TEMA 8. GESTIUNEA RISCULUI OPERAŢIONAL

8.1. Riscul operaţional: conceptul şi elemente de bază

Spre deosebire de riscul de piaţă sau de credit, în literatura de specialitate nu există o concepţie

univocă referitoare la riscul operaţional. Aceasta conduce la diferite păreri asupra acestui risc şi a

metodelor de gestiune.

Pot fi evidenţiate patru puncte de vedere de bază existente.

Iniţial către riscurile operaţionale erau referite alte forme ale riscurilor financiare diferite de cele de

piaţă şi cele de credit. Această definiţie este foarte largă şi include business-riscul, care cuprinde astfel de

aspecte ale activităţii băncii, cum sunt delectarea strategiei de dezvoltare, poziţionarea pe piaţă, competenţa

managementului, know-how, metodele de realizare a avantajelor concurenţiale ş.a.

Din altă parte, riscul operaţional apare în cadrul desfăşurării operaţiunilor financiare. Sursele lui

pot fi diferite erori în front-, middle-, şi/sau back-office în cadrul prelucrării datelor, dereglările în

funcţionare sistemelor informaţionale, deficienţele tehnice ale utilajului, executarea incorectă a

operaţiunilor. Această tratare se concentrează asupra procedurii executării operaţiunilor la toate stadiile de

prelucrare, însă nu ţine cont de riscurile legate de posibilitatea escrocheriilor în interiorul instituţiei

financiare, desfăşurarea neautorizată a operaţiunilor, utilizarea incorectă a modelelor pentru evaluarea

instrumentelor financiare.

A treia tratare este mai largă şi examinează ricurile operaţionale după măsura controlului asupra lor

din partea instituţiei. Prin riscuri operaţionale se subînţeleg acele riscuri (cu excepţia business-riscului),

care apar în rezultatul neeficienţelor sistemului intern de control al instituţiei. Însă la aceste riscuri nu pot fi

referite escrocheriile externe, catastrofele naturale, spargerea sistemului de securitate.

A patra tratare poate fi exprimată prin următoarea definiţie a riscului operaţional.

Riscul operaţional reprezintă riscul pierderilor directe sau indirecte în rezultatul construirii greşite

a proceselor tehnologice, neeficienţa procedurilor controlului intern, dereglările tehnologice, activităţilor

neatorizate ale personalului sau influenţei externe.

În continuare pot fi prezentate câteva definiţii, care de asemenea reflectă elocvent esenţa riscului

operaţional.

Riscul operaţional se referă nemijlocit la activitatea operaţională internă a băncii comerciale, care

din cauza competenţei insuficiente personalului acestei instituţii financiare, lipsei controlului necesar sau în

rezultatul neglijenţei poate conduce la pierderi materiale.

Riscul operaţional (în engl. operating risk, transaction risk) constituie:

1) riscul instituţiei financiare din cauza acţiunilor neglijente sau necompetente a pesonalului;

2) riscul pierderilor reale sau a profitului ratat în cadrul unei operaţiuni bancare concrete.

1

Riscul operaţional este riscul legat de neajunsurile în sistemele şi procedurile de gestiune,

menţinere şi control. Riscul operaţional este riscul acţiunilor neglijente sau incompetente, în rezultatul

cărora poate cauzat prejudiciu material.

Riscul operaţional — riscul obţinerii pierderilor în rezultatul necorespunderii caracterului şi

mărimii instituţiei creditare şi/sau cerinţelor egislaţiei în vigoare faţă de reglementările şi procedurile

interne privind desfăşurarea operaţiunilor bancare şi a altor tranzacţii, încălcării lor de către personalul

băncii şi/sau de alte persoane (în urma incompetenţei, acţiunilor premditate sau neintenţionate sau

inacţiunii), insuficienţei posibilităţilor (caracteristicilor) funcţionale aplicate în cadrul sistemelor

informaţionale, tehnologice şi altor sisteme şi/sau dereglării lor, precum şi în rezultatul evenimentelor

externe.

Riscul operaţional reprezintă riscul procesării necorespunzătoare a datelor, apariţiei unor

pierderi directe sau indirecte ca rezultat al: erorii umane, aplicării unor proceduri şi controale

neadecvate, utilizării unor procese şi sisteme informaţionale neadecvate, precum şi din cauza

incendiilor, calamităţilor naturale şi alte cauze, fapt ce ar împiedica desfăşurarea activităţii normale a

băncii.

În anul 2001 Basel Committee on Banking Supervision a propus propria definiţei a riscului

operaţional ca riscul obţinerii pierderilor în rezultatul neajunsurilor în cadrul proceselor interne, în

acţiunile personalului sau altor persoane, în funcţionarea sistemelor informaţionale sau ca urmare a unor

evenimente externe.

Această definiţie poartă un caracter universal, deoarece poate fi aplicată pentru diferite instituţii

financiare şi, în acelaşi timp, include setul complet al cauzelor şi problemelor, care pot conduce la pierderi

în rezultatul realizării riscurilor operaţionale.

În ce priveşte factorii ce conduc la apariţia riscului operaţional, literatura de specialitate îi numeşte

elemente ale riscului operaţional.

În unele surse părţile componente ale riscului operaţional de prezintă în felul următor:

Riscul de tranzacţie – riscul pierderilor în rezultatul erorilor în cadrul desfăşurării tranzacţiilor

în rezultatul necorespunderii sistemelor informaţionale instrumentelor financiare utilizate,

riscurile pierderilor în rezultatul greşelilor contabile, transferul greşit de fonduri; riscurile

pierderilor ca rezultat al perfectării eronate a documentaţiei aferente tranzacţiei;

Riscul controlului operaţional – o formă a riscului operaţional care se manifestă în cazul în

care personalul băncii depăşeşte limitele atribuite, desfăşoară tranzacţiile dubioase, admite

mistificări şi escrocherii;

Riscul sistemelor – riscul operaţional al dereglărilor aplicaţiilor programate în cadrul

desfăşurării operaţiilor curente, al erorilor metodologice, căderii sistemelor de telecomunicaţii.

Alţi autori examinează riscul operaţional ca risc complex, format din acţiunea a mai multor riscuri

simple, numite categorii ale riscului operaţional:

2

- riscul personalului – riscul provocat de personalul compnaiei, în speciale de activităţile lor

nesancţionate, competenţa insuficientă, dependenţa de unii specialişti ş.a.

- riscul tehnologic – riscul căderii sistemelor informaţionale, aplicaţiilor programate sau a bazelor

de date, sistemelor de transmitere a informaţiei şi altui utilaj necesar pentru activitatea

companiei;

- riscul prejudiciului fizic – riscul, ce apare în rezultatul circumstanţelor de forţă majoră de tipul

calamităţilor naturale şi altor factori, ce pot cauza prejudicii utilajului de bază, sistemelor,

tehnologiilor şi resurselor companiei.

- riscul relaţiilor – apare în cadrul desfăşurării proceselor tehnologice, cum sunt greutăţile de

interacţionare cu clientela şi insuficienţa controlului intern;

- riscul extern – riscul ce apare în rezultatul acţiunilor criminale premeditate ale instituţiilor din

afară, a persoanelor fizice, precum şi în rezultatul modificării cerinţelor organelor de

reglementare.

8.2. Metodele de bază ale gestiunii riscului operaţional

În cadrul gestiunii riscurilor operaţionale apar câteva probleme conceptuale.

În primul rând, spre deosebire de riscurile de piaţă şi de credit, riscul operaţional constituie un risc

intern pentru instituţiile financiare, ceea ce determină specificul lui pentru fiecare companie. Este foarte

complicat de a colecta o informaţie generală cu privire la pierderile generate de acest risc. Este firesc că nu

toate companiile sunt dispuse să comunice despre problemele lor interne. În afară de aceasta, specificul

riscurilor operaţionale pentru fiecare din ele nu permite obţinerea unei informaţii universale cu privire la

astfel de pierderi în baza sumării simple a faptelor.

În al doilea rând, riscurile de piaţă şi de credit pot fi dimensionate cantitativ, poate fi estimată

probabilitatea apariţiei lor, mărimea pierderile posibile, precum şi gradul de influenţă a unor factori aparte.

În cazul riscurilor operaţionale o astfel de corelare poate fi determinată cu greu. De aceea, managementul

riscului operaţional într-o măsură mai mică utilizează metodele cantitative de analiză, ci se bazează

preponderent pe crearea sistemului de control intern şi a infrastructurii interne de prevenire a unor astfel de

riscuri în general.

În al treilea rând, pierderile operaţionale importante sunt un fenomen relativ rar (însă posibil).

Astfel de evenimente puţin probabile se află „în coada” distribuirii statistice, adică departe în afara

intervalului de încredere. În legătură cu aceasta aplicarea metodelor statistice, de exemplu cum este

operational value at risk, este problematică din cauza reprezentativităţii joase a datelor pentru analiză. Nu

se exclude, că în unele instituţii astfel de studii pot conduce la anumite rezultate, însă elaborarea metodicii

3

universale de gestiune a riscurilor operaţionale bazate pe metodele matematice la moment nu se prezintă ca

posibilă.

Astfel, aplicarea modelelor statistice pentru gestiunea riscurilor operaţionale la moment este foarte

limitată. Însă aceste riscuri pot fi minimizate prin ridicarea controlului asupra tuturor domeniilor de

activitate a instituţiei şi elaborarea procedurilor corecte de desfăşurare a proceselor tehnologice.

Toată diversitate tratărilor identificării, evaluării cantitative, analizei şi gestiunii riscurilor

operaţionale poate fi divizată convenţional în cele „de sus în jos” şi cele „de jos în sus”.

Modelele de sus în jos (top-down models) examinează riscul operaţional „de sus în jos” din punctul

de vedere al rezultatelor finale ale activităţii, adică a consecinţelor la care conduce riscul operaţional (de

exemplu, suma totală a pierderilor în rezultatul disfuncţiei sistemului informaţional sau erorilor

personalului). Rezultatele obţinute sunt utilizate pentru plasarea capitalului între subdiviziuni în calitate de

rezerve pentru astfel de pierderi.

Modelele de jos în sus (bottom-up models) sunt elaborate „de jos în sus”, din punctul de vedere al

subdiviziunilor sau proceselor tehnologice. Atenţia de bază se acordă cauzelor apariţiei riscurilor, care pot

conduce la urmări negative.

Metodele de gestiune a riscului operaţional pot fi clasificate în felul următor:

I. Controlul de audit permite determinarea necorespunderii practicii existente cerinţelor organelor

de reglementare şi supraveghere, precum şi a legislaţiei. În afară de aceasta, sunt determinate locurile cele

mai slabe din punctul de vedere al controlului prin compararea proceselor tehnologice cu „cea mai bună

practică”.

Estimarea şi analiza internă sunt efectuate de către toate subdiviziunile cu scopul determinării în

mod de sinestătător a riscurilor operaţionale posibile. Astfel de analiză parţial este subiectivă, însă este

bazată pe interesarea internă subdiviziunilor şi a unor lucrători în executarea corectă a obligaţiilor lor. În

ultimă instanţă activitatea de bază este desfăşurată anume la nivelul acestor subdiviziuni şi calitatea ei

depinde de măsura în care cât de corect personalul înţelege activitatea sa şi eficienţa desfăşurării ei.

II. Indicatorii activităţii sunt prezentaţi prin grupurile de bază de indicatori, prin intermediul cărora

se pot face concluzii cu privire la activitatea instituţiei şi riscurile operaţionale existente.

Indicatorii activităţii curente (key performance indicators) reflectă aspectele cele mai importante

ale activităţii instituţiei în baza cărora se poate aprecia starea ei curentă. Destinaţia de bază a acestor

indicatori constă în aceea că ei permit efectuarea controlului asupra eficienţei operaţiunilor desfăşurate.

Astfel de indicatori pot fi: cantitatea operaţiunilor incorecte, reclamaţiile clienţilor, fluctuaţia cadrelor,

timpul total al nefuncţionării sistemelor informaţionale etc.

Indicatorii eficienţei controlului (key control indicators) arată numărul de erori, care au fost evitate

datorită sistemului de control intern. Astfel de indicatori pot fi, de exemplu, numărul operaţiunilor

corectate, numărul tranzacţiilor neconfirmate, divergenţele în confruntarea datelor, depistarea cazurilor

accesului neautorizat la date ş.a.

4

Indicatorii riscului (key risk indicators) sunt indicatori de anticipare şi sunt determinaţi prin calcule

şi pe cale analitică prin compararea indicatorilor activităţii curente şi cei ai eficienţei controlului. De

exemplu, comparând informaţia cu privire la creşterea volumul operaţiunilor, fluctuaţiei cadrelor şi

numărul de erori la introducerea datelor, poate fi determinat nivelul riscului operaţional pentru instituţia

financiară. Astfel pot fi create modele cantitative pentru analiză şi prognozare a situaţiilor în domeniul

riscurilor operaţionale.

Toţi indicatorii menţionaţi adesea sunt utilizaţi în scopul controlului asupra activităţii operaţionale.

Aceasta se bazează pe admiterea, că în cazul apariţiei unor semnale negative din partea acestor indicatori

creşte probabilitatea evenimentelor legate de riscul operaţional. În mod corespunzător, managerul riscurilor

poate evita un astfel de pericol, întărind controlul asupra situaţiei.

III. Analiza volatilităţii veniturilor. Volatilitatea veniturilor instituţiei financiare depinde de nivelul

riscului, în care sunt incluse toate tipurile de riscuri financiare, inclusiv şi cel operaţional. Prin urmare, dacă

din toată volatilitatea venitului de exclus factorii riscurilor de piaţă şi de credit, atunci volatilitatea

„reziduală” trebuie să se explice prin manifestarea factorilor riscului operaţional. Această metodă constă în

aceea, că pe parcursul unui interval de timp se determină venitul companiei şi se calculează mărimea

devierii standard a abaterilor. În cadrul calcului trebuie de exclus influenţa factorilor riscurilor de piaţă şi

de credit. Aceasta se poate face cu ajutorul metodelor statistice, însă trebuie de luat în consideraţie

influenţa factorilor business-riscului, care de asemenea influenţează variabilitatea veniturilor din perioada

observată.

Este foarte complicat de a delimita factorii menţionaţi ai riscului şi, în afară de aceasta, în baza

rezultatelor obţinute practic este imposibil de a evita abaterile negative ale riscului, deoarece această

metodă nu permite determinarea cauzelor lor. În practică un astfel de model poate fi util numai pentru

plasarea capitalului în cazul unor pierderi posibile în rezultatul realizării diferitori factori ai riscului.

IV. Modelele cauzelor şi efectelor permit de a explica provenienţa şi de a estima pierderile din

desfăşurarea proceselor tehnologice cu ajutorul metodelor teoriei probabilităţilor. Baza acestei metode

constă în faptul, că cauzele şi efectele sunt legate prin probabilităţi convenţionale. Calcului pierderilor se

efectuează în baza formulei lui Bayes.

V. Distribuirea probabilităţilor pierderilor reprezintă o altă tratare matematică faţă de analiza

pierderilor în rezultatul realizării riscurilor operaţionale. Se presupune, că probabilitatea riscurilor

operaţionale şi mărimea pierderilor operaţionale sunt date apriori şi estimarea lor cantitativă constituie a

problemă separată. Pe parcursul unei perioade de timp sunt efectuate anumite observaţii pentru a determina

câte cazuri de realizare a riscurilor operaţionale au avut loc şi la care consecinţe au condus ele.

Pierderea aşteptată reprezintă mărimea prejudiciilor operaţionale, care pot avea loc în cadrul

funcţionării normale a business-ului. De obicei, acestea sunt evenimentele, care nu o mare însemnătate.

Pierderile neprevăzute sau VaR operaţional (operational VaR) reprezintă diferenţa dintre pierderea

maximă la un nivel dat al probabilităţii şi pierderea aşteptată. De obicei, în acest context este vorba de

5

probleme, ce nu întâlnesc des, care pot conduce la pierderi serioase. Astfel de pierderi, de obicei, este

foarte greu de prognozat pentru a determina corect suma capitalului de rezervă necesar. Pierderile pot fi

compensate din contul asigurărilor, însă de evitat astfel de cazuri este posibil numai datorită unui sistem

eficient de control intern, organizării corecte a proceselor tehnologice şi sistemelor informaţionale sigure.

Pierderile catastrofale reflectă pierderile în cazurile în care au loc evenimente catastrofale. Astfel de

evenimente au loc foarte rar, însă consecinţele lor foarte distructive pentru instituţiile financiare. (Drept

exemplu, poate fi prezentat falimentul băncii Barings).

8.3. Sistemul de control intern – factor de contribuţie la gestiunea riscului operaţional în bănci

Controlul intern reprezintă un proces continuu la care participă consiliul de administraţie,

conducătorii, precum şi personalul băncilor.

Trebuie de subliniat faptul, că nu este vorba doar despre o procedură sau o politică aplicată la un

moment dat, ci de un cumul de acţiuni desfăşurate continuu la toate nivelurile băncii.

Interesul acordat controlului intern şi caracterului său continuu este consecinţa analizei cauzelor

care au determinat înregistrarea de pierderi semnificative de către unele bănci; această analiză a identificat

lipsa unor sisteme de control intern adecvate ca fiind un determinant major al pierderilor. Concluzia trasă

din aceste experienţe a fost că un sistem de control intern eficient ar fi putut preveni sau ar fi putut detecta

din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de

control intern eficient reprezintă o componentă critică a gestionării unei bănci, care poate sprijini realizarea

obiectivelor băncii şi atingerea ţintelor sale de profitabilitate.

Obiectivele controlului intern bancar

Definiţia dată mai sus cuprinde trăsătura pregnantă a controlului intern, participanţii la acest

proces, dar nu este completă; lipseşte partea referitoare la conţinutul acestei activităţi, care se regăseşte

descris prin obiectivele controlului intern. Principalele obiective ale procesului de control intern pot fi

categorisite astfel:

1. eficienţa şi eficacitatea activităţilor (obiective de performanţă);

2. relevanţa, credibilitatea , caracterul complet şi oportun al informaţiilor financiare şi de gestiune

(obiective privind informaţia);

3. conformitatea cu legile şi reglementările aplicabile (obiective de conformitate).

Obiectivele de performanţă ale controlului intern se referă la eficienţa şi eficacitatea cu care banca

îşi utilizează activele şi alte resurse şi la protecţia băncii împotriva pierderilor. Prin proiectarea normelor de

control intern trebuie să se asigure, că întregul personal al băncii se preocupă de atingerea obiectivelor

acesteia cu eficienţă şi integritate, fără costuri excesive şi fără a plasa alte interese înaintea celor ale băncii.

Obiectivele privind informaţiile sunt legate de pregătirea în mod operativ a unor rapoarte relevante

şi de încredere, care să stea la baza procesului de luare a deciziilor în bancă. Totodată, se referă la

6

informaţiile financiare, la situaţiile financiare anuale şi altele de acest gen, destinate consiliului de

administraţie, acţionarilor, organismelor de supraveghere, a căror calitate şi integritate este absolut

necesară pentru luarea deciziilor.

Obiectivele de conformitate trebuie atinse pentru a proteja reputaţia şi autorizaţia de funcţionare,

prin respectarea legilor, cerinţelor autorităţii de supraveghere, normelor şi politicilor interne.

Elementele principale ale sistemului de control intern bancar

Procesul de control intern, iniţial conceput ca un mecanism de reducere a riscurilor de fraudă, furt şi

eroare, a căpătat în timp multe alte valenţe, adresându-se unei varietăţi mai mari de riscuri cu care se

confruntă banca şi de acoperirea cărora depinde realizarea obiectivelor băncii.

Controlul intern cuprinde cinci elemente aflate în strânsă corelare:

1. supravegherea exercitată de către consiliul de administraţie şi conducerea băncii;

2. identificarea şi evaluarea riscurilor;

3. activităţile de control şi separarea atribuţiilor;

4. informarea şi comunicarea;

5. activităţile de monitorizare şi de corectare a deficienţelor.

Problemele identificate în analiza pierderilor suferite de bănci se circumscriu acestor cinci

elemente, a căror funcţionare este esenţială pentru atingerea celor trei obiective ale controlului intern.

Rolul şi responsabilităţile consiliului de administraţie şi ale conducătorilor băncilor

Consiliul de administraţie ar trebui să aibă responsabilitatea aprobării şi revizuirii periodice a

strategiilor de ansamblu şi a politicilor semnificative ale băncii; înţelegerii riscurilor majore cu care banca

are de-a face, stabilirii nivelurilor acceptabile ale acestor riscuri şi asigurării că sunt luate măsurile necesare

de către conducerea băncii pentru a identifica, măsura, monitoriza şi controla aceste riscuri; aprobării

structurii organizatorice; şi asigurării asupra faptului că eficacitatea sistemului de control intern este

monitorizată de conducerea băncii. Consiliul de administraţie este responsabil, în ultimă instanţă, pentru

stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.

Consiliul de administraţie îndrumă şi supraveghează conducerea băncilor, iar pentru a îndeplini

aceste atribuţii membrii acestuia trebuie să fie obiectivi, capabili, cu o pregătire profesională adecvată, să

aibă o bună cunoaştere a activităţilor băncii şi a riscurilor cu care se confruntă aceasta.

În acest sens, legislaţia unor ţări impune condiţii cu privire la experienţa profesională necesară

pentru a putea fi membru al consiliului de administraţie al unei bănci. De exemplu, experienţă de minimum

3 ani în domeniul financiar – bancar sau într-un domeniu care poate fi considerat relevant pentru activitatea

băncii.

Totodată, pentru a permite menţinerea obiectivităţii, în unele ţări consiliul are membri care nu sunt

implicaţi în conducerea activităţilor de zi cu zi ale băncii.

De exemplu, în România, aceeaşi legislaţia are o nuanţă mai categorică, mai restrictivă în această

privinţă, şi anume: “În cazul în care conducătorii băncii fac parte din consiliul de administraţie, numărul

7

membrilor acestuia trebuie să fie stabilit astfel încât administratorii care nu au şi calitatea de conducător să

constituie majoritatea.”

Mijloacele prin care consiliul de administraţie îşi poate exercita atribuţiile, identificate de Norma

B.N.R. nr. 17/2003, Art. 5. (3 ) sunt:

- discuţii periodice (de regulă trimestrial) cu conducerea operativă privind eficienţa sistemului de

control intern;

- analiza periodică (de regulă trimestrial) a evaluărilor sistemului de control intern efectuate de

conducerea operativă, de auditul intern şi, după caz, de auditorul financiar extern şi de autoritatea de

supraveghere;

- asigurarea implementării de către conducerea operativă a recomandărilor formulate de auditul

intern, de auditorul financiar şi de Banca Naţională a României cu privire la deficienţele sistemului de

control intern şi examinarea efectului măsurilor implementate.

La acestea, Comitetul de la Basel adaugă şi revizuirea periodică a strategiei băncii şi a limitelor de

risc, care apare şi ca atribuţie a consiliului de administraţie. În unele ţări consiliul de administraţie se

bazează pe ajutorul dat de comitetul de audit, constituit din membri ai acestuia. Comitetul examinează în

detaliu informaţiile şi rapoartele primite, supraveghează procesul de raportare financiară şi sistemul de

control intern, este în contact direct cu departamentul de audit intern şi cu auditorul financiar, dar dreptul

de decizie aparţine consiliului de administraţie.

Conducătorii băncilor ar trebui să aibă responsabilitatea implementării strategiilor şi politicilor

aprobate de consiliul de administraţie; responsabilitatea identificării, monitorizării şi controlului riscurilor

din activitatea băncii; responsabilitatea menţinerii unei structuri organizatorice care desemnează clar

relaţiile de autoritate, responsabilitate şi de raportare; responsabilitatea de a se asigura că responsabilităţile

delegate sunt realizate; responsabilitatea stabilirii de politici adecvate de control intern; şi responsabilitatea

monitorizării eficienţei şi adecvării sistemului de control intern.

Opinia autorităţii de reglementare în domeniul bancar din România, exprimată prin Norma nr.

17/2003, diferă de cea de mai sus în unele locuri, fie prin nuanţări, fie prin generalizări, fie prin înglobarea

unor atribuţii conexe celor statuate de Comitetul de la Basel. Astfel, în domeniul riscurilor semnificative,

Banca Naţională a României precizează că atribuţiile conducătorilor se referă atât la coordonarea

procesului de elaborare a procedurilor, cât şi la luarea măsurilor necesare pentru identificarea, evaluarea,

monitorizarea şi controlul riscurilor. În ceea ce priveşte atribuţiile delegate conducerii operative, Banca

Naţională a României menţionează că acestea se referă doar la stabilirea politicilor şi procedurilor de

control intern, în timp ce în domeniul structurii organizatorice atribuţia conducătorilor este foarte “largă” –

de a menţine o structură organizatorică adecvată. Mai mult, norma Băncii Naţionale a României identifică

atribuţiile conducătorilor în domeniul personalului: să se asigure că activităţile băncii sunt derulate de

personal calificat, având experienţă şi cunoştinţe necesare şi să asigure instruirea corespunzătoare a

personalului. În comentariile ce însoţesc enunţarea acestui principiu, Comitetul de la Basel face referire

8

însă şi la retribuirea corespunzătoare a personalului cu funcţie de control şi la obligaţia conducătorilor de a

institui politici privind recompensarea şi promovarea personalului, care să răsplătească comportamentul

adecvat al acestuia şi să minimizeze cazurile de ignorare sau nerespectare a mecanismelor de control intern.

Consiliul de administraţie şi conducătorii băncii sunt responsabili pentru promovarea unor înalte

standarde de etică şi integritate şi pentru crearea unei culturi organizaţionale care să sublinieze şi să

demonstreze întregului personal importanţa controlului intern. Întregul personal al unei organizaţii bancare

trebuie să înţeleagă rolul său în cadrul procesului de control intern şi să fie angajat deplin în acest proces.

Contribuţia consiliului de administraţie şi a conducătorilor băncii la crearea unei puternice culturi a

controlului constă şi în propriul exemplu, în etica dovedită în afaceri, atât în interiorul instituţiei, cât şi în

afara acesteia; cuvintele, atitudinea şi acţiunile acestora afectează integritatea, etica şi alte aspecte ale

culturii controlului în bancă. Personalul trebuie să conştientizeze că, în măsuri diferite, controlul intern

reprezintă responsabilitatea fiecărui angajat al băncii; aproape toţi angajaţii produc informaţii utilizate de

sistemul de control intern sau acţionează pentru efectuarea controlului.

Un element esenţial al unui sistem de control intern puternic este acela ca întreg personalul să îşi

îndeplinească responsabilităţile şi să comunice conducerii, pe diferite niveluri, problemele operaţionale

apărute, cazurile de încălcare a codului de conduită, a politicilor şi a reglementărilor. De asemenea,

conducerea băncii trebuie să evite implementarea unor politici care să aibă efecte nedorite din punct de

vedere al controlului. Astfel, politicile care pun un accent prea mare pe ţinte de performanţă sau pe alte

rezultate operaţionale pe termen scurt pot determina neglijarea aspectelor care ţin de riscurile pe termen

lung; nesepararea clară a responsabilităţilor sau a atribuţiilor de control pot duce la utilizarea neeficientă a

resurselor sau la tăinuirea performanţelor slabe. În cazul în care schemele de promovare şi premiere a

personalului se bazează numai pe criterii legate de profitabilitate, dar nu şi pe cele care ţin de control şi de

rezolvarea problemelor identificate de auditul intern, mesajul transmis de conducere este unul negativ la

adresa importanţei controlului intern. În concluzie, se poate afirma că existenţa unei puternice culturi a

controlului nu garantează realizarea obiectivelor strategice ale unei bănci, dar lipsa acesteia creează condiţii

prielnice pentru erori şi pierderi, care pun în pericol atingerea ţintelor băncii.

Identificarea şi evaluarea riscurilor

Din punctul de vedere al controlului intern, în identificarea şi evaluarea riscurilor trebuie să fie

analizaţi atât factorii interni (complexitatea structurii organizatorice, natura activităţilor băncii, modificări

organizatorice, calitatea personalului şi fluctuaţia acestuia etc), cât şi factorii externi (fluctuaţii în mediul

economic, modificări în mediul concurenţial bancar, înnoirea tehnologică etc) care pot avea un impact

negativ asupra atingerii ţintelor de performanţă şi asupra atingerii obiectivelor controlului intern. Acest

demers se deosebeşte de procesul de gestionare a riscurilor, axat de obicei, pe strategii pentru găsirea căii

de mijloc între profit şi risc în diferite domenii ale băncii, şi are ca obiectiv asigurarea concordanţei

controlului intern al băncii cu natura, complexitatea şi riscurile activităţii desfăşurate de aceasta.

9

Identificarea şi evaluarea riscurilor trebuie să acopere toate riscurile cu care banca se confruntă atât

la nivel de ansamblu al băncii, cât şi la toate nivelurile organizatorice ale acesteia. Procesul trebuie să aibă

un caracter continuu, adică să aibă în vedere atât riscurile ataşate activităţilor prezente, cât şi pe cele aduse

de apariţia unor noi activităţi sau cele nou apărute/determinate în legătură cu operaţiunile deja derulate, iar

procedurile de control trebuie modificate astfel încât să se adapteze la riscurile nou apărute. De exemplu, în

cazul apariţiei unui nou produs, banca trebuie să analizeze noul instrument financiar şi tranzacţiile de piaţă

asociate şi să evalueze riscurile implicate. Determinarea întregii diversităţi de probleme ce însoţeşte

adoptarea unui nou produs (adesea făcută prin metoda scenariilor) trebuie să-şi găsească contraponderea în

măsuri adecvate de control. Procesul de evaluare a riscurilor se adresează atât aspectelor cuantificabile, cât

şi aspectelor necuantificabile ale riscurilor şi trebuie să pună în balanţă costul implicat de controlul

riscurilor şi beneficiile pe care acesta le poate aduce. Totodată, acest proces include şi determinarea

caracterului controlabil sau necontrolabil al riscurilor; în ceea ce priveşte riscurile controlabile, banca

trebuie să stabilească dacă acceptă acele riscuri sau modul în care le contracarează prin măsuri de control;

în cazul riscurilor care nu pot fi controlate, banca trebuie să decidă dacă le acceptă, dacă le elimină sau

dacă reduce nivelul activităţilor afectate de riscurile respective.

În România Norma B.N.R. nr. 17/2003 impune ca evaluarea riscurilor să se realizeze de către

specialişti din cadrul băncii care nu au responsabilităţi în realizarea performanţei comerciale şi financiare,

pentru a nu permite apariţia unei situaţii de conflict de interese, dar aceasta presupune ca specialiştii care

fac evaluarea să aibă experienţă relevantă în derularea activităţilor ce fac obiectul evaluării riscurilor. În

practică s-a observat că managementul băncilor înclină, de multe ori, în favoarea unor operaţiuni cu

randament ridicat, fără a evalua corect riscurile asociate acestor tranzacţii şi nu alocă suficiente resurse

pentru a monitoriza şi evalua expunerile la risc. Totodată, s-a constatat că multe dintre pierderile

înregistrate s-au datorat neactualizării procesului de evaluare a riscurilor odată cu schimbarea mediului de

afaceri.

Activităţile de control şi separarea atribuţiilor

Activităţile de control intern trebuie astfel concepute şi derulate încât să asigure acoperirea

riscurilor identificate şi evaluate, ca parte integrantă a activităţilor zilnice. Activităţile de control trebuie

definite pentru fiecare nivel organizatoric al băncilor şi implică două etape: stabilirea politicilor şi

procedurilor de control şi verificarea respectării politicilor şi procedurilor de control.

Activităţile de control implică personalul de la toate nivelurile, începând cu consiliul de

administraţie şi terminând cu personalul de execuţie:

- consiliul de administraţie şi conducătorii băncii solicită adesea prezentări şi rapoarte despre

performanţă pentru a analiza progresul făcut de către instituţie către realizarea obiectivelor sale.

De exemplu, pot fi cerute rapoarte referitoare la realizarea bugetului de venituri şi cheltuieli, iar

analizarea acestora, împreună cu conducerea departamentelor poate duce la detectarea unor

deficienţe de control, a unor erori în raportările financiare sau a unor activităţi frauduloase;

10

- la nivelul compartimentelor sau sediilor secundare ale băncii se pot face analize operative

zilnice, săptămânale sau lunare;

- controale faptice, care se referă la restricţionarea accesului la active precum titluri sau numerar,

restricţionarea accesului la conturile clienţilor etc.;

- analiza încadrării în limitele impuse expunerilor la risc şi urmărirea modului în care sunt

soluţionate situaţiile de neconformitate. Stabilirea unor limite prudente expunerilor la risc

reprezintă un aspect important al gestionării riscului; încadrarea în anumite limite pe debitori

sau pe alte contrapartide reduce concentrarea de risc a băncii şi contribuie la diversificarea

profilului de risc al acesteia. Prin urmare, un aspect important al activităţii de control este

urmărirea încadrării în aceste limite.

- aprobări şi autorizări – solicitarea aprobării sau autorizării unor tranzacţii ce depăşesc anumite

limite de sumă are rolul de a asigura controlul asupra realizării operaţiunilor respective de către

nivelul de conducere competent şi de a stabili responsabilităţile;

- verificări şi reconcilieri – constau în verificări ale detaliilor tranzacţiilor între diferite structuri

organizatorice (de exemplu, între cei care iniţiază tranzacţiile – front office şi cei care

înregistrează şi monitorizează tranzacţiile – back office) sau în compararea cash flow-urilor cu

extrasele de cont, în vederea asigurării concordanţei şi efectuarea corecţiilor necesare.

Rezultatele acestor verificări şi reconcilieri trebuie raportate nivelului de conducere competent.

Activităţile de control sunt mai eficiente dacă sunt privite ca parte integrantă a activităţilor zilnice

şi nu ca o acţiuni adiţionale, de o importanţă mai mică. Desfăşurate în această manieră, activităţile de

control dau posibilitatea găsirii unor soluţii rapide la modificarea condiţiilor de lucru şi duc la evitarea

costurilor suplimentare.

Consiliul de administraţie are nu numai sarcina de a stabili politici şi proceduri de control, ci şi de a

urmări respectarea acestora la toate nivelurile şi de a urmări gradul de adecvare a acestora la modificările

din activitatea băncii, iar pentru realizarea acestor deziderate are la îndemână un instrument special –

auditul intern.

Un sistem de control intern eficient cere să existe o separare corespunzătoare a atribuţiilor şi ca

personalului să nu-i fie alocate responsabilităţi care să ducă la conflicte de interese. Ariile cu potenţiale

conflicte de interese trebuie identificate, minimizate şi monitorizate atent de către personal independent.

Din analiza pierderilor determinate de lipsa controlului, autorităţile de supraveghere au concluzionat

că una dintre cauzele majore o reprezintă lipsa unei separări adecvate a atribuţiilor. Astfel, alocarea unor

atribuţii aflate în relaţie conflictuală unei singure persoane (de exemplu, responsabilităţi atât în front office,

cât şi în back office în zona de tranzacţionare) dă acelei persoane acces la active de valoare şi la

posibilitatea de a manipula informaţiile financiare în folos personal sau de a ascunde pierderile. Prin

urmare, unele atribuţii ar trebui să fie împărţite, pe cât posibil, între mai multe persoane, pentru a se reduce

riscul manipulării de date financiare sau al însuşirii ilicite a unor active. Separarea atribuţiilor nu se

11

limitează numai la controlul exercitat de o singură persoană atât în front office, cât şi în back office, ci este

o cerinţă valabilă şi pentru alte domenii, cum ar fi:

- aprobarea utilizării fondurilor şi tragerea efectivă a acestora;

- acces la conturi ale clienţilor şi la conturile băncii;

- analiza documentaţiilor de credit şi monitorizarea creditului după acordarea acestuia.

Prin urmare, este necesară nu numai identificarea şi monitorizarea zonelor cu conflict de interese

potenţial, dar şi revizuirea periodică a responsabilităţilor şi funcţiilor persoanelor – cheie din bancă, pentru

ca aceştia să nu se afle în poziţia de a “acoperi” deficienţele. 2.4. Informare şi comunicare Informarea

adecvată şi comunicarea efectivă sunt esenţiale pentru funcţionarea corespunzătoare a sistemului de control

intern. Din perspectiva unei bănci, pentru ca informaţiile să fie utile, acestea trebuie să fie relevante, de

încredere, accesibile, să fie furnizate la timp şi într-un format constant în timp.

Informaţiile se referă atât la cele interne, financiare, operaţionale şi de conformitate, dar şi la cele

externe, referitoare la evenimente şi împrejurări relevante pentru luarea deciziilor în cadrul băncii. Procesul

de luare a deciziilor de către conducere poate fi afectat de lipsa de încredere în informaţiile sau de

informaţiile eronate furnizate de un sistem informaţional care nu este bine proiectat şi controlat. O

componentă critică a activităţilor unei bănci o constituie stabilirea şi menţinerea unui sistem de gestiune a

informaţiilor (obţinute atât electronic, cât şi prin mijloace ne-electronice) care să acopere toate domeniile

băncii. Acest sistem trebuie să conţină şi proceduri privind securitatea informaţiilor, respectiv mijloace de

prevenire a dezvăluirii informaţiilor secrete sau confidenţiale sau de prevenire a folosirii informaţiilor de

către personalul instituţiei pentru obţinerea unor beneficii personale, care ar putea prejudicia banca atât din

punct de vedere material, cât şi reputaţional. Sistemele informatice din cadrul sistemului informaţional

trebuie să răspundă aceloraşi cerinţe de securitate a informaţiei, atât în sensul menţionat mai înainte, cât şi

în sensul asigurării unor informaţii relevante, de încredere şi al asigurării funcţionării fără întreruperi.

Având în vedere riscurile implicate de obţinerea, manipularea şi păstrarea informaţiilor obţinute prin

sistemul informatic, băncile trebuie să acorde atenţie cerinţelor organizatorice şi de control intern legate de

procesarea informaţiei în formă electronică, precum şi celor referitoare la păstrarea probelor de audit

intern. O primă cerinţă în acest sens se referă la monitorizarea sistemelor informatice de către o structură

organizatorică separată de cea care le utilizează, ca o aplicare a principiului separării atribuţiilor pentru

evitarea apariţiei unor situaţii de conflict de interese. În ceea ce priveşte controlul, acesta trebuie să aibă în

vedere atât sistemul informatic ca întreg, cât şi fiecare aplicaţie informatică din componenţa acestuia.

Acţiunile de control general se efectuează asupra infrastructurii hardware şi de comunicaţii a sistemelor

informatice (sisteme mainframe, sisteme client/server, routere, echipamente de reţea, staţii de lucru ale

utilizatorilor finali), precum şi asupra sistemelor de operare, având ca scop verificarea funcţionării continue

şi corespunzătoare a acestora. Controalele generale includ şi verificarea existenţei şi aplicării unei strategii

de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a

achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi

12

întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului

informatic. Controalele efectuate la nivelul aplicaţiilor informatice se realizează atât prin cuprinderea unor

etape de validare şi control în cadrul aplicaţiei informatice, cât şi proceduri manuale de verificare a

modului de procesare a tranzacţiilor şi efectuarea operaţiunilor. În lipsa unor proceduri adecvate de control

asupra sistemelor informatice (inclusiv a celor în curs de implementare, de dezvoltare), băncile pot

înregistra pierderi de date sau de programe datorită unor proceduri necorespunzătoare privind securitatea

fizică şi electronică, datorită avarierii echipamentelor şi disfuncţiilor sau datorită unor proceduri de rezervă

sau de recuperare a datelor dezvoltate intern şi neadecvate. Pe lângă riscurile şi controalele ataşate la care

s-a făcut referire mai sus, există şi riscuri datorate unor factori externi, în afara posibilităţilor de control al

băncilor (riscul de producere a unor calamităţi naturale, de exemplu). Pentru asigurarea împotriva acestor

riscuri, băncile trebuie să elaboreze planuri alternative (de rezervă) care să le asigure continuitatea

funcţionării. Deşi bazate pe replicarea sistemelor critice fie prin existenţa unor sisteme de rezervă într-o

altă locaţie a băncii, fie prin intermediul unui furnizor extern de servicii (deci, pe asigurarea continuităţii

funcţionării sistemelor informatice), aceste planuri de urgenţă trebuie să implice toate elementele care ţin

de buna desfăşurare a operaţiunilor. Totodată, pentru asigurarea funcţionării şi disponibilităţii acestor

sisteme de rezervă este necesară testarea lor periodică. Un alt aspect deosebit de important legat de

informaţie îl reprezintă comunicarea, cea care dă valoare informaţiei. Conducerea băncii trebuie să

stabilească unele căi de comunicare pentru ca informaţiile să ajungă în timp util la oamenii care au nevoie

de acestea. Aceste informaţii se referă atât la politici şi proceduri ale băncii, cât şi la cele legate de

performanţa băncii. Personalul trebuie să cunoască procedurile şi politicile băncii, în general, şi pe cele

care au implicaţii asupra atribuţiilor şi responsabilităţilor sale, în special. Totodată, personalul trebuie să

aibă în permanenţă imaginea progresului făcut pe calea atingerii obiectivelor instituţiei pentru a

conştientiza efectele activităţii sale. Structura organizatorică a băncii trebuie să faciliteze diseminarea

informaţiilor de sus în jos, de jos în sus şi pe orizontală. Prin aceste fluxuri de informaţii, consiliul de

administraţie cunoaşte riscurile incumbate de activităţile derulate de bancă şi performanţa instituţiei, iar

conducerea operativă şi personalul operativ iau cunoştinţă de strategia, politicile şi procedurile băncii.

Totodată, comunicarea pe orizontală între diferite structuri organizatorice dă posibilitatea ca informaţia

intrată pe o poartă de acces să poată fi cunoscută şi de alte departamente afectate de informaţia primită.

Activităţile de monitorizare şi de corectare a deficienţelor

Având în vedere faptul că industria bancară este dinamică, băncile trebuie să monitorizeze şi să

evalueze continuu sistemul de control intern, ca urmare a modificării condiţiilor interne şi externe, şi

trebuie să întărească acest sistem pentru a-I menţine eficienţa.

Monitorizarea sistemului de control trebuie să fie făcută atât de personalul operativ, cât şi de cel din

cadrul controlului financiar şi din cadrul auditului intern. Pentru ca această funcţie să nu fie acoperită

numai la nivel teoretic, conducerea băncii trebuie să stabilească clar persoanele în sarcina cărora cad

atribuţiile de monitorizare.

13

Banca Naţională a României opinează că monitorizarea sistemului intern de control trebuie să fie

efectuată atât de personalul responsabil pentru fiecare compartiment şi sediu secundar al instituţiei de

credit, cât şi de auditul intern.

Monitorizarea sistemului de control intern are atât o componentă zilnică, cât şi una periodică, de

evaluare separată a procesului de control privit în ansamblu. Monitorizarea pe bază zilnică oferă avantajul

detectării şi corectării rapide a deficienţelor din sistemul de control intern, dar eficienţa sa depinde de

integrarea sistemului de control intern în mediul operaţional bancar şi de rapoartele de control generate.

Spre deosebire de aceasta, evaluarea periodică este menită să ofere o imagine a eficacităţii întregului sistem

de control intern şi a activităţii de monitorizare şi cade atât în sarcina personalului responsabil pentru

fiecare compartiment şi sediu secundar (autoevaluare), cât şi a auditului intern. În ceea ce priveşte

periodicitatea acestor evaluări, Banca Naţională a României se raliază părerii Comitetului de la Basel care

consideră că parametrii care determină frecvenţa monitorizării unei activităţi sunt riscurile implicate de

acea activitate şi natura şi frecvenţa schimbărilor din activitatea respectivă. Rezultatele monitorizării şi, în

special, deficienţele constatate trebuie să fie aduse imediat la cunoştinţa nivelului de conducere competent

să ia măsuri corective, iar cele majore trebuie raportate conducerii băncii şi consiliului de administraţie.

Norma B.N.R. nr. 17/2003 subliniază faptul că responsabilitatea de a stabili un sistem de detectare a

deficienţelor sistemului de control intern şi de a întreprinde măsuri pentru soluţionarea deficienţelor revine

conducătorilor băncilor, care, în realizarea acestei atribuţii, se bazează pe auditul intern.

Multe bănci au înregistrat pierderi datorită lipsei de monitorizare efectivă a sistemului de control

intern; adesea aceste sisteme nu au avut procese de monitorizare continuă, iar evaluările separate realizate

fie nu erau adecvate, fie nu erau urmărite adecvat de către conducere. În unele cazuri, absenţa monitorizării

a început cu lipsa de atenţie şi de reacţie la informaţiile zilnice primite de către conducere referitoare la

aspecte neuzuale ale activităţii (de exemplu, depăşiri ale limitelor de expunere, lipsa de situaţii financiare

ale debitorilor etc). Într-o bancă, pierderile din activitatea de tranzacţionare erau înregistrate într-un cont

fictiv de client; dacă banca ar fi avut o procedură prin care extrasul de cont să fi fost trimis lunar prin poştă

clientului, iar clientul să confirme soldul contului, aceste pierderi ar fi putut fi detectate înainte să producă

probleme majore băncii. În alte cazuri, activitatea sau divizia băncii care a cauzat pierderi masive avea

numeroase caracteristici ce indicau un nivel crescut al riscului, cum ar fi un nivel neobişnuit al profitului

sau creşterea rapidă a unei activităţi aflate la distanţă mare de centrală sau de compania-mamă. Datorită

unei lipse de evaluare a riscurilor, băncile respective nu au alocat suficiente resurse suplimentare pentru a

controla şi monitoriza activităţile cu risc ridicat. De fapt, în unele cazuri, activităţile cu risc ridicat erau

derulate cu mai puţină supraveghere decât cele cu profil de risc mai scăzut, iar conducerea nu a reacţionat

cum trebuia la observaţiile făcute de auditorii externi şi interni. Auditul intern nu a fost eficient în multe

cazuri, prin combinarea a trei factori: realizarea unor audituri treptate, lipsa unei depline înţelegeri a

activităţii băncii şi urmărirea neadecvată a unor probleme. Auditul fragmentat a rezultat din structurarea

programelor de audit intern ca serii de angajamente separate pe unele activităţi din cadrul aceluiaşi

14

departament sau din cadrul băncii. Deoarece procesul de audit era fragmentat, activitatea nu era bine

înţeleasă de către personalul departamentului de audit. Dacă acesta ar fi fost altfel organizat, permiţând

auditorilor să urmărească procese şi funcţii de la început la sfârşit (de exemplu, urmărirea unei tranzacţii de

la iniţiere până la raportare) le-ar fi permis să înţeleagă mai bine. În plus, ar fi dat oportunitatea de a

verifica şi testa adecvarea controlului în fiecare etapă a procesului. În alte cazuri, pregătirea

necorespunzătoare a personalului de la departamentul de audit intern în domeniul de marketing, sistem

informatic şi alte arii sofisticate a contribuit la problemele auditului intern. Deoarece personalul nu a avut

expertiza necesară, a ezitat în a pune întrebări în cazul unor suspiciuni, iar dacă a pus întrebări, a acceptat

orice răspuns primit, ca atare.

Auditul intern poate să se dovedească ineficient şi atunci când conducerea nu urmăreşte problemele

identificate de auditori, fie datorită lipsei de consideraţie acordată acestei activităţi, fie datorită faptului că

nu urmăreşte prin rapoarte periodice progresul făcut în rezolvarea problemelor sesizate.

8.4. Controlul riscului de fraudă

Frauda în sistemul bancar

În Dicţionarul explicativ al limbii române conceptul de fraudă se defineşte drept ,,înşelăciune, act

de rea credinţă săvârşit de cineva pentru a realiza un profit material de pe urma atingerii drepturilor altuia;

hoţie; sumă sustrasă prin înşelăciune.” Bogaţia semantică a accepţiunilor curente pentru termenul de fraudă

ajută în descrierea fenomenului, acoperind toată gama de acte comise.

O definiţie mai tehnică, dar utilă din punct de vedere al încadrării legale este cea uzitată de Biroul

federal de investigaţii din SUA (FBI): frauda este considerată a fi ,,însuşirea sau folosirea ilicită a

fondurilor sau bunurilor încredinţate în grija, în custodia sau controlului unei persoane”.

Privită astfel, frauda nu mai reprezintă un risc doar pentru bancă, ci şi pentru deponenţii săi care i-

au încredinţat spre fructificare capital.

Acest risc îmbracă adeseori forma concentrării excesive a unor interese personale: prieteni, rude,

foşti colegi de şcoală sau parteneri de afaceri, asigură conducerea băncii sau girează operaţiile acesteia.

Riscul se poate manifesta şi ca un caz particular al traficului de influenţă.

O altă formă a riscului de fraudă apare atunci când directorii băncii nu îşi exercită prerogativele

efective ale funcţiei lor, limitându-se să avizeze sau să semneze documentele transmise de subalterni sau

consilieri fără a exercita un control şi o verificare atentă şi fără a supraveghea operaţiunile băncii.

Neglijenţa conducerii şi superficialitatea în management pot conduce uneori la insolvabilitatea

instituţiei bancare pe care o conduc.

Frauda constituie una din cauzele majore ale falimentelor bancare după 1950 în întreaga lume. Larg

mediatizat în presa de specialitate a fost cazul băncii franceze Credit Lyonnais, bancă de stat, care a

15

înregistrat pierderi anuale semnificative de 3-8 miliarde FRF suportate de contribuabili, ca urmare a

inadecvării procedurilor interne de control, a clientelismului şi lipsei de profesionalism a conducerii băncii.

Percepţia riscului de fraudг la nivelul conducerii băncilor este diferită. Studiul firmei Ernst &

Young din 1996 arată că doar 42% dintre conducători înţeleg exact riscurile de fraudă şi comerciale, iar

73% dintre ei se consideră în siguranţă, protejaţi de un risc major. Preocuparea lor o reprezintă ,,loviturile

mari” pentru expunerea foarte ridicată la risc.

Statistica reflectă că acestea sunt însă în descreştere, obiectivul managerial trebuind actualizat, în

prezent pagubele cele mai mari fiind provocate de ,,loviturile mici”.

Conform statisticilor, frauda este comisă mai ales în zonele bancare expuse, ca sistemul informatic

(70%), casieria (20%) şi în alte domenii financiare ca achiziţiile de firme, informaţiile de serviciu (insider

trading), hedging.

Aprofundând analiza fenomenului de fraudă la nivel bancar, se vor prezenta cele mai frecvente

forme: frauda internă şi frauda computerizată.

Frauda internă este cauzată de personalul băncii, reprezentând cel mai adesea o soluţie la

problemele personale. Când angajaţii băncii au fie probleme financiare serioase (rambursarea iminentă a

unor datorii, lipsa acută de bani pentru satisfacerea unor vicii, instabilitatea venitului prin presiunea

pierderii locului de muncă), fie anumite probleme de familie (boală cronică gravă, deces sau divorţ), ei sunt

tentaţi să-şi însuşească prin furt o parte din avutul băncii unde lucrează.

Un procent de 25% din personal ar fura dacă ar avea ocazia, iar 50% ar fura dacă ar fi siguri că nu

vor fi prinşi. Rezultă deci că numai un sfert dintre salariaţi sunt cu adevarat cinstiţi. Studiul firmei de

expertiză contabilă ,,Big 8” din New York afirmă că 65-70% dintre fraudele unui eşantion de 2500 agenţii

bancare au fost operate de salariaţi.

Psihologic vorbind, majoritatea celor implicaţi nu se consideră vinovaţi, ci mai degrabă, îndreptăţiţi.

Motivaţiile cele mai frecvente se referă la faptul că sunt prost plătiţi, că postul ocupat nu este conform

pregătirii lor, că paguba este nesemnificativă în raport cu activele instituţiei păgubite, că furtul a fost o

sustragere temporară de fonduri cu titlu de împrumut. Tentaţia fraudei din eşantionul analizat este prezentă

indiferent de nivelul ierarhic, de sex sau de vechimea în muncă.

Chiar şi personalul de conducere poate încălca normele interne sau legale, la concurenţa a trei

circumstanţe motivaţionale:

• realizează că problemele lor financiare nu pot fi soluţionate pe căi normale;

• se bazează pe gradul ridicat de cunoaştere a procedurilor interne de lucru şi abuzează de

încrederea câştigată;

• îşi pot justifica comportamentul considerându-se utilizatorii legali ai unor fonduri sau active

încredinţate.

În studiile de specialitate dedicate fenomenului fraudei se găseşte şi observaţia interesantă că 70%

din fraudele comise în SUA au fost opera unor persoane care nu au intenţionat să fraudeze; ele au

16

descoperit o slăbiciune în normele interne, în procedurile, standardele sau sistemele de monitorizare şi

control ale băncii şi au speculat-o.

Dacă existenţa problemelor personale este o realitate recunoscută, considerată un factor agravant

sau destabilizator de comportament, atunci sistemele de supraveghere internă vor trebui să incorporeze şi

măsuri de protecţie faţă de acţiunea salariaţilor. Când doi salariaţi sunt complici, probabilitatea de a depista

frauda în faza incipientă este minimă.

De aceea rotaţia personalului, supravegherea atentă şi urmărirea sistemelor de control intern,

implementarea unor măsuri de securitate sporită pentru valori şi informaţii vor micşora riscul de fraudă al

instituţiei bancare.

Pentru a minimiza riscul, instituţia bancară poate promova programe speciale pentru angajaţi,

programe de asistenţă sau programe de consultanţă financiară. Deoarece un mediu administrativ şi

operaţional complet lipsit de risc este extrem de costisitor, atitudinea cea mai înţeleaptă este de a maximiza

loialitatea angajaţilor şi implicarea efectivă a acestora în protecţia activelor băncii.

Cea de-a doua formă gravă de fraudă bancară, frauda computerizată reprezintă de fapt un furt cu

ajutorul computerului. În cele mai multe dintre cazuri, este vorba de un transfer electronic de fonduri

incorect efectuat şi nu de o manipulare a sistemului de operare.

Frauda prin computer constituie o categorie relativ nouă, dar nu prin motive, ci prin mijloace. Cea

mai mare parte a delicvenţilor implicaţi în fraude prin computer sunt motivaţi de dorinţa de acoperire a

cheltuielilor excedentare, foarte puţini acţionând pentru a dovedi capacitatea de penetrare a sistemelor de

siguranţă.

Nici o bancă nu doreşte ca sistemul său de stocare şi prelucrare automată a datelor, foarte scump, la

care s-a muncit mult şi este considerat sigur, să fie pus sub semnul întrebării.

Din acest motiv majoritatea acestor fraude nu este raportată, manifestându-se reticenţă din teama de

a nu se crea impresia de fragilitate a sistemelor de control pentru operaţiunile efectuate, care ar putea

submina încrederea depunătorilor în soliditatea instituţiei.

Deasemeni, raportarea pierderilor prin acest tip de fraudă atrage invariabil publicitatea negativă ca

un magnet, este urmată de lungi investigaţii, care pot duce uneori la închiderea temporară a sistemelor de

gestiune a bazelor de date informatice, la suspendarea conducerii, toate foarte costisitoare pentru bancă,

atât ca imagine cât şi ca fonduri.

Se optează aşadar la nivel managerial superior pentru absorbirea pierderilor în spiritul păstrării

confidenţialităţii şi secretului bancar.

Dacă se ţine seama şi de faptul că doar între 2-5% din fraudele prin computer sunt descoperite,

rezultă că expunerea băncii la acest risc este foarte mare.

Există cazuri când frauda internă şi frauda prin computer se întrepătrund. Între 1987 şi 1990 21%

din şefii oficiilor de calcul ale băncilor americane au raportat fraude prin computer la locul de muncă.

Principalele cauze ale acestor fraude au fost:

17

• pregătirea profesională necorespunzătoare, lipsa unui cod intern de etică profesională (27%);

• utilizarea nesupravegheată a echipamentelor (26%);

• acţiuni deliberate pentru obţinerea unui câştig personal, ca rezultat al unei deficienţe

descoperite întâmplător în procedurile de control ale sistemului sau programelor de operare

(25%);

• acţiuni deliberate de răzbunare ca urmare a unor nedreptăţi reale sau imaginare (22%).

Computerul este un instrument vital în epoca informaţiei, dar şi o armă periculoasă dacă este folosit

necorespunzător, putând genera chiar faliment bancar.

Orice aspect al activităţii bancare poate genera pierderi, dar riscurile asociate sistemelor de PAD

(prelucrare automată a datelor) sunt întotdeauna mai greu de identificat, evaluat şi limitat.

Atitudinea faţă de frauda prin computer a personalului bancar de conducere sau operativ este de

cele mai multe ori extremă, implicând fie ignorarea completă a acesteia, fie exagerarea ei prin panicare.

Pentru a preveni şi limita consecinţele fraudei prin computer sunt necesari experţi interni şi externi

specializaţi atât în utilizarea calculatoarelor, cât şi în psihologie: personal din serviciile de securitate,

experţi contabili, analişti şi consultanţi în PAD.

Gestiunea riscului de fraudă prin computer trebuie să ţină cont că:

• îmbunătăţirile de ordin tehnologic amplifică performanţele sistemelor de calcul, prezentând în

acelaşi timp o ameninţare sporită pentru sistemele de securitate;

• luarea unor măsuri suplimentare rezonabile de protecţie de către conducerea băncii şi

constituirea unor rezerve suficiente acoperă pierderile medii din astfel de riscuri informatice;

• riscul de fraudă prin computer nu trebuie tratat independent de celelalte riscuri, ci trebuie inclus

în programul general de gestiune a riscurilor şi control al pierderilor;

• specialiştii în calculatoare nu trebuie să fie responsabili ai programelor de control al riscurilor;

salariaţii şi sistemele de calcul trebuie controlaţi deopotrivă; frauda nu se previne doar prin

multiplicarea filtrelor de control, ştiindu-se că elementele obligatorii pentru producerea fraudei

sunt oportunitatea, probabilitatea de a fi prins, conştientizarea de a fi prins, justificarea faptei;

• riscurile de violare a sistemului de securitate în reţelele de calculatoare întrunesc două

caracteristici importante: probabilitatea de apariţie şi pierderea potenţială.

Corupţia – fenomen şi factor al generării fraudelor bancare

În contextul scandalurilor legate de suspendarea sau falimentul unor bănci, se vorbeşte de corupţie

mai des decât de fraudă.

Adesea corupюia este factorul conjunctural agravant care generează acte de fraudă.

Corupţia reprezintă acel comportament care deviază obligaţiile normale ale exercitării unui rol

public sau care violează normele legale ce interzic exercitarea anumitor forme şi tipuri de influenţă (mita,

traficul şi abuzul de autoritate, şantajul, constrângerea).

18

Latura sociologică a corupţiei reprezintă dimensiunea cea mai acoperitoare din punctul de vedere al

analizei fenomenului de corupţie.

Se referă atât la cauzele şi condiţiile care generează acte şi manifestări coruptive, cât şi la factorii de

risc implicaţi.

Analiza psihologică a fenomenului de corupţie este esenţială pentru completarea analizei

sociologice. Se analizează motivaţiile, mobilurile şi finalităţile urmărite, labilitatea comportamentală a

celor implicaţi, reacţia publică, în contextul normelor morale ale societăţii.

Latura economică a corupţiei presupune tratarea fenomenului exclusiv prin evaluarea costurilor

economice ale actelor de corupţie şi a celor indirecte implicate: deteriorarea imaginii instituţiei bancare,

costurile de oportunitate prin alocarea defectuoasă a resurselor, degradarea normelor morale, lipsa de

încredere în instituţiile statului.

Corupţia economică din domeniul bancar se regăseşte în acţiunile ilicite comise de diverşi agenţi

economici sau de personae particulare, acţiuni concretizate sub forma unor delicte: gestiunea frauduloasă,

înşelăciunea şi abuzul de putere, frauda, escrocheria, falsurile în evidenţele bancare şi contabile.

Actele de corupţie profesional-bancară constituie acţiuni ilegale şi imorale comise de salariaţii

societăţilor bancare, privind îndeplinirea condiţionată sau preferenţială a atribuţiilor de serviciu: luare şi

dare de mită, trafic de influenţă, abuz de putere, abuz în serviciu.

8.5. Gestiunea riscurilor sistemelor informaţionale

Calitatea sistemului informaţional

Analiza activităţii economice este definită în literatura de specialitate ca fiind o metodă de cercetare

bazată pe descompunerea sau defalcarea unui fenomen economic în părţile sale componente, în elementele

sale simple.

Pentru cunoaşterea şi implicit, asigurarea condiţiilor de acţionare a decidenţilor este necesar un

sistem de informaţii care să reflecte complex stările de funcţionare a sistemului.

În continuare se va încerca clasificarea informaţiei bancare şi definirea cerinţelor privind calitatea

informaţiei şi a sistemului informaţional bancar.

• Din punct de vedere al sursei, distingem:

informaţia internă, generată în cadrul băncii şi care se referă la:

- Buget (Bilanţ, Contul de profit şi pierdere proiectate);

- Bilanţ contabil cu anexele întocmite conform reglementărilor legale naţionale şi

internaţionale în materie de contabilitate;

- Rapoarte statistice privind evoluţia principalilor indicatori bancari;

19

- Rapoarte operative privind activitatea curentă a băncii (Balanţa de verificare, Situaţia

activelor şi pasivelor, Expunerea băncii, Situaţia fondurilor proprii);

- Politici, manuale, proceduri;

- Tarife de comisioane şi niveluri de dobânzi active şi pasive.

informaţia externă, care se referă în principal la:

- evoluţia cursurilor de schimb şi a ratelor dobânzilor pe pieţe;

- evoluţia principalilor indicatori macro-economici (inflaţie, şomaj, produs intern brut, datorie

externă, balanţă de plăţi, fiscalitate);

- activitatea concurenţei locale;

- evoluţia segmentelor de piaţă pe care banca le finanţează şi de la care atrage fonduri;

- evoluţia activităţii bancare şi financiare la nivel naţional şi internaţional, în special a băncilor

cu relaţii de corespondent;

- evenimente politice majore;

- reglementări legale în domeniul economic şi bancar.

• Din punct de vedere funcţional, informaţia se poate grupa în:

informaţie ţintă, care se referă la obiectivele financiare şi de dezvoltare ale băncii, noile

produse şi servicii ce vor fi implementate;

informaţie efectivă, care cuprinde toate informaţiile interne şi externe care se referă la starea

de fapt a băncii;

informaţie normativă, care cuprinde toate reglementările interne, la nivel naţional şi

internaţional care vizează activitatea bancară;

informaţie estimativă, dată de Buget, evoluţia previzionată a principalilor indicatori

macroeconomici precum şi a elementelor specifice activităţii bancare (cursuri de schimb,

ratele dobânzilor).

Pentru a satisface cerinţele analizei economico-financiare şi, în consecinţă, pentru asigurarea unei

calităţi corespunzătoare a procesului decizional, informaţia bancară trebuie să întrunească anumite calităţi:

să fie utilă procesului de analiză şi decizie;

să fie exactă, în sensul că trebuie să fie rezultatul unor procese de prelucrare logice şi corecte

sau să provină direct din evidenţele băncii care, la rândul lor, trebuie să aibă un grad de

exactitate ridicat;

să fie comparabilă cu informaţii de acelaşi tip, în sensul că a fost obţinută în baza unor

algoritmi de calcul unitari, atât în ceea ce priveşte prelucrarea informaţiilor interne, cât şi a

celor provenite din afara băncii.

Nu poate fi făcută o analiză corectă a evoluţiei în timp a rezultatelor financiare ale unei bănci, dacă

în perioada analizată au intervenit modificări esenţiale de ordin metodologic sau ale indicatorilor

20

macroeconomici. În aceste cazuri, se aplică algoritmi de aducere la zi a cifrelor aferente perioadelor

trecute.

Nu pot fi comparate rezultate financiare întocmite conform standardelor de contabilitate naţionale

cu cele întocmite conform standardelor internaţionale de contabilitate (IAS).

să fie prezentată în timp util, condiţie esenţială pentru informaţiile care stau la baza unor decizii

operative.

Pentru satisfacerea acestei condiţii, băncile sunt preocupate de implementarea unor sisteme

informatice şi de telecomunicaţii moderne care să permită conectarea on line a tuturor unităţilor operative

şi care să asigure totodată condiţiile procesării în timp real a tuturor tranzacţiilor.

să aibă un cost acceptabil. În studiile de fezabilitate privind implementarea unor sisteme

informatice şi de telecomunicaţii moderne, băncile trebuie să ţină seama nu numai de

obiectivele stabilite, ci şi de costurile care nu sunt deloc neglijabile. Este necesar să fie găsit

pragul de rentabilitate a investiţiilor aferente sistemului informaţional în condiţiile unor fonduri

de investiţii limitate de mărimea capitalului social şi de obiectivele financiare ale băncii.

Managementul securităţii informaţiei

Activitatea băncilor depinde tot mai mult de sistemele informatice.

A devenit imposibilă separarea tehnologiei informaţiei de domeniul financiar al economiei.

Necesitatea utilizării computerului atât ca instrument personal, dar mai ales ca entitate interconectată în

reţele cu arhitecturi complexe este în creştere exponenţială.

Interpretarea acestui aspect, în conjuncţie cu recunoaşterea valorii informaţiei vehiculate, a dus la

formularea unor standarde pentru dezvoltarea şi implementarea de bune practici de securizare a

informaţiei.

Aceste standarde au fost dezvoltate în Marea Britanie iniţial, pentru ca din decembrie 2000 să

devină, datorită valabilităţii lor, standarde internaţionale (ISO/IEC DIS 17799).

Securizarea informaţiei protejează informaţia de o gamă largă de ameninţări cu scopul de a asigura

derularea unei afaceri, de a minimize pierderile şi de a creşte recuperarea investiţiilor. Indiferent de modul

cum este stocată sau transmisă (tipărită, înmagazinată electronic, transmisă prin radio, prin căi electronice,

în film sau prin conversaţie), informaţia trebuie protejată adecvat.

Securizarea informaţiei înseamnă, în accepţiunile ISO 17799, păstrarea confidenţialităţii, prin

accesul la informaţie numai al persoanei autorizate, asigurarea integrităţii informaţiei, şi implicit,

asigurarea disponibilităţii informaţiei.

Securitatea informaţiei se aplică printr-un set de politici, practici, proceduri, structuri

organizaţionale şi funcţiuni software.

Interconectarea dintre reţelele publice şi cele private a făcut ca sistemele informatice să fie mai

vulnerabile la ameninţări precum fraude prin computere, spionaj electronic, acte de vandalism, incedii.

21

Asigurarea securizării informaţiei este mai ieftină şi mai eficientă, dacă se ia în calcul din faza de

proiectare a sistemului informatic, cu identificarea şi evaluarea riscurilor.

Dependenţa de sistemele de informaţii a făcut ca instituţiile bancare să devină tot mai vulnerabile la

riscurile de pierdere, distrugere sau alterare, precum şi faţă de utilizarea sau divulgarea neautorizată a

informaţiilor sensibile, în mod accidental sau voluntar.

Tehnicile de evaluare a riscurilor se aplică asupra întregii organizaţii sau numai asupra unor

componente specifice de sistem, iar riscurile de securitate trebuie reevaluate periodic la toate nivelele, pe

baza raportării incidentelor de securitate.

Controalele din punct de vedere legislativ pentru securitatea informaţiei includ: dreptul la

proprietate intelectuală, protecţia datelor organizaţiei şi a informaţiilor personale. Mecanismele de control

sunt orientative, fiecare instituţie bancară alegând cele mai bune practici de protecţie a securităţii

informaţiei.

22