Post on 14-Aug-2015
TEMA 8. GESTIUNEA RISCULUI OPERAŢIONAL
8.1. Riscul operaţional: conceptul şi elemente de bază
Spre deosebire de riscul de piaţă sau de credit, în literatura de specialitate nu există o concepţie
univocă referitoare la riscul operaţional. Aceasta conduce la diferite păreri asupra acestui risc şi a
metodelor de gestiune.
Pot fi evidenţiate patru puncte de vedere de bază existente.
Iniţial către riscurile operaţionale erau referite alte forme ale riscurilor financiare diferite de cele de
piaţă şi cele de credit. Această definiţie este foarte largă şi include business-riscul, care cuprinde astfel de
aspecte ale activităţii băncii, cum sunt delectarea strategiei de dezvoltare, poziţionarea pe piaţă, competenţa
managementului, know-how, metodele de realizare a avantajelor concurenţiale ş.a.
Din altă parte, riscul operaţional apare în cadrul desfăşurării operaţiunilor financiare. Sursele lui
pot fi diferite erori în front-, middle-, şi/sau back-office în cadrul prelucrării datelor, dereglările în
funcţionare sistemelor informaţionale, deficienţele tehnice ale utilajului, executarea incorectă a
operaţiunilor. Această tratare se concentrează asupra procedurii executării operaţiunilor la toate stadiile de
prelucrare, însă nu ţine cont de riscurile legate de posibilitatea escrocheriilor în interiorul instituţiei
financiare, desfăşurarea neautorizată a operaţiunilor, utilizarea incorectă a modelelor pentru evaluarea
instrumentelor financiare.
A treia tratare este mai largă şi examinează ricurile operaţionale după măsura controlului asupra lor
din partea instituţiei. Prin riscuri operaţionale se subînţeleg acele riscuri (cu excepţia business-riscului),
care apar în rezultatul neeficienţelor sistemului intern de control al instituţiei. Însă la aceste riscuri nu pot fi
referite escrocheriile externe, catastrofele naturale, spargerea sistemului de securitate.
A patra tratare poate fi exprimată prin următoarea definiţie a riscului operaţional.
Riscul operaţional reprezintă riscul pierderilor directe sau indirecte în rezultatul construirii greşite
a proceselor tehnologice, neeficienţa procedurilor controlului intern, dereglările tehnologice, activităţilor
neatorizate ale personalului sau influenţei externe.
În continuare pot fi prezentate câteva definiţii, care de asemenea reflectă elocvent esenţa riscului
operaţional.
Riscul operaţional se referă nemijlocit la activitatea operaţională internă a băncii comerciale, care
din cauza competenţei insuficiente personalului acestei instituţii financiare, lipsei controlului necesar sau în
rezultatul neglijenţei poate conduce la pierderi materiale.
Riscul operaţional (în engl. operating risk, transaction risk) constituie:
1) riscul instituţiei financiare din cauza acţiunilor neglijente sau necompetente a pesonalului;
2) riscul pierderilor reale sau a profitului ratat în cadrul unei operaţiuni bancare concrete.
1
Riscul operaţional este riscul legat de neajunsurile în sistemele şi procedurile de gestiune,
menţinere şi control. Riscul operaţional este riscul acţiunilor neglijente sau incompetente, în rezultatul
cărora poate cauzat prejudiciu material.
Riscul operaţional — riscul obţinerii pierderilor în rezultatul necorespunderii caracterului şi
mărimii instituţiei creditare şi/sau cerinţelor egislaţiei în vigoare faţă de reglementările şi procedurile
interne privind desfăşurarea operaţiunilor bancare şi a altor tranzacţii, încălcării lor de către personalul
băncii şi/sau de alte persoane (în urma incompetenţei, acţiunilor premditate sau neintenţionate sau
inacţiunii), insuficienţei posibilităţilor (caracteristicilor) funcţionale aplicate în cadrul sistemelor
informaţionale, tehnologice şi altor sisteme şi/sau dereglării lor, precum şi în rezultatul evenimentelor
externe.
Riscul operaţional reprezintă riscul procesării necorespunzătoare a datelor, apariţiei unor
pierderi directe sau indirecte ca rezultat al: erorii umane, aplicării unor proceduri şi controale
neadecvate, utilizării unor procese şi sisteme informaţionale neadecvate, precum şi din cauza
incendiilor, calamităţilor naturale şi alte cauze, fapt ce ar împiedica desfăşurarea activităţii normale a
băncii.
În anul 2001 Basel Committee on Banking Supervision a propus propria definiţei a riscului
operaţional ca riscul obţinerii pierderilor în rezultatul neajunsurilor în cadrul proceselor interne, în
acţiunile personalului sau altor persoane, în funcţionarea sistemelor informaţionale sau ca urmare a unor
evenimente externe.
Această definiţie poartă un caracter universal, deoarece poate fi aplicată pentru diferite instituţii
financiare şi, în acelaşi timp, include setul complet al cauzelor şi problemelor, care pot conduce la pierderi
în rezultatul realizării riscurilor operaţionale.
În ce priveşte factorii ce conduc la apariţia riscului operaţional, literatura de specialitate îi numeşte
elemente ale riscului operaţional.
În unele surse părţile componente ale riscului operaţional de prezintă în felul următor:
Riscul de tranzacţie – riscul pierderilor în rezultatul erorilor în cadrul desfăşurării tranzacţiilor
în rezultatul necorespunderii sistemelor informaţionale instrumentelor financiare utilizate,
riscurile pierderilor în rezultatul greşelilor contabile, transferul greşit de fonduri; riscurile
pierderilor ca rezultat al perfectării eronate a documentaţiei aferente tranzacţiei;
Riscul controlului operaţional – o formă a riscului operaţional care se manifestă în cazul în
care personalul băncii depăşeşte limitele atribuite, desfăşoară tranzacţiile dubioase, admite
mistificări şi escrocherii;
Riscul sistemelor – riscul operaţional al dereglărilor aplicaţiilor programate în cadrul
desfăşurării operaţiilor curente, al erorilor metodologice, căderii sistemelor de telecomunicaţii.
Alţi autori examinează riscul operaţional ca risc complex, format din acţiunea a mai multor riscuri
simple, numite categorii ale riscului operaţional:
2
- riscul personalului – riscul provocat de personalul compnaiei, în speciale de activităţile lor
nesancţionate, competenţa insuficientă, dependenţa de unii specialişti ş.a.
- riscul tehnologic – riscul căderii sistemelor informaţionale, aplicaţiilor programate sau a bazelor
de date, sistemelor de transmitere a informaţiei şi altui utilaj necesar pentru activitatea
companiei;
- riscul prejudiciului fizic – riscul, ce apare în rezultatul circumstanţelor de forţă majoră de tipul
calamităţilor naturale şi altor factori, ce pot cauza prejudicii utilajului de bază, sistemelor,
tehnologiilor şi resurselor companiei.
- riscul relaţiilor – apare în cadrul desfăşurării proceselor tehnologice, cum sunt greutăţile de
interacţionare cu clientela şi insuficienţa controlului intern;
- riscul extern – riscul ce apare în rezultatul acţiunilor criminale premeditate ale instituţiilor din
afară, a persoanelor fizice, precum şi în rezultatul modificării cerinţelor organelor de
reglementare.
8.2. Metodele de bază ale gestiunii riscului operaţional
În cadrul gestiunii riscurilor operaţionale apar câteva probleme conceptuale.
În primul rând, spre deosebire de riscurile de piaţă şi de credit, riscul operaţional constituie un risc
intern pentru instituţiile financiare, ceea ce determină specificul lui pentru fiecare companie. Este foarte
complicat de a colecta o informaţie generală cu privire la pierderile generate de acest risc. Este firesc că nu
toate companiile sunt dispuse să comunice despre problemele lor interne. În afară de aceasta, specificul
riscurilor operaţionale pentru fiecare din ele nu permite obţinerea unei informaţii universale cu privire la
astfel de pierderi în baza sumării simple a faptelor.
În al doilea rând, riscurile de piaţă şi de credit pot fi dimensionate cantitativ, poate fi estimată
probabilitatea apariţiei lor, mărimea pierderile posibile, precum şi gradul de influenţă a unor factori aparte.
În cazul riscurilor operaţionale o astfel de corelare poate fi determinată cu greu. De aceea, managementul
riscului operaţional într-o măsură mai mică utilizează metodele cantitative de analiză, ci se bazează
preponderent pe crearea sistemului de control intern şi a infrastructurii interne de prevenire a unor astfel de
riscuri în general.
În al treilea rând, pierderile operaţionale importante sunt un fenomen relativ rar (însă posibil).
Astfel de evenimente puţin probabile se află „în coada” distribuirii statistice, adică departe în afara
intervalului de încredere. În legătură cu aceasta aplicarea metodelor statistice, de exemplu cum este
operational value at risk, este problematică din cauza reprezentativităţii joase a datelor pentru analiză. Nu
se exclude, că în unele instituţii astfel de studii pot conduce la anumite rezultate, însă elaborarea metodicii
3
universale de gestiune a riscurilor operaţionale bazate pe metodele matematice la moment nu se prezintă ca
posibilă.
Astfel, aplicarea modelelor statistice pentru gestiunea riscurilor operaţionale la moment este foarte
limitată. Însă aceste riscuri pot fi minimizate prin ridicarea controlului asupra tuturor domeniilor de
activitate a instituţiei şi elaborarea procedurilor corecte de desfăşurare a proceselor tehnologice.
Toată diversitate tratărilor identificării, evaluării cantitative, analizei şi gestiunii riscurilor
operaţionale poate fi divizată convenţional în cele „de sus în jos” şi cele „de jos în sus”.
Modelele de sus în jos (top-down models) examinează riscul operaţional „de sus în jos” din punctul
de vedere al rezultatelor finale ale activităţii, adică a consecinţelor la care conduce riscul operaţional (de
exemplu, suma totală a pierderilor în rezultatul disfuncţiei sistemului informaţional sau erorilor
personalului). Rezultatele obţinute sunt utilizate pentru plasarea capitalului între subdiviziuni în calitate de
rezerve pentru astfel de pierderi.
Modelele de jos în sus (bottom-up models) sunt elaborate „de jos în sus”, din punctul de vedere al
subdiviziunilor sau proceselor tehnologice. Atenţia de bază se acordă cauzelor apariţiei riscurilor, care pot
conduce la urmări negative.
Metodele de gestiune a riscului operaţional pot fi clasificate în felul următor:
I. Controlul de audit permite determinarea necorespunderii practicii existente cerinţelor organelor
de reglementare şi supraveghere, precum şi a legislaţiei. În afară de aceasta, sunt determinate locurile cele
mai slabe din punctul de vedere al controlului prin compararea proceselor tehnologice cu „cea mai bună
practică”.
Estimarea şi analiza internă sunt efectuate de către toate subdiviziunile cu scopul determinării în
mod de sinestătător a riscurilor operaţionale posibile. Astfel de analiză parţial este subiectivă, însă este
bazată pe interesarea internă subdiviziunilor şi a unor lucrători în executarea corectă a obligaţiilor lor. În
ultimă instanţă activitatea de bază este desfăşurată anume la nivelul acestor subdiviziuni şi calitatea ei
depinde de măsura în care cât de corect personalul înţelege activitatea sa şi eficienţa desfăşurării ei.
II. Indicatorii activităţii sunt prezentaţi prin grupurile de bază de indicatori, prin intermediul cărora
se pot face concluzii cu privire la activitatea instituţiei şi riscurile operaţionale existente.
Indicatorii activităţii curente (key performance indicators) reflectă aspectele cele mai importante
ale activităţii instituţiei în baza cărora se poate aprecia starea ei curentă. Destinaţia de bază a acestor
indicatori constă în aceea că ei permit efectuarea controlului asupra eficienţei operaţiunilor desfăşurate.
Astfel de indicatori pot fi: cantitatea operaţiunilor incorecte, reclamaţiile clienţilor, fluctuaţia cadrelor,
timpul total al nefuncţionării sistemelor informaţionale etc.
Indicatorii eficienţei controlului (key control indicators) arată numărul de erori, care au fost evitate
datorită sistemului de control intern. Astfel de indicatori pot fi, de exemplu, numărul operaţiunilor
corectate, numărul tranzacţiilor neconfirmate, divergenţele în confruntarea datelor, depistarea cazurilor
accesului neautorizat la date ş.a.
4
Indicatorii riscului (key risk indicators) sunt indicatori de anticipare şi sunt determinaţi prin calcule
şi pe cale analitică prin compararea indicatorilor activităţii curente şi cei ai eficienţei controlului. De
exemplu, comparând informaţia cu privire la creşterea volumul operaţiunilor, fluctuaţiei cadrelor şi
numărul de erori la introducerea datelor, poate fi determinat nivelul riscului operaţional pentru instituţia
financiară. Astfel pot fi create modele cantitative pentru analiză şi prognozare a situaţiilor în domeniul
riscurilor operaţionale.
Toţi indicatorii menţionaţi adesea sunt utilizaţi în scopul controlului asupra activităţii operaţionale.
Aceasta se bazează pe admiterea, că în cazul apariţiei unor semnale negative din partea acestor indicatori
creşte probabilitatea evenimentelor legate de riscul operaţional. În mod corespunzător, managerul riscurilor
poate evita un astfel de pericol, întărind controlul asupra situaţiei.
III. Analiza volatilităţii veniturilor. Volatilitatea veniturilor instituţiei financiare depinde de nivelul
riscului, în care sunt incluse toate tipurile de riscuri financiare, inclusiv şi cel operaţional. Prin urmare, dacă
din toată volatilitatea venitului de exclus factorii riscurilor de piaţă şi de credit, atunci volatilitatea
„reziduală” trebuie să se explice prin manifestarea factorilor riscului operaţional. Această metodă constă în
aceea, că pe parcursul unui interval de timp se determină venitul companiei şi se calculează mărimea
devierii standard a abaterilor. În cadrul calcului trebuie de exclus influenţa factorilor riscurilor de piaţă şi
de credit. Aceasta se poate face cu ajutorul metodelor statistice, însă trebuie de luat în consideraţie
influenţa factorilor business-riscului, care de asemenea influenţează variabilitatea veniturilor din perioada
observată.
Este foarte complicat de a delimita factorii menţionaţi ai riscului şi, în afară de aceasta, în baza
rezultatelor obţinute practic este imposibil de a evita abaterile negative ale riscului, deoarece această
metodă nu permite determinarea cauzelor lor. În practică un astfel de model poate fi util numai pentru
plasarea capitalului în cazul unor pierderi posibile în rezultatul realizării diferitori factori ai riscului.
IV. Modelele cauzelor şi efectelor permit de a explica provenienţa şi de a estima pierderile din
desfăşurarea proceselor tehnologice cu ajutorul metodelor teoriei probabilităţilor. Baza acestei metode
constă în faptul, că cauzele şi efectele sunt legate prin probabilităţi convenţionale. Calcului pierderilor se
efectuează în baza formulei lui Bayes.
V. Distribuirea probabilităţilor pierderilor reprezintă o altă tratare matematică faţă de analiza
pierderilor în rezultatul realizării riscurilor operaţionale. Se presupune, că probabilitatea riscurilor
operaţionale şi mărimea pierderilor operaţionale sunt date apriori şi estimarea lor cantitativă constituie a
problemă separată. Pe parcursul unei perioade de timp sunt efectuate anumite observaţii pentru a determina
câte cazuri de realizare a riscurilor operaţionale au avut loc şi la care consecinţe au condus ele.
Pierderea aşteptată reprezintă mărimea prejudiciilor operaţionale, care pot avea loc în cadrul
funcţionării normale a business-ului. De obicei, acestea sunt evenimentele, care nu o mare însemnătate.
Pierderile neprevăzute sau VaR operaţional (operational VaR) reprezintă diferenţa dintre pierderea
maximă la un nivel dat al probabilităţii şi pierderea aşteptată. De obicei, în acest context este vorba de
5
probleme, ce nu întâlnesc des, care pot conduce la pierderi serioase. Astfel de pierderi, de obicei, este
foarte greu de prognozat pentru a determina corect suma capitalului de rezervă necesar. Pierderile pot fi
compensate din contul asigurărilor, însă de evitat astfel de cazuri este posibil numai datorită unui sistem
eficient de control intern, organizării corecte a proceselor tehnologice şi sistemelor informaţionale sigure.
Pierderile catastrofale reflectă pierderile în cazurile în care au loc evenimente catastrofale. Astfel de
evenimente au loc foarte rar, însă consecinţele lor foarte distructive pentru instituţiile financiare. (Drept
exemplu, poate fi prezentat falimentul băncii Barings).
8.3. Sistemul de control intern – factor de contribuţie la gestiunea riscului operaţional în bănci
Controlul intern reprezintă un proces continuu la care participă consiliul de administraţie,
conducătorii, precum şi personalul băncilor.
Trebuie de subliniat faptul, că nu este vorba doar despre o procedură sau o politică aplicată la un
moment dat, ci de un cumul de acţiuni desfăşurate continuu la toate nivelurile băncii.
Interesul acordat controlului intern şi caracterului său continuu este consecinţa analizei cauzelor
care au determinat înregistrarea de pierderi semnificative de către unele bănci; această analiză a identificat
lipsa unor sisteme de control intern adecvate ca fiind un determinant major al pierderilor. Concluzia trasă
din aceste experienţe a fost că un sistem de control intern eficient ar fi putut preveni sau ar fi putut detecta
din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de
control intern eficient reprezintă o componentă critică a gestionării unei bănci, care poate sprijini realizarea
obiectivelor băncii şi atingerea ţintelor sale de profitabilitate.
Obiectivele controlului intern bancar
Definiţia dată mai sus cuprinde trăsătura pregnantă a controlului intern, participanţii la acest
proces, dar nu este completă; lipseşte partea referitoare la conţinutul acestei activităţi, care se regăseşte
descris prin obiectivele controlului intern. Principalele obiective ale procesului de control intern pot fi
categorisite astfel:
1. eficienţa şi eficacitatea activităţilor (obiective de performanţă);
2. relevanţa, credibilitatea , caracterul complet şi oportun al informaţiilor financiare şi de gestiune
(obiective privind informaţia);
3. conformitatea cu legile şi reglementările aplicabile (obiective de conformitate).
Obiectivele de performanţă ale controlului intern se referă la eficienţa şi eficacitatea cu care banca
îşi utilizează activele şi alte resurse şi la protecţia băncii împotriva pierderilor. Prin proiectarea normelor de
control intern trebuie să se asigure, că întregul personal al băncii se preocupă de atingerea obiectivelor
acesteia cu eficienţă şi integritate, fără costuri excesive şi fără a plasa alte interese înaintea celor ale băncii.
Obiectivele privind informaţiile sunt legate de pregătirea în mod operativ a unor rapoarte relevante
şi de încredere, care să stea la baza procesului de luare a deciziilor în bancă. Totodată, se referă la
6
informaţiile financiare, la situaţiile financiare anuale şi altele de acest gen, destinate consiliului de
administraţie, acţionarilor, organismelor de supraveghere, a căror calitate şi integritate este absolut
necesară pentru luarea deciziilor.
Obiectivele de conformitate trebuie atinse pentru a proteja reputaţia şi autorizaţia de funcţionare,
prin respectarea legilor, cerinţelor autorităţii de supraveghere, normelor şi politicilor interne.
Elementele principale ale sistemului de control intern bancar
Procesul de control intern, iniţial conceput ca un mecanism de reducere a riscurilor de fraudă, furt şi
eroare, a căpătat în timp multe alte valenţe, adresându-se unei varietăţi mai mari de riscuri cu care se
confruntă banca şi de acoperirea cărora depinde realizarea obiectivelor băncii.
Controlul intern cuprinde cinci elemente aflate în strânsă corelare:
1. supravegherea exercitată de către consiliul de administraţie şi conducerea băncii;
2. identificarea şi evaluarea riscurilor;
3. activităţile de control şi separarea atribuţiilor;
4. informarea şi comunicarea;
5. activităţile de monitorizare şi de corectare a deficienţelor.
Problemele identificate în analiza pierderilor suferite de bănci se circumscriu acestor cinci
elemente, a căror funcţionare este esenţială pentru atingerea celor trei obiective ale controlului intern.
Rolul şi responsabilităţile consiliului de administraţie şi ale conducătorilor băncilor
Consiliul de administraţie ar trebui să aibă responsabilitatea aprobării şi revizuirii periodice a
strategiilor de ansamblu şi a politicilor semnificative ale băncii; înţelegerii riscurilor majore cu care banca
are de-a face, stabilirii nivelurilor acceptabile ale acestor riscuri şi asigurării că sunt luate măsurile necesare
de către conducerea băncii pentru a identifica, măsura, monitoriza şi controla aceste riscuri; aprobării
structurii organizatorice; şi asigurării asupra faptului că eficacitatea sistemului de control intern este
monitorizată de conducerea băncii. Consiliul de administraţie este responsabil, în ultimă instanţă, pentru
stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.
Consiliul de administraţie îndrumă şi supraveghează conducerea băncilor, iar pentru a îndeplini
aceste atribuţii membrii acestuia trebuie să fie obiectivi, capabili, cu o pregătire profesională adecvată, să
aibă o bună cunoaştere a activităţilor băncii şi a riscurilor cu care se confruntă aceasta.
În acest sens, legislaţia unor ţări impune condiţii cu privire la experienţa profesională necesară
pentru a putea fi membru al consiliului de administraţie al unei bănci. De exemplu, experienţă de minimum
3 ani în domeniul financiar – bancar sau într-un domeniu care poate fi considerat relevant pentru activitatea
băncii.
Totodată, pentru a permite menţinerea obiectivităţii, în unele ţări consiliul are membri care nu sunt
implicaţi în conducerea activităţilor de zi cu zi ale băncii.
De exemplu, în România, aceeaşi legislaţia are o nuanţă mai categorică, mai restrictivă în această
privinţă, şi anume: “În cazul în care conducătorii băncii fac parte din consiliul de administraţie, numărul
7
membrilor acestuia trebuie să fie stabilit astfel încât administratorii care nu au şi calitatea de conducător să
constituie majoritatea.”
Mijloacele prin care consiliul de administraţie îşi poate exercita atribuţiile, identificate de Norma
B.N.R. nr. 17/2003, Art. 5. (3 ) sunt:
- discuţii periodice (de regulă trimestrial) cu conducerea operativă privind eficienţa sistemului de
control intern;
- analiza periodică (de regulă trimestrial) a evaluărilor sistemului de control intern efectuate de
conducerea operativă, de auditul intern şi, după caz, de auditorul financiar extern şi de autoritatea de
supraveghere;
- asigurarea implementării de către conducerea operativă a recomandărilor formulate de auditul
intern, de auditorul financiar şi de Banca Naţională a României cu privire la deficienţele sistemului de
control intern şi examinarea efectului măsurilor implementate.
La acestea, Comitetul de la Basel adaugă şi revizuirea periodică a strategiei băncii şi a limitelor de
risc, care apare şi ca atribuţie a consiliului de administraţie. În unele ţări consiliul de administraţie se
bazează pe ajutorul dat de comitetul de audit, constituit din membri ai acestuia. Comitetul examinează în
detaliu informaţiile şi rapoartele primite, supraveghează procesul de raportare financiară şi sistemul de
control intern, este în contact direct cu departamentul de audit intern şi cu auditorul financiar, dar dreptul
de decizie aparţine consiliului de administraţie.
Conducătorii băncilor ar trebui să aibă responsabilitatea implementării strategiilor şi politicilor
aprobate de consiliul de administraţie; responsabilitatea identificării, monitorizării şi controlului riscurilor
din activitatea băncii; responsabilitatea menţinerii unei structuri organizatorice care desemnează clar
relaţiile de autoritate, responsabilitate şi de raportare; responsabilitatea de a se asigura că responsabilităţile
delegate sunt realizate; responsabilitatea stabilirii de politici adecvate de control intern; şi responsabilitatea
monitorizării eficienţei şi adecvării sistemului de control intern.
Opinia autorităţii de reglementare în domeniul bancar din România, exprimată prin Norma nr.
17/2003, diferă de cea de mai sus în unele locuri, fie prin nuanţări, fie prin generalizări, fie prin înglobarea
unor atribuţii conexe celor statuate de Comitetul de la Basel. Astfel, în domeniul riscurilor semnificative,
Banca Naţională a României precizează că atribuţiile conducătorilor se referă atât la coordonarea
procesului de elaborare a procedurilor, cât şi la luarea măsurilor necesare pentru identificarea, evaluarea,
monitorizarea şi controlul riscurilor. În ceea ce priveşte atribuţiile delegate conducerii operative, Banca
Naţională a României menţionează că acestea se referă doar la stabilirea politicilor şi procedurilor de
control intern, în timp ce în domeniul structurii organizatorice atribuţia conducătorilor este foarte “largă” –
de a menţine o structură organizatorică adecvată. Mai mult, norma Băncii Naţionale a României identifică
atribuţiile conducătorilor în domeniul personalului: să se asigure că activităţile băncii sunt derulate de
personal calificat, având experienţă şi cunoştinţe necesare şi să asigure instruirea corespunzătoare a
personalului. În comentariile ce însoţesc enunţarea acestui principiu, Comitetul de la Basel face referire
8
însă şi la retribuirea corespunzătoare a personalului cu funcţie de control şi la obligaţia conducătorilor de a
institui politici privind recompensarea şi promovarea personalului, care să răsplătească comportamentul
adecvat al acestuia şi să minimizeze cazurile de ignorare sau nerespectare a mecanismelor de control intern.
Consiliul de administraţie şi conducătorii băncii sunt responsabili pentru promovarea unor înalte
standarde de etică şi integritate şi pentru crearea unei culturi organizaţionale care să sublinieze şi să
demonstreze întregului personal importanţa controlului intern. Întregul personal al unei organizaţii bancare
trebuie să înţeleagă rolul său în cadrul procesului de control intern şi să fie angajat deplin în acest proces.
Contribuţia consiliului de administraţie şi a conducătorilor băncii la crearea unei puternice culturi a
controlului constă şi în propriul exemplu, în etica dovedită în afaceri, atât în interiorul instituţiei, cât şi în
afara acesteia; cuvintele, atitudinea şi acţiunile acestora afectează integritatea, etica şi alte aspecte ale
culturii controlului în bancă. Personalul trebuie să conştientizeze că, în măsuri diferite, controlul intern
reprezintă responsabilitatea fiecărui angajat al băncii; aproape toţi angajaţii produc informaţii utilizate de
sistemul de control intern sau acţionează pentru efectuarea controlului.
Un element esenţial al unui sistem de control intern puternic este acela ca întreg personalul să îşi
îndeplinească responsabilităţile şi să comunice conducerii, pe diferite niveluri, problemele operaţionale
apărute, cazurile de încălcare a codului de conduită, a politicilor şi a reglementărilor. De asemenea,
conducerea băncii trebuie să evite implementarea unor politici care să aibă efecte nedorite din punct de
vedere al controlului. Astfel, politicile care pun un accent prea mare pe ţinte de performanţă sau pe alte
rezultate operaţionale pe termen scurt pot determina neglijarea aspectelor care ţin de riscurile pe termen
lung; nesepararea clară a responsabilităţilor sau a atribuţiilor de control pot duce la utilizarea neeficientă a
resurselor sau la tăinuirea performanţelor slabe. În cazul în care schemele de promovare şi premiere a
personalului se bazează numai pe criterii legate de profitabilitate, dar nu şi pe cele care ţin de control şi de
rezolvarea problemelor identificate de auditul intern, mesajul transmis de conducere este unul negativ la
adresa importanţei controlului intern. În concluzie, se poate afirma că existenţa unei puternice culturi a
controlului nu garantează realizarea obiectivelor strategice ale unei bănci, dar lipsa acesteia creează condiţii
prielnice pentru erori şi pierderi, care pun în pericol atingerea ţintelor băncii.
Identificarea şi evaluarea riscurilor
Din punctul de vedere al controlului intern, în identificarea şi evaluarea riscurilor trebuie să fie
analizaţi atât factorii interni (complexitatea structurii organizatorice, natura activităţilor băncii, modificări
organizatorice, calitatea personalului şi fluctuaţia acestuia etc), cât şi factorii externi (fluctuaţii în mediul
economic, modificări în mediul concurenţial bancar, înnoirea tehnologică etc) care pot avea un impact
negativ asupra atingerii ţintelor de performanţă şi asupra atingerii obiectivelor controlului intern. Acest
demers se deosebeşte de procesul de gestionare a riscurilor, axat de obicei, pe strategii pentru găsirea căii
de mijloc între profit şi risc în diferite domenii ale băncii, şi are ca obiectiv asigurarea concordanţei
controlului intern al băncii cu natura, complexitatea şi riscurile activităţii desfăşurate de aceasta.
9
Identificarea şi evaluarea riscurilor trebuie să acopere toate riscurile cu care banca se confruntă atât
la nivel de ansamblu al băncii, cât şi la toate nivelurile organizatorice ale acesteia. Procesul trebuie să aibă
un caracter continuu, adică să aibă în vedere atât riscurile ataşate activităţilor prezente, cât şi pe cele aduse
de apariţia unor noi activităţi sau cele nou apărute/determinate în legătură cu operaţiunile deja derulate, iar
procedurile de control trebuie modificate astfel încât să se adapteze la riscurile nou apărute. De exemplu, în
cazul apariţiei unui nou produs, banca trebuie să analizeze noul instrument financiar şi tranzacţiile de piaţă
asociate şi să evalueze riscurile implicate. Determinarea întregii diversităţi de probleme ce însoţeşte
adoptarea unui nou produs (adesea făcută prin metoda scenariilor) trebuie să-şi găsească contraponderea în
măsuri adecvate de control. Procesul de evaluare a riscurilor se adresează atât aspectelor cuantificabile, cât
şi aspectelor necuantificabile ale riscurilor şi trebuie să pună în balanţă costul implicat de controlul
riscurilor şi beneficiile pe care acesta le poate aduce. Totodată, acest proces include şi determinarea
caracterului controlabil sau necontrolabil al riscurilor; în ceea ce priveşte riscurile controlabile, banca
trebuie să stabilească dacă acceptă acele riscuri sau modul în care le contracarează prin măsuri de control;
în cazul riscurilor care nu pot fi controlate, banca trebuie să decidă dacă le acceptă, dacă le elimină sau
dacă reduce nivelul activităţilor afectate de riscurile respective.
În România Norma B.N.R. nr. 17/2003 impune ca evaluarea riscurilor să se realizeze de către
specialişti din cadrul băncii care nu au responsabilităţi în realizarea performanţei comerciale şi financiare,
pentru a nu permite apariţia unei situaţii de conflict de interese, dar aceasta presupune ca specialiştii care
fac evaluarea să aibă experienţă relevantă în derularea activităţilor ce fac obiectul evaluării riscurilor. În
practică s-a observat că managementul băncilor înclină, de multe ori, în favoarea unor operaţiuni cu
randament ridicat, fără a evalua corect riscurile asociate acestor tranzacţii şi nu alocă suficiente resurse
pentru a monitoriza şi evalua expunerile la risc. Totodată, s-a constatat că multe dintre pierderile
înregistrate s-au datorat neactualizării procesului de evaluare a riscurilor odată cu schimbarea mediului de
afaceri.
Activităţile de control şi separarea atribuţiilor
Activităţile de control intern trebuie astfel concepute şi derulate încât să asigure acoperirea
riscurilor identificate şi evaluate, ca parte integrantă a activităţilor zilnice. Activităţile de control trebuie
definite pentru fiecare nivel organizatoric al băncilor şi implică două etape: stabilirea politicilor şi
procedurilor de control şi verificarea respectării politicilor şi procedurilor de control.
Activităţile de control implică personalul de la toate nivelurile, începând cu consiliul de
administraţie şi terminând cu personalul de execuţie:
- consiliul de administraţie şi conducătorii băncii solicită adesea prezentări şi rapoarte despre
performanţă pentru a analiza progresul făcut de către instituţie către realizarea obiectivelor sale.
De exemplu, pot fi cerute rapoarte referitoare la realizarea bugetului de venituri şi cheltuieli, iar
analizarea acestora, împreună cu conducerea departamentelor poate duce la detectarea unor
deficienţe de control, a unor erori în raportările financiare sau a unor activităţi frauduloase;
10
- la nivelul compartimentelor sau sediilor secundare ale băncii se pot face analize operative
zilnice, săptămânale sau lunare;
- controale faptice, care se referă la restricţionarea accesului la active precum titluri sau numerar,
restricţionarea accesului la conturile clienţilor etc.;
- analiza încadrării în limitele impuse expunerilor la risc şi urmărirea modului în care sunt
soluţionate situaţiile de neconformitate. Stabilirea unor limite prudente expunerilor la risc
reprezintă un aspect important al gestionării riscului; încadrarea în anumite limite pe debitori
sau pe alte contrapartide reduce concentrarea de risc a băncii şi contribuie la diversificarea
profilului de risc al acesteia. Prin urmare, un aspect important al activităţii de control este
urmărirea încadrării în aceste limite.
- aprobări şi autorizări – solicitarea aprobării sau autorizării unor tranzacţii ce depăşesc anumite
limite de sumă are rolul de a asigura controlul asupra realizării operaţiunilor respective de către
nivelul de conducere competent şi de a stabili responsabilităţile;
- verificări şi reconcilieri – constau în verificări ale detaliilor tranzacţiilor între diferite structuri
organizatorice (de exemplu, între cei care iniţiază tranzacţiile – front office şi cei care
înregistrează şi monitorizează tranzacţiile – back office) sau în compararea cash flow-urilor cu
extrasele de cont, în vederea asigurării concordanţei şi efectuarea corecţiilor necesare.
Rezultatele acestor verificări şi reconcilieri trebuie raportate nivelului de conducere competent.
Activităţile de control sunt mai eficiente dacă sunt privite ca parte integrantă a activităţilor zilnice
şi nu ca o acţiuni adiţionale, de o importanţă mai mică. Desfăşurate în această manieră, activităţile de
control dau posibilitatea găsirii unor soluţii rapide la modificarea condiţiilor de lucru şi duc la evitarea
costurilor suplimentare.
Consiliul de administraţie are nu numai sarcina de a stabili politici şi proceduri de control, ci şi de a
urmări respectarea acestora la toate nivelurile şi de a urmări gradul de adecvare a acestora la modificările
din activitatea băncii, iar pentru realizarea acestor deziderate are la îndemână un instrument special –
auditul intern.
Un sistem de control intern eficient cere să existe o separare corespunzătoare a atribuţiilor şi ca
personalului să nu-i fie alocate responsabilităţi care să ducă la conflicte de interese. Ariile cu potenţiale
conflicte de interese trebuie identificate, minimizate şi monitorizate atent de către personal independent.
Din analiza pierderilor determinate de lipsa controlului, autorităţile de supraveghere au concluzionat
că una dintre cauzele majore o reprezintă lipsa unei separări adecvate a atribuţiilor. Astfel, alocarea unor
atribuţii aflate în relaţie conflictuală unei singure persoane (de exemplu, responsabilităţi atât în front office,
cât şi în back office în zona de tranzacţionare) dă acelei persoane acces la active de valoare şi la
posibilitatea de a manipula informaţiile financiare în folos personal sau de a ascunde pierderile. Prin
urmare, unele atribuţii ar trebui să fie împărţite, pe cât posibil, între mai multe persoane, pentru a se reduce
riscul manipulării de date financiare sau al însuşirii ilicite a unor active. Separarea atribuţiilor nu se
11
limitează numai la controlul exercitat de o singură persoană atât în front office, cât şi în back office, ci este
o cerinţă valabilă şi pentru alte domenii, cum ar fi:
- aprobarea utilizării fondurilor şi tragerea efectivă a acestora;
- acces la conturi ale clienţilor şi la conturile băncii;
- analiza documentaţiilor de credit şi monitorizarea creditului după acordarea acestuia.
Prin urmare, este necesară nu numai identificarea şi monitorizarea zonelor cu conflict de interese
potenţial, dar şi revizuirea periodică a responsabilităţilor şi funcţiilor persoanelor – cheie din bancă, pentru
ca aceştia să nu se afle în poziţia de a “acoperi” deficienţele. 2.4. Informare şi comunicare Informarea
adecvată şi comunicarea efectivă sunt esenţiale pentru funcţionarea corespunzătoare a sistemului de control
intern. Din perspectiva unei bănci, pentru ca informaţiile să fie utile, acestea trebuie să fie relevante, de
încredere, accesibile, să fie furnizate la timp şi într-un format constant în timp.
Informaţiile se referă atât la cele interne, financiare, operaţionale şi de conformitate, dar şi la cele
externe, referitoare la evenimente şi împrejurări relevante pentru luarea deciziilor în cadrul băncii. Procesul
de luare a deciziilor de către conducere poate fi afectat de lipsa de încredere în informaţiile sau de
informaţiile eronate furnizate de un sistem informaţional care nu este bine proiectat şi controlat. O
componentă critică a activităţilor unei bănci o constituie stabilirea şi menţinerea unui sistem de gestiune a
informaţiilor (obţinute atât electronic, cât şi prin mijloace ne-electronice) care să acopere toate domeniile
băncii. Acest sistem trebuie să conţină şi proceduri privind securitatea informaţiilor, respectiv mijloace de
prevenire a dezvăluirii informaţiilor secrete sau confidenţiale sau de prevenire a folosirii informaţiilor de
către personalul instituţiei pentru obţinerea unor beneficii personale, care ar putea prejudicia banca atât din
punct de vedere material, cât şi reputaţional. Sistemele informatice din cadrul sistemului informaţional
trebuie să răspundă aceloraşi cerinţe de securitate a informaţiei, atât în sensul menţionat mai înainte, cât şi
în sensul asigurării unor informaţii relevante, de încredere şi al asigurării funcţionării fără întreruperi.
Având în vedere riscurile implicate de obţinerea, manipularea şi păstrarea informaţiilor obţinute prin
sistemul informatic, băncile trebuie să acorde atenţie cerinţelor organizatorice şi de control intern legate de
procesarea informaţiei în formă electronică, precum şi celor referitoare la păstrarea probelor de audit
intern. O primă cerinţă în acest sens se referă la monitorizarea sistemelor informatice de către o structură
organizatorică separată de cea care le utilizează, ca o aplicare a principiului separării atribuţiilor pentru
evitarea apariţiei unor situaţii de conflict de interese. În ceea ce priveşte controlul, acesta trebuie să aibă în
vedere atât sistemul informatic ca întreg, cât şi fiecare aplicaţie informatică din componenţa acestuia.
Acţiunile de control general se efectuează asupra infrastructurii hardware şi de comunicaţii a sistemelor
informatice (sisteme mainframe, sisteme client/server, routere, echipamente de reţea, staţii de lucru ale
utilizatorilor finali), precum şi asupra sistemelor de operare, având ca scop verificarea funcţionării continue
şi corespunzătoare a acestora. Controalele generale includ şi verificarea existenţei şi aplicării unei strategii
de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a
achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi
12
întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului
informatic. Controalele efectuate la nivelul aplicaţiilor informatice se realizează atât prin cuprinderea unor
etape de validare şi control în cadrul aplicaţiei informatice, cât şi proceduri manuale de verificare a
modului de procesare a tranzacţiilor şi efectuarea operaţiunilor. În lipsa unor proceduri adecvate de control
asupra sistemelor informatice (inclusiv a celor în curs de implementare, de dezvoltare), băncile pot
înregistra pierderi de date sau de programe datorită unor proceduri necorespunzătoare privind securitatea
fizică şi electronică, datorită avarierii echipamentelor şi disfuncţiilor sau datorită unor proceduri de rezervă
sau de recuperare a datelor dezvoltate intern şi neadecvate. Pe lângă riscurile şi controalele ataşate la care
s-a făcut referire mai sus, există şi riscuri datorate unor factori externi, în afara posibilităţilor de control al
băncilor (riscul de producere a unor calamităţi naturale, de exemplu). Pentru asigurarea împotriva acestor
riscuri, băncile trebuie să elaboreze planuri alternative (de rezervă) care să le asigure continuitatea
funcţionării. Deşi bazate pe replicarea sistemelor critice fie prin existenţa unor sisteme de rezervă într-o
altă locaţie a băncii, fie prin intermediul unui furnizor extern de servicii (deci, pe asigurarea continuităţii
funcţionării sistemelor informatice), aceste planuri de urgenţă trebuie să implice toate elementele care ţin
de buna desfăşurare a operaţiunilor. Totodată, pentru asigurarea funcţionării şi disponibilităţii acestor
sisteme de rezervă este necesară testarea lor periodică. Un alt aspect deosebit de important legat de
informaţie îl reprezintă comunicarea, cea care dă valoare informaţiei. Conducerea băncii trebuie să
stabilească unele căi de comunicare pentru ca informaţiile să ajungă în timp util la oamenii care au nevoie
de acestea. Aceste informaţii se referă atât la politici şi proceduri ale băncii, cât şi la cele legate de
performanţa băncii. Personalul trebuie să cunoască procedurile şi politicile băncii, în general, şi pe cele
care au implicaţii asupra atribuţiilor şi responsabilităţilor sale, în special. Totodată, personalul trebuie să
aibă în permanenţă imaginea progresului făcut pe calea atingerii obiectivelor instituţiei pentru a
conştientiza efectele activităţii sale. Structura organizatorică a băncii trebuie să faciliteze diseminarea
informaţiilor de sus în jos, de jos în sus şi pe orizontală. Prin aceste fluxuri de informaţii, consiliul de
administraţie cunoaşte riscurile incumbate de activităţile derulate de bancă şi performanţa instituţiei, iar
conducerea operativă şi personalul operativ iau cunoştinţă de strategia, politicile şi procedurile băncii.
Totodată, comunicarea pe orizontală între diferite structuri organizatorice dă posibilitatea ca informaţia
intrată pe o poartă de acces să poată fi cunoscută şi de alte departamente afectate de informaţia primită.
Activităţile de monitorizare şi de corectare a deficienţelor
Având în vedere faptul că industria bancară este dinamică, băncile trebuie să monitorizeze şi să
evalueze continuu sistemul de control intern, ca urmare a modificării condiţiilor interne şi externe, şi
trebuie să întărească acest sistem pentru a-I menţine eficienţa.
Monitorizarea sistemului de control trebuie să fie făcută atât de personalul operativ, cât şi de cel din
cadrul controlului financiar şi din cadrul auditului intern. Pentru ca această funcţie să nu fie acoperită
numai la nivel teoretic, conducerea băncii trebuie să stabilească clar persoanele în sarcina cărora cad
atribuţiile de monitorizare.
13
Banca Naţională a României opinează că monitorizarea sistemului intern de control trebuie să fie
efectuată atât de personalul responsabil pentru fiecare compartiment şi sediu secundar al instituţiei de
credit, cât şi de auditul intern.
Monitorizarea sistemului de control intern are atât o componentă zilnică, cât şi una periodică, de
evaluare separată a procesului de control privit în ansamblu. Monitorizarea pe bază zilnică oferă avantajul
detectării şi corectării rapide a deficienţelor din sistemul de control intern, dar eficienţa sa depinde de
integrarea sistemului de control intern în mediul operaţional bancar şi de rapoartele de control generate.
Spre deosebire de aceasta, evaluarea periodică este menită să ofere o imagine a eficacităţii întregului sistem
de control intern şi a activităţii de monitorizare şi cade atât în sarcina personalului responsabil pentru
fiecare compartiment şi sediu secundar (autoevaluare), cât şi a auditului intern. În ceea ce priveşte
periodicitatea acestor evaluări, Banca Naţională a României se raliază părerii Comitetului de la Basel care
consideră că parametrii care determină frecvenţa monitorizării unei activităţi sunt riscurile implicate de
acea activitate şi natura şi frecvenţa schimbărilor din activitatea respectivă. Rezultatele monitorizării şi, în
special, deficienţele constatate trebuie să fie aduse imediat la cunoştinţa nivelului de conducere competent
să ia măsuri corective, iar cele majore trebuie raportate conducerii băncii şi consiliului de administraţie.
Norma B.N.R. nr. 17/2003 subliniază faptul că responsabilitatea de a stabili un sistem de detectare a
deficienţelor sistemului de control intern şi de a întreprinde măsuri pentru soluţionarea deficienţelor revine
conducătorilor băncilor, care, în realizarea acestei atribuţii, se bazează pe auditul intern.
Multe bănci au înregistrat pierderi datorită lipsei de monitorizare efectivă a sistemului de control
intern; adesea aceste sisteme nu au avut procese de monitorizare continuă, iar evaluările separate realizate
fie nu erau adecvate, fie nu erau urmărite adecvat de către conducere. În unele cazuri, absenţa monitorizării
a început cu lipsa de atenţie şi de reacţie la informaţiile zilnice primite de către conducere referitoare la
aspecte neuzuale ale activităţii (de exemplu, depăşiri ale limitelor de expunere, lipsa de situaţii financiare
ale debitorilor etc). Într-o bancă, pierderile din activitatea de tranzacţionare erau înregistrate într-un cont
fictiv de client; dacă banca ar fi avut o procedură prin care extrasul de cont să fi fost trimis lunar prin poştă
clientului, iar clientul să confirme soldul contului, aceste pierderi ar fi putut fi detectate înainte să producă
probleme majore băncii. În alte cazuri, activitatea sau divizia băncii care a cauzat pierderi masive avea
numeroase caracteristici ce indicau un nivel crescut al riscului, cum ar fi un nivel neobişnuit al profitului
sau creşterea rapidă a unei activităţi aflate la distanţă mare de centrală sau de compania-mamă. Datorită
unei lipse de evaluare a riscurilor, băncile respective nu au alocat suficiente resurse suplimentare pentru a
controla şi monitoriza activităţile cu risc ridicat. De fapt, în unele cazuri, activităţile cu risc ridicat erau
derulate cu mai puţină supraveghere decât cele cu profil de risc mai scăzut, iar conducerea nu a reacţionat
cum trebuia la observaţiile făcute de auditorii externi şi interni. Auditul intern nu a fost eficient în multe
cazuri, prin combinarea a trei factori: realizarea unor audituri treptate, lipsa unei depline înţelegeri a
activităţii băncii şi urmărirea neadecvată a unor probleme. Auditul fragmentat a rezultat din structurarea
programelor de audit intern ca serii de angajamente separate pe unele activităţi din cadrul aceluiaşi
14
departament sau din cadrul băncii. Deoarece procesul de audit era fragmentat, activitatea nu era bine
înţeleasă de către personalul departamentului de audit. Dacă acesta ar fi fost altfel organizat, permiţând
auditorilor să urmărească procese şi funcţii de la început la sfârşit (de exemplu, urmărirea unei tranzacţii de
la iniţiere până la raportare) le-ar fi permis să înţeleagă mai bine. În plus, ar fi dat oportunitatea de a
verifica şi testa adecvarea controlului în fiecare etapă a procesului. În alte cazuri, pregătirea
necorespunzătoare a personalului de la departamentul de audit intern în domeniul de marketing, sistem
informatic şi alte arii sofisticate a contribuit la problemele auditului intern. Deoarece personalul nu a avut
expertiza necesară, a ezitat în a pune întrebări în cazul unor suspiciuni, iar dacă a pus întrebări, a acceptat
orice răspuns primit, ca atare.
Auditul intern poate să se dovedească ineficient şi atunci când conducerea nu urmăreşte problemele
identificate de auditori, fie datorită lipsei de consideraţie acordată acestei activităţi, fie datorită faptului că
nu urmăreşte prin rapoarte periodice progresul făcut în rezolvarea problemelor sesizate.
8.4. Controlul riscului de fraudă
Frauda în sistemul bancar
În Dicţionarul explicativ al limbii române conceptul de fraudă se defineşte drept ,,înşelăciune, act
de rea credinţă săvârşit de cineva pentru a realiza un profit material de pe urma atingerii drepturilor altuia;
hoţie; sumă sustrasă prin înşelăciune.” Bogaţia semantică a accepţiunilor curente pentru termenul de fraudă
ajută în descrierea fenomenului, acoperind toată gama de acte comise.
O definiţie mai tehnică, dar utilă din punct de vedere al încadrării legale este cea uzitată de Biroul
federal de investigaţii din SUA (FBI): frauda este considerată a fi ,,însuşirea sau folosirea ilicită a
fondurilor sau bunurilor încredinţate în grija, în custodia sau controlului unei persoane”.
Privită astfel, frauda nu mai reprezintă un risc doar pentru bancă, ci şi pentru deponenţii săi care i-
au încredinţat spre fructificare capital.
Acest risc îmbracă adeseori forma concentrării excesive a unor interese personale: prieteni, rude,
foşti colegi de şcoală sau parteneri de afaceri, asigură conducerea băncii sau girează operaţiile acesteia.
Riscul se poate manifesta şi ca un caz particular al traficului de influenţă.
O altă formă a riscului de fraudă apare atunci când directorii băncii nu îşi exercită prerogativele
efective ale funcţiei lor, limitându-se să avizeze sau să semneze documentele transmise de subalterni sau
consilieri fără a exercita un control şi o verificare atentă şi fără a supraveghea operaţiunile băncii.
Neglijenţa conducerii şi superficialitatea în management pot conduce uneori la insolvabilitatea
instituţiei bancare pe care o conduc.
Frauda constituie una din cauzele majore ale falimentelor bancare după 1950 în întreaga lume. Larg
mediatizat în presa de specialitate a fost cazul băncii franceze Credit Lyonnais, bancă de stat, care a
15
înregistrat pierderi anuale semnificative de 3-8 miliarde FRF suportate de contribuabili, ca urmare a
inadecvării procedurilor interne de control, a clientelismului şi lipsei de profesionalism a conducerii băncii.
Percepţia riscului de fraudг la nivelul conducerii băncilor este diferită. Studiul firmei Ernst &
Young din 1996 arată că doar 42% dintre conducători înţeleg exact riscurile de fraudă şi comerciale, iar
73% dintre ei se consideră în siguranţă, protejaţi de un risc major. Preocuparea lor o reprezintă ,,loviturile
mari” pentru expunerea foarte ridicată la risc.
Statistica reflectă că acestea sunt însă în descreştere, obiectivul managerial trebuind actualizat, în
prezent pagubele cele mai mari fiind provocate de ,,loviturile mici”.
Conform statisticilor, frauda este comisă mai ales în zonele bancare expuse, ca sistemul informatic
(70%), casieria (20%) şi în alte domenii financiare ca achiziţiile de firme, informaţiile de serviciu (insider
trading), hedging.
Aprofundând analiza fenomenului de fraudă la nivel bancar, se vor prezenta cele mai frecvente
forme: frauda internă şi frauda computerizată.
Frauda internă este cauzată de personalul băncii, reprezentând cel mai adesea o soluţie la
problemele personale. Când angajaţii băncii au fie probleme financiare serioase (rambursarea iminentă a
unor datorii, lipsa acută de bani pentru satisfacerea unor vicii, instabilitatea venitului prin presiunea
pierderii locului de muncă), fie anumite probleme de familie (boală cronică gravă, deces sau divorţ), ei sunt
tentaţi să-şi însuşească prin furt o parte din avutul băncii unde lucrează.
Un procent de 25% din personal ar fura dacă ar avea ocazia, iar 50% ar fura dacă ar fi siguri că nu
vor fi prinşi. Rezultă deci că numai un sfert dintre salariaţi sunt cu adevarat cinstiţi. Studiul firmei de
expertiză contabilă ,,Big 8” din New York afirmă că 65-70% dintre fraudele unui eşantion de 2500 agenţii
bancare au fost operate de salariaţi.
Psihologic vorbind, majoritatea celor implicaţi nu se consideră vinovaţi, ci mai degrabă, îndreptăţiţi.
Motivaţiile cele mai frecvente se referă la faptul că sunt prost plătiţi, că postul ocupat nu este conform
pregătirii lor, că paguba este nesemnificativă în raport cu activele instituţiei păgubite, că furtul a fost o
sustragere temporară de fonduri cu titlu de împrumut. Tentaţia fraudei din eşantionul analizat este prezentă
indiferent de nivelul ierarhic, de sex sau de vechimea în muncă.
Chiar şi personalul de conducere poate încălca normele interne sau legale, la concurenţa a trei
circumstanţe motivaţionale:
• realizează că problemele lor financiare nu pot fi soluţionate pe căi normale;
• se bazează pe gradul ridicat de cunoaştere a procedurilor interne de lucru şi abuzează de
încrederea câştigată;
• îşi pot justifica comportamentul considerându-se utilizatorii legali ai unor fonduri sau active
încredinţate.
În studiile de specialitate dedicate fenomenului fraudei se găseşte şi observaţia interesantă că 70%
din fraudele comise în SUA au fost opera unor persoane care nu au intenţionat să fraudeze; ele au
16
descoperit o slăbiciune în normele interne, în procedurile, standardele sau sistemele de monitorizare şi
control ale băncii şi au speculat-o.
Dacă existenţa problemelor personale este o realitate recunoscută, considerată un factor agravant
sau destabilizator de comportament, atunci sistemele de supraveghere internă vor trebui să incorporeze şi
măsuri de protecţie faţă de acţiunea salariaţilor. Când doi salariaţi sunt complici, probabilitatea de a depista
frauda în faza incipientă este minimă.
De aceea rotaţia personalului, supravegherea atentă şi urmărirea sistemelor de control intern,
implementarea unor măsuri de securitate sporită pentru valori şi informaţii vor micşora riscul de fraudă al
instituţiei bancare.
Pentru a minimiza riscul, instituţia bancară poate promova programe speciale pentru angajaţi,
programe de asistenţă sau programe de consultanţă financiară. Deoarece un mediu administrativ şi
operaţional complet lipsit de risc este extrem de costisitor, atitudinea cea mai înţeleaptă este de a maximiza
loialitatea angajaţilor şi implicarea efectivă a acestora în protecţia activelor băncii.
Cea de-a doua formă gravă de fraudă bancară, frauda computerizată reprezintă de fapt un furt cu
ajutorul computerului. În cele mai multe dintre cazuri, este vorba de un transfer electronic de fonduri
incorect efectuat şi nu de o manipulare a sistemului de operare.
Frauda prin computer constituie o categorie relativ nouă, dar nu prin motive, ci prin mijloace. Cea
mai mare parte a delicvenţilor implicaţi în fraude prin computer sunt motivaţi de dorinţa de acoperire a
cheltuielilor excedentare, foarte puţini acţionând pentru a dovedi capacitatea de penetrare a sistemelor de
siguranţă.
Nici o bancă nu doreşte ca sistemul său de stocare şi prelucrare automată a datelor, foarte scump, la
care s-a muncit mult şi este considerat sigur, să fie pus sub semnul întrebării.
Din acest motiv majoritatea acestor fraude nu este raportată, manifestându-se reticenţă din teama de
a nu se crea impresia de fragilitate a sistemelor de control pentru operaţiunile efectuate, care ar putea
submina încrederea depunătorilor în soliditatea instituţiei.
Deasemeni, raportarea pierderilor prin acest tip de fraudă atrage invariabil publicitatea negativă ca
un magnet, este urmată de lungi investigaţii, care pot duce uneori la închiderea temporară a sistemelor de
gestiune a bazelor de date informatice, la suspendarea conducerii, toate foarte costisitoare pentru bancă,
atât ca imagine cât şi ca fonduri.
Se optează aşadar la nivel managerial superior pentru absorbirea pierderilor în spiritul păstrării
confidenţialităţii şi secretului bancar.
Dacă se ţine seama şi de faptul că doar între 2-5% din fraudele prin computer sunt descoperite,
rezultă că expunerea băncii la acest risc este foarte mare.
Există cazuri când frauda internă şi frauda prin computer se întrepătrund. Între 1987 şi 1990 21%
din şefii oficiilor de calcul ale băncilor americane au raportat fraude prin computer la locul de muncă.
Principalele cauze ale acestor fraude au fost:
17
• pregătirea profesională necorespunzătoare, lipsa unui cod intern de etică profesională (27%);
• utilizarea nesupravegheată a echipamentelor (26%);
• acţiuni deliberate pentru obţinerea unui câştig personal, ca rezultat al unei deficienţe
descoperite întâmplător în procedurile de control ale sistemului sau programelor de operare
(25%);
• acţiuni deliberate de răzbunare ca urmare a unor nedreptăţi reale sau imaginare (22%).
Computerul este un instrument vital în epoca informaţiei, dar şi o armă periculoasă dacă este folosit
necorespunzător, putând genera chiar faliment bancar.
Orice aspect al activităţii bancare poate genera pierderi, dar riscurile asociate sistemelor de PAD
(prelucrare automată a datelor) sunt întotdeauna mai greu de identificat, evaluat şi limitat.
Atitudinea faţă de frauda prin computer a personalului bancar de conducere sau operativ este de
cele mai multe ori extremă, implicând fie ignorarea completă a acesteia, fie exagerarea ei prin panicare.
Pentru a preveni şi limita consecinţele fraudei prin computer sunt necesari experţi interni şi externi
specializaţi atât în utilizarea calculatoarelor, cât şi în psihologie: personal din serviciile de securitate,
experţi contabili, analişti şi consultanţi în PAD.
Gestiunea riscului de fraudă prin computer trebuie să ţină cont că:
• îmbunătăţirile de ordin tehnologic amplifică performanţele sistemelor de calcul, prezentând în
acelaşi timp o ameninţare sporită pentru sistemele de securitate;
• luarea unor măsuri suplimentare rezonabile de protecţie de către conducerea băncii şi
constituirea unor rezerve suficiente acoperă pierderile medii din astfel de riscuri informatice;
• riscul de fraudă prin computer nu trebuie tratat independent de celelalte riscuri, ci trebuie inclus
în programul general de gestiune a riscurilor şi control al pierderilor;
• specialiştii în calculatoare nu trebuie să fie responsabili ai programelor de control al riscurilor;
salariaţii şi sistemele de calcul trebuie controlaţi deopotrivă; frauda nu se previne doar prin
multiplicarea filtrelor de control, ştiindu-se că elementele obligatorii pentru producerea fraudei
sunt oportunitatea, probabilitatea de a fi prins, conştientizarea de a fi prins, justificarea faptei;
• riscurile de violare a sistemului de securitate în reţelele de calculatoare întrunesc două
caracteristici importante: probabilitatea de apariţie şi pierderea potenţială.
Corupţia – fenomen şi factor al generării fraudelor bancare
În contextul scandalurilor legate de suspendarea sau falimentul unor bănci, se vorbeşte de corupţie
mai des decât de fraudă.
Adesea corupюia este factorul conjunctural agravant care generează acte de fraudă.
Corupţia reprezintă acel comportament care deviază obligaţiile normale ale exercitării unui rol
public sau care violează normele legale ce interzic exercitarea anumitor forme şi tipuri de influenţă (mita,
traficul şi abuzul de autoritate, şantajul, constrângerea).
18
Latura sociologică a corupţiei reprezintă dimensiunea cea mai acoperitoare din punctul de vedere al
analizei fenomenului de corupţie.
Se referă atât la cauzele şi condiţiile care generează acte şi manifestări coruptive, cât şi la factorii de
risc implicaţi.
Analiza psihologică a fenomenului de corupţie este esenţială pentru completarea analizei
sociologice. Se analizează motivaţiile, mobilurile şi finalităţile urmărite, labilitatea comportamentală a
celor implicaţi, reacţia publică, în contextul normelor morale ale societăţii.
Latura economică a corupţiei presupune tratarea fenomenului exclusiv prin evaluarea costurilor
economice ale actelor de corupţie şi a celor indirecte implicate: deteriorarea imaginii instituţiei bancare,
costurile de oportunitate prin alocarea defectuoasă a resurselor, degradarea normelor morale, lipsa de
încredere în instituţiile statului.
Corupţia economică din domeniul bancar se regăseşte în acţiunile ilicite comise de diverşi agenţi
economici sau de personae particulare, acţiuni concretizate sub forma unor delicte: gestiunea frauduloasă,
înşelăciunea şi abuzul de putere, frauda, escrocheria, falsurile în evidenţele bancare şi contabile.
Actele de corupţie profesional-bancară constituie acţiuni ilegale şi imorale comise de salariaţii
societăţilor bancare, privind îndeplinirea condiţionată sau preferenţială a atribuţiilor de serviciu: luare şi
dare de mită, trafic de influenţă, abuz de putere, abuz în serviciu.
8.5. Gestiunea riscurilor sistemelor informaţionale
Calitatea sistemului informaţional
Analiza activităţii economice este definită în literatura de specialitate ca fiind o metodă de cercetare
bazată pe descompunerea sau defalcarea unui fenomen economic în părţile sale componente, în elementele
sale simple.
Pentru cunoaşterea şi implicit, asigurarea condiţiilor de acţionare a decidenţilor este necesar un
sistem de informaţii care să reflecte complex stările de funcţionare a sistemului.
În continuare se va încerca clasificarea informaţiei bancare şi definirea cerinţelor privind calitatea
informaţiei şi a sistemului informaţional bancar.
• Din punct de vedere al sursei, distingem:
informaţia internă, generată în cadrul băncii şi care se referă la:
- Buget (Bilanţ, Contul de profit şi pierdere proiectate);
- Bilanţ contabil cu anexele întocmite conform reglementărilor legale naţionale şi
internaţionale în materie de contabilitate;
- Rapoarte statistice privind evoluţia principalilor indicatori bancari;
19
- Rapoarte operative privind activitatea curentă a băncii (Balanţa de verificare, Situaţia
activelor şi pasivelor, Expunerea băncii, Situaţia fondurilor proprii);
- Politici, manuale, proceduri;
- Tarife de comisioane şi niveluri de dobânzi active şi pasive.
informaţia externă, care se referă în principal la:
- evoluţia cursurilor de schimb şi a ratelor dobânzilor pe pieţe;
- evoluţia principalilor indicatori macro-economici (inflaţie, şomaj, produs intern brut, datorie
externă, balanţă de plăţi, fiscalitate);
- activitatea concurenţei locale;
- evoluţia segmentelor de piaţă pe care banca le finanţează şi de la care atrage fonduri;
- evoluţia activităţii bancare şi financiare la nivel naţional şi internaţional, în special a băncilor
cu relaţii de corespondent;
- evenimente politice majore;
- reglementări legale în domeniul economic şi bancar.
• Din punct de vedere funcţional, informaţia se poate grupa în:
informaţie ţintă, care se referă la obiectivele financiare şi de dezvoltare ale băncii, noile
produse şi servicii ce vor fi implementate;
informaţie efectivă, care cuprinde toate informaţiile interne şi externe care se referă la starea
de fapt a băncii;
informaţie normativă, care cuprinde toate reglementările interne, la nivel naţional şi
internaţional care vizează activitatea bancară;
informaţie estimativă, dată de Buget, evoluţia previzionată a principalilor indicatori
macroeconomici precum şi a elementelor specifice activităţii bancare (cursuri de schimb,
ratele dobânzilor).
Pentru a satisface cerinţele analizei economico-financiare şi, în consecinţă, pentru asigurarea unei
calităţi corespunzătoare a procesului decizional, informaţia bancară trebuie să întrunească anumite calităţi:
să fie utilă procesului de analiză şi decizie;
să fie exactă, în sensul că trebuie să fie rezultatul unor procese de prelucrare logice şi corecte
sau să provină direct din evidenţele băncii care, la rândul lor, trebuie să aibă un grad de
exactitate ridicat;
să fie comparabilă cu informaţii de acelaşi tip, în sensul că a fost obţinută în baza unor
algoritmi de calcul unitari, atât în ceea ce priveşte prelucrarea informaţiilor interne, cât şi a
celor provenite din afara băncii.
Nu poate fi făcută o analiză corectă a evoluţiei în timp a rezultatelor financiare ale unei bănci, dacă
în perioada analizată au intervenit modificări esenţiale de ordin metodologic sau ale indicatorilor
20
macroeconomici. În aceste cazuri, se aplică algoritmi de aducere la zi a cifrelor aferente perioadelor
trecute.
Nu pot fi comparate rezultate financiare întocmite conform standardelor de contabilitate naţionale
cu cele întocmite conform standardelor internaţionale de contabilitate (IAS).
să fie prezentată în timp util, condiţie esenţială pentru informaţiile care stau la baza unor decizii
operative.
Pentru satisfacerea acestei condiţii, băncile sunt preocupate de implementarea unor sisteme
informatice şi de telecomunicaţii moderne care să permită conectarea on line a tuturor unităţilor operative
şi care să asigure totodată condiţiile procesării în timp real a tuturor tranzacţiilor.
să aibă un cost acceptabil. În studiile de fezabilitate privind implementarea unor sisteme
informatice şi de telecomunicaţii moderne, băncile trebuie să ţină seama nu numai de
obiectivele stabilite, ci şi de costurile care nu sunt deloc neglijabile. Este necesar să fie găsit
pragul de rentabilitate a investiţiilor aferente sistemului informaţional în condiţiile unor fonduri
de investiţii limitate de mărimea capitalului social şi de obiectivele financiare ale băncii.
Managementul securităţii informaţiei
Activitatea băncilor depinde tot mai mult de sistemele informatice.
A devenit imposibilă separarea tehnologiei informaţiei de domeniul financiar al economiei.
Necesitatea utilizării computerului atât ca instrument personal, dar mai ales ca entitate interconectată în
reţele cu arhitecturi complexe este în creştere exponenţială.
Interpretarea acestui aspect, în conjuncţie cu recunoaşterea valorii informaţiei vehiculate, a dus la
formularea unor standarde pentru dezvoltarea şi implementarea de bune practici de securizare a
informaţiei.
Aceste standarde au fost dezvoltate în Marea Britanie iniţial, pentru ca din decembrie 2000 să
devină, datorită valabilităţii lor, standarde internaţionale (ISO/IEC DIS 17799).
Securizarea informaţiei protejează informaţia de o gamă largă de ameninţări cu scopul de a asigura
derularea unei afaceri, de a minimize pierderile şi de a creşte recuperarea investiţiilor. Indiferent de modul
cum este stocată sau transmisă (tipărită, înmagazinată electronic, transmisă prin radio, prin căi electronice,
în film sau prin conversaţie), informaţia trebuie protejată adecvat.
Securizarea informaţiei înseamnă, în accepţiunile ISO 17799, păstrarea confidenţialităţii, prin
accesul la informaţie numai al persoanei autorizate, asigurarea integrităţii informaţiei, şi implicit,
asigurarea disponibilităţii informaţiei.
Securitatea informaţiei se aplică printr-un set de politici, practici, proceduri, structuri
organizaţionale şi funcţiuni software.
Interconectarea dintre reţelele publice şi cele private a făcut ca sistemele informatice să fie mai
vulnerabile la ameninţări precum fraude prin computere, spionaj electronic, acte de vandalism, incedii.
21
Asigurarea securizării informaţiei este mai ieftină şi mai eficientă, dacă se ia în calcul din faza de
proiectare a sistemului informatic, cu identificarea şi evaluarea riscurilor.
Dependenţa de sistemele de informaţii a făcut ca instituţiile bancare să devină tot mai vulnerabile la
riscurile de pierdere, distrugere sau alterare, precum şi faţă de utilizarea sau divulgarea neautorizată a
informaţiilor sensibile, în mod accidental sau voluntar.
Tehnicile de evaluare a riscurilor se aplică asupra întregii organizaţii sau numai asupra unor
componente specifice de sistem, iar riscurile de securitate trebuie reevaluate periodic la toate nivelele, pe
baza raportării incidentelor de securitate.
Controalele din punct de vedere legislativ pentru securitatea informaţiei includ: dreptul la
proprietate intelectuală, protecţia datelor organizaţiei şi a informaţiilor personale. Mecanismele de control
sunt orientative, fiecare instituţie bancară alegând cele mai bune practici de protecţie a securităţii
informaţiei.
22