. Este responsabilitatea auditorului să se

asigure, prin mijloace de testare pe bază de eşantion semnificativ, că aceste obligaţii primare

Page 97: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

97

sunt satisfăcute. Aceasta include aderarea la principiile de contabilitate existente (atât locale

cât şi internaţionale).

1.5 Obligaţii legale

Auditorul trebuie să se asigure că unitatea respectă toate obligaţiile, ex:

1. legea bancară,

2. reglementările băncii centrale,

3. principiile naţionale de contabilitate,

4. secretul bancar,

5. prevenirea spălării banilor.

1.6 Reglementări de protecţie

1. restricţii de acces,

2. parole, coduri,

3. custodia cheii,

4. programe de urgenţă,

5. acoperire cu asigurarea,

Atât timp cât nu există o organizare sau procedură perfectă, este chiar normal ca în

cursul unui audit de conformitate să fie prezentate erorile şi punctele slabe. Pentru a evalua

impactul unor astfel de cazuri asupra operaţiilor generale a entităţii auditate, va fi necesar să

se identifice tipul, mărimea, frecvenţa producerii a astfel de deficienţe.

În mod echivalent, motivele de bază urmează să fie explorate, ex:

1. separarea neadecvată a funcţiilor,

2. probleme de resurse umane (pregătire, experienţă),

3. lipsa supravegherii manageriale,

4. sisteme de control insuficiente,

5. puncte slabe ale sistemelor,

6. probleme de interfaţă cu alte unităţi.

Auditorul trebuie să fie informat despre motive pentru a fi capabil să recomande soluţiile

efective pentru problemele apărute. În elaborarea recomandărilor, este responsabilitatea

auditorului de a găsi un echilibru adecvat între:

1. riscul rezultat din punctele slabe identificate, şi

2. costurile adiţionale provocate de acţiunile de remediere

recomandate.

Page 98: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

98

5.10. Auditul sistemelor informaţionale

În funcţie de capacitatea disponibilă a auditului şi a cunoştinţelor de IT, grupul de audit

trebuie să realizeze audituri referitoare la IT pentru următoarele domenii/proceduri:

securitatea fizică,

auditul profilului utilizatorilor,

verificarea păstrării datelor şi a sistemului de salvare a datelor,

precauţiile de recuperare după dezastre sau planuri de contigenţă,

controalele aplicaţiei,

securitatea tranzacţiilor.

Securitatea fizică

Se determină dacă:

procedurile de personal şi responsabilităţile abordează terminarea contractului de

muncă, funcţii încrucişate şi pregătiri legate de sisteme;

controalele legate de securitatea fizică sunt adecvate pentru a preveni accesul

neautorizat în perimetrul centrului informatic;

controalele de mediu sunt adecvate pentru a minimiza pierderile aferente

hardware/software provocate de incediu sau inundaţie;

procedurile de backup (înlocuire- salvare) sunt adecvate pentru a minimiza

întreruperile şi pentru a proteja banca împotriva pierderii de date în eventualitatea

unui dezastru.

1.1. Aspecte organizatorice/proceduri de personal

Se identifică acele poziţii responsabile pentru menţinerea programelor, alternanţei

sistemului/fişierelor de date şi utilizarea diferitelor sisteme ale centrului informatic.

Dacă este necesar, se verifică fişele de post scrise pentru fiecare responsabilitate

funcţională descrisă în organigramă;

Se determină dacă s-au realizat prevederi pentru înlocuirea personalului din poziţiile

cheie;

Page 99: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

99

Se determină dacă procedurile de terminare sunt adecvate:

a) cardurile de identificare ale angajatului trebuie să fie returnată atunci când el

sau ea a terminat contractul de muncă,

b) parolele care au fost utilizate de angajatul ce-şi termină contractul de muncă

trebuie să fie anulate sau schimbate,

c) cheile angajatului respectiv trebuie să fie returnate şi/sau încuietoarele să fie

schimbate,

d) există o sesiune/procedură de verificare a terminării contractului de muncă?

Se determină dacă este oferită o pregătire şi supraveghere adecvată referitoare la

sistem acordată angajaţilor ce utilizează sistemul;

Se determină dacă personalul prestatorilor de servicii este supravegheat în timpul

şederii acestuia în centrul informatic;

Se obţine sau documentează o opinie generală asupra sistemelor informatice

(incluzând resursele de hardware, software, personalul de întreţinere/design şi

utilizatorii) din cadrul centrului informatic;

Se determină pragul critic general al fiecărui sistem major identificat;

Pe liniile de reţea se includ în cadrul sistemului de securitate aspecte de call-back sau

câteva alte mijloace de control care să asigure accesul autorizat?

Se determină dacă există proceduri scrise de operare a sistemului (în special pentru

deschiderea şi închiderea calculatorului, menţinerea fişierelor şi întreţinerea

preventivă).

1.2.Securitatea fizică/controalele mediului

Se determină dacă procedurile şi politicile de securitate fizică sunt adecvate prin

evaluarea controalelor cu ajutorul interviului şi observaţiei. Se utilizează următorii paşi de

audit/întrebări în determinarea adecvării:

se asigură că există proceduri scrise valabile care previn acordarea de acces la

facilităţile informatice personalului neautorizat,

se asigură că personalul autorizat este în mod specific definit în standardele de

operare şi/sau proceduri,

se observă la câteva momente diferite dacă doar persoanele autorizate sunt în aria de

procesare,

Page 100: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

100

se determină dacă facilităţile din camera calculatoarelor sunt restricţionate prin

utilizarea de chei, cartele magnetice sau alte dispozitive de securitate automatizate,

locul unde se află serverele este situat la parter şi există o fereastra de observaţie?

locul unde se află serverele se află la subsol?

există aer condiţionat la parter care preia aer din exterior?

există un acces direct la locaţia serverelor din exterior sau printr-un hol public?

sunt păstrate într-o custodie adecvată cheile de la cabinete, camerele cu echipamente

şi dulapurile electrice?

este centrul informatic protejat împotriva catastrofelor, ex. coliziuni ale aeronavelor,

etc?

Adecvarea sistemelor de protecţie împotriva incendiilor trebuie să fie determinată prin

utilizarea următoarelor aspecte:

instrucţiuni clare şi adecvate împotriva incendiilor trebuie să fie păstrate într-un loc

strategic;

alarmă de incendiu şi întrerupătoare de urgenţă pentru curent electric trebuie să fie

clar vizibile şi neobstrucţionate;

camera calculatoarelor trebuie să aibă un sistem de stingere a incendiilor care trebuie

să fie testat periodic de către reprezentantul service-ului;

sistemul de detectare a incendiului trebuie să detecteze fumul, căldura excesivă sau

miros de combustibil;

detectoarele trebuie să fie localizate în conductele de aer din tavan şi sub podeaua

falsă;

detectoarele trebuie să fie testate frecvent şi protejate printr-o sursă de electricitate

suplimentară;

atunci când alarma de incendiu este activată, ea trebuie să sune în afara camerei cu

calculatoare până la staţia de pază şi la o staţie de pompieri sau centru de control

urgenţe;

personalul centrului de date trebuie să fie capabil să identifice sonorul alarmei de

incendiu.

Echipamentul de mediu şi controalele trebuie să fie adecvate pentru a proteja hardware-

ul împotriva pagubelor. Se utilizează următoarele domenii pentru a se determina adecvarea:

Page 101: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

101

ventilaţia şi aerul condiţionat trebuie să fie adecvat pentru a menţine nivelul de

temperatură adecvat specificat de către producător;

înregistrarea termometrelor şi indicatorilor de umiditate trebuie să fie localizată aşa

încât citirea lor să fie uşor de realizat;

aceste instrumente trebuie să fie monitorizate periodic de către o persoană pregătită;

hardware-ul trebuie închis automat pentru a se proteja de pagube dacă s-au atins

temperaturi neacceptabile;

echipamentele de calcul trebuie să fie supuse unor inspecţii periodice, curăţenie şi

inspecţie şi trebuie păstrate înregistrări ale acestor activităţi;

tavanul camerei cu calculatoare trebuie să fie construit adecvat pentru a preveni

intrarea apei;

trebuie evitată trecerea conductelor şi a aburilor prin tavan;

o scurgere adecvată trebuie să fie instalată;

trebuie să fie instalat un sistem de aer condiţionat independent care să fie dotat cu o

sursă de electricitate de rezervă;

tot timpul, camera cu calculatoare trebuie să fie păstrată curată;

care este expunerea la inundaţii?

ar putea ca o ţeavă spartă sau un râu crescut să cauzeze pagube?

Auditul profilelor utilizatorilor

Utilizatorii sistemelor informatice trebuie să fie adecvat identificaţi şi angajaţii care au

acces autorizat şi obligatoriu trebuie să-şi realizeze îndatoririle stabilite.

În plus, trebuie să existe şi menţinute accesări şi piste de audit (audit trails) pentru a

reflecta accesul utilizatorului şi modificările realizate la fişierele de date sensibile (ex. fişierul

original al prestatorului de servicii, fişierele originale de furnizori/clienţi, fişierul original al

angajatului, fişiere de ştate de plată):

Se cere o copie a politicilor de securitate a accesului;

Se întreabă directorul de IT dacă există o procedură scrisă ca să controleze adăugările

sau modificările la restricţiile de acces ale utilizatorilor curenţi;

Se obţin copii ale unor formulare de autorizare a accesului şi se verifică acurateţea

autorizărilor şi accesului (acestea ar trebui sa fie păstrate de către IT ca o pistă de

audit);

Page 102: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

102

Se întreabă directorul de IT cum este notificat departamentul de IT atunci când un

angajat îşi termină contractul de muncă sau îşi schimbă responsabilităţile;

Se întreabă directorul de IT dacă există utilizatori care au capabilitatea de

supraveghetori sau care au acces nelimitat;

Cum sunt tranzacţiile sau acţiunile aprobate şi documentate atunci când au fost

iniţiate de aceşti angajaţi:

1. se întreabă directorul de IT dacă modificările reţelei sunt autorizate şi

documentate (trebuie să existe o pistă de audit a modificărilor echipamentului

de reţea);

2. se întreabă directorul de IT dacă etichetele de sistem sunt păstrate;

3. există etichete de acces la sistem care să înregistreze accesul la calculator sau

la reţeaua de comunicare;

4. există etichete de tranzacţii/piste de audit pentru a înregistra adăugările,

ştergerile şi modificările realizate datelor;

5. se întreabă directorul de IT dacă etichetele problemă sunt păstrate de centrul

de date/operaţiuni;

6. se întreabă directorul de IT dacă etichetele activităţii sistemului sunt utilizate

pentru a captura utilizarea resurselor de hardware asociate serverelor, CPU,

activităţii de salvare a accesului. Acesta este mijlocul primar pentru

identificarea problemelor de procesare create de către componente neadecvate

sau eşuate;

Se întrebă directorul de IT care proces/procedură asigură conformitatea cu contractele

de licenţă pentru software;

Se întreabă directorul de IT dacă accesul în sistemul informatic este împărţit între

utilizatori. Accesul împărţit cât şi parolele trebuie să fie interzise dacă câţiva

utilizatori nu solicită acces doar la interogări de date/informaţii neconfidenţiale;

Se întreabă directorul de IT dacă modemurile sunt ataşate la server (oferă acces la

distanţă);

Se intervievează administratorii de sistem pentru a se determina dacă li s-au oferit

secţiuni de pregătire referitoare la securitizarea serverelor;

Se determină dacă există topologie a reţelei;

Se întreabă directorul de IT dacă este cineva responsabil pentru contabilizarea tuturor

hardware-urile şi softurile din cadrul companiei;

Page 103: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

103

Se întreabă directorul de IT cum sunt protejate de viruşi computerele şi serverele;

Se determină ce proceduri există pentru a preveni sau detecta prezenţa unui virus in

servere şi se verifică cine este responsabil pentru realizarea acestor proceduri;

Sunt încărcate softuri anti-virus pe staţiile de lucru şi cunosc utilizatorii cum să ruleze

programul?

Se întreabă câţiva utilizatori pentru a se determina dacă cunosc care sunt paşii ce

trebuie urmaţi dacă un virus este detectat sau suspectat pe calculatorul lor?

Verificarea păstrării datelor şi planului de rezervă-salvare (backup)

Privire generală

se discută despre administrarea înregistrărilor cu personalul responsabil;

se obţine o copie a standardelor şi procedurilor referitoare la administrarea

înregistrărilor (casetelor);

se determină dacă sistemul informatic a setat fişiere de date şi perioadele de păstrare a

înregistrărilor;

Se determină dacă aceste perioade de păstrare sunt rezonabile pentru planul de

rezervă (backup), dezastre/recuperare şi audit.

Procedurile de salvare şi controalele

Se determină dacă procedurile de salvare a sistemul şi fişierelor de date sunt adecvate

pentru a minimiza timpul de recuperare şi /sau pierdere de date;

Cât de des sunt salvate casetele şi sunt păstrate în afara băncii?

Cum sunt controlate informaţiile sensibile/critice?

Se asigură că fişierele critice şi programele sunt salvate şi păstrate în afara băncii din

motive de recuperare;

Ce proceduri au fost stabilite pentru a asigura conformitatea operării calculatorului cu

procedurile de salvare?

Există proceduri dezvoltate pentru a se asigura integritatea şi completitudinea

proceselor de salvare programată?

Se determină dacă salvările sunt păstrate în afara băncii?

Page 104: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

104

Se asigură dacă un număr adecvat de generaţii sunt păstrate în afara băncii;

Trebuie să se utilizeze etichete externe şi interne pentru a identifica casetele.

Recuperarea

Se verifică dacă planurile de reîncepere/recuperare a întreruperilor calculatoarelor pe

termen scurt includ abilitatea de a identifica starea tuturor procesărilor la punctul

unde aplicaţia a eşuat pentru a stabili sfârşitul înregistrării tranzacţiilor;

Au fost stabilite proceduri de recuperare pentru volumele de salvare?

Au fost testate procedurile?

Au fost testate procedurile de recuperare a bazei de date?

Se determină dacă facilitatea calculatorului şi depozitarea materialelor a fost testată

periodic. Sunt fişierele de salvare testate pentru fezabilitate (6-12 luni)?

Securitate

Cine are acces la realizarea salvării?

Cum obţine procesul de salvare accesul la un sistem?

Care sunt procedurile pentru mutarea casetelor din bibliotecă?

Se verifică dacă fişierele de salvare din afara băncii sunt protejate.

Documentarea

Sunt păstrate liste de inventar cu casetele depozitate în afara băncii?

Sunt documentate problemele şi soluţiile pentru a arăta care sunt paşii ce trebuie

urmaţi pentrua restaura fişierele sau integritatea programului?

Precauţii de contigenţe şi recuperare după dezastru

Obiectivul auditului

Se verifică dacă planul de recuperare după dezastru este adecvat pentru a asigura

repornirea sistemelor informatice în timp util de-a lungul unor condiţii adverse şi dacă este în

Page 105: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

105

concordanţă cu planul actual de continuare a afacerii şi reflectă mediul actual de desfăşurare

a afacerii.

se determină dacă există planuri de recuperare a aplicaţiei pentru restaurarea

proceselor computerizate după o întrerupere pe termen scurt şi lung;

se verifică dacă aceste planuri abordează atât nevoile de restaurare tehnică cât şi

procedurile alternative de procesare a utilizatorului-final;

se stabilesc cât timp ar putea organizaţia funcţiona confortabil şi evita pierderile

financiare semnificative dacă aspectele computerizate ale acestei activităţi ar eşua;

se verifică dacă planurile de repornire/recuperare şi recuperarea de după dezastru

oferă posibilitatea restaurării acestei activităţi în timpul necesar pentru a evita

pierderile financiare semnificative.

Chestionar

Există un plan de recuperare de după dezastru?

Dacă există un plan, când a fost actualizat ultima oară?

Care sunt procedurile de actualizare a planului?

Cine este responsabil pentru administrarea sau coordonarea planului?

Este responsabilitatea administratorului/coordonatorului să actualizeze planul?

Există o echipă de implementare a recuperării de după dezastru?

Unde este păstrat planul de recuperare de după dezastru?

Unde este păstrată lista cu coordonatele echipei de implementare?

Unde este locul de facilitare a salvării?

Există locuri alternative?

Exerciţiul include utilizarea facilităţilor de salvare?

Dacă nu, când au fost ultima oară utilizate facilităţile de salvare?

Dacă au fost utilizate cu peste un an în urmă, cum a determinat organizaţia că

programele sale pot încă funcţiona pe echipamentele de rezervă?

Care a fost rezultatul exerciţiului?

Cum a îmbunătăţit pregătirea?

Ce sisteme critice sunt acoperite de plan?

Ce sisteme nu sunt acoperite de plan? De ce?

Planul funcţionează în orice condiţii?

Page 106: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

106

Care este procedura pentru activarea planului?

etc.

Documentare

se obţine copia planului organizaţiei de recuperare de după dezastru,

se obţine o listă a membrilor echipei de implementare,

se obţine o copie curentă a organigramei,

se obţine lista actuală a stocurilor,

se obţine o copie a contractelor cu privire la utilizarea facilităţilor de rezervă.

Paşii testului

Se verifică planul de recuperare de după dezastru;

Se verifică dacă planul conţine calificarea datei pentru a se asigura moneda;

Se verifică dacă planul a fost actualizat în ultimele 12 luni;

Se verifică dacă există o monitorizare efectivă a stării supraveghere a planului;

Se verifică locul de păstrare a planului;

dacă este diferit faţă de cel mai de sus, se verifică locaţia de păstrare a listei de

contact a echipei de implementare;

Se verifică dacă lista cu echipa de implementare conţine asociaţi activi, titlul lor

actual şi locaţia, incluzând domiciliul prezent şi numerele de telefon de la birou;

Se verifică dacă membrii echipei sunt conştienţi de rolul şi responsabilităţile lor;

Se verifică dacă un program de testare şi pregătire există şi este adecvat (cel puţin

anual);

Se verifică data exerciţiului;

Se verifică dacă punctele slabe identificate în ultimul exerciţiu au fost abordate şi

corectate;

Se verifică dacă planurile corespund planului de continuare a afacerii;

Se verifică dacă planul reflectă mediul actual al sistemului;

Se verifică dacă toate programele critice, fişierele de date, resursele de calculatoare

(şi sistemul de operare) sunt acoperite;

Se verifică dacă sistemele neacoperite sunt sub observaţie;

Se verifică dacă planul incorporează prioritizarea aplicaţiilor critice şi a sistemelor;

Page 107: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

107

Se verifică dacă planul acoperă procedurile pentru declararea dezastrului, închiderea

generală şi migrarea operaţiilor către locul de rezervă;

Se verifică dacă planul include cerinţele de timp pentru recuperarea/disponibilitatea

unor astfel de sisteme critice şi că ele sunt rezonabile;

Se verifică orice contract pentru utilizarea facilităţilor de rezervă şi documentele

respective. Se verifică dacă locul este adecvat;

Se verifică dacă locul are hardware adecvat şi dispozitive de telecomunicaţii pentru

restaurarea operaţiilor;

Se verifică procedurile pentru evaluarea periodică a facilităţilor de rezervă şi

echipamentelor pentru a se asigura adecvarea;

Se verifică dacă locul este adecvat protejat de accesul neautorizat;

Se verifică dacă este eficientă protecţia echipamentelor şi soft-urile de rezervă;

Se verifică dacă contractele cu locul de rezervă sunt de natura şi la un nivel

organizaţional care au o probabilitate substanţială de a putea fi onorate pentru

perioade substanţiale (50 ore pe săptămână pentru două săptămâni consecutive);

Se verifică dacă planul conţine contigenţe în cazul condiţiilor adverse prelungite;

Se verifică dacă planurile conţin instrucţiuni scrise de operare şi proceduri ce include

procedurile de regenerare a sistemului;

Se verifică locul de depozitare a stocurilor;

Se verifică dacă planul include proceduri controlate pentru restaurarea locului original

pentru operaţiile normale;

Se verifică eficacitatea procedurilor de rezervă în general;

Se verifică dacă programul critic, fişierele de date şi resursele computerizate definite

pentru planul de rezervă sunt de fapt create şi trimise în afara băncii;

Se verifică dacă biblioteca media actuală realizată de către utilizatori corespunde

bibliotecii de la locul de rezervă;etc.

Controalele aplicaţiei

Utilizatorii-finali

Se determină mijloacele primare de introducere şi procesare de date;

Page 108: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

108

Se determină dacă organizaţia practică dreptul de proprietate asupra datelor. Dacă da,

se identifică şi intervievează proprietarul datelor pentru a se determina dacă a înţeles

rolul şi responsabilităţile sale;

Se intervievează un eşantion de directori - utilizatori finali pentru a se determina

atitudinile conducerii-utilizatoare finală cu privire la calitatea şi efectivitatea

sistemului;

Se determină de la conducerea-utilizatoare finală ce înţeleg ei că reprezintă riscurile,

expunerile şi limitările asociate cu sistemul;

Se determină numărul de utilizatori finali ce lucrează cu sistemul, locaţiile lor şi

responsabilităţile asociate sistemului. Se obţine o organigramă pentru aceste poziţii şi

oameni.

Se determină dacă această aplicaţie generează date pentru agenţii legale sau

reglementare;

Se evaluează calitatea documentelor utilizatorului final;

Se identifică programele de pregătire disponibile pentru utilizatorii finali. Se

evaluează această pregătire pentru a se determina dacă este adecvată, actuală şi

disponibilă pentru oamenii noi;

Se determină dacă activitatea utilizatorului final este adecvat supervizată.

Interfaţele sistemului

se determină ce alte aplicaţii interferează (manual sau electronic) cu această aplicaţie;

se determină cum verifică sau asigură utilizatorul final că interfaţele furnizează date

complete, adecvate şi autorizate.

Administrarea fişierelor

se determină perioadele de păstrare pentru diferitele fişiere de date ale aplicaţiilor

cheie;

se evaluează dacă perioadele de păstrare satisfac raportarea către conducere,

raportarea către autorităţile fiscale şi cerinţele interne de contabilitate;

Page 109: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

109

Se determină dacă utilizatorul final, conducerea şi proprietarii de date sunt conştienţi

de perioadele de păstrare ale diferitelor fişiere de date ale aplicaţiilor cheie şi dacă

aceşti directori sunt satisfăcuţi cu durata de păstrare.

Securitatea tranzacţiilor

Se identifică toate tranzacţiile din cadrul fiecărui subsistem (incluzând acelea generate

automat de către calculator).

Controalele introducerii

Controalele introducerii asigură că tranzacţiile sunt introduse şi acceptate de către

calculator, procesate doar o dată, fără duplicate şi erorile în câmpurile de date financiare şi

nefinanciare sunt identificate, separate de tranzacţiile valide, corectate în timp util, şi

returnate procesării primare.

Cum sunt iniţiate tranzacţiile?

Cum este tranzacţia autorizată (semnătura manuală, semnătura electronică,

autorizarea accesului la ecran, etc)?

Cine introduce datele sursă?

Sunt aceste persoane separate de acelea care reconciliază rezultatele procesării?

Cum sunt datele sursă introduse în aplicaţie?

După ce datele sursă sunt introduse în aplicaţie, sunt ele marcate cu verificat sau

semnate într-un fel care să indice că au fost introduse, reducând riscul duplicării

accidentale sau reutilizarea documentului?

Există o separare de îndatoriri adecvată pentru cei autorizaţi să actualizeze datele?

Cum sunt controlate documentele de date sursă pentru completitudine şi acurateţe?

Există o perioadă de păstrare pentru datele sursă?

Se identifică controalele existente care asigură completitudinea şi acurateţea introducerii:

Dacă controalele introducerii include utilizarea de totaluri de control, sunt comparate

totalurile generate de calculator cu totalurile stabilite independent?

Ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea aplicaţiei

(totaluri de control, sumarizări, numărarea erorilor, rapoarte de excepţii, etc)?

Page 110: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

110

Se determină cum sunt evitate sau identificate tranzacţiile duplicat?

Se determină dacă şi cum sunt datele primite de la alte aplicaţii validate pentru

completitudine şi acurateţe.

Controalele de procesare

Controalele de procesare asigură că tranzacţiile sunt acceptate de către calculator,

procesate cu o logică validă, trecându-se prin toate fazele procesării şi actualizate în fişierele

de date corecte.

se identifică controalele existente pentru asigurarea completitudinii şi acurateţei

procesării;

se documentează procedurile de reconciliere ale utilizatorului final care facilitează

completitudinea şi acurateţea procesării;

ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea aplicaţiei?

se descrie cum se verifică totalurile de control;

se descrie orice comparare a rezultatelor acţiunilor la cele anterioare pentru verificări

rezonabile;

cum verifică utilizatorii actualizările fişierelor contra autorizaţiilor?

se determină dacă procedurile de reconciliere speciale trebuie să fie aplicate la

sfârşitul lunii, anului fiscal, etc.

Corectarea erorii

Se determină impactul pe care datele şi erorile de procesare le au asupra procesării;

Se determină dacă erorile sunt separate într-un fişier suspensiv;

Se determină dacă acest fişier este cumulativ sau nu;

Se verifică rapoartele de erori pentru a determina dacă sunt de mărime rezonabilă;

Se determină cum sunt corectate erorile;

Se determină dacă tranzacţiile corectate sunt autorizate;

Se verifică dacă tranzacţiile corectate sunt reintroduse în procesarea principală fie la

punctul iniţial de introducere fie printr-un proces de corectare a erorii speciale;

Se determină dacă procesul de corectare a erorii înlocuieşte articolele din fişierul

suspensiv;

Page 111: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

111

Se determină promptitudinea corectării erorii;

Se identifică cum monitorizează utilizatorii finali erorile rămase şi desfăşoară în timp

util investigaţiile suplimentare;

Există o separare adecvată a sarcinilor (custodie, autorizare, înregistrare şi

reconciliere periodică) pentru cei autorizaţi să actualizeze datele?

Se determină dacă toate reconcilierile şi procedurile de corecţie a erorilor sunt

documentate în documentele utilizatorului final;

Există un raport de excepţii generat pentru tranzacţiile eronate de mult timp

nerezolvate?

Controalele rezultatului

Controalele rezultatului asigură că datele rezultatului sunt raportate în manieră corectă,

vizibilă/disponibilă doar personalului autorizat, adecvat reţinute sau distruse, supuse

procesării necesare pistelor de audit şi dacă sunt eronate, separate de tranzacţiile valide,

corectate şi reintroduse în procesarea principală.

se identifică dacă rezultatul este distribuit;

se determină dacă distribuirea reduce expunerile la vizualizarea neautorizată a

informaţiilor sensibile fie prin implicarea imprimantelor de la locaţia utilizatorului

final fie prin utilizarea listelor de verificare a distribuirii rezultatului;

cum asigură organizaţia ca rapoartele şi fişierele să fie distribuite la utilizatorii finali

corespunzători;

cine primeşte rapoartele de rezultat? Sunt ele separate de acelea de desfăşurare a

introducerii?

cum verifică utilizatorul final că toate rapoartele au fost primite şi că toate paginile

rapoartelor au fost incluse?

includ rapoartele de rezultat următoarele informaţii de identificare:

1. titlul raportului,

2. numele/numărul programului de procesare,

3. a fost produsă data şi ora raportului,

4. perioada acoperită.

Page 112: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

112

Cum evidenţiază utilizatorul final primirea rapoartelor şi fişierelor (liste de verificare,

semnăturile,etc)?

Există o separare adecvată a sarcinilor?

Cum sunt identificate şi distribuite rapoartele confidenţiale?

Se identifică toate formularele speciale utilizate în procesare şi raportare. Se

determină dacă formularele sensibile sunt protejate;

Sunt oamenii responsabili cu protecţia documentelor sensibile diferiţi de cei care

păstrează înregistrările contabile respective?

Există proceduri speciale de generare a rapoartelor sensibile?

Documentele utilizatorului final

Documentele utilizatorului sunt sursele primare de informare pentru tot personalul

responsabil pentru utilizarea zilnică a aplicaţiei.

există documente ale utilizatorului final ce explică iniţierea adecvată a documentului

sursă, autorizaţia, colectarea de date, pregătirea introducerii, administrarea

rapoartelor, corectarea erorii şi păstrarea rapoartelor/datelor?

sunt păstrate documentele sursă în aşa fel încât datele pierdute sau distruse în timpul

procesării ulterioare pot fi recreate?

Fiecare tip de document sursă are o perioadă specifică de păstrare?

Autorizarea

Controalele de autorizare asigură că toate informaţiile şi datele introduse sau utilizate în

procesare sunt autorizate de către conducere şi reprezentanţii evenimentului care de fapt are

loc.

Dacă tranzacţiile sunt autorizate manual, ce controale asigură că nu are loc nici o

modificare neautorizată după autorizare, ci înainte de stabilirea controalelor de

introducere?

Se determină dacă nivelul conducerii corespunzător autorizează activitatea;

Dacă autorizarea tranzacţiei este facilitată de către restricţii de acces logic, se

selectează un eşantion de reguli de acces la introducerea şi actualizarea tranzacţiilor şi

se verifică persoana adecvată care are aceste capacităţi;

Page 113: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

113

Se identifică orice depăşire permisă sau trecere pe lângă validarea datelor şi se

editează verificările;

Se determină cine poate face depăşiri şi se verifică dacă acele persoane sunt în poziţia

de conducere care trebuie să aibă această autoritate;

Sunt înregistrate automat toate depăşirile aşa încât aceste acţiuni să poată fi ulterior

analizate pentru acurateţe.

Separarea îndatoririlor

Sunt separate îndatoririle astfel încât nici o persoană să nu realizeze mai mult de una

dintre următoarele operaţii:

1. autorizarea tranzacţiei

2. iniţierea tranzacţiilor

3. introducerea tranzacţiei

4. distribuirea rezultatului?

Sunt corectate tranzacţiile respinse necauzate de introducerea de erori de către

utilizatorul care a iniţiat tranzacţia?

Are utilizatorul final responsabilitatea ultimă pentru completitudinea şi acurateţea

tuturor datelor aplicaţiei?

Page 114: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

114

Bibliografie

V. Dedu -“Gestiune şi audit bancar”, Editura Economică, Bucureşti, 2003

E. Nicolaescu -“Auditul intern–o privire spre viitor”, Revista Audit Financiar, ianuarie 2003

J. Renard – „Teoria şi practica auditului intern”, Ministerul Finanţelor Publice, Bucureşti,

2002

A. Rusovici, F. Cojoc, Gh. Rusu – „Audit financiar, servicii conexe şi de consultanţă în

bănci”, Monitorul oficial, Bucureşti, 2001

J. K. Wagner “Asking the Right Questions: Sage Advice for Audit Committees”, revista

“Directors and Boards”, septembrie 2000

TCF Financial Corporation, Audit Committee Charter, octombrie 2002

Ordonanţa de Urgenţă a Guvernului nr. 75/1999, aprobată cu modificări şi completări prin

Legea nr. 133/2002, apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu

modificări şi completări prin Legea nr. 12/2003

Legea nr. 672/2002 privind auditul public intern

Norma B.N.R. nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor,

administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de

audit intern în cadrul băncilor

Legea bancară nr. 58/1998 modificată prin Legea nr. 357/2002 şi Legea nr. 485/2003

“Internal audit in banking organisations and the relationship of the supervisory authorities

with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000

“Internal audit in banks and the supervisor’s relationship with auditors: A survey”, Basel

Committee on Banking Supervision, Bank for International Settlements, August 2002

Page 115: MODULUL: AUDIT BANCAR – NOTE DE CURS –  Prof. univ. dr. Vasile Dedu  Spec. dr. Ramona-Vali Bratu  Spec. dr. Florin Stroe  – BUCURESTI

Audit Bancar BANCAS

115

“Internal audit in banking organisations and the relationship with internal and external

auditors”, Basel Committee on Banking Supervision, Basel, 2000

“Internal Audit Charter”, Internal Audit, Version 1.0, martie 2003

International Standards for the Professional Practice of Internal Auditing, The Institute of

Internal Auditors, October, 2001

“Framework for internal control systems in banking organisations”, Basle Committee on

Banking Supervision, Basle, septembrie 1998

“The relationship between banking supervisors and banks exterbal auditors”, Basel

Committee on Banking Supervision, January 2002


Recommended