Risicogebaseerde interne audit bij een bank
In dit artikel bespreken we de risicogebaseerde interne audit bij een bank.
Interne audit is een onafhankelijke, objectieve assurance- en consultingactiviteit, ontworpen om waarde toe te voegen en de werking van een organisatie te verbeteren. Het helpt een organisatie bij het realiseren van haar doelstellingen door een systematische, gedisciplineerde aanpak te hanteren voor het evalueren en verbeteren van de effectiviteit van het proces voor risicobeheer, controle en governance.
De controle wijkt af van de inspectie, voor zover het gaat om controle en onderzoek van de verrichtingen op basis van beschikbare gegevens in de bank / het bijkantoor, terwijl de inspectie een feitelijk bezoek aan de ter plaatse betrokken plaats betreft en de bevindingen onderzoekt met het oog op een mening vormen.
Om een effectief internecontrolesysteem bij een grote bank te hebben, moet het over een effectieve, uitgebreide en onafhankelijke inspectie- en auditafdeling beschikken die hun bevindingen over de verrichtingen in de bank rechtstreeks aan de raad van bestuur moet rapporteren. Traditioneel is de interne audit in een bank altijd al op transactiebasis geweest, waarbij de controleurs elke transactie controleerden met name wat betreft hun naleving van de normen, regels en voorschriften van de bank. Het onthulde eenvoudig wat er wel en niet werd gedaan aan de takken en het was slechts een post-mortem van de acties die plaatsvonden in de takken.
Elke afwijking werd vroeger gerapporteerd aan het topmanagement en de vestigingen werd gevraagd om de normen van de bank voor de betreffende transactie te corrigeren en te waarborgen. Er was geen systeem voor het analyseren van het inherente bedrijfs- en controlerisico dat betrokken is bij de transactie. Gezien de toenemende complexiteit van het bankbedrijf en het grotere bewustzijn ten aanzien van risicobeheer bij een bank, worden de taak van toezichthouders en de regelgevende autoriteiten samen met die van de externe accountants steeds veeleisender.
Daarom moet het interne controlesysteem in een bank worden aangevuld met een effectieve interne auditfunctie die onafhankelijk de verschillende risico's en het controlesysteem binnen de organisatie evalueert. De risicogebaseerde audit gaat diep in op de acties van het filiaal en concentreert zich op de oorzaken van fouten of verkeerde actie in de filialen, samen met het falen van de systemen waardoor het filiaal financieel verlies leed. De waarschijnlijkheid van het financiële verlies is het risico dat een kantoor heeft aangegaan door de reeks transacties die het heeft uitgevoerd.
Het risicoprofiel van een bank of een filiaal van een bank is gebaseerd op een beoordeling van de inherente bedrijfsrisico's en controlerisico's op belangrijke gebieden van zijn werking. Een bedrijfsrisicobeoordeling dekt risico's met betrekking tot kapitaal, kredietrisico, marktrisico, winstrisico, liquiditeitsrisico's, bedrijfsstrategie en milieurisico, operationeel risico en groepsrisico's. Controle risicobeoordeling heeft betrekking op beoordeling van de kwaliteit van interne controle, organisatie, management en naleving van wettelijke vereisten.
Kapitaalrisico, marktrisico, groepsrisico, organisatierisico en beheersrisico worden echter op macroniveau geëvalueerd voor de bank als geheel. Op microniveau moeten de takken kijken naar de resterende risicogebieden. De interne auditors moeten het risico identificeren en meten en een geschikt monitoringsactieplan voorstellen om de risico's te beperken. Risicogebaseerde audit is dus een futuristische benadering.
Risicogebaseerde interne audit bij een bank is een vervolg op de aanbevelingen van het Basel Committee II over het minimumkapitaalvereiste voor de banken en hun toezicht, op basis van de risico's verbonden aan hun bedrijfsprofiel.
Als onderdeel van de uitvoering van de aanbevelingen van het Bazelse Comité voor bankentoezicht, hebben de bankregulerende autoriteiten de commerciële banken, ongeacht hun omvang en de aard van hun activiteiten, opdracht gegeven om over te schakelen van het traditionele transactie-georiënteerde interne auditsysteem naar het op risico's gebaseerde interne auditsysteem.
De individuele banken hebben hun eigen module van risico-gerichte interne audit van hun filialen opgesteld en deze beoordeeld op basis van de risicograad die aan hun bedrijfsprofiel is verbonden. Een voorbeeldmodule van het evalueren van de verschillende risico's en het toewijzen van geschikte gewichten (markeringen) aan de risico's, en de uiteindelijke analyse van het samengestelde risicoprofiel van de branche, samen met de trendanalyse, wordt hieronder gegeven:
De bovengenoemde zes risicoposities zijn illustratief en er kunnen maar liefst 40 risicopunten onder het kredietrisico staan. De toegewezen punten voor elk risiconiveau kunnen variëren afhankelijk van de intensiteit van het risico.
De bovenstaande twee items zijn illustratief en er kunnen meer dan 10 risicoposten onder het risico van inkomsten liggen.
De twee bovenstaande posten zijn illustratief en er kunnen ten minste 10 risicoposten zijn met een winstrisico.
Het totale aantal risicogebieden met operationeel risico kan groter zijn dan 30 en bovenstaande items zijn louter illustratief.
Het totale aantal risicogebieden onder het risico van interne controle kan hoger zijn dan 30 en de bovenstaande items zijn louter illustratief.
Het totale aantal risicogebieden met compliancerisico kan groter zijn dan 30 en de bovenstaande vier items zijn slechts illustratief.
Risicogebaseerd beoordelingsformulier voor de interne audit:
* Het samengestelde risico wordt bereikt met behulp van de volgende risicomatrix:
De trendanalyse van het samengestelde risico wordt geïnterpreteerd zoals hieronder weergegeven:
Volgbaar actieplan:
Terwijl hij het rapport indient onder een risico gefocuste audit, dient de auditor een te controleren actieplan in op basis van de risicoportefeuille van een bank / filiaal. De auditors geven een overzicht van de verschillende acties die moeten worden ondernomen om de verschillende risico's te verminderen en de algehele verbetering van de risicoperceptie van de activiteiten van de bank.
Het door de auditors voorgestelde actieplan wordt door de bevoegde autoriteiten gecontroleerd op hun juiste uitvoering. Het auditrapport kan alleen worden afgesloten na rectificatie van de individuele onregelmatigheden waarop de auditors hebben gewezen en nadat de nodige acties zijn gestart, zoals voorgesteld in het plan voor monitoring.
