pentru punerea în aplicare a Normelor privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurători
În temeiul prevederilor art. 5 lit. a), ale art. 8 alin. (1) şi ale art. 20 alin. (3) lit. c) şi c^2) din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurărilor, cu modificările şi completările ulterioare,potrivit Hotărârii Consiliului Comisiei de Supraveghere a Asigurărilor din data de 20 iunie 2006, prin care s-au adoptat Normele privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurători,preşedintele Comisiei de Supraveghere a Asigurărilor emite următorul ordin: +
Articolul 1Se pun în aplicare Normele privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurători, prevăzute în anexa care face parte integrantă din prezentul ordin. +
Articolul 2Direcţia generală reglementări din cadrul Comisiei de Supraveghere a Asigurărilor va asigura ducerea la îndeplinire a prevederilor prezentului ordin.PreşedinteleComisiei de Supraveghere a Asigurărilor,Nicolae Eugen CrişanBucureşti, 23 iunie 2006.Nr. 113.117. +
Anexa NORMEprivind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurători +
Articolul 1În sensul prezentelor norme, termenii şi expresiile de mai jos au următoarele semnificaţii:1. managementul riscului – un set de proceduri prin intermediul cărora asigurătorul ia măsuri pentru a evalua, monitoriza şi controla influenţa evenimentelor trecute şi potenţial viitoare care ar putea avea un impact negativ asupra activităţii sale. Procedurile de management al riscului vor include cel puţin: stabilirea strategiilor şi politicilor de management al riscului, identificarea riscurilor, criteriile pentru măsurarea riscurilor, controlul riscurilor, incluzând toleranţa faţă de risc şi raportarea riscurilor;2. toleranţa faţă de risc – natura şi cantitatea de expunere la risc pe care asigurătorul este dispus să o accepte. Toleranţa faţă de risc va specifică limitele de risc stabilite ca parte a politicilor de management al riscului;3. testul de senzitivitate:a) evaluează influenţa schimbărilor unor factori de risc asupra situaţiei financiare viitoare a asigurătorului; … b) este utilizat de asigurător pentru o mai bună înţelegere a vulnerabilităţilor cu care se confruntă în condiţii atipice; … c) are la bază analiza influenţei scenariilor adverse puţin probabile, dar nu imposibile; … d) se aplică oricărui risc ce poate avea o influenţă economică asupra asigurătorului; … 4. control intern – proces continuu la care participă consiliul de administraţie, conducerea executivă, precum şi personalul asigurătorilor, prin care se furnizează o asigurare rezonabilă asupra atingerii obiectivelor prevăzute la art. 2 alin. (1);5. conducerea operativă – persoanele care asigură conducerea nemijlocită a compartimentelor din cadrul asigurătorului, al sucursalelor şi al altor sedii secundare;6. sistem informaţional – ansamblul de fluxuri informaţionale organizate într-o concepţie unitară, care asigură legătura dintre nivelul de conducere (decizional) şi nivelul de execuţie (operaţional);7. risc de credit – riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, ca urmare a neîndeplinirii de către debitor a obligaţiilor contractuale;8. risc de ţară – risc asociat riscului de credit, care este determinat de condiţiile economice, sociale şi politice ale ţării de origine a debitorului;9. risc de piaţă – riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, care apare din fluctuaţiile pe piaţă ale preţurilor, ratei dobânzii şi cursului valutar;10. risc de subscriere – riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, care apare ca urmare a faptului că situaţiile economice sau rata de apariţie a incidentelor s-au schimbat faţă de previziunile făcute la data tarifării primelor de asigurare;11. risc de lichiditate – riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, ce rezultă din imposibilitatea asigurătorilor de a onora în orice moment obligaţiile de plată pe termen scurt, fără ca aceasta să implice costuri sau pierderi ce nu pot fi suportate de asigurători.12. risc operaţional – riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, care este determinat de factori interni (derularea neadecvată a unor activităţi interne, existenţa unui personal sau unor sisteme informatice necorespunzătoare etc.) sau de factori externi (condiţii economice, schimbări în mediul financiar, progrese tehnologice etc.);13. risc juridic – componentă a riscului operaţional, apărut ca urmare a neaplicării sau a aplicării defectuoase a dispoziţiilor legale ori contractuale, care afectează negativ operaţiunile sau situaţia asigurătorilor;14. risc reputaţional – riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, ca urmare a publicităţii negative care conduce la lipsa încrederii publicului în integritatea asigurătorilor. +
Articolul 2(1) Obiectivele controlului intern constau în: … a) desfăşurarea activităţii în condiţii de eficienţă şi rentabilitate; … b) furnizarea unor informaţii corecte, relevante, complete şi oportune structurilor implicate în luarea deciziilor în cadrul asigurătorilor şi utilizatorilor externi ai informaţiilor; … c) asigurarea conformităţii activităţilor asigurătorilor cu cadrul legal şi cu politicile şi procedurile proprii. … (2) În vederea îndeplinirii obiectivelor de control intern, asigurătorii trebuie să îşi organizeze un sistem de control intern care se compune din următoarele elemente aflate în strânsă corelare: … a) rolul şi responsabilităţile consiliului de administraţie şi conducerii executive; … b) identificarea şi evaluarea riscurilor; … c) activităţile de control şi separarea responsabilităţilor; … d) informarea şi comunicarea; … e) activităţile de monitorizare şi corectare a deficienţelor. … +
Articolul 3(1) Consiliul de administraţie al asigurătorilor este responsabil pentru stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient. … (2) În contextul prevederilor alin. (1), consiliul de administraţie al asigurătorilor trebuie să îndeplinească cel puţin următoarele atribuţii: … a) să aprobe şi să revizuiască periodic, cel puţin anual, strategiile generale şi politicile privitoare la activitatea asigurătorilor; … b) să stabilească toleranţa faţă de risc şi să asigure luarea măsurilor necesare de către conducerea executivă pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor respective; … c) să supravegheze conducerea executivă în legătură cu modul în care aceasta monitorizează funcţionarea adecvată şi eficientă a sistemului de control intern; … d) să aprobe acea structură organizatorică ce răspunde cel mai bine obiectivelor propuse. … (3) Pentru îndeplinirea atribuţiilor ce îi revin, consiliul de administraţie trebuie să întreprindă cel puţin următoarele măsuri: … a) discuţii periodice, cel puţin trimestrial, cu conducerea operativă privind eficienţa sistemului de control intern; … b) analiza periodică, cel puţin trimestrial, a evaluărilor sistemului de control intern efectuate de conducerea operativă, de auditul intern şi, după caz, de auditorul financiar al asigurătorilor şi de Comisia de Supraveghere a Asigurărilor; … c) asigurarea implementării de către conducerea operativă a recomandărilor formulate de auditul intern, de auditorul financiar extern şi de Comisia de Supraveghere a Asigurărilor cu privire la deficienţele sistemului de control intern şi examinarea efectului măsurilor implementate. … +
Articolul 4(1) Conducerea executivă a asigurătorului are responsabilităţi pe linia monitorizării funcţionării adecvate şi eficiente a sistemului de control intern. … (2) În contextul prevederilor alin. (1), conducerea executivă are cel puţin următoarele atribuţii: … a) să implementeze strategiile generale şi politicile privitoare la activitatea asigurătorilor, aprobate de consiliul de administraţie; … b) să coordoneze procesul de elaborare a procedurilor de management al riscului şi să ia măsurile necesare pentru identificarea, evaluarea, monitorizarea şi controlul acestor riscuri; … c) să se asigure că responsabilităţile delegate conducerii operative, cu privire la stabilirea politicilor şi procedurilor de control intern, sunt îndeplinite în mod corespunzător; … d) să menţină o structură organizatorică adecvată; … e) să stabilească fluxul informaţional necesar; … f) să se asigure că toate activităţile asigurătorilor sunt realizate de personal calificat, având experienţă şi cunoştinţe necesare în domeniul asigurărilor; … g) să asigure instruirea corespunzătoare a personalului propriu. … +
Articolul 5În cazul externalizării unor activităţi, consiliul de administraţie şi conducerea executivă ale asigurătorilor răspund pentru atingerea obiectivelor controlului intern aferente respectivelor activităţi. +
Articolul 6Consiliul de administraţie şi conducerea executivă ale asigurătorilor sunt responsabile pentru promovarea unor standarde de etică şi integritate pentru personalul asigurătorilor în ceea ce priveşte controlul intern, care să evidenţieze şi să asigure conştientizarea importanţei acestuia la toate nivelurile organizatorice. +
Articolul 7(1) Pentru a avea un sistem de control intern eficient asigurătorii trebuie să identifice şi să evalueze permanent riscurile care pot periclita atingerea obiectivelor controlului intern. … (2) Identificarea şi evaluarea riscurilor trebuie să se facă atât la nivelul de ansamblu al unui asigurător, cât şi la toate nivelurile organizatorice ale acestuia, trebuie să acopere toate activităţile şi să ţină cont de apariţia unor noi activităţi. … +
Articolul 8(1) Identificarea şi evaluarea riscurilor trebuie să se realizeze cu luarea în considerare a factorilor interni (complexitatea structurii organizatorice, natura activităţilor desfăşurate, calitatea personalului şi fluctuaţia acestuia) şi a factorilor externi (condiţii economice, schimbări legislative sau legate de mediul concurenţial în sectorul de asigurări, progrese tehnologice). … (2) Procesul de evaluare a riscurilor trebuie să includă identificarea atât a riscurilor care sunt controlabile de către asigurători, cât şi a celor necontrolabile. În cazul riscurilor controlabile, asigurătorii trebuie să stabilească dacă îşi asumă integral aceste riscuri sau în măsura în care doresc să le reducă prin proceduri de control. În cazul riscurilor necontrolabile, asigurătorii trebuie să decidă dacă le acceptă sau dacă elimină ori reduc nivelul activităţilor afectate de riscurile respective. … (3) Evaluarea riscurilor trebuie efectuată şi în condiţiile unor scenarii alternative, inclusiv în condiţii de criză. … +
Articolul 9Evaluarea riscurilor se va realiza de către specialişti din cadrul asigurătorilor care nu au responsabilităţi în realizarea performanţei comerciale şi financiare. +
Articolul 10Asigurătorii trebuie să revizuiască activităţile de control pentru a identifica şi a evalua în mod corespunzător orice riscuri nou-apărute ca urmare a dezvoltării activităţii. +
Articolul 11(1) Activităţile de control trebuie să se constituie ca parte integrantă a activităţilor curente desfăşurate de asigurători. … (2) Activităţile de control trebuie să aibă în vedere riscurile identificate de asigurători în cadrul procesului de identificare şi evaluare a riscurilor. … +
Articolul 12Activităţile de control trebuie definite pentru fiecare nivel organizatoric al asigurătorilor şi implică două etape:a) stabilirea politicilor şi procedurilor de control; … b) verificarea respectării politicilor şi procedurilor de control stabilite. … +
Articolul 13Activităţile de control includ cel puţin următoarele:a) analize la nivelul consiliului de administraţie şi al conducerii executive; … b) analize operative la nivelul compartimentelor şi sediilor secundare ale asigurătorilor; … c) controale faptice care au în vedere restricţionarea accesului la active, cum ar fi disponibilităţi băneşti, restricţionarea accesului la conturile clienţilor etc.; … d) analiza încadrării în limitele impuse expunerilor la risc şi urmărirea modului în care sunt soluţionate situaţiile de neconformitate; … e) aprobări şi autorizări, în cazul operaţiunilor ce depăşesc anumite limite de sume, asigurându-se astfel controlul asupra realizării operaţiunilor respective de către nivelul de conducere competent şi stabilirea responsabilităţilor; … f) verificări ale tranzacţiilor efectuate de asigurători şi reconcilieri, în special acolo unde există diferenţe între metodologiile sau sistemele de evaluare utilizate în compartimentele responsabile cu iniţierea tranzacţiilor (front office) şi compartimentele responsabile cu înregistrarea şi monitorizarea tranzacţiilor iniţiate (back office). Rezultatele verificărilor vor fi comunicate nivelului de conducere superior competent. … +
Articolul 14Asigurătorii trebuie să realizeze o repartizare corespunzătoare a atribuţiilor la toate nivelurile organizatorice şi să se asigure că personalului nu îi sunt alocate responsabilităţi care să conducă la conflicte de interese. +
Articolul 15Domeniile care pot fi afectate de potenţiale conflicte de interese trebuie să fie identificate şi supuse unei monitorizări independente exercitate de persoane neimplicate direct în activităţile respective, a căror informare este efectuată pe baza unor linii de raportare stabilite în mod corespunzător. +
Articolul 16(1) Asigurătorii trebuie să asigure evidenţa datelor financiare, operaţionale şi de conformitate, adecvate şi complete, pentru desfăşurarea activităţii lor. … (2) Asigurătorii trebuie să dispună de informaţii despre piaţă referitoare la evenimente şi condiţii care sunt relevante pentru luarea deciziilor. … (3) Informaţiile trebuie să fie credibile, relevante, complete, oportune, accesibile şi furnizate într-un format consecvent. … +
Articolul 17Asigurătorii trebuie să dispună de sisteme informaţionale adecvate, care să acopere toate activităţile acestora. +
Articolul 18Asigurătorii trebuie să dispună de proceduri pentru a preveni utilizarea necorespunzătoare a informaţiei, prin care să se evite:a) prejudicierea, directă sau indirectă, a reputaţiei acestora; … b) dezvăluirea informaţiilor secrete sau confidenţiale; … c) utilizarea informaţiilor de către personalul asigurătorilor pentru obţinerea unor beneficii personale. … +
Articolul 19(1) În cadrul sistemului informaţional asigurătorii trebuie să dispună de sisteme informatice. Formatul acestor sisteme trebuie să asigure un grad adecvat de securitate a informaţiei. Monitorizarea sistemelor informatice va fi asigurată de personal specializat independent şi distinct de cel care le utilizează. … (2) Asigurătorii trebuie să dispună de prevederi referitoare la organizarea şi controlul intern al procesării informaţiilor în formă electronică, astfel încât să fie posibilă obţinerea de probe de audit. … +
Articolul 20(1) În vederea evitării apariţiei disfuncţionalităţilor în cadrul activităţii şi a eventualelor pierderi generate de acestea, asigurătorii trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecărei aplicaţii informatice din componenţa acestuia. … (2) Controalele generale se efectuează asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice, precum şi asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au drept scop verificarea funcţionării continue şi corespunzătoare a acestora. … (3) Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic. … (4) Controalele efectuate la nivelul aplicaţiilor informatice reprezintă proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a modului de procesare a tranzacţiilor şi efectuării operaţiunilor. … +
Articolul 21(1) În vederea evitării pierderilor generate de întreruperea activităţii datorită unor factori externi ce nu pot fi controlaţi de către asigurători, aceştia trebuie să elaboreze planuri alternative, care să le permită reluarea activităţii în cazul apariţiei unor situaţii neprevăzute. Replicarea sistemelor critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie aparţinând asigurătorilor, fie prin intermediul unui furnizor extern de servicii. … (2) Funcţionarea planurilor alternative trebuie testată periodic prin stimularea operaţiunilor pe sistemele de rezervă, în scopul verificării disponibilităţii acestora. … +
Articolul 22În vederea organizării unui sistem de control intern eficient, asigurătorii trebuie să dispună de canale de comunicare care să asigure că personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilităţilor sale şi că orice alte informaţii relevante ajung în timp util la acesta. +
Articolul 23Structura organizatorică a asigurătorilor trebuie să asigure un flux corespunzător de informaţii, pe verticală, în ambele sensuri, şi pe orizontală, care să permită următoarele:a) informarea consiliului de administraţie şi a conducerii executive asupra riscurilor aferente activităţii şi funcţionării asigurătorilor; … b) informarea nivelurilor inferioare de conducere operativă şi a personalului atât asupra strategiilor asigurătorilor, cât şi asupra politicilor şi procedurilor stabilite; … c) difuzarea informaţiilor între compartimentele şi sediile secundare ale asigurătorilor pentru care respectivele informaţii au relevanţă. … +
Articolul 24(1) Asigurătorii trebuie să monitorizeze permanent eficacitatea sistemului de control intern, cu luarea în considerare a modificărilor intervenite în condiţiile interne şi externe de desfăşurare a activităţii. … (2) Asigurătorii trebuie să asigure un rol important auditului intern în procesul de monitorizare a sistemului de control intern. … (3) Monitorizarea eficacităţii sistemului de control intern va fi efectuată atât de personalul responsabil pentru fiecare compartiment şi sediu secundar al asigurătorului, cât şi de auditul intern. … (4) Monitorizarea eficacităţii sistemului de control intern trebuie să facă parte din activităţile zilnice ale asigurătorilor şi trebuie să includă şi evaluări separate ale sistemului de control intern în general. … (5) Evaluările separate, periodice, ale sistemului de control intern vor fi efectuate atât de personalul responsabil pentru fiecare compartiment şi sediu secundar (autoevaluare), cât şi de auditul intern. … (6) Frecvenţa cu care trebuie monitorizate diferitele activităţi ale asigurătorilor depinde de riscurile implicate de activităţile respective, precum şi de natura şi frecvenţa schimbărilor din activitatea respectivă. … +
Articolul 25(1) Deficienţele identificate în legătură cu sistemul de control intern trebuie să fie raportate imediat nivelului de conducere competent, care trebuie să ia măsuri pentru remedierea cu promptitudine a acestora. … (2) Deficienţele majore ale sistemului de control intern trebuie să fie raportate conducerii executive a asigurătorilor şi consiliului de administraţie al acestora. … (3) Conducerea executivă a asigurătorilor are responsabilitatea de a stabili un sistem de detectare a deficienţelor sistemului de control intern şi de a întreprinde măsuri pentru soluţionarea respectivelor deficienţe. … +
Articolul 26Asigurătorii trebuie să ia măsuri pe linia administrării următoarelor riscuri: riscul de credit, riscul de piaţă, riscul de lichiditate, riscul operaţional, riscul de subscriere şi riscul reputaţional. +
Articolul 27În domeniul managementului riscurilor, consiliul de administraţie al asigurătorilor are cel puţin următoarele atribuţii:a) să aprobe şi să reconsidere profilul de risc al acestora; … b) să aprobe politicile privind managementul riscurilor respective, să le analizeze periodic, cel puţin anual, şi să dispună revizuirea acestora, după caz; … c) să asigure luarea de către conducerea executivă a măsurilor necesare pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor, inclusiv pentru activităţile externalizate; … d) să aprobe procedurile de stabilire a competenţelor şi a responsabilităţilor în domeniul managementului riscurilor; … e) să aprobe externalizarea unor activităţi; … f) să aprobe politica de instruire a personalului. … +
Articolul 28În domeniul managementului riscurilor, conducerea executivă a asigurătorilor este responsabilă cel puţin pentru următoarele:a) implementarea strategiilor aprobate de consiliul de administraţie şi asigurarea comunicării acestora personalului implicat în punerea lor în aplicare; … b) asigurarea comunicării politicilor şi procedurilor pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor personalului implicat în punerea lor în aplicare; … c) menţinerea unor sisteme de raportare corespunzătoare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri; … d) menţinerea limitelor corespunzătoare privind expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi situaţia financiară a asigurătorilor; … e) menţinerea eficienţei şi eficacităţii sistemului de control intern; … f) analizarea oportunităţii externalizării unor activităţi prin prisma riscurilor implicate de externalizare; … g) supravegherea şi monitorizarea contractului de externalizare; … h) asigurarea unui personal calificat, având experienţa şi cunoştinţele necesare; … i) asigurarea instruirii corespunzătoare a personalului; … j) asigurarea concordanţei politicilor de remunerare a personalului cu strategia asigurătorului privind riscurile. … +
Articolul 29În procesul de management al riscurilor, asigurătorii trebuie să constituie un comitet de management al riscurilor. +
Articolul 30(1) Asigurătorii trebuie să opteze pentru un profil de risc, stabilind obiectivul şi strategia pentru fiecare risc, inclusiv în ceea ce priveşte activităţile externalizate. … (2) Asigurătorii vor stabili tipurile de riscuri pe care sunt pregătiţi să le asume. La stabilirea acestora se vor avea în vedere natura, dimensiunea şi complexitatea activităţii. … (3) Strategia asigurătorilor privind managementul riscurilor trebuie să determine raportul dintre risc şi profit pe care asigurătorul îl consideră acceptabil în condiţiile asigurării continuităţii activităţii acesteia pe baze sănătoase şi prudente. … +
Articolul 31Asigurătorii trebuie să adopte politici pentru managementul riscurilor, în vederea implementării profilului de risc ales. Politicile respective trebuie să corespundă strategiilor generale, să fie corelate cu nivelul fondurilor proprii ale asigurătorilor şi cu experienţa acestora în administrarea riscurilor, precum şi cu toleranţa faţă de risc stabilită de consiliul de administraţie. +
Articolul 32Politicile privind managementul riscurilor, corespunzătoare naturii, dimensiunii şi complexităţii activităţilor asigurătorilor, trebuie să fie transpuse în mod clar şi transparent în norme interne, proceduri, inclusiv în manuale şi coduri de conduită, făcându-se distincţie între standardele generale aplicabile întregului personal şi regulile specifice aplicabile anumitor categorii de personal. +
Articolul 33Politicile de management al riscurilor trebuie să asigure, după caz, stabilirea cel puţin a:a) unui sistem de proceduri de autorizare a operaţiunilor afectate de riscurile respective; … b) unui sistem de stabilire a limitelor expunerii la risc şi de monitorizare a acestora, care să reflecte profilul de risc ales şi care să fie în conformitate cu legislaţia şi cu reglementările în vigoare; limitele stabilite la nivelul activităţilor şi/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asigurătorilor; … c) unui sistem de raportare a expunerilor la riscuri, precum şi altor aspecte legate de riscuri către nivelurile de conducere corespunzătoare; … d) unui sistem de proceduri pentru situaţii neprevăzute; … e) unor criterii de recrutare şi remunerare a personalului, care să stabilească standarde ridicate pentru pregătirea, experienţa şi integritatea acestuia; … f) unui program de instruire a personalului. … +
Articolul 34(1) Asigurătorii trebuie să efectueze sistematic o evaluare a riscurilor. … (2) Evaluarea riscurilor trebuie să ţină cont şi de: … a) implicaţiile corelării fiecărui risc cu celelalte riscuri la care se expune asigurătorul; … b) previzionările profitului şi fondurilor proprii pe baza diferitelor scenarii în condiţii de criză, inclusiv o cuantificare a pierderilor maxime în condiţiile extreme. … (3) Asigurătorii trebuie să efectueze sistematic teste de senzitivitate. … +
Articolul 35Asigurătorii trebuie să dispună de un sistem de informare adecvat pentru identificarea, evaluarea, monitorizarea şi documentarea sistematică a riscurilor atât la nivelul asigurătorilor, cât şi la nivelul compartimentelor şi sediilor secundare ale acestora. +
Articolul 36Asigurătorii trebuie să asigure că există o separare corespunzătoare a atribuţiilor în cadrul procesului de administrare a riscurilor, pentru evitarea potenţialelor conflicte de interese. +
Articolul 37Asigurătorii trebuie să asigure o monitorizare sistematică a conformităţii cu procedurile stabilite pentru managementul riscurilor şi să soluţioneze deficienţele constatate. +
Articolul 38Asigurătorii trebuie să dispună de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implică analize independente şi regulate şi evaluări ale eficacităţii sistemului şi, acolo unde se impune, asigurarea remedierii deficienţelor constatate. Rezultatele unor astfel de analize trebuie să fie comunicate în mod direct consiliului de administraţie, comitetului de administrare a riscurilor şi comitetului de audit. +
Articolul 39(1) Asigurătorii trebuie să dispună de politici privind externalizarea activităţilor auxiliare sau conexe în raport cu activităţile principale. … (2) Asigurătorii trebuie să dispună de proceduri de administrare a riscurilor asociate activităţilor externalizate. … (3) Procedurile de management al riscurilor asociate activităţilor externalizate se vor referi cel puţin la următoarele: … a) luarea deciziilor privind externalizarea unor noi activităţi sau modificarea celor existente; … b) selectarea şi evaluarea societăţilor prestatoare de servicii auxiliare sau conexe în legătură cu aspecte cum ar fi: solvabilitatea, reputaţia, familiarizarea cu specificul sectorului asigurărilor, calitatea serviciilor prestate, organizarea activităţii şi controlul intern, existenţa unui personal competent, existenţa unui plan alternativ de redresare a activităţii, asigurarea confidenţialităţii informaţiei; … c) monitorizarea modului în care societăţile prestatoare de servicii auxiliare sau conexe desfăşoară activităţile externalizate; … d) elaborarea de planuri alternative şi stabilirea costurilor şi resurselor necesare pentru schimbarea societăţilor prestatoare de servicii auxiliare sau conexe. … +
Articolul 40(1) Asigurătorii pot externaliza activităţi doar în condiţiile încheierii de contracte cu societăţi prestatoare de servicii auxiliare sau conexe. … (2) Contractele încheiate cu societăţi prestatoare de servicii auxiliare sau conexe în legătură cu activităţile externalizate trebuie să fie în formă scrisă şi să asigure o alocare clară a responsabilităţilor fiecărei părţi. … (3) Asigurătorii vor putea încheia contracte cu societăţi prestatoare de servicii auxiliare sau conexe, în legătură cu activităţile externalizate, în următoarele condiţii: … a) asigurarea existenţei unor date actualizate şi a altor informaţii la nivelul asigurătorului; … b) asigurarea accesului unor entităţi din România (autorităţi sau instituţii publice) la datele şi informaţiile aferente operaţiunilor din România, în cazul externalizării unor activităţi în afara graniţelor ţării; … c) asigurarea securităţii/confidenţialităţii datelor cel puţin prin următoarele măsuri: angajamentul societăţii prestatoare de servicii auxiliare sau conexe şi al personalului acesteia de a se supune regulilor de confidenţialitate, drepturile contractuale ale asigurătorului de a lua măsuri împotriva societăţii prestatoare de servicii auxiliare sau conexe în cazul încălcării confidenţialităţii, separarea datelor asigurătorului de cele ale societăţii prestatoare de servicii auxiliare sau conexe şi de cele ale altor clienţi ai acesteia. … +
Articolul 41Asigurătorii nu pot externaliza următoarele activităţi:a) activitatea de audit intern, în condiţiile în care furnizorul extern de servicii în domeniul auditului intern are şi calitatea de auditor financiar al instituţiei de credit în cauză; … b) organizarea şi ţinerea contabilităţii, în condiţiile în care între persoanele cărora le-ar fi externalizată activitatea de ţinere a contabilităţii şi auditorul financiar există legături ce afectează independenţa acestuia în exercitarea mandatului; … c) organizarea şi desfăşurarea activităţii juridice curente, în conformitate cu dispoziţiile Legii nr. 514/2003 privind organizarea şi exercitarea profesiei de consilier juridic; … d) orice alte activităţi care în urma externalizării nu mai pot fi controlate şi desfăşurate în conformitate cu regulile unei practici prudente şi sănătoase. … +
Articolul 42(1) Asigurătorii trebuie să dispună de un comitet de management al riscurilor. Comitetul de management al riscurilor este un comitet permanent, ale cărui funcţionare şi atribuţii sunt reglementate de prezentele norme şi de regulamentele interne ale fiecărui asigurător. … (2) Comitetul de management al riscurilor îşi poate desfăşura lucrările în subcomitete, în funcţie de mărimea şi complexitatea asigurătorului. … (3) Comitetul de management al riscurilor se constituie prin decizie a consiliului de administraţie. … +
Articolul 43Asigurătorii trebuie să dispună de un regulament al comitetului de management al riscurilor, aprobat la nivelul consiliului de administraţie şi revizuit periodic, după caz, care să indice componenţa, autoritatea şi responsabilităţile acestuia şi modul de raportare către consiliul de administraţie. +
Articolul 44(1) Membrii comitetului de management al riscurilor trebuie să aibă o experienţă compatibilă cu responsabilităţile lor în cadrul acestuia. … (2) Comitetul de management al riscurilor este format din membri ai conducerii executive şi operative ai asigurătorului. … +
Articolul 45Comitetul de management al riscurilor va avea cel puţin următoarele atribuţii:a) să asigure informarea consiliului de administraţie asupra problemelor şi evoluţiilor semnificative care ar putea influenţa profilul de risc al asigurătorului; … b) să dezvolte politici şi proceduri adecvate pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor; … c) să aprobe metodologii şi modele adecvate pentru evaluarea riscurilor şi limitarea expunerilor; … d) să stabilească limite corespunzătoare privind expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi situaţia financiară a asigurătorului, precum şi proceduri necesare pentru aprobarea excepţiilor de la respectivele limite; … e) să aprobe angajarea asigurătorului în noi activităţi, pe baza analizei riscurilor aferente acestora; … f) să analizeze măsura în care planurile alternative de care dispune banca corespund situaţiilor neprevăzute cu care aceasta s-ar putea confrunta; … g) să prezinte consiliului de administraţie informări suficient de detaliate şi oportune, care să permită acestuia să cunoască şi să evalueze performanţa conducerii în monitorizarea şi controlul riscurilor, potrivit politicilor aprobate, precum şi performanţa de ansamblu a asigurătorului; … h) să informeze regulat consiliul de administraţie asupra situaţiei expunerilor asigurătorului la riscuri şi imediat, în cazul în care intervin schimbări semnificative în expunerea curentă sau viitoare a asigurătorului la riscurile respective; … i) să stabilească sisteme de raportare corespunzătoare a aspectelor legate de riscuri; … j) să stabilească competenţele şi responsabilităţile pentru administrarea şi controlul expunerilor la riscuri. … +
Articolul 46(1) Asigurătorii trebuie să întocmească anual un raport asupra condiţiilor în care este desfăşurat controlul intern. Acest raport trebuie să cuprindă cel puţin: … a) o inventariere a principalelor deficienţe identificate în cadrul sistemului de control intern şi măsurile întreprinse pentru corectarea acestora; … b) o descriere a modificărilor semnificative intervenite în sistemul de control intern în perioada respectivă, în special axate pe evoluţia activităţii şi a riscurilor; … c) o descriere a condiţiilor de aplicare a procedurilor de control aferente noilor activităţi; … d) desfăşurarea controlului intern în cadrul sediilor secundare ale asigurătorilor din străinătate. … (2) Raportul întocmit de către asigurători trebuie să includă şi condiţiile în care se desfăşoară controlul intern la nivelul entităţilor cuprinse în perimetrul lor de consolidare şi al societăţilor prestatoare de servicii auxiliare sau conexe. … +
Articolul 47(1) Asigurătorii trebuie să întocmească anual un raport privind măsurile luate pe linia managementului riscurilor la care sunt expuşi aceştia şi, după caz, măsurile luate de entităţile cuprinse în perimetrul lor de consolidare şi societăţile prestatoare de servicii auxiliare sau conexe. … (2) Raportul întocmit trebuie să cuprindă cel puţin: … a) politicile de management al riscului, cu specificarea toleranţei asigurătorului la risc şi limitele stabilite pentru gestiunea riscurilor de piaţă, de credit şi de lichiditate; … b) detalii ale politicilor de investiţii ale asigurătorului, incluzând procedurile de identificare, monitorizare şi control al riscurilor, precum şi detalii referitoare la strategiile investiţionale cu produse derivate sau produse cu efect similar; … c) procedurile asigurătorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare şi monitorizare a administratorilor de fonduri şi a societăţilor de servicii de investiţii financiare; … d) procedurile asigurătorului referitoare la introducerea de noi instrumente de investiţii şi de monitorizare a riscurilor asociate cu utilizarea acestora; … e) o prezentare a modului de abordare şi a politicilor asigurătorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare şi solvabilitate; … f) detalii referitoare la salarizarea personalului pentru a stabili dacă compania acordă prime sau alte stimulente salariale mari care determină o mărire nejustificată a expunerii la risc a societăţii; … g) un plan de afaceri global al asigurătorului care cuprinde informaţii referitoare la noile produse lansate de societate, strategia de distribuţie a produselor, procesul de subscriere şi activitatea de reasigurare. Aceste informaţii vor fi folosite în scopul evaluării gradului de adecvare a sistemului de management al riscului implementat de asigurător la afacerea sa; … h) planurile elaborate de asigurător pentru împrejurări neprevăzute; … i) detalii referitoare la testele de senzitivitate efectuate de asigurător pentru evaluarea riscurilor la care este expus; … j) informaţii despre managementul intern al portofoliilor de active: detalii despre active şi datorii, detalii despre investiţiile intragrup realizate; … k) lista deciziilor consiliului de administraţie; … l) documente care să ateste pregătirea profesională a persoanelor responsabile cu activităţile de investiţii, respectiv cu managementul riscului investiţiilor; … m) detalii referitoare la serviciile externalizate; … n) rapoarte referitoare la riscurile de piaţă, precum şi rentabilitatea portofoliului de investiţii. … +
Articolul 48Rapoartele menţionate la art. 46 şi 47 trebuie să fie transmise Comisiei de Supraveghere a Asigurărilor în termen de 6 luni de la încheierea exerciţiului financiar. +
Articolul 49Pentru controlul intern al activităţii şi managementul riscurilor, asigurătorii vor avea în vedere şi prevederile legislaţiei naţionale şi standardele internaţionale în materie. +
Articolul 50În cazul în care asigurătorii nu apelează la un furnizor extern de servicii pentru sistemele informatice, aceştia vor trebui să dispună de sistemele de rezervă prevăzute la art. 21 alin. (1), în termen de 9 luni de la intrarea în vigoare a prezentelor norme. +
Articolul 51În termen de 3 luni de la data intrării în vigoare a prezentelor norme, asigurătorii trebuie să transmită Comisiei de Supraveghere a Asigurărilor normele interne privind organizarea controlului intern al activităţii, normele interne privind organizarea sistemului de management al riscurilor, precum şi regulamentul comitetului de management al riscurilor. +
Articolul 52Nerespectarea prevederilor prezentelor norme constituie contravenţie şi se sancţionează conform prevederilor art. 39 din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurărilor, cu modificările şi completările ulterioare. +
Articolul 53Prezentele norme intră în vigoare începând cu data aderării României la Uniunea Europeană, dată la care se abrogă Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 3.105/2004 pentru punerea în aplicare a Normei minimale privind activitatea de control intern, publicat în Monitorul Oficial al României, Partea I, nr. 186 din 3 martie 2004._________
