ORDIN Nr.
113117 din 23 iunie 2006
pentru punerea in aplicare a
Normelor privind principiile de organizare ale unui sistem de control intern si
management al riscului la asiguratori
ACT EMIS DE:
COMISIA DE SUPRAVEGHERE A ASIGURARILOR
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 572 din 3 iulie 2006
In temeiul prevederilor art. 5
lit. a), ale art. 8 alin. (1) şi ale art. 20 alin. (3) lit. c) şi c2) din Legea nr. 32/2000 privind
activitatea de asigurare şi supravegherea asigurărilor, cu modificările şi
completările ulterioare,
potrivit Hotărârii Consiliului Comisiei de Supraveghere
a Asigurărilor din data de 20 iunie 2006, prin care s-au adoptat Normele
privind principiile de organizare ale unui sistem de control intern şi management
al riscului la asigurători,
preşedintele Comisiei de Supraveghere a Asigurărilor
emite următorul ordin:
Art. 1. - Se pun în aplicare Normele privind
principiile de organizare ale unui sistem de control intern şi management al
riscului la asigurători, prevăzute în anexa care face parte integrantă din
prezentul ordin.
Art. 2. - Direcţia generală reglementări din cadrul
Comisiei de Supraveghere a Asigurărilor va asigura ducerea la îndeplinire a
prevederilor prezentului ordin.
Preşedintele Comisiei de Supraveghere a Asigurărilor,
Nicolae Eugen Crişan
ANEXA
NORME
privind principiile de organizare ale unui sistem de control intern şi management al riscului la
asigurători
Art. 1. - In sensul prezentelor norme, termenii şi
expresiile de mai jos au următoarele semnificaţii:
1. managementul riscului - un set de proceduri prin intermediul cărora asigurătorul ia măsuri
pentru a evalua, monitoriza şi controla influenţa evenimentelor trecute şi
potenţial viitoare care ar putea avea un impact negativ asupra activităţii
sale. Procedurile de management al riscului vor include cel puţin: stabilirea
strategiilor şi politicilor de management al riscului, identificarea
riscurilor, criteriile pentru măsurarea riscurilor, controlul riscurilor,
incluzând toleranţa faţă de risc şi raportarea riscurilor;
2. toleranţa faţă de risc
- natura şi cantitatea de expunere la risc pe care
asigurătorul este dispus să o accepte. Toleranţa faţă de risc va specifica
limitele de risc stabilite ca parte a politicilor de management al riscului;
3. testul de senzitivitate:
a) evaluează influenţa schimbărilor unor factori de
risc asupra situaţiei financiare viitoare a asigurătorului;
b) este utilizat de asigurător pentru o mai bună
înţelegere a vulnerabilităţilor cu care se confruntă în condiţii atipice;
c) are la bază analiza influenţei scenariilor adverse
puţin probabile, dar nu imposibile;
d) se aplică oricărui risc ce poate avea o influenţă
economică asupra asigurătorului;
4. control intern - proces
continuu la care participă consiliul de administraţie, conducerea executivă,
precum şi personalul asigurătorilor, prin care se furnizează o asigurare
rezonabilă asupra atingerii obiectivelor prevăzute la art. 2 alin. (1);
5. conducerea operativă - persoanele care asigură conducerea nemijlocită a compartimentelor
din cadrul asigurătorului, al sucursalelor şi al altor sedii secundare;
6. sistem informaţional -
ansamblul de fluxuri informaţionale organizate
într-o concepţie unitară, care asigură legătura dintre nivelul de conducere
(decizional) şi nivelul de execuţie (operaţional);
7. risc de credit - riscul
înregistrării de pierderi sau al nerealizării profiturilor estimate, ca urmare
a neîndeplinirii de către debitor a obligaţiilor contractuale;
8. risc de ţară - risc asociat riscului de credit, care este determinat de condiţiile
economice, sociale şi politice ale ţării de origine a
debitorului;
9. risc de piaţă - riscul înregistrării de pierderi sau al nerealizării profiturilor
estimate, care apare din fluctuaţiile pe piaţă ale preţurilor, ratei dobânzii
şi cursului valutar;
10. risc de subscriere - riscul înregistrării de pierderi sau al nerealizării profiturilor
estimate, care apare ca urmare a faptului că situaţiile economice sau rata de
apariţie a incidentelor s-au schimbat faţă de previziunile făcute la data
tarifarii primelor de asigurare;
11. risc de lichiditate - riscul înregistrării de pierderi sau al nerealizării profiturilor
estimate, ce rezultă din imposibilitatea asigurătorilor de a onora în orice
moment obligaţiile de plată pe termen scurt, fără ca aceasta să implice costuri
sau pierderi ce nu pot fi suportate de asigurători.
12. risc operaţional - riscul înregistrării de pierderi sau al nerealizării profiturilor
estimate, care este determinat de factori interni (derularea neadecvată a unor
activităţi interne, existenţa unui personal sau unor sisteme informatice
necorespunzătoare etc.) sau de factori externi (condiţii economice, schimbări
în mediul financiar, progrese tehnologice etc);
13. risc juridic - componentă
a riscului operaţional, apărut ca urmare a neaplicării sau a aplicării
defectuoase a dispoziţiilor legale ori contractuale, care afectează negativ
operaţiunile sau situaţia asigurătorilor;
14. risc reputaţional - riscul înregistrării de pierderi sau al nerealizării profiturilor
estimate, ca urmare a publicităţii negative care conduce la lipsa încrederii
publicului în integritatea asigurătorilor.
Art. 2. - (1) Obiectivele controlului intern constau
în:
a) desfăşurarea activităţii în condiţii de eficienţă
şi rentabilitate;
b) furnizarea unor informaţii corecte, relevante,
complete şi oportune structurilor implicate în luarea deciziilor în cadrul
asigurătorilor şi utilizatorilor externi ai informaţiilor;
c) asigurarea conformităţii activităţilor
asigurătorilor cu cadrul legal şi cu politicile şi procedurile proprii.
(2) In vederea îndeplinirii
obiectivelor de control intern, asigurătorii trebuie să îşi organizeze un
sistem de control intern care se compune din următoarele elemente aflate în
strânsă corelare:
a) rolul şi responsabilităţile consiliului de
administraţie şi conducerii executive;
b) identificarea şi evaluarea riscurilor;
c) activităţile de control şi separarea
responsabilităţilor;
d) informarea şi comunicarea;
e) activităţile de monitorizare şi corectare a
deficienţelor.
Art. 3. - (1) Consiliul de administraţie al asigurătorilor este responsabil pentru stabilirea şi
menţinerea unui sistem de control intern adecvat şi eficient.
(2) In contextul prevederilor alin. (1), consiliul de
administraţie al asigurătorilor trebuie să îndeplinească cel puţin următoarele
atribuţii:
a) să aprobe şi să revizuiască
periodic, cel puţin anual, strategiile generale şi politicile privitoare la
activitatea asigurătorilor;
b) să stabilească toleranţa faţă de risc şi să
asigure luarea măsurilor necesare de către conducerea executivă pentru
identificarea, evaluarea, monitorizarea şi controlul riscurilor respective;
c) să supravegheze conducerea executivă în legătură cu
modul în care aceasta monitorizează funcţionarea adecvată şi eficientă a
sistemului de control intern;
d) să aprobe acea structură organizatorică ce răspunde
cel mai bine obiectivelor propuse.
(3) Pentru îndeplinirea atribuţiilor ce îi revin,
consiliul de administraţie trebuie să întreprindă cel puţin următoarele măsuri:
a) discuţii periodice, cel puţin trimestrial, cu
conducerea operativă privind eficienţa sistemului de control intern;
b) analiza periodică, cel puţin trimestrial, a
evaluărilor sistemului de control intern efectuate de conducerea operativă, de
auditul intern şi, după caz, de auditorul financiar al asigurătorilor şi de
Comisia de Supraveghere a Asigurărilor;
c) asigurarea implementării de către conducerea
operativă a recomandărilor formulate de auditul intern, de auditorul financiar
extern şi de Comisia de Supraveghere a Asigurărilor cu privire la deficienţele
sistemului de control intern şi examinarea efectului măsurilor implementate.
Art. 4. - (1) Conducerea executivă a asigurătorului are
responsabilităţi pe linia monitorizării funcţionării adecvate şi eficiente a
sistemului de control intern.
(2) In contextul prevederilor
alin. (1), conducerea executivă are cel puţin următoarele atribuţii:
a) să implementeze strategiile generale şi politicile
privitoare la activitatea asigurătorilor, aprobate de consiliul de
administraţie;
b) să coordoneze procesul de elaborare a procedurilor
de management al riscului şi să ia măsurile necesare pentru identificarea,
evaluarea, monitorizarea şi controlul acestor riscuri;
c) să se asigure că responsabilităţile delegate
conducerii operative, cu privire la stabilirea politicilor şi procedurilor de
control intern, sunt îndeplinite în mod corespunzător;
d) să menţină o structură organizatorică adecvată;
e) să stabilească fluxul informaţional necesar;
f) să se asigure că toate activităţile asigurătorilor
sunt realizate de personal calificat, având experienţă şi cunoştinţe necesare
în domeniul asigurărilor;
g) să asigure instruirea corespunzătoare a
personalului propriu.
Art. 5. - In cazul externalizării unor activităţi,
consiliul de administraţie şi conducerea executivă ale asigurătorilor răspund
pentru atingerea obiectivelor controlului intern aferente respectivelor
activităţi.
Art. 6. - Consiliul de administraţie şi conducerea
executivă ale asigurătorilor sunt responsabile pentru promovarea unor standarde
de etică şi integritate pentru personalul asigurătorilor în ceea ce priveşte
controlul intern, care să evidenţieze şi să asigure conştientizarea importanţei
acestuia la toate nivelurile organizatorice.
Art. 7. - (1) Pentru a avea un sistem de control intern
eficient asigurătorii trebuie să identifice şi să evalueze permanent riscurile
care pot periclita atingerea obiectivelor controlului intern.
(2) Identificarea şi evaluarea riscurilor trebuie să se
facă atât la nivelul de ansamblu al unui asigurător, cât şi la toate nivelurile
organizatorice ale acestuia, trebuie să acopere toate activităţile şi să ţină
cont de apariţia unor noi activităţi.
Art. 8. - (1) Identificarea şi evaluarea riscurilor
trebuie să se realizeze cu luarea în considerare a factorilor interni
(complexitatea structurii organizatorice, natura activităţilor desfăşurate,
calitatea personalului şi fluctuaţia acestuia) şi a factorilor externi
(condiţii economice, schimbări legislative sau legate de mediul concurenţial în
sectorul de asigurări, progrese tehnologice).
(2) Procesul de evaluare a
riscurilor trebuie să includă identificarea atât a riscurilor care sunt
controlabile de către asigurători, cât şi a celor necontrolabile. In cazul
riscurilor controlabile,
asigurătorii trebuie să stabilească dacă îşi asumă integral aceste riscuri sau
în măsura în care doresc să le reducă prin proceduri de control. In cazul
riscurilor necontrolabile, asigurătorii trebuie să decidă dacă le acceptă sau
dacă elimină ori reduc nivelul activităţilor afectate de riscurile respective.
(3) Evaluarea riscurilor
trebuie efectuată şi în condiţiile unor scenarii alternative, inclusiv în
condiţii de criză.
Art. 9. - Evaluarea riscurilor se va realiza de către
specialişti din cadrul asigurătorilor care nu au responsabilităţi în realizarea
performanţei comerciale şi financiare.
Art. 10. - Asigurătorii trebuie să revizuiască
activităţile de control pentru a identifica şi a evalua în mod corespunzător
orice riscuri nou-apărute ca urmare a dezvoltării activităţii.
Art. 11. - (1) Activităţile de control trebuie să se
constituie ca parte integrantă a activităţilor curente desfăşurate de
asigurători.
(2) Activităţile de control trebuie să aibă în vedere
riscurile identificate de asigurători în cadrul procesului de identificare şi
evaluare a riscurilor.
Art. 12. - Activităţile de
control trebuie definite pentru fiecare nivel organizatoric al asigurătorilor
şi implică două etape:
a) stabilirea politicilor şi procedurilor de control;
b) verificarea respectării politicilor şi
procedurilor de control stabilite.
Art. 13. - Activităţile de control includ cel puţin
următoarele:
a) analize la nivelul consiliului de administraţie şi
al conducerii executive;
b) analize operative la nivelul compartimentelor şi
sediilor secundare ale asigurătorilor;
c) controale faptice care au
în vedere restricţionarea accesului la active, cum ar fi disponibilităţi
băneşti, restricţionarea accesului la conturile clienţilor etc;
d) analiza încadrării în limitele impuse expunerilor
la risc şi urmărirea modului în care sunt soluţionate situaţiile de
neconformitate;
e) aprobări şi autorizări, în cazul operaţiunilor ce
depăşesc anumite limite de sume, asigurându-se astfel controlul asupra
realizării operaţiunilor respective de către nivelul de conducere competent şi
stabilirea responsabilităţilor;
f) verificări ale tranzacţiilor efectuate de
asigurători şi reconcilieri, în special acolo unde există diferenţe între
metodologiile sau sistemele de evaluare utilizate în compartimentele
responsabile cu iniţierea tranzacţiilor (front
office) şi compartimentele responsabile cu
înregistrarea şi monitorizarea tranzacţiilor iniţiate (back office). Rezultatele
verificărilor vor fi comunicate nivelului de conducere superior competent.
Art. 14. - Asigurătorii trebuie să realizeze o
repartizare corespunzătoare a atribuţiilor la toate nivelurile organizatorice
şi să se asigure că personalului nu îi sunt alocate responsabilităţi care să
conducă la conflicte de interese.
Art. 15. - Domeniile care pot fi afectate de potenţiale
conflicte de interese trebuie să fie identificate şi supuse unei monitorizări
independente exercitate de persoane neimplicate direct în activităţile respective, a căror informare
este efectuată pe baza unor linii de raportare stabilite în mod corespunzător.
Art. 16. - (1) Asigurătorii
trebuie să asigure evidenţa datelor financiare, operaţionale şi de conformitate,
adecvate şi complete, pentru desfăşurarea activităţii lor.
(2) Asigurătorii trebuie să dispună de informaţii
despre piaţă referitoare la evenimente şi condiţii care sunt relevante pentru luarea deciziilor.
(3) Informaţiile trebuie să fie credibile, relevante,
complete, oportune, accesibile şi furnizate într-un format consecvent.
Art. 17. - Asigurătorii trebuie să dispună de sisteme
informaţionale adecvate, care să acopere toate activităţile acestora.
Art. 18. - Asigurătorii trebuie să dispună de proceduri
pentru a preveni utilizarea necorespunzătoare a informaţiei, prin care să se
evite:
a) prejudicierea, directă sau indirectă, a reputaţiei
acestora;
b) dezvăluirea informaţiilor secrete sau
confidenţiale;
c) utilizarea informaţiilor de către personalul
asigurătorilor pentru obţinerea unor beneficii personale.
Art. 19. - (1) In cadrul sistemului informaţional
asigurătorii trebuie să dispună de sisteme informatice. Formatul acestor
sisteme trebuie să asigure un grad adecvat de securitate a informaţiei.
Monitorizarea sistemelor informatice va fi asigurată de personal specializat
independent şi distinct de cel care le utilizează.
(2) Asigurătorii trebuie să dispună de prevederi
referitoare la organizarea şi controlul intern al procesării informaţiilor în
formă electronică, astfel încât să fie posibilă obţinerea de probe de audit.
Art. 20. - (1) In vederea evitării apariţiei
disfuncţionalităţilor în cadrul activităţii şi a eventualelor pierderi generate
de acestea, asigurătorii trebuie să controleze eficient riscurile implicate de
utilizarea sistemelor informatice. In acest scop se vor efectua atât controale
generale la nivelul întregului sistem informatic, cât şi controale la nivelul
fiecărei aplicaţii informatice din componenţa acestuia.
(2) Controalele generale se efectuează asupra
infrastructurii hardware şi de comunicaţii a sistemelor informatice, precum şi
asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au
drept scop verificarea funcţionării continue şi corespunzătoare a acestora.
(3) Controalele generale includ şi verificarea
existenţei şi aplicării unei strategii de informatizare, a procedurilor interne
de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor,
a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de
administrare şi întreţinere, precum şi a politicilor de securitate vizând
accesul fizic şi logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicaţiilor
informatice reprezintă proceduri de validare şi control incluse în codul
aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a
modului de procesare a tranzacţiilor şi efectuării operaţiunilor.
Art. 21. - (1) In vederea evitării pierderilor generate
de întreruperea activităţii datorită unor factori externi ce nu pot fi controlaţi de către asigurători,
aceştia trebuie să elaboreze planuri alternative, care să le permită reluarea
activităţii în cazul apariţiei unor situaţii neprevăzute. Replicarea sistemelor
critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate
într-o altă locaţie aparţinând asigurătorilor, fie prin intermediul unui
furnizor extern de servicii.
(2) Funcţionarea planurilor alternative trebuie testată
periodic prin stimularea operaţiunilor pe sistemele de rezervă, în scopul
verificării disponibilităţii acestora.
Art. 22. - In vederea organizării unui sistem de
control intern eficient, asigurătorii trebuie să dispună de canale de
comunicare care să asigure că personalul propriu cunoaşte politicile şi
procedurile cu implicaţii asupra atribuţiilor şi responsabilităţilor sale şi că
orice alte informaţii relevante ajung în timp util la acesta.
Art. 23. - Structura
organizatorică a asigurătorilor trebuie să asigure un flux corespunzător de
informaţii, pe verticală, în ambele sensuri, şi pe orizontală, care să permită
următoarele:
a) informarea consiliului de administraţie şi a
conducerii executive asupra riscurilor aferente activităţii şi funcţionării
asigurătorilor;
b) informarea nivelurilor inferioare de conducere
operativă şi a personalului atât asupra strategiilor asigurătorilor, cât şi
asupra politicilor şi procedurilor stabilite;
c) difuzarea informaţiilor
între compartimentele şi sediile secundare ale asigurătorilor pentru care
respectivele informaţii au relevanţă.
Art. 24. - (1) Asigurătorii trebuie să monitorizeze
permanent eficacitatea sistemului de control intern, cu luarea în considerare a
modificărilor intervenite în condiţiile interne şi externe de desfăşurare a
activităţii.
(2) Asigurătorii trebuie să asigure un rol important
auditului intern în procesul de monitorizare a sistemului de control intern.
(3) Monitorizarea eficacităţii sistemului de control
intern va fi efectuată atât de personalul responsabil pentru fiecare
compartiment şi sediu secundar al asigurătorului, cât şi de auditul intern.
(4) Monitorizarea eficacităţii sistemului de control
intern trebuie să facă parte din activităţile zilnice ale asigurătorilor şi
trebuie să includă şi evaluări separate ale sistemului de control intern în
general.
(5) Evaluările separate, periodice, ale sistemului de
control intern vor fi efectuate atât de personalul responsabil pentru fiecare
compartiment şi sediu secundar (autoevaluare), cât şi de auditul intern.
(6) Frecvenţa cu care trebuie monitorizate diferitele
activităţi ale asigurătorilor depinde de riscurile implicate de activităţile
respective, precum şi de natura şi frecvenţa schimbărilor din activitatea
respectivă.
Art. 25. - (1) Deficienţele identificate în legătură cu
sistemul de control intern trebuie să fie raportate imediat nivelului de
conducere competent, care trebuie să ia măsuri pentru remedierea cu
promptitudine a acestora.
(2) Deficienţele majore ale sistemului de control
intern trebuie să fie raportate conducerii executive a asigurătorilor şi
consiliului de administraţie al acestora.
(3) Conducerea executivă a asigurătorilor are
responsabilitatea de a stabili un sistem de detectare a deficienţelor
sistemului de control intern şi de a întreprinde măsuri pentru soluţionarea
respectivelor deficienţe.
Art. 26. - Asigurătorii trebuie
să ia măsuri pe linia administrării următoarelor riscuri: riscul de credit,
riscul de piaţă, riscul de lichiditate, riscul operaţional, riscul de
subscriere şi riscul reputaţional.
Art. 27. - In domeniul managementului riscurilor, consiliul de administraţie al asigurătorilor are cel puţin următoarele
atribuţii:
a) să aprobe şi să reconsidere profilul de risc al
acestora;
b) să aprobe politicile privind managementul
riscurilor respective, să le analizeze periodic, cel puţin anual, şi să dispună
revizuirea acestora, după caz;
c) să asigure luarea de către conducerea executivă a
măsurilor necesare pentru identificarea, evaluarea, monitorizarea şi controlul
riscurilor, inclusiv pentru activităţile externalizate;
d) să aprobe procedurile de stabilire a competenţelor
şi a responsabilităţilor în domeniul managementului riscurilor;
e) să aprobe externaiizarea unor activităţi;
f) să aprobe politica de instruire a personalului.
Art. 28. - In domeniul managementului riscurilor,
conducerea executivă a asigurătorilor este
responsabilă cel puţin pentru următoarele:
a) implementarea strategiilor aprobate de consiliul
de administraţie şi asigurarea comunicării acestora personalului implicat în
punerea lor în aplicare;
b) asigurarea comunicării politicilor şi procedurilor
pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor
personalului implicat în punerea lor în aplicare;
c) menţinerea unor sisteme de raportare
corespunzătoare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri;
d) menţinerea limitelor corespunzătoare privind
expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu
mărimea, complexitatea şi situaţia financiară a asigurătorilor;
e) menţinerea eficienţei şi eficacităţii sistemului de control intern;
f) analizarea oportunităţii externalizării unor
activităţi prin prisma riscurilor implicate de externaiizare;
g) supravegherea şi monitorizarea contractului de
externalizare;
h) asigurarea unui personal calificat, având experienţa şi cunoştinţele necesare;
i) asigurarea instruirii corespunzătoare a
personalului;
j) asigurarea concordanţei politicilor de remunerare a
personalului cu strategia asigurătorului privind riscurile.
Art. 29. - In procesul de management al riscurilor, asigurătorii trebuie să constituie un comitet de management al
riscurilor.
Art. 30. - (1) Asigurătorii trebuie să opteze pentru un
profil de risc, stabilind obiectivul şi strategia pentru fiecare risc, inclusiv
în ceea ce priveşte activităţile externalizate.
(2) Asigurătorii vor stabili tipurile de riscuri pe
care sunt pregătiţi să le asume. La stabilirea acestora se vor avea în vedere
natura, dimensiunea şi complexitatea activităţii.
(3) Strategia asigurătorilor privind managementul
riscurilor trebuie să determine raportul dintre risc şi profit pe care
asigurătorul îl consideră acceptabil în condiţiile asigurării continuităţii
activităţii acesteia pe baze sănătoase şi prudente.
Art. 31. - Asigurătorii trebuie să adopte politici
pentru managementul riscurilor, în vederea implementării profilului de risc
ales. Politicile respective trebuie să corespundă strategiilor generale, să fie
corelate cu nivelul fondurilor proprii ale asigurătorilor şi cu experienţa
acestora în administrarea riscurilor, precum şi cu toleranţa faţă de risc
stabilită de consiliul de administraţie.
Art. 32. - Politicile privind managementul riscurilor,
corespunzătoare naturii, dimensiunii şi complexităţii activităţilor
asigurătorilor, trebuie să fie transpuse în mod clar şi transparent în norme
interne, proceduri, inclusiv în manuale şi coduri de conduită, făcându-se
distincţie între standardele generale aplicabile întregului personal şi regulile
specifice aplicabile anumitor categorii de personal.
Art. 33. - Politicile de management al riscurilor trebuie să asigure, după caz, stabilirea cel puţin a:
a) unui sistem de proceduri de autorizare a
operaţiunilor afectate de riscurile respective;
b) unui sistem de stabilire a limitelor expunerii la
risc şi de monitorizare a acestora, care să reflecte profilul de risc ales şi
care să fie în conformitate cu legislaţia şi cu reglementările în vigoare;
limitele stabilite la nivelul activităţilor şi/sau compartimentelor/sediilor
secundare trebuie corelate cu cele stabilite la nivel de ansamblu al
asigurătorilor;
c) unui sistem de raportare a expunerilor la riscuri,
precum şi altor aspecte legate de riscuri către nivelurile de conducere
corespunzătoare;
d) unui sistem de proceduri pentru situaţii
neprevăzute;
e) unor criterii de recrutare şi remunerare a
personalului, care să stabilească standarde ridicate pentru pregătirea,
experienţa şi integritatea acestuia;
f) unui program de instruire a personalului.
Art. 34. - (1) Asigurătorii trebuie să efectueze
sistematic o evaluare a riscurilor.
(2) Evaluarea riscurilor
trebuie să ţină cont şi de:
a) implicaţiile corelării fiecărui risc cu celelalte
riscuri la care se expune asigurătorul;
b) previzionările profitului şi fondurilor proprii pe
baza diferitelor scenarii în condiţii de criză, inclusiv o cuantificare a
pierderilor maxime în condiţiile extreme.
(3) Asigurătorii trebuie să efectueze sistematic teste
de senzitivitate.
Art. 35. - Asigurătorii trebuie să dispună de un sistem
de informare adecvat pentru identificarea, evaluarea, monitorizarea şi
documentarea sistematică a riscurilor atât la nivelul asigurătorilor, cât şi la
nivelul compartimentelor şi sediilor secundare ale acestora.
Art. 36. - Asigurătorii trebuie să asigure că există o
separare corespunzătoare a atribuţiilor în cadrul procesului de administrare a
riscurilor, pentru evitarea potenţialelor conflicte de interese.
Art. 37. - Asigurătorii trebuie să asigure o
monitorizare sistematică a conformităţii cu procedurile stabilite pentru
managementul riscurilor şi să soluţioneze deficienţele constatate.
Art. 38. - Asigurătorii trebuie să dispună de un sistem
adecvat de control intern asupra procesului de management al riscurilor, care implică
analize independente şi regulate şi evaluări ale eficacităţii sistemului şi,
acolo unde se impune, asigurarea remedierii deficienţelor constatate.
Rezultatele unor astfel de analize trebuie să fie comunicate în mod direct
consiliului de administraţie, comitetului de administrare a riscurilor şi
comitetului de audit.
Art. 39. - (1) Asigurătorii trebuie să dispună de
politici privind externalizarea activităţilor auxiliare sau conexe în raport cu
activităţile principale.
(2) Asigurătorii trebuie să dispună de proceduri de
administrare a riscurilor asociate activităţilor externalizate.
(3) Procedurile de management
al riscurilor asociate activităţilor externalizate se vor referi cel puţin la
următoarele:
a) luarea deciziilor privind externalizarea unor noi
activităţi sau modificarea celor existente;
b) selectarea şi evaluarea societăţilor prestatoare
de servicii auxiliare sau conexe în legătură cu aspecte cum ar fi:
solvabilitatea, reputaţia, familiarizarea cu specificul sectorului
asigurărilor, calitatea serviciilor prestate, organizarea activităţii şi
controlul intern, existenţa unui personal competent, existenţa unui plan
alternativ de redresare a activităţii, asigurarea confidenţialităţii
informaţiei;
c) monitorizarea modului în care societăţile
prestatoare de servicii auxiliare sau conexe desfăşoară activităţile
externalizate;
d) elaborarea de planuri
alternative şi stabilirea costurilor şi resurselor necesare pentru schimbarea
societăţilor prestatoare de servicii auxiliare sau conexe.
Art. 40. - (1) Asigurătorii pot externaliza activităţi
doar în condiţiile încheierii de contracte cu societăţi
prestatoare de servicii auxiliare sau conexe.
(2) Contractele încheiate cu societăţi prestatoare de
servicii auxiliare sau conexe în legătură cu activităţile externalizate trebuie
să fie în formă scrisă şi să asigure o alocare clară a responsabilităţilor
fiecărei părţi.
(3) Asigurătorii vor putea încheia contracte cu
societăţi prestatoare de servicii auxiliare sau conexe, în legătură cu
activităţile externalizate, în următoarele condiţii:
a) asigurarea existenţei unor date actualizate şi a
altor informaţii la nivelul asigurătorului;
b) asigurarea accesului unor entităţi din România
(autorităţi sau instituţii publice) la datele şi informaţiile aferente
operaţiunilor din România, în cazul externalizării unor activităţi în afara
graniţelor ţării;
c) asigurarea
securităţii/confidenţialităţii datelor cel puţin prin următoarele măsuri:
angajamentul societăţii prestatoare de servicii auxiliare sau conexe şi al
personalului acesteia de a se supune regulilor de confidenţialitate, drepturile
contractuale ale asigurătorului de a lua măsuri împotriva societăţii
prestatoare de servicii auxiliare sau conexe în cazul încălcării
confidenţialităţii, separarea datelor asigurătorului de cele ale societăţii
prestatoare de servicii auxiliare sau conexe şi de cele ale altor clienţi ai
acesteia.
Art. 41. - Asigurătorii nu pot externaliza următoarele
activităţi:
a) activitatea de audit intern, în condiţiile în care
furnizorul extern de servicii în domeniul auditului intern are şi calitatea de auditor financiar al
instituţiei de credit în cauză;
b) organizarea şi ţinerea contabilităţii, în
condiţiile în care între persoanele cărora le-ar fi externalizată activitatea
de ţinere a contabilităţii şi auditorul financiar există legături ce afectează
independenţa acestuia în exercitarea mandatului;
c) organizarea şi desfăşurarea activităţii juridice
curente, în conformitate cu dispoziţiile Legii nr. 514/2003 privind organizarea
şi exercitarea profesiei de consilier juridic;
d) orice alte activităţi care în urma externalizării
nu mai pot fi controlate şi desfăşurate în conformitate cu regulile unei
practici prudente şi sănătoase.
Art. 42. - (1) Asigurătorii trebuie să dispună de un
comitet de management al riscurilor. Comitetul de management al riscurilor este
un comitet permanent, ale cărui funcţionare şi atribuţii sunt reglementate de
prezentele norme şi de regulamentele interne ale fiecărui asigurător.
(2) Comitetul de management al riscurilor îşi poate
desfăşura lucrările în subcomitete, în funcţie de mărimea şi complexitatea
asigurătorului.
(3) Comitetul de management al riscurilor se
constituie prin decizie a consiliului de administraţie.
Art. 43. - Asigurătorii trebuie să dispună de un
regulament al comitetului de management al riscurilor, aprobat la nivelul
consiliului de administraţie şi revizuit periodic, după caz, care să indice
componenţa, autoritatea şi responsabilităţile acestuia şi modul de raportare
către consiliul de administraţie.
Art. 44. - (1) Membrii comitetului de management al
riscurilor trebuie să aibă o experienţă compatibilă cu responsabilităţile lor
în cadrul acestuia.
(2) Comitetul de management al riscurilor este format
din membri ai conducerii executive şi operative ai asigurătorului.
Art. 45. - Comitetul de management al riscurilor va
avea cel puţin următoarele atribuţii:
a) să asigure informarea consiliului de administraţie
asupra problemelor şi evoluţiilor semnificative care ar putea influenţa
profilul de risc al asigurătorului;
b) să dezvolte politici şi proceduri adecvate pentru
identificarea, evaluarea, monitorizarea şi controlul riscurilor;
c) să aprobe metodologii şi modele adecvate pentru
evaluarea riscurilor şi limitarea expunerilor;
d) să stabilească limite corespunzătoare privind
expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu
mărimea, complexitatea şi situaţia financiară a asigurătorului, precum şi
proceduri necesare pentru aprobarea excepţiilor de la respectivele limite;
e) să aprobe angajarea asigurătorului în noi
activităţi, pe baza analizei riscurilor aferente
acestora;
f) să analizeze măsura în care planurile alternative
de care dispune banca corespund situaţiilor neprevăzute cu care aceasta s-ar
putea confrunta;
g) să prezinte consiliului de administraţie informări
suficient de detaliate şi oportune, care să permită acestuia să cunoască şi să
evalueze performanţa conducerii în monitorizarea şi controlul riscurilor,
potrivit politicilor aprobate, precum şi performanţa de ansamblu a
asigurătorului;
h) să informeze regulat consiliul de administraţie
asupra situaţiei expunerilor asigurătorului la riscuri şi imediat, în cazul în
care intervin schimbări semnificative în expunerea curentă sau viitoare a
asigurătorului la riscurile respective;
i) să stabilească sisteme de raportare corespunzătoare
a aspectelor legate de riscuri;
j) să stabilească competenţele şi responsabilităţile
pentru administrarea şi controlul expunerilor la riscuri.
Art. 46. - (1) Asigurătorii trebuie să întocmească
anual un raport asupra condiţiilor în care este desfăşurat controlul intern.
Acest raport trebuie să cuprindă cel puţin:
a) o inventariere a principalelor deficienţe
identificate în cadrul sistemului de control intern şi măsurile întreprinse
pentru corectarea acestora;
b) o descriere a modificărilor semnificative
intervenite în sistemul de control intern în perioada respectivă, în special axate
pe evoluţia activităţii şi a riscurilor;
c) o descriere a condiţiilor de aplicare a
procedurilor de control aferente noilor activităţi;
d) desfăşurarea controlului intern în cadrul sediilor
secundare ale asigurătorilor din străinătate.
(2) Raportul întocmit de către asigurători trebuie să
includă şi condiţiile în care se desfăşoară controlul intern la nivelul
entităţilor cuprinse în perimetrul lor de consolidare şi al societăţilor prestatoare de servicii auxiliare sau conexe.
Art. 47. - (1) Asigurătorii trebuie să întocmească
anual un raport privind măsurile luate pe linia managementului riscurilor la
care sunt expuşi aceştia şi, după caz, măsurile luate de entităţile cuprinse în
perimetrul lor de consolidare şi societăţile prestatoare de servicii auxiliare
sau conexe.
(2) Raportul întocmit trebuie să cuprindă cel puţin:
a) politicile de management al riscului, cu
specificarea toleranţei asigurătorului la risc şi limitele stabilite pentru
gestiunea riscurilor de piaţă, de credit şi de lichiditate;
b) detalii ale politicilor de investiţii ale
asigurătorului, incluzând procedurile de identificare, monitorizare şi control
al riscurilor, precum şi detalii referitoare la strategiile investiţionale cu
produse derivate sau produse cu efect similar;
c) procedurile asigurătorului pentru alegerea
partenerilor, cu specificarea detaliilor procedurilor de selectare şi
monitorizare a administratorilor de fonduri şi a societăţilor de servicii de
investiţii financiare;
d) procedurile asigurătorului referitoare la
introducerea de noi instrumente de investiţii şi de monitorizare a riscurilor
asociate cu utilizarea acestora;
e) o prezentare a modului de abordare şi a
politicilor asigurătorului referitoare la produsele de asigurare, procesul de
subscriere, activitatea de reasigurare şi solvabilitate;
f) detalii referitoare la salarizarea personalului
pentru a stabili dacă compania acordă prime sau alte stimulente salariale mari
care determină o mărire nejustificată a expunerii la risc a societăţii;
g) un plan de afaceri global al asigurătorului care
cuprinde informaţii referitoare la noile produse lansate de societate, strategia de distribuţie a
produselor, procesul de subscriere şi activitatea de reasigurare. Aceste
informaţii vor fi folosite în scopul evaluării gradului de adecvare a
sistemului de management al riscului implementat de asigurător la afacerea sa;
h) planurile elaborate de asigurător pentru împrejurări
neprevăzute;
i) detalii referitoare la
testele de senzitivitate efectuate de asigurător pentru evaluarea riscurilor la
care este expus;
j) informaţii despre managementul intern al
portofoliilor de active: detalii despre active şi datorii, detalii despre
investiţiile intragrup realizate;
k) lista deciziilor consiliului de administraţie;
l) documente care să ateste
pregătirea profesională a persoanelor responsabile cu activităţile de
investiţii, respectiv cu managementul riscului investiţiilor;
m) detalii referitoare la serviciile externalizate;
n) rapoarte referitoare la riscurile de piaţă, precum
şi rentabilitatea portofoliului de investiţii.
Art. 48. - Rapoartele menţionate la art. 46 şi 47
trebuie să fie transmise Comisiei de Supraveghere a Asigurărilor în termen de 6
luni de la încheierea exerciţiului financiar.
Art. 49. - Pentru controlul intern al activităţii şi
managementul riscurilor, asigurătorii vor avea în vedere şi prevederile
legislaţiei naţionale şi standardele internaţionale în materie.
Art. 50. - In cazul în care asigurătorii nu apelează la
un furnizor extern de servicii pentru sistemele informatice, aceştia vor trebui
să dispună de sistemele de rezervă prevăzute la art. 21 alin. (1), în termen de
9 luni de la intrarea în vigoare a prezentelor norme.
Art. 51. - In termen de 3 luni
de la data intrării în vigoare a prezentelor norme, asigurătorii trebuie să
transmită Comisiei de Supraveghere a Asigurărilor normele interne privind
organizarea controlului intern al activităţii, normele interne privind
organizarea sistemului de management al riscurilor, precum şi regulamentul
comitetului de management al riscurilor.
Art. 52. - Nerespectarea prevederilor prezentelor norme
constituie contravenţie şi se sancţionează conform prevederilor art. 39 din
Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea
asigurărilor, cu modificările şi completările ulterioare.
Art. 53. - Prezentele norme intră în vigoare începând
cu data aderării României la Uniunea Europeană, dată la care se abrogă Ordinul
preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 3.105/2004 pentru
punerea în aplicare a Normei minimale privind activitatea de control intern,
publicat în Monitorul Oficial al României, Partea I,
nr. 186 din 3 martie 2004.