Audit Bancar

Audit Bancar BANCAS
ACADEMIA DE STUDII ECONOMICE

CATEDRA DE MONEDA
Programul de Master Specializat
BANCAS
MODULUL: AUDIT BANCAR

– NOTE DE CURS –
Prof. univ. dr. Vasile Dedu

Spec. dr. Ramona-Vali Bratu
Spec. dr. Florin Stroe
– BUCURESTI 2009 –
1
Audit Bancar BANCAS
CUPRINS
CAPITOLUL 1 ACTIVITATEA DE AUDIT
CAPITOLUL 2 AUDITUL INTERN BANCAR
CAPITOLUL 3 CONTROLUL INTERN BANCAR
RELAŢIA DINTRE AUTORITATEA DE

CAPITOLUL 4 SUPRAVEGHERE ŞI AUDITORUL EXTERN
AUDITAREA PROCESELOR ŞI TEHNICILOR DE
CAPITOLUL 5 EVALUARE A RISCURILOR
ACTIVITATEA DE AUDIT PROPRIU – ZISĂ.
CAPITOLUL 6 ABORDARE PRACTICĂ
2
Audit Bancar BANCAS
CAPITOLUL 1 ACTIVITATEA DE AUDIT
1. Consideraţii etimologice şi evoluţioniste privind auditul

2. Definiţii
1. Consideraţii etimologice şi evoluţioniste privind auditul
Deşi cuvântul audit a pătruns în limbajul cotidian al societăţii româneşti în forma sa

englezească, se pare că originile acestuia se găsesc în latinescul auditus, care înseamnă a
asculta, a audia. Acest termen avea chiar o conotaţie financiară, în Roma antică fiind
practicată verificarea verbală a fondurilor sau ascultarea fondurilor.
Există, aşadar o primă semnificaţie a activităţii de audit – aceea de verificare; sensul
acesteia s-a îmbogăţit pe măsură ce activitatea economică a devenit din ce în ce mai
complexă, în condiţii de risc amplificat. Astfel, în timp, nu a mai fost suficient controlul
asupra unor anumite domenii, înregistrări sau evidenţe, ci asupra întregii contabilităţi şi
gestiuni; a fost făcut saltul de la aprecierile cantitative la cele calitative, de la constatări la
consultanţă; nu a mai fost suficientă verificarea post factum, ci a devenit importantă
prevenirea manifestării riscurilor, iar greutatea s-a deplasat de la auditul extern la cel intern.
În acelaşi timp, aria activităţii de audit s-a extins de la administrarea banilor publici către
întreprinderile private. Atât procesul acesta evolutiv, cât şi consideraţiile filosofice (de
exemplu, chiar contabilitatea poate fi considerată formă a auditului, în măsura în care metoda
evidenţei în partidă dublă reprezintă o formă intrinsecă de verificare, nu?) explică multiplele
valenţe conferite auditului în zilele noastre.
1. Definiţii
Există o multitudine de definiţii date auditului, dar nu în accepţiunea sa generală, ci

pe componente ale sale.
Astfel, Compania Naţională a Comisarilor de Conturi din Franţa dă definiţia auditului
financiar: examinarea realizată de un profesionist competent şi independent de organizaţie, în
vederea exprimării unei opinii motivate asupra regularităţii, sincerităţii şi imaginii fidele a
conturilor anuale ale întreprinderii.
3
Audit Bancar BANCAS
Institutul American al Contabililor Publici Autorizaţi (AICPA) prezintă auditul ca pe

o examinare ordinară a situaţiilor financiare, efectuată de un contabil public autorizat, în
vederea exprimării unei opinii cu privire la corectitudinea cu care aceste documente prezintă
situaţia financiară, rezultatele operaţiunilor efectuate şi schimbările intervenite în situaţia
financiară a organizaţiei, în conformitate cu principiile contabile general acceptate
(Standardul de Audit nr. 1).
În România, Ordonanţa de Urgenţă a Guvernului nr. 75/1999 privind activitatea de
audit financiar (cu modificările ulterioare)1 prezintă auditul financiar ca “activitatea de
examinare, în vederea exprimării de către auditorii financiari, a unei opinii asupra situaţiilor
financiare, în conformitate cu standardele de audit, armonizate cu standardele internaţionale
de audit şi adoptate de Camera Auditorilor Financiari din România”.
Există, aşadar, trei definiţii date auditului financiar din care răzbate un filon comun, şi
anume că acesta reprezintă o activitate de examinare a situaţiilor financiare, de către o
persoană competentă sau autorizată (francezii nu au dat măsura “competenţei”), pentru
formularea unei opinii asupra corectitudinii cu care aceste documente prezintă situaţia
financiară a organizaţiei, atât static, cât şi în dinamică. Şi pentru ca această opinie să fie
“motivată”, se folosesc şi reperele în funcţie de care se fac aprecierile: “principiile contabile
general acceptate” sau standardele de audit.
În afara diferenţelor stilistice date, probabil, de trăsăturile naţionale (unii fiind mai
riguroşi în exprimare, iar alţii mai lirici), transpare şi o altă diferenţă: în Franţa s-ar părea că
această activitate este încredinţată “comisarilor de conturi” (persoane abilitate să efectueze
controlul legal al conturilor societăţilor comerciale), în SUA numai contabilii publici
autorizaţi pot să desfăşoare activităţi de audit, iar în România - auditorii financiari. Astfel,
primele două definiţii vădesc apropierea dintre audit financiar şi controlul contabil. În
schimb, în a treia definiţie apare o categorie distinctă de specialişti, iar pentru a înţelege la ce
se referă această categorie este necesară analiza activităţilor pe care aceştia le pot desfăşura,
prezentate în acelaşi act normativ: activitatea de audit financiar, de audit intern, de
consultanţă financiar – contabilă şi fiscală, de asigurare a managementului financiar –
contabil, de expertiză contabilă, de evaluare, activităţi de reorganizare judiciară şi lichidare.
Prin urmare, este vorba de un super-specialist, care ar trebui să se numească auditor, dat
1
Ordonanţa de Urgenţă a Guvernului nr. 75/1999 a fost aprobată cu modificări şi completări prin Legea nr.
133/2002, apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin
Legea nr. 12/2003
4
Audit Bancar BANCAS
fiind faptul că aria lui de expertiză depăşeşte auditul financiar, iar o definiţie posibilă a
auditului ar putea fi dată prin enumerarea activităţilor desfăşurate de aceşti specialişti.
Ceea ce scapă acestor definiţii este, însă, scopul activităţii de audit; exprimarea unei
opinii nu poate fi un scop în sine, poate fi doar un mijloc. Adică, pentru ce este nevoie de
audit? La ce foloseşte o opinie independentă şi competentă privind corectitudinea reflectării
situaţiei financiare? Se poate răspunde că băncile, în analiza de creditare, solicită companiilor
o astfel de opinie sau că băncilor li se solicită, prin lege, auditarea situaţiilor financiare sau în
alte multe feluri. Dar tipul acesta de răspunsuri nu ar fi reflectarea unei nevoi resimţite şi a
unei utilităţi interne, ci a unor constrângeri şi utilizări externe. Partea aceasta este acoperită
de definiţia auditului intern dată de către Institutul Auditorilor Interni (IIA): “Auditul intern
este o activitate independentă, de asigurare obiectivă şi de consultanţă menită să adauge
valoare şi să îmbunătăţească operaţiunile unei organizaţii. Acesta sprijină o organizaţie să
îşi realizeze obiectivele, aducând o abordare sistematică şi disciplinată în evaluarea şi
îmbunătăţirea eficacităţii procesului de management al riscului, de control şi de conducere”.
Comitetul de Supraveghere Bancară de la Basel2 şi-a însuşit întru totul conceptul lansat de
IIA cu privire la auditul intern.3
Şi legislaţia românească în materie4 preia această definiţie, în forme mai concentrate
sau mai detaliate. Astfel, în legislaţia privind auditul financiar apare următoarea definiţie:
“Auditul intern reprezintă activitatea de examinare obiectivă a ansamblului activităţilor
entităţii economice în scopul furnizării unei evaluări independente a managementului
riscului, controlului şi proceselor de conducere a acestuia”. Deşi pare a câştiga în concizie,
aceasta omite, de fapt, scopul real al activităţii de audit, comiţând aceeaşi confuzie între scop
şi mijloacele de realizare, şi excluzând componenta de consultanţă.
Componenta de consultanţă apare, însă, deşi într-o formulă alternativă, în definiţia
auditului intern bancar din Norma nr. 17/2003 a Băncii Naţionale a României5: “activitate
independentă, destinată îmbunătăţirii activităţii băncilor, fie prin îndeplinirea unor
angajamente de audit, fie prin acordarea de consultanţă structurilor entităţilor auditate”.
2
Comitetul de Supraveghere Bancară de la Basel este comitetul autorităţilor de supraveghere bancară înfiinţat
de guvernatorii băncilor centrale din Grupul celor Zece Ţări în 1975. De obicei se întruneşte la Bank for
International Settlements (Banca Reglementelor Internaţionale), unde este localizat secretariatul său permanent.
3
“Internal audit in banking organisations and the relationship of the supervisory authorities with internal and
external auditors”, Basel Committee on Banking Supervision, Basel, 2000
4
Ordonanţa de Urgenţă a Guvernului nr. 75/1999 aprobată cu modificări şi completări prin Legea nr. 133/2002,
apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin Legea nr.
12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabilă entităţilor publice
5
Titlul complet: Norma B.N.R. nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor,
administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de audit intern în cadrul
băncilor
5
Audit Bancar BANCAS
Dacă se explicitează şi noţiunea de angajament de audit, rezultă următoarea definiţie

a auditului intern bancar: activitate independentă, destinată îmbunătăţirii activităţii
instituţiilor de credit, fie printr-o examinare obiectivă a modului de realizare a administrării
riscurilor, sistemului de control intern şi proceselor de conducere ale instituţiilor de credit, în
scopul furnizării unei asigurări rezonabile că acestea funcţionează corespunzător şi vor
permite atingerea obiectivelor instituţiilor de credit, precum şi în scopul formulării unor
recomandări de îmbunătăţire a activităţii acestora, fie prin acordarea de servicii de
consultanţă structurilor/entităţilor auditate.
Din cele de mai sus se poate extrage ceea ce poate fi considerată o definiţie completă
a auditului, aplicabilă şi domeniului bancar : activitatea, realizată de persoane autorizate,
de examinare obiectivă a ansamblului activităţilor entităţii economice, care are ca
rezultat formularea unei evaluări independente a managementului riscului, a
controlului şi proceselor de conducere, şi a unor sugestii pentru îmbunătăţirea
eficacităţii operaţiunilor, în scopul sprijinirii realizării obiectivelor entităţii economice.
După cum se observă, această definiţie sumarizează (poate nu în cea mai bună
sintagmă) trăsăturile auditului (competenţă, obiectivitate, independenţă), sfera preocupărilor
sale (ansamblul activităţilor entităţii economice, nu numai evidenţa contabilă), materializarea
rezultatelor acestuia (evaluare şi consultanţă), precum şi scopul auditului.
În definiţia de mai sus a fost omis în mod intenţionat caracterul “sistematic şi
disciplinat” al auditului, deoarece acesta este specific auditului intern, făcând deosebirea faţă
de cel extern. În opinia unor autori, diferenţa dintre cele două categorii de audit ar fi faptul că
cel extern este realizat de o firmă specializată, independentă, din afara entităţii economice, iar
cel intern de o structură din cadrul organizaţiei. În zilele noastre, când se vorbeşte tot mai
mult despre externalizarea auditului intern şi despre independenţa auditului intern, acest
argument nu poate rezista.
În cele ce urmează, obiectul expunerii se va restrânge la forma cea mai complexă a

auditului din domeniul bancar (dat fiind caracterul său continuu, sistematic) - auditul intern
bancar. În ceea ce priveşte definiţia acestuia, opţiunea personală merge către cea dată de
IIA, însuşită de Comitetul de la Basel, nu către cea a Băncii Naţionale a României (deoarece
consider că examinarea îşi poate găsi finalitatea numai în formularea de sugestii
(consultanţă), iar consultanţa nu poate fi dată fără o examinare prealabilă a stării de fapt), şi
cu atât mai puţin către cea dată de Institutul Francez de Audit (2000) (care restrânge rolul
6
Audit Bancar BANCAS
auditului intern la acela de supra-control)6. Totuşi, singura definiţie “legală”, în momentul de

faţă, aplicabilă domeniului bancar se regăseşte în norma Băncii Naţionale a României, care
este concordantă cu cea din O.U.G. nr. 75/1999, cu modificările ulterioare.
Cuvinte cheie
Audit Activitatea de audit
Audit intern
Audit intern bancar
Întrebări
1. Ce este auditul intern bancar?

2. Care este diferenţa dintre auditul de tip anglo-saxon şi cel francofon?
6
“Auditul intern este, în cadrul unei organizaţii, o funcţie – exercitată într-o manieră independentă şi cu mandat – de
evaluare a controlului intern. Acest demers specific concurează cu bunul control asupra riscurilor de către responsabili”-
Eugen Nicolaescu,“Auditul intern–o privire spre viitor”, Revista Audit Financiar, ianuarie 2003
7
Audit Bancar BANCAS
CAPITOLUL 2 AUDITUL INTERN BANCAR
1. Obiective şi modalităţi de acţiune ale auditului intern bancar

2. Principiile auditului intern bancar
2.1 Independenţa auditului intern bancar
2.2. Imparţialitatea auditului intern bancar
2.3. Continuitatea auditului intern bancar
2.4. Competenţa profesională
2.5. Exhaustivitatea auditului intern bancar
3. Cadrul normativ de desfăşurare a activităţii de audit intern
bancar
3.1. Statutul (carta) auditului intern
3.2. Standardele internaţionale de audit intern ale I.A.I.
3.3. Codul de etică a auditorului intern
4. Organizarea auditului intern bancar
4.1. Atribuţiile şi responsabilităţile conducătorului departamentului de
audit intern
4.2. Comitetul de audit
4.3. Externalizarea activităţii de audit intern
5. Relaţia dintre departamentul de audit intern şi autoritatea de su-
praveghere
6. Relaţia dintre auditorii interni şi auditorii externi
7. Desfăşurarea activităţii de audit intern
7.1. Tipuri de audit intern
7.2. Derularea activităţii de audit intern bancar
1. Obiective şi modalităţi de acţiune ale auditului intern bancar
O.U.G. nr. 57/1999, cu modificările ulterioare, identifică următoarele obiective ale auditului
intern:
a) verificarea conformităţii activităţilor din entitatea economică auditată cu politicile,
programele şi managementul acestuia, în conformitate cu prevederile legale;
8
Audit Bancar BANCAS
b) evaluarea gradului de adecvare şi aplicare a controalelor financiare şi nefinanciare

dispuse şi efectuate de către conducerea unităţii în scopul creşterii eficienţei activităţii
entităţii economice;
c) evaluarea gradului de adecvare a datelor/informaţiilor financiare şi nefinanciare destinate
conducerii pentru cunoaşterea realităţii din entitatea economică;
d) protejarea elementelor patrimoniale bilanţiere şi extrabilanţiere şi identificarea
e) metodelor de prevenire a fraudelor şi pierderilor de orice fel.
Se observă faptul că aici sunt definite, de fapt, căile de acţiune pentru îndeplinirea
obiectivului auditului intern bancar. Într-o altă exprimare, cele enumerate ar putea fi
categorisite drept obiective “intermediare”: asigurarea concordanţei activităţii cu politicile,
programele, normele şi prevederile legale, creşterea eficacităţii activităţii de control,
îmbunătăţirea calităţii procesului decizional, ridicarea eficienţei activităţii.
Din norma Băncii Naţionale a României, din articolele Secţiunii I – Obiectivul auditului
intern, Capitolul VIII, se pot extrage următoarele referiri la acest subiect: “Obiectivul
auditului intern îl reprezintă îmbunătăţirea activităţii instituţiilor de credit” şi “… să
contribuie la îndeplinirea obiectivelor lor (băncilor) prin prezentarea unei abordări
sistematice şi disciplinate….”.
Prin urmare, se poate sintetiza că obiectivul auditului intern bancar este cel de a
contribui la îndeplinirea obiectivelor băncilor (îmbunătăţirea activităţii reprezentând
obiectivul primar şi general al unei bănci), iar obiectivele punctuale, pe domenii de
activitate, sunt:
a) asigurarea concordanţei activităţii cu politicile, programele, normele şi prevederile legale;
b) creşterea eficacităţii activităţii de control;
c) îmbunătăţirea calităţii procesului decizional;
d) creşterea eficienţei activităţii băncii.
Pentru realizarea acestor obiective, auditul bancar intern acţionează pe următoarele căi 7:
1. evaluarea eficienţei şi gradului de adecvare a sistemului de control intern;
2. evaluarea modului de aplicare şi a eficacităţii procedurilor de administrare a riscurilor şi a
metodologiilor de evaluare a riscurilor semnificative;
7
Conform normei B.N.R., capitolul VIII, Secţiunea I - Obiectivele auditului intern şi “Internal audit in banking
organisations and the relationship with internal and external auditors”, Basel Committee on Banking
Supervision, Basel, 2000
9
Audit Bancar BANCAS
3. analiza relevanţei şi integrităţii datelor furnizate de sistemele informaţionale de gestiune

şi financiare, inclusiv de sistemul informatic;
4. evaluarea acurateţei şi credibilităţii înregistrărilor contabile şi situaţiilor financiare;
5. evaluarea gradului de adecvare a nivelului fondurilor proprii ale instituţiilor de credit în
funcţie de riscurile la care acestea sunt expuse;
6. evaluarea modului în care se asigură protejarea elementelor patrimoniale bilanţiere şi
extrabilanţiere şi identificarea metodelor de prevenire a fraudelor şi pierderilor de orice
fel8;
7. testarea atât a operaţiunilor, cât şi a funcţionării procedurilor specifice de control;
8. evaluarea eficienţei operaţiunilor instituţiilor de credit9;
9. evaluarea modului în care sunt respectate dispoziţiile cadrului legal, cerinţele codurilor de
conduită, precum şi evaluarea modului în care sunt implementate politicile şi procedurile
instituţiei de credit;
10. testarea integrităţii, credibilităţii şi, după caz, a oportunităţii raportărilor, inclusiv a celor
destinate utilizatorilor externi.
După cum se observă, aria de competenţă alocată auditului intern bancar este
atotcuprinzătoare: sistem de control intern, administrarea riscurilor, sistem informaţional,
contabilitate, calitatea administrării patrimoniului, operaţiuni. Astfel, auditul intern apare ca
un supra-controlor al controlului intern, este mai mult decât orice formă de control extern sau
de supraveghere, dar în acelaşi timp, parte a sistemului de control intern al unei bănci10.
Prin examinarea problemelor globale ale băncii, evaluarea riscurilor, controlului,
calităţii, eficienţei, tehnologiei şi formularea unor opinii clare şi adecvate, auditul intern
bancar reprezintă un instrument foarte valoros pus în slujba conducerii unei bănci, o
adevărată “eminenţă cenuşie” a băncii.
În unele ţări (printre care şi România), deşi înregistrările contabile intră în sfera
auditului intern, auditarea situaţiilor financiare nu este inclusă în competenţele acestuia.
Astfel, se consideră că aceasta cade în responsabilitatea auditorilor externi ai băncii, rolul
auditului intern fiind limitat, în acest domeniu, la sprijinirea auditorilor externi.
De asemenea, din practica unor ţări, se poate observa că există o tendinţă din
8
Numai în Norma B.N.R. nr. 17/2003
9
Numai în Norma B.N.R. nr. 17/2003
10
Dacă auditul intern este parte a sistemului intern pe care îl evaluează, atunci funcţia de audit intern implică o
componentă de autoevaluare
10
Audit Bancar BANCAS
ce în ce mai pregnantă ca aprecierea modului de încadrare a activităţii unei bănci în

prevederile legale şi normative să se facă nu de către auditul intern, ci de către o structură
organizatorică separată, dedicată acestei problematici.
În ceea ce priveşte funcţia de consultanţă atribuită auditului intern, un studiu al
Comitetului de la Basel11 arată că aceasta ar trebui să fie una auxiliară funcţiei principale şi
că ar trebui exercitată cu foarte mare grijă pentru a nu compromite obiectivitatea evaluării
activităţilor în care auditorii interni au dat consultanţă. De altfel, în practică, majoritatea
timpului este alocată de către departamentul de audit pentru realizarea funcţiei de bază (75-
95%) şi numai 0-20% pentru consultanţă. Mai mult, activitatea de consultanţă se limitează,
de cele mai multe ori, la recomandări legate de controlul aferent unor proiecte sau planuri,
fără să fie asumate responsabilităţi operaţionale.
2. Principiile auditului intern bancar
Comitetul de Supraveghere Bancară de la Basel conturează cadrul de desfăşurare a

activităţii de audit intern bancar sub forma unor principii care acoperă atât
caracteristicile generale ale activităţii, cerinţele referitoare la auditorii interni, cât şi
desfăşurarea auditului intern. În cele ce urmează, au fost extrase principiile cu caracter de
trăsături generale.
Independenţa auditului intern bancar12
“ Departamentul de audit intern al unei bănci trebuie să fie independent de activităţile

auditate. Departamentul trebuie să fie, de asemenea, independent faţă de procesul de control
intern de zi cu zi. Aceasta presupune ca departamentului de audit intern să I se dea un statut
corespunzător în cadrul băncii şi acest departament să îşi îndeplinească sarcinile cu
obiectivitate şi imparţialitate”.
Astfel, pentru asigurarea independenţei sale faţă de restul activităţilor băncii,
departamentul de audit intern trebuie să fie subordonat direct conducerii executive a băncii
11
“Internal audit in banks and the supervisor’s relationship with auditors: A survey”, Basel Committee on
Banking Supervision, Bank for International Settlements, August 2002
12
Principiul 5 enunţat în “Internal audit in banking organisations and the relationship with internal and external
auditors”, Basel Committee on Banking Supervision, Basel, 2000
11
Audit Bancar BANCAS
sau consiliului de administraţie sau comitetului de audit (de pe lângă consiliul de

administraţie).
Pe lângă asigurarea independenţei departamentului în cadrul organigramei băncii,
principiul acesta trebuie să se aplice şi activităţii sale. Departamentul de audit intern trebuie
să-şi poată exercita atribuţiile din iniţiativă proprie în toate departamentele, sediile şi
activităţile băncii. Rezultatele activităţii sale, evaluările sale trebuie să poată fi făcute
cunoscute, pe plan intern, şi, în unele cazuri, chiar direct consiliului de administraţie,
comitetului de audit sau auditorului extern (de exemplu, când se apreciază că o decizie a
conducerii executive a băncii a fost luată fără respectarea prevederilor legale).
Banca Naţională a României subscrie întru totul la aceste cerinţe privind asigurarea
independenţei auditului intern, atât prin mijloace organizatorice, cât şi funcţional –
instituţionale, şi optează pentru subordonarea departamentului de audit intern faţă de
consiliul de administraţie al băncii, nu faţă de conducerea executivă.
2.2. Imparţialitatea auditului intern bancar 13
“Departamentul de audit intern ar trebui să fie obiectiv şi imparţial, ceea ce înseamnă că ar

trebui să fie într-o poziţie care să-i permită realizarea atribuţiilor fără părtinire şi fără
ingerinţe.”
Acest principiu vine în completarea primului enunţat, accentuând aspectul de
independenţă a judecăţii pe care auditorii interni trebuie să fie capabili să o facă. Prin urmare,
auditorii interni trebuie să nu fie implicaţi în operaţiunile băncii sau în proiectarea
procedurilor şi implementarea măsurilor de control intern, iar cei recrutaţi din interiorul
băncii trebuie să nu fi fost implicaţi în trecutul apropiat în activităţile auditate; totodată, se
are în vedere rotirea periodică a domeniilor auditate. Banca Naţională a României opinează
că personalul implicat într-un angajament de audit pe poate audita un domeniu în care a
lucrat numai după trecerea unei perioade de cel puţin un an.
Totuşi, asigurarea imparţialităţii auditorilor interni nu înseamnă că departamentului
de audit intern nu i se pot solicita opinii, de către conducerea băncii, în legătură cu principiile
controlului intern, cu planurile de reorganizare, cu iniţierea unor activităţi noi importante sau
cu risc ridicat, cu gestiunea sistemului informatic şi informaţional. Implicarea sa trebuie,
însă, să se limiteze la acest rol consultativ, şi să nu se extindă asupra măsurilor de
13
12
Audit Bancar BANCAS
implementare. Banca Naţională a României defineşte mai clar cadrul în care auditorii interni
pot acorda consultanţă asupra unor operaţiuni în care au avut anterior responsabilităţi sau pe
care le-au auditat, şi anume “cu condiţia de a nu efectua un angajament de audit în anul
următor”14
În practica unor bănci, pentru asigurarea imparţialităţii auditorilor interni, sunt impuse
reguli cu privire la recrutarea acestora din afara băncii, necorelarea remunerării acestora cu
performanţa sau profitul băncii, separarea atribuţiilor în ceea ce priveşte implementarea
recomandărilor, neimplicarea auditorilor în activitatea de proiectare a procedurilor de control
sau administrative.
În România, Banca Naţională restricţionează accesul la responsabilitatea de auditori
interni persoanelor care sunt soţi, rude sau afini până la gradul al patrulea inclusiv cu
conducătorii unei bănci.
2.3. Continuitatea auditului intern bancar15
“Auditul intern ar trebui să fie o funcţie permanentă. În îndeplinirea îndatoririlor şi

responsabilităţilor sale, conducerea băncii ar trebui să ia toate măsurile necesare astfel
încât banca să poată conta în permanenţă pe o funcţionare adecvată a auditului intern
corespunzătoare mărimii băncii şi naturii operaţiunilor sale. Aceste măsuri includ
asigurarea departamentului de audit intern cu resurse şi personal corespunzător pentru
îndeplinirea obiectivelor sale”.
Demn de remarcat este faptul că formularea principiului continuităţii auditului intern

nu se rezumă la partea enunţiativ - declarativă, ci se extinde la mijloacele prin care se poate
asigura caracterul permanent al acestei activităţi: resurse şi personal. Astfel, este evidenţiat
faptul că, pe lângă calitatea şi numărul personalului aferent auditului intern, sunt necesare şi
resurse financiare adecvate (pentru remunerare, pregătire profesională, deplasări la unităţile
teritoriale), resurse logistice, informatice şi informaţionale.
Conducerea băncilor verifică alocarea de personal şi resurse pentru auditul intern, fie
permanent, fie anual, comparând activitatea departamentului cu cea planificată sau făcând
comparaţii cu bănci comparabile ca mărime. În medie, personalul alocat activităţii de audit
14
Art. 103, Norme nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor, administrarea
riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de audit intern în cadrul băncilor
13
Audit Bancar BANCAS
intern într-o bancă reprezintă aproximativ 1% din totalul personalului; procentul acesta
variază în funcţie de mărimea băncii şi de activităţile derulate de către aceasta.
Banca Naţională a României subliniază faptul că asigurarea unei activităţi de audit
intern adecvate, corespunzătoare dimensiunii şi naturii operaţiunilor unei bănci cade în
sarcina conducătorilor instituţiei16.
2.4.Competenţa profesională17
“Competenţa profesională a fiecărui auditor intern şi a departamentului de audit intern, ca

întreg, este esenţială pentru îndeplinirea corespunzătoare a rolului auditului intern”.
Departamentul de audit intern trebuie să acopere toate activităţile băncii, iar acestea
devin din ce în ce mai complexe; mai mult, acestui departament i se pot cere opinii cu privire
la noi domenii care ar putea fi introduse în nomenclatorul băncii.
Prin urmare, un auditor intern trebuie să aibă cunoştinţe înalte, experienţă vastă, să se
pregătească continuu şi să îşi actualizeze permanent cunoştinţele în domeniul bancar şi în cel
al tehnicilor de audit. Totodată, acesta trebuie să aibă capacitatea de a colecta informaţii, de a
le examina, de a evalua situaţia şi de a comunica concluzii.
La aceste cerinţe privind pregătirea profesională, Banca Naţională a României adaugă
exigenţe morale: auditorii interni trebuie să fie corecţi, oneşti şi incoruptibili18.
Cu un astfel de “portret - robot”, recrutarea de specialişti pentru departamentul
de audit intern al unei bănci apare ca o provocare pentru departamentul de resurse umane.
Dacă se iau în considerare şi cerinţele legate de asigurarea obiectivităţii şi imparţialităţii,
gestiunea resurselor umane în domeniul auditului intern poate părea chiar o “misiune
imposibilă”. Aprecierea adecvării nivelului de pregătire a candidaţilor pentru posturile de
auditori interni ţine de politica fiecărei bănci în domeniu; unele bănci (în special cele mici)
pun accentul, în recrutarea personalului pentru audit, mai mult pe cunoştinţe şi experienţă
profesionale, decât pe existenţa unor titluri profesionale.
Competenţa profesională trebuie menţinută prin pregătire la locul de muncă, pregătire
internă şi externă, rotaţia personalului în cadrul departamentului de audit etc.
15
16
Art. 98 (2), Norma B.N.R. nr. 17/2003
17
14
Audit Bancar BANCAS
2.5.Exhaustivitatea auditului intern19
“Toate activităţile şi toate entităţile unei bănci trebuie să intre în aria de activitate a
auditului intern”.
Nici una dintre activităţile sau entităţile unei bănci (incluzând sucursale, subsidiare şi
activităţi externalizate) nu poate fi exclusă din preocupările departamentului de audit intern.
Totuşi, pentru o corectă înţelegere a sferei auditului intern, trebuie făcute nişte
nuanţări şi precizări la această declaraţie de exhaustivitate. La modul general, auditul intern
trebuie să examineze şi să evalueze eficienţa şi eficacitatea controlului intern (înţeles ca
sistem, nu ca departament) şi modul în care sunt îndeplinite responsabilităţile de control. Din
acest punct de vedere, activitatea de audit intern reprezintă o analiză de risc a sistemului
intern de control.
În particular, auditul intern trebuie să evalueze: respectarea politicilor, principiilor,
regulilor, reglementărilor (fără a se suprapune, totuşi, cu funcţia corespunzătoare a
controlului intern); integritatea, acurateţea şi acoperirea informaţiilor financiare şi de
gestiune; continuitatea şi soliditatea sistemelor informatice; funcţionarea departamentelor
băncii.
Chiar dacă pentru o anume activitate sau entitate există un departament separat de
control şi monitorizare, auditul intern trebuie să se întindă şi asupra acestei activităţi/entităţi,
precum şi asupra controlului acestei activităţi/entităţi.
Subsidiarele bancare şi nebancare ale unei bănci trebuie să aibă propriile lor sisteme
de control intern şi propriul audit intern, acesta din urmă putând fi realizat fie de
departamentul de audit intern din compania – mamă, fie de un departament al acestora,
subordonat celui din compania – mamă. În cel de-al doilea caz, principiile de audit intern
trebuie să fie stabilite la nivel central, de către compania-mamă, pentru întreg grupul de
firme, iar departamentul central de audit intern trebuie să se implice în recrutarea şi evaluarea
auditorilor interni din subsidiare.
În măsura în care externalizarea unor activităţi nu înseamnă eliminarea
responsabilităţilor băncii în acel domeniu, atunci nici auditul intern al băncii nu poate fi
exonerat de atribuţiile ce-i revin în legătură cu aceste activităţi.
18
Art. 104, Norma B.N.R. nr. 17/2003
19
15
Audit Bancar BANCAS
În Norma Băncii Naţionale a României nr. 17/2003, principiul exhaustivităţii nu

apare distinct formulat, dar enumerarea activităţilor pe care trebuie să le cuprindă, în
principal, auditul intern induce această idee.
În plus faţă de principiile menţionate mai sus, Banca Naţională menţionează

confidenţialitatea care trebuie păstrată de către auditorii interni, în sensul de prudenţă în
utilizarea informaţiilor, de protecţie a informaţiilor; acestei cerinţe trebuie să-i răspundă, de
fapt, întreg personalul băncii, aşa cum este stipulat şi în Legea bancară.
3. Cadrul normativ de desfăşurare a activităţii de audit intern bancar
Obiectivele, responsabilităţile şi principiile activităţii de audit intern (unele

prezentate în subcapitolele 2.1. şi 2.2) sunt exprimate şi sumarizate în unele documente cu
caracter internaţional (Standardele internaţionale ale activităţii de audit şi Codul de etică a
auditorului intern, emise de Institute of Internal Auditors sau cele referitoare la audit, în
general, emise de International Auditing Practices Committee din cadrul International
Federation of Accountants) şi cu caracter naţional: Ordonanţa de Urgenţă a Guvernului nr.
75/1999 aprobată cu modificări şi completări prin Legea nr. 133/2002, apoi modificată prin
Ordonanţa Guvernului nr. 67/2002, aprobată cu modificări şi completări prin Legea nr.
12/2003; Legea nr. 672/2002 privind auditul public intern, aplicabilă entităţilor publice;
Normele B.N.R. nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor,
administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de
audit intern în cadrul băncilor; “Norme minimale ale activităţii de audit” ale Camerei
Auditorilor Financiari din România.
De menţionat este faptul că globalizarea pieţelor financiare şi a fluxurilor de capital
au impus alinierea standardelor naţionale de audit la cele internaţionale, prin aderarea
organizaţiilor naţionale ale auditorilor la cele internaţionale şi la documentele emise de
acestea (de exemplu, normele elaborate de International Auditing Practices Committee au
fost asimilate de către Camera Auditorilor din România).
Totodată, în ceea ce priveşte domeniul bancar există recomandări cu titlu de îndrumar
la nivel internaţional (principiile enunţate de către Comitetul de Supraveghere Bancară de la
16
Audit Bancar BANCAS
Basel), reflectate la nivel naţional prin reglementări ale băncilor centrale, iar la nivelul
fiecărei instituţii bancare – prin Statutul (Carta) auditului intern.
3.1. Statutul (carta) auditului intern
“Carta auditului garantează statutul şi autoritatea departamentului de audit intern al

băncii”.20
Carta auditului trebuie să cuprindă, conform principiului enunţat de Comitetul de
Supraveghere Bancară de la Basel, cel puţin următoarele:
- obiectivele şi sfera de activitate;
- poziţia departamentului în cadrul organizaţiei, drepturile şi obligaţiile sale;
- responsabilităţile conducătorului departamentului de audit intern.
B.N.R. adaugă la aceste elemente şi termenii şi condiţiile în care auditorii interni pot
furniza servicii de consultanţă sau pot îndeplini sarcini speciale.
Carta trebuie să fie întocmită şi revizuită periodic de către departamentul de audit intern,
aprobată de conducerea băncii şi de consiliul de administraţie (cu avizul comitetului de audit)
şi adusă la cunoştinţa întregului personal al băncii.
În Carta Auditului Intern21 elaborată de către Bank for International Settlements, cu
valoare de îndrumar pentru bănci, sunt stipulate ca şi componente ale cartei declararea
misiunii, a independenţei şi obiectivităţii auditului intern, definirea sferei de cuprindere şi a
responsabilităţilor, delimitarea autorităţii şi a standardelor acestei activităţi.
Conform acestui document, misiunea auditului intern este aceea de a asigura realizarea
operaţiunilor băncii în conformitate cu cele mai înalte standarde.
În ceea ce priveşte poziţia departamentului de audit intern în cadrul băncii, aceasta este
definită prin poziţia efectivă în cadrul organigramei şi diagrama de relaţii care îi asigură
independenţă (departamentul răspunde direct conducerii băncii şi raportează către comitetul
de audit numit de către consiliul de administraţie) şi prin delimitarea activităţilor sale faţă de
celelalte operaţiuni ale băncii, care îi conferă obiectivitate (auditul intern nu este implicat în
activităţile zilnice de control, care sunt realizate de către fiecare structură organizatorică).
20
21
“Internal Audit Charter”, Internal Audit, Version 1.0, martie 2003
17
Audit Bancar BANCAS
Potrivit Cartei, sfera de activitate a auditului intern include revizuirea procedurilor de

management al riscurilor, a sistemului intern de control, a sistemelor informaţionale şi a
procesului de conducere (detaliate la subcapitolul 2.1.).
În ceea ce priveşte autoritatea, Carta statuează dreptul auditului intern de a avea acces în
toate domeniile băncii, la toate documentele, la toate informaţiile necesare, din documente,
înregistrări sau de la persoane, de a comunica cu orice membru al personalului băncii. În plus
faţă de aceasta, B.N.R. menţionează necesitatea ca statutul să prevadă, în mod expres, dreptul
la iniţiativă al auditorului intern, precum şi dreptul acestuia de a avea acces la “informaţii
destinate conducerii şi procese verbale şi alte materiale cu caracter similar ale tuturor
organelor de decizie şi consultative, care prezintă relevanţă în îndeplinirea atribuţiilor sale.”22
Responsabilităţile definite în acest document se referă atât la nivelul departamentului de
audit intern, cât şi la conducătorul acestuia, legate de planificarea, desfăşurarea, raportarea
activităţii de audit intern, precum şi de relaţia cu auditul extern.
Carta stipulează faptul că activitatea de audit intern ar trebui să se desfăşoare în
conformitate cu standardele celei mai bune practici profesionale (“best professional
practice”), aşa cum au fost acestea definite de Institutul Auditorilor Interni sau de Comitetul
de Supraveghere Bancară de la Basel.
După cum se poate observa, statutul activităţii de audit intern reprezintă actul normativ
care reglementează activitatea de audit intern, regulamentul de organizare şi funcţionare a
departamentului respectiv în cadrul băncii.
3.2. Standardele internaţionale de audit intern ale Institutului Auditorilor Interni (Institute of
Internal Auditors)
Dată fiind diversitatea de medii culturale şi legale, de organizaţii în care funcţionează

auditul intern, Institutul Auditorilor Interni a emis în iunie 1999 un set de “Standarde
Internaţionale pentru Practica Profesională a Auditului Intern”, pentru a stabili
responsabilităţile esenţiale ale acestei activităţi, indiferent de domeniul sau mediul în care se
desfăşoară (aplicabile, deci, şi băncilor) şi care constituie, practic, echivalentul principiilor
enunţate de Bank for International Settlements.
Aceste Standarde definesc principiile de bază şi cadrul de desfăşurare (“Attribute
Standards”), cuantificarea performanţei auditului intern (“Performance Standards”) şi modul
22
Art. 111 (1) din Norma nr. 17/2003 ale B.N.R.
18
Audit Bancar BANCAS
de aplicare a standardelor cu caracter general la unele acţiuni concrete (“Implementation

Standards”).
Menţionarea acestor standarde internaţionale este făcută doar cu titlu informativ,
expunerea privind activitatea de audit intern bancar fiind axată pe principiile enunţate de
Comitetul pentru Supraveghere Bancară de la Basel şi pe actul normativ al Băncii Naţionale
a României.
3.3. Codul de etică a auditorului intern
Comitetul de Practici Internaţionale de Audit (International Auditing Practices Committee)

din cadrul International Federation of Accountants a elaborat un Cod de etică profesională în
domeniul auditului, cod la care face trimitere şi legislaţia română în vigoare referitoare la
audit financiar23.
În ceea ce priveşte auditul intern bancar, şi norma Băncii Naţionale a României face
referire la un cod privind conduita etică a auditorului intern24, fără a preciza dacă este vorba
despre cel menţionat mai sus sau de Codul de etică a auditorului intern elaborat de Institutul
Auditorilor Interni.
Acesta din urmă, la care se raportează şi Comitetul de Supraveghere Bancară de la
Basel, statuează principiile pe care trebuie să le urmeze auditorii interni (în concordanţă cu
principiile auditului intern), precum şi conduita care trebuie respectată pentru aplicarea
acestor principii.
Astfel, activitatea auditorului intern trebuie să se înscrie pe următoarele coordonate:
- integritate;
- obiectivitate (analiza realizată de auditorul intern trebuie să fie echilibrată şi
neinfluenţată de propriile interese sau interesele unor alte persoane);
- confidenţialitate (auditorul intern trebuie să nu dezvăluie informaţiile la care are acces în
activitatea sa decât în situaţiile prevăzute prin reglementări);
- competenţă (auditorul intern trebuie să aibă pregătirea şi experienţa necesare pentru
activitatea sa).
23
Ordonanţa de Urgenţă a Guvernului nr. 75/1999 aprobată cu modificări şi completări prin Legea nr.
Legea nr. 12/2003
24
Art. 104, Norma B.N.R.nr. 17/2003
19
Audit Bancar BANCAS
Integritatea înseamnă că auditorul intern trebuie să-şi îndeplinească atribuţiile cu

onestitate, diligenţă şi responsabilitate; trebuie să nu ia parte, cu bună ştiinţă, la activităţi
ilegale sau să se angajeze în acţiuni care pot să-l discrediteze; trebuie să respecte legea şi să
facă numai dezvăluirile permise de lege sau de profesie; trebuie să respecte şi să contribuie la
realizarea obiectivelor etice ale organizaţiei din care face parte.
Pentru menţinerea obiectivităţii, auditorul intern trebuie să nu participe la activităţi sau să
nu aibă relaţii sau să nu accepte ceva care să-i influenţeze judecata profesională, iar dacă are
cunoştinţă despre un fapt care ar putea distorsiona activitatea, trebuie să dezvăluie acel fapt.
Respectarea principiului confidenţialităţii presupune prudenţă în utilizarea informaţiilor,
protejarea informaţiilor la care are acces în îndeplinirea atribuţiilor şi neutilizarea
informaţiilor în folos personal sau în oricare altă manieră care ar putea aduce atingere
intereselor organizaţiei din care face parte.
Competenţa în activitatea auditorului intern înseamnă ca acesta să nu se angajeze în
activităţi pentru care nu are pregătirea şi experienţa necesară, să respecte standardele
internaţionale de audit şi să îşi perfecţioneze continuu pregătirea profesională şi calitatea
serviciilor.
4. Organizarea auditului intern bancar
Activitatea de audit intern bancar se realizează prin două forme organizatorice:

departamentul de audit intern şi comitetul de audit.
Despre departamentul de audit s-a vorbit cu prilejul prezentării principiilor activităţii
şi a cartei auditului intern, atât din punct de vedere al locului său în cadrul organigramei
băncii, cât şi din punctul de vedere al atribuţiilor şi responsabilităţilor. În legătură cu acesta,
un singur aspect merită să mai fie detaliat, şi anume cel referitor la conducătorul
departamentului de audit.
4.1.Atribuţiile şi responsabilităţile conducătorului departamentului de audit intern bancar
Pornind de la principiul 12 enunţat Comitetul de Supraveghere Bancară de la Basel 25,

norma Băncii Naţionale a României26 realizează o adevărată fişă a postului de conducător al
departamentului de audit intern.
25
“Conducătorul departamentului de audit intern trebuie să fie responsabil pentru asigurarea desfăşurării
activităţii acestuia în conformitate cu principii interne de audit solide.”
20
Audit Bancar BANCAS
Conform acesteia, coordonatorul departamentului de audit intern răspunde de:

1) dezvoltarea şi menţinerea unui program de asigurare a calităţii şi îmbunătăţirea activităţii
de audit intern;
2) monitorizarea şi evaluarea eficienţei programului de asigurare a calităţii auditului intern;
3) asigurarea competenţei profesionale a auditorilor interni, pregătirea profesională a
acestora, asigurarea resurselor adecvate desfăşurării activităţii;
4) stabilirea politicilor şi procedurilor aferente activităţii de audit intern;
5) coordonarea activităţilor desfăşurate de auditorii interni din cadrul băncii cu cele ale
furnizorilor de servicii de audit intern din afara băncii;
6) elaborarea planului de audit intern;
7) informarea consiliului de administraţie şi a comitetului de audit cu privire la activitatea
desfăşurată.
Pentru a completa fişa acestuia, ar mai trebui făcută referire şi la cerinţele de pregătire
profesională pentru ocuparea postului, în conformitate cu Statutul auditului intern, Codul de
etică a auditorului intern, şi la cerinţa legală, din România, ca acesta să fie auditor financiar27.
4.2.Comitetul de audit
Norma Băncii Naţionale a României nr. 17/2003 (Art. 120 (1)) instituie
obligativitatea existenţei unui comitet de audit în cadrul fiecărei bănci, preluând
recomandarea Comitetului de la Basel pentru Supraveghere Bancară. Motivaţia acestei
recomandări rezidă în necesitatea existenţei unui organ consultativ, cu caracter permanent,
care să sprijine consiliului de administraţie al unei bănci în îndeplinirea dificilei sarcini de a
menţine şi întări sistemul de control intern.
Şi în ceea ce priveşte componenţa, competenţele şi funcţionarea comitetului de audit,
Banca Naţională a României aplică recomandările Comitetului de la Basel. Se precizează,
astfel, că activitatea comitetului trebuie să se desfăşoare pe baza unui regulament aprobat de
către consiliul de administraţie.
26
Art. 113, Norma B.N.R. nr. 17/2003
27
Ordonanţa de Urgenţă a Guvernului nr. 75/1999 aprobată cu modificări şi completări prin Legea nr.
Legea nr. 12/2003
21
Audit Bancar BANCAS
Referitor la componenţa comitetului, sunt însuşite recomandările Comitetului de la

Basel menite să împiedice apariţia situaţiilor de conflict de interese (membrii să fie membri
ai consiliului de administraţie, dar să nu fi fost sau să nu fie conducători ai acesteia), precum
şi cele referitoare la competenţa profesională (experienţă corespunzătoare, iar cel puţin un
membru să aibă experienţă în domeniul auditului sau contabilităţii).
Competenţele comitetului sunt fie de ordin general (încurajarea comunicării dintre
consiliul de administraţie, conducătorii băncii, auditul intern, auditorul extern şi organismul
de supraveghere bancară), fie specifice:
- avizarea cartei auditului intern, a planului de audit şi a necesarului de resurse pentru
această activitate;
- asigurarea relaţiei cu auditorul extern, în sensul primirii planului de audit de la auditorul
extern, a concluziilor şi recomandărilor acestuia28;
- analiza constatărilor şi recomandărilor auditului intern şi a planului de implementare a
acestora.
După unele opinii29, în fruntea acestor competenţe ar trebui să se afle cea legată de
alegerea celui mai bun candidat pentru postul de coordonator al departamentului de audit
intern; comitetul de audit trebuie să se asigure că persoana desemnată corespunde profilului
moral şi profesional potrivit funcţiei.
Zonele principale de preocupare a comitetului de audit se referă la funcţionarea
sistemului de control intern şi a departamentului de audit intern, ariile de risc ce trebuie
acoperite de auditul intern şi cel extern, corectitudinea şi credibilitatea informaţiilor
financiare furnizate conducerii băncii şi altor instituţii, conformarea băncii cu prevederile
cadrului legal şi normativ.
Stabilirea periodicităţii întrunirilor comitetului de audit este lasată de Banca Naţională a
României la latitudinea băncilor, pentru a fi stabilită în cadrul regulamentului comitetului.
După unele păreri30, comitetul de audit ar trebui să se întâlnească de cel puţin patru ori pe
an, iar una dintre aceste întruniri trebuie să fie dedicată situaţiilor financiare anuale.
28
În proiectul normei B.N.R., fusese inclusă ca atribuţie şi “formularea unei recomandări cu privire la numirea
auditorului extern”; în norma aprobată aceasta apare la capitolul de “activităţi permise” (Art. 126).
29
“Asking the Right Questions: Sage Advice for Audit Committees”, Jacqueline K. Wagner, General Auditor,
revista “Directors and Boards”, septembrie 2000
30
TCF Financial Corporation, Audit Committee Charter, octombrie 2002
22
Audit Bancar BANCAS
4.3.Externalizarea activităţii de audit intern
Externalizarea poate aduce avantajele unei expertize înalte, mai ales pe proiecte
speciale de audit, dar poate genera şi riscuri pentru bancă (cum ar fi riscul de
pierderi sau riscul de a avea control redus asupra activităţii externalizate). Aceste riscuri
trebuie să fie monitorizate şi gestionate atent, cu atât mai mult cu cât activitatea de audit
intern este foarte importantă, iar consiliul de administraţie al băncii rămâne responsabil de
funcţionarea eficientă a sistemului de control şi în cazul externalizării unei părţi a acestuia.
În unele ţări, ideea externalizării (totale) auditului intern nu este agreată,
considerându-se că departamentul de audit intern al băncii trebuie să aibă nivelul necesar de
competenţă profesională pentru a acoperi toate activităţile cheie ale băncii. Totuţi, se admite
ideea cooptării unui expert extern care să facă anumite evaluări pentru departamentul de
audit (externalizare parţială).
Banca Naţională a României este favorabilă ideii de externalizare a unei activităţi
bancare, dar în limite clar definite printr-o politică a băncii, în condiţiile existenţei unor
proceduri de administrare a riscurilor asociate activităţilor externalizate şi cu stipularea
clară a responsabilităţilor fiecărei părţi implicate în cadrul contractului de prestări servicii.
Astfel, în opinia băncii centrale, procedurile de administrare a riscurilor ataşate
activităţilor externalizate trebuie să se refere cel puţin la următoarele aspecte: criteriile de
evaluare a societăţii prestatoare de servicii, nivelul de competenţă de aprobare a
externalizării, monitorizarea permanentă a derulării contractului de externalizare şi existenţa
unor planuri alternative pentru cazul în care este necesară schimbarea societăţii prestatoare
de servicii.
În ceea ce priveşte cazul particular al auditului intern, Banca Naţională stabileşte că
decizia de externalizare totală sau parţială a acestuia trebuie să aparţină consiliului de
administraţie a băncii, cu avizul comitetului de audit şi pe baza fundamentărilor şi
propunerilor formulate de către coordonatorul activităţii de audit intern (care trebuie să
rămână în interiorul băncii).
În ceea ce priveşte firma prestatoare de servicii de audit intern, în unele ţări (şi în
România31) este impusă condiţia ca aceasta să fie diferită de auditorul extern, dar părerea
unanim împărtăşită este aceea că trebuie să îndeplinească condiţii de competenţă
profesională şi de performanţă financiară. Referitor la performanţa financiară, norma Băncii
31
Art. 87 (b) din Normele nr. 17/2003 ale B.N.R.
23
Audit Bancar BANCAS
Naţionale a României reţine indicatorul de solvabilitate, dar pune accent pe indicatorii de

calitate ai firmei respective: reputaţia, calitatea serviciului, personal competent, specializarea
în auditarea respectivei categorii de instituţie financiară etc.
Deosebit de importantă, după alegerea auditorului intern din afara băncii, este
alocarea clară a responsabilităţilor fiecărei părţi în cadrul contractului de prestări servicii.
Astfel, trebuie să se stipuleze cel puţin următoarele drepturi şi obligaţii ale băncii
contractante: asigurarea existenţei unor date actualizate şi a altor informaţii, măsurile ce se
pot lua împotriva societăţii prestatoare de servicii în cazul încălcării confidenţialităţii,
necesitatea aprobării planului de audit intern. În sarcina societăţii prestatoare de servicii
trebuie reţinute cel puţin următoarele obligaţii: asigurarea accesului unor entităţi din
România la datele şi informaţiile aferente operaţiunilor din România, în cazul externalizării
unor activităţi în afara graniţelor ţării, asigurarea securităţii/confidenţialităţii datelor (prin
angajamentul de confidenţialitate, separarea datelor băncii de cele ale societăţii şi de cele ale
altor clienţi ai acesteia), asigurarea resurselor necesare pentru realizarea prevederilor
contractuale.
Studiul efectuat de Comitetul de la Basel 32 relevă faptul că externalizarea auditului
intern nu este o practică obişnuită în cele mai multe ţări, iar atunci când se recurge la servicii
externe, acestea sunt, de obicei, furnizate de o firmă din cadrul grupului de care aparţine
banca respectivă. De cele mai multe ori, băncile mici îşi externalizează auditul intern , dar
numai activitatea în sine, nu şi responsabilitatea.
5. Relaţia dintre departamentul de audit intern şi autoritatea de supraveghere
Relaţia dintre autoritatea de supraveghere şi departamentul de audit intern al unei

bănci ar trebui să fie una bivalentă: pe de o parte, de control exercitat de către autoritate
asupra activităţii de audit intern, iar pe de altă parte, de colaborare.
“Autoritatea de supraveghere bancară ar trebui să evalueze activitatea
departamentului de audit intern al băncii şi, în cazul în care rezultatul este satisfăcător, se
poate baza pe aceasta pentru a identifica domeniile cu risc potenţial”33.
32
33
Principiul 13, “Internal audit in banks and the supervisor’s relationship with auditors, Basel Committee on
24
Audit Bancar BANCAS
Aceasta reprezintă o abordare indirectă pentru evaluarea eficienţei şi calităţii

sistemului de control intern, din care face parte şi auditul intern. Evaluarea activităţii
desfăşurate de auditul intern se poate face pe baza principiilor şi regulilor cuprinse în
reglementările bancare referitoare atât la organizarea şi funcţionarea auditului intern, cât şi la
sistemele de control intern şi de administrare a riscurilor, pe baza statutului auditului intern şi
a codului de conduită a auditorilor interni.
În cazul în care “supra-controlul” într-o bancă este de o calitate satisfăcătoare,
autoritatea de supraveghere poate prelua rapoartele acestuia pentru a identifica problemele
sistemului de control intern din cadrul băncii sau pentru a identifica ariile cu risc potenţial
care nu au intrat recent în vizorul auditului intern.
În ceea ce priveşte colaborarea dintre autoritatea de supraveghere şi departamentul de
audit al băncii, Comitetul privind Supravegherea Bancară de la Basel opinează că ar trebui să
aibă loc consultări periodice între cele două părţi în care să se discute domeniile cu risc şi
măsurile luate pentru acoperirea riscurilor. Totodată, aceste discuţii ar trebui lărgite la nivelul
întregului sistem bancar, pentru subiecte de interes comun, ce ţin de politici şi de
reglementări. Comentariile Comitetului în legătură cu relaţia de colaborare merg până la a
sugera ca autoritatea de supraveghere să fie un “scut” de protecţie al conducătorului
departamentului de audit intern al unei bănci, care sa-l protejeze de măsurile pe care
conducerea băncii “deranjată” de sesizările acestuia le-ar putea lua.
Aceste recomandări au fost aplicate în practică, după cum relevă studiul Comitetului
de la Basel34; organismele de supraveghere evaluează munca departamentelor de audit din
băncile pe care le controlează prin întâlniri periodice, evaluări la faţa locului şi rapoarte.
Totodată, au loc consultări pe probleme de funcţionare a departamentului de audit, de
reglementări în domeniul supravegherii şi implicaţiile acestora asupra controlului intern şi a
auditului intern.
6. Relaţia dintre auditorii interni şi auditorii externi
În opinia Comitetului privind Supravegherea Bancară de la Basel, auditorii interni şi

cei externi ar trebui să colaboreze. Această părere îmbracă forma unei recomandări făcute
autorităţii pentru supraveghere bancară : “Autorităţile de supraveghere ar trebui să încurajeze
34
25
Audit Bancar BANCAS
consultarea dintre auditorii interni şi externi pentru a face cooperarea lor cât mai eficientă şi
mai eficace.”35
Pe de o parte, se consideră că auditorii externi pot avea un impact important
asupra calităţii controlului intern prin activităţile lor de audit, inclusiv prin discuţiile cu
conducerea şi consiliul de administraţie al băncii, cu comitetul de audit, sau prin
recomandările făcute cu privire la îmbunătăţirea controlului intern.
Pe de altă parte, auditorului extern ar trebui să i se pună la dispoziţie rapoartele de
audit intern referitoare la situaţiile financiare ale băncii şi ar trebui să fie informat cu privire
la toate aspectele importante sesizate de auditorul intern în domeniul acesta.
De asemenea, conducătorului departamentului de audit intern îi revine sarcina de a
contribui la determinarea naturii, perioadei şi întinderii auditului extern astfel încât cele două
activităţi să fie coordonate şi să nu se producă suprapuneri inutile.
Mijloacele de cooperare şi comunicare se referă la întâlniri periodice pentru a discuta
probleme de interes comun, tehnici, metode şi terminologie specifice auditului, precum şi
schimbul de rapoarte de audit. Organismele de supraveghere subliniază importanţa
consultărilor periodice dintre auditorii interni şi cei externi pentru coordonarea mai bună a
acţiunilor şi evitarea duplicării activităţii de audit.
Relaţiile dintre auditul intern al unei bănci şi auditorul extern şi autoritatea de

supraveghere sunt, astfel, prezentate într-o ipostază mai puţin obişnuită pentru cultura
bancară românească, unde există ideea ori a unui raport de concurenţă, de forţă, ori a unui
raport antagonic. Dacă se analizează obiectivele activităţii tuturor acestor trei factori, se poate
observa că există o convergenţă evidentă a intereselor lor, care impune în mod firesc ideea de
colaborare. Şi dacă acest lucru devine evident, nu mai trebuie decât încrederea părţilor pentru
ca relaţia de colaborare să funcţioneze36.
35
Principiul 16, “Internal audit in banks and the supervisor’s relationship with auditors, Basel Committee on
36
“If there is no trust, co-operation cannot exist.” - “Internal audit in banks and the supervisor’s relationship
with auditors, Basel Committee on Banking Supervision, Bank for International Settlements, August 2001
26
Audit Bancar BANCAS
7. Desfăşurarea activităţii de audit intern
7.1 Tipuri de audit intern
Normele B.N.R. nr. 17/200337 preiau, atunci când se referă la formele de audit intern,
specifice unui angajament de audit, clasificarea dată de Comitetul de la Basel:
a) audit financiar – în scopul evaluării credibilităţii sistemului contabil şi informatic şi a
situaţiilor financiare anuale;
b) audit de conformitate – referitor la conformitatea activităţii băncii cu legile,
reglementările şi procedurile;
c) audit operaţional – constă în verificarea calităţii şi adecvării sistemelor şi procedurilor,
analiza critică a structurii organizatorice, evaluarea adecvării metodelor şi resurselor în
raport cu obiectivele stabilite;
d) audit al conducerii – cu obiectivul de a evalua din punct de vedere calitativ modul în
care este exercitată funcţia de conducere pentru îndeplinirea obiectivelor instituţiei de
credit.
Departamentul de audit intern al unei bănci examinează şi evaluează toate activităţile

băncii, desfăşurate de toate entităţile acesteia. Prin urmare, auditul intern nu trebuie să se
concentreze numai pe un anumit tip de audit, ci să utilizeze forma de audit cea mai adecvată
obiectivului de audit ce trebuie atins. Mai mult, activitatea de audit nu trebuie să se
structureze numai pe auditarea diverselor departamente ale băncii, ci şi pe activităţi derulate
prin aportul mai multor departamente.
Banca Naţională a României identifică38, de asemenea, şi următoarele tipuri de servicii de
consultanţă pe care departamentul de audit le poate realiza:
- angajamente oficiale de consultanţă – planificate şi formalizate într-un document scris;
- angajamente neoficiale de consultanţă – participarea la comitete permanente, proiecte
pe durată limitată, întruniri ad-hoc şi schimb de informaţii;
- angajamente speciale de consultanţă – participări la fuziuni şi achiziţii;
- angajamente de consultanţă pentru cazuri deosebite – participarea într-o echipă
stabilită pentru redresarea sau menţinerea activităţilor după un dezastru sau alt eveniment
37
Art. 114 (1), Norma nr. 17/2003 a Bancii Naţionale a României
38
Art. 114 (2), Norma nr. 17/2003 a Băncii Naţionale a României
27
Audit Bancar BANCAS
extraordinar sau într-o echipă desemnată să acorde sprijin pentru îndeplinirea unei cerinţe
speciale.
7.2. Derularea activităţii de audit intern bancar
a. Activitatea departamentului de audit intern se desfăşoară în baza unui plan de audit,

întocmit de conducătorul departamentului, avizat de comitetul de audit şi aprobat de către
consiliul de administraţie şi de conducătorii băncii.
La baza întocmirii planului de audit trebuie să se afle înţelegerea activităţilor
semnificative ale băncii şi evaluarea riscurilor asociate acestora.
Evaluarea riscurilor are loc pe baza unei metodologii, a unor principii stabilite de către
conducătorul departamentului de audit intern, care trebuie actualizate periodic astfel încât să
reflecte schimbările din sistemul de control intern, din activitatea băncii (atât din punct de
vedere operaţional, cât şi din punct de vedere strategic). Evaluarea riscurilor se face pentru
toate activităţile şi toate entităţile băncii, precum şi pentru întregul sistem de control intern.
Pe baza rezultatelor acestor evaluări se întocmeşte planul de audit, un plan multianual;
acesta trebuie să încorporeze, astfel, şi o componentă de previziune, respectiv inovările şi
dezvoltările estimate şi gradul general de risc mai ridicat asociat noilor activităţi. Planul
trebuie astfel alcătuit încât să acopere, într-o perioadă rezonabilă39 (de exemplu, de trei ani),
toate activităţile şi entităţile semnificative. Planul trebuie să cuprindă termenele, natura şi
frecvenţa angajamentelor planificate, precum şi resursele necesare pentru realizarea acestuia,
inclusiv cele de personal (atât din punct de vedere numeric, cât şi din punct de vedere al
competenţei profesionale).
În opinia Comitetului de la Basel40, planul de audit intern trebuie să fie realist, adică să
rezerve timp şi pentru alte angajamente (de consultanţă) şi pentru pregătire profesională.
Totodată, planul poate face obiectul revizuirii şi actualizării ori de câte ori este necesar.
b. Pentru derularea fiecărui angajament de audit se realizează un program de audit; acesta

descrie obiectivele urmărite şi etapele activităţii de audit.
39
În opinia B.N.R., această perioadă trebuie stabilită prin statutul auditului intern (Art. 115 (4), Normele nr.
17/2003)
40
“Internal audit in banks and the supervisor’s relationship with auditors, Basel Committee on Banking
Supervision, Bank for International Settlements, August 2001
28
Audit Bancar BANCAS
În realizarea acestuia, auditorii interni trebuie să ţină seama de:

- obiectivele activităţii auditate şi mijloacele prin care activitatea îşi controlează
performanţa;
- riscurile semnificative pentru activitatea respectivă, obiectivele, resursele, operaţiunile şi
metodele prin care impactul potenţial al riscului este menţinut la un nivel acceptabil;
- adecvarea şi eficacitatea a administrării riscurilor şi a sistemelor de control în comparaţie
cu un model de control relevant;
- oportunităţile de a aduce îmbunătăţiri semnificative activităţii de administrare a riscurilor
şi de control41.
Prin urmare, obiectivele programului trebuie să reflecte rezultatele evaluării riscurilor

identificate pentru activitatea auditată. Resursele şi perioada de timp alocate trebuie să
corespundă caracteristicilor activităţii auditate, complexităţii acesteia şi expunerilor la risc.
Programul de audit reprezintă un instrument relativ flexibil, ce poate fi adaptat şi
completat în funcţie de riscurile identificate pe parcursul derulării angajamentului; acesta,
precum şi modificările ulterioare, fac obiectul aprobării de către conducătorul
departamentului de audit intern.
Procedurile de identificare, analiză, evaluare şi înregistrarea a informaţiilor pe perioada
de desfăşurare a angajamentului de audit sunt cuprinse, după metode bine determinate, în fişe
de lucru, aprobate de conducătorul departamentului de audit intern înainte de începerea
angajamentului.
Coordonatorul departamentului de audit trebuie să stabilească politici privind păstrarea
datelor aferente fiecărui angajament şi privind comunicarea acestora unor terţe părţi, cu
acordul conducerii băncii. Tot coordonatorului departamentului de audit intern îi revine
sarcina de a superviza desfăşurarea angajamentelor pentru a se asigura că obiectivele acestora
vor fi atinse, că activitatea se ridică la standardele de calitate dorite şi că personalul este
alocat eficient.
Standardul de audit 240042, referitor la comunicarea rezultatelor angajamentului de audit,
stipulează: “Auditorii interni trebuie să comunice rezultatele angajamentului cu
41
International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors,
October, 2001
42
International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors,
October, 2001
29
Audit Bancar BANCAS
promptitudine”. Această menţiune se referă atât la comunicarea, pe parcursul derulării

angajamentului, a unor informaţii ce necesită atenţie imediată sau a stadiului derulării
angajamentului, sub forma unor rapoarte interimare, cât şi la întocmirea, într-o perioadă cât
mai scurtă de la încheierea angajamentului, a raportului de audit.
Raportul de audit rezultat în urma unui angajament trebuie să prezinte obiectivele,
scopul şi întinderea angajamentului, perioada auditată, constatările (inclusiv cele referitoare
la stadiul îndeplinirii recomandărilor din angajamente anterioare), răspunsurile structurii
auditate, recomandările auditului intern şi un plan de acţiuni pentru punerea în aplicare a
acestora.
Raportul de audit este transmis conducerii structurii auditate şi, într-o formă sumară,
conducătorilor băncii. În cazul în care raportul conţine informaţii privilegiate, legate de
acţiuni ilegale sau necorespunzătoare, care nu trebuie cunoscute de către toţi destinatarii
raportului, acestea trebuie să fie dezvăluite într-un raport separat, transmis consiliului de
administraţie.
Conducătorul departamentului de audit intern are ca obligaţie monitorizarea
implementării recomandărilor făcute în urma angajamentelor de audit. Această misiune este
facilitată de instrumentul folosit, şi anume planul de acţiuni; acesta stabileşte importanţa
recomandării făcute, responsabilităţile persoanelor implicate în remedierea deficienţelor
constatate, termenul de îndeplinire a recomandării, complexitatea măsurii de corectare şi
implicaţiile nerealizării acestei măsuri. Rezultatele monitorizării trebuie aduse la cunoştinţă,
cel puţin semestrial, consiliului de administraţie şi comitetului de audit.
La nivelul departamentului de audit intern se păstrează evidenţa angajamentelor de
audit şi a rapoartelor rezultate în urma acestora Pe această bază se poate face evaluarea
eficienţei programului de asigurare a calităţii activităţii de audit, respectiv: - evaluarea
conformităţii cu normele de audit intern şi codul de conduită;
- adecvarea activităţii de audit intern la statutul auditului intern, obiectivele, politicile şi
procedurile aferente;
- contribuţia auditului intern la îmbunătăţirea procesului de administrare a riscurilor, de
conducere şi la sistemul de control intern;
- modul în care auditul intern a contribuit la îmbunătăţirea activităţii băncii.
30
Audit Bancar BANCAS
Pentru evaluarea calităţii activităţii departamentului de audit intern într-o anumită perioadă
de timp se pot folosi o serie de indicatori:43
- indicatori ai activităţii: număr de angajamente realizate; numărul activităţilor şi
structurilor auditate; numărul recomandărilor propuse; numărul recomandărilor aplicate,
numărul de zile alocate, în medie, unui angajament; numărul de zile alocate, în medie,
pentru fiecare fază a angajamentelor; evoluţia numărului şi tipului de deficienţe
constatate;
- indicatori de gestiune: cheltuieli cu salarizarea auditorilor interni; cheltuieli cu
pregătirea profesională a auditorilor interni; alte cheltuieli;
- indicatori de organizare: număr de angajamente pe auditor intern; număr de teme noi pe
auditor intern;
- indicatori de animaţie: număr de şedinţe în echipă; număr de zile alocate pentru
formarea profesională a auditorilor interni.
În ultimă instanţă, performanţele financiare ale instituţiei bancare obţinute în condiţii
de bună gestionare a riscurilor reprezintă indicatorul final care exprimă şi eficienţa şi
eficacitatea activităţii de audit intern.
Cuvinte cheie
Independenţa auditului Competenţa profesională Codul de etică

Imparţialitatea auditului Exhaustivitatea auditului Conducatorul auditului
Continuitatea auditului Statutul auditului intern Comitetul de audit
Externalizarea auditului Autoritatea de supraveghere Auditori externi
Exerciţii şi întrebări
1. Ce reprezintă independenţa, imparţialitatea, continuitatea şi exhaustivitatea auditului intern

bancar?
2. Ce calităţi şi competenţe trebuie să îndeplinească un conducător al departametului de audit
intern?
43
Vasile Dedu -“Gestiune şi audit bancar”, pag. 322 – 323, Editura Economică, Bucureşti, 2003
31
Audit Bancar BANCAS
3. Creonaţi după propria inspiraţie un model de statut al auditului intern.
32
Audit Bancar BANCAS
CAPITOLUL 3 CONTROLUL INTERN BANCAR
1. Obiectivele controlului intern bancar

2. Elementele principale ale sistemului de control intern bancar
2.1. Rolul şi responsabilităţile consiliului de administraţie şi ale
conducătorilor băncii
2.2. Identificarea şi evaluarea riscurilor
2.3. Activităţile de control şi separarea atribuţiilor
2.4. Informare şi comunicare
2.5. Activităţile de monitorizare şi de corectare a deficienţelor
3. Evaluarea sistemelor de control intern de către autorităţile de
supraveghere
Controlul intern bancar
După cum s-a arătat în capitolul precedent, unul dintre principalele obiective ale
auditului intern îl reprezintă evaluarea eficienţei şi a gradului de adecvare a sistemului de
control intern, a cărui parte componentă este.
Controlul intern, aşa cum este definit de Norma B.N.R. nr.17/2003 şi de Comitetul
de la Basel44, reprezintă un proces continuu la care participă consiliul de administraţie,
conducătorii, precum şi personalul băncilor. Este subliniat astfel faptul că nu este vorba
doar despre o procedură sau o politică aplicată la un moment dat, ci de un cumul de acţiuni
desfăşurate continuu la toate nivelurile băncii.
Interesul acordat controlului intern şi caracterului său continuu este consecinţa
analizei cauzelor care au determinat înregistrarea de pierderi semnificative de către unele
bănci; această analiză a identificat lipsa unor sisteme de control intern adecvate ca fiind un
determinant major al pierderilor. Concluzia trasă din aceste experienţe a fost că un sistem de
control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au
dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern
44
“Framework for internal control systems in banking organisations”, Basle Committee on Banking
Supervision, Basle, septembrie 1998
33
Audit Bancar BANCAS
eficient reprezintă o componentă critică a gestionării unei bănci, care poate sprijini realizarea
obiectivelor băncii şi atingerea ţintelor sale de profitabilitate.
1. Obiectivele controlului intern bancar
Definiţia dată mai sus cuprinde trăsătura pregnantă a controlului intern, participanţii
la acest proces, dar nu este completă; lipseşte partea referitoare la conţinutul acestei activităţi,
care se regăseşte descris prin obiectivele controlului intern.
Principalele obiective ale procesului de control intern pot fi categorisite astfel:
1. eficienţa şi eficacitatea activităţilor (obiective de performanţă);
2. relevanţa, credibilitatea , caracterul complet şi oportun al informaţiilor financiare şi de
gestiune (obiective privind informaţia);
3. conformitatea cu legile şi reglementările aplicabile (obiective de conformitate).
Obiectivele de performanţă ale controlului intern se referă la eficienţa şi eficacitatea cu
care banca îşi utilizează activele şi alte resurse şi la protecţia băncii împotriva pierderilor.
Prin proiectarea normelor de control intern trebuie să se asigure că întregul personal al băncii
se preocupă de atingerea obiectivelor acesteia cu eficienţă şi integritate, fără costuri excesive
şi fără a plasa alte interese înaintea celor ale băncii.
Obiectivele privind informaţiile sunt legate de pregătirea în mod operativ a unor rapoarte
relevante şi de încredere, care să stea la baza procesului de luare a deciziilor în bancă.
Totodată, se referă la informaţiile financiare, la situaţiile financiare anuale şi altele de acest
gen, destinate consiliului de administraţie, acţionarilor, organismelor de supraveghere, a
căror calitate şi integritate este absolut necesară pentru luarea deciziilor.
Obiectivele de conformitate trebuie atinse pentru a proteja reputaţia şi autorizaţia de
funcţionare, prin respectarea legilor, cerinţelor autorităţii de supraveghere, normelor şi
politicilor interne.
2. Elementele principale ale sistemului de control intern bancar
Procesul de control intern, iniţial conceput ca un mecanism de reducere a riscurilor de

fraudă, furt şi eroare, a căpătat în timp multe alte valenţe, adresându-se unei varietăţi mai
mari de riscuri cu care se confruntă banca şi de acoperirea cărora depinde realizarea
obiectivelor băncii.
Controlul intern cuprinde cinci elemente aflate în strânsă corelare:
34
Audit Bancar BANCAS
1. supravegherea exercitată de către consiliul de administraţie şi conducerea băncii;

2. identificarea şi evaluarea riscurilor;
3. activităţile de control şi separarea atribuţiilor;
4. informarea şi comunicarea;
5. activităţile de monitorizare şi de corectare a deficienţelor.
Problemele identificate în analiza pierderilor suferite de bănci se circumscriu acestor
cinci elemente, a căror funcţionare este esenţială pentru atingerea celor trei obiective ale
controlului intern.
2.1. Rolul şi responsabilităţile consiliului de administraţie şi ale conducătorilor băncilor
“Consiliul de administraţie ar trebui să aibă responsabilitatea aprobării şi revizuirii

periodice45 a strategiilor de ansamblu şi a politicilor semnificative ale băncii; înţelegerii
riscurilor majore cu care banca are de-a face, stabilirii nivelurilor acceptabile ale acestor
riscuri şi asigurării că sunt luate măsurile necesare de către conducerea băncii pentru a
identifica, măsura, monitoriza şi controla aceste riscuri; aprobării structurii organizatorice;
şi asigurării asupra faptului că eficacitatea sistemului de control intern este monitorizată de
conducerea băncii. Consiliul de administraţie este responsabil, în ultimă instanţă, pentru
stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.”46
Consiliul de administraţie îndrumă şi supraveghează conducerea băncilor, iar pentru a
îndeplini aceste atribuţii membrii acestuia trebuie să fie obiectivi, capabili, cu o pregătire
profesională adecvată, să aibă o bună cunoaştere a activităţilor băncii şi a riscurilor cu care
se confruntă aceasta. În acest sens, Legea nr. 485/2003 pentru modificarea şi completarea
Legii bancare nr. 58/1998 impune condiţii cu privire la experienţa profesională necesară
pentru a putea fi membru al consiliului de administraţie al unei bănci, şi anume “experienţă
de minimum 3 ani în domeniul financiar – bancar sau într-un domeniu care poate fi
considerat relevant pentru activitatea băncii”.
Totodată, pentru a permite menţinerea obiectivităţii, în unele ţări consiliul are membri
care nu sunt implicaţi în conducerea activităţilor de zi cu zi ale băncii. În România, aceeaşi
lege citată mai sus are o nuanţă mai categorică, mai restrictivă în această privinţă, şi anume:
45
Norma B.N.R. nr. 17/2003 stabileşte periodicitatea cu care este necesară a se îndeplini această atribuţie, şi
anume “cel puţin anual”.
46
Principiul 1, “Framework for internal control systems in banking organisations”, Basle Committee on
Banking Supervision, Basle, septembrie 1998
35
Audit Bancar BANCAS
“În cazul în care conducătorii băncii fac parte din consiliul de administraţie, numărul
membrilor acestuia trebuie să fie stabilit astfel încât administratorii care nu au şi calitatea de
conducător să constituie majoritatea.” (pct. 41 privind modificare Art. 26 al Legii 58/1998).
Mijloacele prin care consiliul de administraţie îşi poate exercita atribuţiile,
identificate de Norma B.N.R. nr. 17/2003, Art. 5. (3 ) sunt:
- discuţii periodice (de regulă trimestrial) cu conducerea operativă privind eficienţa
sistemului de control intern;
- analiza periodică (de regulă trimestrial) a evaluărilor sistemului de control intern
efectuate de conducerea operativă, de auditul intern şi, după caz, de auditorul financiar
extern şi de autoritatea de supraveghere;
- asigurarea implementării de către conducerea operativă a recomandărilor formulate de
auditul intern, de auditorul financiar şi de Banca Naţională a României cu privire la
deficienţele sistemului de control intern şi examinarea efectului măsurilor implementate.
La acestea, Comitetul de la Basel adaugă şi revizuirea periodică a strategiei băncii şi a
limitelor de risc, care apare şi ca atribuţie a consiliului de administraţie.
În unele ţări, printre care şi România, consiliul de administraţie se bazează pe ajutorul dat
de comitetul de audit, constituit din membri ai acestuia (vezi capitolul 2.4.2.). Comitetul
examinează în detaliu informaţiile şi rapoartele primite, supraveghează procesul de raportare
financiară şi sistemul de control intern, este în contact direct cu departamentul de audit intern
şi cu auditorul financiar, dar dreptul de decizie aparţine consiliului de administraţie.
“Conducătorii băncilor ar trebui să aibă responsabilitatea implementării strategiilor şi

politicilor aprobate de consiliul de administraţie; responsabilitatea identificării,
monitorizării şi controlului riscurilor din activitatea băncii; responsabilitatea menţinerii
unei structuri organizatorice care desemnează clar relaţiile de autoritate, responsabilitate şi
de raportare; responsabilitatea de a se asigura că responsabilităţile delegate sunt realizate;
responsabilitatea stabilirii de politici adecvate de control intern; şi responsabilitatea
monitorizării eficienţei şi adecvării sistemului de control intern.”47
Opinia autorităţii de reglementare în domeniul bancar din România, exprimată prin
Norma nr. 17/2003, diferă de cea de mai sus în unele locuri, fie prin nuanţări, fie prin
generalizări, fie prin înglobarea unor atribuţii conexe celor statuate de Comitetul de la Basel.
47
36
Audit Bancar BANCAS
Astfel, în domeniul riscurilor semnificative, Banca Naţională a României. precizează că

atribuţiile conducătorilor se referă atât la coordonarea procesului de elaborare a
procedurilor, cât şi la luarea măsurilor necesare pentru identificarea, evaluarea,
monitorizarea şi controlul riscurilor.
În ceea ce priveşte atribuţiile delegate conducerii operative, Banca Naţională a României
menţionează că acestea se referă doar la stabilirea politicilor şi procedurilor de control intern,
în timp ce în domeniul structurii organizatorice atribuţia conducătorilor este foarte “largă” –
de a menţine o structură organizatorică adecvată.
Mai mult, norma Băncii Naţionale a României identifică atribuţiile conducătorilor în
domeniul personalului: să se asigure că activităţile băncii sunt derulate de personal calificat,
având experienţă şi cunoştinţe necesare şi să asigure instruirea corespunzătoare a
personalului.
În comentariile ce însoţesc enunţarea acestui principiu, Comitetul de la Basel face
referire însă şi la retribuirea corespunzătoare a personalului cu funcţie de control şi la
obligaţia conducătorilor de a institui politici privind recompensarea şi promovarea
personalului, care să răsplătească comportamentul adecvat al acestuia şi să minimizeze
cazurile de ignorare sau nerespectare a mecanismelor de control intern.
“Consiliul de administraţie şi conducătorii băncii sunt responsabili pentru

promovarea unor înalte standarde de etică şi integritate şi pentru crearea unei culturi
organizaţionale care să sublinieze şi să demonstreze întregului personal importanţa
controlului intern. Întregul personal al unei organizaţii bancare trebuie să înţeleagă rolul
său în cadrul procesului de control intern şi să fie angajat deplin în acest proces.”48
Contribuţia consiliului de administraţie şi a conducătorilor băncii la crearea unei
puternice culturi a controlului constă şi în propriul exemplu, în etica dovedită în afaceri, atât
în interiorul instituţiei, cât şi în afara acesteia; cuvintele, atitudinea şi acţiunile acestora
afectează integritatea, etica şi alte aspecte ale culturii controlului în bancă.
Personalul trebuie să conştientizeze că, în măsuri diferite, controlul intern reprezintă
responsabilitatea fiecărui angajat al băncii; aproape toţi angajaţii produc informaţii utilizate
de sistemul de control intern sau acţionează pentru efectuarea controlului.
48
37
Audit Bancar BANCAS
Un element esenţial al unui sistem de control intern puternic este acela ca întreg
personalul să îşi îndeplinească responsabilităţile şi să comunice conducerii, pe diferite
niveluri, problemele operaţionale apărute, cazurile de încălcare a codului de conduită, a
politicilor şi a reglementărilor.
De asemenea, conducerea băncii trebuie să evite implementarea unor politici care să
aibă efecte nedorite din punct de vedere al controlului. Astfel, politicile care pun un accent
prea mare pe ţinte de performanţă sau pe alte rezultate operaţionale pe termen scurt pot
determina neglijarea aspectelor care ţin de riscurile pe termen lung; nesepararea clară a
responsabilităţilor sau a atribuţiilor de control pot duce la utilizarea neeficientă a resurselor
sau la tăinuirea performanţelor slabe. În cazul în care schemele de promovare şi premiere a
personalului se bazează numai pe criterii legate de profitabilitate, dar nu şi pe cele care ţin de
control şi de rezolvarea problemelor identificate de auditul intern, mesajul transmis de
conducere este unul negativ la adresa importanţei controlului intern.
În concluzie, se poate afirma că existenţa unei puternice culturi a controlului nu
garantează realizarea obiectivelor strategice ale unei bănci, dar lipsa acesteia creează condiţii
prielnice pentru erori şi pierderi, care pun în pericol atingerea ţintelor băncii.
2.2. Identificarea şi evaluarea riscurilor
Din punctul de vedere al controlului intern, în identificarea şi evaluarea riscurilor trebuie

să fie analizaţi atât factorii interni (complexitatea structurii organizatorice, natura
activităţilor băncii, modificări organizatorice, calitatea personalului şi fluctuaţia acestuia etc),
cât şi factorii externi (fluctuaţii în mediul economic, modificări în mediul concurenţial
bancar, înnoirea tehnologică etc) care pot avea un impact negativ asupra atingerii ţintelor de
performanţă şi asupra atingerii obiectivelor controlului intern.
Acest demers se deosebeşte de procesul de gestionare a riscurilor, axat de obicei, pe
strategii pentru găsirea căii de mijloc între profit şi risc în diferite domenii ale băncii, şi are
ca obiectiv asigurarea concordanţei controlului intern al băncii cu natura, complexitatea şi
riscurile activităţii desfăşurate de aceasta.
Identificarea şi evaluarea riscurilor trebuie să acopere toate riscurile cu care banca se
confruntă atât la nivel de ansamblu al băncii, cât şi la toate nivelurile organizatorice ale
acesteia. Procesul trebuie să aibă un caracter continuu, adică să aibă în vedere atât riscurile
ataşate activităţilor prezente, cât şi pe cele aduse de apariţia unor noi activităţi sau cele nou
apărute/determinate în legătură cu operaţiunile deja derulate, iar procedurile de control
38
Audit Bancar BANCAS
trebuie modificate astfel încât să se adapteze la riscurile nou apărute. De exemplu, în cazul
apariţiei unui nou produs, banca trebuie să analizeze noul instrument financiar şi tranzacţiile
de piaţă asociate şi să evalueze riscurile implicate. Determinarea întregii diversităţi de
probleme ce însoţeşte adoptarea unui nou produs (adesea făcută prin metoda scenariilor)
trebuie să-şi găsească contraponderea în măsuri adecvate de control.
Procesul de evaluare a riscurilor se adresează atât aspectelor cuantificabile, cât şi
aspectelor necuantificabile ale riscurilor şi trebuie să pună în balanţă costul implicat de
controlul riscurilor şi beneficiile pe care acesta le poate aduce. Totodată, acest proces include
şi determinarea caracterului controlabil sau necontrolabil al riscurilor; în ceea ce priveşte
riscurile controlabile, banca trebuie să stabilească dacă acceptă acele riscuri sau modul în
care le contracarează prin măsuri de control; în cazul riscurilor care nu pot fi controlate,
banca trebuie să decidă dacă le acceptă, dacă le elimină sau dacă reduce nivelul activităţilor
afectate de riscurile respective.
Norma B.N.R. nr. 17/2003 impune ca evaluarea riscurilor să se realizeze de către
specialişti din cadrul băncii care nu au responsabilităţi în realizarea performanţei comerciale
şi financiare49, pentru a nu permite apariţia unei situaţii de conflict de interese, dar aceasta
presupune ca specialiştii care fac evaluarea să aibă experienţă relevantă în derularea
activităţilor ce fac obiectul evaluării riscurilor.
În practică s-a observat că managementul băncilor înclină, de multe ori, în favoarea unor
operaţiuni cu randament ridicat, fără a evalua corect riscurile asociate acestor tranzacţii şi nu
alocă suficiente resurse pentru a monitoriza şi evalua expunerile la risc. Totodată, s-a
constatat că multe dintre pierderile înregistrate s-au datorat neactualizării procesului de
evaluare a riscurilor odată cu schimbarea mediului de afaceri.
2.3. Activităţile de control şi separarea atribuţiilor
Activităţile de control intern trebuie astfel concepute şi derulate încât să asigure

acoperirea riscurilor identificate şi evaluate, ca parte integrantă a activităţilor zilnice.
Activităţile de control trebuie definite pentru fiecare nivel organizatoric al băncilor şi implică
două etape: stabilirea politicilor şi procedurilor de control şi verificarea respectării
politicilor şi procedurilor de control.
49
Art. 13, Norme nr. 7/2003 privind organizarea şi controlul intern al activităţii băncilor, administrarea
39
Audit Bancar BANCAS
Activităţile de control implică personalul de la toate nivelurile, începând cu consiliul de

administraţie şi terminând cu personalul de execuţie:
- consiliul de administraţie şi conducătorii băncii solicită adesea prezentări şi rapoarte
despre performanţă pentru a analiza progresul făcut de către instituţie către realizarea
obiectivelor sale. De exemplu, pot fi cerute rapoarte referitoare la realizarea bugetului de
venituri şi cheltuieli, iar analizarea acestora, împreună cu conducerea departamentelor
poate duce la detectarea unor deficienţe de control, a unor erori în raportările financiare
sau a unor activităţi frauduloase;
- la nivelul compartimentelor sau sediilor secundare ale băncii se pot face analize operative
zilnice, săptămânale sau lunare;
- controale faptice, care se referă la restricţionarea accesului la active precum titluri sau
numerar, restricţionarea accesului la conturile clienţilor etc.;
- analiza încadrării în limitele impuse expunerilor la risc şi urmărirea modului în care sunt
soluţionate situaţiile de neconformitate. Stabilirea unor limite prudente expunerilor la risc
reprezintă un aspect important al gestionării riscului; încadrarea în anumite limite pe
debitori sau pe alte contrapartide reduce concentrarea de risc a băncii şi contribuie la
diversificarea profilului de risc al acesteia. Prin urmare, un aspect important al activităţii
de control este urmărirea încadrării în aceste limite.
- aprobări şi autorizări – solicitarea aprobării sau autorizării unor tranzacţii ce depăşesc
anumite limite de sumă are rolul de a asigura controlul asupra realizării operaţiunilor
respective de către nivelul de conducere competent şi de a stabili responsabilităţile;
- verificări şi reconcilieri – constau în verificări ale detaliilor tranzacţiilor între diferite
structuri organizatorice (de exemplu, între cei care iniţiază tranzacţiile – front office şi cei
care înregistrează şi monitorizează tranzacţiile – back office) sau în compararea cash
flow-urilor cu extrasele de cont, în vederea asigurării concordanţei şi efectuarea
corecţiilor necesare. Rezultatele acestor verificări şi reconcilieri trebuie raportate
nivelului de conducere competent.
Activităţile de control sunt mai eficiente dacă sunt privite ca parte integrantă a
activităţilor zilnice şi nu ca o acţiuni adiţionale, de o importanţă mai mică. Desfăşurate în
această manieră, activităţile de control dau posibilitatea găsirii unor soluţii rapide la
modificarea condiţiilor de lucru şi duc la evitarea costurilor suplimentare.
Consiliul de administraţie are nu numai sarcina de a stabili politici şi proceduri de
control, ci şi de a urmări respectarea acestora la toate nivelurile şi de a urmări gradul de
40
Audit Bancar BANCAS
adecvare a acestora la modificările din activitatea băncii, iar pentru realizarea acestor
deziderate are la îndemână un instrument special – auditul intern.
“Un sistem de control intern eficient cere să existe o separare corespunzătoare a

atribuţiilor şi ca personalului să nu-i fie alocate responsabilităţi care să ducă la conflicte de
interese. Ariile cu potenţiale conflicte de interese trebuie identificate, minimizate şi
monitorizate atent de către personal independent.”50
Din analiza pierderilor determinate de lipsa controlului, autorităţile de supraveghere au
concluzionat că una dintre cauzele majore o reprezintă lipsa unei separări adecvate a
atribuţiilor. Astfel, alocarea unor atribuţii aflate în relaţie conflictuală unei singure persoane
(de exemplu, responsabilităţi atât în front office, cât şi în back office în zona de
tranzacţionare) dă acelei persoane acces la active de valoare şi la posibilitatea de a manipula
informaţiile financiare în folos personal sau de a ascunde pierderile. Prin urmare, unele
atribuţii ar trebui să fie împărţite, pe cât posibil, între mai multe persoane, pentru a se reduce
riscul manipulării de date financiare sau al însuşirii ilicite a unor active.
Separarea atribuţiilor nu se limitează numai la controlul exercitat de o singură persoană
atât în front office, cât şi în back office, ci este o cerinţă valabilă şi pentru alte domenii, cum
ar fi:
- aprobarea utilizării fondurilor şi tragerea efectivă a acestora;
- acces la conturi ale clienţilor şi la conturile băncii;
- analiza documentaţiilor de credit şi monitorizarea creditului după acordarea acestuia.
Prin urmare, este necesară nu numai identificarea şi monitorizarea zonelor cu conflict de
interese potenţial, dar şi revizuirea periodică a responsabilităţilor şi funcţiilor persoanelor –
cheie din bancă, pentru ca aceştia să nu se afle în poziţia de a “acoperi” deficienţele.
2.4. Informare şi comunicare
Informarea adecvată şi comunicarea efectivă sunt esenţiale pentru funcţionarea

corespunzătoare a sistemului de control intern. Din perspectiva unei bănci, pentru ca
informaţiile să fie utile, acestea trebuie să fie relevante, de încredere, accesibile, să fie
furnizate la timp şi într-un format constant în timp.
50
41
Audit Bancar BANCAS
Informaţiile se referă atât la cele interne, financiare, operaţionale şi de conformitate,

dar şi la cele externe, referitoare la evenimente şi împrejurări relevante pentru luarea
deciziilor în cadrul băncii. Procesul de luare a deciziilor de către conducere poate fi afectat de
lipsa de încredere în informaţiile sau de informaţiile eronate furnizate de un sistem
informaţional care nu este bine proiectat şi controlat.
O componentă critică a activităţilor unei bănci o constituie stabilirea şi menţinerea
unui sistem de gestiune a informaţiilor (obţinute atât electronic, cât şi prin mijloace ne-
electronice) care să acopere toate domeniile băncii. Acest sistem trebuie să conţină şi
proceduri privind securitatea informaţiilor, respectiv mijloace de prevenire a dezvăluirii
informaţiilor secrete sau confidenţiale sau de prevenire a folosirii informaţiilor de către
personalul instituţiei pentru obţinerea unor beneficii personale, care ar putea prejudicia banca
atât din punct de vedere material, cât şi reputaţional. Sistemele informatice din cadrul
sistemului informaţional trebuie să răspundă aceloraşi cerinţe de securitate a informaţiei, atât
în sensul menţionat mai înainte, cât şi în sensul asigurării unor informaţii relevante, de
încredere şi al asigurării funcţionării fără întreruperi.
Având în vedere riscurile implicate de obţinerea, manipularea şi păstrarea
informaţiilor obţinute prin sistemul informatic, băncile trebuie să acorde atenţie cerinţelor
organizatorice şi de control intern legate de procesarea informaţiei în formă electronică,
precum şi celor referitoare la păstrarea probelor de audit intern.
O primă cerinţă în acest sens se referă la monitorizarea sistemelor informatice de
către o structură organizatorică separată de cea care le utilizează, ca o aplicare a principiului
separării atribuţiilor pentru evitarea apariţiei unor situaţii de conflict de interese.
În ceea ce priveşte controlul, acesta trebuie să aibă în vedere atât sistemul informatic
ca întreg, cât şi fiecare aplicaţie informatică din componenţa acestuia.
Acţiunile de control general se efectuează asupra infrastructurii hardware şi de
comunicaţii a sistemelor informatice (sisteme mainframe, sisteme client/server, routere,
echipamente de reţea, staţii de lucru ale utilizatorilor finali), precum şi asupra sistemelor de
operare, având ca scop verificarea funcţionării continue şi corespunzătoare a acestora.
Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de
informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de
efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor
de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi
logic la resursele sistemului informatic.
42
Audit Bancar BANCAS
Controalele efectuate la nivelul aplicaţiilor informatice se realizează atât prin

cuprinderea unor etape de validare şi control în cadrul aplicaţiei informatice, cât şi proceduri
manuale de verificare a modului de procesare a tranzacţiilor şi efectuarea operaţiunilor.
În lipsa unor proceduri adecvate de control asupra sistemelor informatice (inclusiv a
celor în curs de implementare, de dezvoltare), băncile pot înregistra pierderi de date sau de
programe datorită unor proceduri necorespunzătoare privind securitatea fizică şi electronică,
datorită avarierii echipamentelor şi disfuncţiilor sau datorită unor proceduri de rezervă sau de
recuperare a datelor dezvoltate intern şi neadecvate.
Pe lângă riscurile şi controalele ataşate la care s-a făcut referire mai sus, există şi
riscuri datorate unor factori externi, în afara posibilităţilor de control al băncilor (riscul de
producere a unor calamităţi naturale, de exemplu). Pentru asigurarea împotriva acestor
riscuri, băncile trebuie să elaboreze planuri alternative (de rezervă) care să le asigure
continuitatea funcţionării. Deşi bazate pe replicarea sistemelor critice fie prin existenţa unor
sisteme de rezervă într-o altă locaţie a băncii, fie prin intermediul unui furnizor extern de
servicii (deci, pe asigurarea continuităţii funcţionării sistemelor informatice), aceste planuri
de urgenţă trebuie să implice toate elementele care ţin de buna desfăşurare a operaţiunilor.
Totodată, pentru asigurarea funcţionării şi disponibilităţii acestor sisteme de rezervă este
necesară testarea lor periodică.
Un alt aspect deosebit de important legat de informaţie îl reprezintă comunicarea,
cea care dă valoare informaţiei. Conducerea băncii trebuie să stabilească unele căi de
comunicare pentru ca informaţiile să ajungă în timp util la oamenii care au nevoie de acestea.
Aceste informaţii se referă atât la politici şi proceduri ale băncii, cât şi la cele legate de
performanţa băncii. Personalul trebuie să cunoască procedurile şi politicile băncii, în general,
şi pe cele care au implicaţii asupra atribuţiilor şi responsabilităţilor sale, în special. Totodată,
personalul trebuie să aibă în permanenţă imaginea progresului făcut pe calea atingerii
obiectivelor instituţiei pentru a conştientiza efectele activităţii sale.
Structura organizatorică a băncii trebuie să faciliteze diseminarea informaţiilor de
sus în jos, de jos în sus şi pe orizontală. Prin aceste fluxuri de informaţii, consiliul de
administraţie cunoaşte riscurile incumbate de activităţile derulate de bancă şi performanţa
instituţiei, iar conducerea operativă şi personalul operativ iau cunoştinţă de strategia,
politicile şi procedurile băncii. Totodată, comunicarea pe orizontală între diferite structuri
organizatorice dă posibilitatea ca informaţia intrată pe o poartă de acces să poată fi
cunoscută şi de alte departamente afectate de informaţia primită.
43
Audit Bancar BANCAS
2.5. Activităţile de monitorizare şi de corectare a deficienţelor
Având în vedere faptul că industria bancară este dinamică, băncile trebuie să

monitorizeze şi să evalueze continuu sistemul de control intern, ca urmare a modificării
condiţiilor interne şi externe, şi trebuie să întărească acest sistem pentru a-I menţine eficienţa.
Monitorizarea sistemului de control trebuie să fie făcută atât de personalul operativ,
cât şi de cel din cadrul controlului financiar şi din cadrul auditului intern. Pentru ca această
funcţie să nu fie acoperită numai la nivel teoretic, conducerea băncii trebuie să stabilească
clar persoanele în sarcina cărora cad atribuţiile de monitorizare. Banca Naţională a României
opinează că monitorizarea sistemului intern de control trebuie să fie efectuată “atât de
personalul responsabil pentru fiecare compartiment şi sediu secundar al instituţiei de credit,
cât şi de auditul intern”51
Monitorizarea sistemului de control intern are atât o componentă zilnică, cât şi una
periodică, de evaluare separată a procesului de control privit în ansamblu. Monitorizarea pe
bază zilnică oferă avantajul detectării şi corectării rapide a deficienţelor din sistemul de
control intern, dar eficienţa sa depinde de integrarea sistemului de control intern în mediul
operaţional bancar şi de rapoartele de control generate. Spre deosebire de aceasta, evaluarea
periodică este menită să ofere o imagine a eficacităţii întregului sistem de control intern şi a
activităţii de monitorizare şi cade atât în sarcina personalului responsabil pentru fiecare
compartiment şi sediu secundar (autoevaluare), cât şi a auditului intern. În ceea ce priveşte
periodicitatea acestor evaluări, Banca Naţională a României se raliază părerii Comitetului de
la Basel care consideră că parametrii care determină frecvenţa monitorizării unei activităţi
sunt riscurile implicate de acea activitate şi natura şi frecvenţa schimbărilor din activitatea
respectivă.
Rezultatele monitorizării şi, în special, deficienţele constatate trebuie să fie aduse
imediat la cunoştinţa nivelului de conducere competent să ia măsuri corective, iar cele majore
trebuie raportate conducerii băncii şi consiliului de administraţie.
Norma B.N.R. nr. 17/2003 subliniază faptul că responsabilitatea de a stabili un sistem
de detectare a deficienţelor sistemului de control intern şi de a întreprinde măsuri pentru
soluţionarea deficienţelor revine conducătorilor băncilor, care, în realizarea acestei atribuţii,
se bazează pe auditul intern.
51
Art. 31 (3), Norme nr. 7/2003 privind organizarea şi controlul intern al activităţii băncilor, administrarea
44
Audit Bancar BANCAS
Multe bănci au înregistrat pierderi datorită lipsei de monitorizare efectivă a sistemului

de control intern; adesea aceste sisteme nu au avut procese de monitorizare continuă, iar
evaluările separate realizate fie nu erau adecvate, fie nu erau urmărite adecvat de către
conducere.
În unele cazuri, absenţa monitorizării a început cu lipsa de atenţie şi de reacţie la
informaţiile zilnice primite de către conducere referitoare la aspecte neuzuale ale activităţii
(de exemplu, depăşiri ale limitelor de expunere, lipsa de situaţii financiare ale debitorilor
etc). Într-o bancă, pierderile din activitatea de tranzacţionare erau înregistrate într-un cont
fictiv de client; dacă banca ar fi avut o procedură prin care extrasul de cont să fi fost trimis
lunar prin poştă clientului, iar clientul să confirme soldul contului, aceste pierderi ar fi putut
fi detectate înainte să producă probleme majore băncii.
În alte cazuri, activitatea sau divizia băncii care a cauzat pierderi masive avea
numeroase caracteristici ce indicau un nivel crescut al riscului, cum ar fi un nivel neobişnuit
al profitului sau creşterea rapidă a unei activităţi aflate la distanţă mare de centrală sau de
compania-mamă. Datorită unei lipse de evaluare a riscurilor, băncile respective nu au alocat
suficiente resurse suplimentare pentru a controla şi monitoriza activităţile cu risc ridicat. De
fapt, în unele cazuri, activităţile cu risc ridicat erau derulate cu mai puţină supraveghere decât
cele cu profil de risc mai scăzut, iar conducerea nu a reacţionat cum trebuia la observaţiile
făcute de auditorii externi şi interni.
Auditul intern nu a fost eficient în multe cazuri, prin combinarea a trei factori:
realizarea unor audituri treptate, lipsa unei depline înţelegeri a activităţii băncii şi urmărirea
neadecvată a unor probleme. Auditul fragmentat a rezultat din structurarea programelor de
audit intern ca serii de angajamente separate pe unele activităţi din cadrul aceluiaşi
departament sau din cadrul băncii. Deoarece procesul de audit era fragmentat, activitatea nu
era bine înţeleasă de către personalul departamentului de audit. Dacă acesta ar fi fost altfel
organizat, permiţând auditorilor să urmărească procese şi funcţii de la început la sfârşit (de
exemplu, urmărirea unei tranzacţii de la iniţiere până la raportare) le-ar fi permis să înţeleagă
mai bine. În plus, ar fi dat oportunitatea de a verifica şi testa adecvarea controlului în fiecare
etapă a procesului. În alte cazuri, pregătirea necorespunzătoare a personalului de la
departamentul de audit intern în domeniul de marketing, sistem informatic şi alte arii
sofisticate a contribuit la problemele auditului intern. Deoarece personalul nu a avut
expertiza necesară, a ezitat în a pune întrebări în cazul unor suspiciuni, iar dacă a pus
întrebări, a acceptat orice răspuns primit, ca atare.
45
Audit Bancar BANCAS
Auditul intern poate să se dovedească ineficient şi atunci când conducerea nu

urmăreşte problemele identificate de auditori, fie datorită lipsei de consideraţie acordată
acestei activităţi, fie datorită faptului că nu urmăreşte prin rapoarte periodice progresul făcut
în rezolvarea problemelor sesizate.
3. Evaluarea sistemelor de control intern de către autorităţile de supraveghere
Deşi consiliul de administraţie şi conducerea băncii poartă responsabilitatea dezvoltării şi

menţinerii unui sistem de control intern eficient, autorităţile de supraveghere trebuie să
evalueze adecvarea sistemului de control intern al unei bănci în funcţie de profilul de risc
al acesteia şi atenţia dată de către conducerea băncilor problemelor semnalate de sistemul de
control intern.
Evaluarea realizată de autoritatea de supraveghere trebuie să se refere nu numai la
întreg sistemul de control intern, dar şi la controlul exercitat în anumite zone de activitate cu
risc ridicat, cum ar fi zone caracterizate printr-o profitabilitate neobişnuită, creştere rapidă,
noi produse bancare sau zone depărtate fizic faţă de sediul central.
Totodată, o atenţie deosebită trebuie acordată zonelor care în trecut au fost asociate cu
deficienţe ale sistemului de control intern şi cu pierderi determinate de aceste deficienţe.
Autoritatea de supraveghere trebuie să urmărească şi modificările care au avut loc în
activitatea băncii şi modul în care acestea ar fi trebuit să reflecte sau au avut impact asupra
sistemului de control intern. Astfel de modificări se referă la schimbări în mediul bancar şi
economic, angajarea de personal nou, sisteme informaţionale noi, activităţi sau domenii ce
înregistrează o creştere rapidă, introducerea de noi tehnologii, de noi produse, restructurări
sau reorganizări, expansiunea operaţiunilor în străinătate.
Pentru a evalua calitatea controlului intern, autorităţile de supraveghere pot avea mai
multe abordări. Astfel, acestea pot evalua activitatea departamentului de audit intern al
băncii, pe baza analizei documentelor produse, a metodologiei folosite pentru a identifica,
măsura, monitoriza şi controla riscul.
În cazul în care calitatea activităţii departamentului de audit intern este satisfăcătoare,
autoritatea de supraveghere poate utiliza rapoartele auditorilor interni ca bază pentru
identificarea problemelor de control ale băncii sau pentru a identifica ariile cu risc potenţial
pe care auditorii interni nu le-au evaluat recent.
Unele autorităţi de supraveghere folosesc procesul de autoevaluare prin care
conducerea băncii analizează procedurile de control pe fiecare activitate în parte şi certifică
46
Audit Bancar BANCAS
faptul că acestea sunt adecvate. Alţi supraveghetori pot solicita auditarea externă periodică a
anumitor domenii, pentru anumite scopuri.
În final, autorităţile de supraveghere pot combina modalităţile descrise mai înainte cu
propriile lor evaluări şi examinări, la faţa locului, a controlului intern. Evaluările la faţa
locului includ atât o evaluare a activităţilor, cât şi testarea la nivel de tranzacţie pentru a
obţine o verificare independentă a proceselor de control intern ale băncii. Testarea la nivel de
tranzacţii are în vedere adecvarea şi respectarea politicilor, procedurilor şi limitelor interne,
acurateţea şi conţinutul rapoartelor către conducere şi a situaţiilor financiare, eficacitatea
procedurilor de control.
Pentru a evalua eficacitatea celor cinci elemente ale controlului intern dintr-o bancă,
autoritatea de supraveghere trebuie să:
- identifice obiectivele controlului intern care sunt relevante pentru profilul băncii
(creditarea, investiţiile, contabilitatea etc);
- evalueze eficacitatea elementelor controlului intern nu numai prin aprecierea
politicilor şi procedurilor, dar şi a documentaţiei, prin discuţii cu personalul (pentru a
aprecia mediul de lucru) şi prin testarea tranzacţiilor;
- discute periodic deficienţele identificate şi recomandările făcute pentru remediere cu
consiliul de administraţie şi cu conducerea băncii;
- aprecieze măsurile corective luate şi dacă au fost luate la timp.
Acolo unde legislaţia permite, autorităţile de supraveghere pot înlocui astfel de inspecţii
la faţa locului cu analizarea rapoartelor produse de către auditorii externi la solicitarea lor. În
aceste cazuri, auditorii externi trebuie să evalueze activitatea băncii şi să testeze tranzacţiile,
aşa cu s-a specificat mai sus, în cadrul unor angajamente de audit, iar supraveghetorii trebuie
să evalueze calitatea auditului extern.
Indiferent de abordarea folosită, autorităţile de supraveghere trebuie să ia în considerare
observaţiile şi recomandările făcute de auditorii externi cu privire la eficacitatea controlului
intern şi să aprecieze modul în care consiliul de administraţie a răspuns la ceste observaţii şi
recomandări.
Cuvinte cheie
Sistemul de control intern Identificarea riscurilor Informare

Consiliul de Administraţie Evaluarea riscurilor Comunicare
47
Audit Bancar BANCAS
Conducătorii Băncii Separarea atribuţiilor Monitorizare
1. Care este rolul consilului de administrare în cadrul sistemului de control intern?

2. Este suficient să existe un sistem solid de control intern în cadrul băncilor pentru a
gestiona riscurile? Justificaţi răspunsul
3. Care sunt etapele de gestiune a riscurilor?
4. Modelaţi o listă de autoevaluare a controlelor asociate activităţii unei sucursale.
48
Audit Bancar BANCAS
RELAŢIA DINTRE AUTORITATEA DE

CAPITOLUL 4 SUPRAVEGHERE ŞI AUDITORUL EXTERN
1. Rolul auditorului extern al băncii

2. Rolul autorităţii de supraveghere
3. Relaţia dintre autoritatea de supraveghere şi auditorul extern
1. Rolul auditorului extern al băncii
Obiectivul auditării situaţiilor financiare ale unei bănci de către un auditor extern este
acela de a avea o opinie a unui auditor independent referitoare la respectarea prevederilor
legale în materie. Această opinie întăreşte credibilitatea situaţiilor financiare ale unei bănci,
dar nu dă garanţii cu privire la viabilitatea viitoare a instituţiei şi nu se referă la eficienţa sau
eficacitatea cu care conducerea a gestionat activitatea băncii.
Prevederile legale referitoare la realizarea situaţiilor financiare diferă de la ţară la
ţară, iar opiniile auditorilor externi sunt formulate pe baza acestora sau, în cazul în care
raportarea pe baza standardelor de contabilitate internaţional acceptate este permisă în ţara
respectivă, opinia auditorului extern se bazează pe Standardele Internaţionale de
Contabilitate52. Standardul Internaţional de Audit 700, “Raportul auditorului cu privire la
situaţiile financiare”53, prevede faptul că auditorii externi trebuie să identifice ţara la care se
raportează (ţara unde se află sediul central al băncii) şi legislaţia contabilă aplicabilă, în cazul
în care ţara respectivă nu a adoptat Standardele Internaţionale de Contabilitate.
Pentru desfăşurarea activităţii sale, auditorul extern trebuie să dispună de proceduri
adecvate astfel încât să reducă riscul de a emite opinii necorespunzătoare în cazul în care
situaţiile financiare ale unei bănci sunt eronate. Dezvoltarea acestor proceduri presupune
identificarea şi evaluarea prealabilă a riscurilor inerente de eroare, dar şi a riscului ca
sistemele de contabilitate şi de control ale unei bănci să nu aibă posibilităţi de prevenire sau
de detectare şi corectare a erorilor (riscul de control). Totodată, auditorul extern trebuie să
analizeze dacă necorelările din situaţiile financiare sunt rezultatul unei erori sau a unei
52
“ Standardele Internaţionale de Contabilitate sunt emise de Comitetul Standardelor de Contabilitate (C.S.I.C.),
în care sunt reprezentate 78 de ţări. Obiectivul C.S.I.C. este de a promova accepţiunea universală a standardelor
în prezentarea rapoartelor auditate şi a declaraţiilor financiare.” – Vasile Dedu, “Gestiune şi audit bancar”, pag.
326, Editura Economică, Bucureşti, 2003
53
Comitetul Internaţional al Practicilor de Audit, din cadrul Federaţiei Internaţionale a Contabililor, emite
standarde privind practicile de audit general acceptate. (Idem)
49
Audit Bancar BANCAS
acţiuni frauduloase (riscul de fraudă). Standardul de Audit 240, “Responsabilitatea

auditorului în ceea ce priveşte evaluarea riscului de fraudă şi de eroare în auditarea situaţiilor
financiare”, enumeră factori ai
riscului de fraudă, a căror prezenţă poate semnala posibilitatea existenţei unei fraude.
În aprecierea nivelului de risc inerent, auditorii externi trebuie să ţină seama de
particularităţile pe care băncile le au faţă de alte companii: lucrează cu un volum mare de
instrumente monetare; au tranzacţii internaţionale (iniţiate într-o jurisdicţie, înregistrate în
alta şi gestionate în cu totul alta); au un raport capital/total active scăzut, ceea ce le măreşte
vulnerabilitatea la schimbările de mediu economic; au active cu valoare variabilă şi greu de
determinat; se angajează într-o varietate de tranzacţii, cu volum şi valori mari; operează
printr-o reţea de sucursale şi departamente dispersate geografic; tranzacţiile pot fi iniţiate
direct de către clienţi, fără intervenţia salariaţilor băncii; îşi asumă multe angajamente
extrabilanţiere; trebuie să se încadreze în indicatorii de prudenţialitate stabilite de
organismele de reglementare; au acces la sisteme de plăţi şi decontări; pot emite sau
tranzacţiona instrumente financiare complexe, dintre care unele trebuie înregistrate la
valoarea justă etc.
Toate aceste aspecte indică existenţa unui înalt nivel potenţial de risc al unei bănci,
care ar necesita un audit detaliat al tuturor tranzacţiilor. Însă extinderea activităţii auditorului
extern până la acest nivel ar fi consumatoare de timp, scumpă şi nepractică, de aceea
auditorul extern trebuie să se bazeze în demersul său pe evaluările făcute de auditul intern al
băncii în ceea ce priveşte riscul inerent de eroare materială, riscul de control şi testarea
procedurilor de control intern destinate să prevină, să detecteze şi să corecteze erorile
materiale. Astfel, calitatea auditului intern determină natura, perioada şi extinderea
procedurilor de audit ale auditorilor externi.
În aprecierea auditului intern, auditorul extern are în vedere statutul auditului intern,
obiectivul acestuia, competenţa profesională a auditorilor interni şi grija profesională cu care
aceştia îşi îndeplinesc responsabilităţile54.
În urma angajamentului de audit, realizat pe baza procedurilor stabilite ţinând seama
de modul de administrare a riscul inerent şi de control, auditorul extern trebuie să detecteze
neconcordanţele evidenţiate de situaţiile financiare ale băncii, la nivel individual sau agregat,
care sunt substanţiale în raport cu informaţia financiară.
54
SIA 610 “Aprecierea activităţii auditului intern”, “The relationship between banking supervisors and banks
exterbal auditors”, Basel Committee on Banking Supervision, January 2002
50
Audit Bancar BANCAS
Substanţialitatea55 erorilor este legată de influenţa pe care acestea ar putea s-o aibă asupra
deciziilor economice pe care utilizatorii le iau pe baza situaţiilor financiare ale băncii.
Auditorul evaluează substanţialitatea atât la nivelul situaţiei financiare în ansamblu, cât şi în
relaţie cu anumite conturi şi clase de tranzacţii.
În urma analizei substanţialităţii diferitelor neconcordanţe detectate, se stabilesc mai
multe niveluri de substanţialitate în funcţie de aspectul sub care sunt examinate situaţiile
financiare şi de destinatarul opiniei auditorului extern (consiliul de administraţie al băncii sau
autoritatea de supraveghere).
Auditul extern nu garantează faptul că toate neconcordanţele substanţiale vor fi
detectate, datorită unor factori precum limitele inerente ale controlului intern, caracterului
“convingător” şi nu concludent al documentaţiei puse la dispoziţia auditorului extern. Riscul
nedetectării unei neconcordanţe substanţiale determinată de fraudă este mai ridicat decât cel
de nedetectare a unei neconcordanţe determinată de eroare, deoarece frauda poate implica
scheme sofisticate şi bine organizate (falsificare, neînregistrarea deliberată a unor tranzacţii,
neprezentarea sau prezentarea într-o anumită manieră a unei tranzacţii. Mai mult, riscul
nedetectării fraudelor comise la nivelul conducerii băncii este mult mai ridicat decât cel al
nedetectării fraudelor la nivelul personalului de execuţie, deoarece membrii consiliului de
administraţie şi ai conducerii executive se prezumă a fi integri şi se află în poziţii în care pot
eluda procedurile normale de control. Prin urmare, auditorul extern îşi planifică şi desfăşoară
auditul cu o atitudine de scepticism profesional, recunoscând că pot exista cazuri care
determină existenţa unor neconcordanţe substanţiale în situaţiile financiare.
În cazul detectării unor erori substanţiale în cadrul situaţiilor financiare, cum ar fi o
politică necorespunzătoare de conducere a contabilităţii, evaluarea neadecvată a unor active,
nedezvăluirea unor informaţii, auditorul extern trebuie să ceară conducerii băncilor să
ajusteze situaţiile şi să corecteze erorile.
În cazul în care conducerea băncii refuză să acţioneze pentru reglarea
neconcordanţelor sau nu oferă toate informaţiile şi explicaţiile necesare, auditorul extern
emite o opinie cu rezerve sau poate chiar refuza emiterea unei opinii. Deoarece un astfel de
raport sau lipsa acestuia ar avea efecte serioase asupra credibilităţii şi chiar asupra stabilităţii
băncii, conducerea acesteia ia, de obicei, măsurile necesare pentru a evita astfel de situaţii.
55
Substanţialitate – materialitate, realitate
51
Audit Bancar BANCAS
Pe lângă obiectivul principal al activităţii auditorului extern, acesta poate comunica

şi alte informaţii conducerii băncii referitoare la deficienţe constatate în controlul intern,
informaţii eronate etc., dar care nu influenţează raportul final al acestuia.
În unele ţări, auditorul extern realizează, prin prevederi statutare sau prin convenţie, o
formă lungă a raportului său , destinat conducerii băncii sau autorităţii de supraveghere, pe
probleme legate de componenţa soldurilor conturilor, de portofoliul de credite, lichiditate,
venituri, indicatori financiari, adecvarea sistemului de control intern, riscurile la care este
supusă banca, conformitatea cu reglementări şi legi.
Auditorul extern are obligaţia, în unele ţări printre care şi România56, să raporteze
prompt autorităţii de supraveghere orice fapt care constituie o încălcare a legilor şi
reglementărilor, care afectează capacitatea băncii de a-şi continua activitatea sau care
conduce la emiterea unei opinii cu rezerve.57
2. Rolul autorităţii de supraveghere
Obiectivul principal al supravegherii prudenţiale este de a menţine stabilitatea şi

încrederea în sistemul bancar. În plus, supravegherea este adesea direcţionată pe verificarea
conformităţii cu cu legile şi reglementările ce guvernează băncile şi activităţile acestora.
Supravegherea bancară începe de la procedurile de autorizare a unei bănci menite să dea

asigurări referitoare la calitatea acţionarilor, a membrilor consiliului de administraţie şi ai
conducerii, la concordanţa organizării şi controlului intern al băncii cu planul său de afaceri
şi cu strategiile acesteia, a structurii legale cu cea operaţională, la adecvarea capitalului şi la
lichiditate, la calitatea auditorului financiar. În unele ţări, autoritatea de supraveghere
trebuie să autorizeze şi transferul unei părţi importante din acţiunile băncii sau a unui pachet
de control; în România, Banca Naţională autorizează tacit pe cei ce devin acţionari
semnificativi ai unei bănci58.
Supravegherea continuă este realizată pe bază de recomandări şi îndrumări. În pachetul
consultativ “Noul Acord de la Basel” emis în ianuarie 2001, Comitetul de Supraveghere
Bancară de la Basel propune un cadru de adecvare a capitalului bazat pe trei piloni
complementari:
56
Art. 61, Legea bancară nr. 58/1998 modificată prin Legea nr. 357/2002 şi Legea nr. 485/2003
57
“The relationship between banking supervisors and banks exterbal auditors”, Basel Committee on Banking
Supervision, January 2002
52
Audit Bancar BANCAS
- cerinţele privind capitalul minim pe cele trei mari categorii de risc: de credit, de piaţă şi
operaţional;
- revizuirea procesului de supraveghere a adecvării capitalului, în care, pe de o parte,
băncile evaluează şi urmăresc continuu menţinerea adecvării capitalului, în funcţie de
riscurile prezente şi viitoare, iar pe de altă parte, supraveghetorii analizează procedurile
băncii în domeniu şi intervin de timpuriu pentru a apariţia unor situaţii de
neprudenţialitate;
- transparenţă - publicarea de către bănci a informaţiilor calitative şi cantitative referitoare
la capitalul lor şi la profilul de risc.
Autorităţile de supraveghere monitorizează şi pot limita o serie de riscuri bancare, cum ar

fi riscul de credit, riscul de piaţă, riscul de lichiditate, riscul operaţional, riscul legal şi
reputaţional. În acest scop autorităţile pot dezvolta sisteme de măsurare expunerea la anumite
riscuri, pe baza cărora stabilesc limite de expunere. De exemplu, Banca Naţională a
României a prevăzut, în Legea bancară nr. 58/1998 cu modificările ulterioare, limite
referitoare la expunerea faţă de un singur debitor, la expunerile mari, la expunerile faţă de
persoanele aflate în relaţii speciale cu banca, la activele de genul titlurilor participative, la
poziţia valutară etc.
Un alt aspect care intră în atenţia supraveghetorilor este organizarea şi funcţionarea
sistemului de control intern, în legătură cu care se apreciază adecvarea la natura, obiectivul şi
nivelul activităţii băncii.
Totodată, o mare importanţă este acordată de autorităţile de supraveghere calităţii
conducerii băncii. Prin inspecţii la faţa locului, unde dialogurile purtate cu conducerea băncii
dau posibilitatea înţelegerii planurilor de afaceri şi a strategiilor, iar observaţiile şi contactele
cu personalul băncii relevă adecvarea personalului, a resurselor materiale şi echipamentelor
băncii, supraveghetorii pot evalua competenţa conducerii.
O supraveghere eficientă se realizează pe baza colectării şi analizării informaţiilor
despre bancă (situaţii financiare, raportări), care arată încadrarea în anumiţi indicatori de
prudenţialitate şi constituie baza discuţiilor cu conducerea băncii.
Pentru validarea acestor informaţii, autorităţile de supraveghere pot folosi fie
inspecţiile la faţa locului, fie auditorii externi ai băncii. Mandatul dat acestora din urmă se
poate extinde şi asupra verificării adecvării sistemului de control intern al băncii.
58
Art. 51-52, Legea bancară nr. 58/1998 modificată prin Legea nr. 357/2002 şi Legea nr. 485/2003
53
Audit Bancar BANCAS
În unele ţări, pentru a-şi întregi imaginea despre administrarea băncii şi sistemul de
operare al acesteia, autorităţile de supraveghere se întâlnesc periodic cu comitetul de audit şi
consiliul de administraţie, putând astfel să aprecieze eficacitatea activităţii comitetului sau să
sprijine banca în rezolvarea unor probleme.
3. Relaţia dintre autoritatea de supraveghere şi auditorul extern
Din cele expuse în acest capitol, se pot identifica unele puncte de tangenţă între cele două
entităţi:
- îndeplinirea cerinţelor prevăzute de lege de către auditorul extern al unei bănci (de
experienţă, independenţă etc) reprezintă unul dintre elementele analizate în cadrul
procedurii de autorizare a băncii de către organismul de supraveghere;
- obligaţiile ce revin auditorului extern referitoare la raportarea şi informarea
supraveghetorilor cu privire la unele fapte descoperite în cursul desfăşurării
angajamentului de auditare a situaţiilor financiare ale unei bănci;
- autoritatea de supraveghere se bazează pe certificarea dată de auditorul extern al băncii
cu privire la realitatea şi corectitudinea informaţiilor cuprinse în situaţiile financiare ale
băncii;
- supraveghetorii pot mandata auditorii externi pentru evaluarea calităţii controlului intern,
a sistemului contabil, a conformităţii activităţii băncii cu cerinţele legale şi de
reglementare, a adecvării structurii organizatorice etc
- atât autoritatea de supraveghere, cât şi auditorul extern apreciază calitatea controlului
intern în cursul obişnuit al activităţii lor, chiar dacă pentru scopuri diferite;
- auditorul extern poate folosi informaţiile date de supraveghetori pentru a-şi realiza
atribuţiile mai eficient.
Se poate concluziona că, pentru menţinerea stabilităţii sistemului bancar şi pentru
întărirea securităţii băncilor în scopul protejării intereselor deponenţilor, autoritatea de
supraveghere dispune de un colaborator competent, care îi dă asigurarea cu privire la
credibilitatea situaţiilor financiare ale băncilor, îi poate semnala aspecte alertante din
activitatea băncilor şi pe care îl poate împuternici să realizeze o parte din munca sa.
Având în vedere complexitatea crescândă a industriei bancare, obiectivele
organismelor de supraveghere şi ale auditorilor externi sunt din ce în ce mai greu de atins.
Din multe puncte de vedere, ambele tipuri de instituţii trebuie să facă faţă unor provocări
similare şi, din ce în ce mai mult, rolurile lor sunt percepute ca fiind complementare.
54
Audit Bancar BANCAS
Cooperarea dintre supraveghetori şi auditorii externi (care poate îmbrăca şi forma unor
întâlniri periodice) face ca procesul de supraveghere să fie mai eficient şi mai eficace, iar
interesul public general faţă de stabilitatea sistemului bancar să fie astfel mai bine slujit.
1. Care este rolul auditorului extern în procesul de derulare a activităţii unei bănci solide?
2. Atunci când o bancă îşi externalizează funcţia de audit intern, poate aceasta să contracteze
aceaşi firmă atât pentru activitatea de audit intern cât şi pentru auditul extern? Justificaţi
răspunsul.
3. Este importantă prezenţa autorităţii de supraveghere în cadrul general al unui sistem
bancar solid? Justificaţi răspunsul.
55
Audit Bancar BANCAS
AUDITAREA PROCESELOR ŞI TEHNICILOR

CAPITOLUL 5 DE EVALUARE A RISCURILOR
1. Prezentare generală
2. Matricea riscurilor, suport pentru stabilirea planului de audit
Cuvinte – cheie
Întrebări şi exerciţii
1. Prezentare generală
În contextul dezvoltării complexităţii activităţilor bancare, lumea bancară a început să

conştientizeze pericolul apariţiei unor noi elemente ce poartă un anumit grad de risc de
pierdere. Astfel, cercetătorii cât şi bancherii din întreaga lume caută soluţii fiabile care să-i
ajute în demersul lor de a administra riscurile aferente oricărei activităţi comerciale dar mai
ales celei bancare.
În consecinţă, Comitetul de la Basel care operează în cadrul Băncii Reglementărilor

Internaţionale a emis un număr de recomandări cu privire la administrarea riscurilor în cadrul
activităţilor bancare, numindu-le generic sub apelativul BASEL urmat de un număr ce
reprezintă ordinea apariţiei.
Iniţial, Comitetul de la Basel a emis în 1988 principii de administrare a riscului de credit,

care ulterior au fost reţinute sub denumirea de Basel I. Aici, Comitetul specifica modalităţile
de administrare a riscului de credit şi necesitatea alocării de capital pentru acoperirea
eventualelor pierderi ce ar fi putut avea loc în contextul unei gestionări neadecvate a
portofoliului de credite sau a altor active purtătoare de risc. Astfel, aceste recomandări au
condus băncile la clasificarea activelor sale în funcţie de gradul de risc asociat şi ponderarea
acestora în calculul solvabilităţii şi pragului minim care trebuie să fie atins. Era foarte bine
cunoscută formula:
Capital > 8%
Risc de credit
56
Audit Bancar BANCAS
În demersul lor de a se dezvolta şi a evita în mod moral legislaţia restrictivă (prin

inovaţie), băncile au început să intre pe piaţă cu noi instrumente de trezorerie şi investiţii
(instrumente derivative) care incumbau noi tipuri de risc neincluse până în 1996 în calculul
capitalului minim obligatoriu: riscul de piaţă. Astfel, Comitetul de la Basel s-a adaptat rapid
la noile tendinţe şi în 1996 modifică BASEL I prin adăugarea riscului de piaţă la calculul
capitalului minim obligatoriu.
Capital >8%
Risc de credit+Risc de piaţă
Recent, mai exact începând cu 1999, lumea bancară a adus în discuţie introducerea unui
concept a cărui manifestare este veche şi universală dar care nu fusese luat în calculul
capitalului minim obligatoriu mai mult din comoditate decât din alte motive, având în vedere
dificultatea, timpul necesar şi tehnicile anevoioase de calcul al său: riscul operaţional. De
asemenea, având în vedere dezvoltarea tehnicilor de calcul ale riscurilor de credit şi de piaţă
(internal rating approach, advanced internal rating approach, VaR, etc.), Comitetul a hotărât
înlocuirea vechiului BASEL I cu noile descoperiri adunate sub denumirea generică de
BASEL II, a cărui aplicare va avea loc la începutul anului 2007.
Capital >8%
Risc de credit+ Risc de piaţă+ Risc operaţional
Astfel, funcţia de audit intern trebuie să se adapteze noilor tendinţe descrise în cadrul
acestui nou acord, care reiterează rolul foarte important al auditului intern în desfăşurarea
adecvată a gestiunii riscurilor din cadrul unei bănci. Aici, Comitetul menţionează în cadrul
celor 10 principii de gestionare a riscului operaţional din cadrul băncilor că auditul nu trebuie
să se implice efectiv în activitatea de gestiune a riscurilor, ci el trebuie să evalueze dacă
factorii responsabili aplică principiile şi tehnicile adecvate de gestiune şi în ultimă instanţă să
asiste sau să sfătuiască persoanele responsabile. Este adevărat însă, că tot Comitetul este
conştient că, atunci când avem în discuţie o bancă mică, s-ar putea să ne întâlnim cu situaţia
în care auditul intern are în sarcină şi gestionarea riscului, dar aceasta nu ar trebui să mai
continue, odată ce recomandările BASEL II intră în vigoare. Trebuie avut în vedere că acest
Comitet nu face altceva decât să accentueze menţiunile făcute de către OECD referitoare la
guvernanţa corporativă (corporate governance) care pune existenţa funcţiei independente de
57
Audit Bancar BANCAS
audit intern ca o condiţie necesară pentru o bună organizare a companiei. Mai jos se poate
observa locul auditului în cadrul activităţii de gestiune a riscurilor.
Cu alte cuvinte, în activitatea cotidiană de auditare a activităţilor bancare, auditorul intern se

va ghida după matricea riscurilor implicate (vezi mai jos detalii despre matrice) în respectiva
activitate auditată. Dacă anumite elemente de risc au fost depistate, atunci auditorul intern
trebuie să discute cu responsabilul respectivei activităţi semnalându-i pericolul unei
eventuale apariţii sau existenţa acestora şi să ofere recomandări în sensul preîntâmpinării sau
reducerii/eliminării acestora, rămânând tot timpul în afara procesului de gestionare, dar
evaluând periodic stadiul în care se află implementarea recomandărilor.
Având în vedere faptul că tehnicile şi metodele de gestionare a riscurilor ar trebui să facă

parte din cadrul unei alte prezentări care să fie dedicată acestora, autorii o să prezinte doar
riscurile care trebuie să fie urmărite şi care sunt recunoscute de către BASEL II şi preluate de
către BNR în Norma 17/2003.
58
Audit Bancar BANCAS
Astfel, auditorul intern trebuie să observe riscurile ce se pot manifesta la un moment dat
în cadrul băncii pe fiecare departament şi global, nelimitându-se doar la un anumit risc care
este caracteristic funcţiunii auditate. De exemplu, în cadrul departamentului de credite, la
prima vedere, putem spune că ne vom întâlni doar cu riscul de credit, dată fiind denumirea
departamentului care ne trimite la o astfel de abordare. Dar nimic nu este mai fals comparativ
cu opinia emisă anterior. Aici, vom putea descoperi că şi riscul de dobândă, valutar sau chiar
şi cel operaţional ar putea avea manifestări într-o măsură mai mare sau mai mică. În ceea ce
priveşte riscul operaţional, există o graniţă foarte sensibilă între a determina dacă o pierdere
este aferentă riscului operaţional sau celui de credit (ex. nerambursarea unui credit pentru că
debitorul a prezentat la bancă documente false, acest eveniment fiind pus sub umbrela
riscului operaţional). Pentru a avea în minte întreaga gamă de riscuri ce ar putea să apară la
un moment dat în cadrul băncii, schema de mai jos este cât se poate de relevantă.
Riscuri bancare
Riscuri financiare Risc operaţional Risc de afacere Riscuri externe
Structura bilanţului Riscul de legislaţie Risc de strategie Risc politic
Risc de politici ale Risc de contagiere

Structura contului de Sistemele interne şi organizaţiei
profit si pierdere riscul operaţional
Infrastructură Risc de criză

Solvabilitatea Riscul de tehnologie financiară bancară
Riscul de credit
Conducere şi fraudă Risc sistematic Alte riscuri
(de ţară)
Riscul de lichiditate
Riscul de dobândă
Riscul de piaţă
Riscul valutar
2. Matricea riscurilor. Suport pentru stabilirea planului de audit.
În general, la sfârşitul anului, atunci când are loc un bilanţ al activităţii funcţiei audit intern
pentru a stabili dacă planul pe anul respectiv a fost îndeplinit şi întocmirea planului de audit
59
Audit Bancar BANCAS
pentru anul viitor care va include şi eventualele misiuni nerealizate, coordonatorul

departamentului de audit intern va întocmi o matrice de risc pentru fiecare departament care
va avea ca rezultat o notă. Această notă va fi comparată cu intervalele prestabilite şi încadrată
într-unul din ele care va specifica şi frecvenţa auditului pentru respectivul departament
(trimestrial, semestrial, anual, o dată la doi ani, trei ani, etc.)
Indiferent de departamentul auditat, această matrice va trebui să conţină printre altele şi
următoarele întrebări/aspecte:
I. Întrebări referitoare la evaluarea riscului.
a. semnificaţia şi riscul inerent al departamentului
care este semnificaţia departamentului auditat în activitatea băncii?
cât de mare este probabilitatea ca riscul să crească sau ca riscuri adiţionale să
apară datorită modificărilor în cadrul general al activităţii/afacerii?
există riscuri adiţionale datorită complexităţii activităţii băncii?
b. tipuri de risc
cât de mare este riscul de credit potenţial?
cât de mare este riscul de piaţă potenţial?
Cât de mare este riscul operaţional potenţial (fără IT)?
Cât de mare este riscul potenţial în sfera IT?
Cât de mare este riscul potenţial generat de participări/ deţinerea de imobile?
II. Întrebări referitoare la evaluarea controlului.
a. Cadrul general
sunt cunoscute în mod adecvat riscurile, controalele şi securitatea în rândul
membrilor departamentului auditat?
Sunt definite clar interfaţele cu celelalte unităţi/parteneri de outsourcing?
Sunt definite clar responsabilităţile conducerii?
Sunt adecvate numărul, calificarea şi experienţa personalului în legătură cu
activitatea departamentului auditat?
Realizarea sarcinilor este descrisă în cadrul unor politici scrise suficient de
detaliate, relevante şi actualizate?
Se potrivesc clădirile şi echipamentele tehnice activităţii auditate?
b. Gestiunea riscului - în special riscuri inerente
există instrumente/precauţii adecvate pentru a identifica, măsura, monitoriza
şi controla riscurile?
60
Audit Bancar BANCAS
Sunt limitele adecvate comparativ cu riscurile implicate?

Sunt utilizate metode adecvate pentru identificarea noilor riscuri şi deviaţiilor
faţă de standard şi se acţionează adecvat?
limita şi gestionarea riscurile inerente activităţii auditate?Este conducerea bine
informată despre expunerea la risc a unităţii în timp util şi o manieră
adecvată?
c. Sistemul de controale interne
sunt controalele adecvate şi corect realizate în funcţie de aria de cuprindere şi
complexitatea activităţii unităţii?
Este sistemul de controale interne periodic revăzut şi modificat conform
nevoilor mai ales în momentele de schimbare a mediului de afaceri?
Sunt definite controalele realizate ca intenţionate?
Sunt toate deficienţele abordate eficient şi rezolvate în timp util?
d. Conformitatea cu reglementările interne şi externe
sunt respectate toate obligaţiile legale şi de supraveghere?
sunt însuşite toate procedurile şi politicile interne?
personalul şi directorii responsabili sunt familiari cu toate reglementările
interne şi externe relevante?
Pentru fiecare întrebare se pot întâlni 4 categorii de relevanţă pentru activitatea auditată.
Acestea sunt: nici o relevanţă, relevanţă scăzută, relevanţă normală şi relevanţă mare. De
asemenea, se atribuie pe acelaşi principiu note referitoare la riscul ce-l implică fiecare
întrebare. Notele riscului sunt de la 1 la 4 şi au acelaşi înţeles ca şi relevanţa (1-deloc, 2-
scăzut, 3-normal, 4-mare). Combinând cele două rezultate, un program automat va determina
nota generală pentru activitatea auditată care va fi folosită pentru determinarea frecvenţei
auditului.
61
Audit Bancar BANCAS
Cuvinte cheie
solvabilitate; guvernanţă corporativă;

riscuri financiare; matricea riscurilor
riscuri operaţionale; relevanţa
riscuri ale afacerii; notarea riscului
riscuri externe;
1. Definiţi fiecare categorie de risc implicat în activităţile bancare.

2. Care este rolul auditului în cadrul activităţii de gestionare a riscurilor?
3. Care sunt elementele ce apar într-o matrice de risc?
4. Pe baza răspunsului anterior, creaţi o matrice a riscurilor aferentă departamentului de
credite. Încercaţi şi pentru celelalte departamente.
62
Audit Bancar BANCAS
ACTIVITATEA DE AUDIT PROPRIU – ZISĂ.

CAPITOLUL 6 ABORDARE PRACTICĂ
1. Calculul capacităţii auditului

2. Planul anual de audit
3. Etapele activităţii de audit intern
4. Întocmirea raportului de audit intern
Cuvinte – cheie
5. Abordare practică
5.1. Activitatea de creditare
5.2. Trezorerie şi pieţe de capital
5.3. Trade Finance (pasive contingente
A.Garanţii bancare
C.Acreditive
5.4. Plăţi
1.Plăţi interne (de pe teritoriul ţării)
2.Plăţi internaţionale
5.5. Contabilitate
5.6. Furnizori/cheltuieli
5.7. Personal/resurse umane
5.8. Administrarea clădirilor şi mijloacelor fixe
5.9. Auditul de conformitate
5.10. Auditul sistemelor informaţionale
1. Calculul capacităţii auditului
Înainte de a se realiza planul anual de audit intern, coordonatorul departamentului audit

intern trebuie să calculeze numărul efectiv de zile care pot fi lucrate de către personalul
angajat la momentul respectiv.
La calcularea capacităţii auditului, coordonatorul trebuie să ia în considerare numărul de
zile lucrătoare, zilele legale de sărbătoare, zilele de concediu de odihnă sau medical (se face
o estimare care să se apropie de numărul legal de zile de concediu), etc. În general, calculul
ia forma unui tabel ca cel de mai jos:
63
Audit Bancar BANCAS
Numărul de persoane angajate 1000

Din care centrala băncii 300
Numărul persoanelor din audit 10
Procent 1
Capacitatea auditului pe 3 ani (de văzut mai jos) 4026
Procent din total personal din centrala băncii 3
Numărul de personal din audit 10

Numărul de zile pe an 3650
Minus
Week-enduri 1080
Sărbători legale 80
Vacanţă de odihnă 210
Boli sau alte vacanţe 80
Capacitatea auditului 2200
Din care:
19% compliance şi AML 418
5% consultanţă 110
10% audit extern 220
5% audituri neplanificate 110
Zilele lucrătoare de audit planificat pe an 1342
În următorii 3 ani 4026
Minus
Altele 0
4026
Determinarea capacităţii de audit va trebui să evalueze şi următorii doi ani, astfel încât
aceasta să prezinte o estimare pe trei ani în vederea planificării efectivelor de personal
necesar auditului intern.
2. Planul anual de audit.
În desfăşurarea activităţii de audit intern, planul anual reprezintă un ghid sau, mai mult,
echivalentul bugetului de venituri aferent departamentelor orientate către vânzări, adică, cu
alte cuvinte acesta determină anumiţi termeni care trebuie să fie realizaţi.
Aşa cum s-a menţionat şi în capitolul anterior, planul de audit va trebui să reflecte
rezultatele matricelor de risc. Astfel, dacă activitatea auditată emană un risc semnificativ,
64
Audit Bancar BANCAS
atunci aceasta ar trebui să fie auditată periodic la fiecare 3 luni. În continuare, pe măsura
scăderii gradului de risc implicat, auditul poate fi desfăşurat la fiecare 6 luni, în fiecare an, la
doi ani sau chiar 3 ani. Mai jos, autorii vă prezintă un model de plan anual de audit intern în
condiţiile în care departamentul are trei persoane angajate.
Departamentul Perioada Nr. de zile Nr. Realizat (sfârşit an)

auditori
Credite/legal/retail 05.01.2004- 20 3
02.02.2004
Trade finance 09.02.2004- 10 3
23.02.2004
TFO 01.03.2004- 5 3
05.03.2004
TBO 08.03.2004- 5 3
12.03.2004
Sucursala 1 15.03.2004- 5 2
19.04.2004
Custodie 15.03.2004- 5 1
19.04.2004
Etc.
Tabelul va continua cu enumerarea celorlalte departamente sau unităţi care ar trebui să

fie auditate conform matricelor de risc până la sfârşitul anului. După cum s-a observat, în
acelaşi timp se pot realiza mai multe misiuni de audit, însă, aceasta modalitate poate fi
utilizată numai în cazul în care banca dispune de efectivele de personal necesare.
Evident, acest plan poate suferi modificări de-a lungul anului, în funcţie de noile
activităţi sau produse ce au fost introduse fără a se şti aceasta la momentul întocmirii. De
asemenea, toate activităţile rămase neauditate vor fi repartizate în planul de audit pentru anul
următor.
Acest plan trebuie să fie întocmit de către coordonatorul departamentului de audit intern şi
aprobat de către consiliul de administraţie.
3. Etapele activităţii de audit intern
65
Audit Bancar BANCAS
Etapa I. Informare generală privind obiectivul ce urmează a fi auditat

1. Lucrări preliminare
informare, documentare referitoare la relaţiile cu mediul extern de afaceri;
informare privind reglementările legale, statutare, profesionale;
comparaţii cu alte societăţi (bănci) cu acelaşi profil.
2. Primele legături oficiale cu unitatea auditată (management, structuri operatorii)
informări, documente referitoare la principalele niveluri structurale, planuri,
persoane, rezultate, deficienţe;
vizite la manageri, directori, servicii, operatori;
informare preliminară privind documentele de gestiune (evidenţa operativă).
3. Orientarea planificată şi începerea lucrărilor
deschiderea dosarului permanent de lucru;
analiza riscurilor de audit:
- definirea obiectivelor de audit,
- stabilirea limitelor de aprofundare,
- precizarea duratelor (persoanelor);
stabilirea departamentelor, secţiilor, serviciilor, şi locurilor de operare unde se
vor efectua testări
Etapa II. Derularea misiunii de audit
1. Stabilirea procedurilor
folosirea manualului de proceduri, după caz;
elaborarea diagramelor de circulaţie (informaţii, documente);
alcătuirea de memorandumuri.
2. Stabilirea testelor de conformitate
simulări sau/şi teste la un număr de tranzacţii diferite cu scopul de a verifica
procedurile de control şi finalizarea controlului: adaptabilitatea sistemului de
control.
3. Evaluarea preliminară a controlului intern
puncte forte ale sistemului de control;
puncte slabe ale sistemului de control.
4. Teste de permanenţă
teste de verificare a continuităţii şi eficacităţii punctelor forte ale sistemului.
5. Evaluarea controlului
66
Audit Bancar BANCAS
punctele forte ale sistemului de control;

slăbiciunile, deficienţe ale sistemului de control;
documente de sinteză.
Etapa III. Finalizarea misiunii de audit
1. Evaluarea definitivă a controlului intern
acţiuni semnificative;
acţiuni puţin semnificative;
elaborarea unor noi programe;
teste complementare;
elaborarea unor noi programe;
2. Stabilirea şi raportarea opiniei
4. Întocmirea raportului de audit intern

Raportul de audit respectă anumite principii, o anumită formă, iar conţinutul său se
supune anumitor norme.
Raportul de audit intern este şi trebuie să fie un document de informare pentru
conducere. La simpla lectură a raportului, superiorii ierarhici trebuie să ştie dacă există un
bun control asupra domeniului auditat şi care sunt, eventual, măsurile importante ce trebuie
luate pentru a îmbunătăţi situaţia. Pentru a răspunde acestei funcţii, nu este nevoie ca raportul
de audit să detalieze investigaţiile efectuate. Trebuie şi este nevoie ca raportul de audit să
detalieze investigaţiile efectuate? Trebuie şi este de ajuns să prezinte o argumentaţie clară,
care să se bazeze pe identificarea exactă a riscurilor observate sau descoperite şi care să
precizeze în linii mari punctele slabe şi măsurile ce trebuie luate ?
Însă raportul de audit mai trebuie să fie, din punctul de vedere al entităţii auditate, şi un
instrument de lucru. Pornind de la raportul de audit, responsabilii auditaţi vor întreprinde
acţiuni corective, ceea ce nu s-ar putea face numai cu indicaţii generale. Aşadar, documentul
trebuie să analizeze şi să prezinte în mod obligatoriu detaliile constatărilor şi observaţiilor.
Recomandările trebuie să fie concrete şi precise, pentru ca responsabilii să nu rămână
nelămuriţi, şi să fie în măsură să definească cu exactitate acţiunile ce trebuie întreprinse.
Rezultatul acestei abordări este un raport lung.
Raportul de audit va trebui să răspundă acestor două exigenţe prin adoptarea unei
structuri originale pe care o putem analiza în patru părţi:
Prima pagină şi scrisoarea de transmitere
67
Audit Bancar BANCAS
În funcţie de regulile băncii şi de cultura ei, raportul este-sau nu- însoţit de o scurtă
scrisoare de transmitere. De foarte multe ori, scrisoarea de transmitere lipseşte iar pe prima
pagină se indică principalele menţiuni care nu trebuie omise:
în primul rând, titlul misiunii şi data de trimitere a raportului care precizează
foarte clar data de încheiere a operaţiunilor de audit. Eventual, se aminteşte
ordinul de misiune iniţial;
sunt menţionate numele auditorilor care au participat la lucrări, împreună cu
cel al şefilor de misiune; este foarte indicat ca cei interesaţi să semneze cu
numele lor, cu excepţia cazului - pe care veţi vedea că nu-l recomandăm - în
care nu au participat la redactarea raportului. Produsul final este astfel validat
de către cei care au contribuit la crearea sa;
din acelaşi spirit de claritate se cere precizarea numelor destinatarilor
raportului de audit. Dacă au fost difuzate doar extrase, se vor preciza şi
beneficiarii acestor extrase. Este foarte important ca la fiecare nivel al
structurii ierarhice să se ştie foarte clar cine a primit documentul. O menţiune
specială precizează cine este entitatea auditată, destinatar principal şi
responsabil cu aplicarea recomandărilor.
O menţiune obligatorie de confidenţialitate mai figurează pe prima pagină
(sau pe copertă). Această cerinţă de confidenţialitate implică numerotarea
diferitelor exemplare şi precizarea numărului în faţa numelui fiecărui
destinatar. Regulile interne ale serviciului de audit trebuie să interzică în mod
normal editarea sau fotocopierea raportului.
Sumar- introducere şi sinteză
Acest ansamblu introductiv începe prin sumarul detaliat al raportului pentru a putea face
uşor trimiteri la un subiect sau altul. Acest sumar este indispensabil mai ales pentru
rapoartele voluminoase sau care au multe anexe.
Introducerea este în general destul de scurtă. Ea trebuie să cuprindă în mod obligatoriu
două informaţii:
prezentarea domeniului de acţiune şi a obiectivelor misiunii. Într-adevăr,
cititorul nu cunoaşte neapărat ordinul de misiune, şi nici raportul de orientare
a fortiori; această prezentare precizează aşadar cu o foarte mare utilitate
scopul urmărit şi limitele în care s-au situat investigaţiile (limite în timp şi
spaţiu);
68
Audit Bancar BANCAS
o descriere foarte scurtă a organizării unităţii sau a funcţiei auditate; şi aceasta

nu pentru că entităţile auditate solicită acest lucru, ci pentru a răspunde primei
funcţii a raportului: informarea conducerii. La nivelurile cele mai înalte ale
ierarhiei, poate să fie nevoie de o prezentare a organizării mediului auditat.
În final, sinteza. Unii autori o numesc “scrisoarea preşedintelui”, ceea ce subliniază
foarte clar obiectivul sintezei: să informeze conducerea şi să respecte astfel prima funcţie a
documentului. Acest capitol, clar separat de celelalte, permite responsabilului de la nivel înalt
să oprească lectura în acel punct pentru a consulta în detaliu diferitele probleme pe care
doreşte să le aprofundeze. Acest lucru presupune ca sinteza să respecte două reguli esenţiale:
- trebuie să fie scurtă: nu mai mult de o pagină şi jumătate, pentru a nu se lungi sau repeta.
- trebuie să fie precisă şi să permită cititorului să-şi formeze o opinie după lectură.
În această sinteză auditorul apreciază calitatea controlului intern. În acest scop, ea nu
trebuie să fie un simplu rezumat al corpului raportului care conţine numai observaţii
negative. Nota de sinteză restabileşte echilibrul, corelând aspectele pozitive cu cele negative.
Astfel poate fi aplicată Norma 2410.A2: “Comunicarea trebuie să ţină cont de punctele forte
identificate”. Să precizăm că anumite rapoarte de audit aplică Norma evocând aspectele
pozitive din corpul raportului. Dar pe lângă faptul că această metodă îngreunează prezentarea
şi atenuează punctele slabe, ea nu permite aplicarea Normei 2410.A1, care impune o “opinie
generală a auditorului”. Tehnicile de apreciere care permit formularea acestei opinii globale
sunt tratate în capitolul următor. Aceste tehnici sunt cu atât mai necesare cu cât auditorului
intern i se cere de aici înainte să-şi assume opinia formulată, fapt care indică importanţa
sintezei.
Uneori, acest document de sinteză este lăsat la sfârşitul raportului: aceasta este o
greşeală, deoarece cititorul are tendinţa de a face o lectură integrală, în timp ce scopul
urmărit este tocmai evitarea acestui parcurs.
Corpul raportului- sau “Raportul detaliat”
Este documentul integral destinat în primul rând entităţii auditate şi care cuprinde:
constatări, recomandări şi răspunsuri la recomandări, toate prezentate în ordinea logică şi
coerentă a sumarului. Din păcate, există o dispută între două şcoli în privinţa formei acestei
părţi care reprezintă esenţa raportului:
o şcoală “tradiţională” care susţine faptul că raportul de audit intern este un
document destinat lecturii, şi nu o cantitate de informaţii care trebuie
69
Audit Bancar BANCAS
descifrate din documentele de lucru. Corpul raportului trebuie aşadar redactat

ca orice alt raport, adică conform tradiţiei.
o şcoală “inovatoare” susţine faptul că, având în vedere că practica foilor de
lucru este generalizată datorită structurii sale coerente şi logice, este de ajuns
să clasăm toate foile de lucru conform ordinii anunţate în sumar şi corpul
Raportului este gata în forma sa definitivă. Această practică are riscurile ei: în
starea ei iniţială, foaia de lucru este un document abrupt, fără nuanţe şi a cărei
formă voit simplificată îl poate şoca pe cititorul neavizat. De aceea, este
recomandat să nu alegeţi această cale decât dacă o permit contextul şi cultura.
Concluzia-Planul de acţiune- Anexele
Concluzia unui raport de audit nu este obligatorie: adevărata concluzie este nota de
sinteză de la începutul documentului. Putem totuşi să facem o scurtă încheiere (15 rânduri),
nu pentru a repeta ceea ce s-a spus în sinteză, ci pentru a deschide două direcţii posibile:
fie pentru a anunţa - sau a sugera - alte misiuni al căror interes a fost
evidenţiat prin prezenta misiune de audit;
fie pentru a reaminti - făcând referire la planul de audit aprobat - la ce dată va
avea loc următoarea misiune de audit intern pe aceeaşi temă.
După această scurtă concluzie urmează un document completat de către entitatea
auditată, trimis împreună cu răspunsurile la recomandări şi anexat la raport: este vorba de
planul de acţiune. Este un simplu formular, standardizat de auditul intern, şi care permite
entităţii auditate să precizeze în cadrul fiecărei recomandări cine, ce şi când va acţiona.
Pentru a răspunde acestor obiective, actul anexat la sfârşitul raportului cuprinde înaintea
numărului fiecărei recomandări numele persoanei responsabile cu punerea în aplicare şi
termenul în care recomandarea va fi pusă în aplicare şi finalizată. Vom vedea mai târziu la ce
folosesc aceste informaţii, însă imediat după difuzarea raportului, destinatarii ştiu cui să i se
adreseze pentru fiecare problemă adusă în discuţie. Forma cea mai simplă şi cea mai
tradiţională este aceasta:
Plan de acţiune
Recomandări Persoana responsabilă Data limită de finalizare
Nr.1 Şeful de departament 30.06.2004
Nr.2 Director sucursală 30.05.2004
70
Audit Bancar BANCAS
Majoritatea rapoartelor de audit intern conţin şi anexe pentru a nu complica prea mult
textul documentului. De aceea, toate tabelele, graficele, textele oficiale, regulile procedurale,
schemele etc. care susţin demonstraţia sunt lăsate în anexe, împreună cu trimiterile şi
referinţele de rigoare care să permită identificarea lor fără probleme. În rapoartele
importante, care necesită numeroase trimiteri, se utilizează uneori un “caiet cu anexe”, un fel
de raport complementar care nu este destinat citirii integrale. Utilizarea anexelor prezintă
anumite pericole: auditorul trebuie să se limiteze la documentele indispensabile pentru o mai
bună înţelegere a raportului; ar fi un adevărat dezastru dacă am adăuga documente inutile,
doar pentru a obţine un anumit volum.
Răspunsurile la recomandări
Fiecare constatare dă naştere unei recomandări a auditorului care este prezentată
entităţilor auditate în timpul reuniunii de încheiere. Dacă entităţile auditate au rezerve în
privinţa realismului şi aplicabilităţii lor, şi le vor exprima acum. Auditorii interni vor ţine
cont de acest lucru, sau nu, în funcţie de cum apreciază observaţiile făcute. Deoarece
recomandarea a devenit astfel definitivă din punct de vedere al formei, se cere un răspuns
oficial din partea entităţilor auditate pentru ca observaţiile lor să poată fi integrate în raport.
Aceste răspunsuri la recomandări se materializează în două feluri:
fie - şi aceasta este practica anglo-saxonă - răspunsul este reţinut şi notat încă
de la reuniunea de încheiere, în aşa fel încât la sfârşitul reuniunii să existe un
text definitiv: raport şi răspunsuri. Raportul definitiv astfel finalizat este
disponibil în orele de după reuniune, ba chiar în câteva minute, dacă
actualizările şi înregistrările au fost făcute pe calculator în timp real. Nu mai
trebuie adăugate la document decât planul de acţiune.
practica franceză este mai tradiţională: între exprimarea orală în timpul
reuniunii şi luarea de poziţie în scris dorim să lăsăm entităţii auditate un răgaz
de gândire, care variază în funcţie de bancă (de la 8 zile la 3 săptămâni).
Răspunsul scris ajunge aşadar puţin mai târziu la serviciul de audit intern, care
îl integrează, aşa cum este, în raportul de audit după fiecare recomandare.
Aceste răspunsuri la recomandări trebuie să respecte trei principii fundamentale:
1. Principiul 1
71
Audit Bancar BANCAS
Trebuie să reprezinte o luare de poziţie clară şi fără ambiguitate prin care entitatea
auditată:
- fie acceptă recomandarea, acesta fiind – aşa cum şi trebuie - cazul cel mai întâlnit, mai ales
după reconcilierile şi validările din timpul reuniunii de încheiere.
- fie nu acceptă decât parţial, şi numai pentru unele dispoziţii
- fie o refuză, ceea ce nu trebuie să se întâmple decât în mod excepţional.
Auditorilor trebuie să li se atragă atenţia asupra acestei probleme, deoarece unele
refuzuri nu reprezintă rezultatul unei negări a constatării, ci al caracterului nepotrivit al
soluţiei propuse. De aceea, şeful misiunii, mai experimentat şi cunoscând mai bine mediul,
trebuie să vegheze în mod special asupra calităţii şi pertinenţei recomandărilor propuse.
2. Principiul 2
Materializarea răspunsului entităţii auditate este “Planul de acţiune” la care s-a făcut
trimitere în prezentarea structurii raportului de audit. Odată cu acceptarea recomandării, se va
decide cine va fi responsabil cu punerea ei în aplicare şi când. Acest aspect este foarte
important deoarece introduce auditul în domeniul operaţional, permite trecerea de la teorie la
practică şi dă recomandărilor auditorului un efect care îi pune în valoare acţiunea.
3. Principiul 3
Dacă recomandarea nu este decât parţial acceptată, sau dacă este refuzată total a fortiori,
răspunsul entităţii auditate conţine scurte explicaţii care îi justifică poziţia.
De asemenea, răspunsul trebuie neapărat să se refere la recomandare, el nu trebuie să
reprezinte o ocazie de a nega constatările de fapt care figurează în raportul de audit, aceste
probleme trebuind să fi fost rezolvate în timpul şedinţei de încheiere. Dacă cumva nu a fost
nici una, nici alta şi dacă “Răspunsurile la recomandări” s-ar transforma în critici ale
raportului de audit însuşi, responsabilul auditului intern este cel care trebuie să facă ordine:
- fie având iniţiativa unei reuniuni de reconciliere;
- fie oprind orice încercare de dezbatere din partea auditorilor săi, după ce s-a asigurat încă o
dată de pertinenţa observaţiilor acestora.
Monitorizarea raportului de audit intern

Auditorii interni au avut întotdeauna grijă să ştie ce se va întâmpla cu recomandările lor
pentru a putea măsura eficacitatea reală a lucrărilor lor şi să verifice soluţiile date unor
probleme în care s-au implicat total. Însă există pericolul de a vrea să meargă prea departe,
căci, dacă modalităţile de monitorizare diferă uneori în funcţie de bancă, există un principiu
cu care toată lumea este de acord: auditorul intern nu ia parte la aplicarea propriilor sale
72
Audit Bancar BANCAS
recomandări. Principiul care pleacă chiar de la definiţia funcţiei: auditorul nu este cineva care
face lucrurile, este cineva care priveşte cum sunt făcute lucrurile.
Auditorul intern are dreptul să fie informat referitor la aplicarea recomandărilor sale,
drept care va permite măsurarea eficacităţii, completarea dosarelor şi, deci, să încheie
auditele ulterioare. Acest drept se bazează pe câteva principii normative de la care nu ne
putem abate.
Cuvinte cheie
capacitatea auditului; finalizarea misiunii de audit;

planul anual de audit; raportul de audit;
etapa de informare; plan de acţiune;
derularea misiuni de audit; monitorizarea raportului de audit.
1. Cum se calculează capacitatea auditului într-o bancă? Exemplificaţi pentru o bancă care
are 3 persoane angajate în cadrul departamentului de audit intern.
2. Care sunt elementele luate în consideraţie la întocmirea planului anual de audit?
Exemplificaţi pentru o bancă care are 10 sucursale şi următoarele departamente: credite, plăţi
interne şi externe, operaţiuni de comerţ internaţional (trade finance), legislative, trezorerie
(front office, back office), contabilitate şi financiar, informatică, calitate. Notă: unităţile
trebuie să fie auditate anual cu excepţia a două sucursale care trebuie să fie auditate o dată la
2 ani şi a funcţie de back office care trebuie auditată trimestrial (cele două sucursale au fost
auditate anul precedent).
3. Care sunt etapele activităţii de audit?
4. Enumeraţi secţiunile unui raport de audit?
5. Este important să se întocmească un plan de acţiune şi să se monitorizeze realizarea
recomandărilor stipulate în acesta?
73
Audit Bancar BANCAS
74
Audit Bancar BANCAS
5. Abordare practică.
În cadrul acestei părţi se doreşte a se prezenta foarte succint extrase de constatări realizate în
cadrul diferitelor audituri realizate în domeniile de activitate ale unei bănci. Acolo unde
extrasele din rapoartele de audit nu sunt relevante, se vor prezenta liste de verificare care sunt
utilizate de catre auditori în misiuniule lor de audit.
5.1. Activitatea de creditare
1. Debitor: MMM srl

Ţara: România
Industria: prelucrarea lemnului
Scopul creditului: investiţii
Data Aprobării: 28.03.2005 Comitetul de Credite
Tipul Suma Moneda Soldul Perioada Rata Comisioane

creditului totală dobânzii
INV 255.000 EURO 255.000 31.07.2009 7.5% -
poliţa de asigurare nu este înregistrată în Arhiva Electronică de Garanţii Reale

Mobiliare
Alte asigurări nu au fost înregistrate în AEGRM
Garanţii au fost evaluate la 487.483 EURO
CREDIT RATING CLIENT

Opinia auditorului* Conform BNR Opinia auditorului* Rating CRM
C C C B
2. Tragerea creditului : 25/03/2005

3. Ipoteca : 30.03.2005
4. Situaţiile Financiare : 31.12.2004
a) profit :899.061.000 ROL = 24.631 EUR
75
Audit Bancar BANCAS
b) Venit Net= 41.193.410.000 = 1.128.586 EUR

c) Datorii plătibile într-un an : 10.289.433.000 = 281.902 EUR
d) Datorii plătibile peste un an : 13.209.276.000 = 361.987 EUR
Aspecte critice :
Condiţii precedente (precedent conditions) « asigurarea clădirii » nu a fost realizată

de către client şi nu a fost monitorizată de către bancă- de asemenea, nu a fost
înregistrată în Arhiva Electronică de Garanţii Reale Mobiliare.
Copiile bilanţelor primite de la clienţi nu sunt ştampilate pentru a dovedi
conformitatea cu originalul
Tragerea creditului înainte de aprobarea lui de către persoanele copetente şi
constituirea garanţiilor.
Extras din raportul de audit :
Constatare : Răspuns unitate auditată :

Pentru clientul MMM SRL, banca nu a monitorizat constituirea Suntem de acord
garanţiilor in timp efectiv, permitând tragerea creditului
înaintea constituirii garanţiilor. Dupa constituirea garanţiilor,
banca nu a reuşit să controleze asigurarea acestora. Mai mult
banca a permis tragerea creditului înainte de obţinerea
aprobărilor din partea Comitetului de Credit.
Recomandare : Termenul limită de
Banca trebuie sa implementeze un sistem de remediere : O săptămână de
monitorizare/control a a ctivităţii de creditare în sensul la semnarea raportului de
constituirii garanţiilor în timp efectiv şi nepermiterea efectuării audit
tragerilor înainte de obţinerea aprobării
Risc: credit şi operaţional
5.2.Trezorerie şi Pieţe de Capital
Contrapartida: Banca X
Tipul tranzacţiei: FX spot
76
Audit Bancar BANCAS
Suma: 1.000.000 EURO

Rata de schimb: 36.400 ROL
Dealer: Bogdan Ioan
Data: 31.03.2005
În urma consultării documentelor suport ale tranzacţiei de mai sus s-au putut reţine
următoarele:
Aspecte critice:
 Dealerul Bogdan Ioan are dreptul să tranzacţioneze în limita a 500.000 EURO pe

tranzacţie, astfel că în cazul nostru dealerul şi-a depăşit limita.
 Expunerea pe contrapartidă aprobată de consiliul de administraţie era de 800.000
EURO
 Deal ticket-ul nu era semnat de doua persoane (dealer şi un ofiţer back-office)-
lipsa principiului celor 4 ochi.
Extras din raportul de audit:
Constatare: Răspunsul unităţii

În cazul tranzacţie interbancare FX din data de 31.03.2005 cu auditate:
contrapartida Banca X, în valoare de 1.000.000 EURO, s-a constatat De acord
că principiul celor 4 ochi nu a fost respectat, ceea ce a condus la
nerespectarea limitei pe dealer şi pe contrapartidă.
Recomandare: Termenul limită de
Directorul unităţii trebuie să implementeze un sistem solid de cntrol implementare:
intern prin care să nu se mai permită depăşirea limitelor aprobate de imediat
consiliul de administraţie
Risc: piaţă şi operaţional
5.3. Trade Finance (pasive contigente)
Scrisori de Garanţie
Client: XYZ SRL

Tip scrisoare de garanţie: pentru licitaţie
77
Audit Bancar BANCAS
Suma: 1.500.000.000ROL
Garanţii: 1.500.000.000 ROL (depozit la bancă)
Data aprobării: 31.03.2005
Emisă: 28.03.2005
Beneficiar: Primăria Municipiului Bucureşti
Data expirării: 28.04.2005
În urma verificării documentelor suport acestei tranzacţii, s-au constatat următoarele:
Aspecte critice:
 Clientul nu oferise băncii contractul de participare la licitaţie în care ar fi trebuit să se

menţioneze necesitatea unei scrisori de garanţie, suma acesteia, beneficiarul şi
valabilitatea sa.
 Textul scrisorii de garanţie nu menţinează data expirării.
 Depozitul este în valoare mai mica de 110% din valoarea scrisorii de garanţie.

În cazul scrisorii de garanţie emisă la cererea clientului XYZ SRL auditate:
din data de 28.03.2005, banca nu a solicitat contractul de participare De acord cu anumite
la licitaţie, nu a menţionat data expirării scrisorii în textul acesteia. mentiuni:
Toate constatările au
De asemenea, scrisoarea a fost emisă înainte de a fi aprobată, iar fost remediate în
colateralul valorează mai puţin de 110% din valoarea scrisorii. timpul auditului
Recomandare: Termen limită de
Unitatea trebuie să respecte procedura in vigoare. implementare: imediat
Risc: credit şi operaţional
B. Acreditive
Client: XYZ SRL

Tip acreditiv: de import
78
Audit Bancar BANCAS
Suma: 500.000 EURO

Data deschiderii: 30.03.2005
Data expirării: 90 de zile de la trimiterea documentelor
Data plăţii: 30.07.2005
În urma verificării documentelor suport ale acestei tranzacţii, s-au constatat următoarele:
Aspecte critice
 Printre documentele obligatorii trimise de către exportator au lipsit certificatul de

origine şi scrisoarea de transport rutier

auditate:
În cazul acreditivului de import emis de bancă la cererea clientului De acord cu menţiunea
XYZ SRL, banca nu a solicitat aprobarea clientului de a face plata ca am luat acceptul
acreditivului având în vedere uzanţele în cazul în care exportatorul clientului prin telefon.
nu trimite toate documentele obligatorii (Ex: scrisoare de transport
rutier şi certificat de origine.)
Unitatea trebuie sa respecte în întregime uzanţele internaţionale. implementare: Imediat
Risc: reputaţional şi operaţional
5.4. Plăţi
1.Plăţile interne (de pe teritoriul ţării)
Instrument de plată: Cec

Beneficiar: XYZ SRL
Suma: 500.000.000 ROL
Data emiterii: 30.05.2005
Data depunerii la bancă: 30.03.2005
Data compensării: 31.03.2005
Data încasării: 01.04.2005
Circuit: 1
În urma verificării documentelor suport, s-au constatat următoarele:
Aspecte critice:
 Înregistrarea încasării în contul clientului băncii cu o întârziere datorită eşecului

sistemului informatic şi neverificării de către personalul unităţii a crediătii conturilor
 Lipsa semnăturii beneficiarului pe borderoul de încasare cec.
 Discrepanţă între suma scrisă în litere şi ceea scrisă în cifre (s-a încasat suma scrisă în
cifre)
79
Audit Bancar BANCAS
Constatare: Răspunsul unităţi auditate:

În cazul cecului de încasat având cabeneficiar clientul băncii De acord cu menţiunea că
XYZ SRL, din data de 30.03.2005, banca nu a urmărit în cazul neîncasării, cauza
încasarea acestuia, nu a verificat existenţa semnăturii principală este eşecul
incasatorului pe borderou şi nu a încasat suma scrisa în litere. sistemului informatic.
Recomanadare: Termen limită de
Unitatea trebuie să verifice de fiecare dată ca toate implementare: Imediat
înstrumentele de încasat s-au dus pe conturile clienţilor. De
asemenea, un program de (auto)control trebuie sa fie
implementat imediat
Risc: operaţional
2.Plăţile internaţionale
Tipul tranzacţiei: încasare
Beneficiar: XYZ SRL
Suma: 500.000 EURO
Reprezintă: împrumut pe termen lung
Data: 30.03.2005
În urma verificării documentelor suport ale tranzacţiei, s-au constatat următoarele:
 Beneficiarul nu a adus la bancă un formular DIE în termen de 10 zile şi nici

documentele de credit,
Constatare: Răspunsul unităţii auditate:

De acord
Conform normelor în vigoare, clienţii care au încasat
anumite sume de la extern, trebuie să completeze un formular
DIE în maxim 10 zile de la data valută. Echipa de audit a
constatat că acest principiu nu a fost respectat în cazul
încasării din data de 30.03.2005, în sumă de 500.000 EURO,
având ca beneficiar clientul XYZ SRL. De asemenea, acesta
nu a adus documentele de credit care au stat la baza acestei
încasări
80
Audit Bancar BANCAS

Unitatea trebuie să impementeze un sistem de monitorizare a implementat: Imediat
acestui tip de tranzacţii
Risc: Reputaţional
5.5 Contabilitate
Unul dintre cele mai importante elemente care este verificat în cadrul funcţiei de contabilitate
este inventarul sau cu alte cuvinte evidenţa şi înregistrarea pe clase de inventar a tuturor
obiectelor de inventar.
O atenţie deosebită trebuie acordată modului în care obiectele de inventar au fost clasificate,
pentru că fiecare clasă de obiecte de inventar are o perioadă de amortizare diferită.
5.6. Furnizori/Cheltuieli
În cadrul acestui tip de audit, în general, auditorii verifică că toate înregistrările contabile
referitoare la cheltuile întreprinse cu furinizorii de diferite servicii sau produse sunt într-
adevăr susţinute de documente justificative. Printre cheltuielile înregistrate de bănci s-ar
putea număra şi următoarele:
- publicitate;
- simpozioane
- echipamente
- premii;
- materiale
- -etc
Protecţia şi paza
Mai ales în cadrul auditurilor de sucursale, auditorii trebuie sa acorde o importaţă deosebit de
mare modului în care sucursalele sunt securitizate şi păzite. Mai jos, puteţi citi un extras
dintr-un raport de audit:
81
Audit Bancar BANCAS
În urma unui test realizat de către echipa de audit la sucursala x, s-a auditate:
constatat ca echipa de intervenţie a ajuns dupa 15 minute de la De acord
declanşarea alarmei, cu o întărziere de aproximativ 10 minute faţă
de maximul admis.
Echipa de securitate din centrala băncii împreună cu directorul de implementare:
sucursala vor începe prospectarea piţei pentru înlocuirea O lună de la semnarea
furnizorului de servicii de intervenţii acestui raport
Risc: operaţional
5.7. Personal/Resurse umane
Evaluarea sistemului
Evaluarea sprijinului acordat de către sistemul informatic departamentului de personal

(automatizare, sistem de redactare documente, sisteme de afaceri pentru informarea
personalului, contabilizarea salariilor, plata impozitelor către Casa Naţională de Asigurare şi
sănătate, contabilizarea în balanţă şi a costurilor.).
În ceea ce priveşte sistemele de afaceri, se evaluează:
1. funcţiile sistemului disponibil şi necesităţile utilizatorului,
2. introducerea datelor şi procedurile de validare a înregistrărilor (detalii statice, date
despre salarizare),
3. chestionarele disponibile,
4. listările disponibile,
5. securitizarea accesului pentru date confidenţiale (sistem de securitizare prin parolă),
6. notificarea promptă a biroului de salarizare.
În detaliu, următorii paşi de audit se recomandă:

1. Se obţin manualele, descrierile, normele şi politicile în legătură cu administrarea
personalului şi se verifică dacă:
au fost aprobate,
82
Audit Bancar BANCAS
sunt actuale/actualizate (ex. cum ar fi ghidurile, politicile de călătorie,

impozitarea, asigurarea, legislaţia),
incorporează toate procedurile şi sistemele,
2. Se indentifică numărul de personal, numele angajaţilor/fişele postului (în timpul
întâlnirilor de prezentare a conducerii din prima zi a vizitei de audit).
3. Se obţine dosarul de personal pentru toţi angajaţii selectaţi de către auditul intern (ex.
se selectează un eşantion de 20 angajaţi) şi se verifică existenţa şi completitudinea lor:
- contractul de muncă (contracte standarde sau individuale, prezentarea clară atât a
drepturilor cât şi a obligaţiilor părţilor, semnate de ambele părţi),
- documentele ce certifică calificarea (certificatul şcolar sau universitar, certificate de la
angajatorul anterior, referinţe),
- documente personale (certificatul de naştere, certificatul de naţionalitate, certificatul de
înregistrare dacă este cazul),
- înregistrarea la casa de asigurare naţională,
- declaraţie semnată de păstrare a confidenţialităţii,
- carduri de înregistrare a angajaţilor arătând evoluţia salariului şi calificării,
- copii ale corespondenţei cu personalul referitoare la salariu şi promovare,
- documente pentru aprobarea angajării personalului,
- alte materiale care ar putea fi necesare pentru a se conforma cu regulile şi
reglementările locale.
3. Se identifică procedurile pentru pregătirea salariilor şi se verifică perioada de plată a

salariilor pentru un eşantion reprezentativ de angajaţi cum ar fi:
- corectitudinea salariilor brute,
- plata lucrului peste program,
- plata impozitelor şi deducerilor,
- contribuţiile la casa de asigurare naţională sau fondul/planul de
asigurare medicală,
- plata bonusurilor,
- replata angajaţilor sau credite pentru tichete de sezon,
- plăţi de subvenţionare a ipotecii acordate pentru credit de locuinţă,
- avansuri salariale şi rambursarea lor adecvată.
şi se asigură că nu sunt plătiţi oamenii “manechin”.
83
Audit Bancar BANCAS
5. Se identifică pachetele de beneficii oferite personalului şi se verifică acurateţea şi

aprobarea lor.
6. Se verifică înregistrările de prezenţă (ex. un eşantion de 10 angajaţi):
- completitudinea înregistrărilor aferente concediilor medicale şi
vacanţelor,
- sistemul de monitorizare pentru a asigura că vacanţa nu depăşeşte
limita,
- politica pentru zilele de vacanţă luate în avans,
- politica referitoare la utilizarea obligatorie a unui număr pre-definit
de zile de vacanţă luate la rând,
- certificatul medical pentru concediu medical ce depăşeşte numărul
predefinit de zile (conform cu reglementările locale).
7. Verificarea sistemului de compensare a lucrului peste program (ex. un eşantion de 10

angajaţi):
- politica generală referitoare la lucrul peste program,
- numirea personalului,
- sistemul de monitorizare şi aprobare
8. Se identifică orele oficiale de lucru şi se asigură prin observaţie în timpul vizitei de

audit că personalul respectă aceste ore.
9. Se selectează un eşantion reprezentativ de plăţi facturate realizate de către
departamentul de resurse umane şi se verifică dacă:
- calculele sunt corecte,
- factura plătită este conformă cu instrucţiunile originale,
- cheltuielile au fost aprobate de către angajaţii autorizaţi,
- detaliile de pe ştampilă au fost incluse.
10. Dacă plata salariilor se realizează prin alte bănci se verifică extrasul băncii originale
şi contul din balanţă.
11. Dacă se permite departamentului de resurse umane să obţină listarea actuală a
creditelor nerambursate ale personalului şi să se asigure că toate sunt aprobate, dobânzile
sunt corecte, replata principalului şi dobânzii se face la momentul exigibilităţii.
84
Audit Bancar BANCAS
12. Există un ghid pentru personal şi este acesta distribuit către întreg personalul
(conţinut: drepturi şi obligaţii ale personalului, beneficii suplimentare, plata lucrului peste
program, orele de lucru, etc.).
13. Se obţin normele despre revizuirea evaluării performanţelor personalului. Se
evaluează sistemul referitor la ratingul performanţei şi factorii cheie de performanţă (ex.
cunoaşterea jobului, relaţiile organizatorice şi în echipă, punctele forte ale angajatului, ariile
de îmbunătăţire, planul de dezvoltare/promovare).
14. Se obţin documente despre training şi se evaluează trainingul oferit angajaţilor.
15. Se obţin documente şi norme despre planificarea şi dezvoltarea personalului.
16. Se verifică existenţa consiliului de reprezentare a personalului (dacă este obligatoriu
conform legii locale).
17. Se evaluează procedurile despre pregătirea bugetelor de personal pentru întreaga
unitate (sucursală, filială).
18. Se evaluează statisticile asupra fluctuaţiilor (demisiilor) şi comentariile asupra
motivelor pentru terminarea contactului de muncă.
19. Se evaluează normele locale asupra protecţiei personalului feminin gravid şi
concediilor de maternitate şi conformitatea cu astfel de norme.
20. Se obţin informaţii asupra existenţei unei legislaţii de protejare a forţei de muncă şi
se evaluează dacă sunt respectate.
21. Se evaluează procedurile generale referitoare la timpul de probă (perioada calificată).
Ex. note pentru urmărire, evaluare înainte de expirarea contractului de muncă, extindere
scrisă a terminării contractului de muncă.
5.8. Administrarea clădirilor şi mijloacelor fixe
Responsabilităţile şi îndatoririle unităţii organizatorice însărcinate cu administrarea clădirilor

variază de la o piaţă la alta. Astfel, următoarele acoperă activităţile care sunt cel mai
răspândit acceptate ca fiind în cadrul acestor îndatoriri. Oricum, această gamă de activităţi nu
trebuie să fie privită atotcuprinzătoare, şi programul de audit trebuie să fie adaptat la nivelul
local pentru a acoperi întreaga arie a gamei de operaţiuni ce vizează clădirile şi mijloacele
fixe. Ca o regulă generală, toate procedurile şi costurile legate de aceste conturi de cheltuieli
aferente departamentului responsabil cu clădirile şi mijloacele fixe trebuie să fie incluse în
misiunea de audit.
85
Audit Bancar BANCAS
Cu toate că atât cumpărarea de bunuri/servicii şi decontarea facturilor relevante sunt o

componentă semnificativă a îndatoririlor departamentului respectiv, paşii necesari de audit
nu sunt subliniaţi în această lucrare, atât timp cât ei sunt arătaţi programul de audit aferent
cheltuielilor.
A. Clădirile băncii
Clădiri închiriate:
 Se verifică chiria actuală şi se asigură că banca este în conformitate cu obligaţiile sale
aşa cum au fost descrise în articolele din contractul de leasing.
 Verificarea valorii chiriei plătite între contractul de leasing şi contul de cheltuieli
relevant.
 Se verifică scadenţarul plăţilor de chirie şi se indentifică sumele fixe de chirie,
impozitele şi cheltuielile operaţionale.
 Se asigură că diferite componente ale plăţilor de chirie sunt înregistrate în conturile
de cheltuieli adecvate,
 Se verifică creşterile de chirie şi acordul dintre părţi
 Se asigură că cheltuielile operaţionale incluse în plăţile de chirie nu sunt facturate
separate la bancă,
 Se evaluează procedurile pentru întreţinere asigurată de proprietar în legătură cu
menţinerea/repararea care cade în sarcina sa. Se asigură că banca nu este taxată cu
costurile aferente acestor reparaţii/menţineri.
Clădirile proprii
 Se obţin toate legile şi reglementările legale referitoare la proprietatea clădirii şi se
verifică dacă banca este în conformitate cu astfel de reglementări.
 Se verifică proiectele construcţiei în ceea ce priveşte conformitatea lor cu toate
reglementările externe şi interne.
Proiectele construcţiei/renovării sunt de obicei foarte complexe şi implică un număr

mare de personal atât extern cât şi intern. Auditul intern nu este menit să aibă o expertiză
profundă asupra tehnicilor de construire sau problemelor arhitecturale. Aceasta este
responsabilitatea echipei de proiect şi un arhitect care se bucură de încrederea băncii este în
mod normal în responsabilitatea unui supervizor de proiect profesionist.
86
Audit Bancar BANCAS
Oricum, se poate anticipa că auditul intern va verifica unele aspecte generale şi va

formula o opinie asupra calităţii generale a proiectului:
1. Se verifică cererea de proiect şi se desfăşoară o verificare plauzibilă referitoare la faptul
dacă au fost incorporate toate informaţiile relevante cunoscute la acel moment.
2. Se verifică dacă cererea de proiect a fost corect aprobată de către autorităţile locale şi din
administraţia centrală a băncii.
3. Se compară costurile de proiect cu costurile actuale şi se obţin informaţii asupra motivelor
cauzatoare de depăşiri substanţiale ale costului.
4. Se compară data proiectată de terminare cu data actuală de terminare şi se obţin cauzele
întârzierilor.
5. Se verifică procedurile pentru implicarea continuă a supravegherii proiectului şi se
evaluează dacă aceasta a fost suficientă pentru dezvoltarea proiectului în timp şi acurat.
6. Se asigură că raportul de terminare a proiectului a fost pregătit pentru organele relevante în
rang superior, arătând cifrele proiectate şi actuale şi furnizând explicaţii despre deviaţiile
substanţiale.
7. Se asigură că depăşirile de cost şi timp au fost adecvat aprobate cât mai curând după ce au
fost identificate.
8. Se asigură că fie banca sau arhitectul mandatat au obţinut oferte competitive de la un
număr rezonabil de contractori/prestatori. Se evaluează explicaţiile dacă nu a fost ales cel mai
bun ofertant.
9. Se verifică scadenţarul amortizării şi se asigură că sunt în conformitate cu reglementările
locale relevante.
În întreaga lume, industria de construcţii este notorie la practicile neetice. Când se
verifică un proiect, trebuie să fii mereu atent la această posibilitate şi întâlneşte-te imediat cu
conducerea în cazul în care simţi că ceva este suspicios.
B. Întreţinerea şi Reparaţiile
1. Se verifică toate contractele de întreţinere referitoare la următoarele:

a. s-au obţinut oferte competitive înainte de a se alege partenerul?
b. se repetă aceste licitaţii de oferte la intervale predefinite pentru a se asigura în mod
continuu că banca primeşte servicii profesionale la un preţ corect?
c. sunt necesare contracte de întreţinere, ex. pot fi prestate astfel de servicii de către angajaţii
băncii la costuri mai mici?
87
Audit Bancar BANCAS
d. contractele de întreţinere includ toate detaliile obligatorii:

 Descrierea ambiguă a serviciilor de prestat,
 Data începerii şi perioada contractului,
 Preţul şi termenele plăţii,
 Momentele de intervenţie,
 Clauzele de penalitate;
2. S-a verificat siguranţa celui ce realizează întreţinerea?
3. Se verifică, folosind un eşantion, un număr de facturi referitoare la contractele de
întreţinere:
a. au fost într-adevăr prestate serviciile facturate şi a fost aceasta confirmată de
către personalul băncii?
b. sunt preţurile în conformitate cu contractul de întreţinere?
4. Se verifică procedurile pentru reparaţiile/îmbunătăţirile necesare:
a. cererea,
b. estimările de cost,
c. aprobări,
d. comanda şi supravegherea,
e.verificarea şi decontarea facturilor;
Trebuie să se aibă grijă la diferenţierea dintre îmbunătăţirea cosmetică , care ar fi
clasificată ca o cheltuială operaţională, şi îmbunătăţirea unui capital sau a unui bun închiriat,
care ar avea o viată de utilizare predeterminată şi ar fi amortizată de-a lungul vieţii sale de
utilizare.
5. Există o verificare care să asigure că întreţinerea satisface banca?
6. Se verifică procedurile de control în legătură cheltuielile cu energia şi decontarea facturii.
7. Se evaluează dacă energia este consumată la un cost eficient şi într-o manieră
conştiincioasă faţă de mediu.
C. Asigurarea
1. Se obţine un scadenţar al poliţelor de asigurare în vigoare la data examinării şi se
verifică politicile de bază pentru:
a) completitudine (incluzând cesionarea),
b) validitate,
c) acoperire,
d) deductibilităţi,
88
Audit Bancar BANCAS
e) banca să fie arătată ca asigurată sau beneficiara pierderii,

f) protejare.
2. Se verifică prima de asigurare pentru:
a. Corectitudine,
b. autorizarea adecvată,
c. plata promptă pentru a evita intermitenţe în acoperire,
d. tratamentul contabil cu privire la primele preplătite.
3. Sunt primele de asigurare eficiente din punct de vedere al costului?
4. oseşte banca serviciile unui broker profesionist pentru a obţine sfaturi despre prime
reduse?
5. în cazul în care banca foloseşte un broker: s-au obţinut oferte competitive de la un
număr de societăţi de asigurări destul de mare pentru a asigura ratele de primă cele mai
bune?
6. tot ceea ce se poate asigura este acoperit de o poliţă de asigurare? Să se reţină că, în
principiu, banca trebuie să caute protecţia împotriva numai a acelor riscuri care ar cauza,
dacă s-ar petrece, pierderi însemnate sau care ar ameninţa existenţa viitoare a băncii. În
legătură cu riscurile minore, banca trebuie mai degrabă să se autoasigure şi să acopere
pierderile dacă şi atunci când acestea au loc din fluxul de numerar (cash flow), pentru că
această abordare este în general mai puţin costisitoare decât asigurarea pentru fiecare risc
care este asigurabil teoretic.
7. Se verifică dacă acoperirea prin asigurare este adecvată referitoare la riscurile de bază.
În mod tipic, o astfel de verificare ar atinge probleme ca cele ce urmează:
a. este suficientă asigurarea pentru instrumentele în numerar/negociabile pentru a
acoperi sumele mari?
b. s-au luat în consideraţie la asigurare amelioraţiunile/eliberările de active fixe.
c. s-au încheiat poliţe de asigurare nenecesare pentru riscuri care sunt deja
acoperite de către asigurări a unei terţe persoane (ex. asigurarea proprietarilor
pentru clădirile închiriate).
8. Se verifică orice pierdere înregistrată de bancă în legătură cu riscurile asigurate şi se
evaluează procedurile pentru trimiterea şi decontarea despăgubirilor.
9. A cumpărat banca o poliţă de asigurare de fidelitate care să acopere pierderile din
fraude? Au avut loc fraude şi au fost trimise cereri de despăgubire pentru societăţile de
asigurări?
89
Audit Bancar BANCAS
D. Arhive, Păstrarea înregistrărilor
1. Există o politică cuprinzătoare referitoare la păstrarea înregistrărilor, stabilind

perioadele de păstrare pentru toate tipurile de înregistrări şi documente?
2. Sunt astfel de perioade de păstrare în conformitate cu reglementările locale şi/sau
internaţionale?
3. Sunt păstrate toate înregistrările în conformitate cu politica?
4. Este restricţionat accesul la arhive numai persoanelor autorizate?
5. Cum sunt eliberate înregistrările după perioada de păstrare?
5.1.documentele importante (sensibile) sunt tocate?
5.2.Sunt toate documentele (incluzând pierderile din documentele tocate) eliberate într-o
manieră conştiincioasă faţă de mediu şi cu un cost eficient?
6. Există o ordine transparentă de arhivare care să asigure o urmărire uşoară a
înregistrărilor când este necesar?
7. În cazul arhivelor externe: se verifică contractul cu furnizorul extern, în special în
legătură cu:
7.1.secretul bancar,
7.2.procedurile de acces
7.3.timpul de introducere,
7.4.timpul terminării
E. Camera de corespondenţă
1. Se verifică procedurile referitoare la primirea corespondenţei pentru a se asigura că
întreaga corespondenţă este procesată în timp util şi cu o grijă considerabilă referitoare la
aspectele normale de secret. În particular, această verificare trebuie să atingă următoarele
probleme:
1.1. se livrează toată corespondenţa primită către şi deschisă de către unitatea
centrală (cu excepţia scrisorilor personalizate sau confidenţiale care trebuie să fie
înmânate destinatarului)?
1.2. Este realizată deschiderea şi sortarea corespondenţei de către un angajat care nu
acţionează ca şi casier, contabil sau altă funcţie originatoare sau introducătoare de
alte înregistrări ale băncii?
1.3. Este această funcţie rotată periodic între doi sau mai mulţi angajaţi?
90
Audit Bancar BANCAS
1.4. Există înregistrări ale corespondenţei primite şi poate fi această corespondenţă

urmărită până la ultimul primitor?
1.5. Există înregistrări pentru primirea de numerar sau instrumente negociabile şi
este adusă la cunoştinţa unităţii procesatoare această primire?
1.6. Este livrată toată corespondenţa primită prompt către zonele procesatoare?
1.7. Se aplică ştampila cu data şi ora pe corespondentă?
1.8. Înţeleg oamenii implicaţi în activitatea de corespondenţă distribuirea
responsabilităţilor în cadrul băncii aşa încât corespondenţa primită să poată fi alocată
prompt către unitatea relevantă?
2. Se verifică procedurile în legătură cu corespondenţa trimisă:
a. este colectată corespondenţa trimisă în mod periodic de la diferitele unităţi ale
băncii?
b. este aceasta introdusă prompt în plicuri cu timbru pentru a se asigura că
părăseşte banca în aceeaşi zi?
c. este personalul implicat avertizat corect despre taxele poştale aferente tuturor
tipurilor de corespondenţă/destinaţii pentru a se asigura că scrisorile nu au fost
timbrate nici peste dar nici sub valoarea normală?
d. sunt primite confirmări de la autorităţile poştale în legătură cu corespondenţa
înregistrată şi consignaţia de valori?
e. există un sistem de control care să prevină utilizarea neadecvată a timbrelor
poştale sau a maşinilor poştale?
f. există proceduri care să prevină fiecare angajat de la sustragerea de
corespondenţă pentru a zădărnici livrarea sa către clienţi (ex. traderii ridicând
confirmările dealerilor)?
3. Se verifică procedurile în legătură cu serviciul de curierat:
a. contractele (acorduri),
b. costurile/verificarea facturilor,
c. utilizarea,
d. scadenţarul livrărilor şi recepţionării,
e. ofertele periodice competitive de la diferiţi curieri.
4. Există o politică în legătură cu corespondenţa privată a angajaţilor?

a. rechizitele/timbrele să nu fie utilizate pentru corespondenţa privată;
b. angajaţii ar trebui să fie descurajaţi în a primi scrisori private pe adresa băncii
91
Audit Bancar BANCAS
F. Maşinile companiei
1. Există o politică aprobată referitoare la maşinile băncii stipulând norme clare despre
cine este îndreptăţit să utilizeze maşinile?
2. Stipulează această politică în mod clar care din cheltuielile realizate sunt suportate de
bancă/angajat?
3. Sunt cumpărările maşini şi decontarea cheltuielilor curente în conformitate cu politica
de mai sus?
4. Dacă utilizarea maşinii băncii constituie un beneficiu impozabil: este reflectată corect
această situaţie în calcularea ştatelor de salarii ale angajaţilor?
5. Sunt oferite rabaturi (reduceri) de către dealerii de maşini?
6. S-au încheiat acorduri cu staţii de benzină/întreţinere şi staţii de service pentru a
asigura reduceri adecvate?
7. Se verifică procedurile referitoare la alegerea maşinilor băncii:
7.1.metodologia de obţinere a unui preţ de vânzare real (valoarea contabilă/valoarea de
piaţă/valoarea oficială),
7.2.licitaţie.
8. Se verifică informaţiile conducerii asupra cheltuielilor aferente maşinilor băncii:
a. sunt cheltuielile distribuite pe fiecare maşină?
b. Sunt cheltuielile peste medie urmărite?
G. Mijloace fixe/obiecte de inventar/rechizite

1. Au fost autorizate achiziţiile de mijloace fixe/obiecte de inventar în conformitate cu
politica de cheltuieli a băncii?
2. S-au obţinut oferte competitive înainte de a se face comanda? Se evaluează
explicaţiile în cazul în care cea mai bună ofertă nu a fost aleasă.
3. Angajaţii băncii au confirmat cu acurateţe primirea bunurilor comandate înainte de
decontarea facturii?
4. S-au oferit reduceri adecvate de către furnizor în cazul unor comenzi mari sau
continue?
5. S-au înregistrat amelioraţiunile la mijloacele fixe ce depăşesc o anumită sumă (care
trebuie să fie în conformitate cu reglementările fiscale locale) la capitolul mijloace fixe şi au
fost trecute la cheltuieli acelea sub suma limită?
92
Audit Bancar BANCAS
6. Se amortizează mijloacele fixe în conformitate cu reglementările locale?

7. Sunt înregistrate adecvat toate mijloacele fixe în registru şi pot fi identificate uşor prin
registru (ex. prin numerotare în serie)?
8. Se realizează cel puţin anual un inventar al mijloacelor fixe?
9. Se verifică procedurile referitoare la casarea (cedarea) mijloacelor fixe.
10. Sunt protejate în mod adecvat mjloacele fixe de furt şi însuşire ilegală?
11. Sunt păstrate obiectele de inventar într-o manieră acurată şi ordonată? Se inspectează
rafturile pentru curăţenie şi se uşurează recuperarea obiectelor de papetărie.
12. Accesul la bunuri (rechizite) este restricţionat la persoanele autorizate?
13. Sunt utilizate formulare de rechizite pentru distribuirea acestora?
14. Se întocmeşte un registru de stocuri referitoare la rechizite? Sunt înregistrate adecvat
toate achiziţiile/distribuirile? Oferă acest registru de stocuri semnale de avertisment timpurii
pentru comandarea promptă de noi rechizite?
15. Există sisteme de control adecvate pentru a preveni luarea ilegală de rechizite?
16. Se verifică sistemul de achiziţie a rechizitelor de către unităţile
descentralizate/sucursale:
16.1. sunt autorizate să comande direct pe piaţă?
16.2. este acest sistem sensibil şi eficient din punct de vedere al costului?
16.3. Sunt stabilite bugete pentru achiziţiile descentralizate şi se respectă aceste bugete
adecvat monitorizate la nivelul administaţiei centrale?
16.4. Sunt stabilite standarde generale pentru achiziţiile decentralizate (tip, marcă,
preţuri maxime, etc.)?
17. Se evaluează dacă problemele de mediu sunt luate în consideraţie la procesul de
achiziţii (ex. hârtie reciclabilă, articole care pot fi reciclate uşor după terminarea vieţii lor de
utilizare fără a deteriora mediul).
18. Se verifică dacă utilizarea copiatorului este monitorizată şi dacă există măsuri de
prevenire şi de detectare împotriva utilizării neautorizate sau abuzive.
H. Comunicaţiile
1. Se verifică înregistrările echipamentelor existente (telefoane, telecopiatoare, telexuri,

etc) şi se evaluează dacă locaţia fiecărui articol este bine documentată.
2. Se verifică sistemul de monitorizare în legătură cu cheltuielile de comunicare:
2.1.pot fi împărţite cheltuielile pe fiecare utilizator?
2.2.Sunt asfel de distribuiri supuse şefilor de departament pentru verificare?
93
Audit Bancar BANCAS
2.3.Sunt cheltuielile, care apar ca fiind abuzive, urmărite?

3. Sunt conştienţi angajaţii de cheltuielile respective?
4. Există restricţii pe interioarele de telefon pentru convorbirile la distanţă lungă?
5. Sunt cheltuielile cu telefonul, telex şi telecopiator impuse clienţilor de fiecare dată
când este posibil?
6. Personalul dispecer vorbeşte limbi străine pentru a întâmpina adecvat telefoanele
primite?
7. Dispeceratul este dotat cu lista tuturor interioarelor şi este aceasta actualizată în mod
adecvat oricând au loc schimbări de personal?
8. Este restricţionat accesul la telecopiatoare şi maşinile telex doar către personalul
autorizat?
9. Sunt cheile de test păstrate în loc sigur pentru a asigura că persoanele neautorizate nu
au acces?
10. Sunt detectate prompt mesajele telex de testare şi este acest exerciţiu documentat
prin iniţialele personalului responsabil?
11. Sunt telexele şi faxurile primite distribuite prompt către unităţile responsabile?
I. Securitatea generală
1. Se menţine o listă a cheilor şi se verifică periodic dacă lipsesc chei?

2. Sunt modificate periodic codurile de acces?
3. Există un program scris de securitate şi a fost acesta aprobat de către conducere?
4. Se verifică acest program pentru următoare prevederi:
4.1.un program pentru inspecţiile periodice, testarea şi utilizarea instrumentelor de
securitate instalate în bancă, incluzând înregistrările păstrate referitoare la astfel
de inspecţii, testări şi utilizări.
4.2.se determină dacă toate devizele şi instrumentele negociabile sunt păstrate în
tezaure cu încuietori sau în seifuri în timpul orelor nelucrătoare şi sub controlul
adecvat în timpul orelor de lucru.
4.3.desemnarea unei persoane care va asigura că toate instrumentele de securitate
sunt în funcţiune şi operează de-a lungul perioadei pentru care sunt utilizate.
4.4.pregătirea şi repregătirea periodică a întregului personal referitor la
responsabilităţile lor din cadrul programului de securitate.
5. Există un ofiţer de securitate desemnat să administreze programul scris de securitate?
94
Audit Bancar BANCAS
6. Se verifică sistemul existent pentru paza clădirilor în timpul orelor nelucrătoare,

incluzând sistemele de alarmă la unităţile slab protejate.
7. Sunt localizate în mod vizibil extinctoarele de foc? Sunt acestea verificate periodic?
Este personalul pregătit pentru utilizarea lor?
8. Sunt efectuate exerciţii de incendii periodic pentru angajaţi?
9. Există truse de prim ajutor şi se verifică periodic conţinutul lor în vederea
reînlocuirilor necesare?
10. Există uşi de salvare şi coridoare neobturate de materiale care ar putea obstrucţiona
trecerea sigură în caz de urgenţă?
J. Personal
În aria de cuprindere a auditului trebuie să fie inclus tot personalul ce raportează şefului
departamentului de administraţie, ex:
- recepţioniştii,
- operatorii telefonici,
- mesagerii.
Această verificare se va concentra asupra următoarelor aspecte:
1. Utilizarea capacităţilor disponibile;
2. Pregătirea adecvată;
3. Planuri de înlocuire în cazul absenţei de la birou;
4. Economisiri posibile prin realocarea responsabilităţilor (ex. conceptual integrator
(pool concept) pentru recepţionişti/operatori de telefonie sau mesageri/ personal
arhivar);
5. Economisiri posibile prin evitarea lucrului peste program (ex. sistemul de ture de
lucru, angajaţi part-time, restructurarea încărcăturii (sarcinii) muncii)
Această verificare va atrage după sine o inventariere completă a tuturor îndatoririlor şi
responsabilităţilor personalului respectiv pentru a se identifica domeniile posibile unde
îndatoririle ar putea fi asumate de către resurse la costuri mai mici.
5.9. Auditul de conformitate
95
Audit Bancar BANCAS
Auditurile de conformitate sunt realizate în primul rând ca o verificare a aderării băncii la

reguli şi reglementări şi ca o evaluare a corectitudinii, completitudinii şi siguranţei datelor
contabile. Într-un audit atotcuprinzător, acestea sunt alăturate evaluării sistemului (în faza de
testare referitoare la proceduri şi controale).
În cazurile în care se realizează un audit pur de conformitate, procedurile operaţionale nu
sunt un obiectiv major al unui astfel de audit, dar ele trebuie să nu fie neglijate într-un tot.
Neconformitatea poate fi rezultatul erorii umane, neglijenţei sau unei purtări rele, dar în mod
egal rezultatul direct sau indirect al procedurilor sau slăbiciunilor de control.
Instrumentele majore implicate sunt:
1.1 Numărarea stocurilor
Exemplu:
1. numerar,
2. cecuri de călătorie,
3. instrumente negociabile,
4. instrumente de titlu,
5. bunuri în depozitare,
6. echipamente de birou şi alte maşini de lucru.
Astfel de audituri nu sunt în mod obişnuit anunţate în avans,ci sunt realizate inopinat.
1.2 Verificări de siguranţă

Exemplu: corectitudinea
1. calculelor de dobânzi şi comisioane,
2. conturilor furnizori/clienţi,
3. cereri de rambursare cheltuieli,
4. reevaluarea valutară.
1.3 Autorităţile de aprobare

Există aprobări adecvate pentru toate tranzacţiile ce solicită aprobarea aşa cum politicile
şi procedurile existente stipulează?
1.4 Contabilizarea
Procedurile de operare trebuie să asigure că toate tranzacţiile sunt introduse în conturile
respective în mod corect, complet şi fără întârziere. Este responsabilitatea auditorului să se
asigure, prin mijloace de testare pe bază de eşantion semnificativ, că aceste obligaţii primare
96
Audit Bancar BANCAS
sunt satisfăcute. Aceasta include aderarea la principiile de contabilitate existente (atât locale
cât şi internaţionale).
1.5 Obligaţii legale

Auditorul trebuie să se asigure că unitatea respectă toate obligaţiile, ex:
1. legea bancară,
2. reglementările băncii centrale,
3. principiile naţionale de contabilitate,
4. secretul bancar,
5. prevenirea spălării banilor.
1.6 Reglementări de protecţie

1. restricţii de acces,
2. parole, coduri,
3. custodia cheii,
4. programe de urgenţă,
5. acoperire cu asigurarea,
Atât timp cât nu există o organizare sau procedură perfectă, este chiar normal ca în
cursul unui audit de conformitate să fie prezentate erorile şi punctele slabe. Pentru a evalua
impactul unor astfel de cazuri asupra operaţiilor generale a entităţii auditate, va fi necesar să
se identifice tipul, mărimea, frecvenţa producerii a astfel de deficienţe.
În mod echivalent, motivele de bază urmează să fie explorate, ex:
1. separarea neadecvată a funcţiilor,
2. probleme de resurse umane (pregătire, experienţă),
3. lipsa supravegherii manageriale,
4. sisteme de control insuficiente,
5. puncte slabe ale sistemelor,
6. probleme de interfaţă cu alte unităţi.
Auditorul trebuie să fie informat despre motive pentru a fi capabil să recomande soluţiile
efective pentru problemele apărute. În elaborarea recomandărilor, este responsabilitatea
auditorului de a găsi un echilibru adecvat între:
1. riscul rezultat din punctele slabe identificate, şi
2. costurile adiţionale provocate de acţiunile de remediere
recomandate.
97
Audit Bancar BANCAS
5.10. Auditul sistemelor informaţionale
În funcţie de capacitatea disponibilă a auditului şi a cunoştinţelor de IT, grupul de audit

trebuie să realizeze audituri referitoare la IT pentru următoarele domenii/proceduri:
securitatea fizică,
auditul profilului utilizatorilor,
verificarea păstrării datelor şi a sistemului de salvare a datelor,
precauţiile de recuperare după dezastre sau planuri de contigenţă,
controalele aplicaţiei,
securitatea tranzacţiilor.
Securitatea fizică
Se determină dacă:
procedurile de personal şi responsabilităţile abordează terminarea contractului de
muncă, funcţii încrucişate şi pregătiri legate de sisteme;
controalele legate de securitatea fizică sunt adecvate pentru a preveni accesul
neautorizat în perimetrul centrului informatic;
controalele de mediu sunt adecvate pentru a minimiza pierderile aferente
hardware/software provocate de incediu sau inundaţie;
procedurile de backup (înlocuire- salvare) sunt adecvate pentru a minimiza
întreruperile şi pentru a proteja banca împotriva pierderii de date în eventualitatea
unui dezastru.
1.1. Aspecte organizatorice/proceduri de personal
Se identifică acele poziţii responsabile pentru menţinerea programelor, alternanţei

sistemului/fişierelor de date şi utilizarea diferitelor sisteme ale centrului informatic.
Dacă este necesar, se verifică fişele de post scrise pentru fiecare responsabilitate
funcţională descrisă în organigramă;
Se determină dacă s-au realizat prevederi pentru înlocuirea personalului din poziţiile
cheie;
98
Audit Bancar BANCAS
Se determină dacă procedurile de terminare sunt adecvate:

a) cardurile de identificare ale angajatului trebuie să fie returnată atunci când el
sau ea a terminat contractul de muncă,
b) parolele care au fost utilizate de angajatul ce-şi termină contractul de muncă
trebuie să fie anulate sau schimbate,
c) cheile angajatului respectiv trebuie să fie returnate şi/sau încuietoarele să fie
schimbate,
d) există o sesiune/procedură de verificare a terminării contractului de muncă?
Se determină dacă este oferită o pregătire şi supraveghere adecvată referitoare la
sistem acordată angajaţilor ce utilizează sistemul;
Se determină dacă personalul prestatorilor de servicii este supravegheat în timpul
şederii acestuia în centrul informatic;
Se obţine sau documentează o opinie generală asupra sistemelor informatice
(incluzând resursele de hardware, software, personalul de întreţinere/design şi
utilizatorii) din cadrul centrului informatic;
Se determină pragul critic general al fiecărui sistem major identificat;
Pe liniile de reţea se includ în cadrul sistemului de securitate aspecte de call-back sau
câteva alte mijloace de control care să asigure accesul autorizat?
Se determină dacă există proceduri scrise de operare a sistemului (în special pentru
deschiderea şi închiderea calculatorului, menţinerea fişierelor şi întreţinerea
preventivă).
1.2.Securitatea fizică/controalele mediului
Se determină dacă procedurile şi politicile de securitate fizică sunt adecvate prin

evaluarea controalelor cu ajutorul interviului şi observaţiei. Se utilizează următorii paşi de
audit/întrebări în determinarea adecvării:
se asigură că există proceduri scrise valabile care previn acordarea de acces la
facilităţile informatice personalului neautorizat,
se asigură că personalul autorizat este în mod specific definit în standardele de
operare şi/sau proceduri,
se observă la câteva momente diferite dacă doar persoanele autorizate sunt în aria de
procesare,
99
Audit Bancar BANCAS
se determină dacă facilităţile din camera calculatoarelor sunt restricţionate prin

utilizarea de chei, cartele magnetice sau alte dispozitive de securitate automatizate,
locul unde se află serverele este situat la parter şi există o fereastra de observaţie?
locul unde se află serverele se află la subsol?
există aer condiţionat la parter care preia aer din exterior?
există un acces direct la locaţia serverelor din exterior sau printr-un hol public?
sunt păstrate într-o custodie adecvată cheile de la cabinete, camerele cu echipamente
şi dulapurile electrice?
este centrul informatic protejat împotriva catastrofelor, ex. coliziuni ale aeronavelor,
etc?
Adecvarea sistemelor de protecţie împotriva incendiilor trebuie să fie determinată prin

utilizarea următoarelor aspecte:
instrucţiuni clare şi adecvate împotriva incendiilor trebuie să fie păstrate într-un loc
strategic;
alarmă de incendiu şi întrerupătoare de urgenţă pentru curent electric trebuie să fie
clar vizibile şi neobstrucţionate;
camera calculatoarelor trebuie să aibă un sistem de stingere a incendiilor care trebuie
să fie testat periodic de către reprezentantul service-ului;
sistemul de detectare a incendiului trebuie să detecteze fumul, căldura excesivă sau
miros de combustibil;
detectoarele trebuie să fie localizate în conductele de aer din tavan şi sub podeaua
falsă;
detectoarele trebuie să fie testate frecvent şi protejate printr-o sursă de electricitate
suplimentară;
atunci când alarma de incendiu este activată, ea trebuie să sune în afara camerei cu
calculatoare până la staţia de pază şi la o staţie de pompieri sau centru de control
urgenţe;
personalul centrului de date trebuie să fie capabil să identifice sonorul alarmei de
incendiu.
Echipamentul de mediu şi controalele trebuie să fie adecvate pentru a proteja hardware-

ul împotriva pagubelor. Se utilizează următoarele domenii pentru a se determina adecvarea:
100
Audit Bancar BANCAS
ventilaţia şi aerul condiţionat trebuie să fie adecvat pentru a menţine nivelul de

temperatură adecvat specificat de către producător;
înregistrarea termometrelor şi indicatorilor de umiditate trebuie să fie localizată aşa
încât citirea lor să fie uşor de realizat;
aceste instrumente trebuie să fie monitorizate periodic de către o persoană pregătită;
hardware-ul trebuie închis automat pentru a se proteja de pagube dacă s-au atins
temperaturi neacceptabile;
echipamentele de calcul trebuie să fie supuse unor inspecţii periodice, curăţenie şi
inspecţie şi trebuie păstrate înregistrări ale acestor activităţi;
tavanul camerei cu calculatoare trebuie să fie construit adecvat pentru a preveni
intrarea apei;
trebuie evitată trecerea conductelor şi a aburilor prin tavan;
o scurgere adecvată trebuie să fie instalată;
trebuie să fie instalat un sistem de aer condiţionat independent care să fie dotat cu o
sursă de electricitate de rezervă;
tot timpul, camera cu calculatoare trebuie să fie păstrată curată;
care este expunerea la inundaţii?
ar putea ca o ţeavă spartă sau un râu crescut să cauzeze pagube?
Auditul profilelor utilizatorilor
Utilizatorii sistemelor informatice trebuie să fie adecvat identificaţi şi angajaţii care au

acces autorizat şi obligatoriu trebuie să-şi realizeze îndatoririle stabilite.
În plus, trebuie să existe şi menţinute accesări şi piste de audit (audit trails) pentru a
reflecta accesul utilizatorului şi modificările realizate la fişierele de date sensibile (ex. fişierul
original al prestatorului de servicii, fişierele originale de furnizori/clienţi, fişierul original al
angajatului, fişiere de ştate de plată):
Se cere o copie a politicilor de securitate a accesului;
Se întreabă directorul de IT dacă există o procedură scrisă ca să controleze adăugările
sau modificările la restricţiile de acces ale utilizatorilor curenţi;
Se obţin copii ale unor formulare de autorizare a accesului şi se verifică acurateţea
autorizărilor şi accesului (acestea ar trebui sa fie păstrate de către IT ca o pistă de
audit);
101
Audit Bancar BANCAS
Se întreabă directorul de IT cum este notificat departamentul de IT atunci când un

angajat îşi termină contractul de muncă sau îşi schimbă responsabilităţile;
Se întreabă directorul de IT dacă există utilizatori care au capabilitatea de
supraveghetori sau care au acces nelimitat;
Cum sunt tranzacţiile sau acţiunile aprobate şi documentate atunci când au fost
iniţiate de aceşti angajaţi:
1. se întreabă directorul de IT dacă modificările reţelei sunt autorizate şi
documentate (trebuie să existe o pistă de audit a modificărilor echipamentului
de reţea);
2. se întreabă directorul de IT dacă etichetele de sistem sunt păstrate;
3. există etichete de acces la sistem care să înregistreze accesul la calculator sau
la reţeaua de comunicare;
4. există etichete de tranzacţii/piste de audit pentru a înregistra adăugările,
ştergerile şi modificările realizate datelor;
5. se întreabă directorul de IT dacă etichetele problemă sunt păstrate de centrul
de date/operaţiuni;
6. se întreabă directorul de IT dacă etichetele activităţii sistemului sunt utilizate
pentru a captura utilizarea resurselor de hardware asociate serverelor, CPU,
activităţii de salvare a accesului. Acesta este mijlocul primar pentru
identificarea problemelor de procesare create de către componente neadecvate
sau eşuate;
Se întrebă directorul de IT care proces/procedură asigură conformitatea cu contractele
de licenţă pentru software;
Se întreabă directorul de IT dacă accesul în sistemul informatic este împărţit între
utilizatori. Accesul împărţit cât şi parolele trebuie să fie interzise dacă câţiva
utilizatori nu solicită acces doar la interogări de date/informaţii neconfidenţiale;
Se întreabă directorul de IT dacă modemurile sunt ataşate la server (oferă acces la
distanţă);
Se intervievează administratorii de sistem pentru a se determina dacă li s-au oferit
secţiuni de pregătire referitoare la securitizarea serverelor;
Se determină dacă există topologie a reţelei;
Se întreabă directorul de IT dacă este cineva responsabil pentru contabilizarea tuturor
hardware-urile şi softurile din cadrul companiei;
102
Audit Bancar BANCAS
Se întreabă directorul de IT cum sunt protejate de viruşi computerele şi serverele;

Se determină ce proceduri există pentru a preveni sau detecta prezenţa unui virus in
servere şi se verifică cine este responsabil pentru realizarea acestor proceduri;
Sunt încărcate softuri anti-virus pe staţiile de lucru şi cunosc utilizatorii cum să ruleze
programul?
Se întreabă câţiva utilizatori pentru a se determina dacă cunosc care sunt paşii ce
trebuie urmaţi dacă un virus este detectat sau suspectat pe calculatorul lor?
Verificarea păstrării datelor şi planului de rezervă-salvare (backup)
Privire generală
se discută despre administrarea înregistrărilor cu personalul responsabil;

se obţine o copie a standardelor şi procedurilor referitoare la administrarea
înregistrărilor (casetelor);
se determină dacă sistemul informatic a setat fişiere de date şi perioadele de păstrare a
înregistrărilor;
Se determină dacă aceste perioade de păstrare sunt rezonabile pentru planul de
rezervă (backup), dezastre/recuperare şi audit.
Procedurile de salvare şi controalele
Se determină dacă procedurile de salvare a sistemul şi fişierelor de date sunt adecvate

pentru a minimiza timpul de recuperare şi /sau pierdere de date;
Cât de des sunt salvate casetele şi sunt păstrate în afara băncii?
Cum sunt controlate informaţiile sensibile/critice?
Se asigură că fişierele critice şi programele sunt salvate şi păstrate în afara băncii din
motive de recuperare;
Ce proceduri au fost stabilite pentru a asigura conformitatea operării calculatorului cu
procedurile de salvare?
Există proceduri dezvoltate pentru a se asigura integritatea şi completitudinea
proceselor de salvare programată?
Se determină dacă salvările sunt păstrate în afara băncii?
103
Audit Bancar BANCAS
Se asigură dacă un număr adecvat de generaţii sunt păstrate în afara băncii;

Trebuie să se utilizeze etichete externe şi interne pentru a identifica casetele.
Recuperarea
Se verifică dacă planurile de reîncepere/recuperare a întreruperilor calculatoarelor pe

termen scurt includ abilitatea de a identifica starea tuturor procesărilor la punctul
unde aplicaţia a eşuat pentru a stabili sfârşitul înregistrării tranzacţiilor;
Au fost stabilite proceduri de recuperare pentru volumele de salvare?
Au fost testate procedurile?
Au fost testate procedurile de recuperare a bazei de date?
Se determină dacă facilitatea calculatorului şi depozitarea materialelor a fost testată
periodic. Sunt fişierele de salvare testate pentru fezabilitate (6-12 luni)?
Securitate
Cine are acces la realizarea salvării?

Cum obţine procesul de salvare accesul la un sistem?
Care sunt procedurile pentru mutarea casetelor din bibliotecă?
Se verifică dacă fişierele de salvare din afara băncii sunt protejate.
Documentarea
Sunt păstrate liste de inventar cu casetele depozitate în afara băncii?

Sunt documentate problemele şi soluţiile pentru a arăta care sunt paşii ce trebuie
urmaţi pentrua restaura fişierele sau integritatea programului?
Precauţii de contigenţe şi recuperare după dezastru
Obiectivul auditului
Se verifică dacă planul de recuperare după dezastru este adecvat pentru a asigura
repornirea sistemelor informatice în timp util de-a lungul unor condiţii adverse şi dacă este în
104
Audit Bancar BANCAS
concordanţă cu planul actual de continuare a afacerii şi reflectă mediul actual de desfăşurare

a afacerii.
se determină dacă există planuri de recuperare a aplicaţiei pentru restaurarea
proceselor computerizate după o întrerupere pe termen scurt şi lung;
se verifică dacă aceste planuri abordează atât nevoile de restaurare tehnică cât şi
procedurile alternative de procesare a utilizatorului-final;
se stabilesc cât timp ar putea organizaţia funcţiona confortabil şi evita pierderile
financiare semnificative dacă aspectele computerizate ale acestei activităţi ar eşua;
se verifică dacă planurile de repornire/recuperare şi recuperarea de după dezastru
oferă posibilitatea restaurării acestei activităţi în timpul necesar pentru a evita
pierderile financiare semnificative.
Chestionar
Există un plan de recuperare de după dezastru?

Dacă există un plan, când a fost actualizat ultima oară?
Care sunt procedurile de actualizare a planului?
Cine este responsabil pentru administrarea sau coordonarea planului?
Este responsabilitatea administratorului/coordonatorului să actualizeze planul?
Există o echipă de implementare a recuperării de după dezastru?
Unde este păstrat planul de recuperare de după dezastru?
Unde este păstrată lista cu coordonatele echipei de implementare?
Unde este locul de facilitare a salvării?
Există locuri alternative?
Exerciţiul include utilizarea facilităţilor de salvare?
Dacă nu, când au fost ultima oară utilizate facilităţile de salvare?
Dacă au fost utilizate cu peste un an în urmă, cum a determinat organizaţia că
programele sale pot încă funcţiona pe echipamentele de rezervă?
Care a fost rezultatul exerciţiului?
Cum a îmbunătăţit pregătirea?
Ce sisteme critice sunt acoperite de plan?
Ce sisteme nu sunt acoperite de plan? De ce?
Planul funcţionează în orice condiţii?
105
Audit Bancar BANCAS
Care este procedura pentru activarea planului?

etc.
Documentare
se obţine copia planului organizaţiei de recuperare de după dezastru,
se obţine o listă a membrilor echipei de implementare,
se obţine o copie curentă a organigramei,
se obţine lista actuală a stocurilor,
se obţine o copie a contractelor cu privire la utilizarea facilităţilor de rezervă.
Paşii testului
Se verifică planul de recuperare de după dezastru;

Se verifică dacă planul conţine calificarea datei pentru a se asigura moneda;
Se verifică dacă planul a fost actualizat în ultimele 12 luni;
Se verifică dacă există o monitorizare efectivă a stării supraveghere a planului;
Se verifică locul de păstrare a planului;
dacă este diferit faţă de cel mai de sus, se verifică locaţia de păstrare a listei de
contact a echipei de implementare;
Se verifică dacă lista cu echipa de implementare conţine asociaţi activi, titlul lor
actual şi locaţia, incluzând domiciliul prezent şi numerele de telefon de la birou;
Se verifică dacă membrii echipei sunt conştienţi de rolul şi responsabilităţile lor;
Se verifică dacă un program de testare şi pregătire există şi este adecvat (cel puţin
anual);
Se verifică data exerciţiului;
Se verifică dacă punctele slabe identificate în ultimul exerciţiu au fost abordate şi
corectate;
Se verifică dacă planurile corespund planului de continuare a afacerii;
Se verifică dacă planul reflectă mediul actual al sistemului;
Se verifică dacă toate programele critice, fişierele de date, resursele de calculatoare
(şi sistemul de operare) sunt acoperite;
Se verifică dacă sistemele neacoperite sunt sub observaţie;
Se verifică dacă planul incorporează prioritizarea aplicaţiilor critice şi a sistemelor;
106
Audit Bancar BANCAS
Se verifică dacă planul acoperă procedurile pentru declararea dezastrului, închiderea

generală şi migrarea operaţiilor către locul de rezervă;
Se verifică dacă planul include cerinţele de timp pentru recuperarea/disponibilitatea
unor astfel de sisteme critice şi că ele sunt rezonabile;
Se verifică orice contract pentru utilizarea facilităţilor de rezervă şi documentele
respective. Se verifică dacă locul este adecvat;
Se verifică dacă locul are hardware adecvat şi dispozitive de telecomunicaţii pentru
restaurarea operaţiilor;
Se verifică procedurile pentru evaluarea periodică a facilităţilor de rezervă şi
echipamentelor pentru a se asigura adecvarea;
Se verifică dacă locul este adecvat protejat de accesul neautorizat;
Se verifică dacă este eficientă protecţia echipamentelor şi soft-urile de rezervă;
Se verifică dacă contractele cu locul de rezervă sunt de natura şi la un nivel
organizaţional care au o probabilitate substanţială de a putea fi onorate pentru
perioade substanţiale (50 ore pe săptămână pentru două săptămâni consecutive);
Se verifică dacă planul conţine contigenţe în cazul condiţiilor adverse prelungite;
Se verifică dacă planurile conţin instrucţiuni scrise de operare şi proceduri ce include
procedurile de regenerare a sistemului;
Se verifică locul de depozitare a stocurilor;
Se verifică dacă planul include proceduri controlate pentru restaurarea locului original
pentru operaţiile normale;
Se verifică eficacitatea procedurilor de rezervă în general;
Se verifică dacă programul critic, fişierele de date şi resursele computerizate definite
pentru planul de rezervă sunt de fapt create şi trimise în afara băncii;
Se verifică dacă biblioteca media actuală realizată de către utilizatori corespunde
bibliotecii de la locul de rezervă;etc.
Controalele aplicaţiei
Utilizatorii-finali
Se determină mijloacele primare de introducere şi procesare de date;
107
Audit Bancar BANCAS
Se determină dacă organizaţia practică dreptul de proprietate asupra datelor. Dacă da,
se identifică şi intervievează proprietarul datelor pentru a se determina dacă a înţeles
rolul şi responsabilităţile sale;
Se intervievează un eşantion de directori - utilizatori finali pentru a se determina
atitudinile conducerii-utilizatoare finală cu privire la calitatea şi efectivitatea
sistemului;
Se determină de la conducerea-utilizatoare finală ce înţeleg ei că reprezintă riscurile,
expunerile şi limitările asociate cu sistemul;
Se determină numărul de utilizatori finali ce lucrează cu sistemul, locaţiile lor şi
responsabilităţile asociate sistemului. Se obţine o organigramă pentru aceste poziţii şi
oameni.
Se determină dacă această aplicaţie generează date pentru agenţii legale sau
reglementare;
Se evaluează calitatea documentelor utilizatorului final;
Se identifică programele de pregătire disponibile pentru utilizatorii finali. Se
evaluează această pregătire pentru a se determina dacă este adecvată, actuală şi
disponibilă pentru oamenii noi;
Se determină dacă activitatea utilizatorului final este adecvat supervizată.
Interfaţele sistemului
se determină ce alte aplicaţii interferează (manual sau electronic) cu această aplicaţie;

se determină cum verifică sau asigură utilizatorul final că interfaţele furnizează date
complete, adecvate şi autorizate.
Administrarea fişierelor
se determină perioadele de păstrare pentru diferitele fişiere de date ale aplicaţiilor

cheie;
se evaluează dacă perioadele de păstrare satisfac raportarea către conducere,
raportarea către autorităţile fiscale şi cerinţele interne de contabilitate;
108
Audit Bancar BANCAS
Se determină dacă utilizatorul final, conducerea şi proprietarii de date sunt conştienţi

de perioadele de păstrare ale diferitelor fişiere de date ale aplicaţiilor cheie şi dacă
aceşti directori sunt satisfăcuţi cu durata de păstrare.
Securitatea tranzacţiilor
Se identifică toate tranzacţiile din cadrul fiecărui subsistem (incluzând acelea generate
automat de către calculator).
Controalele introducerii
Controalele introducerii asigură că tranzacţiile sunt introduse şi acceptate de către

calculator, procesate doar o dată, fără duplicate şi erorile în câmpurile de date financiare şi
nefinanciare sunt identificate, separate de tranzacţiile valide, corectate în timp util, şi
returnate procesării primare.
Cum sunt iniţiate tranzacţiile?
Cum este tranzacţia autorizată (semnătura manuală, semnătura electronică,
autorizarea accesului la ecran, etc)?
Cine introduce datele sursă?
Sunt aceste persoane separate de acelea care reconciliază rezultatele procesării?
Cum sunt datele sursă introduse în aplicaţie?
După ce datele sursă sunt introduse în aplicaţie, sunt ele marcate cu verificat sau
semnate într-un fel care să indice că au fost introduse, reducând riscul duplicării
accidentale sau reutilizarea documentului?
Există o separare de îndatoriri adecvată pentru cei autorizaţi să actualizeze datele?
Cum sunt controlate documentele de date sursă pentru completitudine şi acurateţe?
Există o perioadă de păstrare pentru datele sursă?
Se identifică controalele existente care asigură completitudinea şi acurateţea introducerii:

Dacă controalele introducerii include utilizarea de totaluri de control, sunt comparate
totalurile generate de calculator cu totalurile stabilite independent?
Ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea aplicaţiei
(totaluri de control, sumarizări, numărarea erorilor, rapoarte de excepţii, etc)?
109
Audit Bancar BANCAS
Se determină cum sunt evitate sau identificate tranzacţiile duplicat?

Se determină dacă şi cum sunt datele primite de la alte aplicaţii validate pentru
completitudine şi acurateţe.
Controalele de procesare
Controalele de procesare asigură că tranzacţiile sunt acceptate de către calculator,

procesate cu o logică validă, trecându-se prin toate fazele procesării şi actualizate în fişierele
de date corecte.
se identifică controalele existente pentru asigurarea completitudinii şi acurateţei
procesării;
se documentează procedurile de reconciliere ale utilizatorului final care facilitează
completitudinea şi acurateţea procesării;
ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea aplicaţiei?
se descrie cum se verifică totalurile de control;
se descrie orice comparare a rezultatelor acţiunilor la cele anterioare pentru verificări
rezonabile;
cum verifică utilizatorii actualizările fişierelor contra autorizaţiilor?
se determină dacă procedurile de reconciliere speciale trebuie să fie aplicate la
sfârşitul lunii, anului fiscal, etc.
Corectarea erorii
Se determină impactul pe care datele şi erorile de procesare le au asupra procesării;

Se determină dacă erorile sunt separate într-un fişier suspensiv;
Se determină dacă acest fişier este cumulativ sau nu;
Se verifică rapoartele de erori pentru a determina dacă sunt de mărime rezonabilă;
Se determină cum sunt corectate erorile;
Se determină dacă tranzacţiile corectate sunt autorizate;
Se verifică dacă tranzacţiile corectate sunt reintroduse în procesarea principală fie la
punctul iniţial de introducere fie printr-un proces de corectare a erorii speciale;
Se determină dacă procesul de corectare a erorii înlocuieşte articolele din fişierul
suspensiv;
110
Audit Bancar BANCAS
Se determină promptitudinea corectării erorii;

Se identifică cum monitorizează utilizatorii finali erorile rămase şi desfăşoară în timp
util investigaţiile suplimentare;
Există o separare adecvată a sarcinilor (custodie, autorizare, înregistrare şi
reconciliere periodică) pentru cei autorizaţi să actualizeze datele?
Se determină dacă toate reconcilierile şi procedurile de corecţie a erorilor sunt
documentate în documentele utilizatorului final;
Există un raport de excepţii generat pentru tranzacţiile eronate de mult timp
nerezolvate?
Controalele rezultatului
Controalele rezultatului asigură că datele rezultatului sunt raportate în manieră corectă,

vizibilă/disponibilă doar personalului autorizat, adecvat reţinute sau distruse, supuse
procesării necesare pistelor de audit şi dacă sunt eronate, separate de tranzacţiile valide,
corectate şi reintroduse în procesarea principală.
se identifică dacă rezultatul este distribuit;
se determină dacă distribuirea reduce expunerile la vizualizarea neautorizată a
informaţiilor sensibile fie prin implicarea imprimantelor de la locaţia utilizatorului
final fie prin utilizarea listelor de verificare a distribuirii rezultatului;
cum asigură organizaţia ca rapoartele şi fişierele să fie distribuite la utilizatorii finali
corespunzători;
cine primeşte rapoartele de rezultat? Sunt ele separate de acelea de desfăşurare a
introducerii?
cum verifică utilizatorul final că toate rapoartele au fost primite şi că toate paginile
rapoartelor au fost incluse?
includ rapoartele de rezultat următoarele informaţii de identificare:
1. titlul raportului,
2. numele/numărul programului de procesare,
3. a fost produsă data şi ora raportului,
4. perioada acoperită.
111
Audit Bancar BANCAS
Cum evidenţiază utilizatorul final primirea rapoartelor şi fişierelor (liste de verificare,

semnăturile,etc)?
Există o separare adecvată a sarcinilor?
Cum sunt identificate şi distribuite rapoartele confidenţiale?
Se identifică toate formularele speciale utilizate în procesare şi raportare. Se
determină dacă formularele sensibile sunt protejate;
Sunt oamenii responsabili cu protecţia documentelor sensibile diferiţi de cei care
păstrează înregistrările contabile respective?
Există proceduri speciale de generare a rapoartelor sensibile?
Documentele utilizatorului final
Documentele utilizatorului sunt sursele primare de informare pentru tot personalul

responsabil pentru utilizarea zilnică a aplicaţiei.
există documente ale utilizatorului final ce explică iniţierea adecvată a documentului
sursă, autorizaţia, colectarea de date, pregătirea introducerii, administrarea
rapoartelor, corectarea erorii şi păstrarea rapoartelor/datelor?
sunt păstrate documentele sursă în aşa fel încât datele pierdute sau distruse în timpul
procesării ulterioare pot fi recreate?
Fiecare tip de document sursă are o perioadă specifică de păstrare?
Autorizarea
Controalele de autorizare asigură că toate informaţiile şi datele introduse sau utilizate în

procesare sunt autorizate de către conducere şi reprezentanţii evenimentului care de fapt are
loc.
Dacă tranzacţiile sunt autorizate manual, ce controale asigură că nu are loc nici o
modificare neautorizată după autorizare, ci înainte de stabilirea controalelor de
introducere?
Se determină dacă nivelul conducerii corespunzător autorizează activitatea;
Dacă autorizarea tranzacţiei este facilitată de către restricţii de acces logic, se
selectează un eşantion de reguli de acces la introducerea şi actualizarea tranzacţiilor şi
se verifică persoana adecvată care are aceste capacităţi;
112
Audit Bancar BANCAS
Se identifică orice depăşire permisă sau trecere pe lângă validarea datelor şi se

editează verificările;
Se determină cine poate face depăşiri şi se verifică dacă acele persoane sunt în poziţia
de conducere care trebuie să aibă această autoritate;
Sunt înregistrate automat toate depăşirile aşa încât aceste acţiuni să poată fi ulterior
analizate pentru acurateţe.
Separarea îndatoririlor
Sunt separate îndatoririle astfel încât nici o persoană să nu realizeze mai mult de una
dintre următoarele operaţii:
1. autorizarea tranzacţiei
2. iniţierea tranzacţiilor
3. introducerea tranzacţiei
4. distribuirea rezultatului?
Sunt corectate tranzacţiile respinse necauzate de introducerea de erori de către
utilizatorul care a iniţiat tranzacţia?
Are utilizatorul final responsabilitatea ultimă pentru completitudinea şi acurateţea
tuturor datelor aplicaţiei?
113
Audit Bancar BANCAS
Bibliografie
V. Dedu -“Gestiune şi audit bancar”, Editura Economică, Bucureşti, 2003
E. Nicolaescu -“Auditul intern–o privire spre viitor”, Revista Audit Financiar, ianuarie 2003
J. Renard – „Teoria şi practica auditului intern”, Ministerul Finanţelor Publice, Bucureşti,

2002
A. Rusovici, F. Cojoc, Gh. Rusu – „Audit financiar, servicii conexe şi de consultanţă în

bănci”, Monitorul oficial, Bucureşti, 2001
J. K. Wagner “Asking the Right Questions: Sage Advice for Audit Committees”, revista
“Directors and Boards”, septembrie 2000
TCF Financial Corporation, Audit Committee Charter, octombrie 2002
Ordonanţa de Urgenţă a Guvernului nr. 75/1999, aprobată cu modificări şi completări prin

Legea nr. 133/2002, apoi modificată prin Ordonanţa Guvernului nr. 67/2002, aprobată cu
modificări şi completări prin Legea nr. 12/2003
Legea nr. 672/2002 privind auditul public intern
Norma B.N.R. nr. 17/2003 privind organizarea şi controlul intern al activităţii băncilor,
administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de
audit intern în cadrul băncilor
Legea bancară nr. 58/1998 modificată prin Legea nr. 357/2002 şi Legea nr. 485/2003
“Internal audit in banking organisations and the relationship of the supervisory authorities
with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000
“Internal audit in banks and the supervisor’s relationship with auditors: A survey”, Basel
Committee on Banking Supervision, Bank for International Settlements, August 2002
114
Audit Bancar BANCAS
“Internal audit in banking organisations and the relationship with internal and external
“Internal Audit Charter”, Internal Audit, Version 1.0, martie 2003

International Standards for the Professional Practice of Internal Auditing, The Institute of
Internal Auditors, October, 2001
“Framework for internal control systems in banking organisations”, Basle Committee on

“The relationship between banking supervisors and banks exterbal auditors”, Basel
Committee on Banking Supervision, January 2002
115

Audit Bancar

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Audit Bancar

Uploaded by

Copyright:

Available Formats

Audit Bancar BANCAS

ACADEMIA DE STUDII ECONOMICE

Programul de Master Specializat

MODULUL: AUDIT BANCAR

Prof. univ. dr. Vasile Dedu

CAPITOLUL 1 ACTIVITATEA DE AUDIT

CAPITOLUL 2 AUDITUL INTERN BANCAR

CAPITOLUL 3 CONTROLUL INTERN BANCAR

RELAŢIA DINTRE AUTORITATEA DE

CAPITOLUL 1 ACTIVITATEA DE AUDIT

1. Consideraţii etimologice şi evoluţioniste privind auditul

1. Consideraţii etimologice şi evoluţioniste privind auditul

Deşi cuvântul audit a pătruns în limbajul cotidian al societăţii româneşti în forma sa

Există o multitudine de definiţii date auditului, dar nu în accepţiunea sa generală, ci

Institutul American al Contabililor Publici Autorizaţi (AICPA) prezintă auditul ca pe

Dacă se explicitează şi noţiunea de angajament de audit, rezultă următoarea definiţie

În cele ce urmează, obiectul expunerii se va restrânge la forma cea mai complexă a

auditului intern la acela de supra-control)6. Totuşi, singura definiţie “legală”, în momentul de

1. Ce este auditul intern bancar?

CAPITOLUL 2 AUDITUL INTERN BANCAR

1. Obiective şi modalităţi de acţiune ale auditului intern bancar

1. Obiective şi modalităţi de acţiune ale auditului intern bancar

b) evaluarea gradului de adecvare şi aplicare a controalelor financiare şi nefinanciare

3. analiza relevanţei şi integrităţii datelor furnizate de sistemele informaţionale de gestiune

ce în ce mai pregnantă ca aprecierea modului de încadrare a activităţii unei bănci în

2. Principiile auditului intern bancar

Comitetul de Supraveghere Bancară de la Basel conturează cadrul de desfăşurare a

Independenţa auditului intern bancar12

“ Departamentul de audit intern al unei bănci trebuie să fie independent de activităţile

sau consiliului de administraţie sau comitetului de audit (de pe lângă consiliul de

2.2. Imparţialitatea auditului intern bancar 13

“Departamentul de audit intern ar trebui să fie obiectiv şi imparţial, ceea ce înseamnă că ar

2.3. Continuitatea auditului intern bancar15

“Auditul intern ar trebui să fie o funcţie permanentă. În îndeplinirea îndatoririlor şi

Demn de remarcat este faptul că formularea principiului continuităţii auditului intern

“Competenţa profesională a fiecărui auditor intern şi a departamentului de audit intern, ca

2.5.Exhaustivitatea auditului intern19

În Norma Băncii Naţionale a României nr. 17/2003, principiul exhaustivităţii nu

În plus faţă de principiile menţionate mai sus, Banca Naţională menţionează

3. Cadrul normativ de desfăşurare a activităţii de audit intern bancar

Obiectivele, responsabilităţile şi principiile activităţii de audit intern (unele

3.1. Statutul (carta) auditului intern

“Carta auditului garantează statutul şi autoritatea departamentului de audit intern al

Potrivit Cartei, sfera de activitate a auditului intern include revizuirea procedurilor de

Dată fiind diversitatea de medii culturale şi legale, de organizaţii în care funcţionează

de aplicare a standardelor cu caracter general la unele acţiuni concrete (“Implementation

3.3. Codul de etică a auditorului intern

Comitetul de Practici Internaţionale de Audit (International Auditing Practices Committee)

Integritatea înseamnă că auditorul intern trebuie să-şi îndeplinească atribuţiile cu

4. Organizarea auditului intern bancar

Activitatea de audit intern bancar se realizează prin două forme organizatorice:

4.1.Atribuţiile şi responsabilităţile conducătorului departamentului de audit intern bancar

Pornind de la principiul 12 enunţat Comitetul de Supraveghere Bancară de la Basel 25,

Conform acesteia, coordonatorul departamentului de audit intern răspunde de:

Referitor la componenţa comitetului, sunt însuşite recomandările Comitetului de la

4.3.Externalizarea activităţii de audit intern

Naţionale a României reţine indicatorul de solvabilitate, dar pune accent pe indicatorii de

5. Relaţia dintre departamentul de audit intern şi autoritatea de supraveghere

Relaţia dintre autoritatea de supraveghere şi departamentul de audit intern al unei

Aceasta reprezintă o abordare indirectă pentru evaluarea eficienţei şi calităţii

6. Relaţia dintre auditorii interni şi auditorii externi

În opinia Comitetului privind Supravegherea Bancară de la Basel, auditorii interni şi

Relaţiile dintre auditul intern al unei bănci şi auditorul extern şi autoritatea de

7. Desfăşurarea activităţii de audit intern