Capitolul III - Auditul Intern - Managementul Riscurilor in Sistemul Bancar

Embed Size (px)

DESCRIPTION

curs audit bancar

Citation preview

  • CAPITOLUL III

    AUDITUL INTERNSI MANAGEMENTUL RISCURILOR

  • AUDIT INTERN

    Definirea riscului de afaceri

  • AUDIT INTERNFactorii de risc

    Tipuri de expuneri

    Expunere financiara

    Expunere juridica

    Expunere IT

    Expunere de oportunitateExpunere de eficientaExpunere de resurse umane

    Expunere de mediu

  • AUDIT INTERN

    Factorii de risc:

    Calitatea sistemului de control internCompetenta managementuluiIntegritatea managementuluiMarimea companieiModificari recente in sistemul contabilComplexitatea operatiunilorLichiditatea activelorSchimbari recente ale personalului cheieStarea economica a companiei

  • AUDIT INTERN

    Factorii de risc (continuare):

    Crestere rapidaCalitatea sistemelor informatice existenteTimpul scurs de la ultima misiune de auditPresiunea asupra managementului pentru indeplinirea obiectivelorMasura in care activitatea companiei este reglementata legalNivelul moralului angajatilorPlanurile de audit ale auditorilor independentiExpunerea la factorii politiciDistantele dintre diferite puncte de lucru si sediul central al companiei

  • AUDIT INTERNCare sunt factorii de interes pentru actionarii si managementul companiei?

    Minimizarea surprizelor neplacute

    Rezolvarea incertitudinilor si variatiilor fata de asteptari

    Maximizarea oportunitatilor pentru succes si performante superioare

    Angajarea intregii organizatii in procesul de administrare a riscului

    Alinierea obiectivelor organizatiei cu modul de actiune

    Un proces de comunicare eficienta a riscurilor precum si raportare periodica asupra riscurilor si controalelor

    Un proces de identificare a oportunitatilor

  • AUDIT INTERNDefinirea riscului de afaceri

    Riscul privit din mai multe puncte de vedere

    Din punct de vedere operationalDin punctul de vedere al angajatilorExemple de riscuri:Reducerea numarului de clienti.Produsele bancare nu sunt acceptate de piata.Defectiuni ale sistemelor/tehnologiei.Nefunctionarea controalelor financiare.Neconformitate cu normele BNR.Exemple de riscuri:Siguranta si securitatea locului de munca.Clienti nemultumiti.Plecarea din companie a colegilor.Nu fac fata cerintelor.Compania este preluata de alta firma.Departamentul meu se externalizeaza.

  • AUDIT INTERNDefinirea riscului de afaceriRiscul privit din mai multe puncte de vedere

    Din punctul de vedere al Consiliului de AdministratieDin punct de vedere strategicPrincipalele riscuri:Strategia companiei este cea corecta?Structura companiei este buna?Avem angajati competenti?Procesele companiei sunt de cea mai buna calitate?Sistemele noastre informatice sunt cele mai eficiente?Politicile bancare sunt corecte?Cum comunicam toate aceste aspecte?Principalele riscuri:Considerand lantul nostru de valori, care este profilul nostru de risc?Care sunt limitele sau actiunile pe care ar trebui sa le aplicam pentru gestionarea riscurilor noastre?Cum cuantificam riscurile afacerii?Care este opinia celorlalte grupuri interesate de organizatia noastra?Care este imaginea bancii pe piata?

  • AUDIT INTERNDefinirea riscului de afaceriManagementul riscului. Cum este perceput riscul?Utilizarea- Beneficii crescute prin oportunitatilormanagementul bazat pevaloare- Imbunatatirea alocarii capitalului pe produse bancare

    Minimizarea - Protejarea reputatiei bancii incertitudinilor - Atingerea celor mai bune practiciaferente afacerii - Intelegerea si evaluarea riscurilor la care se expune banca

    Administrarea - Evitarea riscului specific bancarcrizelor & - Conformitate cu standardele de guvernanta conformitate corporatista si cu normele de activitati specifice - Situatiile de criza ale altor banci si ale sistemului - Situatiile de criza ale bancii

  • AUDIT INTERNDefinirea riscului de afaceri

    Risculgradul in care evenimente viitoare necunoscute pot avea un impact asupra abilitatii organizatiei de a-si atinge obiectivele

    Principalele arii ce pot afecta valoarea actiunilor companiei. Riscurile presupun:

    Hazard riscul ca ceva rau sa se intample;

    Incertitudine riscul ca rezultatele obtinute sa nu corespunda cerintelor anticipate si de cele mai multe ori necesare;

    Oportunitate permite exploatarea oportunitatilor identificate pe piata care sa livreze un avantaj competitiv efectiv bancii.

  • AUDIT INTERNClasificarea riscurilor exemplu

    Riscuri extreme:Sistemul IT cade si nu se mai pot recupera datele;O frauda interna de mari dimensiuni produce mari pagube firmei.

    Riscuri mari:Noile produse bancare nu sunt acceptate de piata;Intreaga echipa de manageri din departamentul credite decide sa plece din banca.

    Riscuri medii:Lansare intarziata a noilor produse;Imposibilitatea procesarii corecte a tranzactiilor.

    Riscuri scazute:Mijloace fixe incorect clasificate;Lipsa training personal.

  • AUDIT INTERNTratamentul risculuiTRANSFERTransferarea/impartirea responsabilitatii sau suportarii pierderii prin mijloace legale, prin asigurare, joint ventures sau prin contracte de externalizare si produse bancare specifice (swap).

    EVITARELuarea unei decizii informative pentru evitarea implicarii intr-o situatie riscanta prin evitarea jurisdictiei, refuzarea furnizarii anumitor servicii sau neacceptarea utilizarii unor produse bancare riscante.

    REDUCEREEliminarea sursei riscului sau reducerea probabilitatii aparitiei acestuia (ex. Proceduri pentru asigurarea calitatii, mentenanta preventiva, implementarea unor controale procedurale si de management) sauMinimizarea consecintelor riscurilor (ex. Elaborarea unui plan pentru situatii neprevazute, managementul crizelor, conditii si termeni contractuali).

    ACCEPTAREAcceptarea riscului sau riscul rezidual ramas dupa ce s-a pus in practica unul dintre tratamentele de mai sus.

  • AUDIT INTERNRiscul inerent sau brutRiscul ca un eveniment ce afecteaza obiectivele bancii sa se produca si avand in vedere supozitia ca nu sunt implementate controale sau alte mijloace de gestionare a riscurilor.

    Riscul rezidualRiscul ca un eveniment ce afecteaza obiectivele bancii sa se produca dupa ce s-au luat in calcul toate actiunile prezente sau propuse pentru limitarea riscurilor.

    Nivelul riscului rezidual si raspunsul la riscul identificat

    EficaceRaspunsul la risc este adecvata scopului.ModeratExista cateva probleme legate de adecvarea raspunsului la risc ce pot conduce la surprize/rezultate neplacute.LimitatRaspunsul nu este satisfacator si poate usor conduce la surprize/rezultate neplacute in timpul desfasurarii normale a activitatii.Nici unulRaspunsul la risc nu reduce deloc riscul inerent.

  • AUDIT INTERNMANAGEMENTUL RISCURILOR Scopul este minimizarea riscurilor idenificate.

    Minimalizarea nu poate fi cuantificata.

    Scopul il reprezinta actiunea prin care un risc este adus la un nivel acceptabil.AmenintareVulnerabilitate + = Risc inacceptabil puternica ridicata

  • AUDIT INTERNAMENINTARI

    Analiza amenintarii Oare se va produce? Daca se va produce, cat va fi de grav?Amenintarile trebuiesc identificate si evaluate

    Pasi la nivelul unei activitati1. Identificarea activitatii de referinta2. Identificarea amenintarilor posibile pentru fiecare subactivitate

    3. Determinarea nivelului de gravitate pe fiecare subactivitate

    4. Definirea unei scari valorice globale

  • AUDIT INTERN

    Se pot aprecia 4 niveluri de gravitate a amenintarilor, in functie de efectul asupra societatii, daca amenintarea se materializeaza:NIVEL 4- VITAL Pericliteaza existenta societatii

    NIVEL 3 - GRAV Poate compromite viitorul societatii

    NIVEL 2- IMPORTANT Cu impact semnificativ asupra activitatii

    NIVEL 1- NESEMNIFICATIV Evaluarea trebuie facuta pentru amenintari importante nu pentru toate.

  • AUDIT INTERN

    Exemplu:

    AmenintareaNIVEL 1NIVEL 2NIVEL 3NIVEL 4Falsificarea datelor in scop de fraudaPierdere < 0,1 Mil.Pierdere 0,1 M 1 MPierdere 1 M 10 MPierdere > 10 MIntarzierea platii salariilorIntarziere < 2 zileIntarziere 2 zile 15 zileIntarziere > 15 zileAlterarea bazei de date privind clientiiNr.clienti < 1 la o sucursalaClienti 10 20la mai multe sucursaleToti clientiiAcces neautorizat la baza de dateAtac singularAtac concentrat, nefinalizatAcces la componente nonbancareAcces la baza de date clienti

  • AUDIT INTERNVULNERABILITATEVulnerabilitatile unui organism reprezinta punctele in care acesta poate fi atacatAnaliza vulnerabilitatii reprezinta un diagnostic al starii de securitateStarea de securitate (de siguranta) trebuie evaluata

    NIVEL 1- Securitate minimalaNIVEL 2 - Securitatea este eficace fata de atacuri (amenintari) mediiNIVEL 3- Securitatea este eficace fata de amenintari grave sau exceptionaleNIVEL 4- Securitatea este eficace fata de toate amenintarile

  • AUDIT INTERNEVALUAREA RISCULUICHESTIONAREATENTIE: Raspunsurile la chestionar pot fi nuantate- Da, in general, dar cu exceptia - Da, partial, in procent de x %- Da, teoretic, dar practic nu se aplica peste tot si la toti- Da, este in curs de implementare- Da, este prevazut, dar deocamdata Trebuie insistat pentru a obtine raspunsul transant.

  • AUDIT INTERNAnaliza risculuiO situatie de risc, este descrierea unei disfunctii si a manierei in care aceasta disfunctie se poate produce.Trebuiesc identificate cauzele si originea riscului:- ACCIDENT- tipul si circumstantele- EROARE- natura si autorul- ATAC (EVENIMENT) EXTERIOR- natura, autorulScenariul riscului se descrie prin:- Tipul de consecinte Impactul - Resursele implicate- Cauzele care au dus la crearea situatiei de riscImpactul comensurabil pe scara de valori este IMPACT INTRINSEC

  • AUDIT INTERN

    - Consecinta directa a unui risc (materializat)= se extinde in timp si spatiu sau se poate multiplica- Corolar: Exista masuri care pot reduce riscul sau propagarea lui (masuri de protectie)Evaluarea eficacitatii normelor de protectie directaNIVEL 1- Efectul este limitat sau nulNIVEL 2- Efectul este mediuNIVEL 3- Efectul este importantNIVEL 4- Efectul este important si extins

  • AUDIT INTERNEvaluarea potentialitatii risculuiNivel 4- Foarte probabil- Scenariul de risc se va produce sigur in scurt timp Riscul s-a produs nimeni nu e surprinsNivel 3- Probabil- Scenariul de risc se poate produce intr-un termen scurt Riscul s-a produs suntem mirati, dar nu susprinsiNivel 2- Improbabil- Scenariul de risc care s-ar putea sa nu se produca Riscul s-a produs se termina asteptareaNivel 1- Foarte improbabil- Scenariul de risc nu este imposibil, dar exista o probabilitate infima sa se realizeze Riscul s-a produs Nimeni nu-l astepta, toata lumea e surprinsaNivel 0- Imposibil- Este un scenariu imposibil. Este teoretic, de studiu.

  • AUDIT INTERN

    GRILA GRAVITATII GLOBALE

    Gravitatea = IMPACT POTENTIALITATE

    I = 4G = 2G = 3G = 4G = 4I = 3G = 2G = 3G = 3G = 4I = 2G = 1G = 2G = 2G = 3I = 1G = 1G = 1G = 1G = 2P = 1P = 2P = 3P = 4

  • AUDIT INTERN

    GRILA GRAVITATII GLOBALE (CONTINUARE)

    ANALIZA RISCULUI

    DECIZIA DE LANSAREANALIZA ACTIVITATIIIDENTIFICAREA PROCESELOR CRITICENIVELUL GRAVITATII DISFUNCTIONALITATII SCARA DE VALORIIDENTIFICAREA RISCULUI SCARA DE VALORIANALIZA SI CUANTIFICAREA RISCULUI RELATIV LA IMPACT SI POTENTIALITATEDECIZIA ASUPRA ACCEPTABILITATII

  • AUDIT INTERNCICLUL DE VIATA ALMANAGEMENTULUI SECURITATII

    MaturitateaAnaliza riscurilorGestiunea riscurilor

    4CrestereaPlan de securitate-Referentiale de securitate- Sensibilizarea personalului3SomnulNimic

    1TrezireaAuditul generalSensibilizarea conducerii2

  • AUDIT INTERNReprezentarea grafica a evaluarii riscurilor in functie de probabilitate si impact (exemplul 1) Impact14321234Legenda

    1-Risc mic2-Risc mediu3-Risc mare4-Risc semnificativ

    Risc reputationalActiune imediataDecizie strategica

  • AUDIT INTERN

    REPREZENTAREA GRAFICA A EVALUARII RISCURILOR IN FUNCTIE DE PROBABILITATE SI IMPACT (EXEMPLUL 2)

  • AUDIT INTERNPROCESUL DE EVALUARE A RISCURILOR LA NIVEL DE ORGANIZATIE

    Procesul de evaluare a riscurilor la nivel de organizatie include urmatoarii pasi:

    1 Planificarea activitatii de evaluare a riscurilor; 2 Colectarea informatiei si identificarea riscurilor; 3 Procesul de evaluare a riscurilor; 4 Intocmirea si implementarea Planului de actiune si reducere a riscurilor; 5 Monitorizarea implementarii Planului de actiune si reducere a riscurilor.

  • AUDIT INTERNTabel de evaluare a riscurilor (exemplu)

    RiscNivel riscProbabilitateImpactDescrierea consecintelorStrategii existenteNivel risc rezidualStrategii necesare

  • AUDIT INTERNObtinerea informatiilor