H O T Ă R Î R E

privind Recomandările Băncii Naţionale a Moldovei cu privire la sisteme

de control intern în băncile comerciale din Republica Moldova

nr.330  din  09.11.98

Monitorul Oficial al R.Moldova nr.14-15/37 din 12.02.1999

* * *

Abrogat: 15.12.2010

Hotărîrea BNM nr.96 din 30.04.2010

În baza articolului 11 din Legea cu privire la Banca Naţională a Moldovei şi întru executarea articolului 44 din Legea cu privire la Banca Naţională a Moldovei şi articolelor 1, 17, 25, 29, 33 şi 34 din Legea instituţiilor financiare şi în scopul stabilirii mecanismului referitor la sistemele de control intern în bănci, Consiliul de Administraţie al Băncii Naţionale a Moldovei

HOTĂRĂŞTE:

1. Se aprobă Recomandările cu privire la sistemele de control intern în băncile din Republica Moldova (se anexează).

2. Băncile să perfecteze mecanismul controlului intern ţinînd cont de Recomandările Băncii Naţionale.

3. Controlul asupra îndeplinirii acestei hotărîri se pune în sarcina Departamentului Reglementare şi Supraveghere Bancară (dl Radu Musteaţa).

4. Prezenta hotărîre intră în vigoare din data adoptării cu publicarea ulterioară în Monitorul Oficial al Republicii Moldova.

APROBAT

prin Hotărîrea

Consiliului de Administraţie

al Băncii Naţionale a Moldovei

nr.330 din 9 noiembrie 1998

RECOMANDĂRI CU PRIVIRE LA SISTEMELE DE CONTROL

INTERN ÎN BĂNCILE DIN REPUBLICA MOLDOVA

1. Dispoziţii generale

1.1. Prezentele Recomandări cu privire la sistemele de control intern în băncile din Republica Moldova (în continuare Recomandări) sînt elaborate în conformitate cu împuternicirile Băncii Naţionale a Moldovei, prevăzute la articolele 11 şi 44 din Legea cu privire la Banca Naţională a Moldovei şi la articolele 17, 25, 29, 33 şi 34 din Legea instituţiilor financiare.

1.2. O condiţie esenţială în vederea asigurării funcţionării eficiente a sistemului financiar este stabilirea de către bănci şi alte instituţii financiare a sistemelor de control intern.

1.3. Scopul principal al sistemelor de control intern este protejarea intereselor deponenţilor, a instituţiei financiare şi a clientelei acesteia pe calea minimizării riscurilor activităţii financiare, controlului respectării de către instituţia financiară a legislaţiei în vigoare, reglementării conflictelor de interese, asigurării unui nivel necesar de securitate, care ar corespunde caracterului şi volumului operaţiunilor efectuate de către instituţia financiară. Sistemul de control intern al instituţiei financiare trebuie să asigure că veniturile sporesc profitul, cheltuielile sînt autorizate şi efectuate conform destinaţiei, că activele sînt adecvat protejate, că obligaţiunile sînt înregistrate corect şi riscurile sînt limitate.

2. Responsabilitatea

2.1. Consiliul instituţiei financiare este responsabil pentru aprobarea şi revizuirea periodică, cel puţin o dată pe an, a unor sisteme adecvate de control intern, de care depinde funcţionarea instituţiei în conformitate cu legislaţia în vigoare, inclusiv exigenţele Băncii Naţionale faţă de raportare, precum şi cu documentele normative interne. Consiliul instituţiei financiare este responsabil pentru aprobarea reglementărilor interne în toate domeniile de activitate a instituţiei financiare.

[Pct.2.1 modificat prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

2.2. Conducerea executivă a instituţiei financiare este responsabilă pentru implementarea unui sistem de control intern adecvat şi efectiv, aprobat de către consiliul instituţiei financiare.

[Pct.2.2 introdus prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

3. Sistemele şi procedurile de control intern

3.1. Sistemul de control intern al băncii reprezintă un complex de măsuri, regulamente şi reglementări, limitări, relaţii de emitere-executare-raportare-control al dispoziţiilor conducerii băncii, adoptate în scopul gestionării corecte şi eficiente a instituţiei financiare în conformitate cu legislaţia în vigoare, interesele depunătorilor (clientelei) şi acţionarilor, în baza unei informaţii autentice, complete şi operative. La elaborarea sistemelor de control se iau în consideraţie volumul, numărul şi tipul tranzacţiilor, diversitatea operaţiilor, gradul de risc asociat cu fiecare domeniu de activitate, volumul controlului din partea conducerii asupra activităţii zilnice, gradul de centralizare şi descentralizare, precum şi gradul şi metodele de utilizare a procesoarelor bazei de date electronice.

3.2. Banca Naţională consideră că descrierea în detalii a modalităţii în care o anumită instituţie ar trebui să implementeze propriul sistem de control intern nu este necesară. Cu toate acestea, Banca Naţională insistă asupra aplicării unor sisteme de control intern oportune şi, reieşind din aceste considerente, a descris în prezentele Recomandări principiile fundamentale, care trebuie respectate în procesul elaborării propriilor sisteme de control intern.

3.3. Instituţiile financiare trebuie să elaboreze propriile sisteme de control intern, în baza principiilor fundamentale din prezentele Recomandări, ţinînd cont de practica general acceptată în acest domeniu, inclusiv documentele Comitetului Basel şi Directivele Comunităţii Europene şi să le adapteze la activitatea lor bancară şi la riscul implicat. Sistemele de control, în măsura în care ele se referă la activitatea instituţiei financiare, trebuie să fie incluse în instrucţiuni şi îndrumări astfel, ca să asigure efectuarea operaţiunilor financiare într-un mod sigur şi prudent. În cadrul sistemelor de control intern, instituţiile financiare organizează o subdiviziune a auditului intern, acordînd atenţia cuvenită principiilor descrise în prezentele Recomandări.

[Pct.3.3 completat prin Hot.BNM nr.182 din 19.07.2007, în vigoare 24.08.2007]

[Pct.3.3 completat prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

4. Cerinţele de ordin general

4.1. Obiectivele procedeelor de control intern

Sistemele de control intern trebuie să asigure cel puţin că:

1) afacerile sînt planificate şi conduse în mod ordonat, prudent şi eficient din punct de vedere al costului, în conformitate cu preţurile stabilite;

2) tranzacţiile şi angajamentele sînt îndeplinite în conformitate cu limitele competenţei administratorilor şi a funcţionarilor instituţiilor financiare;

3) conducerea este în stare să protejeze activele şi să controleze tranzacţiile cu pasivele; să asigure că există măsuri de minimizare a riscului pierderilor din nereguli, fraude, erori şi de identificare a acestora la timp;

4) registrele contabile şi alte registre oferă informaţie veridică, completă şi oportună;

5) conducerea este în stare să administreze regulat şi la timp caracterul adecvat al capitalului, lichidităţii, profitabilităţii şi calităţii activelor instituţiei;

6) conducerea este capabilă să identifice, să evalueze în mod regulat şi să determine riscul pierderilor în procesul efectuării tranzacţiilor în aşa fel încît:

a) riscul să poată fi dirijat şi controlat regulat şi la timp;

b) să se poată forma rezerve adecvate pentru eventuale pierderi de la credite şi de la alte active, precum şi de la angajamentele extrabilanţiere;

7) conducerea este capabilă să întocmească rapoarte complete, corecte şi oportune în conformitate cu instrucţiunile Băncii Naţionale.

4.2. Domeniul aplicării şi tipul procedeelor de control

În vederea asigurării atingerii obiectivelor sistemului de control intern, conducerea trebuie să determine domeniul aplicării şi tipul procedeelor de control intern care urmează a fi adoptate. La elaborarea procedeelor trebuie luat în consideraţie costul stabilirii şi menţinerii controlului în raport cu beneficiul instituţiei financiare. Însă factorul legat de cost nu va constitui pentru Banca Naţională drept motiv pentru neimplementarea unor procedee adecvate de control.

4.3. Responsabilitatea conducerii pentru eficienţa controlului

Conducerea instituţiei financiare este responsabilă pentru revizuirea, dirijarea şi controlul în mod regulat a sistemelor de control intern în vederea asigurării eficienţei lor în afaceri. Această funcţie este, de regulă, încredinţată unei unităţi (secţii, diviziuni sau departament) a cărei independenţă de activitatea cotidiană ar trebui sa fie asigurată prin responsabilitatea directă a acesteia faţă de consiliul instituţiei financiare şi comisia de cenzori. în scopul asigurării flexibilităţii, operativităţii şi obiectivităţii subdiviziunea dată se subordonează nemijlocit consiliului instituţiei financiare.

5. Obiectivele controlului

5.1. Domeniul aplicării şi tipul obiectivelor controlului

Domeniul aplicării şi tipul obiectivelor controlului, care sînt necesare pentru dirijarea prudentă a afacerilor, trebuie să fie adaptate la specificul instituţiei şi trebuie să corespundă felului în care activitatea este structurată, organizată şi gestionată, tipului, volumului, numărului şi complexităţii tranzacţiilor şi angajamentelor.

5.2. Obiectivele controlului

Elaborînd sistemele şi procedeele de control proprii, fiecare instituţie trebuie să realizeze cel puţin următoarele obiective:

1) controale organizatorice şi administrative;

2) metode de dirijare;

3) separarea funcţiilor şi obligaţiilor;

4) procedee de autorizare şi aprobare;

5) procedee de ţinere a evidenţei;

6) procedee de protejare;

7) procedee de verificare;

8) procedee de evaluare.

5.3. Controale organizatorice şi administrative

O instituţie financiară trebuie să elaboreze şi să ţină:

1) un document concis despre obiectivele politice şi strategice pe termen scurt şi pe termen lung ale instituţiei;

2) regulamente interne în care se descrie detaliat funcţiile, obligaţiile şi responsabilităţile funcţionarilor, liniile de raportare şi comunicare;

3) un document cu descrierea clară a politicii, practicii şi procedeelor contabile;

4) un document cu descrierea procedeelor şi controalelor operaţionale zilnice computerizate şi manuale; documentarea referitor la evidenţa contabilă şi sistemele de control, inclusiv un registru al schimbărilor din sistem, în care se indică data şi numele persoanelor autorizate la implementarea acestora;

5) un registru, care trebuie periodic înnoit, cu semnăturile persoanelor autorizate, inclusiv specimenele de semnături, determinînd pentru fiecare dintre aceste persoane limita competenţei lor;

6) un registru cu chestiunile discutate la adunările importante închise şi deschise; un registru cu notele de serviciu interne; corespondenţa cu organele de drept referitor la împrumuturile şi plăţile în avans;

7) procedee de planificare, de autorizare şi iniţiere a noilor tipuri de activitate, incluzînd, la necesitate, o explicaţie a înţelegerii riscului implicat, limitele admisibile şi procedeele pentru ţinerea evidenţei contabile, o descriere a oricăror modele folosite pentru derivarea preţului sau a valorii necesare, alte registre şi sisteme de control intern;

8) un cod de conduită a funcţionarilor şi un regulament cu privire la politica de reglementare a conflictelor de interese în bancă;

9) un program de instruire a funcţionarilor, precum şi măsurile necesare pentru a-i ţine pe lucrători la curent cu obligaţiile lor şi cu toate schimbările sau performanţele din cadrul instituţiei; metodele de selecţie privind asigurarea ajustării aptitudinilor profesionale şi personale ale angajaţilor cu responsabilităţile lor; procedurile continue pentru repartizarea responsabilităţilor între angajaţi şi pentru verificarea competenţei lor;

10) proceduri clare privind cunoaşterea oportună a proprietarilor direcţi sau indirecţi ai acţiunilor, precum şi a beneficiarilor efectivi, inclusiv cunoaşterea de către instituţia financiară a eventualelor activităţi în comun ale acestora, precum şi legăturile între acţionarii băncii şi debitorii săi;

11) proceduri clare privind cunoaşterea persoanelor afiliate băncii, inclusiv cunoaşterea tuturor criteriilor de afiliere a membrilor consiliului băncii la aceasta.

[Pct.5.3 modificat prin Hot.BNM nr.281 din 07.11.2007, în vigoare 25.01.2008]

[Pct.5.3 modificat prin Hot.BNM nr.182 din 19.07.2007, în vigoare 24.08.2007]

[Pct.5.3 completat prin Hot.BNM nr.102 din 20.04.06, în vigoare 28.04.06]

[Pct.5.3 modificat prin Hot.BNM nr.13 din 12.01.06, în vigoare 03.02.06]

[Pct.5.3 completat prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

5.4. Metodele de dirijare

Tipul metodelor descrise mai jos, felul în care informaţia este prezentată şi caracterul detaliat al acesteia vor varia în dependenţă de nivelul managementului care dirijează cu informaţia în cauză. În mod similar, importanţa şi tipul metodelor vor determina nivelul corespunzător al managementului necesar pentru îndeplinirea indicaţiilor.

O instituţie trebuie:

1) să verifice regulat (zilnic, săptămînal şi/sau lunar) rapoartele, indicînd poziţiile reale de risc faţă de limitele admisibile sau rapoartele extraordinare, indicînd doar acele poziţii, care depăşesc sau sînt pe cale de a depăşi limitele admise. Aceste limite trebuie să corespundă timpului, volumului şi tipului tranzacţiilor efectuate şi trebuie, acolo unde este necesar, să includă date referitor la omologi, ramurile economice, aşezarea geografică a ţării, lichiditatea, devierile în ratele dobînzii şi limitele poziţiei cu privire la hîrtiile de valoare, precum şi limitele referitor la poziţiile comerciale de zi şi overnight pe piaţa operaţiunilor valutare, contractele la termen, opţiuni, swaps-uri sau orice alt tip de derivate;

2) să elaboreze proceduri de identificare, raportare şi soluţionare a încălcărilor referitoare la controalele sau excesele de limite; să aibă explicaţii în scris la acţiunile aprobate referitor la poziţiile care depăşesc limitele admisibile; să elaboreze sisteme care asigură că angajamentele pot fi corect şi sistematic evaluate în raport cu aceste limite şi indică poziţiile care sînt pe cale de a depăşi limitele admisibile astfel, ca în caz de necesitate, conducerea să poată lua măsuri de rigoare;

3) să elaboreze proceduri care asigură transmiterea regulată şi la timp a informaţiei veridice conducerii băncii;

4) să verifice frecvent şi regulat realizarea politicii stabilite şi a procedurilor legate de efectuarea operaţiunilor creditoare; să verifice şi să evalueze frecvent şi regulat calitatea împrumuturilor individuale şi a plăţilor în avans (inclusiv a gajului) în vederea depistării la timp a problemelor legate de împrumuturile dubioase şi compromise, oferind conducerii posibilitatea de a evalua efectul lor asupra activităţii instituţiei financiare;

5) să verifice periodic profiturile realizate şi nerealizate şi pierderile care rezultă din activele cumpărate pentru vînzare;

6) Periodic să verifice sursa, concentrarea şi să analizeze probabilitatea retragerii depozitelor.

7) să verifice lunar rapoartele despre rezultatele actuale şi analiza performanţei, atît separat cît şi în mod consolidat, în comparaţie cu bugetele operaţionale şi rezultatele perioadei contabile precedente;

8) să fie la curent cu prevederile statutului instituţiei financiare, precum şi cu prevederile de supraveghere şi de reglementare din regulamentele şi instrucţiunile elaborate de Banca Naţională în scopul stabilirii dacă activitatea instituţiei corespunde cerinţelor; să verifice rapoartele conform acestor cerinţe, precum şi să deţină informaţii oportune privind:

- proprietarii direcţi sau indirecţi ai acţiunilor băncii, precum şi a beneficiarilor efectivi (conform anexei nr.1 la prezentele Recomandări);

- debitorii băncii, cu excepţia băncilor - debitoare care au beneficiat de credite şi leasing financiar, precum şi debitorilor, cărora banca le-a acordat credite şi leasing financiar soldul total pentru un debitor fiind: pînă la 30 mii lei inclusiv – în cazul persoanei fizice, pînă la 100 mii lei inclusiv – în cazul întreprinderii cu statut de persoană fizică şi pînă la 250 mii lei inclusiv – în cazul persoanei juridice (conform anexei nr.1 la prezentele Recomandări);

- existenţa sau inexistenţa afilierii membrilor consiliului băncii faţă de aceasta (conform anexei nr.2 la prezentele Recomandări), cu excepţia afilierii determinate de calitatea de membru al consiliului băncii.

9) să verifice statutul de impozitare şi poziţia instituţiei, supunerea ei la impozitele curente şi proviziile ei pentru impozitul amînat.

[Pct.5.4 modificat prin Hot. BNM nr.194 din 09.10.2008, în vigoare 14.11.2008]

[Pct.5.4 modificat prin Hot.BNM nr.281 din 07.11.2007, în vigoare 25.01.2008]

[Pct.5.4 modificat prin Hot.BNM nr.182 din 19.07.2007, în vigoare 24.08.2007]

[Pct.5.4 completat prin Hot.BNM nr.102 din 20.04.06, în vigoare 28.04.06]

[Pct.5.4 modificat prin Hot.BNM nr.13 din 12.01.06, în vigoare 03.02.06]

[Pct.5.4 modificat prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

5.5. Separarea atribuţiilor şi competenţelor

Separarea atribuţiilor reduce riscul manipulării intenţionate sau al erorilor, mărind elementul de control. Funcţiile care trebuie să fie separate sînt: de autorizare, de executare, de custodie şi de înregistrare; şi în cazul în care există un sistem de contabilitate computerizat este necesară o separare între elaborarea sistemelor şi aplicarea lor pentru operaţiunile zilnice. O instituţie trebuie să dispună de proceduri necesare pentru a asigura:

1) că diferite persoane sînt responsabile pentru păstrarea registrelor, custodia fizică a activelor şi pentru autorizarea, iniţierea şi supravegherea generală a tranzacţiilor şi angajamentelor luate;

2) că separarea se face în aşa fel, încît nici o persoană să nu poată în mod intenţionat sau neintenţionat să-şi însuşească nelegitim activele, să facă o declaraţie falsă cu privire la pasive sau să înregistreze incorect tranzacţiile fără a fi depistat ulterior.

5.6. Autorizarea şi aprobarea

Prin autorizare se are în vedere procesul prin care se consimte o propunere de a supune instituţia la risc sau de a distribui riscurile existente. Prin aprobare se are în vedere procesul prin care o astfel de autorizare este aplicată în practică prin intermediul anumitor tranzacţii. În unele circumstanţe aceste procese au loc simultan.

Corespunzător, o instituţie trebuie să dispună de proceduri care să asigure:

1) că angajamentele sînt îndeplinite în conformitate cu intenţiile şi împuternicirile managementului instituţiei financiare;

2) promovarea politicii de autorizare care prevede limita pentru împuternicirile (autorizările) generale şi speciale şi numele persoanelor responsabile pentru exercitarea fiecărei împuterniciri; realizarea politicii de autorizare care prevede circumstanţele acordării de către preşedintele şi vicepreşedinţii instituţiei financiare a unei autorizări speciale asupra unei autorizări generale;

3) plata sau alte tranzacţii legate de autorizările descrise la (1) şi (2) sînt aprobate în corespundere cu aceste autorizări.

5.7. Evidenţa

O instituţie trebuie să dispună de proceduri care să asigure:

1) înregistrarea corectă a tranzacţiilor şi angajamentelor autorizate, reale şi eventuale, spot, forward sau orice alt tip de derivate în registrele contabile în aşa fel, încît ele să poată fi trecute în bilanţ în perioada în care acestea sînt reflectate şi în raportul de profit şi pierderi în perioada la care se referă;

2) imposibilitatea înregistrării tranzacţiilor fictive;

3) existenţa de facto a activelor şi pasivelor trecute în registrele contabile sau în alte tipuri de registre;

4) trecerea zilnică în registru a tranzacţiilor şi balansarea conturilor la sfîrşitul fiecărei zile;

5) în cazul în care registrele sînt păstrate într-un sistem computerizat de contabilitate, efectuarea controlului eficient şi a controalelor ulterioare complete şi adecvate;

6) verificarea corectitudinii aritmetice a înregistrărilor; păstrarea şi controlul totalurilor, verificărilor, conturilor de regularizare şi bilanţurilor de probă; verificarea prin sistemul de contabilitate a documentelor; raportarea conducerii despre erori şi divergenţe;

7) evidenţa documentelor în baza cărora s-a înregistrat o tranzacţie sau un angajament şi care demonstrează că acestea au fost trecute în contabilitate sau alte registre;

8) în cazul în care împrumutul trecut în registrele contabile ale sucursalei instituţiei financiare străine este acordat în baza dispoziţiei oficiului central, existenţa registrului persoanelor autorizate şi a justificării acordării creditelor la nivel de sucursală;

9) ca orice operaţie real efectuată să-şi găsească reflectare completă, adecvată şi în timp util în evidenţa contabilă a instituţiei financiare.

[Pct.5.7 modificat prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

5.8. Protecţia

O instituţie trebuie să asigure că:

1) se îndeplinesc procedurile de securitate şi măsurile de atribuire a responsabilităţii pentru custodia fizică a activelor anumitor persoane autorizate care sînt independente de funcţiile contabile; atît accesul direct, cît şi cel documentar indirect la active se limitează doar la persoanele autorizate;

2) procedurile de securitate şi măsurile includ, în special, precauţii fizice pentru activele portabile, negociabile, de schimb şi cele la purtător prin utilizarea cartotecilor încuiate pentru cambiile bancare, certificatele de depozit şi altor formulare de evidenţă strictă neutilizate, şi a caselor de bani neinflamabile pentru protecţia valutei, titlurilor de valoare etc.;

3) există proceduri de securitate referitor la custodia activelor în numele clienţilor sau altor persoane fie în numele lor, fie în numele unei persoane numite în locul lor;

4) există metode de protejare a registrelor contabile şi a altor tipuri de registre.

5.9. Verificarea

O instituţie financiară trebuie să elaboreze şi să deţină proceduri care să asigure că:

1) registrele contabile sînt confruntate regulat şi la timp cu activele, documentele şi conturile de regularizare respective; de exemplu, verificarea conturilor "Nostro" cu extrasele din cont, verificarea soldurilor de pe conturile de împrumuturi, investiţii, active fixe şi ale clienţilor cu rapoartele detaliate, conturile de regularizare şi documentele de confirmare a dreptului de proprietate, registrele agenţilor de schimb despre poziţiile comerciale cu poziţiile din registrele contabile şi analiza regulată şi la timp a clearingului tranzacţiilor plasate în conturile suspendate; periodicitatea verificării depinde de volumul şi tipul tranzacţiilor trecute printr-un anumit cont verificat şi de mărimea contului de bilanţ;

2) determinarea naturii şi volumului diferenţelor de verificare; investigarea poziţiilor de verificare şi verificarea clearingului ulterior, unde este necesară, ajustarea registrelor contabile cu autorizarea nivelului respectiv de management;

3) explicarea modificărilor dintre bilanţurile de închidere a unei perioade contabile şi deschidere a altei perioade, precum şi investigarea şi raportarea oricăror divergenţe nivelului corespunzător de management;

4) schimbul rapid de confirmări ale tranzacţiilor are loc cu participarea unei terţe părţi, care poate fi efectuat manual, folosind serviciile poştale sau metodele de transmitere electronică;

5) periodicitatea verificărilor depinde de numărul şi tipul operaţiilor, volumul şi numărul tranzacţiilor.

5.10. Evaluarea

O instituţie financiară trebuie să dispună de măsuri pentru a asigura că:

1) activele ţinute în scopuri comerciale sînt reevaluate în mod regulat la preţurile verificate independent de agenţii de schimb (în general acest lucru ţine de competenţa oficiului de sprijin (back/middle office);

2) valoarea activelor, pasivelor, drepturilor şi obligaţiilor extrabilanţiere este revizuită şi evaluată regulat;

3) se formează şi se înregistrează rezerve şi alte ajustări contra acestor active şi drepturi pentru a le aduce în corespundere cu prevederile legislaţiei în vigoare şi actelor normative ale BNM, cu standardele de contabilitate şi politica contabilă a instituţiei financiare.

6. Sistemele de control privind procesarea automatizată a datelor (PAD)

6.1. Obiectivele controlului

Obiectivele de control descrise mai sus pot fi realizate în cazul activităţii desfăşurate atît într-un mediu manual, cît şi în unul computerizat, totuşi, anumite aspecte ale sistemului de control intern sînt caracteristice doar pentru mediul PAD. De aceea, securitatea datelor şi procedeele de control sînt o parte integrantă a sistemului de control al unei instituţii şi este important ca conducerea să înţeleagă interdependenţa dintre controlul computerizat şi întregul sistem de control. în timp ce o instituţie poate să atingă şi să menţină sisteme computerizate eficiente şi sigure prin echilibrarea controalelor manuale şi a celor computerizate, acest echilibru va varia de la o instituţie la alta, reflectînd riscurile proprii fiecărei bănci şi costul în parte şi comparativ al procedurilor de control manuale şi automatizate. O atenţie deosebită necesită aplicaţiile la computerele personale, deoarece standardele de control sînt asociate cu sistemele mai mari şi sînt de obicei mai greu de menţinut.

6.2. Riscurile sistemelor de procesare a bazei de date electronice

Riscurile tipice şi, în multe cazuri, în mod unic asociate cu operaţiile computerizate pot fi:

1) Riscul de extindere

Un eşec în planificarea, extinderea noilor sisteme sau întîrzierea implementării sistemelor cheie poate avea consecinţe comerciale semnificative. De asemenea, eşecul în anticiparea şi cunoaşterea noilor descoperiri în domeniul tehnicii poate duce la introducerea unor sisteme neadecvate.

2) Erorile

Erorile apar, de obicei şi în mod frecvent, în timpul introducerii datelor şi în timpul extinderii şi reorganizării programelor. Erori semnificative pot avea loc în procesul modelării sistemului în timpul activităţii administrative de rutină şi în timpul utilizării programelor de corectare a erorilor. Cauza este, de obicei, o eroare a angajaţilor şi rareori una a sistemului electronic mecanic intern. Erorile pot fi introduse în sistem atunci, cînd ele sînt adaptate necesităţilor unui anumit utilizator. La procurarea unui pachet software modificările sistemului trebuie să fie reduse la minimum.

3) Întreruperea lucrului

Sistemele computerizate sînt deosebit de vulnerabile la daunele cauzate de factori externi, accidente precum şi la daune premeditate. Costurile unui eşec al sistemului pot depăşi cu mult costurile înlocuirii echipamentului dăunat, datelor şi software-lui. De aceea, se recomandă utilizarea sistemelor back-up (vezi 6.3.3) de mai jos).

4) Fraudele şi accesul neautorizat la informaţia confidenţială

Tranzacţiile frauduloase în sistemul de procesare automatizată a datelor provoacă pierderi considerabile şi pot fi generate în diferite moduri. Pierderea confidenţialităţii unei anumite informaţii poate sa-i facă pe clienţi să piardă încrederea în bancă; accesul neautorizat la business-planuri şi bugete pot slăbi poziţia competitivă a băncii pe piaţă. Astfel de situaţii pot apărea în cazurile în care:

a) se fac modificări neautorizate în dispoziţiile de plată înainte de a le introduce în sistem;

b) tranzacţiile neautorizate sînt introduse direct prin terminale;

c) se efectuează schimbări neautorizate în programe în timpul extinderii sau întreţinerii tehnice, ceea ce poate cauza ca programul să genereze tranzacţii frauduloase în mod automat, să ignoreze cecurile de control pe conturile selectate, să lichideze registrele anumitor tranzacţii sau să treacă peste căile obişnuite de audit din sistem;

d) fişierele pot fi lichidate din computer ori schimbate în altă parte prin introducerea unor tranzacţii frauduloase sau prin lichidarea tranzacţiilor sau bilanţurilor aprobate, apoi restituite fără a fi identificat acest fapt;

e) la informaţia confidenţială cu privire la clienţi şi conturile lor, registrele referitoare la conducerea băncii, sisteme, bugetele corporative şi strategiile de planificare au acces persoane neautorizate;

f) tranzacţiile pot fi introduse sau interceptate şi modificate fraudulos în timpul transmiterii prin reţeaua de telecomunicaţii.

6.3. Controalele şi procedeele sistemelor de procesare a bazei de date electronice

O atenţie deosebită necesită procedeele şi controalele care pot contribui la sporirea eficacităţii, integrităţii şi securităţii sistemelor computerizate precum şi la minimizarea riscurilor identificate mai sus:

1) Riscul implementării

Implementarea operaţiilor computerizate necesită planificare strategică de lungă durată a echipamentului şi a sistemului software, studii de fezabilitate cuprinzătoare, specificare exactă a cerinţelor sistemului, selectare atentă a furnizorilor de hardware şi software şi un control riguros al proiectului. Este, de asemenea, important să se ţină o evidenţă a documentaţiei pentru modelarea şi operarea sistemului de computere şi un registru al schimbărilor ulterioare sau completărilor acestuia.

2) Erorile

Pentru păstrarea registrelor corecte şi complete ale tranzacţiilor şi angajamentelor, bilanţurilor sau informaţiei de altă natură sînt necesare standarde severe de control al erorilor. Controlul datelor şi procedeelor de verificare şi confirmare a autenticităţii mesajelor, telecomunicărilor sînt de importanţă vitală pentru prevenirea şi depistarea erorilor. Este, de asemenea, importantă existenţa procedeelor care să asigure că specificul sistemului corespunde necesităţilor instituţiei, proiectele sînt verificate, sistemele sînt testate în modul cuvenit înainte de implementare şi documentarea este corectă.

3) Întreruperea lucrului

O importanţă deosebită au procedeele şi controalele de protejare a hardware, software şi a datelor împotriva incendiilor, inundaţiilor, reducerii tensiunii în reţeaua electrică şi daunelor premeditate. Trebuie să existe procedee adecvate de recuperare şi testare a tehnicii, la care s-ar putea apela atunci, cînd au loc evenimente care cauzează deteriorarea sistemului. Controlul asupra întreruperii lucrului începe cu elaborarea meticuloasă şi amplasarea centrelor de computere; acest lucru este condiţionat de necesitatea în capacitatea dublă a telecomunicaţiilor şi reţelelor de computere pentru a limita consecinţele nefavorabile ale deteriorării componenţilor individuali prin depistarea focarelor de incendiu şi utilizarea echipamentului de stingere, a unei surse secundare de energie, şi prin realizarea unor planuri de restabilire, în caz dacă centrul de computere este afectat de incendiu, inundaţie, explozie sau de întreruperea sursei de energie electrică.

4) Fraudele şi accesul neautorizat la informaţia confidenţială

Înainte de efectuarea controalelor eficiente de prevenire a fraudelor se identifică punctele vulnerabile ale sistemului. Securitatea şi sistemele de control necesare pentru protejarea instituţiei împotriva fraudelor şi accesului neautorizat la informaţia confidenţială includ dispozitive de securitate şi procedee de prevenire a accesului neautorizat la instalaţiile hardware de computere, la software, la bazele de date şi parole (care trebuie schimbate regulat) pentru a îngrădi accesul la programele de computer şi bazele de date. Poate fi necesară cifrarea informaţiei confidenţiale aşa, încît dacă ea este pierdută sau interceptată să nu poată fi descifrată, înţeleasă şi manipulată. Controlul asupra accesului la software la etapa de dezvoltare a sistemului este de importanţă vitală. Sistemul software trebuie sa fie elaborat în aşa fel, ca el să semnaleze despre încercările de acces neautorizat la instalaţiile hardware şi software. Ele trebuie să fie elaborate în aşa fel ca să poată semnala şi documenta toate schimbările, ştergerile şi adăugirile la fişierele de bază.

7. Auditul intern

7.1. Funcţia de bază a auditului intern

Auditul intern este parte integrantă a sistemului de control intern, organizat şi menţinut de conducerea instituţiei financiare şi se deosebeşte de funcţia de control primar al unei unităţi de inspecţie/control care asigură controlul zilnic asupra tranzacţiilor şi operaţiilor. Funcţia de bază a auditului intern constă în evaluarea independentă şi obiectivă, a activităţilor desfăşurate de instituţia financiară, în vederea îmbunătăţirii indicatorilor acesteia prin aplicarea sistematică a unei metode corecte de evaluare şi perfecţionare a sistemului de control intern în cadrul instituţiei.

[Pct.7.1 modificat prin Hot.BNM nr.182 din 19.07.2007, în vigoare 24.08.2007]

7.2. Obiectivele auditului intern

Realizarea obiectivelor auditului intern depinde de atitudinea conducerii instituţiei financiare faţă de necesităţile şi obligaţiile acesteia. În evaluarea eficienţei auditului intern o importanţă considerabilă au termenele de referinţă, independenţa de managementul operaţional, regimul de comunicare a datelor şi nivelul profesional al personalului.

7.3. Crearea şi organizarea auditului intern

1) instituţiile financiare îşi organizează subdiviziunea auditului intern în conformitate cu prezentele Recomandări;

2) subdiviziunea auditului intern funcţionează în baza regulamentului intern cu privire la auditul intern, aprobat de consiliul instituţiei financiare, care trebuie să includă informaţia cu privire la modul de organizare, drepturile şi obligaţiile, conlucrarea cu alte subdiviziuni ale instituţiei financiare etc.. Prevederile regulamentului trebuie să fie aduse la cunoştinţa întregului personal al instituţiei financiare;

3) structura şi numărul funcţionarilor subdiviziunii auditului intern se determină de către consiliul instituţiei financiare. Personalul scriptic trebuie să fie suficient pentru realizarea scopurilor şi soluţionarea problemelor controlului intern şi nu trebuie să fie implicat în efectuarea nemijlocită a operaţiunilor bancare;

4) conducătorul auditului intern se numeşte în funcţie prin hotărîrea consiliului instituţiei financiare sau prin hotărîrea organului executiv al instituţiei financiare, coordonată cu consiliul instituţiei financiare (conform statutului);

5) modul raportării curente a auditului intern, prevăzut în regulamentul intern cu privire la auditul intern al instituţiei financiare, trebuie să includă raportarea către consiliul instituţiei financiare şi organul executiv cît mai curînd posibil după finisarea controalelor de către auditul intern. Pe lîngă raportarea curentă auditul intern, cel puţin o dată pe an, pregăteşte un raport consiliului instituţiei financiare.

[Pct.7.3 modificat prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

7.4. Funcţiile auditului intern

Auditul intern are următoarele funcţii:

1) să asigure efectuarea monitoringului permanent al riscurilor activităţii financiare (riscul de credit, ratei dobînzii, valutar, lichidităţii, de piaţă, de ţară, operaţional şi alte riscuri care pot apărea în cadrul desfăşurării activităţii financiare), analizei curente a situaţiei financiare, să verifice şi să analizeze starea controlului intern în subdiviziunile instituţiei financiare, precum şi s-o aprecieze în modul corespunzător, să controleze implementarea politicii de management;

2) să verifice registrele contabile şi de altă natură, să analizeze tranzacţiile şi bilanţurile;

3) să organizeze şi să asigure controlul permanent prin intermediul inspecţiilor şi reviziilor sistematice ale activităţii subdiviziunilor instituţiei financiare privind corespunderea acţiunilor lor prevederilor legislaţiei, actelor normative, precum şi regulamentelor şi documentelor interne, care reglementează activitatea şi definitivează politica instituţiei financiare, instrucţiunilor funcţionale;

4) de sine stătător şi/sau în comun cu alte organe şi persoane cu funcţii de răspundere să examineze cazurile încălcărilor de către funcţionarii instituţiilor financiare a legislaţiei, actelor normative, regulamentelor şi documentelor interne care reglementează activitatea şi definitivează politica instituţiei financiare, deciziilor organelor de conducere a instituţiei financiare şi instrucţiunilor lor funcţionale;

5) să exercite controlul asupra lichidării încălcărilor;

6) să asigure întocmirea documentaţiei fiecărui control şi să perfecteze concluziile privind rezultatele controlului, care reflectă toate problemele examinate în cadrul controlului, neajunsurile şi încălcările depistate, propunerile asupra lichidării acestora;

7) să asigure integritatea şi restituirea documentelor primite de la subdiviziunile corespunzătoare;

8) să prezinte concluzii pe rezultatele controalelor consiliului instituţiei financiare, organului executiv şi subdiviziunilor corespunzătoare pentru luarea măsurilor asupra lichidării încălcărilor, precum şi în scopul analizei activităţii unor anumiţi funcţionari ai instituţiei financiare;

9) să informeze la timp consiliul instituţiei financiare despre:

a) riscurile depistate din nou;

b) cazurile privind încălcarea de către funcţionari a legislaţiei, prevederilor actelor normative, dispoziţiilor interne;

c) măsurile luate de către conducătorii subdiviziunilor controlate privind lichidarea încălcărilor comise şi rezultatele acestora;

10) să facă cercetări pentru conducerea instituţiei financiare;

11) să controleze organizarea lucrului privind studierea de către funcţionarii instituţiei a legislaţiei, actelor normative, regulamentelor şi documentelor interne ale instituţiei financiare, pornind de la funcţiile pe care le deţin.

[Pct.7.4 modificat prin Hot.BNM nr.182 din 19.07.2007, în vigoare 24.08.2007]

[Pct.7.4 modificat prin Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

7.5. Responsabilitatea auditului intern

Auditul intern se subordonează nemijlocit consiliului instituţiei financiare şi comunică datele privind controalele efectuate consiliului instituţiei financiare, comisiei de cenzori, precum şi organului executiv.

[Pct.7.5 în redacţia Hot.BNM nr.306 din 11.12.03, în vigoare 25.12.03]

7.6. Comisia de cenzori

Comisia de cenzori îşi desfăşoară activitatea în conformitate cu art.20 din Legea instituţiilor financiare, art.71 şi 72 din Legea privind societăţile pe acţiuni. În cadrul activităţii sale Comisia de cenzori, de asemenea, controlează funcţia de audit intern a instituţiei financiare, face legătură cu auditorii externi şi comunică datele consiliului băncii.

[Pct.7.6 în redacţia Hot.BNM nr.182 din 19.07.2007, în vigoare 24.08.2007]

8. Dispoziţii finale

8.1. Prezentele Recomandări intră în vigoare la data aprobării cu publicarea ulterioară în Monitorul Oficial al Republicii Moldova.

8.2. Băncilor, în termen de pînă la 1 iulie 1999, li se recomandă să perfecţioneze mecanismul controlului intern, ţinînd cont de prevederile prezentelor Recomandări.

8.3. Banca Naţională va verifica caracterul adecvat al sistemelor de control intern ale fiecărei bănci în timpul inspecţiilor. Rezultatele vor fi prezentate conducerii băncii.

Anexa nr.1

Informaţia ce urmează a fi obţinută şi actualizată de către bancă cel puţin o dată în an, precum şi în cazul apariţiei situaţiei de afiliere sau activităţii în grup, privind proprietarii direcţi sau indirecţi, precum şi a beneficiarilor efectivi ai cotelor în capitalul băncii/debitorii băncii va include, dar nu se va limita la:

1. Extrasul din Registrul acţionarilor băncii;

2.A. Pentru proprietarii băncii care deţin cote mai mari sau egale cu 2 la sută din capitalul băncii/debitorii băncii - persoane juridice:

2.1. Documentele de constituire, inclusiv Statutul cu modificările ulterioare;

2.2. Extrasul din Registrul acţionarilor al proprietarilor/ debitorilor care deţin 5 la sută şi mai mult în capitalul societăţii comerciale;

2.3. Extrasul din Registrul de stat emis de către organul competent de a înregistra întreprinderile şi de a ţine evidenţa acestora;

2.4. Lista administratorilor proprietarului/debitorului;

2.5. Lista persoanelor care sînt în raport de rudenie de gradul I şi II cu persoanele indicate în p.2.4., precum şi soţii acestora, locurile de muncă şi funcţiile ocupate de către aceştia, informaţia privind funcţiile de administrator ocupate în alte organizaţii, precum şi cotele de participare în valoare de 5 la sută şi mai mult deţinute în capitalul societăţilor comerciale;

2.6. Informaţia privind deţinerea de către administratorii proprietarului/debitorului a funcţiilor de administratori în alte organizaţii şi deţinerea de către aceştia a cotelor de participare în valoare de 5 la sută şi mai mult în capitalul societăţilor comerciale;

2.7. Informaţia privind cotele de participare în valoare de 5 la sută şi mai mult a proprietarului/debitorului în capitalul societăţilor comerciale;

2.8. Persoana juridică sau fizică, care acţionează în numele sau în contul proprietarului/debitorului;

2.9. Persoana juridică sau fizică, în numele sau în contul căreia acţionează proprietarul/debitorul;

2.10. Lista altor persoane care acţionează în comun cu proprietarul/debitorul;

2.11. Rapoartele financiare (cel puţin anuale) ale proprietarului care deţine o cotă substanţială în capitalul băncii/debitorului băncii, confirmate de o firmă de audit independentă sau cu amprenta ştampilei organului de stat competent în cazul în care la adunarea generală a acţionarilor (asociaţilor) nu a fost prevăzută efectuarea controlului de audit (de ex. organele financiare raionale (municipale) unde este înregistrată societatea comercială);

2.12. Informaţia despre proprietarul indirect şi beneficiarul efectiv persoanei juridice întocmită conform cerinţelor p.2.1. - 2.11. şi p.3.1. - 3.6. din prezenta anexă.

B.2.13 Pentru proprietarii băncii - persoane juridice care deţin cote mai mici ca 2 la sută din capitalul băncii, banca obţine informaţie conform cerinţei p.2.3 din prezenta anexă.

3.A. Pentru proprietarii băncii care deţin cote mai mari sau egale cu 2 la sută din capitalul băncii/debitorii băncii - persoane fizice:

3.1. Lista persoanelor care sînt în raport de rudenie de gradul I şi II, precum şi soţii proprietarului/debitorului, locurile de muncă şi funcţiile ocupate de către aceştia, informaţia privind funcţiile de administrator ocupate în alte organizaţii, precum şi cotele de participare în valoare de 5 la sută şi mai mult deţinute în capitalul societăţilor comerciale;

3.2. Locurile de muncă şi funcţiile ocupate de către proprietar/debitor, precum şi informaţia privind funcţiile de administrator ocupate în alte organizaţii;

3.3. Informaţia privind societăţile comerciale în capitalul cărora proprietarul/debitorul deţine o cotă de participare în valoare de 5 la sută şi mai mult cu indicarea mărimii acesteia, listei administratorilor societăţilor comerciale în cauză;

3.4. Persoana juridică sau fizică, care acţionează în numele sau în contul proprietarului/debitorului;

3.5. Persoana juridică sau fizică, în numele sau în contul căreia acţionează proprietarul/debitorul;

3.6. Lista altor persoane, care acţionează în comun cu proprietarul/debitorul.

B.3.7 Pentru proprietarii băncii - persoane fizice care deţin cote mai mici ca 2 la sută din capitalul băncii, banca obţine copia actului de identitate ale acestora.

[Anexa nr.1 modificată prin Hot.BNM nr.281 din 07.11.2007, în vigoare 25.01.2008]

[Anexa nr.1 modificată prin Hot.BNM nr.182 din 19.07.2007, în vigoare 24.08.2007]

[Anexa nr.1 introdusă prin Hot.BNM nr.13 din 12.01.06, în vigoare 03.02.06]

Anexa nr.2

Informaţia ce urmează a fi obţinută şi actualizată de către bancă, cel puţin o dată în an, privind membrul consiliului băncii va include, dar nu se va limita la:

1.1. Lista persoanelor care sînt în raport de rudenie de gradul I şi II, precum şi soţii membrului consiliului, locurile de muncă şi funcţiile ocupate ale acestora, informaţia privind funcţiile de administrator ocupate în alte organizaţii, precum şi cotele de participare în valoare de 5 la sută şi mai mult deţinute în capitalul societăţilor comerciale;

1.2. Locurile de muncă şi funcţiile ocupate, precum şi informaţia privind funcţiile de administrator ocupate în alte organizaţii de către membrul consiliului băncii;

1.3. Informaţia privind societăţile comerciale în capitalul cărora membrul consiliului băncii deţine o cotă de participare în valoare de 5 la sută şi mai mult cu indicarea mărimii acesteia, lista administratorilor societăţilor comerciale în cauză, precum şi numele, adresele coproprietarilor acestuia în societăţile comerciale menţionate;

1.4. Persoana juridică sau fizică care acţionează în numele sau în contul membrului consiliului băncii;

1.5. Persoana juridică sau fizică în numele sau în contul căreia acţionează membrul consiliului băncii;

1.6. Lista altor persoane, care acţionează în comun cu membrul consiliului băncii.

[Anexa nr.2 introdusă prin Hot.BNM nr.13 din 12.01.06, în vigoare 03.02.06]