BANCA NAŢIONALĂ
Hotărîre privind Recomandările Băncii Naţionale a Moldovei
cu privire la sisteme de control intern în băncile comerciale
din Republica Moldova
Nr.330 din 09.11.98
Monitorul Oficial al R.Moldova nr.14-15/37 din 12.02.1999
* * *
În baza articolului 11 din Legea cu privire la Banca Naţională a
Moldovei şi întru executarea articolului 44 din Legea cu privire la
Banca Naţională a Moldovei şi articolelor 1, 17, 25, 29, 33 şi 34 din
Legea instituţiilor financiare şi în scopul stabilirii mecanismului
referitor la sistemele de control intern în bănci, Consiliul de
Administraţie al Băncii Naţionale a Moldovei
HOTĂRĂŞTE:
1. Se aprobă Recomandările cu privire la sistemele de control intern
în băncile din Republica Moldova (se anexează).
2. Băncile să perfecteze mecanismul controlului intern ţinînd cont
de Recomandările Băncii Naţionale.
3. Controlul asupra îndeplinirii acestei hotărîri se pune în sarcina
Departamentului Reglementare şi Supraveghere Bancară (dl Radu Musteaţa).
4. Prezenta hotărîre intră în vigoare din data adoptării cu
publicarea ulterioară în Monitorul Oficial al Republicii Moldova.
PREŞEDINTELE
CONSILIULUI DE ADMINISTRAŢIE
AL BĂNCII NAŢIONALE A MOLDOVEI Leonid TALMACI
Chişinău, 9 noiembrie 1998.
Nr. 330.
APROBAT
prin Hotărîrea Consiliului de
Administraţie al Băncii
Naţionale a Moldovei
nr.330 din 9 noiembrie 1998
RECOMANDĂRI
CU PRIVIRE LA SISTEMELE DE CONTROL INTERN
ÎN BĂNCILE DIN REPUBLICA MOLDOVA
1. Dispoziţii generale
1.1. Prezentele Recomandări cu privire la sistemele de control
intern în băncile din Republica Moldova (în continuare Recomandări) sînt
elaborate în conformitate cu împuternicirile Băncii Naţionale a
Moldovei, prevăzute la articolele 11 şi 44 din Legea cu privire la Banca
Naţională a Moldovei şi la articolele 17, 25, 29, 33 şi 34 din Legea
instituţiilor financiare.
1.2. O condiţie esenţială în vederea asigurării funcţionării
eficiente a sistemului financiar este stabilirea de către bănci şi alte
instituţii financiare a sistemelor de control intern.
1.3. Scopul principal al sistemelor de control intern este
protejarea intereselor deponenţilor, a instituţiei financiare şi a
clientelei acesteia pe calea minimizării riscurilor activităţii
financiare, controlului respectării de către instituţia financiară a
legislaţiei în vigoare, reglementării conflictelor de interese,
asigurării unui nivel necesar de securitate, care ar corespunde
caracterului şi volumului operaţiunilor efectuate de către instituţia
financiară. Sistemul de control intern al instituţiei financiare trebuie
să asigure că veniturile sporesc profitul, cheltuielile sînt autorizate
şi efectuate conform destinaţiei, că activele sînt adecvat protejate, că
obligaţiunile sînt înregistrate corect şi riscurile sînt limitate.
2. Responsabilitatea
2.1. Consiliul instituţiei financiare sau, conform deciziei
acestuia, organul împuternicit este responsabil pentru elaborarea şi
implementarea unor sisteme adecvate de control intern, de care depinde
funcţionarea instituţiei în conformitate cu legislaţia în vigoare,
inclusiv exigenţele Băncii Naţionale faţă de raportare, precum şi cu
documentele normative interne.
3. Sistemele şi procedurile de control intern
3.1. Sistemul de control intern al băncii reprezintă un complex de
măsuri, regulamente şi reglementări, limitări, relaţii de
emitere-executare-raportare-control al dispoziţiilor conducerii băncii,
adoptate în scopul gestionării corecte şi eficiente a instituţiei
financiare în conformitate cu legislaţia în vigoare, interesele
depunătorilor (clientelei) şi acţionarilor, în baza unei informaţii
autentice, complete şi operative. La elaborarea sistemelor de control se
iau în consideraţie volumul, numărul şi tipul tranzacţiilor,
diversitatea operaţiilor, gradul de risc asociat cu fiecare domeniu de
activitate, volumul controlului din partea conducerii asupra activităţii
zilnice, gradul de centralizare şi descentralizare, precum şi gradul şi
metodele de utilizare a procesoarelor bazei de date electronice.
3.2. Banca Naţională consideră că descrierea în detalii a
modalităţii în care o anumită instituţie ar trebui să implementeze
propriul sistem de control intern nu este necesară. Cu toate acestea,
Banca Naţională insistă asupra aplicării unor sisteme de control intern
oportune şi, reieşind din aceste considerente, a descris în prezentele
Recomandări principiile fundamentale, care trebuie respectate în
procesul elaborării propriilor sisteme de control intern.
3.3. Instituţiile financiare trebuie să elaboreze propriile sisteme
de control intern, în baza principiilor fundamentale din prezentele
Recomandări şi să le adapteze la activitatea lor bancară şi la riscul
implicat. Sistemele de control, în măsura în care ele se referă la
activitatea instituţiei financiare, trebuie să fie incluse în
instrucţiuni şi îndrumări astfel, ca să asigure efectuarea operaţiunilor
financiare într-un mod sigur şi prudent. În cadrul sistemelor de control
intern, instituţiile financiare organizează o subdiviziune a auditului
intern, acordînd atenţia cuvenită principiilor descrise în prezentele
Recomandări.
4. Cerinţele de ordin general
4.1. Obiectivele procedeelor de control intern
Sistemele de control intern trebuie să asigure cel puţin că:
1) afacerile sînt planificate şi conduse în mod ordonat, prudent şi
eficient din punct de vedere al costului, în conformitate cu preţurile
stabilite;
2) tranzacţiile şi angajamentele sînt îndeplinite în conformitate cu
limitele competenţei administratorilor şi a funcţionarilor instituţiilor
financiare;
3) conducerea este în stare să protejeze activele şi să controleze
tranzacţiile cu pasivele; să asigure că există măsuri de minimizare a
riscului pierderilor din nereguli, fraude, erori şi de identificare a
acestora la timp;
4) registrele contabile şi alte registre oferă informaţie veridică,
completă şi oportună;
5) conducerea este în stare să administreze regulat şi la timp
caracterul adecvat al capitalului, lichidităţii, profitabilităţii şi
calităţii activelor instituţiei;
6) conducerea este capabilă să identifice, să evalueze în mod
regulat şi să determine riscul pierderilor în procesul efectuării
tranzacţiilor în aşa fel încît:
a) riscul să poată fi dirijat şi controlat regulat şi la timp;
b) să se poată forma rezerve adecvate pentru eventuale pierderi de
la credite şi de la alte active, precum şi de la angajamentele
extrabilanţiere;
7) conducerea este capabilă să întocmească rapoarte complete,
corecte şi oportune în conformitate cu instrucţiunile Băncii Naţionale.
4.2. Domeniul aplicării şi tipul procedeelor de control
în vederea asigurării atingerii obiectivelor sistemului de control
intern, conducerea trebuie să determine domeniul aplicării şi tipul
procedeelor de control intern care urmează a fi adoptate. La elaborarea
procedeelor trebuie luat în consideraţie costul stabilirii şi menţinerii
controlului în raport cu beneficiul instituţiei financiare. Însă
factorul legat de cost nu va constitui pentru Banca Naţională drept
motiv pentru neimplementarea unor procedee adecvate de control.
4.3. Responsabilitatea conducerii pentru eficienţa controlului
Conducerea instituţiei financiare este responsabilă pentru
revizuirea, dirijarea şi controlul în mod regulat a sistemelor de
control intern în vederea asigurării eficienţei lor în afaceri. Această
funcţie este, de regulă, încredinţată unei unităţi (secţii, diviziuni
sau departament) a cărei independenţă de activitatea cotidiană ar trebui
sa fie asigurată prin responsabilitatea directă a acesteia faţă de
consiliul instituţiei financiare şi comisia de cenzori. în scopul
asigurării flexibilităţii, operativităţii şi obiectivităţii
subdiviziunea dată se subordonează nemijlocit consiliului instituţiei
financiare.
5. Obiectivele controlului
5.1. Domeniul aplicării şi tipul obiectivelor controlului
Domeniul aplicării şi tipul obiectivelor controlului, care sînt
necesare pentru dirijarea prudentă a afacerilor, trebuie să fie adaptate
la specificul instituţiei şi trebuie să corespundă felului în care
activitatea este structurată, organizată şi gestionată, tipului,
volumului, numărului şi complexităţii tranzacţiilor şi angajamentelor.
5.2. Obiectivele controlului
Elaborînd sistemele şi procedeele de control proprii, fiecare
instituţie trebuie să realizeze cel puţin următoarele obiective:
1) controale organizatorice şi administrative;
2) metode de dirijare;
3) separarea funcţiilor şi obligaţiilor;
4) procedee de autorizare şi aprobare;
5) procedee de ţinere a evidenţei;
6) procedee de protejare;
7) procedee de verificare;
8) procedee de evaluare.
5.3. Controale organizatorice şi administrative
O instituţie financiară trebuie să elaboreze şi să ţină:
1) un document concis despre obiectivele politice şi strategice pe
termen scurt şi pe termen lung ale instituţiei;
2) regulamente interne în care se descrie detaliat funcţiile,
obligaţiile şi responsabilităţile funcţionarilor, liniile de raportare
şi comunicare;
3) un document cu descrierea clară a politicii, practicii şi
procedeelor contabile;
4) un document cu descrierea procedeelor şi controalelor
operaţionale zilnice computerizate şi manuale; documentarea referitor la
evidenţa contabilă şi sistemele de control, inclusiv un registru al
schimbărilor din sistem, în care se indică data şi numele persoanelor
autorizate la implementarea acestora;
5) un registru, care trebuie periodic înnoit, cu semnăturile
persoanelor autorizate, inclusiv specimenele de semnături, determinînd
pentru fiecare dintre aceste persoane limita competenţei lor;
6) un registru cu chestiunile discutate la adunările importante
închise şi deschise; un registru cu notele de serviciu interne;
corespondenţa cu organele de drept referitor la împrumuturile şi plăţile
în avans;
7) procedee de planificare, de autorizare şi iniţiere a noilor
tipuri de activitate, incluzînd, la necesitate, o explicaţie a
înţelegerii riscului implicat, limitele admisibile şi procedeele pentru
ţinerea evidenţei contabile necesare, alte registre şi sisteme de
control intern;
8) un cod de conduită a funcţionarilor şi un regulament cu privire
la politica de reglementare a conflictelor de interese în bancă;
9) un program de instruire a funcţionarilor, precum şi măsurile
necesare pentru a-i ţine pe lucrători la curent cu obligaţiile lor şi cu
toate schimbările sau performanţele din cadrul instituţiei; metodele de
selecţie privind asigurarea ajustării aptitudinilor profesionale şi
personale ale angajaţilor cu responsabilităţile lor; procedurile
continue pentru repartizarea responsabilităţilor între angajaţi şi
pentru verificarea competenţei lor.
5.4. Metodele de dirijare
Tipul metodelor descrise mai jos, felul în care informaţia este
prezentată şi caracterul detaliat al acesteia vor varia în dependenţă de
nivelul managementului care dirijează cu informaţia în cauză. În mod
similar, importanţa şi tipul metodelor vor determina nivelul
corespunzător al managementului necesar pentru îndeplinirea indicaţiilor.
O instituţie trebuie:
1) să verifice regulat (zilnic, săptămînal şi/sau lunar) rapoartele,
indicînd poziţiile reale de risc faţă de limitele admisibile sau
rapoartele extraordinare, indicînd doar acele poziţii, care depăşesc sau
sînt pe cale de a depăşi limitele admise. Aceste limite trebuie să
corespundă timpului, volumului şi tipului tranzacţiilor efectuate şi
trebuie, acolo unde este necesar, să includă date referitor la omologi,
ramurile economice, aşezarea geografică a ţării, lichiditatea, devierile
în ratele dobînzii şi limitele poziţiei cu privire la hîrtiile de
valoare, precum şi limitele referitor la poziţiile comerciale de zi şi
overnight pe piaţa operaţiunilor valutare, contractele la termen,
opţiuni, swaps-uri (operaţiunile de schimb financiar);
2) să elaboreze proceduri de identificare, raportare şi soluţionare
a încălcărilor referitoare la controalele sau excesele de limite; să
aibă explicaţii în scris la acţiunile aprobate referitor la poziţiile
care depăşesc limitele admisibile; să elaboreze sisteme care asigură că
angajamentele pot fi corect şi sistematic evaluate în raport cu aceste
limite şi indică poziţiile care sînt pe cale de a depăşi limitele
admisibile astfel, ca în caz de necesitate, conducerea să poată lua
măsuri de rigoare;
3) să elaboreze proceduri care asigură transmiterea regulată şi la
timp a informaţiei veridice conducerii băncii;
4) să verifice frecvent şi regulat realizarea politicii stabilite şi
a procedurilor legate de efectuarea operaţiunilor creditoare; să
verifice şi să evalueze frecvent şi regulat calitatea împrumuturilor
individuale şi a plăţilor în avans (inclusiv a gajului) în vederea
depistării la timp a problemelor legate de împrumuturile dubioase şi
compromise, oferind conducerii posibilitatea de a evalua efectul lor
asupra activităţii instituţiei financiare;
5) să verifice periodic profiturile realizate şi nerealizate şi
pierderile care rezultă din activele cumpărate pentru vînzare;
6) să verifice periodic sursa, concentrarea şi probabilitatea
retragerii depozitelor;
7) să verifice lunar rapoartele despre rezultatele actuale şi
analiza performanţei, atît separat cît şi în mod consolidat, în
comparaţie cu bugetele operaţionale şi rezultatele perioadei contabile
precedente;
8) să fie la curent cu prevederile statutului instituţiei
financiare, precum şi cu prevederile de supraveghere şi de reglementare
din regulamentele şi instrucţiunile elaborate de Banca Naţională în
scopul stabilirii dacă activitatea instituţiei corespunde cerinţelor; să
verifice rapoartele conform acestor cerinţe;
9) să verifice statutul de impozitare şi poziţia instituţiei,
supunerea ei la impozitele curente şi proviziile ei pentru impozitul
amînat.
5.5. Separarea atribuţiilor şi competenţelor
Separarea atribuţiilor reduce riscul manipulării intenţionate sau al
erorilor, mărind elementul de control. Funcţiile care trebuie să fie
separate sînt: de autorizare, de executare, de custodie şi de
înregistrare; şi în cazul în care există un sistem de contabilitate
computerizat este necesară o separare între elaborarea sistemelor şi
aplicarea lor pentru operaţiunile zilnice. O instituţie trebuie să
dispună de proceduri necesare pentru a asigura:
1) că diferite persoane sînt responsabile pentru păstrarea
registrelor, custodia fizică a activelor şi pentru autorizarea,
iniţierea şi supravegherea generală a tranzacţiilor şi angajamentelor
luate;
2) că separarea se face în aşa fel, încît nici o persoană să nu
poată în mod intenţionat sau neintenţionat să-şi însuşească nelegitim
activele, să facă o declaraţie falsă cu privire la pasive sau să
înregistreze incorect tranzacţiile fără a fi depistat ulterior.
5.6. Autorizarea şi aprobarea
Prin autorizare se are în vedere procesul prin care se consimte o
propunere de a supune instituţia la risc sau de a distribui riscurile
existente. Prin aprobare se are în vedere procesul prin care o astfel de
autorizare este aplicată în practică prin intermediul anumitor
tranzacţii. În unele circumstanţe aceste procese au loc simultan.
Corespunzător, o instituţie trebuie să dispună de proceduri care să
asigure:
1) că angajamentele sînt îndeplinite în conformitate cu intenţiile
şi împuternicirile managementului instituţiei financiare;
2) promovarea politicii de autorizare care prevede limita pentru
împuternicirile (autorizările) generale şi speciale şi numele
persoanelor responsabile pentru exercitarea fiecărei împuterniciri;
realizarea politicii de autorizare care prevede circumstanţele acordării
de către preşedintele şi vicepreşedinţii instituţiei financiare a unei
autorizări speciale asupra unei autorizări generale;
3) plata sau alte tranzacţii legate de autorizările descrise la (1)
şi (2) sînt aprobate în corespundere cu aceste autorizări.
5.7. Evidenţa
O instituţie trebuie să dispună de proceduri care să asigure:
1) înregistrarea corectă a tranzacţiilor şi angajamentelor
autorizate, reale şi eventuale, spot şi forward, în registrele contabile
în aşa fel, încît ele să poată fi trecute în bilanţ în perioada în care
acestea sînt reflectate şi în raportul de profit şi pierderi în perioada
la care se referă;
2) imposibilitatea înregistrării tranzacţiilor fictive;
3) existenţa de facto a activelor şi pasivelor trecute în registrele
contabile sau în alte tipuri de registre;
4) trecerea zilnică în registru a tranzacţiilor şi balansarea
conturilor la sfîrşitul fiecărei zile;
5) în cazul în care registrele sînt păstrate într-un sistem
computerizat de contabilitate, efectuarea controlului eficient şi a
controalelor ulterioare complete şi adecvate;
6) verificarea corectitudinii aritmetice a înregistrărilor;
păstrarea şi controlul totalurilor, verificărilor, conturilor de
regularizare şi bilanţurilor de probă; verificarea prin sistemul de
contabilitate a documentelor; raportarea conducerii despre erori şi
divergenţe;
7) evidenţa documentelor în baza cărora s-a înregistrat o tranzacţie
sau un angajament şi care demonstrează că acestea au fost trecute în
contabilitate sau alte registre;
8) în cazul în care împrumutul trecut în registrele contabile ale
sucursalei instituţiei financiare străine este acordat în baza
dispoziţiei oficiului central, existenţa registrului persoanelor
autorizate şi a justificării acordării creditelor la nivel de sucursală;
9) ca orice operaţie real efectuată să-şi găsească reflectare
completă, adecvată şi în timp util în evidenţa contabilă a instituţiei
financiare.
5.8. Protecţia
O instituţie trebuie să asigure că:
1) se îndeplinesc procedurile de securitate şi măsurile de atribuire
a responsabilităţii pentru custodia fizică a activelor anumitor persoane
autorizate care sînt independente de funcţiile contabile; atît accesul
direct, cît şi cel documentar indirect la active se limitează doar la
persoanele autorizate;
2) procedurile de securitate şi măsurile includ, în special,
precauţii fizice pentru activele portabile, negociabile, de schimb şi
cele la purtător prin utilizarea cartotecilor încuiate pentru cambiile
bancare, certificatele de depozit şi altor formulare de evidenţă strictă
neutilizate, şi a caselor de bani neinflamabile pentru protecţia
valutei, titlurilor de valoare etc.;
3) există proceduri de securitate referitor la custodia activelor în
numele clienţilor sau altor persoane fie în numele lor, fie în numele
unei persoane numite în locul lor;
4) există metode de protejare a registrelor contabile şi a altor
tipuri de registre.
5.9. Verificarea
O instituţie financiară trebuie să elaboreze şi să deţină proceduri
care să asigure că:
1) registrele contabile sînt confruntate regulat şi la timp cu
activele, documentele şi conturile de regularizare respective; de
exemplu, verificarea conturilor "Nostro" cu extrasele din cont,
verificarea soldurilor de pe conturile de împrumuturi, investiţii,
active fixe şi ale clienţilor cu rapoartele detaliate, conturile de
regularizare şi documentele de confirmare a dreptului de proprietate,
registrele agenţilor de schimb despre poziţiile comerciale cu poziţiile
din registrele contabile şi analiza regulată şi la timp a clearingului
tranzacţiilor plasate în conturile suspendate; periodicitatea
verificării depinde de volumul şi tipul tranzacţiilor trecute printr-un
anumit cont verificat şi de mărimea contului de bilanţ;
2) determinarea naturii şi volumului diferenţelor de verificare;
investigarea poziţiilor de verificare şi verificarea clearingului
ulterior, unde este necesară, ajustarea registrelor contabile cu
autorizarea nivelului respectiv de management;
3) explicarea modificărilor dintre bilanţurile de închidere a unei
perioade contabile şi deschidere a altei perioade, precum şi
investigarea şi raportarea oricăror divergenţe nivelului corespunzător
de management;
4) schimbul rapid de confirmări ale tranzacţiilor are loc cu
participarea unei terţe părţi, care poate fi efectuat manual, folosind
serviciile poştale sau metodele de transmitere electronică;
5) periodicitatea verificărilor depinde de numărul şi tipul
operaţiilor, volumul şi numărul tranzacţiilor.
5.10. Evaluarea
O instituţie financiară trebuie să dispună de măsuri pentru a
asigura că:
1) activele ţinute în scopuri comerciale sînt reevaluate în mod
regulat la preţurile verificate independent de agenţii de schimb (în
general acest lucru ţine de competenţa oficiului de sprijin (back/middle
office);
2) valoarea activelor, pasivelor, drepturilor şi obligaţiilor
extrabilanţiere este revizuită şi evaluată regulat;
3) se formează şi se înregistrează rezerve şi alte ajustări contra
acestor active şi drepturi pentru a le aduce în corespundere cu
prevederile legislaţiei în vigoare şi actelor normative ale BNM, cu
standardele de contabilitate şi politica contabilă a instituţiei
financiare.
6. Sistemele de control privind procesarea automatizată
a datelor (PAD)
6.1. Obiectivele controlului
Obiectivele de control descrise mai sus pot fi realizate în cazul
activităţii desfăşurate atît într-un mediu manual, cît şi în unul
computerizat, totuşi, anumite aspecte ale sistemului de control intern
sînt caracteristice doar pentru mediul PAD. De aceea, securitatea
datelor şi procedeele de control sînt o parte integrantă a sistemului de
control al unei instituţii şi este important ca conducerea să înţeleagă
interdependenţa dintre controlul computerizat şi întregul sistem de
control. în timp ce o instituţie poate să atingă şi să menţină sisteme
computerizate eficiente şi sigure prin echilibrarea controalelor manuale
şi a celor computerizate, acest echilibru va varia de la o instituţie la
alta, reflectînd riscurile proprii fiecărei bănci şi costul în parte şi
comparativ al procedurilor de control manuale şi automatizate. O atenţie
deosebită necesită aplicaţiile la computerele personale, deoarece
standardele de control sînt asociate cu sistemele mai mari şi sînt de
obicei mai greu de menţinut.
6.2. Riscurile sistemelor de procesare a bazei de date electronice
Riscurile tipice şi, în multe cazuri, în mod unic asociate cu
operaţiile computerizate pot fi:
1) Riscul de extindere
Un eşec în planificarea, extinderea noilor sisteme sau întîrzierea
implementării sistemelor cheie poate avea consecinţe comerciale
semnificative. De asemenea, eşecul în anticiparea şi cunoaşterea noilor
descoperiri în domeniul tehnicii poate duce la introducerea unor sisteme
neadecvate.
2) Erorile
Erorile apar, de obicei şi în mod frecvent, în timpul introducerii
datelor şi în timpul extinderii şi reorganizării programelor. Erori
semnificative pot avea loc în procesul modelării sistemului în timpul
activităţii administrative de rutină şi în timpul utilizării programelor
de corectare a erorilor. Cauza este, de obicei, o eroare a angajaţilor
şi rareori una a sistemului electronic mecanic intern. Erorile pot fi
introduse în sistem atunci, cînd ele sînt adaptate necesităţilor unui
anumit utilizator. La procurarea unui pachet software modificările
sistemului trebuie să fie reduse la minimum.
3) Întreruperea lucrului
Sistemele computerizate sînt deosebit de vulnerabile la daunele
cauzate de factori externi, accidente precum şi la daune premeditate.
Costurile unui eşec al sistemului pot depăşi cu mult costurile
înlocuirii echipamentului dăunat, datelor şi software-lui. De aceea, se
recomandă utilizarea sistemelor back-up (vezi 6.3.3) de mai jos).
4) Fraudele şi accesul neautorizat la informaţia confidenţială
Tranzacţiile frauduloase în sistemul de procesare automatizată a
datelor provoacă pierderi considerabile şi pot fi generate în diferite
moduri. Pierderea confidenţialităţii unei anumite informaţii poate sa-i
facă pe clienţi să piardă încrederea în bancă; accesul neautorizat la
business-planuri şi bugete pot slăbi poziţia competitivă a băncii pe
piaţă. Astfel de situaţii pot apărea în cazurile în care:
a) se fac modificări neautorizate în dispoziţiile de plată înainte
de a le introduce în sistem;
b) tranzacţiile neautorizate sînt introduse direct prin terminale;
c) se efectuează schimbări neautorizate în programe în timpul
extinderii sau întreţinerii tehnice, ceea ce poate cauza ca programul să
genereze tranzacţii frauduloase în mod automat, să ignoreze cecurile de
control pe conturile selectate, să lichideze registrele anumitor
tranzacţii sau să treacă peste căile obişnuite de audit din sistem;
d) fişierele pot fi lichidate din computer ori schimbate în altă
parte prin introducerea unor tranzacţii frauduloase sau prin lichidarea
tranzacţiilor sau bilanţurilor aprobate, apoi restituite fără a fi
identificat acest fapt;
e) la informaţia confidenţială cu privire la clienţi şi conturile
lor, registrele referitoare la conducerea băncii, sisteme, bugetele
corporative şi strategiile de planificare au acces persoane neautorizate;
f) tranzacţiile pot fi introduse sau interceptate şi modificate
fraudulos în timpul transmiterii prin reţeaua de telecomunicaţii.
6.3. Controalele şi procedeele sistemelor de procesare a bazei de
date electronice
O atenţie deosebită necesită procedeele şi controalele care pot
contribui la sporirea eficacităţii, integrităţii şi securităţii
sistemelor computerizate precum şi la minimizarea riscurilor
identificate mai sus:
1) Riscul implementării
Implementarea operaţiilor computerizate necesită planificare
strategică de lungă durată a echipamentului şi a sistemului software,
studii de fezabilitate cuprinzătoare, specificare exactă a cerinţelor
sistemului, selectare atentă a furnizorilor de hardware şi software şi
un control riguros al proiectului. Este, de asemenea, important să se
ţină o evidenţă a documentaţiei pentru modelarea şi operarea sistemului
de computere şi un registru al schimbărilor ulterioare sau completărilor
acestuia.
2) Erorile
Pentru păstrarea registrelor corecte şi complete ale tranzacţiilor
şi angajamentelor, bilanţurilor sau informaţiei de altă natură sînt
necesare standarde severe de control al erorilor. Controlul datelor şi
procedeelor de verificare şi confirmare a autenticităţii mesajelor,
telecomunicărilor sînt de importanţă vitală pentru prevenirea şi
depistarea erorilor. Este, de asemenea, importantă existenţa procedeelor
care să asigure că specificul sistemului corespunde necesităţilor
instituţiei, proiectele sînt verificate, sistemele sînt testate în modul
cuvenit înainte de implementare şi documentarea este corectă.
3) Întreruperea lucrului
O importanţă deosebită au procedeele şi controalele de protejare a
hardware, software şi a datelor împotriva incendiilor, inundaţiilor,
reducerii tensiunii în reţeaua electrică şi daunelor premeditate.
Trebuie să existe procedee adecvate de recuperare şi testare a tehnicii,
la care s-ar putea apela atunci, cînd au loc evenimente care cauzează
deteriorarea sistemului. Controlul asupra întreruperii lucrului începe
cu elaborarea meticuloasă şi amplasarea centrelor de computere; acest
lucru este condiţionat de necesitatea în capacitatea dublă a
telecomunicaţiilor şi reţelelor de computere pentru a limita
consecinţele nefavorabile ale deteriorării componenţilor individuali
prin depistarea focarelor de incendiu şi utilizarea echipamentului de
stingere, a unei surse secundare de energie, şi prin realizarea unor
planuri de restabilire, în caz dacă centrul de computere este afectat de
incendiu, inundaţie, explozie sau de întreruperea sursei de energie
electrică.
4) Fraudele şi accesul neautorizat la informaţia confidenţială
înainte de efectuarea controalelor efeciente de prevenire a
fraudelor se identifică punctele vulnerabile ale sistemului. Securitatea
şi sistemele de control necesare pentru protejarea instituţiei împotriva
fraudelor şi accesului neautorizat la informaţia confidenţială includ
dispozitive de securitate şi procedee de prevenire a accesului
neautorizat la instalaţiile hardware de computere, la software, la
bazele de date şi parole (care trebuie schimbate regulat) pentru a
îngrădi accesul la programele de computer şi bazele de date. Poate fi
necesară cifrarea informaţiei confidenţiale aşa, încît dacă ea este
pierdută sau interceptată să nu poată fi descifrată, înţeleasă şi
manipulată. Controlul asupra accesului la software la etapa de
dezvoltare a sistemului este de importanţă vitală. Sistemul software
trebuie sa fie elaborat în aşa fel, ca el să semnaleze despre
încercările de acces neautorizat la instalaţiile hardware şi software.
Ele trebuie să fie elaborate în aşa fel ca să poată semnala şi documenta
toate schimbările, ştergerile şi adăugirile la fişierele de bază.
7. Auditul intern
7.1. Funcţia de bază a auditului intern
Auditul intern este parte integrantă a sistemului de control intern,
organizat şi menţinut de conducerea instituţiei financiare şi se
deosebeşte de funcţia de control primar al unei unităţi (secţii,
diviziuni, departament) de inspecţie/control care asigură controlul
zilnic asupra tranzacţiilor şi operaţiilor. Funcţia de control a
auditului intern constă în dirijarea controlului zilnic şi supravegherea
procedeelor acestuia. Această funcţie se deosebeşte de cea a unei
subdiviziuni de inspecţie care, de regulă, asigură un control zilnic
asupra tranzacţiilor şi operaţiunilor.
7.2. Obiectivele auditului intern
Realizarea obiectivelor auditului intern depinde de atitudinea
conducerii instituţiei financiare faţă de necesităţile şi obligaţiile
acesteia. În evaluarea eficienţei auditului intern o importanţă
considerabilă au termenele de referinţă, independenţa de managementul
operaţional, regimul de comunicare a datelor şi nivelul profesional al
personalului.
7.3. Crearea şi organizarea auditului intern
1) Instituţiile financiare îşi organizează subdiviziunea auditului
intern în conformitate cu prezentele Recomandări;
2) subdiviziunea auditului intern funcţionează în baza
regulamentului intern cu privire la auditul intern, aprobat de consiliul
instituţiei financiare, care trebuie să includă informaţia cu privire la
modul de organizare, drepturile şi obligaţiile, conlucrarea cu alte
subdiviziuni ale instituţiei financiare etc.;
3) structura şi numărul funcţionarilor subdiviziunii auditului
intern se determină de către consiliul instituţiei financiare.
Personalul scriptic trebuie să fie suficient pentru realizarea
scopurilor şi soluţionarea problemelor controlului intern şi nu trebuie
să fie implicat în efectuarea nemijlocită a operaţiunilor bancare;
4) conducătorul auditului intern se numeşte în funcţie prin
hotărîrea consiliului instituţiei financiare sau prin hotărîrea
organului executiv al instituţiei financiare, coordonată cu consiliul
instituţiei financiare (conform statutului);
5) modul raportării curente a auditului intern faţă de organul
competent al instituţiei financiare este prevăzut în regulamentul intern
cu privire la auditul intern al instituţiei financiare. Pe lîngă
rapoartarea curentă auditul intern, cel puţin o dată pe an, pregăteşte
un raport consiliului instituţiei financiare.
7.4. Funcţiile auditului intern
Auditul intern are următoarele funcţii:
1) să asigure efectuarea monitoringului permanent al riscurilor
activităţii financiare şi al riscurilor operaţionale, analizei curente a
situaţiei financiare, să verifice şi să analizeze starea controlului
intern în subdiviziunile instituţiei financiare, precum şi s-o aprecieze
în modul corespunzător, să controleze implementarea politicii de
management;
2) să verifice registrele contabile şi de altă natură, să analizeze
tranzacţiile şi bilanţurile;
3) să organizeze şi să asigure controlul permanent prin intermediul
inspecţiilor şi reviziilor sistematice ale activităţii subdiviziunilor
instituţiei financiare privind corespunderea acţiunilor lor prevederilor
legislaţiei, actelor normative, precum şi regulamentelor şi documentelor
interne, care reglementează activitatea şi definitivează politica
instituţiei financiare, instrucţiunilor funcţionale;
4) de sine stătător şi/sau în comun cu alte organe şi persoane cu
funcţii de răspundere să examineze cazurile încălcărilor de către
funcţionarii instituţiilor financiare a legislaţiei, actelor normative,
regulamentelor şi documentelor interne care reglementează activitatea şi
definitivează politica instituţiei financiare, deciziilor organelor de
conducere a instituţiei financiare şi instrucţiunilor lor funcţionale;
5) să exercite controlul asupra lichidării încălcărilor;
6) să asigure întocmirea documentaţiei fiecărui control şi să
perfecteze concluziile privind rezultatele controlului, care reflectă
toate problemele examinate în cadrul controlului, neajunsurile şi
încălcările depistate, propunerile asupra lichidării acestora;
7) să asigure integritatea şi restituirea documentelor primite de la
subdiviziunile corespunzătoare;
8) să prezinte concluzii pe rezultatele controalelor conducerii
instituţiei financiare şi subdiviziunilor corespunzătoare pentru luarea
măsurilor asupra lichidării încălcărilor, precum şi în scopul analizei
activităţii unor anumiţi funcţionari ai instituţiei financiare;
9) să informeze la timp consiliul instituţiei financiare despre:
a) riscurile depistate din nou;
b) cazurile privind încălcarea de către funcţionari a legislaţiei,
prevederilor actelor normative, dispoziţiilor interne;
c) măsurile luate de către conducătorii subdiviziunilor controlate
privind lichidarea încălcărilor comise şi rezultatele acestora;
10) să facă cercetări pentru conducerea instituţiei financiare;
11) să controleze organizarea lucrului privind studierea de către
funcţionarii instituţiei a legislaţiei, actelor normative,
regulamentelor şi documentelor interne ale instituţiei financiare,
pornind de la funcţiile pe care le deţin.
7.5. Responsabilitatea auditului intern
Auditul intern, de regulă, comunică datele direct conducerii de vîrf
a instituţiei financiare - consiliului instituţiei financiare şi/sau
comisiei de cenzori.
7.6. Comisia de cenzori
Comisia de cenzori supraveghează funcţia de audit intern a
instituţiei financiare (secţie, diviziune, departament), face legătură
cu auditorii externi şi comunică datele consiliului băncii. Comisia de
cenzori stabileşte pentru bancă proceduri de evidenţă contabilă şi de
înregistrare, precum şi sistemele de control intern în conformitate cu
art.20 din Legea instituţiilor financiare, art.71 şi 72 din Legea
privind societăţile pe acţiuni şi prezentele Recomandări.
8. Dispoziţii finale
8.1. Prezentele Recomandări intră în vigoare la data aprobării cu
publicarea ulterioară în Monitorul Oficial al Republicii Moldova.
8.2. Băncilor, în termen de pînă la 1 iulie 1999, li se recomandă să
perfecţioneze mecanismul controlului intern, ţinînd cont de prevederile
prezentelor Recomandări.
8.3. Banca Naţională va verifica caracterul adecvat al sistemelor de
control intern ale fiecărei bănci în timpul inspecţiilor. Rezultatele
vor fi prezentate conducerii băncii.
Lasă-ne feedback-ul tău! 😊
Ne dorim să îți oferim cea mai bună experiență pe site-ul nostru și apreciem orice sugestie care ne poate ajuta să îl îmbunătățim.
Trimite-ne feedback-ul tău pe email-ul nostru moldlex@stisc.gov.md, facând click pe butonul de mai jos.
Opinia ta contează și ne ajută să devenim mai buni! 🚀