Auditul Managementului Riscului de Frauda la Banca Transilvania
Cuprins
Importanța temei și motivația de cercetare
Metodologia de cercetare
CAPITOLUL I: STADIUL CUNOAȘTERII ÎN DOMENIU
1.1. Concepte fundamentale specifice auditului managementului riscurilor bancare
1.2. Reglementări în domeniu
1.3. Abordări privind auditul managementului riscurilor bancare în literatura de specialitate
1.4. Tipologia riscurilor bancare
1.5. Riscuri, managementul riscurilor, auditul managementului riscurilor bancare – interferențe și limite
1.6. Tehnici de audit specifice managementului riscurilor bancare
1.7. Proceduri de audit privind managementul riscurilor bancare
1.8. Diseminarea rezultatelor misiunii de audit al managementului riscurilor bancare
1.9. Concluzii și propuneri
CAPITOLUL II: AUDITUL MANAGEMENTULUI RISCULUI DE FRAUDĂ. CAZUL BANCA TRANSILVANIA SA
2.1. Prezentarea instituției de credit
2.2. Derularea misiunii de audit: demers, obiective, deficiențe și recomandări privind frauda.
2.3. Comunicarea informațiilor misiunii de audit și procesul decizional
2.4. Auditul intern versus auditul financiar versus managementul riscurilor pe fraudă
2.5. Studiu comparativ între cazurile de fraudă din România și cazurile de fraudă la nivel internațional în sistemul bancar
2.6. Concluzii și propuneri
Concluzii finale
Bibliografie
Anexe
Importanța temei și motivația de cercetare
Lucrarea de față tratează problematica auditului managementului riscurilor bancare și analizează principalele elemente ale acestuia, pornind de la stadiul cunoașterii în domeniu și continuând cu un studiu de caz construit pe exemplul unei bănci. Importanța abordării acestei teme este dovedită de situația actuală cu care se confruntă economia și mai ales instituțiile de credit care activează pe teritoriul țării noastre. Riscul este prezent în toate acțiunile și evenimentele omenirii. Riscul este într-o permanentă schimbare, el evoluează în complexitate, pe lângă tradiționalele expuneri la hazard, adăugându-se riscuri financiare, strategice, de piață, operaționale, de țară, legislative, de fraudă, iar caracterul complex al riscului poate fi atribuit mai multor factori.
Domeniul bancar este un domeniu vast, caracterizat prin prezența unei varietăți mari de riscuri, și de aceea scopul prezenței lucrări este de a sublinia importanța acordată demersului gestionarii și administrării riscurilor identificate la nivelul fiecărei instituții de credit, ulterior procedându-se la evaluarea și analiza respectivelor riscuri. Materialul acoperă astfel două paliere: primul este specific demersului teoretic și face referire la noțiunile de bază specifice auditului managementului riscurilor bancare; la principalele reglementări în domeniu; la tipologia riscurilor bancare; la tehnicile și procedurile de audit folosite; la rezultatele misiunii de audit, iar la final sunt trecute în revista câteva concluzii și propuneri referitoare la gestionarea cât mai eficientă a riscurilor bancare. Cel de-al doilea palier surprinde într-o manieră clară câteva dintre aspectele cele mai relevante, de natura teoretică amintite anterior, prin intermediul unui studiu practic efectuat pe baza informațiilor obținute din interiorul Băncii Transilvania. Cred că încercarea de abordare a problematicii auditului managementului riscurilor bancare ca un mix între conceptele teoretice și elementele practice va răspunde nevoii de informare completă într-un domeniu vast, supus schimbării și de care depind, în mare măsură, alte domenii de relații sociale.
Este bine de precizat fapul că, în ultimii ani se recunoaște tot mai mult importanța implicării guvernanței corporative în managementul riscului. Instituțiile de credit se află sub presiunea identificării tuturor riscurilor cu care se confruntă: de la riscuri financiare și operaționale, la riscuri de piață, de țară, de fraudă, riscuri juridice, precum și la modul în care le administrează la un nivel acceptabil. În același timp, utilizarea diferitelor tehnici și proceduri de audit privind managementul riscurilor bancare s-a extins, instituțiile recunosc astfel avantajele utilizării lor. Auditul intern, contribuie la managementul riscurilor într-o varietate de moduri, importanța sa crescând din ce în ce mai mult în contextul crizei financiare actuale. Pentru auditorul financiar noțiunea de risc are o altă accepțiune, în sensul că riscurile sunt văzute prin prisma misiunii și obiectivelor de audit. Însă, identificarea și cuantificarea riscurilor în cadrul planificării misiunii se afla în corelație cu managementul riscurilor existent în cadrul entității. Astfel, dacă entitatea auditată are implementat un management al riscurilor dovedit a fi eficient, acesta reprezintă un reper pentru auditor în evaluarea riscurilor legate de misiune, în sensul că riscul general de audit va fi mai scăzut și astfel nivelul de asigurare oferit de auditor va fi unul ridicat. Managementul riscului reprezintă astfel, arta de a lua decizii într-o lume guvernată de incertitudine.
Metodologia de cercetare
Cercetarea presupune realizarea unui studiu teoretic și a unui studiu practic. Pentru redactarea studiului teoretic am utilizat, în primul rând, următoarele surse preluate din cadrul Bibliotecii ASE: numeroase cărți din domeniul economico-financiar; reviste de specialitate precum – Revista Audit Financiar, Revista Tribuna Economică, Revista Capital și articole din bazele de date internaționale – Science Direct, JStore, ProQuest. În al doilea rând, de mare ajutor ne-au fost și informațiile preluate din suportul destinat cursului de Audit Intern Bancar al doamnei profesor coordonator Aurelia Ștefănescu și cele de pe site-urile BNR și Camerei Auditorilor Financiari din România. În ceea ce privește studiul practic, următoarele documente obținute din interiorul Băncii Transilvania ne-au ajutat extraordinar de mult: Regulamentul de organizare și funcționare a departamentului: Divizia Managementului Riscului Operațional; Procedura de raportare evenimente de Risc Operațional; Procedura: Plan cadru alternativ și de continuitate al activităților bancare externalizate în cazul situațiilor neprevăzute; Norma de Administrare a Riscului Operațional și Norma cadru de tratare a erorilor și excepțiilor în procesele opraționale. De asemenea, am utilizat informații preluate din diverse articole de presă, forumuri, Revista Capital, Revista Sky News, site-ul HotNews.ro, dar și site-urile băncilor implicate: BT, BRD, BCR, ING, Barclays PLC Bank, AIB Bank, Bank of Montreal, Bank of America. Țin să precizez faptul că ambele capitole ale acestei lucrări conțin pe lângă sursele documentare prezentate mai sus și propriile păreri referitoare la subiectele tratate în această cercetare.
CAPITOLUL I: STADIUL CUNOAȘTERII ÎN DOMENIU
Concepte fundamentale specifice auditului managementului riscurilor bancare
Oamenii, instituțiile, societățile s-au confruntat întotdeauna cu probleme de risc și incertitudine. Riscul este considerat ca fiind nucleul oricărei afaceri, deoarece din nici o activitate nu se poate obține profit fără risc. De aceea instituțiile indiferent de profilul lor, încearcă să-și maximizeze profitul prin gestionarea riscului specific domeniului său de activitate și prin evitatea sau transferarea riscului pe care acestea nu doresc să-l preia.
Într-o accepțiune general valabilă, conceptul de risc reprezintă probabilitatea de producere a unor evenimente nefavorabile, expunerea la risc fiind sinonimă cu conceptul de pierdere/cheltuiala. În mod tradițional riscul este definit ca probabilitatea de a suporta o pagubă și este asociat cu rezultatele negative, precum pierderile sau amenințările.
Pentru cazul specific al riscului bancar, accentul se pune pe probabilitatea ca, pe parcursul derulării activităților în care este implicată instituția bancară, să se producă efecte negative asupra băncii în cauză, efecte care pot îmbrăca forma diminuării profitului, accentuării pierderilor și disfuncționalităților în activitatea bancară sau care pot duce chiar la falimentul instituției bancare. Astfel, riscul bancar trebuie privit ca un complex de evenimente cu consecințe nefavorabile pentru banca, de cele mai multe ori independente, prin faptul că pot avea cauze comune sau prin faptul că producerea unuia poate genera în lanț alte evenimente adverse. O definiție simplificată a noțiunii de risc bancar se referă la valoarea actuală a tuturor pierderilor sau cheltuielilor suplimentare pe care le suporta sau pe care le-ar putea suporta o instituție bancară.
Riscurile în sectorul bancar reprezintă o continuă provocare pentru a identifica alternativele de management a activităților și a riscurilor corespunzătoare. În acest context a devenit extrem de importantă introducerea unor instrumente prin care sistemul bancar să poată urmări impactul alternativelor, evenimentelor și tranzacțiilor efectuate de către instituțiile de credit, cu scopul asigurării și îmbunatățirii performanței acestora. Unul dintre instrumentele care sprijină instituția de credit este managementul riscurilor.
Conceptul de management al riscurilor pentru sectorul bancar, reprezintă ansamblul politicilor și procedurilor pe care băncile le implementează în vederea gestionarii, monitorizării și controlării expunerilor față de risc. Acest instrument este parte integrantă a strategiei instituției de credit, răspunzând vulnerabilității și complexității mediului în care aceasta operează.
Efectele nefavorabile pe care riscurile le generează în atingerea obiectivelor instituției de credit pot fi atenuate prin intervenția auditului intern. În urma cercetării făcute în jurul acestui concept, considerăm relevantă următoarea definiție dată auditului intern, de către Institutul Auditorilor Interni (IIA), potrivit căruia acest concept semnifică „o activitate obiectivă și independentă, ce sprijină o organizație în atingerea obiectivelor, o îndruma pentru a-i îmbunătăți operațiunile, îi oferă o asigurare referitoare la gradul de control al operațiunilor și contribuie la adăugarea unui plus de valoare”. În plus, auditul intern ajută organizația să își atingă obiectivele evaluând printr-o abordare sistematică și metodică, procesele sale de management al riscurilor, de control, și de guvernare a organizației, și deasemenea oferă propuneri pentru a le consolida eficacitatea.
Controlul intern, la care participă consiliul de administrație, conducătorii și personalul instituțiilor de credit este un proces care se desfășoară cu regularitate și care oferă o asigurare rezonabilă în ceea ce privește atingerea obiectivelor manageriale. Aceste obiective vizează eficientă și eficacitatea activităților desfășurate; conformitatea cu legile și reglementările aplicabile, precum și cu politicile și procedurile interne; credibilitatea, integritatea și furnizarea la timp a informațiilor financiare și ale celor necesare conducerii.
În cadrul instituțiilor de credit o poziție importantă este ocupată de către Comitetul de audit. Acesta are funcție consultativă și se constituie ca un comitet permanent în cadrul instituției de credit. Sprijină consiliul de administrație al instituției de credit prin formularea de recomandări către acesta. Aceste recomandări se referă în principal la: menținerea și întărirea sistemului de control intern, corectitudinea și credibilitatea informațiilor financiare furnizate conducerii sau utilizatorilor externi, precum și la analiza activităților afectate de riscuri. Comitetul de audit funcționează în baza unui regulament aprobat la nivelul consiliului de administrație și revizuit periodic, dacă este cazul, care să indice componența, competențele și atribuțiile acestuia, modul de raportare către consiliul de administrație, precum și periodicitatea întrunirilor.
În procesul de management al riscurilor există și un comitet de administrare a riscurilor – comitet permanent constituit prin deciziea Consiliului de administrație. În funcție de mărimea și complexitatea instituției de credit se poate desfășura în subcomitete. Buna funcționare a acestui comitet ele interne; credibilitatea, integritatea și furnizarea la timp a informațiilor financiare și ale celor necesare conducerii.
În cadrul instituțiilor de credit o poziție importantă este ocupată de către Comitetul de audit. Acesta are funcție consultativă și se constituie ca un comitet permanent în cadrul instituției de credit. Sprijină consiliul de administrație al instituției de credit prin formularea de recomandări către acesta. Aceste recomandări se referă în principal la: menținerea și întărirea sistemului de control intern, corectitudinea și credibilitatea informațiilor financiare furnizate conducerii sau utilizatorilor externi, precum și la analiza activităților afectate de riscuri. Comitetul de audit funcționează în baza unui regulament aprobat la nivelul consiliului de administrație și revizuit periodic, dacă este cazul, care să indice componența, competențele și atribuțiile acestuia, modul de raportare către consiliul de administrație, precum și periodicitatea întrunirilor.
În procesul de management al riscurilor există și un comitet de administrare a riscurilor – comitet permanent constituit prin deciziea Consiliului de administrație. În funcție de mărimea și complexitatea instituției de credit se poate desfășura în subcomitete. Buna funcționare a acestui comitet este asigurată de prevederile regulamentului propriu, ce va fi revizuit periodic, cu precizarea componenței, autorității, modului de raportare, dar și a responsabilităților. În componența acestui comitet intra: coducatorii instituției și ai compartimentelor a căror activitate este afectată de riscurile semnificative și, dacă se considera necesar și alți conducători de compartimente, persoane cu experiență și responsabilități în cadrul instituției de credit.
Un alt actor însemnat, implicat în procesul de management al riscurilor îl constituie supravegherea bancară prudențială, care prezintă o importanță aparte în cadrul instituției de credit deoarece monitorizează, evaluează și consolidează procesul de management al riscurilor efectuat de către instituțiile de credit.
Așadar, putem afirma faptul că odată cu extinderea la nivel național și internațional a sistemelor tradiționale de credit, piețele financiare au devenit tot mai fragile, iar gradul de incertitudine s-a accentuat. Toate acestea au drept suport multitudinea riscurilor specifice sistemului financiar -bancar. Experiența a dovedit că o mare parte din problemele principale cu care se confruntă societățile bancare au drept cauză accentuarea riscurilor. Aceasta se explică prin faptul că evoluția viitoare a valorii activelor sau cea a costului pasivelor nu poate fi prevăzută cu acuratețe, ea depinzând de factori ca: inflația, politica monetară, schimbările în structura produsului național brut.
1.2. Reglementări în domeniu
În cadrul acestui subcapitol vom prezenta reglementările naționale și respectiv internaționale atât din perspectiva riscurilor bancare, cât și din perspectiva auditului intern.
Reglementările naționale și internaționale privind riscurile bancare sunt următoarele:
La nivel național, conform Băncii Naționale a României sunt acceptate următoarele reglementări: Ordonanța de Urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului, care reglementează condițiile de acces la activitatea bancară și de desfășurare a acesteia pe teritoriul României, supravegherea prudențială a instituțiilor de credit și a societăților de servicii de investiții financiare și supravegherea sistemelor de plăți și a sistemelor de decontare a operațiunilor cu instrumente financiare; Regulamentul BNR/CNVM nr. 22/27/2006 privind adecvarea capitalului instituțiilor de credit și al firmelor de investiții; Regulamentul BNR/CNVM nr. 23/28/2006 privind criteriile tehnice referitoare la organizarea și tratamentul riscurilor, precum și criteriile tehnice utilizate de autoritățile competente pentru verificarea și evaluarea acestora; Regulamentul BNR nr. 16/2012 privind clasificarea creditelor și plasamentelor, precum și determinarea și utilizarea ajustărilor prudențiale de valoare; Reglementări privind determinarea cerințelor minime de capital pentru instituțiile de credit și firmele de investiții; Reglementări privind tratamentul riscului de credit pentru instituțiile de credit și firmele de investiții (abordarea standard; abordarea bazată pe modele interne de rating, tehnicile de diminuare a riscului de credit, expunerile securitizate și pozițiile din securitizare); Reglementări privind tratamentul riscului de lichiditate; Reglementări privind tratamentul riscului operațional; Norme și proceduri interne specifice fiecărei instituții de credit.
La nivel internațional sunt recunoscute următoarele reglementări: Acordul de capital Basel II (2004), care reflectă un cadru privind adecvarea capitalului având la baza trei piloni și anume: cerințele minime de capital, supravegherea procesului de adecvare a capitalului și disciplina de piață. Acest acord nu răspunde crizei financiare globale și poate fi sintetizat astfel: contribuie la întărirea stabilității financiare; ține cont de complexitatea crescută a activității bancare și de noile tehnici de gestiune a riscurilor; face ca exigentele de capital să fie mai strâns dependente de riscurile economice; responsabilizează în plus băncile oferindu-le mai multe opțiuni; face apel la cursul societăților de evaluare private; băncile cu instrumente moderne de control sunt recompensate prin exigente de reglementare de fonduri proprii mai mici; crește transparenta și nu în ultimul rând face ca piața să joace rolul de supraveghere și chiar de sancționare. Spre deosebire de acordul anterior, Acordul de capital Basel III (2010) răspunde provocărilor crizei financiare mondiale și are la bază un cadru internațional pentru măsurarea, standardizarea și monitorizarea riscului de lichiditate, precum și un cadru global de reglementare pentru bănci, care vizează un sistem bancar mai solid. O scurtă sinteză a acestui acord este următoarea: acest acord conturează o reforma financiară globală pentru a preveni apariția pe viitor a crizelor în sectorul bancar; omogenizează regulile în sistemele bancare din toate statele membre a Uniunii Europene; are la bază un obiectiv tridimensional și anume: cadru de supraveghere micro și macro-prudentiala, cadru de management al riscurilor la nivel de bancă și un cadru de management al riscului sistemic la nivel de sistem bancar; introduce reguli stricte de transparentă în ceea ce privește capitalul; introduce un indicator suplimentar de adecvare a capitalului (rata de levier) pentru a limita îndatorarea excesivă a instituțiilor bancare; creditarea devine limitată și va avea un cost mai mare.
Reglementările naționale și internaționale privind auditul intern sunt următoarele:
În țara noastră, principalul organism care dezbate problematica auditului intern în cadrul instituțiilor de credit este Camera Auditorilor Financiari din România, potrivit căreia sunt recunoscute următoarele reglementări: Hotărârea nr. 88/2007 pentru aprobarea normelor de audit intern, care oferă informații relevante despre standardele de audit intern și procedurile privind cadrul general de desfășurare a misiunilor de audit intern. Standardele de audit intern adoptate de CAFR ca norme naționale de audit intern, se împart în trei categorii și anume: standardele de calificare, care prezintă caracteristicile organizațiilor și părților ce derulează activități de audit intern și se aplică tuturor serviciilor de audit intern; standarde de implementare, care iau în considerare activități de asigurare și consultanta, deci în acest caz se aplică tipurile specifice de misiuni și standardele de performanță, care descriu natura activităților de audit intern și furnizează criterii de calitate pentru evaluarea performanței acestor servicii și se aplică tuturor serviciilor de audit intern. Pe de altă parte, procedurile privind cadrul general de desfășurare a misiunilor de audit intern includ un set de 16 proceduri care sunt prezentate în detaliu în subcapitolul 1.7 „Proceduri de audit privind managementul riscurilor bancare” a lucrării. Codul de etică al Institutului Auditorilor Interni (IIA) din România, care are ca obiectiv întărirea încrederii în obiectivitatea evaluării managementului riscului, a controlului și a guvernării, dar mai ales promovarea unei culturi bazate pe etică în profesia de audit intern. Așadar, principiile relevante pentru profesia și practica auditului intern sunt: integritatea, obiectivitatea, confidențialitatea și competență; aceste patru principii sunt recunoscute ca fiind și reguli de conduită. Regulamentul B.N.R. nr. 18/2009 privind cadrul de administrare a activității instituțiilor de credit, procesul intern de evaluare a adecvării capitalului la riscuri și condițiile de externalizare a activităților acestora cu modificările și completările ulterioare.
La nivel internațional sunt recunoscute toate reglementările prezentate anterior, la care se adaugă Standardele Internaționale de Audit (ISA). Acestea sunt considerate standardele profesionale pentru efectuarea de audit financiar de informații financiare și sunt emise de către Federația Internațională a Contabililor (IFAC), prin intermediul Consiliului pentru Standarde Internaționale de Audit și Asigurare (IAASB). Potrivit Camerei Auditorilor Financiari din România standardele de audit cuprind următoarele paliere: responsabilități; control intern; probe de audit; utilizarea muncii altor experți; concluzii de audit și raportul de audit; precum și domeniile de specialitate.
Considerăm că pe lângă realitățile lumii bancare, normele internaționale și legislația bancară specifică statelor naționale sunt reperele care oferă un instrument fundamental de analiză a riscurilor bancare, pentru generații de analiști ai riscurilor bancare. Reglementările bancare oferă cercetătorilor un punct de dezbateri, pe care se bazează dezvoltarea cunoașterii în domeniul riscurilor bancare, în contextul relației dintre reflecțiile cercetătorilor și practica bancară.
1.3. Abordări privind auditul managementului riscurilor bancare în literatura de specialitate
Literatura de specialitate din România oferă un volum restrâns de lucrări ce au ca idee centrală problematica auditului managementului riscurilor bancare. În urma studiilor efectuate în jurul conceptelor care conturează această problemă ne-am oprit asupra aspectelor, pe care noi le considerăm cele mai reprezentative.
Treapăt (2011) consideră faptul că, riscul semnifică probabilitatea de producere a unui eveniment cu consecințe negative pentru instituția bancară, iar expunerea la risc este asociată cu valoarea actuală a tuturor pierderilor sau cheltuielilor suplimentare pe care le-ar suporta aceasta. Se apreciază faptul că pentru reducerea riscului, conducerea băncilor trebuie să dispună de metode și tehnici de analiză a acestuia. Cu siguranță, riscurile fac obiectul unei mari atenții în bănci. Astfel, referitor la riscul bancar, Trenca (2011) este de părere că acest concept reprezintă un conglomerat sau un complex de evenimente cu consecințe adverse pentru bancă, de cele mai multe ori interdependente, prin aceea că pot avea cauze comune sau că producerea unuia poate genera în lanț și alte evenimente adverse. Într-o altă abordare, riscul bancar reprezintă un fenomen care poate apărea pe parcursul operațiilor bancare și care provoacă efecte negative asupra activităților respective, prin deteriorarea calității afacerilor, diminuarea profitului sau chiar înregistrarea de pierderi.
O altă definiție data riscului bancar este oferită de autorii Uyemura și Deventa (2013), care în încercarea de a defini și explică conceptul de risc în activitatea bancară, pornesc de la premisa că riscul reprezintă volatilitatea fluxurilor de numerar nete ale unei unități de afaceri. Prin unitate de afaceri, în cadrul instituțiilor bancare, cei doi autori înțeleg un produs, un departament, o sucursală sau chiar întreaga banca.
Pe de altă parte, pentru sectorul bancar riscurile pot fi privite și sub aspectul pierderilor generate de adoptarea unor decizii greșite. Riscurile sunt tratate ca pierderi neprevăzute înregistrate în activitatea bancară ca urmare a unor evoluții adverse a rezultatelor față de cele anticipate. Alți autori sunt de părere că riscurile bancare sunt total aleatorii și necontrolabile, vorbind de pierderi potențiale și efective. Deci, putem spune că riscurile în activitatea bancară reprezintă fenomene care apar pe parcursul derulării operațiunilor bancare și care provoacă efecte nefavorabile asupra activității respective prin deteriorarea calității afacerilor, diminuarea profitului sau chiar înregistrarea de pierderi, afectând funcționalitatea băncii.
Managementul riscurilor nu este altceva decât ansamblul instrumentelor, tehnicilor și dispozitivelor organizatorice necesare băncii pentru a reuși. Acestea nu sunt fixe, stabile, ci se afla într-o continuă schimbare, capăta noi dimensiuni, devin mai precise și continuă să evolueze odată cu evoluția mediului. În universul bancar, nu este surprinzător de constatat că gestionarea riscurilor joacă un rol esențial în strategia băncii.
Așadar Trenca (2012), apreciază faptul că analiza abordărilor conceptului de management al riscurilor în domeniul bancar reflecta ideea conform căreia acest concept înseamnă „totalitatea proceselor de management al riscurilor și al modelelor care permit instituțiilor de credit să implementeze politici și practici bazate pe minimizarea riscurilor”. Acest proces îmbina toate tehnicile și instrumentele de management necesare în vederea măsurării, monitorizării și controlului riscurilor. Precizăm faptul că toate aceste politici și procedee au la baza minimizarea sau chiar înlăturarea riscurilor și au ca obiectiv comun îmbunătățirea profilului de risc al instituției de credit și gestionarea optimă a portofoliilor sale.
Existența incertitudinilor de natura amenințărilor în realizarea obiectivelor, face ca managementul riscurilor să fie extrem de necesar, întrucât reacția la acestea, trebuie să devină o preocupare permanentă a tuturor celor implicați. Prin urmare, într-o altă accepțiune managementul riscurilor constituie procesul de identificare, analiza și raportare a factorilor de risc, în scopul tratării/atenuării/evitării acestora. Se concentrează pe toate scenariile posibile, adică pe maximizarea probabilităților și consecințelor evenimentelor pozitive și deasemenea pe minimalizarea probabilităților și consecințelor evenimentelor adverse care pot să apară.
În ceea ce privește auditul managementului riscurilor bancare putem sublinia faptul că acesta este un proces care asigura monitorizarea gestionarii riscurilor și a calității performanței, examinează, evaluează, raportează și oferă soluții în vederea îmbunatățirii caracterului adecvat și eficace al proceselor de gestionare a riscurilor.
Mai mult decât atât, funcția de audit la nivelul instituțiilor de credit, nu se ocupă numai cu gestionarea și administrarea riscurilor, ci evalueza dacă factorii responsabili aplica principiile și tehnicile adecvate de monitorizare, strategie și gestiune a riscurilor mai sus prezentate și, în ultimă instanță asista sau sfătuiește persoanele responsabile.
Astfel, Dedu (2009) apreciază ca auditorul intern trebuie să observe riscurile ce se pot manifesta la un moment dat în cadrul instituției de credit pe fiecare departament și global, nelimitându-se doar la un anumit risc care este caracteristic funcțiunii auditate. De exemplu, în cadrul departamentului de credite, la prima vedere, putem spune că ne vom întâlni doar cu riscul de credit, dată fiind denumirea departamentului care ne trimite la o astfel de abordare. Însă lucrurile nu se întâmplă tocmai așa, deoarece aici – în cadrul departamentului credite vom putea descoperi că și riscul de dobândă, valutar sau chiar și cel operațional ar putea avea manifestări într-o măsură mai mare sau mai mică. În ceea ce privește riscul operațional, exista o graniță foarte sensibilă între a determina dacă o pierdere este aferenta riscului operațional sau celui de credit, după cum reiese și din exemplul următor: nerambursarea unui credit pentru că debitorul a prezentat instituției de credit documente false.
Dacă anumite elemente de risc au fost depistate, atunci auditorul intern trebuie să discute cu responsabilul respectivei activități, semnalându-i pericolul unei eventuale apariții sau existența acestora și să ofere recomandări în sensul preîntâmpinării sau reducerii/eliminării acestora, rămânând tot timpul în afara procesului de gestionare, dar evaluând periodic stadiul în care se afla implementarea recomandărilor.
Evaluarea riscurilor se va realiza pe baza unor metodologii, a unor principii stabilite de către conducătorul departamentului de audit intern, care vor fi actualizate periodic tocmai pentru a reflecta schimbările din sitemul de control intern, din activitatea instituției de credit, etc.
Procesul de evaluare a riscurilor trebuie să includă identificarea atât a riscurilor care sunt controlabile de către instituțiile de credit, cât și a celor necontrolabile. În primul rând, pentru cazul specific riscurilor controlabile, instituțiile de credit trebuie să stabilească dacă își asumă integral aceste riscuri sau măsura în care doresc să le reducă prin proceduri de control. În al doilea rând, pentru riscurile necontrolabile, instituțiile de credit trebuie să decidă dacă le accepta sau dacă elimina ori reduc nivelul activităților afectate de riscurile respective.
Se va ține seama, de asemenea, și de posibilitatea apariției unor situații speciale, în aceste condiții evaluarea riscurilor realizându-se pe baza unor scenarii alternative, inclusiv în condiții de criză.
În opinia noastră, interesul acordat riscurilor bancare și implicit procesului de gestionare al acestora este consecința analizei cauzelor care au determinat înregistrarea de pierderi semnificative în cadrul instituțiilor de credit. Această analiză a identificat lipsa unui management eficient al riscurilor bancare, precum și a unor sisteme de control intern adecvate ca fiind factorii majori care au determinat apariția pierderilor. Concluzia trasă din aceste experiențe este ca un management corespunzător, un sistem de control intern adecvat și o supraveghere prudențială eficienta ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern eficient reprezintă o componentă critică a gestionarii unei bănci, care poate sprijini realizarea obiectivelor băncii și atingerea tintelor sale de profitabilitate.
1.4. Tipologia riscurilor bancare
Multitudinea riscurilor cu care se confruntă o bancă în activitatea ei zilnică, precum și diversitatea situațiilor care conduc la aceste riscuri, conturează ideea conform căreia nu este posibilă o clasificare unică a riscurilor bancare. De aceea, literatura de specialitate în domeniu oferă o impresionantă diversitate de opinii, iar în cele ce urmează voi face referire la cele mai semnificative dintre acestea.
Dedu (2009) oferă o clasificare generală a riscurilor bancare și le împarte în următoarele categrii: riscuri financiare (structura bilanțului si a contului de profit/pierdere, solvabilitatea, riscul de credit, de lichiditate, de dobândă, de piață și riscul valutar); riscuri operaționale (riscul de legislație, sistemele interne și riscul operațional, riscul de tehnologie, conducere și fraudă); riscuri de afacere (riscul de strategie, de politici ale organizației, infrastructura financiară, riscul sistemic) si riscuri externe (riscul politic, de contagiere, riscul criza bancară, alte riscuri).
Într-o altă accepțiune riscurile bancare se clasifica având în vedere, pe de-o parte întreaga gamă de operațiuni bancare ce pot genera riscuri, iar pe de altă parte forma acestor riscuri. Așadar, în funcție de caracteristica bancară se disting următoarele categorii: riscuri financiare – asumate în gestionarea bilanțului (riscul de creditare, de lichiditate, piață și riscul de faliment); riscuri de prestare – caracteristice serviciilor bancare (riscul operațional, tehnologic, riscul produsului nou și cel strategic); riscuri ambientale – generate de operarea băncii într-un mediu concurențial reglementat de autoritatea bancară și într-un spațiu economic în dinamică (riscul de fraudă, economic, al concurenței și riscul legal).
Ținând cont de activitatea specifică a băncii, identificăm un număr de riscuri complexe și strâns legate unele de altele: riscul de credit, respectiv riscul ca una dintre părți să nu-și respecte poziția; riscul de piață, presupune pierdere datorată variației generale neașteptate a cursurilor pe piață sau ratei dobânzii; riscul operațional, presupune pierdere datorată erorilor umane, actelor frauduloase sau absenței controalelor interne; riscul juridic, respectiv riscul ce decurge din regimul juridic aplicabil unui contract; riscul de lichiditate, riscul ca o anumită poziție să nu poată fi vândută rapid și fără pierderi importante, din punct de vedere al prețului; riscul de reglementare, presupune expunerea la riscul de piață de credit în cursul perioadei de plată; riscul specific, scăderea valorii unei poziții, scădere nelegată de tendința generală a pieței.
O altă clasificare întâlnită în literatura de specialitate aparține autorilor Trenca și Silivestru (2011) care identifică două mari categorii de riscuri bancare, în funcție de piața care determină apariția riscului, și anume: riscuri determinate de piață produsului: se referă la aspectele strategice și operaționale ale gestiunii veniturilor și cheltuielilor de exploatare (riscul de creditare; de strategie (de afaceri); riscul datorat reglementărilor bancare; riscul de operare; de marfă; riscul resurselor umane; riscul legal; riscul de produs si riscuri determinate de piața capitalului: reprezintă acele riscuri generate de evenimente și tranzacții derulate pe piața de capital. Aici sunt incluse: riscul ratei dobânzii; de lichiditate; riscul valutar; riscul de decontare și riscul de bază.
În funcție de tipul de expunere, riscul bancar se clasifică în felul următor: riscurile pure, care se caracterizează prin faptul că expunerea este generată de activitățile și procedurile bancare susceptibile a produce evenimente soldate cu pierderi. Din categoria riscurilor pure fac parte: riscurile fizice; riscurile financiare; riscurile criminale și frauduloase și riscurile de răspundere. Pentru riscurile lucrative (speculative) expunerea este generată de tendința realizării unui profit mai ridicat prin activități ce au drept consecință cheltuieli suplimentare, deci și posibile pierderi mai mari. Aceste cheltuieli pot rezulta din credite nerambursabile la scadență, pierderi din portofoliul de titluri, sau o structură defectuoasă a activităților bancare.
Din punct de vedere al modului de alocare în cadrul sistemului financiar, riscurile bancare se împart în: riscuri diversificabile, sunt acele riscuri care ajung să fie relativ nesemnificative prin combinarea a cât mai multor poziții bilanțiere si riscuri nediversificabile, riscuri care chiar și după epuizarea tuturor posibilităților de folosire a legii numerelor mari rămân relativ semnificative. Riscurile nediversificabile au puțini factori determinanți, în esență variabile puține: rate ale dobânzii, cursuri valutare, prețuri ale materiilor prime, indicatori macroeconomici.
Clasificarea dată de Banca Reglementelor Internaționale este următoarea: riscuri financiare: riscul de lichiditate; riscul ratei dobânzii, al cursului de schimb și riscul titlurilor cu venit variabil; riscuri legate de parteneri: riscul de credit; riscul clientelei, de țara și riscul apărut pe piața interbancară; riscuri comerciale: riscul de produse, riscul serviciilor, riscul de plată, riscul de imagine; riscuri legate de forță de muncă; riscuri operaționale și tehnice; riscuri ale gestiunii interne: riscul de reglementare, de strategie, de deontologie, riscul resurselor umane, riscul de insuficienta funcțională, de comunicare și riscul controlului intern total și financiar.
Conform Regulamentului BNR 25/2010 privind cadrul de administrare a activității instituțiilor de credit, procesul intern de evaluare a adecvării capitalului la riscuri și condițiile de externalizare a activităților acestora, riscurile cu care se confruntă o bancă în activitatea ei zilnică sunt considerate a fi următoarele: riscul de credit; riscul de piață; riscul de conformitate; riscul de țară; riscul de lichiditate; riscul de transfer; riscul de rată a dobânzii; riscul aferent tehnologiei informației (IT); risc reputațional; riscul strategic.
Întrucât partea practică a prezenței lucrări are ca punct central – riscul operațional, am considerat necesară o trecere în revistă și a clasificării evenimentelor de natura riscului operațional. Aceasta clasificare este structurată în grupuri, categorii și subcategorii după cum urmează („Tipologia riscului operațional”, Procedura de raportare evenimente de Risc Operațional, din cadrul Diviziei Managementul Riscului Operațional al Băncii Transilvania, 2013):
În funcție de factorul uman menționăm următoarele categorii: frauda internă (furt, delapidare, sabotarea deliberată a reputației băncii, frauda electronică, folosirea cu rea voință a informațiilor confidențiale, depășirea limitelor, ignorarea intenționată a procedurilor, asociere pentru comiterea de fraude); frauda externă (falsificare de cecuri sau alte înscrisuri specifice, deschideri frauduloase de conturi, șantaj, jaf armat, spălare de bani, accesări neautorizate ale sistemelor, viruși de computer, documente false aferente creditelor, furt din activele băncii); executare sarcini (incapacitatea angajaților în îndeplinirea sarcinilor, erori în activitate, activități ilegale);
Ținând cont de procesele efectuate în activitatea curentă întâlnim: executarea, livrarea și gestiunea proceselor (încălcarea secretului bancar, nerespectarea termenelor, activități neautorizate, procese de plăți neadecvate, documentație completată incorect, erori de reconciliere, rapoarte inadecvate sau eronate, nerespectare protecție date personale, etc); clienți, produse și practici comerciale (erori de introducere a datelor în gestiunea relației cu clientela, planuri de proiect neadecvate, nerespectarea procedurilor de conformare, neglijenta în relația cu clientela sau conduita neadecvată); practici de angajare și siguranță la locul de muncă (discriminare, hărțuire, lipsa personal adecvat, nerespectarea legislației muncii, concedieri ilegale, pierdere personal cheie);
Sistemele aplicate cuprind următoarea subcategorie: întreruperea activității și funcționarea neadecvată a sistemelor (risc de interdependente, căderi de rețele, căderi de infrastructură, incompatibilități cu sistemele existente, hardware și/sau software depășit, erori de migrare-integrare, arhitectura eronată, forță majoră, etc);
Din punct de vedere al evenimentelor externe avem următoarele: întreruperea activității și funcționarea neadecvată a sistemelor (exproprieri, război); pagube asupra activelor corporale (terorism, incendiu, distrugeri de proprietate, inundație, dezastre civile).
Considerăm faptul că multe dintre aceste riscuri bancare prezintă trăsături comune (cauze, instrumente/tehnici de gestiune, metode de evaluare, etc) și tratarea lor corelată permite observații ce pot facilita atât înțelegerea procesului de gestiune, cât și asimilarea unor procedee și tehnici adecvate.
1.5. Riscuri, managementul riscurilor, auditul managementului riscurilor bancare – interferențe și limite
Riscul se regăsește în fiecare tranzacție în parte și se asociază oricărui proces generat de activitatea bancară. Extrem de important pentru echipa manageriala este să identifice riscurile asociate fiecărei afaceri derulate. Aceasta deoarece marea majoritate a tranzacțiilor dau naștere la o combinație a riscurilor. Din acest motiv, un obiectiv major al managementului în bănci, îl reprezintă gestiunea riscurilor.
Așadar, orice instituție bancară trebuie să ia anumite măsuri, în vederea gestionarii următoarelor riscuri semnificative, la care sunt expuse: riscul de credit, riscul de lichiditate, riscul operațional, riscul de piață și riscul reputațional. Altfel spus, în auditarea activităților bancare auditorul are în vedere depistarea elementelor de risc semnificative, scoțând în evidență și problema unei eventuale apariții sau existența acestora. Auditorul oferă recomandări în sensul prevenirii sau diminuării și chiar eliminării acestor riscuri, rămânând în permanență în afara procesului de gestionare, dar evaluând periodic stadiul în care se află implementarea recomandărilor făcute.
În opinia noastră și a multor cercetători în domeniu, riscul de credit este cel mai important risc, întrucât producerea lui facilitează apariția celorlalte riscuri specifice mediului bancar. Riscul de credit, perceput drept principala amenințare pentru sistemul bancar, este definit în linii generale ca fiind acel risc actual său viitor de afectare negativă a profiturilor și capitalului ca urmare a neîndeplinirii de către debitor a obligațiilor contractuale sau a eșecului acestuia în îndeplinirea celor stabilite.
Este bine de precizat faptul că, un management eficient al riscului de credit necesita pe de-o parte monitorizarea aprecierii calității debitorilor înainte de momentul luării deciziei de angajament, etapa caracterizată prin efectuarea unor analize și interpretări riguroase, iar pe de altă parte este necesară o etapă de monitorizare și estimare a riscurilor la portofoliul de active prin înțelegerea situației financiare a clientului, urmărirea conformității cu clauzele contractuale, evaluarea gradului de acoperire cu garanții a expunerii în raport cu situația curentă a acestuia, actualizarea dosarului de credit și obținerea de informații curente, monitorizarea și controlul creanțelor restante, precum și monitorizarea și controlul provizioanelor specifice de risc constituite.
Referitor la limitarea riscurilor, Manea și Postolache (2009) presupun că acest mecanism are caracter normativ și autonormativ. Fiecare instituție de credit, în funcție de calitatea mediului economic și de evoluția propriilor săi parametrii, asigura limitarea riscurilor în două feluri: global și analitic, astfel: fixând o limită proprie, internă pentru ponderea plasamentelor riscante în total active său relativ la capitalul bancar. De asemenea și fixarea unor plafoane de credite pe debitor, grup de debitori, sectoare de activitate sau zone geografice pentru a preveni ce modificări semnificative ale situației economice a acestor grupe să îi afecteze negativ expunerea lor prezintă o importanță deosebită.
Un alt risc de o importanță deosebită îl reprezintă riscul de lichiditate, adică riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, care rezultă din incapacitatea instituțiilor de credit de a face față descreșterii de surse sau necesității sporite de finanțare a plasamentelor, fără ca acesta să implice costuri sau pierderi ce nu pot fi suportate.
Managementul acestui risc constituie una dintre cele mai importante probleme ale conducerii unei bănci. În cadrul managementului riscului de lichiditate se acordă o atenție aparte următoarelor elemente: cunoașterea structurii maturității fondurilor atrase; volatilitatea fondurilor atrase; precum și diversificarea surselor de fonduri și a maturității acestora.
Un subiect extrem de important referitor la lichiditate este criză de lichiditate, care potrivit autorilor Manea și Postolache (2009) apare atunci când exista posibilitatea ca instituția de credit să nu fie capabilă de a rambursa o parte din obligațiile sale și/sau există semne de pierdere a încrederii clienților în instituția respectivă, în rețea sau în sectorul bancar în general. Există câteva elemente esențiale, care pot afecta nivelul lichidității după cum urmează: retrageri de depozite peste limita normal cunoscută, pierderi semnificative provenite din credite, fraudă; probleme de lichiditate ale instituțiilor de credit colaboratoare, în rețea sau în sistemul bancar în general; semne ale unei crize economice și/sau politice; știri negative făcute publice despre instituția de credit sau despre rețea; evenimente neprevăzute.
Alt risc care face obiectul unei mari atenții în bănci este riscul operațional, risc care decurge din pierderile directe sau indirecte determinate fie de utilizarea unor procese, sisteme și resurse umane inadecvate sau care nu și-au îndeplinit funcția în mod corespunzător, fie de evenimente și acțiuni externe.
Pentru buna gestionare a riscului operațional de către fiecare instituția de credit, obiectivele urmărite sunt considerate a fi urmatoarele: asigurarea continuității activității indiferent de evenimentul perturbator; îmbunătățirea eficienței operaționale și de control intern permanent; creșterea calității serviciilor oferite clientelei si a pregătirii profesionale a angajaților; gestionarea eficientă a informațiilor și resurselor umane în cadrul fiecărei instituții de credit; deținerea de fonduri proprii pentru acoperirea riscului operațional la care sunt expuse institutiile de credit.
Așadar, administrarea riscului operațional implica următoarele etape: evaluarea (identificarea operațiunilor vulnerabile la riscul operațional și a cauzelor generatoare de astfel de riscuri); monitorizarea nivelului riscului operațional (process asigurat de către conducerea fiecărei instituții de credit, prin urmărirea/interpretarea informațiilor furnizate de un sistem de indicatori)- în situația constatării de abateri de la nivelurile stabilite, se vor adopta măsuri de corectare a acestora, necesare menținerii/creșterii calității activității; reducerea efectelor, urmare a manifestării riscului, precum și adoptarea de acțiuni de prevenire a acestuia – pentru eliminarea posibilitatiilor de apariție de factori de risc.
Având în vedere felul și natura operațiilor pe care le implica activitatea fiecărei instituții de credit, este necesară identificarea operațiunilor ce pot fi afectate de riscul operațional. Conducerea instituțiilor de credit are sarcina supravegherii activității pentru a identifica imediat cauzele care conduc la manifestarea riscului și să stabilească măsurile necesare pentru limitarea pierderilor potențiale. În baza informațiilor deținute, se analizează și se identifica activitățile,
cauzele și evenimentele generatoare de risc operațional.
Monitorizarea riscului operațional la nivelul instituțiilor de credit necesita implementarea unui sistem de siguranță a informațiilor, caracterizat prin următoarele aspecte: tot personalul este responsabil pentru menținerea siguranței corespunzătoare a informațiilor; se vor organiza evenimente, care promovează conștientizarea problemelor de securitate cu participarea personaluluisi toate informațiile și sistemele de informații trebuie să fie clasificate și tratate în concordanță cu nivelurile lor de clasificare.
Procedeul de monitorizare a riscului operațional se realizează prin intermediul indicatorilor de apreciere a nivelului riscului operațional. Indicatorii riscului operațional (indicatori de măsurare a riscului operațional și indicatori de raportare a riscului operațional) se urmăresc permanent și prin efectuarea controlului intern. Reducerea riscului operațional se realizează prin măsuri preventive, precum: actualizarea, îmbunătățirea, aplicarea și urmărirea respectării permanente a reglementărilor centralei; instruirea și perfecționarea personalului implicat în activitatea desfășurată de instituțiile de credit; exercitarea controlului intern la nivelul instituțiilor de credit;
elimitarea responsabilităților având în vedere asigurarea compatibilității angajaților cu sarcinile atribuite; desfășurarea activității curente cu încadrarea în limitele stabilite prin procedurile privind administrarea riscurilor elaborate de centrală bancară, monitorizarea permanentă a acestor limite, a respectării competentelor de aprobare a creditelor.
Un alt risc semnificativ bancar, riscul de piața este recunoscut de specialiști ca o categorie aparte, deoarece apare ca urmare a modificării variabilelor de pe piață, cum ar fi ratele dobânzilor, cursurile valutare etc., astfel că riscul de piața cu care se pot confrunta instituțiile de credit în desfășurarea activității curente îmbraca mai multe forme, precum: riscul ratei dobânzii și riscul valutar. Referitor la procedurile de administrare a riscului de piață, putem spune că acestea implica evaluarea, măsurarea și monitorizarea riscului ratei dobânzii. Riscul ratei dobânzii este măsurat fie prin raportul intre activele și pasivele sensibile la dobânda, fie prin diferența între acestea.
Important pentru sectorul bancar este și riscul reputational care este definit ca fiind riscul înregistrării de pierderi sau nerealizării profiturilor estimate ca urmare a lipsei de încredere a publicului în integritatea intitutiilor de credit.
Cât privește administrarea riscului reputational, putem preciza faptul că aceasta cuprinde următoarele: evaluarea, etapa în care are loc identificarea operațiunilor vulnerabile la riscul reputational și a cauzelor generatoare de astfel de riscuri; monitorizarea nivelului riscului reputational, proces care se asigura, prin urmărirea/interpretarea informațiilor furnizate de un sistem de indicatori. În situația constatării de abateri de la nivelurile stabilite, se vor adopta măsuri de corectare a acestora, necesare menținerii/creșterii calității activității; reducerea efectelor urmare a manifestării riscului, precum și adoptarea de acțiuni de prevenire a acestuia – pentru eliminarea posibilităților de aparatie a factorilor de risc.
Ceea ce putem adăuga este că, în permanență instituțiile de credit trebuie să identifice și să evalueze riscurile semnificative care pot pune în pericol atingerea obiectivelor. Procesul de evaluare se va face atât la nivel de ansamblu al instituției de credit, cât și la toate nivelurile organizatorice, pentru a cuprinde toate activitățile și pentru a putea ține cont de apariția altora noi.
Organizatoric, instituțiile de credit trebuie să-și constituie un set de tehnici și proceduri, capabile să creeze cadrul normativ propriu care, aplicat în procesul de derulare a operațiunilor bancare și a afacerilor contractate cu clientela, să asigure evitarea sau diminuarea riscurilor în anumite condiții. În plus, prin organigrama, instituțiile de credit vor constitui compartimente și departamente adecvate supravegherii și monitorizării riscului bancar.
1.6. Tehnici de audit specifice managementului riscurilor bancare
Tehnicile privind auditul intern coincid cu cele specifice auditului financiar și se împart în două categorii distincte și anume: tehnici de interogare și tehnici de descriere.
Prima categorie, respectiv tehnicile de interogare prezintă o importanță deosebită, deoarece contibuie la îmbunătățirea întocmirii raportului de audit, întrucât ajuta auditorul la formularea de întrebări, precum și la oferirea de răspunsuri la întrebările pe care și le adresează Ștefănescu (2013). Aceste tehnici se împart la rândul lor în: sondajele statistice; întrebările și interviurile scrise; instrumentele informatice; verificările și comparările diverse. Sondajele statistice au la bază un eșantion din cadrul unei populații de referință care este ales aleatoriu. Observațiile desprinse din acest eșantion sunt extrapolate la întreaga populație, iar obiectul de analiză este o caracteristică, adică elementul care trebuie studiat, eroarea, deficienta. Este bine de precizat faptul că pentru exactitatea sondajului este necesară identificarea unei populații omogene. Interviurile și întrebările scrise reprezintă o altă tehnică de interogare semnificativă. Interviurile sunt cooperante și nu se referă la conversații și respectiv discuții. Această tehnică cuprinde o serie de etape și anume: pregătirea interviului (definirea prealabilă a subiectului interviului, cunoașterea subiectului, formularea întrebărilor și stabilirea întâlnirii); începutul interviului (prezentarea de către auditor a obiectului misiunii și a activității sale până în acel moment); întrebările prin intermediul cărora auditorul verifica dacă a înțeles bine răspunsurile primite de la interlocutorul său și încheierea interviului. De cealaltă parte, întrebările scrise sunt de regulă închise, dar fără a se transforma în narațiune. Acestea pot preceda interviul și reprezintă o modalitatea de a-l pregăti pe intervievat și de a reduce timpul petrecut cu acesta. Permit persoanei intervievate să obțină un timp de reflecție pentru a-și îmbunătăți calitatea răspunsurilor și trebuie adresate cu precizie pentru a nu lăsa loc de incertitudine. Urmează instrumentele informatice, care pentru auditor înseamnă instrumente de lucru, necesare realizării misiunilor. Verificările, de regulă aritmetice vizează verificarea existenței unor documente, iar comparările diverse sunt folosite de către auditor pentru a se asigura de validitatea operațiunilor efectuate, a informațiilor primite.
Cea de-a doua categorie, tehnicile de descriere, potrivit Ștefănescu (2013) includ următoarele: observarea fizică, narațiunea, organigrama funcțională, grile de analiză a sarcinilor, diagrama de circulație și pista de audit. Observarea fizică, este o tehnică specifică bunurilor, documentelor, proceselor și comportamentelor. Narațiunea poate fi orală sau scrisă și poate fi efectuată de către auditor și de către auditat. Narațiunea efectuată de auditor este o transcriere narativă care are la bază observațiile fizice, constatările și concluziile testelor. De cealaltă parte, narațiunea efectuată de auditat poseda un volum mare de informații, însă dezavantajele acestei tehnici constau în dificultatea identificării informatiillor căutate în discursul auditoruluil. Organigramă funcțională este o tehnică la care auditorul apelează atunci când considera că este necesar să obțină o imagine mai clară a entității și mai ales a departamentului auditat. Are în vedere informațiile obținute de care auditor cu ajutorul observării și a interviurilor. Referitor la grila de analiză a sarcinilor, se poate preciza faptul că această grilă vizează repartizarea muncii angajaților departamentului sau a entității auditate la un anumit moment și se întocmește pentru fiecare funcție importantă său proces. În acest caz auditorul evaluează munca fiecărui salariat în parte și identifică pentru fiecare responsabilitate angajatul care a efectuat munca respectivă, identificând astfel punctele slabe. Diagrama de circulație vizează reprezentarea prin intermediul simbolurilor a circulației documentelor între diverse funcții și departamente, originea și destinația lor. Prezintă o serie de avantaje, dintre care amintim: scoate în evidență punctele slabe și punctele forte privind controlul intern, reprezintă o metodă de validare a informațiilor obținute din alte surse, diminuează riscurile de omisiune, este un document figurativ și de aceea este facil de lecturat, utilă auditorului pentru formularea recomandărilor, permite auditorului să propună alternative mai bune, controale și circuite mai eficiente. Un dezavantaj al diagramei de circulație este faptul că nu poate reda chiar totul prin intermediul simbolurilor și de aceea sunt necesare note suplimentare care contrazic caracterul figurativ. Ultima din cele șase tehnici de descriere este pista de audit, care pezinta următoarele caracteristici esențiale și anume: vizează o singură operațiune, pornește de la documentul sau rezultatul final pentru a se întoarce la sursă, permite controlul asupra tuturor stadiilor intermediare al tuturor documentelor semnificative și poate fi folosită în toate funcțiile și pentru toate operațiunile. Așadar, pista de audit reprezintă un instrument extrem de eficient care este utilizat de către auditor pentru a se asigura că dispozițiile de control intern au fost aplicate pe tot parcursul procesului și și-au atins scopul. Această tehnică permite reconstituirea elementelor de gestiune în ordine cronologică și deasemenea permite justificarea fiecărei informații pe traseul document de sinteza-sursa.
O remarcă referitoare la acest subiect ar fi aceea că auditorii trebuie să utilizeze cele mai adecvate tehnici, pentru a obține probe suficiente și credibile, care să răspundă la întrebările de audit și să sprijine constatările și concluziile auditului. Acest lucru garantează astfel că raportul de audit va avea un conținut care va rezista analizei critice. Adaugăm faptul că, membrii echipei de audit pot opta pentru alegerea unei singure tehnici sau pentru o combinație de tehnici de obținere a elementelor probante.
1.7. Proceduri de audit privind managementul riscurilor bancare
Operațiunile privind managementul riscurilor derulate la nivelul instituțiilor de credit sunt evaluate și verificate pornind de la următoarele posibile proceduri Ștefănescu (2013):
Prima procedură constă în elaborarea unui plan de audit intern, care se întocmește la începutul anului, însă poate fi revizuit și pe parcursul desfășurării activității. În acest caz sunt implicați: șeful Departamentului de Audit Intern; Comitetul de Audit și Consiliul de Administrație.
Procesul continuă cu redactarea ordinului de misiune, documentul intern care reflectă într-o manieră clară și concisă obiectivele misiunii de audit. La realizarea cu succes a acestei proceduri participă: șeful Departamentului de Audit Intern și Comitetul de Audit.
Șeful Departamentului de Audit Intern întocmește apoi ordinul de serviciu pe baza planului anual de audit și a ordinului de misiune. Acesta este un document intern care conține repartizarea sarcinilor de serviciu pe auditori interni, repartizare necesară în demararea misiunii de audit intern. Actorii implicați sunt: șeful Departamentului de Audit Intern; secretariatul și auditorii, care se familiarizează cu ordinul de serviciu și iau la cunoștința sarcinile repartizate.
Notificarea privind declanșarea misiunii de audit intern este a patra procedură și are drept scop, pe de-o parte informarea șefului activității ce urmează a fi auditată cu privire la declanșarea misiunii de audit intern, iar pe de altă parte desfășurarea în condiții optime a misiunii de audit. Această procedură are la baza ordinul de misiune semnat de către Comitetul de Audit, iar persoanele implicate sunt: auditorii, dar și șeful Departamentului de Audit Intern.
Urmează colectarea și prelucrarea informațiilor, procedură realizată exclusiv de către auditori. În cadrul acestei etape auditorul descoperă domeniul ce urmează a fi auditat, identifică factorii de reușită a misiunii de audit, își formează o viziune de ansamblu a instituției de credit, a obiectivelor misiunii, a controalelor interne specifice funcției/procesului auditat, iar ulterior permite divizarea proceselor sau activităților auditate în sarcini elementare. Deasemenea permite identificarea riscurilor proprii fiecărei sarcini și evaluarea lor. Referitor la durata acestei etape putem spune că variază datorită complexității subiectului, pregătirii, experienței și informațiilor de care dispune auditorul din misiunile anterioare. Ceea ce trebuie precizat este faptul că informațiile trebuie colectate ordonat, iar auditorul trebuie să aleagă mijloace de audit adecvate pentru a le obține.
Continuăm cu partea dureroasă, și anume identificarea și analiza riscurilor. În această etapă auditorul identifică riscurile specifice structurii auditate și elaborează programul nu numai în funcție de amenințări, ci luând în considerare și evenimentele petrecute. Auditorul evaluează procedurile existente de evaluare a riscurilor, identifică deficiențele acestora și efectuează recomandări pentru a le elimina. Așadar, persoanele implicate în acest proces sunt auditorii și șeful Departamentului de Audit Intern.
Partea efectivă de realizare a procedurii de audit, începe prin elaborarea programului misiunii de audit, etapă care are drept obiectiv desfășurarea în condiții optime a misiunii de audit intern. Cuprinde o planificare a muncii, adică se repartizează sarcini între membrii misiunii ținând cont de competențe. Acest proces este organizat și planificat în timp, aparține echipei de audit intern desemnate și permite responsabilului misiunii să monitorizeze activitatea membrilor echipei. Elaborarea programului misiunii de audit reprezintă o documentație utilă pentru viitoarele misiuni de audit intern și include următoarele elemente reprezentative: definirea obiectivului auditului intern; colectarea și prelucrarea informațiilor cu privire la activitatea auditată; evaluarea riscurilor și ierarhizarea lor; elaborarea procedurilor de audit și a chestionarelor; completarea chestionarelor; prelucrarea rezultatelor; elaborarea foii de identificare și analiză a problemei; colectarea probelor de audit; revizuirea documentelor; elaborarea proiectului de raport de audit intern; discutarea proiectului de raport de audit intern cu structurile auditate și soluționarea contradicțiilor; finalizarea raportului de audit intern; prezentarea acestui raport Comitetului de Audit și urmărirea aplicării recomandărilor.
Ședința de deschidere prezintă într-un cadru organizat membrii echipei de audit intern, realizările profesionale și competețele acestora, scopul, obiectivele misiunii și procedurile de lucru. Este organizată la locul de desfășurare a misiunii de audit intern, iar persoanele implicate sunt: membrii echipei de audit și șefii structurii auditate. În cadrul acestei etape se stabilesc persoanele de contact, logistica misiunii și procedura de audit.
Urmează etapa cea mai importantă, respectiv colectarea probelor de audit. Asigură baza documentară relevantă și rezonabilă pentru formularea constatărilor și concluziilor auditorilor. Informațiile și probele de audit sunt colectate în conformitate cu obiectivele fixate, iar actorii implicați sunt: auditorii, care efectuaza testările și procedurile stabilite în programul de audit, colectează documente care ajută la argumentarea concluzilor finale, întocmesc foile de lucru și fișele de identificare și analiza problemelor (FIAP); șeful misiunii de audit, care analizează și aprobă testele, verifică și aprobă fișele de lucru și FIAP, propune șefului departamentului de audit intern extinderea verificărilor și testelor în limita obiectivelor de audit ale misiunii; șeful departamentului de audit intern, care în cazuri excepționale poate dispune extinderea testelor și verificărilor precum și alte măsuri pe care le consideră necesare.
Cea de-a zecea etapă are în vedere revizuirea documentelor de lucru, a cărui scop este pregătirea și organizarea documentelor pentru obținerea unei documentații relevante, solide și riguroase pentru formarea unei opinii privind obiectivele auditate. Procedura este următoarea: auditorii verifică documentele de lucru din punct de vedere al conținutului și formei, asigurându-se că probele de audit cumprinse în dosarul misiunii de audit intern asigură formarea opiniei; efectuează modificările necesare în documentele întocmite și completează nota centralizatoare a documentelor de lucru.
Elaborarea proiectului raportului de audit intern este următoarea etapă și presupune stabilirea obiectivelor, constatărilor, concluziilor și recomandărilor de către auditorii interni. Conține informații care nu sunt încă validate, recomandările auditorilor, dar nu include răspunsurile instituției la recomandări și planuri de acțiune. Trebuie să respecte 2 funcții: funcția de informare pentru conducere și funcția de intrument de lucru pentru management. Precizăm faptul că se fundamentează pe fișele de identificare și analiză a problemei, iar actorii implicați sunt: auditorii și șeful departamentului de audit intern. Structura standard a proiectului raportului de audit intern este următoarea: pagina de titlu și cuprinsul, introducerea, precizarea obiectivelor, precizarea elementelor metodologice, constatările și recomandările auditorilor.
Se continuă cu trasmiterea proiectului raportului de audit intern către structurile auditate. Această etapă oferă posibilitatea de a analiza proiectul raportului de audit și de a ajuta la formularea constatărilor și recomandărilor echipei de audit. Sunt implicați: șeful raportului de audit intern; structura auditată și auditorii.
Despre reuniunea de conciliere putem spune faptul că este o întrunire la care participă: auditorii, care pregătesc reuniunea de conciliere, informează conducerea asupra locului, datei și orei întâlnirii și întocmesc minuta reuniunii de conciliere; auditorii împreună cu șeful departamentului de audit intern și conducerea structurii auditate analizează constatările, concluziile și recomandările din proiectul de raport de audit în vederea clarificării divergentelor și stabilesc calendarul de implementare a recomandărilor.
Urmează monitorizarea misiunii, etapă cu rolul de a cuantifica eficacitatea reală a lucrărilor auditorilor și asigură prin intermediul misiunii de audit intern că au fost atinse în condiții de calitate toate obiectivele stabilite. Un rol important îl are șeful departamentului de audit intern care hotărăște măsurile necesare pentru ca misiunea de audit să-și atingă obiectivele, verifică executarea riguroasă a programului de audit al misiunii, verifică existența și relevanta probelor reținute de auditor, verifică dacă raportul de audit intern este clar, riguros, concis și mai ales dacă a fost elaborat la termenul fixat.
Difuzarea raportului de audit către conducerea, managementul și persoanele însărcinate cu guvernanța structurii audite, este procedura a cărei actorii implicați sunt: auditorii; șeful departamentului de audit intern, dar și conducerea structurii auditate.
Ultima etapă este cea destinată monitorizării implementării recomandărilor. În acest caz se verifică gradul în care recomandările efectuate de către auditori au fost implementate și se constată caracterul adecvat, eficacitatea și oportunitatea acțiuniilor întreprinse de către conducerea structurii auditate pe baza recomandărilor cuprinse în raportul de audit intern. Persoanele implicate sunt: auditorii; șeful departamentului de audit intern și conducerea structurii auditate.
Toate aceste proceduri ajută la obținerea unor probe de audit suficiente, pertinente și fiabile, care permit auditorului să formuleze concluzii cu o siguranță rezonabilă. Aceste concluzii ajută la formularea convenabilă a recomandărilor, iar ulterior la întocmirea corectă a raportului de audit intern.
1.8. Diseminarea rezultatelor misiunii de audit al managementului riscurilor bancare
Fiecare misiune de audit se finalizează cu întocmirea unui raport de audit, document care reprezintă produsul final al întregului proces. Raportul are în vedere un audit conceput și aplicat în mod corespunzător. Potrivit Manea (2011), următoarele caracteristici sunt esențiale în redactarea acestui raport: să fie obiectiv, complet, clar, convingător, relevant, exact, constructiv și concis. De asemenea un sistem de control eficace este deosebit de important deoarece asigură faptul că raportul de audit prezintă calitățile menționate mai sus.
Pentru redactarea cu succes a raportului de audit este necesar să se respecte anumite principii, anumite norme, o anumită formă și conținut. În ceea ce privește structura acestui raport menționăm că este necesar să se creeze un fir logic între scopul misiunii, constatările auditului și recomandările vizate. Un raport de audit întocmit corect trebuie să fie specific, destul de succint, trebuie să prezinte observații și concluzii semnificative și relevante și cu siguranță trebuie să stabilească o legătură clară între cele două.
Pe lângă elementele caracteristice amintite mai sus, orice raport de audit trebuie să fie ușor de citit, să fie intresant, iar cititorul ocazional trebuie să fie stimulat să continue lectura dacă rapoartele sunt accesibile. Coerența este importantă deoarece un raport scris în mai multe stiluri este dificil de urmărit. Se recomandă ca o singură persoană să fie responsabilă de asigurarea coerenței textului pe tot parcursul raportului, deși la redactarea acestuia au participat mai mulți agenți. Stilul trebuie să fie clar și lipsit de ambiguitate și este necesar că rapoartele să fie concludente. Enunțurile trebuie să fie scurte, afirmative și mai ales să nu ridice semne de întrebare, supoziții sau incertitudini. Toate informațiile să fie susținute de probe.
Un raport de audit bine întocmit este o garanție că respectivele constatări sunt luate în considerare cu seriozitate, în timp ce un raport prezentat în mod necorespunzător distrage atenția și-l face pe cititor să se îndoiască de calitatea constatărilor.
Structura raportului de audit cuprinde 4 secțiuni principale și anume: introducerea, sinteza, corpul raportului sau detalierea, concluziile și recomandările. Prima secțiune este cea destinată introducerii, care se recomandă să fie destul de succintă și obligatoriu trebuie să conțină următoarele două informații esențiale: prezentarea domeniului de acțiune și a obiectivelor misiunii, care subliniază cu o foarte mare utilitate scopul urmărit și limitele în timp și spațiu în care s-au situat investigațiile, dar și o scurtă descriere a organizării unității sau a funcției auditate, caz în care se consideră necesară o prezentare a modului în care este organizată funcția auditată.
Sinteza reprezintă componenta cea mai importantă a unui raport de audit deoarece apreciază calitatea controlului intern. Este partea cea mai citită din raport și este esențial ca aceasta să aibă efectul dorit. Sinteza restabilește echilibrul punând fața în fată aspectele pozitive cu cele negative și reflectă în mod concret și complet conținutul raportului. Este de dorit ca textul raportului să fie ușor de înțeles și să nu fie prea lung. Conținutul sintezei trebuie să facă trimitere la principalele concluzii și recomandări ale auditorilor și este de preferat ca această parte să fie facută doar după ce constatările și concluziile au fost redactate, pentru a se evita modificările inutile și a se reduce riscul incoerenței.
Detalierea raportului de audit conține constatările, recomandările și răspunsurile la recomandări, toate prezentate coerent și în oridinea logică. Constatările prezintă scopul auditului și îi permite acestuia să aibă așteptări realiste cu privire la raport și să poată plasa observațiile, concluziile și recomadarile în contextul lor specific. Constatările de audit prezintă următoarele elemente esențiale: standardul care face referire la dispoziții de reglementare, practici curente sau standarde elaborate de conducere sau auditor; activitatiile realizate adică gradul de acoperire și sfera testelor; faptele care scot în evidență sursa și gradul de acoperire ale probelor; impactul și consecințele care reflectă contatările din raportul de audit și importanța lor.
Concluziile raportului de audit privind modalitățile de îmbunătățire a situației trebuie să ofere răspunsuri clare. Concluziile au la baza observații semnificative, răspuns la întrebările formulate, se concretizează într-o sinteză a observațiilor și sunt însoțite de recomandări referitoare la schimbările care pot fi efectuate pentru a remedia deficiențele grave constatate.
Recomandările de audit conduc la identificarea unor măsuri practice pentru remedierea deficiențelor constatate și rezultă din concluzia aferentă. Ele precizează în mod clar persoana sau departamentul care este responsabil(ă) să acționeze. Recomandările nu cuprind planuri de acțiune detailate, iar pentru a fi constructive trebuie să indice elementele principale ale oricăror schimbări necesare. Este de dorit ca recomadările să reflecte un ton și conținut pozitiv, să fie orientate spre rezultate, să ia în considerare costurile și să fie discutate și aprobate împreună cu entitatea auditată.
Orice constatare da naștere unei recomandări auditorului care trebuie prezentată instituției auditate în timpul reuniunii de încheiere. În cazul în care instituția de credit are rezerve în privința realismului și aplicabilității lor și le vor exprima acum. Auditorii interni vor ține cont de acest lucru sau nu în funcție de cum apreciază observațiile făcute. Deoarece recomandarea a devenit definitivă din punct de vedere al formei, se cere un răspuns oficial din partea entităților auditate pentru ca observațiile lor să fie integrate în raport.
1.9. Concluzii și propuneri
Se poate concluziona că “schimbarea înseamnă nesiguranță, iar nesiguranța înseamnă risc” Dreve (2011). Afacerile care se vor dovedi profitabile sunt acelea care se bazează pe un management eficient al riscurilor. Rezultatele merită efortul, întrucât administrarea eficientă a riscurilor crează beneficii importante companiei prin: creșterea încrederii acționarilor; prin creșterea productivității, dar și prin îmbunătățirea imaginii firmei și a moralului angajaților.
Așadar, managementul riscului este o problemă de echilibru între procedee și oameni. O companie poate supraviețui și chiar prospera dacă are oameni de calitate, chiar în condițiile în care are metode și procedee manageriale slabe. Reciproca însa nu este valabilă. De fapt riscul unei companii este determinat de acțiunile și deciziile angajaților săi.
Dacă în cadrul organizației există o funcție de management al riscurilor, care funcționează corespunzător, atunci volumul de muncă al auditorilor interni este mult mai redus. În lipsa unui management al riscurilor, auditorii interni pot sprijini și consilia conducerea superioară în ceea ce privește identificarea riscurilor, evaluarea lor și determinarea apetitului pentru risc.
Auditul intern face schimbarea mai puțin riscantă și chiar o favorizează. Valoarea auditorului intern este dată de capacitatea lui de a face să progreseze controlul intern al entității. Auditorul intern este deci creator de valoare prin intermediul economiilor pe care le generează, al oportunităților pe care le creează și al pierderilor evitate ca urmare a activității sale.
Rolul de bază al auditului intern în relația cu managementul riscului ar trebui să fie furnizarea de asigurare managementului executiv și Consiliului de Administrație asupra eficienței managementului riscului. În contextul în care auditul intern își extinde rolul dincolo de această menire principală, ar trebui să aplice anumite măsuri de protecție.
CAPITOLUL II: AUDITUL MANAGEMENTULUI RISCULUI DE FRAUDĂ. CAZUL BANCA TRANSILVANIA SA
În elaborarea părții practice, din multitudinea de riscuri bancare prezentate în detaliu în cadrul capitolului precedent ne-am oprit asupra riscului operațional pentru cazul specific al riscului de fraudă. Acest studiu de caz își propune să stabilească principalele coordonate ale identificării, evaluării, monitorizării și diminuării efectelor evenimentelor de natura riscului de fraudă care sunt întâlnite în activitatea bancară curentă desfășurată în interiorul Băncii Transilvania.
2.1. Prezentarea instituției de credit
Banca Transilvania este una dintre cele mai importante bănci din țara noastră, ocupând poziția a 3-a în topul băncilor din România, în funcție de active. Este considerată ca fiind „Banca Oamenilor Întreprinzători” și are ca misiune sprijinirea dezvoltării mediului de afaceri, prin oferirea cu profesionalism a unor produse și servicii inovatoare.
Istoria Băncii Transilvania a început în anul 1994, în Cluj-Napoca, la inițiativa unor oameni de afaceri din zonă. Fondatorii au pornit de la ideea de a crea o bancă locală, un brand de Cluj. Spiritul antreprenorial al acționarilor a determinat consolidarea poziției băncii, într-o primă etapă în Cluj și, mai apoi, la nivel regional și național. Banca Transilvania și-a orientat la început activitatea spre sectorul IMM și, datorită cererii pieței, în scurt timp aceasta a început să se dedice și domeniului retail. În anul 1997, banca a devenit prima instituție de credit din România, care a fost cotată la Bursa de Valori București. Precizăm faptul că Banca Transilvania este o societate de tip SA, care folosește sistemul unitar de administrare.
În ceea ce privește strategia, banca este susținută de acționari puternici, precum: Banca Europeană pentru Reconstrucție și Dezvoltare, care deține 15% din capitalul social și IFC – Divizia de investiții a Băncii Mondiale, iar activitatea băncii este structurată pe trei linii mari de afaceri și anume: Corporate, IMM și Retail. BT și-a format echipe specializate și un portofoliu complex de produse și servicii, pentru a susține dezvoltarea pe fiecare segment în parte.
Această instituție bancară face parte din Grupul Financiar BANCA TRANSILVANIA, care oferă servicii integrate, precum: banking, finanțarea consumatorilor, administarea investițiilor, leasing, tranzacții mobiliare, factoring, prin intermediul companiilor sale: BT Securities, BT Operațional Leasing, BT Leasing, BT Asset Management S.A.I. S.A., BT Direct, Compania de Factoring, etc.
Echipa Băncii Transilvania este formată din peste 6.000 de angajați, iar media de vârstă este de 34 de ani. BT este prezentă în România și Italia, cu aproape 550 de sedii.
Structura organizatorică a Băncii Transilvania are în vedere următoarele nivele organizatorice de bază: structura de conducere și structura de execuție. Structura de conducere cuprinde în primul rând, organele cu funcție de supraveghere, iar în al doilea rând organele cu funcție de conducere precum: Consiliul de Administrație, Comitetul de Audit, care are rolul de a asigura asistența Consiliului de Administrație în realizarea atribuțiilor pe linia auditului intern și Comitetul Conducătorilor, care poate mandata sarcini/responsabilități către comitetele specifice pe activități. Structura de execuție cuprinde Centrala, organizată la rândul ei pe Direcții, Divizii, Departamente, cât și Rețeaua teritorială a unităților operative.
Referitor la politica de remunerare, angajații care ocupă funcții de control intern (ex: audit, risc de credit, risc operațional, risc de conformitate, risc comercianți carduri), vor fi evaluați după aceleași criterii individuale ca și ceilalți salariați, ponderea calificativului rezultat pentru aceste criterii în calificativul final, fiind de 50%. Trebuie făcută însă mențiunea că în locul obiectivelor bugetare, angajații funcțiilor sistemului de control intern, cu excepția personalului funcției de audit intern, vor fi evaluați după calificativul obținut în urma controlului anual al echipei de audit intern și validat de Comitetul de audit. De asemenea, personalul funcției de audit intern va fi evaluat anual luând în considerare îndeplinirea Planului anual de audit aprobat de către Consiliul de Administrație.
Banca Transilvania are organizate trei funcții fundamentale ale sistemului de control intern, în vederea implementării unui sistem de control intern eficace și cuprinzător pentru toate domeniile de activitate și anume: funcția de administrare a riscurilor, funcția de conformitate și funcția de audit intern. Trebuie amintit faptul că funcțiile sistemului de control intern sunt independente de liniile de activitate pe care acestea le monitorizează și controlează.
Prima funcție, cea de administrare a riscului are în componență funcția de control al riscurilor pe fiecare linie de activitate; cea de-a doua funcție, de conformitate a băncii – asistă organele cu funcție de conducere prin oferirea de consultanță referitoare la conformitatea activității desfășurate cu prevederile cadrului de reglementare, ale normelor și standardelor proprii, precum și ale codurilor de conduită stabilite de piețe, iar ultima funcție, de audit intern este o funcție independentă și permanentă care are drept obiectiv asigurarea că politicile și procesele băncii sunt respectate în cadrul tuturor activităților și structurilor.
2.2. Derularea misiunii de audit: demers, obiective, deficiențe și recomandări privind frauda
Înainte de descrierea detaliată a procesului misiunii de audit, dorim să prezentăm câteva principii de bază cu privire la încadrarea evenimentelor de risc operațional din cadrul Băncii Transilvania.
În această instituție bancară, „clasificarea evenimentelor de risc operațional este realizată pe grupuri, categorii și subcategorii în concordanță cu clasificarea furnizată prin acordul Basel II și cu necesitățile specifice activităților derulate de bancă”, (Procedura de raportare evenimente de Risc Operațional, din cadrul Diviziei Managementul Riscului Operațional a Băncii Transilvania, 2013). În scopul evaluării nivelului de risc operațional la care se expune banca în activitatea curentă, un pas important este reprezentat de identificarea și încadrarea evenimentelor de risc operațional în categorii specifice care să permită stabilirea celor mai eficiente metode de identificare, monitorizare, control și diminuare a efectelor potențiale.
Arhitectura clasificării evenimentelor de natura riscului operațional în cadrul Băncii Transilvania îmbracă mai multe forme, după cum se poate observa în capitolul 1 al prezentei lucrări. Dintre toate categoriile amintite la punctul 1.4. Tipologia riscurilor bancare, ne oprim asupra primeia dintre ele, și anume cea referitoare la fraudă. Frauda este una dintre problemele cele mai dificil de soluționat de către instituțiile de credit românești. Frauda internă reflectă încălcarea cu intenție a regulilor și normelor în vigoare de către un angajat al băncii cu scopul de a obține beneficii nemeritate în mod direct sau indirect. Această nerespectare a procedurilor afectează reputația băncii și conduce la obținerea unor efecte nefavorabile asupra activelor fizice sau intelectuale ale instituției de credit. De cealaltă parte, frauda externă presupune pierderi datorate actelor unui anumit tip de atribuire greșită a proprietății sau circumstanțelor legale, de către o terță parte.
În continuare vom trece la derularea activității de audit intern – verificarea tranzacțiilor și evenimentelor din cadrul departamentului: Divizia Managementului Riscului Operațional la instituția de credit Banca Transilvania – Sucursala Șoseaua Chitilei, Nr. 90. Misiunea de audit este efectuată de către membrii echipei de audit trimiși special de către Centrala Băncii Transilvania din Cluj-Napoca.
Misiunea de audit debutează, așadar, cu întocmirea de către membrii echipei de audit intern din cadrul Centralei Băncii Transilvania, a următoarelor patru documente: planul de audit intern; ordinul de misiune; ordinul de serviciu și notificarea privind declanșarea misiunii de audit intern, pe care le găsiți atașate în Anexele 1, 2, 3 și respectiv 4. De aceea vom trece direct la procedura a cincea și anume la colectarea și prelucrarea informațiilor, etapa de unde începe practic auditarea. Colectarea și prelucrarea informațiilor se face de către auditori interni sosiți la fața locului și presupune studierea de către aceștia a documentației cerute anterior prin notificarea privind declanșarea misiunii de audit intern. Informațiile sunt colectate ordonat, iar auditorii au ales ca tehnică pentru obținerea lor – chestionarul de luare la cunoștință, pe care îl găsiți atașat în Anexa 5.
În urma auditării documentelor, membrii echipei de audit au întocmit o listă centralizatoare a obiectelor auditabile, care arăta în felul următor: (1) existența documentelor în baza cărora se realizează tranzacțiile și evenimentele de risc operațional (de casă, transfer a banilor, etc); (2) controlul în detaliu privind corectitudinea înregistrării operațiunilor; (3) măsurile necesare cunoașterii clientelei și prevenirea spălării banilor; (4) măsuri de securitate referitoare la buna desfășurare a activității instituției bancare.
Pentru fiecare activitate auditabilă, se identifică și se analizează riscurilor asociate fiecărei sarcini elementare. Așadar, pentru obiectul auditabil „existenta documentelor în baza cărora se realizează tranzacțiile și evenimentele de risc operațional” am identificat următoarele posibile riscuri: lipsă documentație sau documentație incompletă, lipsa permisiunii clientului, documente necorespunzătoare din punct de vedere legal, documente false în scopul fraudării instituției de credit. „Controlul în detaliu privind corectitudinea înregistrării operațiunilor”, este următorul obiect auditabil și prezintă următoarele riscuri: asumarea unui alt cont – cazul evaziunii, neînregistrarea intenționată a operațiunilor, înregistrarea în evidențele contabile ale instituției de credit de către angajatul băncii a unor operațiuni fără a avea la bază documente justificative sau fără a avea consimțământul clientului, furt, sabotarea deliberată a reputației băncii, fraudă electronică, delapidare, folosirea cu rea voință a informațiilor confidențiale, asociere pentru comiterea de fraude, falsificare de cecuri sau alte înscrisuri specifice, deschideri frauduloase de conturi, accesări neautorizate ale sistemelor. În ceea ce privește „măsurile necesare cunoașterii clientelei și prevenirea spălării banilor”, echipa de audit a identificat următoarele riscuri: inițierea și derularea de activități bancare neautorizate cu clienți, neidentificarea intenționată de operațiuni de spălare a banilor, inițierea și derularea de activități bancare fără documente contractuale, divulgarea informațiilor referitoare la operațiuni efectuate în numele clienților de către angajații băncii. Ultimul obiect auditabil, „măsuri de securitate referitoare la buna desfășurare a activității instituției bancare”, prezintă riscurile: furt de valori materiale și bănești din tezaur, transferuri bănești efectuate de către angajații băncii din conturile clienților în conturile personale, jaf/tâlhărie în interiorul instituției de credit sau la ATM-urile acesteia.
Membrii echipei de audit intern realizează următoarea clasare a operațiilor în funcție de gradul de risc: zona de risc atribuită este considerată ca fiind MARE pentru primele două obiecte auditabile și MEDIE pentru ultimele două.
Procesul de audit continuă cu elaborarea programului misiunii de audit. Această etapă reprezintă o documentație utilă pentru viitoarele misiuni de audit intern și include o multitudine de componente care sunt prezentate detaliat în cadrul Anexei 6.
Partea efectivă de realizare a auditului, începe cu o ședință de deschidere, organizată la locul de desfășurare a misiunii de audit intern, adică la Banca Transilvania – Sucursala Șoseaua Chitilei, Nr. 90. Șeful misiunii de audit dl. Mandea Florin redactează „minuta ședinței de deschidere”, care cuprinde pe de o parte, o listă a participanților cu numele, funcția, datele de contact, unitatea/departamentul pe care-l reprezintă și semnătura lor, iar pe de altă parte minuta conține și o stenogramă a ședinței. Stenograma ședinței reprezintă un raport mai succint care descrie cu exactitate ce s-a discutat în cadrul ședinței de deschidere: prezentarea echipei de auditori care vor efectua misiunea de audit intern; prezentarea obiectivelor generale de audit intern; prezentarea programului intervenției la fața locului, adică modul de abordare pe teren a obiectivelor auditabile care vor fi testate, după analiza de risc efectuată; stabilirea persoaneleor pe care auditorii interni le pot contacta în vederea colectării informațiilor, efectuării de teste și asupra modului de obținere a interviurilor – s-a stabilit și programul întâlnirilor, respectiv timpul necesar pentru realizarea acestor proceduri; convenirea asupra unor aspecte procedurale; stabilirea condițiilor minime pe care auditatul trebuie să le asigure în vederea desfășurării misiunii de audit; stabilirea ședinței de închidere și a modalității de redactare a raportului de audit intern.
Colectarea probelor de audit este de departe considerată cea mai importantă procedura din cadrul misiunii, deoarece permite membrilor echipei de audit să întocmească, pentru fiecare obiect auditabil amintit mai sus, câte o Fisă de Identificare și Analiză a Problemelor (FIAP):
FIȘA DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI NR. 1
FIȘA DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI NR. 2
FIȘA DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI NR. 3
FIȘA DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI NR. 4
Revizuirea documentelor de lucru se face de către auditorii interni și presupune o verificare din punct de vedere al conținutului și formei a documentației, asigurându-se că probele de audit cuprinse în dosarul misiunii de audit intern asigură formarea opiniei. Auditorii efectuează modificările necesare și întocmesc nota centralizatoare a documentelor de lucru, pe care o găsiți în Anexa 7.
După redactarea notei centralizatoare a documentelor de lucru, membrii echipei de audit trec la elaborarea proiectului raportului de audit intern, pe care-l transmit ulterior structurii auditate.
Întrucât conducerea Sucursalei Băncii Transilvania din Șoseaua Chitilei, Nr. 90 a acceptat integral constatările și recomandările formulate de echipa de auditori interni, reuniunea de conciliere nu se va mai organiza.
Continuând firul logic al evenimentelor derulate în cadrul misiunii de audit intern, urmează monitorizarea misiunii de către Popescu Anamaria – șefa Departamentului de Audit Intern, care decide ce măsuri sunt necesare pentru a fi atinse obiectivele fixate și face verificări riguroase referitoare la executarea programului de audit și implicit a raportului de audit.
Ulterior au loc: difuzarea raportului de audit structurii auditate în vederea implementării recomandărilor și monitorizarea implementării acestor recomandări în vederea stabilirii caracterului adecvat, a eficacității și oportunității acțiunilor întreprinse de către conducerea structurii auditate pe baza recomandărilor cuprinse în raportul de audit intern.
La finalul misiunii se întocmește și „minuta ședinței de închidere” care cuprinde o listă a participanților cu numele, funcția, datele de contact, unitatea/departamentul pe care-l reprezintă și semnătura lor și câteva concluzii sugestive, referitoare la: obiectivul auditat și constatările pentru fiecare obiect auditat, cauzele care au condus la realizarea disfuncționalităților, eventualele consecințe și formularea de recomandări pentru eliminarea acestora. În cadrul ședinței de închidere structura auditată a fost întrutotul de acord cu constatările și recomandările formulate de către echipa de auditori, așadar proiectul raportului de audit intern devine raport de audit intern final, care va fi pregătit pentru aprobare și difuzare structurii Băncii Transilvania. Raportul de audit intern va fi însoțit de un scurt rezumat alcătuit din principalele constatări și recomandări formulate de echipa de auditori interni și concluziile generale pentru Banca Transilvania.
2.3. Comunicarea informațiilor misiunii de audit și procesul decizional
Rezultatele misiunii de audit sunt comunicate de către echipa de auditori interni, structurii auditate prin intermediul raportului de audit intern. Așadar, în cele ce urmează vom trece în revistă principalele componente ale produsului final al întregului proces de audit.
Orice raport de audit intern debutează cu partea de introducere, care conține în prima fază informații referitoare la următoarele aspecte: denumirea structurii auditate – în cazul de față este vorba despre Banca Transilvania SA, Sucursala Șoseaua Chitilei, Nr. 90, departamentul Divizia Managementului Riscului Operațional; durata acțiunii de auditare – 15.04.2014 – 22.04.2014; perioada supusă auditării – 01.01.2014 – 31.03.2014. Totodată, la începutul redactării raportului este specificat și faptul că ordinul de efectuare a misiunii de audit – auditarea activităților cuprinse în Planul de audit intern pe anul 2014, s-a făcut în baza Ordinului de serviciu nr. 027 / 15-04-2014 și că auditorii interni au avut ca bază legală a acțiunii de auditare reglementările: Ordonanța de Urgență a Guvernului nr. 99/2006 privind instituțiile de credit și adecvarea capitalului; Regulamentul de organizare și funcționare a departamentului: Divizia Managementului Riscului Operațional; Procedura de raportare evenimente de Risc Operațional; Norma de Administrare a Riscului Operațional; Planul de audit intern pentru anul 2014, aprobat de către conducerea entității și Dispoziția prin care se aprobă Normele proprii de exercitare a auditului intern în cadrul entității.
De asemenea, pe lângă aspectele generale prezentate mai sus, în această parte a raportului de audit intern sunt trecute și elemente specifice ale întregului proces, după cum puteți observa în rândurile care urmează.
Este precizat scopul acțiunii de auditare, care constă în verificarea procedurilor și metodelor organizaționale în vederea determinării eficienței și oportunității acestora, iar obiectivul acțiunii de audit intern presupune verificarea tranzacțiilor și evenimentelor din cadrul departamentului: Divizia Managementului Riscului Operațional.
În ceea ce privește tipul de auditare, amintim faptul că, s-a efectuat un audit operațional, iar metodele și tehnicile utilizate de către membrii echipei de audit sunt:
a) verificarea în vederea asigurării validării, realității și acurateței tranzacțiilor și evenimentelor în aplicațiile informatice ale societății bancare cât și în evidențele departamentului; în acest caz tehnicile de verificare utilizate sunt:
Comparația: pentru sumele asimilate și sumele plătite de către clienții băncii;
Examinarea: pentru detectarea erorilor în completarea documentelor;
Garantarea: pentru verificarea tranzacțiilor înregistrate în evidențele departamentului de casă și tezaur cu documente justificative;
b) eșationarea bazată pe raționament profesional pentru analiza întocmirii documentelor;
c) observarea fizică în vederea formării unei păreri proprii privind modul de întocmire și emitere a documentelor.
Totodată, în partea introductivă sunt amintite și documentele care au stat la baza auditului, și anume: Cadrul legal și de reglementare aplicabil operațiunilor de risc operațional; Procesele verbale ale ședințelor Consiliului de Administrație; Regulamentul de organizare și funcționare a departamentului: Divizia Managementului Riscului Operațional; Procedura de raportare evenimente de Risc Operațional; Procedura: Plan cadru alternativ și de continuitate al activităților bancare externalizate în cazul situațiilor neprevăzute; Norma de Administrare a Riscului Operațional; Norma cadru de tratare a erorilor și excepțiilor în procesele opraționale; Lista specimenelor de semnături; Extrase de cont bancare, Ordine de plată; Registrul de casă; Situații financiare anuale; Rapoartele anterioare de audit intern; Regulamentul BNR 9/2008; Regulamentul CIP nr. 1/2001 a Centralei Incidentelor de plăți; Formulare Western Union.
În plus, sunt specificate și materialele întocmite pe timpul auditării: liste de verificare pe obiective; fișe de identificare și analiză a problemelor constatate (FIAP); lista centralizatoare a obiectivelor auditabile; teste de verificare și foi de lucru; programul de audit, programul intervenției la fața locului; minutele ședințelor de deschidere și respectiv închidere.
Urmează partea a doua, care cuprinde constatările și recomandările oferite de către membrii echipei, structurii auditate în vederea remedierii problemelor existente. Potrivit misiunii de audit în cadrul Bancii Transilvania SA, Sucursala Șoseaua Chitilei, Nr. 90 – departamentul Divizia Managementului Riscului Operațional gestionează și controlează aplicarea procedurilor și normelor BNR privind expunerea instituției de credit la riscul operațional, pentru cazul specific al riscului de fraudă, cu recomandarea diminuării și chiar eliminării acestuia. În urma efectuării misiunii de audit s-au constat abateri semnificative referitoare la: existența documentelor în baza cărora se realizează tranzacțiile și evenimentele de risc operațional; controlul în detaliu privind corectitudinea înregistrării operațiunilor; măsurile necesare cunoașterii clientelei și prevenirea spălării banilor și măsurile de securitate referitoare la buna desfășurare a activității instituției. Din analiza auditorii interni au constatat că: s-au efectuat frecvent transferuri dubioase de bani din conturile clienților băncii; s-au întocmit documente false în scopul fraudării instituției; există numeroase formulare pentru retragerile de numerar, care conțin ștersături sau corecturi; există formulare completate cu informații false; nu se asigura aplicarea prevederilor din actele normative și normele de lucru cu privire la cunoașterea clientelei; s-au înregistrat numeroase tranzacții care sunt suspecte de spălare de bani; sabotarea de către angajați a instituției de credit prin sustragerea unei baze de date cu informații confidențiale despre clienții importanți ai băncii. Din eșantionul stabilit pentru testare s-a constatat că în marea majoritate a cazurilor precizate mai sus au fost implicați angajații instituției.
În vederea corectării sau chiar eliminării acestor erori, echipa de audit a făcut următoarele recomandări structurii auditate: îmbunătățirea sistemului de control intern în cadrul departamentului – Divizia Managementului Riscului Operațional; criterii riguroase de monitorizare a angajaților băncii; verificarea strictă și permanentă a operațiunilor efectuate de către operatori; parcurgerea atentă a documentației de către operatori efectuându-se controlul faptic al acestora¸ iar pentru întâmpinarea oricăror abateri de la normele reglementate să fie refuzată orice operațiune bancară; aplicarea unor tehnici de prevenire a spălării banilor și de recunoaștere a tranzacțiilor suspecte; instruirea operatorilor cu privire la identificarea imediată a cazurilor suspecte de spălare a banilor; implementarea unui sistem de securitate eficient, care să necesite pentru accesarea informațiilor confidențiale aprobarea conducerii entității. În plus, se recomandă conducerii băncii auditate acționarea în judecată atât a clienților care au fraudat instituția, cât și a operatorilor de la ghișeu responsabili, în scopul recuperării prejudiciilor produse.
Ultima parte a raportului de audit intern este cea destinată concluziilor. Pe baza analizelor și evaluării efectuate auditorii interni apreciază sistemul de control intern atașat tranzacțiilor și evenimentelor din cadrul departamentului: Divizia Managementului Riscului Operațional ca fiind CRITIC. Echipa de audit precizează faptul că toate constatările prezentate au la baza probe de audit obținute prin teste efectuate și consemnate în documente de lucru întocmite de către auditor și însușite de către factorii de management ai entității. Aceste evaluări au la baza discuțiile care au loc cu privire la recomandările auditorului în ședință, ca fiind realiste și fezabile, materializate în minuta ședinței de închidere. În urma ședinței de închidere instituția de credit nu a formulat obiecții, neregularitățiile constatate fiind însușite în totalitate urmând a se implementa un control mai minuțios. Proiectul Raportului de Audit Intern a fost transmis și conducerii entității auditate pentru posibilitatea de analiză a conținutului acestuia și formarea unei opinii personale. După încheierea misiunii de asigurare pe obiectivele stabilite au fost restituite toate actele și documentele puse la dispoziție în vederea fundamentării constatărilor. Raportul de Audit a fost întocmit într-un exemplar înregistrat la Centrala Băncii Transilvania cu nr. 027 / 22-04-2014.
2.4. Auditul intern versus auditul financiar versus managementul riscurilor pe fraudă
În opinia noastră și a mai multor cercetători in domeniu, frauda reprezintă o acțiune cu caracter intenționat, întreprinsă de una sau mai multe persoane, care implică utilizarea înșelăciunii în scopul obținerii unui avantaj injust sau illegal. Deși frauda este un concept juridic vast, auditorul este preocupat de acțiunile frauduloase care cauzează o denaturare semnificativă în cadrul departamentului vizat. Este posibil ca denaturarea să nu fie obiectul unor fraude. Auditorii nu stabilesc din punct de vedere legal dacă frauda a apărut sau nu. Frauda care implică unul sau mai mulți membri din conducere sau din structura însărcinată cu guvernanța este denumită "fraudă managerială"; frauda care implică numai angajații unei entități este denumită "fraudă cu asocierea angajaților". În oricare din cele două cazuri, pot exista asocieri cu terțe părți din afara entității în vederea săvârșirii fraudelor.
Fraudele se referă așadar, la nereguli și acte ilegale caracterizate prin inducerea intenționată în eroare. Fraudele comise de angajați, deoarece acestea ne interesează în mod deosebit, includ fără a fi limitative, aspecte de natura celor menționate mai jos: întocmirea de documente frauduloase; utilizarea neautorizată a activelor; vânzarea neautorizată a activelor; stabilirea unor prețuri neautorizate; sustrageri de stocuri sau de numerar; declararea unor ore suplimentare nejustificate; înregistrarea unor cheltuieli care nu se asociază operațiunilor instituției de credit.
Detectarea fraudelor constă în identificarea indiciilor de fraudă suficiente pentru a justifica recomandarea unei investigații. Aceste indicii pot proveni din controalele stabilite de conducere, din testele efectuate de auditori și din alte surse interne sau externe.
Un pas premergător detectării fraudelor îl constituie semnalele de alarmă. În categoria semnalelor de alarmă pot fi incluse următoarele: erori frecvente; lipsa de documentație; forme neobișnuite de documentare; diferențe în ceea ce privesc rezultatele; reacții negative la întrebările auditorului; aceleași semnături pe scrisorile de aprobare; refuzul de a furniza documente și informații; încercarea de a influența procedurile de audit; aceleași adrese ale unor clienți și furnizori diferiți; încercarea de a limita accesul la angajați și la documentație.
Conform normelor profesionale de audit, „auditorii interni trebuie să dețină cunoștințe suficiente pentru a identifica indiciile referitoare la o posibilă fraudă, să fie vigilenți în cazul în care o situație implică un risc de fraudă, să aprecieze necesitatea de a recurge la cercetări suplimentare și să informeze autoritățile competente”.
Auditorii interni nu sunt obligați să dețină cunoștințe echivalente celor pe care le posedă un specialist în detectarea și investigarea fraudelor. De asemenea, doar procedurile de audit, chiar dacă sunt aplicate cu conștiinciozitatea profesională necesară, nu pot garanta identificarea fraudelor.
Rolul auditului intern constă de obicei în examinarea și evaluarea, în mod independent, a activităților entității sub forma unui serviciu prestat entității. În ceea ce privește detectarea fraudei, obiectivul auditului intern este acela de a ajuta membrii entității să-și îndeplinească funcțiile în mod eficient furnizându-le analize, evaluări, recomandări, sfaturi și informații cu privire la activitățile examinate. Unul din obiectivele misiunii este acela de a promova un control eficient efectuat la un cost rezonabil.
De cealaltă parte, pentru aprecierea controlului intern, auditorii externi pot evalua și activitatea departamentului de audit intern al băncii, verificând atât documentele acestui department, cât și metodologia de identificare, monitorizare și control al riscurilor. Pentru detectarea fraudei, obiectivul auditului extern este acela de a proiecta și implementa unele proceduri de audit care să permită reducerea riscului de frauda la un nivel acceptabil.
Un sistem de control intern bine conceput permite diminuarea riscului de fraudă. Testele efectuate de auditori, asociate cu controalele rezonabile aplicate de conducere, îmbunătățesc șansele de detectare a oricărui indiciu de fraudă și, după caz, de aprofundare a investigațiilor .
În cadrul angajamentelor de audit, responsabilitățile de audit intern constau în: acumularea de cunoștințe și atingerea unui nivel de percepție suficient identificării indiciilor de fraudă; acordarea unei atenții deosebite deficiențelor controalelor ce ar putea permite apariția unor fraude; evaluarea indiciilor de fraudă și stabilirea măsurilor necesare, inclusiv necesitatea efectuării unor investigații; notificarea autorităților relevante din cadrul organizației cu privire la indicii de fraudă identificați.
Auditorii interni implicați în investigarea unor fraude, vor întreprinde unele demersuri specifice acțiunii respective, printre care: evaluarea nivelului probabil și extinderea complicității în ceea ce privește frauda la nivelul organizației; determinarea competențelor necesare efectuării investigațiilor; conceperea unor proceduri de identificare a persoanelor implicate, de evaluare a gradului de extindere a fraudei, a tehnicilor utilizate și a cauzelor ce au condus la producerea evenimentului; coordonarea activităților împreună cu membrii conducerii, consilierii juridici și alți specialiști; verificarea drepturilor persoanelor suspectate de fraudă.
Orice incident semnificativ din perspectiva unei posibile fraude va fi raportat, de către coordonatorul activității de audit intern, Consiliului de Administrație.
Există de asemenea o legătură strânsă între eficiența managementului riscurilor adoptat de o entitate și nivelul de risc respectiv, de asigurare, evaluate de auditorul financiar. În acest sens, un
management al riscurilor care este dovedit a fi eficient determină auditorul extern să stabilească un nivel mai scăzut al riscului general de audit.
Dacă auditorul intern sau cel extern descoperă iregularități, acesta trebuie să avertizeze autoritățile competente din cadrul entității. Ca atare, auditorii pot să sugereze investigațiile și controalele pe care le consideră necesare în astfel de împrejurări, și să efectueze o monitorizare corespunzătoare a dosarului cu scopul de a se asigura că responsabilitățile au fost îndeplinite.
Investigarea fraudei constă în efectuarea unor cercetări detaliate pentru a stabili dacă s-a comis într-adevăr o fraudă. Acestea constau în a strânge detalii precise și informații suficiente referitoare la fraudă. Auditorii interni, juriștii, personalul de securitate și orice alt specialist intern sau extern sunt cei solicitați de obicei pentru a efectua investigații sau pentru a participa la acestea.
Comunicarea către conducere a rezultatelor în ceea ce privește frauda poate fi orală sau scrisă, intermediară sau finală. Această informare se va referi la stadiul cercetărilor și la rezultatele acestora.
Responsabilul auditului intern sau extern trebuie să comunice imediat conducerii generale sau Consiliului orice caz de fraudă semnificativă. În prealabil, investigații suficiente trebuie să fi permis stabilirea, cu o certitudine rezonabilă, că s-a produs o fraudă. După detectarea fraudei se recomandă întocmirea unui raport intermediar sau final. În acest raport, auditorii trebuie să menționeze dacă dispun de suficiente informații pentru a desfășura o investigație mai aprofundată și mai completă și să specifice observațiile și recomandările care susțin această decizie. Un raport scris cuprinzând constatările făcute poate să fie efectuat după orice comunicare orală către conducerea generală sau Consiliu.
2.5. Studiu comparativ între cazurile de fraudă din România și cazurile de fraudă la nivel internațional în sistemul bancar
Această cercetare reflectă o paralelă între cazurile de fraudă întâlnite în țara noastră și cazurile de fraudă întâlnite în cadrul unor instituții bancare din străinătate. Pentru România vom efectua studiul asupra băncilor: Banca Transilvania, Banca ING, Banca Comercială Română și Banca Română pentru Dezvoltare, iar la nivel internațional asupra băncilor: Barclays PLC Bank, AIB Bank, Bank of Montreal, și Bank of America.
În realizarea studiului, pentru prezentarea evenimentelor frauduloase întâlnite în cele opt bănci, am utilizat informații preluate din diverse articole de presă, articole din bazele de date internaționale – Science Direct, JStore, ProQuest, forumuri, reviste de specialitate cum ar fi spre exemplu Revista Capital și Revista Audit Financiar. De asemenea, am preluat informații relevante din Revista Sky News, site-ul HotNews.ro, dar și site-urile băncilor implicate în studiu.
I. Cazuri de fraudă în România și la nivel internațional
În urma cercetării noastre asupra evenimentelor de fraudă anunțate în sursele documentare afișate mai sus am constatat că mulți autori apreciază că frauda este una dintre problemele cele mai greu de soluționat la ora actuală. Partea bună este că, odată cu criza, instituțiile de credit și-au gestionat mult mai bine finanțele, iar furturile au scăzut ca număr. Partea mai puțin fericită e că infractorii s-au rafinat, iar fraudele sunt acum mai greu de descoperit. Nicio entitate nu e scutită de riscul de a fi furată de proprii săi angajați. Totuși, remarcăm faptul că organizațiile din domeniul bancar sunt cele mai expuse riscului de fraudă. Aici, atât frecvența cazurilor, cât și sumele aflate la mijloc sunt, adesea, mult mai mari decât în restul domeniilor.
Pentru băncile din România am identificat următoarele situații de fraudă apărute în ultimii ani:
Un prim exemplu de „Cum să-ți furi firma simplu și eficient” este legat de o fraudă estimată la câteva milioane de euro, care se referă la acordarea de credite unor firme în baza diverselor falsuri în acte – de la denaturarea indicilor financiari la declararea unor bunuri inexistente. E vorba de o muncă în echipă, funcționarii bancari colaborând cu debitorii, situație întâlnită și în alte cazuri precum este cel în care ofițerii își opresc un comision de circa 10% din suma împrumutată. Ulterior, așa cum s-a convenit de la bun început, debitorul achită ratele timp de trei-patru luni, dupa care dispare;
Alt exemplu destul de frecvent întâlnit în băncile din sistemul bancar românesc este următorul: “angajații identifică conturile inactive, în care proprietarul nu a mai efectuat operațiuni de câteva luni, și, în ideea că este puțin probabil că acesta să-și utilizeze contul în viitorul apropiat, își transferă sume mici din mai multe asemenea conturi în propriul cont, stabilesc o dobândă aferentă depozitului astfel creat, apoi returnează banii și încasează dobânzile“;
Un alt caz de fraudă este acela în care angajații, pur și simplu, golesc conturile deponenților sau colaborează cu terții, în ideea că aceștia vor fi găsiți vinovați. „Unul dintre cazurile importante este cel în care 13 funcționari, printre care și unul cu funcție de conducere, au făcut operațiuni bancare neautorizate în conturile unei persoane fizice timp de doi ani. Era vorba de un cetățean străin, un investitor în imobiliare care administra 49 de firme. Toate astea au fost posibile pentru că societățile aveau același expert contabil, cu drept de semnătură. Prejudiciul final a fost de jumătate de milion de euro, care trebuie achitat de bancă“;
Atacurile de tip inginerie socială în bănci, în care ținta sunt oamenii de la ghișeu este un alt exemplu de fraudă bancară. Scopul este obținerea informațiilor care să le permită atacatorilor să fraudeze serviciile de transfer rapid de bani precum: Money Gram, Western Union, etc. Angajații băncii sunt contactati telefonic de catre atacatori, care se recomandă ca persoane marcante din cadrul băncii și cer acestora informații sensibile despre operațiunile de transfer a banilor. În cazul unor astfel de atacuri angajaților li se cere sa intre pe o adresa web și să-și schimbe parole de pe computerul de la locul de muncă sau li se cere sa acceseze un link și să descarce un update de acolo. Aplicația descarcată este de fapt un applet Java malitios. În cazul altor atacuri de inginerie socială angajaților li se cere să efectueze operațiuni de testare a sistemelor de transfer rapid a banilor (Money Gram, Western Union, etc.), care fiind efectuate de angajat, prin utilizarea unor acte false, se retrag mijloace financiare în timp record.
Pentru prezentarea cazurilor de fraudă din afară am ales să încep cu un caz mai recent apărut în presa în luna februarie a acestui an la banca Barclays PLC din Marea Britanie. Din articlolul prezentat în Revista Sky News reiese faptul că acest eveniment a fost descoperit în septembrie 2013 și s-a efectuat de către o întreagă echipă de infractori, aceștia având ca și complice un angajat al băncii. Frauda, este în valoare totală de 1,25 milioane de £ și constă în: montarea de către omul din interior, a unui dispozitiv prin internediul căruia se pot urmări și efectua de la distanță tranzacții din conturile clienților. Așadar, acest dispozitiv ajută, infractorii să controleze, printr-o conexiune la internet, calculatorul din interiorul băncii, astfel ei putând efectua operațiuni bancare frauduloase. Suspecții efectuau tranzacții până în 10.000 £, deoarece acestea se procesează instant, nefiind necesare eventuale aprobări. Deși persoanele implicate nu și-au recunoscut faptele, la domiciliile lor s-au găsit numeroase dovezi incriminatorii. Prin urmare, aceștia sunt cercetați penal pentru faptele săvârșite. AIB Bank, Bank of Montreal, și Bank of America s-au confruntat recent cu o situație asemănătoare legată de existența unor bilete la ordin cu date fictive. În acest caz infractorii identifică bănci din diverse state și utilizează instrumente financiare de plată precum bilete la ordin (promissory note) în care consemnează date fictive, nereale și le depun spre decontare, urmărind încasarea în mod fraudulos a unor sume de bani. Pentru a îngreuna verificările de conformitate, infractorii utilizează date aparținând unor societăți comerciale și financiare din diverse state.
Valabile pentru sistemul bancar internațional sunt următoarele “modalități și practici folosite de infractori pentru punerea în aplicare a schemelor de derulare a fraudelor bancare” Bi Mol Consulting. Infractorii inventează instrumente cu caracteristici similare instrumentelor specifice bancare, dar care sunt camuflate de o complexitate deosebită. Aceste instrumente, în copie sau original, par autentice și vor fi ferm susținute de avocați abili, autentificări notariale etc. Vocabularul utilizat de acesti „clienți” va face apel la practica internatională, cum ar fi: „window time”, „international banking hours”, „ready willing and able”, „key tested telex”, pentru a obține efectuarea tranzacției cu maximum de urgență. Acești „clienți” vor contacta banca/firma fie la sfarșitul programului, fie la sfarșitul saptamânii sau înaintea unor sărbători legale, oferind băncii/firmei tranzacții „trasnet”, aducătoare de profituri substanțiale, cu condiția să fie finalizate urgent. Cea mai avizată este piața bancară neexperimentată din estul Europei. Aici, escrocii folosesc nume de companii la care se adaugă terminologii ca: „Nationwide, Universal, Guardian, Agricultural, Investment, Iternational, Worldwide, Royal, Security, Capital”, majoritatea afirmând ca reprezintă Natiunile Unite sau alte organisme vag recunoscute. Deseori, infractorii își susțin propunerile mincinoase cu documente, contracte, procuri autentificate, care le conferă pe deplin dreptul de a se implica în afacere sau care autentifică garantare trazacției de către o bancă de prim rang. În ultimii ani, așa-zisele „instrumente emise de bănci de prim rang”, dovedite a fi false, au creat mari prejudicii în tranzacțiile efectuate pe piețele de capital. Brokeri corupți lucrând mâna la mâna cu avocați și contabili corupți actionează, profitând de naivitatea sau coruperea unor bănci din Estul Europei, din țările fostei Uniuni Sovietice, China și Africa, semnează sau emit instrumente ce pot fi considerate drept autentice „Prime Bank Instruments”.
II. Atacuri de tip phishing
Phishing-ul este o metodă de amenințare informatică extrem de utilizată atât în sistemul bancar românesc, cât și în cel internațional. Este o metodă de furt de identitate prin intermediul căreia se încearcă obținerea, de la clienții unei organizații – indiferent de aria sa de activitate – a unor date personale sau confidențiale. Aceste informații sunt folosite ulterior în mod ilegal de către răufăcători, pentru a efectua tranzacții în contul clientului respectiv. Pentru aflarea lor, atacurile de phishing se folosesc de un canal electronic de comunicație (e-mail sau telefon) sau de un program rău intenționat, care exploatează vulnerabilitățile sistemului pentru a fura date.
În România, potrivit declarației d-lui Alin Damian, Online Threats Researcher în cadrul Bitdefender, în ultima perioadă atacurile în materie de phishing-uri care vizează site-urile băncilor românești au revenit în actualitate și țintesc clientii Bancii Transilvania, ING, BCR și BRD. Din cauză că utilizatorii nu verifică întotdeauna pagina unde își introduc ID-ul de logare, parola sau tokenul, iar paginile arată exact ca cele legitime ale băncii și sunt în limba română, mulți dintre clienții băncilor cad în capcană.
Pentru a vă face o idee mai clară asupra modului în care procedează infractorii în cazul acestor atacuri, trecem în revistă un caz făcut public în luna iunie a anului 2012 în cadrul Bancii Transilvania. Conform articolului de pe site-ul HotNews.ro, unii clienți ai băncii au fost ținta unui atac de tip phishing prin intermediul e-mailului. Clienții au primit câte două mesaje venite la interval de câteva minute și încadrate automat la „spam”, care cuprindeau informațiile cuprinse în imaginea de mai jos:
Sursa: Site-ul HotNews.ro
Pentru credibilitatea informațiilor din e-mail, expeditorul este „[anonimizat]”, iar „pagina securizată” spre care sunt direcționați clienții este aproape similară cu cea originală de internet banking a Băncii Transilvania. Ceea ce diferă, însă este "URL-ul" (adresa paginii) și faptul că în mesajul afișat există greșeli gramaticale precum "detaiile dvs.”, lucru care este foarte suspect întrucât nu este posibil să apară astfel de erori pe site-ul unei bănci așa de recunoscute ca și Banca Transilvania.
Un alt lucru care iese în evidentă este faptul că „Pagina securizată” este evident una falsă și ajută infractorii să obțină în mod fraudulos datele bancare ale clienților. Însă ceea ce trebuie remarcat este că aceasta pagină seamănă extrem de mult cu pagina originală, după cum putem observa în imaginile afișate în continuare:
Pagina Falsă
Sursa: Site-ul HotNews.ro
Pagina Originală
Sursa: Site-ul BancaTransilvania.ro
În urma publicării acestei știri oficialii Băncii Transilvania au explicat faptul că sunt la curent cu aceste atacuri de phishing, iar o echipă specializată se ocupă de gestionarea lor. Aceștia au mai precizat că în astfel de situații, echipa BT contactează proprietarii site-urilor compromise care găzduiesc conținut de phishing, în vederea închiderii acestora și colaborează îndeaproape cu firme specializate în combaterea atacurilor de acest gen.
Precizăm faptul că, și în cazul băncilor ING, BCR și BRD atacurile de tip phishing prin intermediul e-mailului se prezintă exact așa cum le-am întalnit în cazul Băncii Transilvania.
La nivel internațional, în cazul Băncii Barclays PLC, este întâlnită o situație asemănătoare cu cea prezentată pentru băncile românești, după cum reiese din imaginea afișată mai jos:
Sursa: Site-ul Banksafeonline.org.uk
Și în acest caz clienții Băncii Barclys PLC primesc e-mailuri de genul celui afișat mai sus, fiind astfel ținta unor atacuri de tip phishing. Ținta unor atacuri de phising au fost și clienții băncilor AIB Bank, Bank of Montreal, și Bank of America. Aceștia au primit e-mailuri prin care li s-a solicitat actualizarea datelor prin accesarea unui link către un site fals al băncilor. În e-mailul respectiv, clienților li se cerea confirmarea detaliilor de accesare a conturilor bancare online, fiind avertizați de închiderea definitivă a acestora, dacă datele nu erau furnizate. Prin obținerea unor astfel de date, atacatorii pot controla conturile online ale clienților, putând efectua tranzacții bancare în numele acestora. Băncile pot proteja datele utilizatorilor de astfel de încercari de phishing, numai în măsura în care datele personale nu sunt furnizate direct atacatorilor de către clienți.
+ ROLUL AUDITORILOR
În plus, ceea ce am dorit să mai scoatem în evidență prin această comparație între băncile din România și băncile din străinătate, este ca în țara noastră marea majoritate a băncilor (nu numai BT) încearcă să-și acopere angajații care i-au fraudat, pentru simplul fapt că doresc să-și protejeze imaginea, pe când în Marea Britanie chiar bancă a fost cea care a anunțat autoritățile de producerea evenimentelor frauduloase. În România instituțiile de credit preferă să își rezolve problemele în interior, pentru că lucrează cu capital atras, cu banii oamenilor, iar mediatizarea unei asemenea fraude ar reprezenta pentru ele o lovitură de imagine extraordinară. De cealaltă parte, băncile fac publice toate problemele. Cu toate că pentru înșelăciune, delapidare sau furt sancțiunile presupun pedeapsa cu închisoarea, la noi în țara nimeni nu ajunge acolo, în majoritatea covârșitoare a cazurilor infractorii scăpând cu suspendare. În plus, nici magistrații nu iau foarte în serios acest tip de dosare, adesea soluționându-le prin sancționarea vinovatului cu un avertisment“. În Marea Britanie în schimb, suspecții au fost acționați în instanță și pedepsiți aspru pentru faptele comise.
Referitor la atacurile de tip phishing, per ansamblu, se remarcă o ușoară creștere a acestor atacuri, în ultimul timp, atât în țara noastră cât și în afară. Clienții sunt acum mult mai informați și, în cea mai mare parte, nu dau curs unor astfel de emailuri, știind că banca nu trimite asemenea solicitări. Mai mult decât atât, sunt cazuri în care persoanele care primesc astfel de emailuri chiar sesizează banca.
2.6. Concluzii și propuneri
În ceea ce privesc cazurile de fraudă cu asocierea angajaților, din cadrul instituțiilor de credit, de cele mai mute ori „managementul își face un calcul, cât de mare e paguba față de cât de îndelungată și costisitoare va fi trimiterea cazului în instanță. Adesea, se decide că a doua variantă nu rentează, așa că vinovații scapă doar cu concedierea, fără obligativitatea de a returna prejudiciul. Ba chiar sunt cazuri în care patronul i-a și dat bani angajatului în culpă ca să nu spună în afara firmei ce s-a întâmplat“. Chiar dacă executivii companiei fac apel la instituțiile statului, vinovații nu au prea mult de suferit.
De aceea companiile trebuie să se concentreze asupra prevenirii infracțiunilor, nu asupra investigării, când probabil e deja prea târziu. Iar prevenire înseamnă implementarea de sisteme antifraudă, parolarea pe niveluri ierarhice a sistemelor informatice, introducerea conceptului de informații clasificate și secrete de serviciu, securizarea accesului în anumite încăperi. Și totuși, când vine vorba de prevenire, nimic nu e mai eficient decât pârâtul. Fructificarea acestei metode este extrem de simplă: e de ajuns ca managementul să pună la îndemâna angajaților un număr de telefon și o adresă de e-mail, unde aceștia să poată raporta orice activități suspecte ale colegilor lor, sub protecția anonimatului. După cum spune Paula Lavric, însă, „există și reversul: suntem un popor de reclamagii, iar plângerile înaintate de angajați la adresa colegilor se pot adesea dovedi neîntemeiate. Totuși, aceasta rămâne cea mai eficientă cale de depistare a fraudelor“.
Concluzii finale
Auditul intern, contribuie la managementul riscurilor într-o varietate de moduri, importanta să crescând din ce în ce mai mult în contextul crizei financiare actuale. Pentru auditorul financiar noțiunea de risc are o altă accepțiune, în sensul că riscurile sunt văzute prin prisma misiunii și obiectivelor de audit. Însă, identificarea și cuantificarea riscurilor în cadrul planificării misiunii se afla în corelație cu managementul riscurilor existent în cadrul entității. Astfel, dacă entitatea auditată are implementat un management al riscurilor dovedit a fi eficient, acesta reprezintă un reper pentru auditor în evaluarea riscurilor legate de misiune, în sensul că riscul general de audit va fi mai scăzut și astfel nivelul de asigurare oferit de auditor va fi unul ridicat. Managementul riscului reprezintă astfel, arta de a lua decizii într-o lume guvernată de incertitudine.
Auditarea are ca scop informarea staff-ului clientului beneficiar al procesului de audit despre recomandările auditorului privind îmbunătățirea diferitelor aspecte ale activității clientului.
Auditul nu trebuie interpretat ca o critică a activității desfășurate, ci ca un suport, un ajutor calificat venit din partea unei entități independente, pentru perfecționarea continuă a activității clientului, a competivității și performanțelor sale. Auditul în general este de natură a adăuga valoare firmei auditate și creșterea credibilității în mediul de afaceri în care operează.
Auditul intern face schimbarea mai puțin riscantă și chiar o favorizează. Valoarea auditorului intern este dată de capacitatea lui de a face să progreseze controlul intern al entității. Auditorul intern este deci creator de valoare prin intermediul economiilor pe care le generează, al oportunităților pe care le creează și al pierderilor evitate ca urmare a activității sale.
Fiecare conducător al instituțiilor publice trebuie să conștientizeze care este menirea reală a activității de audit (și anume consilierea managementului) și în acest fel la nivel național să se acorde locul și rolul de care trebuie să se bucure activitatea de audit public intern.
Dezvoltarea largă a activității de audit intern a determinat, la fel ca și în cazul auditului extern, apariția de organizații care-i grupează pe auditorii interni din diferite țări. Acestea au dat primele definiții ale auditului intern, sintetizând totodată și funcțiile acestuia. Dintre acestea putem enumera: identificarea și aprecierea riscurilor specifice controlului intern; revizia și îmbunătățirea procedurilor de control și evaluarea performanțelor firmei.
Atingerea obiectivelor auditului intern presupune existența unui referențial care poate fi reprezentat de obiectivele pe termen lung ale băncii plecând de la deciziile organelor de conducere său control a regulilor de conduită în afaceri (codul de etică) adoptate de bancă precum și mediul de creditare.
Bibliografie
Barakat A., Hussainey K. (2013), Articolul “Bank governance, regulation, supervision, and risk reporting: Evidence from operațional risk disclosures în European banks”, Baza de date internațională Science Direct;
Bi Mol Consulting disponibil online la: http://moldconsulting.info/Servicii.html, accesat la data de 05.05.2014;
Codul de Etică al Institutului Auditorilor Interni disponibil online la: http://www.aair.ro/fisiere/standarde_romana/Cod_Etica-IIA-rom-Site.pdf, accesat la data de 26.03.2014;
Dedu V. (2009), Audit bancar. Note de curs, București, Editura ASE;
Dumitrache C. (2010), Auditul intern, reglementări legale, obiective și politici speciale, instituții de credit, Revista Tribuna Economică;
E-mail Fraud/Phishing disponibil online la: http://www.cba.ca/en/consumer-information/42-safeguarding-your-money/91-email-fraud-phishing, accesat la data de 27.04.2014;
Financial Fraud Action UK disponibilă online la: http://www.financialfraudaction.org.uk, accesat la data de 02.06.2014;
Fraude bancare disponibile online la: http://mtc.md/~consulting/Fraude%20Bancare.htm, accesat la data de 10.06.2014;
Hrițcu M. (2011), Articolul „Frauda de 12 mil. euro la o bancă din România”, Revista Capital, Nr. 27;
International Convergence of Capital Measurement and Capital Standards disponibile online la: http://www.bis.org/publ/bcbs107.pdf, accesat la data de 29.03.2014;
Manea M.D. (2011), Audit intern bancar. De la teorie la practică, București, Editura C.H. Beck;
Manea M.D., Postolache R. (2009), Creditul bancar. De la teorie la practică, București, Editura C.H. Beck;
Norme de audit intern disponibile online la: http://www.cafr.ro/uploads/hot_88-norme%20de%20audit%20intern%20inclusiv%20proceduri-5bdf.pdf\, accesate la data de 30.03.2014;
Phishing-ul la Banca Transilvania disponibil online la: http://economie.hotnews.ro/stiri-telecom-12553815-atac-tip-phishing-numele-banca-transilvania.htm, accesat la data de 06.06.2014
Phishing-ul asupra clienților ING disponibil online la: http://www.criminalitatea-informatica.ro/stiri-de-ultima-ora/atac-phishing-asupra-clientilor-ing/, accesat la data de 06.06.2014;
Phishing împotriva clienților BCR și ai altor bănci disponibil online la: http://www.wall-street.ro/articol/Finante-Banci/16779/Atac-de-tip-phishing-impotriva-clientilor-BCR-si-ai-altor-banci.html, accesat la data de 06.05.2014;
Phishing la AIB Bank disponibil online la: http://www.aib.ie/servlet/Satellite?c-SC_Content&cid=1177400413504&pagename=SecurityCentre%2Fsc_main§ion=S005,
Reacția auditorului financiar la provocările crizei economic-financiare, disponibila online la: http://revista.cafr.ro/, accesată la data de 06.04.2014;
Reglementări specifice instituțiilor de credit disponibile online la: http://www.bnro.ro/Institutii-de-credit–1965.aspx, accesate la data de 14.04.2014;
Regulamentul BNR nr. 5/2008 privind utilizarea abordării standard sau a abordării standard alternative pentru riscul operațional, M.O. nr. 173 din 6 martie 2008;
Regulamentul BNR nr. 3/2009 privind clasificarea creditelor și plasamentelor, precum și constituirea, regularizarea și utilizarea provizioanelor specifice de risc de credit, M.O. nr. 200 din 30 martie 2009;
Robu I.B., Robu M.A. (2013), Articolul “Proceduri de audit pentru estimarea riscului de frauda bazate pe indici de detectare a manipulării contabile”, Revista Audit Financiar, Nr. 10;
Treapăt L.M. (2011), Managementul și asigurarea riscurilor bancare în România, București, Editura Economică;
Trenca I. (2012), Managementul riscurilor bancare, Cluj-Napoca, Editura Casa Cărții de Știință;
Trenca I., Mutu S. (2012), Managementul riscurilor bancare – Soluții econometrice, Cluj-Napoca, Editura Casa Cărții de Știință;
Trenca I., Silivestru H.T. (2011), Managementul riscului operațional în bănci, Cluj-Napoca, Editura Casa Cărții de Știință;
Uyemura D.G., Deventa D.R. (2013), Financial Risk Management în Banking, USA, Editura Bankline;
Sarens G., De Beelde I., Everaert P (2009), Articolul “Internal audit: A comfort provider to the audit committee”, Baza de date intenationala Science Direct;
Sistemul de control intern al unei instituții de credit Cadrul de administrare a activității instituțiilor de credit disponibil online la: http://legeaz.net/regulament-bnr-18-2009/art-51-sistemul-de-control-intern-al-unei-institutii-de-credit-cadrul-de-administrare-a-activitatii-institutiilor-de-credit, accesat la data de 21.05.2014;
Securitatea informațiilor la Banca Transilvania disponibilă online la: https://www.bancatransilvania.ro/securitatea-informatiilor/despre-phishing/, accesată la data de 25.05.2014;
Sturm P. (2012), Articolul „Operațional and reputational risk în the European banking industry: The market reaction to operațional risk events”, Baza de date intenațională Science Direct;
Sun J., Liu G. (2013), Articolul “Audit committees’ oversight of bank risk-taking”, Baza de date intenationala Science Direct;
Ștefănescu A. (2013), Audit Intern Bancar – Suport de curs;
Un nou atac phishing asupra clienților BRD disponibil online la: http://www.wall-street.ro/articol/IT-C-Tehnologie/27497/Un-nou-atac-phishing-asupra-clientilor BRD.html, accesat la data de 06.06.2014;
Val de atacuri phishing ce vizează clienții Băncii Transilvania și ING disponibil online la: http://www.business24.ro/banca-transilvania/stiri-banca-transilvania/val-de-atacuri-phishing-ce-vizeaza-clientii-bancii-transilvania-si-ing-1542957, accesat la data de 06.06.2014.
http://mtc.md/~consulting/Securitatea%20Afacerii%20ro.htm
http://mtc.md/~consulting/Managementul%20Riscurilor.htm
http://moldconsulting.info/Managementul-Riscurilor.html
Bibliografie
Barakat A., Hussainey K. (2013), Articolul “Bank governance, regulation, supervision, and risk reporting: Evidence from operațional risk disclosures în European banks”, Baza de date internațională Science Direct;
Bi Mol Consulting disponibil online la: http://moldconsulting.info/Servicii.html, accesat la data de 05.05.2014;
Codul de Etică al Institutului Auditorilor Interni disponibil online la: http://www.aair.ro/fisiere/standarde_romana/Cod_Etica-IIA-rom-Site.pdf, accesat la data de 26.03.2014;
Dedu V. (2009), Audit bancar. Note de curs, București, Editura ASE;
Dumitrache C. (2010), Auditul intern, reglementări legale, obiective și politici speciale, instituții de credit, Revista Tribuna Economică;
E-mail Fraud/Phishing disponibil online la: http://www.cba.ca/en/consumer-information/42-safeguarding-your-money/91-email-fraud-phishing, accesat la data de 27.04.2014;
Financial Fraud Action UK disponibilă online la: http://www.financialfraudaction.org.uk, accesat la data de 02.06.2014;
Fraude bancare disponibile online la: http://mtc.md/~consulting/Fraude%20Bancare.htm, accesat la data de 10.06.2014;
Hrițcu M. (2011), Articolul „Frauda de 12 mil. euro la o bancă din România”, Revista Capital, Nr. 27;
International Convergence of Capital Measurement and Capital Standards disponibile online la: http://www.bis.org/publ/bcbs107.pdf, accesat la data de 29.03.2014;
Manea M.D. (2011), Audit intern bancar. De la teorie la practică, București, Editura C.H. Beck;
Manea M.D., Postolache R. (2009), Creditul bancar. De la teorie la practică, București, Editura C.H. Beck;
Norme de audit intern disponibile online la: http://www.cafr.ro/uploads/hot_88-norme%20de%20audit%20intern%20inclusiv%20proceduri-5bdf.pdf\, accesate la data de 30.03.2014;
Phishing-ul la Banca Transilvania disponibil online la: http://economie.hotnews.ro/stiri-telecom-12553815-atac-tip-phishing-numele-banca-transilvania.htm, accesat la data de 06.06.2014
Phishing-ul asupra clienților ING disponibil online la: http://www.criminalitatea-informatica.ro/stiri-de-ultima-ora/atac-phishing-asupra-clientilor-ing/, accesat la data de 06.06.2014;
Phishing împotriva clienților BCR și ai altor bănci disponibil online la: http://www.wall-street.ro/articol/Finante-Banci/16779/Atac-de-tip-phishing-impotriva-clientilor-BCR-si-ai-altor-banci.html, accesat la data de 06.05.2014;
Phishing la AIB Bank disponibil online la: http://www.aib.ie/servlet/Satellite?c-SC_Content&cid=1177400413504&pagename=SecurityCentre%2Fsc_main§ion=S005,
Reacția auditorului financiar la provocările crizei economic-financiare, disponibila online la: http://revista.cafr.ro/, accesată la data de 06.04.2014;
Reglementări specifice instituțiilor de credit disponibile online la: http://www.bnro.ro/Institutii-de-credit–1965.aspx, accesate la data de 14.04.2014;
Regulamentul BNR nr. 5/2008 privind utilizarea abordării standard sau a abordării standard alternative pentru riscul operațional, M.O. nr. 173 din 6 martie 2008;
Regulamentul BNR nr. 3/2009 privind clasificarea creditelor și plasamentelor, precum și constituirea, regularizarea și utilizarea provizioanelor specifice de risc de credit, M.O. nr. 200 din 30 martie 2009;
Robu I.B., Robu M.A. (2013), Articolul “Proceduri de audit pentru estimarea riscului de frauda bazate pe indici de detectare a manipulării contabile”, Revista Audit Financiar, Nr. 10;
Treapăt L.M. (2011), Managementul și asigurarea riscurilor bancare în România, București, Editura Economică;
Trenca I. (2012), Managementul riscurilor bancare, Cluj-Napoca, Editura Casa Cărții de Știință;
Trenca I., Mutu S. (2012), Managementul riscurilor bancare – Soluții econometrice, Cluj-Napoca, Editura Casa Cărții de Știință;
Trenca I., Silivestru H.T. (2011), Managementul riscului operațional în bănci, Cluj-Napoca, Editura Casa Cărții de Știință;
Uyemura D.G., Deventa D.R. (2013), Financial Risk Management în Banking, USA, Editura Bankline;
Sarens G., De Beelde I., Everaert P (2009), Articolul “Internal audit: A comfort provider to the audit committee”, Baza de date intenationala Science Direct;
Sistemul de control intern al unei instituții de credit Cadrul de administrare a activității instituțiilor de credit disponibil online la: http://legeaz.net/regulament-bnr-18-2009/art-51-sistemul-de-control-intern-al-unei-institutii-de-credit-cadrul-de-administrare-a-activitatii-institutiilor-de-credit, accesat la data de 21.05.2014;
Securitatea informațiilor la Banca Transilvania disponibilă online la: https://www.bancatransilvania.ro/securitatea-informatiilor/despre-phishing/, accesată la data de 25.05.2014;
Sturm P. (2012), Articolul „Operațional and reputational risk în the European banking industry: The market reaction to operațional risk events”, Baza de date intenațională Science Direct;
Sun J., Liu G. (2013), Articolul “Audit committees’ oversight of bank risk-taking”, Baza de date intenationala Science Direct;
Ștefănescu A. (2013), Audit Intern Bancar – Suport de curs;
Un nou atac phishing asupra clienților BRD disponibil online la: http://www.wall-street.ro/articol/IT-C-Tehnologie/27497/Un-nou-atac-phishing-asupra-clientilor BRD.html, accesat la data de 06.06.2014;
Val de atacuri phishing ce vizează clienții Băncii Transilvania și ING disponibil online la: http://www.business24.ro/banca-transilvania/stiri-banca-transilvania/val-de-atacuri-phishing-ce-vizeaza-clientii-bancii-transilvania-si-ing-1542957, accesat la data de 06.06.2014.
http://mtc.md/~consulting/Securitatea%20Afacerii%20ro.htm
http://mtc.md/~consulting/Managementul%20Riscurilor.htm
http://moldconsulting.info/Managementul-Riscurilor.html
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Auditul Managementului Riscului de Frauda la Banca Transilvania (ID: 136943)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.