|
|
|
AUDITAREA PROCESELOR SI TEHNICILOR DE EVALUARE A RISCURILOR BANCII
1. Prezentare generala
2. Matricea riscurilor, suport pentru stabilirea planului de audit
Cuvinte - cheie
Intrebari
si exercitii
In contextul dezvoltarii complexitatii activitatilor bancare, lumea bancara a inceput sa constientizeze pericolul aparitiei unor noi elemente ce poarta un anumit grad de risc de pierdere. Astfel, cercetatorii cat si bancherii din intreaga lume cauta solutii fiabile care sa-i ajute in demersul lor de a administra riscurile aferente oricarei activitati comerciale dar mai ales celei bancare.
In consecinta, Comitetul de la Basel care opereaza in cadrul Bancii Reglementarilor Internationale a emis un numar de recomandari cu privire la administrarea riscurilor in cadrul activitatilor bancare, numindu-le generic sub apelativul BASEL urmat de un numar ce reprezinta ordinea aparitiei.
Initial, Comitetul de la Basel a emis in 1988 principii de administrare a riscului de credit, care ulterior au fost retinute sub denumirea de Basel I. Aici, Comitetul specifica modalitatile de administrare a riscului de credit si necesitatea alocarii de capital pentru acoperirea eventualelor pierderi ce ar fi putut avea loc in contextul unei gestionari neadecvate a portofoliului de credite sau a altor active purtatoare de risc. Astfel, aceste recomandari au condus bancile la clasificarea activelor sale in functie de gradul de risc asociat si ponderarea acestora in calculul solvabilitatii si pragului minim care trebuie sa fie atins. Era foarte bine cunoscuta formula:
Capital > 8%
Risc de credit
In demersul lor de a se dezvolta si a evita in mod moral legislatia restrictiva (prin inovatie), bancile au inceput sa intre pe piata cu noi instrumente de trezorerie si investitii (instrumente derivative) care incumbau noi tipuri de risc neincluse pana in 1996 in calculul capitalului minim obligatoriu: riscul de piata. Astfel, Comitetul de la Basel s-a adaptat rapid la noile tendinte si in 1996 modifica BASEL I prin adaugarea riscului de piata la calculul capitalului minim obligatoriu.
Capital>8%
Risc de credit+Risc de piata
Recent, mai exact incepand cu 1999, lumea bancara a adus in discutie introducerea unui concept a carui manifestare este veche si universala dar care nu fusese luat in calculul capitalului minim obligatoriu mai mult din comoditate decat din alte motive, avand in vedere dificultatea, timpul necesar si tehnicile anevoioase de calcul al sau: riscul operational. De asemenea, avand in vedere dezvoltarea tehnicilor de calcul ale riscurilor de credit si de piata (internal rating approach, advanced internal rating approach, VaR, etc.), Comitetul a hotarat inlocuirea vechiului BASEL I cu noile descoperiri adunate sub denumirea generica de BASEL II, a carui aplicare va avea loc la inceputul anului 2007.
Capital >8%
Risc de credit+ Risc de piata+ Risc operational
Astfel, functia de audit intern trebuie sa se adapteze noilor tendinte descrise in cadrul acestui nou acord, care reitereaza rolul foarte important al auditului intern in desfasurarea adecvata a gestiunii riscurilor din cadrul unei banci. Aici, Comitetul mentioneaza in cadrul celor 10 principii de gestionare a riscului operational din cadrul bancilor ca auditul nu trebuie sa se implice efectiv in activitatea de gestiune a riscurilor, ci el trebuie sa evalueze daca factorii responsabili aplica principiile si tehnicile adecvate de gestiune si in ultima instanta sa asiste sau sa sfatuiasca persoanele responsabile. Este adevarat insa, ca tot Comitetul este constient ca, atunci cand avem in discutie o banca mica, s-ar putea sa ne intalnim cu situatia in care auditul intern are in sarcina si gestionarea riscului, dar aceasta nu ar trebui sa mai continue, odata ce recomandarile BASEL II intra in vigoare. Trebuie avut in vedere ca acest Comitet nu face altceva decat sa accentueze mentiunile facute de catre OECD referitoare la guvernanta corporativa (corporate governance) care pune existenta functiei independente de audit intern ca o conditie necesara pentru o buna organizare a companiei. Mai jos se poate observa locul auditului in cadrul activitatii de gestiune a riscurilor.
Cu alte cuvinte, in activitatea cotidiana de auditare a activitatilor bancare, auditorul intern se va ghida dupa matricea riscurilor implicate (vezi mai jos detalii despre matrice) in respectiva activitate auditata. Daca anumite elemente de risc au fost depistate, atunci auditorul intern trebuie sa discute cu responsabilul respectivei activitati semnalandu-i pericolul unei eventuale aparitii sau existenta acestora si sa ofere recomandari in sensul preintampinarii sau reducerii/eliminarii acestora, ramanand tot timpul in afara procesului de gestionare, dar evaluand periodic stadiul in care se afla implementarea recomandarilor.
Avand in vedere faptul ca tehnicile si metodele de gestionare a riscurilor ar trebui sa faca parte din cadrul unei alte prezentari care sa fie dedicata acestora, autorii o sa prezinte doar riscurile care trebuie sa fie urmarite si care sunt recunoscute de catre BASEL II si preluate de catre BNR in Norma 17/2003.
Astfel, auditorul intern trebuie sa observe riscurile ce se pot manifesta la un moment dat in cadrul bancii pe fiecare departament si global, nelimitandu-se doar la un anumit risc care este caracteristic functiunii auditate. De exemplu, in cadrul departamentului de credite, la prima vedere, putem spune ca ne vom intalni doar cu riscul de credit, data fiind denumirea departamentului care ne trimite la o astfel de abordare. Dar nimic nu este mai fals comparativ cu opinia emisa anterior. Aici, vom putea descoperi ca si riscul de dobanda, valutar sau chiar si cel operational ar putea avea manifestari intr-o masura mai mare sau mai mica. In ceea ce priveste riscul operational, exista o granita foarte sensibila intre a determina daca o pierdere este aferenta riscului operational sau celui de credit (ex. nerambursarea unui credit pentru ca debitorul a prezentat la banca documente false, acest eveniment fiind pus sub umbrela riscului operational). Pentru a avea in minte intreaga gama de riscuri ce ar putea sa apara la un moment dat in cadrul bancii, schema de mai jos este cat se poate de relevanta.
Riscuri bancare Riscuri financiare Risc operational Risc de afacere Riscuri externe Structura bilantului Riscul de legislatie Risc de strategie Risc politic
Risc de politici ale organizatiei Risc de contagiere Structura contului de profit si pierdere Sistemele interne si riscul
operational Infrastructura financiara Risc de criza bancara Solvabilitatea Riscul de tehnologie Riscul de credit Conducere si frauda Risc sistematic (de tara) Alte riscuri Riscul de lichiditate Riscul de dobanda Riscul de piata
Riscul valutar
In general, la sfarsitul anului, atunci cand are loc un bilant al activitatii functiei audit intern pentru a stabili daca planul pe anul respectiv a fost indeplinit si intocmirea planului de audit pentru anul viitor care va include si eventualele misiuni nerealizate, coordonatorul departamentului de audit intern va intocmi o matrice de risc pentru fiecare departament care va avea ca rezultat o nota. Aceasta nota va fi comparata cu intervalele prestabilite si incadrata intr-unul din ele care va specifica si frecventa auditului pentru respectivul departament (trimestrial, semestrial, anual, o data la doi ani, trei ani, etc.)
Indiferent de departamentul auditat, aceasta matrice va trebui sa contina printre altele si urmatoarele intrebari/aspecte:
I. Intrebari referitoare la evaluarea riscului.
a. semnificatia si riscul inerent al departamentului
care este semnificatia departamentului auditat in activitatea bancii?
cat de mare este probabilitatea ca riscul sa creasca sau ca riscuri aditionale sa apara datorita modificarilor in cadrul general al activitatii/afacerii?
exista riscuri aditionale datorita complexitatii activitatii bancii?
b. tipuri de risc
cat de mare este riscul de credit potential?
cat de mare este riscul de piata potential?
Cat de mare este riscul operational potential (fara IT)?
Cat de mare este riscul potential in sfera IT?
Cat de mare este riscul potential generat de participari/ detinerea de imobile?
II. Intrebari referitoare la evaluarea controlului.
a. Cadrul general
sunt cunoscute in mod adecvat riscurile, controalele si securitatea in randul membrilor departamentului auditat?
Sunt definite clar interfatele cu celelalte unitati/parteneri de outsourcing?
Sunt definite clar responsabilitatile conducerii?
Sunt adecvate numarul, calificarea si experienta personalului in legatura cu activitatea departamentului auditat?
Realizarea sarcinilor este descrisa in cadrul unor politici scrise suficient de detaliate, relevante si actualizate?
Se potrivesc cladirile si echipamentele tehnice activitatii auditate?
b. Gestiunea riscului - in special riscuri inerente
exista instrumente/precautii adecvate pentru a identifica, masura, monitoriza si controla riscurile?
Sunt limitele adecvate comparativ cu riscurile implicate?
Sunt utilizate metode adecvate pentru identificarea noilor riscuri si deviatiilor fata de standard si se actioneaza adecvat?
limita si gestionarea riscurile inerente activitatii auditate?Este conducerea bine informata despre expunerea la risc a unitatii in timp util si o maniera adecvata?
c. Sistemul de controale interne
sunt controalele adecvate si corect realizate in functie de aria de cuprindere si complexitatea activitatii unitatii?
Este sistemul de controale interne periodic revazut si modificat conform nevoilor mai ales in momentele de schimbare a mediului de afaceri?
Sunt definite controalele realizate ca intentionate?
Sunt toate deficientele abordate eficient si rezolvate in timp util?
d. Conformitatea cu reglementarile interne si externe
sunt respectate toate obligatiile legale si de supraveghere?
sunt insusite toate procedurile si politicile interne?
personalul si directorii responsabili sunt familiari cu toate reglementarile interne si externe relevante?
Pentru fiecare intrebare se pot intalni 4 categorii de relevanta pentru activitatea auditata. Acestea sunt: nici o relevanta, relevanta scazuta, relevanta normala si relevanta mare. De asemenea, se atribuie pe acelasi principiu note referitoare la riscul ce-l implica fiecare intrebare. Notele riscului sunt de la 1 la 4 si au acelasi inteles ca si relevanta (1-deloc, 2-scazut, 3-normal, 4-mare). Combinand cele doua rezultate, un program automat va determina nota generala pentru activitatea auditata care va fi folosita pentru determinarea frecventei auditului.
solvabilitate; guvernanta corporativa;
riscuri financiare; matricea riscurilor
riscuri operationale; relevanta
riscuri ale afacerii; notarea riscului
riscuri externe;
1. Definiti fiecare categorie de risc implicat in activitatile bancare
2. Care este rolul auditului in cadrul activitatii de gestionare a riscurilor?
3. Care sunt elementele ce apar intr-o matrice de risc?
4. Pe baza raspunsului anterior, creati o matrice a riscurilor aferenta departamentului de credite. Incercati si pentru celelalte departamente.
