|
CONTROLUL INTERN BANCAR
1. Obiectivele controlului intern bancar
2. Elementele principale ale sistemului de control intern bancar
2.1. Rolul si responsabilitatile consiliului de administratie si ale conducatorilor bancii
2.2. Identificarea si evaluarea riscurilor
2.3. Activitatile de control si separarea atributiilor
2.4. Informare si comunicare
2.5. Activitatile de monitorizare si de corectare a deficientelor
3. Evaluarea sistemelor de control intern de catre autoritatile de supraveghere
Controlul intern bancar
Dupa cum s-a aratat in capitolul precedent, unul dintre principalele obiective ale auditului intern il reprezinta evaluarea eficientei si a gradului de adecvare a sistemului de control intern, a carui parte componenta este.
Controlul intern, asa cum este definit de Norma B.N.R. nr.17/2003 si de Comitetul de la Basel[1], reprezinta un proces continuu la care participa consiliul de administratie, conducatorii, precum si personalul bancilor. Este subliniat astfel faptul ca nu este vorba doar despre o procedura sau o politica aplicata la un moment dat, ci de un cumul de actiuni desfasurate continuu la toate nivelurile bancii.
Interesul acordat controlului intern si caracterului sau continuu este consecinta analizei cauzelor care au determinat inregistrarea de pierderi semnificative de catre unele banci; aceasta analiza a identificat lipsa unor sisteme de control intern adecvate ca fiind un determinant major al pierderilor. Concluzia trasa din aceste experiente a fost ca un sistem de control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern eficient reprezinta o componenta critica a gestionarii unei banci, care poate sprijini realizarea obiectivelor bancii si atingerea tintelor sale de profitabilitate.
1. Obiectivele controlului intern bancar
Definitia data mai sus cuprinde trasatura pregnanta a controlului intern, participantii la acest proces, dar nu este completa; lipseste partea referitoare la continutul acestei activitati, care se regaseste descris prin obiectivele controlului intern.
Principalele obiective ale procesului de control intern pot fi categorisite astfel:
1. eficienta si eficacitatea activitatilor (obiective de performanta);
2. relevanta, credibilitatea , caracterul complet si oportun al informatiilor financiare si de gestiune (obiective privind informatia);
3. conformitatea cu legile si reglementarile aplicabile (obiective de conformitate).
Obiectivele de performanta ale controlului intern se refera la eficienta si eficacitatea cu care banca isi utilizeaza activele si alte resurse si la protectia bancii impotriva pierderilor. Prin proiectarea normelor de control intern trebuie sa se asigure ca intregul personal al bancii se preocupa de atingerea obiectivelor acesteia cu eficienta si integritate, fara costuri excesive si fara a plasa alte interese inaintea celor ale bancii.
Obiectivele privind informatiile sunt legate de pregatirea in mod operativ a unor rapoarte relevante si de incredere, care sa stea la baza procesului de luare a deciziilor in banca. Totodata, se refera la informatiile financiare, la situatiile financiare anuale si altele de acest gen, destinate consiliului de administratie, actionarilor, organismelor de supraveghere, a caror calitate si integritate este absolut necesara pentru luarea deciziilor.
Obiectivele de conformitate trebuie atinse pentru a proteja reputatia si autorizatia de functionare, prin respectarea legilor, cerintelor autoritatii de supraveghere, normelor si politicilor interne.
2. Elementele principale ale sistemului de control intern bancar
Procesul de control intern, initial conceput ca un mecanism de reducere a riscurilor de frauda, furt si eroare, a capatat in timp multe alte valente, adresandu-se unei varietati mai mari de riscuri cu care se confrunta banca si de acoperirea carora depinde realizarea obiectivelor bancii.
Controlul intern cuprinde cinci elemente aflate in stransa corelare:
1. supravegherea exercitata de catre consiliul de administratie si conducerea bancii;
2. identificarea si evaluarea riscurilor;
3. activitatile de control si separarea atributiilor;
4. informarea si comunicarea;
5. activitatile de monitorizare si de corectare a deficientelor.
Problemele identificate in analiza pierderilor suferite de banci se circumscriu acestor cinci elemente, a caror functionare este esentiala pentru atingerea celor trei obiective ale controlului intern.
2.1. Rolul si responsabilitatile consiliului de administratie si ale conducatorilor bancilor
"Consiliul de administratie ar trebui sa aiba responsabilitatea aprobarii si revizuirii periodice[2] a strategiilor de ansamblu si a politicilor semnificative ale bancii; intelegerii riscurilor majore cu care banca are de-a face, stabilirii nivelurilor acceptabile ale acestor riscuri si asigurarii ca sunt luate masurile necesare de catre conducerea bancii pentru a identifica, masura, monitoriza si controla aceste riscuri; aprobarii structurii organizatorice; si asigurarii asupra faptului ca eficacitatea sistemului de control intern este monitorizata de conducerea bancii. Consiliul de administratie este responsabil, in ultima instanta, pentru stabilirea si mentinerea unui sistem de control intern adecvat si eficient."[3]
Consiliul de administratie indruma si supravegheaza conducerea bancilor, iar pentru a indeplini aceste atributii membrii acestuia trebuie sa fie obiectivi, capabili, cu o pregatire profesionala adecvata, sa aiba o buna cunoastere a activitatilor bancii si a riscurilor cu care se confrunta aceasta. In acest sens, Legea nr. 485/2003 pentru modificarea si completarea Legii bancare nr. 58/1998 impune conditii cu privire la experienta profesionala necesara pentru a putea fi membru al consiliului de administratie al unei banci, si anume "experienta de minimum 3 ani in domeniul financiar - bancar sau intr-un domeniu care poate fi considerat relevant pentru activitatea bancii".
Totodata, pentru a permite mentinerea obiectivitatii, in unele tari consiliul are membri care nu sunt implicati in conducerea activitatilor de zi cu zi ale bancii. In Romania, aceeasi lege citata mai sus are o nuanta mai categorica, mai restrictiva in aceasta privinta, si anume: "In cazul in care conducatorii bancii fac parte din consiliul de administratie, numarul membrilor acestuia trebuie sa fie stabilit astfel incat administratorii care nu au si calitatea de conducator sa constituie majoritatea." (pct. 41 privind modificare Art. 26 al Legii 58/1998).
Mijloacele prin care consiliul de administratie isi poate exercita atributiile, identificate de Norma B.N.R. nr. 17/2003, Art. 5. (3 ) sunt:
discutii periodice (de regula trimestrial) cu conducerea operativa privind eficienta sistemului de control intern;
analiza periodica (de regula trimestrial) a evaluarilor sistemului de control intern efectuate de conducerea operativa, de auditul intern si, dupa caz, de auditorul financiar extern si de autoritatea de supraveghere;
asigurarea implementarii de catre conducerea operativa a recomandarilor formulate de auditul intern, de auditorul financiar si de Banca Nationala a Romaniei cu privire la deficientele sistemului de control intern si examinarea efectului masurilor implementate.
La acestea, Comitetul de la Basel adauga si revizuirea periodica a strategiei bancii si a limitelor de risc, care apare si ca atributie a consiliului de administratie.
In unele tari, printre care si Romania, consiliul de administratie se bazeaza pe ajutorul dat de comitetul de audit, constituit din membri ai acestuia (vezi capitolul 2.4.2.). Comitetul examineaza in detaliu informatiile si rapoartele primite, supravegheaza procesul de raportare financiara si sistemul de control intern, este in contact direct cu departamentul de audit intern si cu auditorul financiar, dar dreptul de decizie apartine consiliului de administratie.
"Conducatorii bancilor ar trebui sa aiba responsabilitatea implementarii strategiilor si politicilor aprobate de consiliul de administratie; responsabilitatea identificarii, monitorizarii si controlului riscurilor din activitatea bancii; responsabilitatea mentinerii unei structuri organizatorice care desemneaza clar relatiile de autoritate, responsabilitate si de raportare; responsabilitatea de a se asigura ca responsabilitatile delegate sunt realizate; responsabilitatea stabilirii de politici adecvate de control intern; si responsabilitatea monitorizarii eficientei si adecvarii sistemului de control intern."[4]
Opinia autoritatii de reglementare in domeniul bancar din Romania, exprimata prin Norma nr. 17/2003, difera de cea de mai sus in unele locuri, fie prin nuantari, fie prin generalizari, fie prin inglobarea unor atributii conexe celor statuate de Comitetul de la Basel.
Astfel, in domeniul riscurilor semnificative, Banca Nationala a Romaniei. precizeaza ca atributiile conducatorilor se refera atat la coordonarea procesului de elaborare a procedurilor, cat si la luarea masurilor necesare pentru identificarea, evaluarea, monitorizarea si controlul riscurilor.
In ceea ce priveste atributiile delegate conducerii operative, Banca Nationala a Romaniei mentioneaza ca acestea se refera doar la stabilirea politicilor si procedurilor de control intern, in timp ce in domeniul structurii organizatorice atributia conducatorilor este foarte "larga" - de a mentine o structura organizatorica adecvata.
Mai mult, norma Bancii Nationale a Romaniei identifica atributiile conducatorilor in domeniul personalului: sa se asigure ca activitatile bancii sunt derulate de personal calificat, avand experienta si cunostinte necesare si sa asigure instruirea corespunzatoare a personalului.
In comentariile ce insotesc enuntarea acestui principiu, Comitetul de la Basel face referire insa si la retribuirea corespunzatoare a personalului cu functie de control si la obligatia conducatorilor de a institui politici privind recompensarea si promovarea personalului, care sa rasplateasca comportamentul adecvat al acestuia si sa minimizeze cazurile de ignorare sau nerespectare a mecanismelor de control intern.
"Consiliul de administratie si conducatorii bancii sunt responsabili pentru promovarea unor inalte standarde de etica si integritate si pentru crearea unei culturi organizationale care sa sublinieze si sa demonstreze intregului personal importanta controlului intern. Intregul personal al unei organizatii bancare trebuie sa inteleaga rolul sau in cadrul procesului de control intern si sa fie angajat deplin in acest proces."[5]
Contributia consiliului de administratie si a conducatorilor bancii la crearea unei puternice culturi a controlului consta si in propriul exemplu, in etica dovedita in afaceri, atat in interiorul institutiei, cat si in afara acesteia; cuvintele, atitudinea si actiunile acestora afecteaza integritatea, etica si alte aspecte ale culturii controlului in banca.
Personalul trebuie sa constientizeze ca, in masuri diferite, controlul intern reprezinta responsabilitatea fiecarui angajat al bancii; aproape toti angajatii produc informatii utilizate de sistemul de control intern sau actioneaza pentru efectuarea controlului.
Un element esential al unui sistem de control intern puternic este acela ca intreg personalul sa isi indeplineasca responsabilitatile si sa comunice conducerii, pe diferite niveluri, problemele operationale aparute, cazurile de incalcare a codului de conduita, a politicilor si a reglementarilor.
De asemenea, conducerea bancii trebuie sa evite implementarea unor politici care sa aiba efecte nedorite din punct de vedere al controlului. Astfel, politicile care pun un accent prea mare pe tinte de performanta sau pe alte rezultate operationale pe termen scurt pot determina neglijarea aspectelor care tin de riscurile pe termen lung; nesepararea clara a responsabilitatilor sau a atributiilor de control pot duce la utilizarea neeficienta a resurselor sau la tainuirea performantelor slabe. In cazul in care schemele de promovare si premiere a personalului se bazeaza numai pe criterii legate de profitabilitate, dar nu si pe cele care tin de control si de rezolvarea problemelor identificate de auditul intern, mesajul transmis de conducere este unul negativ la adresa importantei controlului intern.
In concluzie, se poate afirma ca existenta unei puternice culturi a controlului nu garanteaza realizarea obiectivelor strategice ale unei banci, dar lipsa acesteia creeaza conditii prielnice pentru erori si pierderi, care pun in pericol atingerea tintelor bancii.
2.2. Identificarea si evaluarea riscurilor
Din punctul de vedere al controlului intern, in identificarea si evaluarea riscurilor trebuie sa fie analizati atat factorii interni (complexitatea structurii organizatorice, natura activitatilor bancii, modificari organizatorice, calitatea personalului si fluctuatia acestuia etc), cat si factorii externi (fluctuatii in mediul economic, modificari in mediul concurential bancar, innoirea tehnologica etc) care pot avea un impact negativ asupra atingerii tintelor de performanta si asupra atingerii obiectivelor controlului intern.
Acest demers se deosebeste de procesul de gestionare a riscurilor, axat de obicei, pe strategii pentru gasirea caii de mijloc intre profit si risc in diferite domenii ale bancii, si are ca obiectiv asigurarea concordantei controlului intern al bancii cu natura, complexitatea si riscurile activitatii desfasurate de aceasta.
Identificarea si evaluarea riscurilor trebuie sa acopere toate riscurile cu care banca se confrunta atat la nivel de ansamblu al bancii, cat si la toate nivelurile organizatorice ale acesteia. Procesul trebuie sa aiba un caracter continuu, adica sa aiba in vedere atat riscurile atasate activitatilor prezente, cat si pe cele aduse de aparitia unor noi activitati sau cele nou aparute/determinate in legatura cu operatiunile deja derulate, iar procedurile de control trebuie modificate astfel incat sa se adapteze la riscurile nou aparute. De exemplu, in cazul aparitiei unui nou produs, banca trebuie sa analizeze noul instrument financiar si tranzactiile de piata asociate si sa evalueze riscurile implicate. Determinarea intregii diversitati de probleme ce insoteste adoptarea unui nou produs (adesea facuta prin metoda scenariilor) trebuie sa-si gaseasca contraponderea in masuri adecvate de control.
Procesul de evaluare a riscurilor se adreseaza atat aspectelor cuantificabile, cat si aspectelor necuantificabile ale riscurilor si trebuie sa puna in balanta costul implicat de controlul riscurilor si beneficiile pe care acesta le poate aduce. Totodata, acest proces include si determinarea caracterului controlabil sau necontrolabil al riscurilor; in ceea ce priveste riscurile controlabile, banca trebuie sa stabileasca daca accepta acele riscuri sau modul in care le contracareaza prin masuri de control; in cazul riscurilor care nu pot fi controlate, banca trebuie sa decida daca le accepta, daca le elimina sau daca reduce nivelul activitatilor afectate de riscurile respective.
Norma B.N.R. nr. 17/2003 impune ca evaluarea riscurilor sa se realizeze de catre specialisti din cadrul bancii care nu au responsabilitati in realizarea performantei comerciale si financiare[6], pentru a nu permite aparitia unei situatii de conflict de interese, dar aceasta presupune ca specialistii care fac evaluarea sa aiba experienta relevanta in derularea activitatilor ce fac obiectul evaluarii riscurilor.
In practica s-a observat ca managementul bancilor inclina, de multe ori, in favoarea unor operatiuni cu randament ridicat, fara a evalua corect riscurile asociate acestor tranzactii si nu aloca suficiente resurse pentru a monitoriza si evalua expunerile la risc. Totodata, s-a constatat ca multe dintre pierderile inregistrate s-au datorat neactualizarii procesului de evaluare a riscurilor odata cu schimbarea mediului de afaceri.
2.3. Activitatile de control si separarea atributiilor
Activitatile de control intern trebuie astfel concepute si derulate incat sa asigure acoperirea riscurilor identificate si evaluate, ca parte integranta a activitatilor zilnice. Activitatile de control trebuie definite pentru fiecare nivel organizatoric al bancilor si implica doua etape: stabilirea politicilor si procedurilor de control si verificarea respectarii politicilor si procedurilor de control.
Activitatile de control implica personalul de la toate nivelurile, incepand cu consiliul de administratie si terminand cu personalul de executie:
consiliul de administratie si conducatorii bancii solicita adesea prezentari si rapoarte despre performanta pentru a analiza progresul facut de catre institutie catre realizarea obiectivelor sale. De exemplu, pot fi cerute rapoarte referitoare la realizarea bugetului de venituri si cheltuieli, iar analizarea acestora, impreuna cu conducerea departamentelor poate duce la detectarea unor deficiente de control, a unor erori in raportarile financiare sau a unor activitati frauduloase;
la nivelul compartimentelor sau sediilor secundare ale bancii se pot face analize operative zilnice, saptamanale sau lunare;
controale faptice, care se refera la restrictionarea accesului la active precum titluri sau numerar, restrictionarea accesului la conturile clientilor etc.;
analiza incadrarii in limitele impuse expunerilor la risc si urmarirea modului in care sunt solutionate situatiile de neconformitate. Stabilirea unor limite prudente expunerilor la risc reprezinta un aspect important al gestionarii riscului; incadrarea in anumite limite pe debitori sau pe alte contrapartide reduce concentrarea de risc a bancii si contribuie la diversificarea profilului de risc al acesteia. Prin urmare, un aspect important al activitatii de control este urmarirea incadrarii in aceste limite.
aprobari si autorizari - solicitarea aprobarii sau autorizarii unor tranzactii ce depasesc anumite limite de suma are rolul de a asigura controlul asupra realizarii operatiunilor respective de catre nivelul de conducere competent si de a stabili responsabilitatile;
verificari si reconcilieri - constau in verificari ale detaliilor tranzactiilor intre diferite structuri organizatorice (de exemplu, intre cei care initiaza tranzactiile - front office si cei care inregistreaza si monitorizeaza tranzactiile - back office) sau in compararea cash flow-urilor cu extrasele de cont, in vederea asigurarii concordantei si efectuarea corectiilor necesare. Rezultatele acestor verificari si reconcilieri trebuie raportate nivelului de conducere competent.
Activitatile de control sunt mai eficiente daca sunt privite ca parte integranta a activitatilor zilnice si nu ca o actiuni aditionale, de o importanta mai mica. Desfasurate in aceasta maniera, activitatile de control dau posibilitatea gasirii unor solutii rapide la modificarea conditiilor de lucru si duc la evitarea costurilor suplimentare.
Consiliul de administratie are nu numai sarcina de a stabili politici si proceduri de control, ci si de a urmari respectarea acestora la toate nivelurile si de a urmari gradul de adecvare a acestora la modificarile din activitatea bancii, iar pentru realizarea acestor deziderate are la indemana un instrument special - auditul intern.
"Un sistem de control intern eficient cere sa existe o separare corespunzatoare a atributiilor si ca personalului sa nu-i fie alocate responsabilitati care sa duca la conflicte de interese. Ariile cu potentiale conflicte de interese trebuie identificate, minimizate si monitorizate atent de catre personal independent."[7]
Din analiza pierderilor determinate de lipsa controlului, autoritatile de supraveghere au concluzionat ca una dintre cauzele majore o reprezinta lipsa unei separari adecvate a atributiilor. Astfel, alocarea unor atributii aflate in relatie conflictuala unei singure persoane (de exemplu, responsabilitati atat in front office, cat si in back office in zona de tranzactionare) da acelei persoane acces la active de valoare si la posibilitatea de a manipula informatiile financiare in folos personal sau de a ascunde pierderile. Prin urmare, unele atributii ar trebui sa fie impartite, pe cat posibil, intre mai multe persoane, pentru a se reduce riscul manipularii de date financiare sau al insusirii ilicite a unor active.
Separarea atributiilor nu se limiteaza numai la controlul exercitat de o singura persoana atat in front office, cat si in back office, ci este o cerinta valabila si pentru alte domenii, cum ar fi:
aprobarea utilizarii fondurilor si tragerea efectiva a acestora;
acces la conturi ale clientilor si la conturile bancii;
analiza documentatiilor de credit si monitorizarea creditului dupa acordarea acestuia.
Prin urmare, este necesara nu numai identificarea si monitorizarea zonelor cu conflict de interese potential, dar si revizuirea periodica a responsabilitatilor si functiilor persoanelor - cheie din banca, pentru ca acestia sa nu se afle in pozitia de a "acoperi" deficientele.
2.4. Informare si comunicare
Informarea adecvata si comunicarea efectiva sunt esentiale pentru functionarea corespunzatoare a sistemului de control intern. Din perspectiva unei banci, pentru ca informatiile sa fie utile, acestea trebuie sa fie relevante, de incredere, accesibile, sa fie furnizate la timp si intr-un format constant in timp.
Informatiile se refera atat la cele interne, financiare, operationale si de conformitate, dar si la cele externe, referitoare la evenimente si imprejurari relevante pentru luarea deciziilor in cadrul bancii. Procesul de luare a deciziilor de catre conducere poate fi afectat de lipsa de incredere in informatiile sau de informatiile eronate furnizate de un sistem informational care nu este bine proiectat si controlat.
O componenta critica a activitatilor unei banci o constituie stabilirea si mentinerea unui sistem de gestiune a informatiilor (obtinute atat electronic, cat si prin mijloace ne-electronice) care sa acopere toate domeniile bancii. Acest sistem trebuie sa contina si proceduri privind securitatea informatiilor, respectiv mijloace de prevenire a dezvaluirii informatiilor secrete sau confidentiale sau de prevenire a folosirii informatiilor de catre personalul institutiei pentru obtinerea unor beneficii personale, care ar putea prejudicia banca atat din punct de vedere material, cat si reputational. Sistemele informatice din cadrul sistemului informational trebuie sa raspunda acelorasi cerinte de securitate a informatiei, atat in sensul mentionat mai inainte, cat si in sensul asigurarii unor informatii relevante, de incredere si al asigurarii functionarii fara intreruperi.
Avand in vedere riscurile implicate de obtinerea, manipularea si pastrarea informatiilor obtinute prin sistemul informatic, bancile trebuie sa acorde atentie cerintelor organizatorice si de control intern legate de procesarea informatiei in forma electronica, precum si celor referitoare la pastrarea probelor de audit intern.
O prima cerinta in acest sens se refera la monitorizarea sistemelor informatice de catre o structura organizatorica separata de cea care le utilizeaza, ca o aplicare a principiului separarii atributiilor pentru evitarea aparitiei unor situatii de conflict de interese.
In ceea ce priveste controlul, acesta trebuie sa aiba in vedere atat sistemul informatic ca intreg, cat si fiecare aplicatie informatica din componenta acestuia.
Actiunile de control general se efectueaza asupra infrastructurii hardware si de comunicatii a sistemelor informatice (sisteme mainframe, sisteme client/server, routere, echipamente de retea, statii de lucru ale utilizatorilor finali), precum si asupra sistemelor de operare, avand ca scop verificarea functionarii continue si corespunzatoare a acestora. Controalele generale includ si verificarea existentei si aplicarii unei strategii de informatizare, a procedurilor interne de salvare si restaurare a datelor, a politicilor de efectuare a achizitiilor, a procedurilor de dezvoltare a aplicatiilor informatice, a procedurilor de administrare si intretinere, precum si a politicilor de securitate vizand accesul fizic si logic la resursele sistemului informatic.
Controalele efectuate la nivelul aplicatiilor informatice se realizeaza atat prin cuprinderea unor etape de validare si control in cadrul aplicatiei informatice, cat si proceduri manuale de verificare a modului de procesare a tranzactiilor si efectuarea operatiunilor.
In lipsa unor proceduri adecvate de control asupra sistemelor informatice (inclusiv a celor in curs de implementare, de dezvoltare), bancile pot inregistra pierderi de date sau de programe datorita unor proceduri necorespunzatoare privind securitatea fizica si electronica, datorita avarierii echipamentelor si disfunctiilor sau datorita unor proceduri de rezerva sau de recuperare a datelor dezvoltate intern si neadecvate.
Pe langa riscurile si controalele atasate la care s-a facut referire mai sus, exista si riscuri datorate unor factori externi, in afara posibilitatilor de control al bancilor (riscul de producere a unor calamitati naturale, de exemplu). Pentru asigurarea impotriva acestor riscuri, bancile trebuie sa elaboreze planuri alternative (de rezerva) care sa le asigure continuitatea functionarii. Desi bazate pe replicarea sistemelor critice fie prin existenta unor sisteme de rezerva intr-o alta locatie a bancii, fie prin intermediul unui furnizor extern de servicii (deci, pe asigurarea continuitatii functionarii sistemelor informatice), aceste planuri de urgenta trebuie sa implice toate elementele care tin de buna desfasurare a operatiunilor. Totodata, pentru asigurarea functionarii si disponibilitatii acestor sisteme de rezerva este necesara testarea lor periodica.
Un alt aspect deosebit de important legat de informatie il reprezinta comunicarea, cea care da valoare informatiei. Conducerea bancii trebuie sa stabileasca unele cai de comunicare pentru ca informatiile sa ajunga in timp util la oamenii care au nevoie de acestea. Aceste informatii se refera atat la politici si proceduri ale bancii, cat si la cele legate de performanta bancii. Personalul trebuie sa cunoasca procedurile si politicile bancii, in general, si pe cele care au implicatii asupra atributiilor si responsabilitatilor sale, in special. Totodata, personalul trebuie sa aiba in permanenta imaginea progresului facut pe calea atingerii obiectivelor institutiei pentru a constientiza efectele activitatii sale.
Structura organizatorica a bancii trebuie sa faciliteze diseminarea informatiilor de sus in jos, de jos in sus si pe orizontala. Prin aceste fluxuri de informatii, consiliul de administratie cunoaste riscurile incumbate de activitatile derulate de banca si performanta institutiei, iar conducerea operativa si personalul operativ iau cunostinta de strategia, politicile si procedurile bancii. Totodata, comunicarea pe orizontala intre diferite structuri organizatorice da posibilitatea ca informatia intrata pe o poarta de acces sa poata fi cunoscuta si de alte departamente afectate de informatia primita.
2.5. Activitatile de monitorizare si de corectare a deficientelor
Avand in vedere faptul ca industria bancara este dinamica, bancile trebuie sa monitorizeze si sa evalueze continuu sistemul de control intern, ca urmare a modificarii conditiilor interne si externe, si trebuie sa intareasca acest sistem pentru a-I mentine eficienta.
Monitorizarea sistemului de control trebuie sa fie facuta atat de personalul operativ, cat si de cel din cadrul controlului financiar si din cadrul auditului intern. Pentru ca aceasta functie sa nu fie acoperita numai la nivel teoretic, conducerea bancii trebuie sa stabileasca clar persoanele in sarcina carora cad atributiile de monitorizare. Banca Nationala a Romaniei opineaza ca monitorizarea sistemului intern de control trebuie sa fie efectuata "atat de personalul responsabil pentru fiecare compartiment si sediu secundar al institutiei de credit, cat si de auditul intern"[8]
Monitorizarea sistemului de control intern are atat o componenta zilnica, cat si una periodica, de evaluare separata a procesului de control privit in ansamblu. Monitorizarea pe baza zilnica ofera avantajul detectarii si corectarii rapide a deficientelor din sistemul de control intern, dar eficienta sa depinde de integrarea sistemului de control intern in mediul operational bancar si de rapoartele de control generate. Spre deosebire de aceasta, evaluarea periodica este menita sa ofere o imagine a eficacitatii intregului sistem de control intern si a activitatii de monitorizare si cade atat in sarcina personalului responsabil pentru fiecare compartiment si sediu secundar (autoevaluare), cat si a auditului intern. In ceea ce priveste periodicitatea acestor evaluari, Banca Nationala a Romaniei se raliaza parerii Comitetului de la Basel care considera ca parametrii care determina frecventa monitorizarii unei activitati sunt riscurile implicate de acea activitate si natura si frecventa schimbarilor din activitatea respectiva.
Rezultatele monitorizarii si, in special, deficientele constatate trebuie sa fie aduse imediat la cunostinta nivelului de conducere competent sa ia masuri corective, iar cele majore trebuie raportate conducerii bancii si consiliului de administratie.
Norma B.N.R. nr. 17/2003 subliniaza faptul ca responsabilitatea de a stabili un sistem de detectare a deficientelor sistemului de control intern si de a intreprinde masuri pentru solutionarea deficientelor revine conducatorilor bancilor, care, in realizarea acestei atributii, se bazeaza pe auditul intern.
Multe banci au inregistrat pierderi datorita lipsei de monitorizare efectiva a sistemului de control intern; adesea aceste sisteme nu au avut procese de monitorizare continua, iar evaluarile separate realizate fie nu erau adecvate, fie nu erau urmarite adecvat de catre conducere.
In unele cazuri, absenta monitorizarii a inceput cu lipsa de atentie si de reactie la informatiile zilnice primite de catre conducere referitoare la aspecte neuzuale ale activitatii (de exemplu, depasiri ale limitelor de expunere, lipsa de situatii financiare ale debitorilor etc). Intr-o banca, pierderile din activitatea de tranzactionare erau inregistrate intr-un cont fictiv de client; daca banca ar fi avut o procedura prin care extrasul de cont sa fi fost trimis lunar prin posta clientului, iar clientul sa confirme soldul contului, aceste pierderi ar fi putut fi detectate inainte sa produca probleme majore bancii.
In alte cazuri, activitatea sau divizia bancii care a cauzat pierderi masive avea numeroase caracteristici ce indicau un nivel crescut al riscului, cum ar fi un nivel neobisnuit al profitului sau cresterea rapida a unei activitati aflate la distanta mare de centrala sau de compania-mama. Datorita unei lipse de evaluare a riscurilor, bancile respective nu au alocat suficiente resurse suplimentare pentru a controla si monitoriza activitatile cu risc ridicat. De fapt, in unele cazuri, activitatile cu risc ridicat erau derulate cu mai putina supraveghere decat cele cu profil de risc mai scazut, iar conducerea nu a reactionat cum trebuia la observatiile facute de auditorii externi si interni.
Auditul intern nu a fost eficient in multe cazuri, prin combinarea a trei factori: realizarea unor audituri treptate, lipsa unei depline intelegeri a activitatii bancii si urmarirea neadecvata a unor probleme. Auditul fragmentat a rezultat din structurarea programelor de audit intern ca serii de angajamente separate pe unele activitati din cadrul aceluiasi departament sau din cadrul bancii. Deoarece procesul de audit era fragmentat, activitatea nu era bine inteleasa de catre personalul departamentului de audit. Daca acesta ar fi fost altfel organizat, permitand auditorilor sa urmareasca procese si functii de la inceput la sfarsit (de exemplu, urmarirea unei tranzactii de la initiere pana la raportare) le-ar fi permis sa inteleaga mai bine. In plus, ar fi dat oportunitatea de a verifica si testa adecvarea controlului in fiecare etapa a procesului. In alte cazuri, pregatirea necorespunzatoare a personalului de la departamentul de audit intern in domeniul de marketing, sistem informatic si alte arii sofisticate a contribuit la problemele auditului intern. Deoarece personalul nu a avut expertiza necesara, a ezitat in a pune intrebari in cazul unor suspiciuni, iar daca a pus intrebari, a acceptat orice raspuns primit, ca atare.
Auditul intern poate sa se dovedeasca ineficient si atunci cand conducerea nu urmareste problemele identificate de auditori, fie datorita lipsei de consideratie acordata acestei activitati, fie datorita faptului ca nu urmareste prin rapoarte periodice progresul facut in rezolvarea problemelor sesizate.
2. Evaluarea sistemelor de control intern de catre autoritatile de supraveghere
Desi consiliul de administratie si conducerea bancii poarta responsabilitatea dezvoltarii si mentinerii unui sistem de control intern eficient, autoritatile de supraveghere trebuie sa evalueze adecvarea sistemului de control intern al unei banci in functie de profilul de risc al acesteia si atentia data de catre conducerea bancilor problemelor semnalate de sistemul de control intern.
Evaluarea realizata de autoritatea de supraveghere trebuie sa se refere nu numai la intreg sistemul de control intern, dar si la controlul exercitat in anumite zone de activitate cu risc ridicat, cum ar fi zone caracterizate printr-o profitabilitate neobisnuita, crestere rapida, noi produse bancare sau zone departate fizic fata de sediul central.
Totodata, o atentie deosebita trebuie acordata zonelor care in trecut au fost asociate cu deficiente ale sistemului de control intern si cu pierderi determinate de aceste deficiente.
Autoritatea de supraveghere trebuie sa urmareasca si modificarile care au avut loc in activitatea bancii si modul in care acestea ar fi trebuit sa reflecte sau au avut impact asupra sistemului de control intern. Astfel de modificari se refera la schimbari in mediul bancar si economic, angajarea de personal nou, sisteme informationale noi, activitati sau domenii ce inregistreaza o crestere rapida, introducerea de noi tehnologii, de noi produse, restructurari sau reorganizari, expansiunea operatiunilor in strainatate.
Pentru a evalua calitatea controlului intern, autoritatile de supraveghere pot avea mai multe abordari. Astfel, acestea pot evalua activitatea departamentului de audit intern al bancii, pe baza analizei documentelor produse, a metodologiei folosite pentru a identifica, masura, monitoriza si controla riscul.
In cazul in care calitatea activitatii departamentului de audit intern este satisfacatoare, autoritatea de supraveghere poate utiliza rapoartele auditorilor interni ca baza pentru identificarea problemelor de control ale bancii sau pentru a identifica ariile cu risc potential pe care auditorii interni nu le-au evaluat recent.
Unele autoritati de supraveghere folosesc procesul de autoevaluare prin care conducerea bancii analizeaza procedurile de control pe fiecare activitate in parte si certifica faptul ca acestea sunt adecvate. Alti supraveghetori pot solicita auditarea externa periodica a anumitor domenii, pentru anumite scopuri.
In final, autoritatile de supraveghere pot combina modalitatile descrise mai inainte cu propriile lor evaluari si examinari, la fata locului, a controlului intern. Evaluarile la fata locului includ atat o evaluare a activitatilor, cat si testarea la nivel de tranzactie pentru a obtine o verificare independenta a proceselor de control intern ale bancii. Testarea la nivel de tranzactii are in vedere adecvarea si respectarea politicilor, procedurilor si limitelor interne, acuratetea si continutul rapoartelor catre conducere si a situatiilor financiare, eficacitatea procedurilor de control.
Pentru a evalua eficacitatea celor cinci elemente ale controlului intern dintr-o banca, autoritatea de supraveghere trebuie sa:
identifice obiectivele controlului intern care sunt relevante pentru profilul bancii (creditarea, investitiile, contabilitatea etc);
evalueze eficacitatea elementelor controlului intern nu numai prin aprecierea politicilor si procedurilor, dar si a documentatiei, prin discutii cu personalul (pentru a aprecia mediul de lucru) si prin testarea tranzactiilor;
discute periodic deficientele identificate si recomandarile facute pentru remediere cu consiliul de administratie si cu conducerea bancii;
aprecieze masurile corective luate si daca au fost luate la timp.
Acolo unde legislatia permite, autoritatile de supraveghere pot inlocui astfel de inspectii la fata locului cu analizarea rapoartelor produse de catre auditorii externi la solicitarea lor. In aceste cazuri, auditorii externi trebuie sa evalueze activitatea bancii si sa testeze tranzactiile, asa cu s-a specificat mai sus, in cadrul unor angajamente de audit, iar supraveghetorii trebuie sa evalueze calitatea auditului extern.
Indiferent de abordarea folosita, autoritatile de supraveghere trebuie sa ia in considerare observatiile si recomandarile facute de auditorii externi cu privire la eficacitatea controlului intern si sa aprecieze modul in care consiliul de administratie a raspuns la ceste observatii si recomandari.
Cuvinte cheie
Sistemul de control intern Identificarea riscurilor Informare
Consiliul de Administratie Evaluarea riscurilor Comunicare
Conducatorii Bancii Separarea atributiilor Monitorizare
Exercitii si intrebari
1. Care este rolul consilului de administrare in cadrul sistemului de control intern?
2. Este suficient sa existe un sistem solid de control intern in cadrul bancilor pentru a gestiona riscurile? Justificati raspunsul
3. Care sunt etapele de gestiune a riscurilor?
4. Modelati o lista de autoevaluare a controlelor asociate activitatii unei sucursale.
[1] "Framework for internal control systems in banking organisations", Basle Committee on Banking Supervision, Basle, septembrie 1998
[2] Norma B.N.R. nr. 17/2003 stabileste periodicitatea cu care este necesara a se indeplini aceasta atributie, si anume "cel putin anual".
[3] Principiul 1, "Framework for internal control systems in banking organisations", Basle Committee on Banking Supervision, Basle, septembrie 1998
[4] Principiul 2, "Framework for internal control systems in banking organisations", Basle Committee on Banking Supervision, Basle, septembrie 1998
[5] Principiul 3, "Framework for internal control systems in banking organisations", Basle Committee on Banking Supervision, Basle, septembrie 1998
[6] Art. 13, Norme nr. 7/2003 privind organizarea si controlul intern al activitatii bancilor, administrarea riscurilor semnificative, precum si organizarea si desfasurarea activitatii de audit intern in cadrul bancilor
[7] Principiul 6, "Framework for internal control systems in banking organisations", Basle Committee on Banking Supervision, Basle, septembrie 1998
[8]Art. 31 (3), Norme nr. 7/2003 privind organizarea si controlul intern al activitatii bancilor, administrarea riscurilor semnificative, precum si organizarea si desfasurarea activitatii de audit intern in cadrul bancilor