ORDIN Nr. 18
din 7 septembrie 2009
pentru aprobarea Normelor
privind principiile de organizare a unui sistem de control intern si management
al riscurilor, precum si organizarea si desfasurarea activitatii de audit
intern la asiguratori/reasiguratori
ACT EMIS DE:
COMISIA DE SUPRAVEGHERE A ASIGURARILOR
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 621 din 16 septembrie 2009
In temeiul prevederilor art. 4 alin. (27) din Legea nr.
32/2000 privind activitatea de asigurare şi supravegherea asigurărilor, cu
modificările şi completările ulterioare, potrivit Hotărârii Consiliului
Comisiei de Supraveghere a Asigurărilor din data de 1 septembrie 2009 prin care
s-au adoptat Normele privind principiile de organizare a unui sistem de control
intern şi management al riscurilor, precum şi organizarea şi desfăşurarea
activităţii de audit intern la asigurători/reasiguratori,
preşedintele Comisiei de Supraveghere a Asigurărilor
emite următorul ordin:
Art. 1. - Se aprobă Normele privind principiile de
organizare a unui sistem de control intern şi management al riscurilor, precum
şi organizarea şi desfăşurarea activităţii de audit intern la
asigurători/reasiguratori, prevăzute în anexa care face parte integrantă din
prezentul ordin.
Art. 2. - La data intrării în vigoare a prezentului
ordin se abrogă Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor
nr. 113.117/2006 pentru punerea în aplicare a Normelor privind principiile de
organizare ale unui sistem de control intern şi management al riscului la
asigurători, publicat în Monitorul Oficial al României, Partea I, nr. 572 din 3
iulie 2006.
Art. 3. - Direcţia generală reglementări contabile din
cadrul Comisiei de Supraveghere a Asigurărilor va lua măsuri pentru ducerea la
îndeplinire a prevederilor prezentului ordin.
Preşedintele Comisiei de Supraveghere a Asigurărilor,
Angela Toncescu
ANEXĂ
NORME
privind principiile de organizare a unui sistem de
control intern şi management al riscurilor, precum si organizarea si
desfăşurarea activităţii de audit intern la asigurători/reasiguratori
CAPITOLUL I
Definiţii
Art. 1. -In sensul prezentelor norme, termenii şi
expresiile de mai jos au următoarele semnificaţii:
1. profil de risc - o descriere a riscurilor la
care asigurătorul/reasiguratorul este expus. Profilul de risc exprimă natura
riscurilor care ameninţă societatea, în funcţie de complexitatea activităţii şi
de obiectivele sale strategice;
2. toleranţa faţă de risc - suma la risc pe care
asigurătorul/reasiguratorul este dispus să o accepte în desfăşurarea
activităţii sale, în concordanţă cu obiectivele sale strategice. Toleranţa faţă
de risc va specifica limitele de risc stabilite ca parte a politicilor de
management al riscului;
3. fesfe de stres - analize cantitative sau
calitative efectuate cu scopul de a evalua impactul unor evoluţii nefavorabile
ale factorilor de risc, luaţi individual sau combinaţi într-un scenariu unic,
asupra situaţiei financiare a asigurătorilor/reasiguratorilor;
4. risc de subscriere - posibilitatea
înregistrării de pierderi sau a nerealizarii profiturilor estimate din cauza
stabilirii inadecvate a tarifelor de primă şi/sau a rezervelor tehnice
comparativ cu obligaţiile asumate şi care poate să rezulte, fără a fi
limitativ, din fluctuaţii în frecvenţa şi severitatea evenimentelor asigurate
în raport cu estimările din momentul subscrierii;
5. risc de piaţă - posibilitatea înregistrării
de pierderi sau a nerealizarii profiturilor estimate, care rezultă, direct ori
indirect, din fluctuaţiile în nivelul şi volatilitatea preţului de piaţă al
activelor, obligaţiilor şi instrumentelor financiare. Riscul de piaţă cuprinde
riscul valutar şi riscul ratei dobânzii;
6. risc de credit - posibilitatea înregistrării
de pierderi sau a nerealizarii profiturilor estimate, care rezultă din
fluctuaţiile în ratingul emitenţilor de valori mobiliare şi al oricăror
debitori faţă de care societăţile de asigurare sunt expuse sau din
neîndeplinirea obligaţiilor contractuale de către intermediari, asiguraţi,
reasiguratori sau alţi debitori;
7. risc operaţional- posibilitatea înregistrării
de pierderi sau a nerealizarii profiturilor estimate, care apare din procesele
interne inadecvate, din vina angajaţilor sau din erorile generate de sistemul
informatic, precum şi din factori externi;
8. risc de lichiditate - posibilitatea
înregistrării de pierderi sau a nerealizarii profiturilor estimate, ce rezultă
din imposibilitatea asigurătorilor de a valorifica active pentru a onora în
orice moment şi cu costuri rezonabile obligaţiile de plată pe termen scurt sau
din încasarea cu dificultate a creanţelor din contractele de
asigurare/reasigurare;
9. risc de concentrare - expunerea la un risc cu
un potenţial de generare de pierderi suficient de mari încât să ameninţe
solvabilitatea sau situaţia financiară a asigurătorului/ reasiguratorului;
10. risc de contagiune - posibilitatea
înregistrării de pierderi generate de apartenenţa la grup, apărută ca urmare a
raporturilor pe care societatea le are cu alte entităţi din grup, situaţiile de
dificultate care apar într-o entitate putând să se propage cu efecte negative
asupra solvabilităţii societăţii de asigurare/reasigurare;
11. risc reputaţional- posibilitatea
înregistrării de pierderi sau a nerealizării profiturilor estimate, ca urmare a
deteriorării imaginii şi/sau a managementului societăţii (publicităţii
negative) care conduce la lipsa încrederii publicului în integritatea
societăţii;
12. tehnici de diminuare a riscului - toate
procedurile care dau posibilitatea asigurătorului să transfere parţial sau
total riscurile sale către o altă entitate;
13. externalizare - un acord încheiat între
asigurător/ reasigurator şi un furnizor de servicii, în baza căruia furnizorul
execută în numele şi/sau pentru asigurător/reasigurator un serviciu ori o
activitate, chiar dacă aceasta nu priveşte direct activitatea de asigurare;
14. control intern - proces continuu la care
participă conducerea administrativă, conducerea executivă, precum şi întregul
personal al asigurătorilor, prin care se furnizează o asigurare rezonabilă
asupra atingerii obiectivelor prevăzute la art. 3;
15. conducerea administrativă - consiliul de
administraţie sau consiliul de supraveghere, pentru societăţile care au adoptat
sistemul dualist de conducere;
16. conducerea executivă - astfel cum este
definită la art. 2 din Legea nr. 32/2000 privind activitatea de asigurare şi
supravegherea asigurărilor, cu modificările şi completările ulterioare;
17. conducerea operativă - persoanele care
asigură conducerea nemijlocită a compartimentelor din cadrul asigurătorului, al
sucursalelor şi al altor sedii secundare;
18. managementul riscului - un proces prin care
se evaluează, se monitorizează şi se controlează riscurile (generate de factori
interni sau de factori externi) care ar putea avea un impact negativ asupra
activităţii asigurătorului/ reasiguratorului. Sistemul de management al
riscului cuprinde reguli şi proceduri necesare pentru identificarea, măsurarea,
administrarea şi raportarea riscurilor la care asigurătorul ar putea fi expus,
luând în considerare şi interdependenţa dintre riscuri;
19. audit intern - activitate independentă
constând într-o examinare obiectivă a modului de realizare a administrării
riscurilor, sistemului de control intern şi proceselor de conducere ale
societăţilor, în scopul furnizării unei asigurări rezonabile că acestea
funcţionează corespunzător şi vor permite atingerea obiectivelor societăţii de
asigurare/reasigurare.
CAPITOLUL II
Sistemul de control intern
Art. 2. - Sistemul de control intern cuprinde ansamblul
activităţilor de control intern din cadrul tuturor structurilor societăţii de
asigurare/reasigurare, corespunzător dimensiunii, naturii şi complexităţii
activităţii, cu scopul de a contribui la realizarea obiectivelor societăţii de
asigurare/reasigurare.
Art. 3. - In cadrul sistemului de control intern,
asigurătorii/reasiguratorii trebuie să definească reguli, proceduri şi o
structură organizatorică ierarhizată care să asigure o funcţionare corectă a
activităţii în cadrul societăţii şi să urmărească:
a) desfăşurarea activităţii în condiţii de eficienţă şi
rentabilitate;
b) controlul adecvat al riscurilor care pot afecta
atingerea obiectivelor societăţii;
c) furnizarea unor informaţii corecte, relevante,
complete şi oportune structurilor implicate în luarea deciziilor în cadrul
societăţilor şi utilizatorilor externi ai informaţiilor;
d) protejarea patrimoniului;
e) conformitatea activităţii societăţii cu
reglementările legale în vigoare, politica şi procedurile societăţii.
Art. 4. - Activităţile de control intern includ cel
puţin următoarele:
a) analize la nivelul conducerii administrative şi al
conducerii executive;
b) analize operative la nivelul compartimentelor şi al
structurilor teritoriale ale asigurătorilor;
c) controale faptice care au în vedere restricţionarea
accesului la active, cum ar fi disponibilităţi băneşti etc;
d) analiza încadrării în limitele impuse expunerilor la
risc şi urmărirea modului în care sunt soluţionate situaţiile de
neconformitate;
e) aprobări şi autorizări, în cazul operaţiunilor ce
depăşesc anumite limite de sume, asigurându-se astfel controlul asupra
realizării operaţiunilor respective de către nivelul de conducere competent şi
stabilirea responsabilităţilor;
f) verificări ale tranzacţiilor efectuate la nivelul
asigurătorului şi efectuarea de reconcilieri, în special acolo unde există
diferenţe între metodologiile sau sistemele de evaluare utilizate în
compartimentele responsabile cu iniţierea tranzacţiilor (front office) şi
compartimentele responsabile cu înregistrarea şi monitorizarea tranzacţiilor
iniţiate (back office). Rezultatele verificărilor vor fi comunicate nivelului
de conducere superior competent.
Art. 5. -Asigurătorii/Reasiguratorii trebuie să
revizuiască activităţile de control intern, cel puţin anual, pentru a
identifica şi a evalua în mod corespunzător orice riscuri nou-apărute ca urmare
a dezvoltării activităţii.
Art. 6. -In vederea organizării unui sistem de control
intern eficient, asigurătorii/reasiguratorii trebuie să urmărească:
a) repartizarea corespunzătoare a atribuţiilor la toate
nivelurile organizatorice, asigurându-se că personalului nu îi sunt alocate
responsabilităţi care să conducă la conflicte de interese. Domeniile care pot
fi afectate de potenţiale conflicte de interese trebuie să fie identificate şi
supuse unei monitorizări independente exercitate de persoane neimplicate direct
în activităţile respective, a căror informare este efectuată pe baza unor linii
de raportare stabilite în mod corespunzător;
b) adoptarea unui cod etic pentru personalul propriu,
care să definească reguli comportamentale, de disciplină şi situaţii de
potenţiale conflicte de interese şi să prevadă acţiuni corective adecvate, în
cazul în care se încalcă procedurile societăţii sau codul etic;
c) evitarea politicilor sau practicilor de remunerare
ce pot favoriza activităţi ilegale, care nu respectă standardele etice sau care
presupun riscuri faţă de interesele societăţii;
d) stabilirea unor canale de comunicare care să asigure
un flux corespunzător de informaţii, la toate nivelurile, care să garanteze că
personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra
atribuţiilor şi responsabilităţilor sale, că orice informaţii relevante ajung
în timp util şi să permită:
- informarea conducerii administrative şi a conducerii
executive asupra riscurilor aferente activităţii şi funcţionării
asigurătorilor/reasiguratorilor;
- informarea nivelurilor inferioare de conducere
operativă şi a personalului atât asupra strategiilor asigurătorilor/
reasiguratorilor, cât şi asupra politicilor şi procedurilor stabilite;
- difuzarea informaţiilor între compartimentele şi
structurile teritoriale ale asigurătorilor/reasiguratorilor pentru care
respectivele informaţii au relevanţă;
e) elaborarea de planuri alternative care să permită
reluarea activităţii în cazul apariţiei unor situaţii neprevăzute, pentru
evitarea pierderilor generate de întreruperea activităţii datorită unor factori
externi ce nu pot fi controlaţi de către asigurători/reasiguratori. Replicarea
sistemelor critice trebuie asigurată fie prin existenţa unor sisteme de rezervă
situate într-o altă locaţie aparţinând asigurătorilor/reasiguratorilor, fie
prin intermediul unui furnizor extern de servicii. Funcţionarea planurilor
alternative trebuie testată periodic prin simularea operaţiunilor pe sistemele
de rezervă, în scopul verificării disponibilităţii acestora;
f) elaborarea unor proceduri privind tehnologia de
informare şi comunicare, menită să asigure existenţa şi menţinerea unui sistem
informatic adecvat nevoilor societăţii, corespunzător cu dimensiunea şi
activitatea societăţii, care să asigure:
1. separarea mediului de dezvoltare de cel de operare.
Accesul la diversele medii trebuie reglementat şi controlat prin proceduri
întocmite, ţinând cont de exigenţa de limitare a riscurilor şi a fraudei.
Aceste proceduri garantează siguranţa datelor, limitând accesul persoanelor
neautorizate din mediul de operare şi înregistrând toate tentativele de acces
neautorizate;
2. elaborarea de proceduri pentru aprobarea şi
achiziţia sistemelor hardware şi software, precum şi externalizarea serviciilor
din sistemul informatic;
3. elaborarea de proceduri ce asigură siguranţa fizică
a sistemelor hardware, software şi a băncilor de date, precum şi prevenirea
utilizării necorespunzătoare a informaţiei de către personalul asigurătorilor
pentru obţinerea unor beneficii personale sau prejudicierea reputaţiei
societăţii;
4. asigurarea condiţiilor de securitate pentru zonele
în care sunt accesate informaţii cu caracter confidenţial;
5. adoptarea de proceduri pentru identificarea şi
gestionarea evenimentelor care pot prejudicia continuitatea activităţii, cum ar
fi: incendii, defecţiuni la sistemele hardware sau software, erori operaţionale
din partea utilizatorilor, introducere involuntară de componente străine care
să creeze daune sistemului informatic sau reţelei etc.
Procedurile sunt supuse verificării din partea
auditului intern.
Art. 7. - (1) In vederea evitării disfuncţionalităţilor
în cadrul activităţii şi a eventualelor pierderi generate de acestea,
asigurătorii/reasiguratorii trebuie să controleze eficient riscurile implicate
de utilizarea sistemelor informatice. In acest scop se vor efectua atât
controale generale la nivelul întregului sistem informatic, cât şi controale la
nivelul fiecărei aplicaţii informatice din componenţa acestuia.
(2) Controalele generale se efectuează asupra
infrastructurii hardware şi de comunicaţii a sistemelor informatice, precum şi
asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au
drept scop verificarea funcţionării continue şi corespunzătoare a acestora.
(3) Controalele generale includ şi verificarea
existenţei şi aplicării procedurilor interne de salvare şi restaurare a
datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de
dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi
întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi
logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicaţiilor
informatice presupun verificarea existenţei unor proceduri de validare şi
control incluse în codul aplicaţiilor informatice utilizate, precum şi a unor
proceduri/manuale de verificare a modului de procesare a tranzacţiilor şi efectuării
operaţiunilor.
Art. 8. - (1) Deficienţele identificate în legătură cu
sistemul de control intern trebuie să fie raportate imediat nivelului de
conducere competent, care trebuie să ia măsuri pentru remedierea cu
promptitudine a acestora.
(2) Deficienţele majore ale sistemului de control
intern trebuie să fie raportate conducerii executive a asigurătorilor/
reasiguratorilor şi conducerii administrative a acestora.
(3) Conducerea executivă a
asigurătorilor/reasiguratorilor are responsabilitatea de a stabili un sistem de
detectare a deficienţelor sistemului de control intern şi de a întreprinde
măsuri pentru soluţionarea respectivelor deficienţe.
CAPITOLUL III
Sistemul de management al riscului
Art. 9. -Asigurătorii/Reasiguratorii trebuie să dispună
de un sistem de management al riscurilor proporţional cu dimensiunea, natura şi
complexitatea activităţii exercitate.
Art. 10. - Politica privind managementul riscurilor
trebuie să fie transpusă în mod clar şi transparent în norme interne şi manuale
de proceduri, făcându-se distincţie între standardele generale aplicabile
întregului personal şi regulile specifice aplicabile anumitor categorii de
personal care utilizează informaţii confidenţiale sau au responsabilităţi de a
angaja societatea.
Art. 11. - Pentru asigurarea unui sistem de management
al riscului eficient, asigurătorii/reasiguratorii trebuie să stabilească, după
caz:
a) un sistem de proceduri de autorizare a operaţiunilor
afectate de riscuri;
b) un sistem de stabilire a limitelor expunerii la risc
şi de monitorizare a acestora, care să reflecte profilul de risc ales şi care
să fie în conformitate cu legislaţia şi cu reglementările în vigoare; limitele
stabilite la nivelul activităţilor şi/sau compartimentelor/sediilor secundare
trebuie corelate cu cele stabilite la nivel de ansamblu al
asigurătorilor/reasiguratorilor;
c) un sistem de raportare a expunerilor la riscuri,
precum şi a altor aspecte legate de riscuri de la fiecare compartiment către
nivelurile de conducere corespunzătoare;
d) criterii de recrutare şi remunerare a personalului,
care să stabilească standarde ridicate pentru pregătirea, experienţa şi
integritatea acestuia;
e) un program de instruire a personalului.
Art. 12. - Asigurătorii/Reasiguratorii trebuie să
opteze pentru un profil de risc, stabilind obiectivul şi strategia de
administrare a fiecărui risc, inclusiv în ceea ce priveşte activităţile
externalizate.
Art. 13. - Societăţile de asigurare/reasigurare trebuie
să fie capabile, printr-un proces adecvat de analize, să înţeleagă natura
riscurilor identificate, originea lor, posibilitatea de a le controla şi
efectele care pot deriva din acestea. Procesul de analiză include evaluări
calitative şi evaluări cantitative, prin adoptarea unor metodologii de măsurare
a expunerii la risc, inclusiv sisteme de determinare a pierderii maxime
posibile, unde este cazul.
Art. 14. -Analizele includ cel puţin următoarele
riscuri: riscul de subscriere, riscul de piaţă, riscul de credit, riscul
operaţional, riscul de lichiditate, riscul de concentrare, riscul de contagiune
şi riscul reputaţional.
Art. 15. - Pentru măsurarea expunerii la risc
societăţile vor ţine cont de relaţia dintre riscuri, evaluându-le atât separat,
cât şi sub o bază agregată.
Art. 16. - (1) Identificarea şi evaluarea riscurilor
trebuie să se realizeze cu luarea în considerare a factorilor interni
(complexitatea structurii organizatorice, natura activităţilor desfăşurate,
calitatea personalului şi fluctuaţia acestuia) şi a factorilor externi
(condiţii economice, schimbări legislative sau legate de mediul concurenţial în
sectorul de asigurări, progrese tehnologice).
(2) Procesul de evaluare a riscurilor trebuie să
includă identificarea atât a riscurilor care sunt controlabile de către
asigurători/reasiguratori, cât şi a celor necontrolabile. In cazul riscurilor
controlabile, asigurătorii/reasiguratorii trebuie să stabilească dacă îşi asumă
integral aceste riscuri sau măsura în care doresc să le reducă prin proceduri
de control. In cazul riscurilor necontrolabile, asigurătorii trebuie să decidă
dacă le acceptă sau dacă elimină ori reduc nivelul activităţilor afectate de
riscurile respective.
(3) Evaluarea riscurilor trebuie efectuată şi în
condiţiile unor scenarii alternative, inclusiv în condiţii de criză.
Art. 17. - Pentru fiecare dintre sursele de risc
identificate, societăţile de asigurare/reasigurare trebuie să efectueze analize
cantitative utilizând teste de stres.
Art. 18. - Testele de stres vor fi create şi dezvoltate
în concordanţă cu dimensiunea şi natura activităţii societăţii şi vor avea o
frecvenţă specifică tipului de risc, evoluţiei dimensiunii activităţii
societăţii şi contextului pieţei, dar cel puţin cu o scadenţă anuală.
Art. 19. - Rezultatele acestor teste sunt făcute
cunoscute conducerii administrative, în scopul de a oferi informaţii pentru
revizuirea şi îmbunătăţirea politicii de gestiune a riscurilor, liniilor
operative şi limitelor de expunere fixate.
Art. 20. - Dacă rezultatele acestor analize de stres
indică o vulnerabilitate faţă de anumite riscuri, asigurătorii adoptă imediat
măsuri pentru gestionarea adecvată a acestor riscuri.
Art. 21. - In ceea ce priveşte activitatea de
investiţii, asigurătorii/reasiguratorii trebuie să întocmească proceduri pentru
monitorizarea şi administrarea activelor, în corelaţie cu natura şi scadenţa
obligaţiilor, şi să se asigure că activitatea de investiţii este potrivită
profilului de risc aprobat.
Art. 22. - Politicile de identificare, evaluare şi
gestiune a riscurilor aferente activităţii de investiţii trebuie definite şi
implementate având o viziune integrată asupra activelor şi a obligaţiilor din
bilanţul contabil. Dezvoltarea unor tehnici şi modele de management al
activelor şi al obligaţiilor este fundamentală pentru o corectă înţelegere şi
gestiune a expunerii la risc, care poate să derive din lipsa unui echilibru
între partea de active şi cea de obligaţii.
Art. 23. - Procesele de identificare şi evaluare a
riscurilor trebuie să se desfăşoare continuu, pentru a ţine cont de
modificările intervenite în natura şi dimensiunea afacerii şi în contextul de
piaţă, precum şi de apariţia unor noi riscuri sau de schimbarea celor
existente. O atenţie deosebită trebuie acordată evaluării riscurilor care apar
odată cu oferta de noi produse sau cu intrarea pe alte pieţe, şi modului în
care poate fi afectată administrarea activelor şi a obligaţiilor.
Art. 24. -Asigurătorii/Reasiguratorii trebuie să
definească o procedură prin care să se evidenţieze cu operativitate apariţia
unor riscuri care pot afecta situaţia patrimonială şi economică sau care
depăşesc limitele de toleranţă fixate. Pentru surse de risc majore
identificate, societatea trebuie să dispună măsuri de intervenţie imediate.
Art. 25. - (1) Asigurătorii/Reasiguratorii trebuie să
dispună de un sistem informatic auditat în conformitate cu reglementările în
vigoare privind tehnologia informaţiei, care să certifice adecvarea acestuia la
specificul şi volumul activităţii, gradul de securitate a informaţiei,
capacitatea de a furniza raportările solicitate de Comisia de Supraveghere a
Asigurărilor, capacitatea de conectare la reţea pentru transmiterea electronică
a raportărilor, capacitatea de stocare/arhivare a datelor, îndeplinirea de
către sistemele informatice a criteriilor minimale prevăzute de reglementările
în vigoare pentru prelucrarea automată a datelor în domeniul
financiar-contabil.
(2) Auditarea sistemelor informatice conform
prevederilor alin. (1) se va efectua de către un auditor financiar, altul decât
cel care auditează situaţiile financiare ale societăţii, membru activ al
Camerei Auditorilor Financiari din România şi care trebuie să dispună de
personal specializat, cu experienţă în ceea ce priveşte sistemele informatice.
Art. 26. -Asigurătorii/Reasiguratorii trebuie să
dispună de un sistem adecvat de control intern asupra procesului de management
al riscurilor, care implică analize independente şi regulate, evaluări ale
eficacităţii sistemului şi, acolo unde se impune, asigurarea remedierii
deficienţelor constatate. Rezultatele unor astfel de analize trebuie să fie
comunicate în mod direct conducerii administrative, comitetului de management
al riscurilor şi comitetului de audit.
Art. 27. - In procesul de management al riscurilor,
asigurătorii/reasiguratorii trebuie să constituie un comitet de management al
riscurilor.
Art. 28. - (1) Comitetul de management al riscurilor
este un comitet permanent, ale cărui funcţionare şi atribuţii sunt reglementate
de prezentele norme şi de regulamentele interne ale fiecărui
asigurător/reasigurator.
(2) Comitetul de management al riscurilor îşi poate
desfăşura lucrările în subcomitete, în funcţie de mărimea şi de complexitatea
asigurătorului/reasiguratorului.
(3) Comitetul de management al riscurilor se constituie
prin decizie a conducerii administrative şi trebuie să cuprindă minimum 3
membri, în funcţie de dimensiunea activităţii societăţii.
Art. 29. -Asigurătorii/Reasiguratorii trebuie să
dispună de un regulament al comitetului de management al riscurilor, aprobat la
nivelul conducerii administrative şi revizuit periodic, după caz, care să
indice componenţa, autoritatea şi responsabilităţile acestuia şi modul de
raportare către conducerea administrativă.
Art. 30. - (1) Membrii comitetului de management al
riscurilor trebuie să aibă o experienţă compatibilă cu responsabilităţile lor
în cadrul acestuia.
(2) Comitetul de management al riscurilor este format
din membri ai conducerii executive şi operative a
asigurătorului/reasiguratorului.
Art. 31. - Comitetul de management al riscurilor va
avea cel puţin următoarele atribuţii:
a) să informeze conducerea administrativă asupra
situaţiei expunerilor societăţii la riscuri, ori de câte ori intervin schimbări
semnificative în expunerea la riscuri, dar cel puţin trimestrial, informări
suficient de detaliate şi oportune care să permită conducerii să cunoască şi să
evalueze performanţa în monitorizarea şi controlul riscurilor, potrivit
politicilor aprobate;
b) să informeze conducerea administrativă asupra
problemelor şi evoluţiilor semnificative care ar putea influenţa profilul de
risc al asigurătorului/reasiguratorului;
c) să dezvolte politici şi proceduri adecvate pentru
identificarea, evaluarea, monitorizarea şi controlul riscurilor şi să
stabilească limite corespunzătoare privind expunerea la riscuri, inclusiv
pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi situaţia
financiară a asigurătorului/ reasiguratorului, precum şi proceduri necesare
pentru aprobarea excepţiilor de la respectivele limite;
d) să aprobe metodologii şi modele adecvate pentru
evaluarea riscurilor şi limitarea expunerilor la riscuri;
e) să aprobe angajarea asigurătorului/reasiguratorului
în noi activităţi specifice domeniului de activitate, pe baza analizei
riscurilor aferente acestora;
f) să analizeze măsura în care planurile alternative de
care dispune asigurătorul/reasiguratorul corespund situaţiilor neprevăzute cu
care acesta s-ar putea confrunta;
g) să stabilească sisteme de raportare în cadrul
societăţii privind aspecte legate de riscuri;
h) să stabilească competenţe şi responsabilităţi la
nivel de compartimente privind administrarea şi controlul expunerilor la
riscuri.
Structura de management al riscului
Art. 32. - Societăţile de asigurare/reasigurare trebuie
să instituie o structură de management al riscului, corespunzător naturii,
dimensiunii şi complexităţii activităţii, care:
a) contribuie la definirea metodologiei de măsurare a
riscurilor;
b) avizează fluxurile informaţionale necesare pentru
asigurarea controlului operativ al expunerilor la risc şi ia măsuri imediate
pentru corectarea acestora;
c) întocmeşte rapoartele către conducerea
administrativă şi conducerea executivă privind evoluţia riscurilor şi depăşirea
limitelor de toleranţă aprobate;
d) contribuie la efectuarea analizelor de stres.
Art. 33. - Structura de management al riscului trebuie
să nu fie subordonată funcţiilor operative. Poziţia organizatorică a structurii
de management al riscului este lăsată la autonomia societăţilor de asigurare,
acestea trebuind să respecte principiul de separare între funcţiile operative
şi cele de control.
Art. 34. - Persoana desemnată de
asigurători/reasiguratori pentru conducerea acestei structuri trebuie să
îndeplinească criteriile de aprobare prevăzute de Normele privind autorizarea
asigurătorilor, puse în aplicare prin Ordinul preşedintelui Comisiei de
Supraveghere a Asigurărilor nr. 16/2009, publicat în Monitorul Oficial al
României, Partea I, nr. 569 din 14 august 2009.
CAPITOLUL IV
Rolul şi responsabilităţile conducerii
administrative şi ale conducerii executive
SECŢIUNEA 1
Rolul şi responsabilităţile conducerii
administrative şi ale conducerii executive în ceea ce priveşte controlul intern
Art. 35. - (1) Conducerea administrativă a
asigurătorilor/ reasiguratorilor este responsabilă pentru stabilirea şi
menţinerea unui sistem de control intern adecvat şi eficient.
(2) In contextul prevederilor alin. (1), conducerea
administrativă a asigurătorilor/reasiguratorilor are următoarele atribuţii:
a) aprobă structura organizatorică a societăţii, precum
şi atribuţiile şi responsabilităţile unităţilor operative;
b) se asigură că sunt adoptate procese decizionale
adecvate şi că se efectuează o separare corectă a funcţiunilor;
c) aprobă sistemul de delegare a puterii şi a
responsabilităţilor, evitând concentrarea excesivă a puterii într-o singură
persoană şi punând în execuţie instrumente de verificare a respectării
puterilor delegate;
d) defineşte şi evaluează cel puţin o dată pe an
strategia şi politica de identificare, evaluare şi gestiune a riscurilor
semnificative şi aprobă nivelurile de toleranţă pe care le revizuieşte cel
puţin anual;
e) aprobă politica şi strategia societăţii,
revizuindu-le cel puţin anual, şi urmăreşte evoluţia activităţii societăţii şi
a condiţiilor externe;
f) verifică dacă conducerea societăţii implementează
corect sistemul de control intern şi de gestiune a riscurilor conform
politicilor stabilite;
g) cere să fie periodic informată despre eficacitatea
sistemului de control intern şi de gestiune a riscurilor.
(3) Pentru îndeplinirea atribuţiilor ce îi revin,
conducerea administrativă trebuie să întreprindă cel puţin următoarele măsuri:
a) discuţii periodice, cel puţin trimestrial, cu
conducerea operativă privind eficienţa sistemului de control intern;
b) analiză periodică, cel puţin trimestrial, a
evaluărilor sistemului de control intern efectuate de conducerea operativă şi
de auditul intern;
c) urmărirea implementării de către conducerea
operativă a recomandărilor formulate de auditul intern, de auditorul financiar
extern şi de Comisia de Supraveghere a Asigurărilor cu privire la deficienţele
sistemului de control intern şi examinarea efectului măsurilor implementate.
Art. 36. - (1) Conducerea executivă a asigurătorului/
reasiguratorului are responsabilităţi pe linia monitorizării funcţionării
adecvate si eficiente a sistemului de control intern.
(2) In contextul prevederilor alin. (1), conducerea
executivă are cel puţin următoarele atribuţii:
a) defineşte în detaliu structura organizatorică a
societăţii, drepturile şi responsabilităţile unităţilor operative şi procesele
decizionale, în concordanţă cu politica stabilită de conducerea administrativă;
asigură o separare a obligaţiilor şi a responsabilităţilor între funcţii în
scopul de a evita situaţiile de conflict de interese;
b) realizează politica de evaluare şi de gestiune a
riscurilor aprobată de conducerea administrativă, asigurând definirea limitelor
operative, şi verifică încadrarea în aceste limite; monitorizează expunerea la
riscuri şi respectarea nivelurilor de toleranţă aprobate de organul
administrativ;
c) se asigură că responsabilităţile delegate conducerii
operative cu privire la stabilirea politicilor şi procedurilor de control
intern sunt îndeplinite în mod corespunzător;
d) verifică dacă conducerea administrativă este
periodic informată despre eficienţa şi funcţionalitatea sistemului de control
intern şi de gestiune a riscurilor;
e) urmăreşte dacă personalul societăţii îşi cunoaşte
propriul rol şi propriile responsabilităţi, cu scopul de a fi efectiv implicat
în desfăşurarea controlului ca şi cum ar face parte din propria sa activitate;
f) stabileşte procese operative şi canale de raportare;
g) promovează continuu comunicarea în cadrul societăţii
cu scopul de a favoriza adeziunea întregului personal la principiile de
integritate morală şi valorile etice;
h) propune conducerii administrative iniţiative menite
să îmbunătăţească sistemul de control intern şi de gestiune a riscurilor;
i) asigură instruirea corespunzătoare a personalului.
SECŢIUNEA a 2-a
Rolul şi responsabilităţile conducerii
administrative şi ale conducerii executive în ceea ce priveşte managementul
riscului
Art. 37. - In domeniul managementului riscurilor,
conducerea administrativă a asigurătorilor/reasiguratorilor are cel puţin
următoarele atribuţii:
a) să aprobe şi să reconsidere profilul de risc al
acestora;
b) să aprobe politicile privind managementul
riscurilor, să le analizeze periodic, cel puţin anual, şi să dispună revizuirea
acestora, după caz;
c) să asigure luarea de către conducerea executivă a
măsurilor necesare pentru identificarea, evaluarea, monitorizarea şi controlul
riscurilor, inclusiv pentru activităţile externalizate;
d) să aprobe procedurile de stabilire a competenţelor
şi a responsabilităţilor în domeniul managementului riscurilor;
e) să aprobe externalizarea unor activităţi;
f) să aprobe politica de instruire a personalului.
Art. 38. - In domeniul managementului riscurilor,
conducerea executivă a asigurătorilor/reasiguratorilor este responsabilă cel
puţin pentru următoarele:
a) implementarea strategiilor aprobate de conducerea
administrativă şi asigurarea comunicării acestora personalului implicat în
punerea lor în aplicare;
b) asigurarea comunicării politicilor şi procedurilor
pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor personalului
implicat în punerea lor în aplicare;
c) menţinerea unor sisteme de raportare corespunzătoare
a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri;
d) menţinerea limitelor corespunzătoare privind
expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu
mărimea, complexitatea şi cu situaţia financiară a asigurătorilor/
reasiguratorilor;
e) menţinerea eficienţei şi eficacităţii sistemului de
control intern;
f) analizarea oportunităţii externalizării unor activităţi
prin prisma riscurilor implicate de externalizare;
g) supravegherea şi monitorizarea contractelor de
externalizare;
h) urmărirea instruirii corespunzătoare a personalului;
i) asigurarea concordanţei politicilor de remunerare a
personalului cu strategia asigurătorului/reasiguratorului privind riscurile.
CAPITOLUL V
Audit intern
Art. 39. -Asigurătorii/Reasiguratorii au obligaţia,
conform reglementărilor în vigoare privind auditul intern, să instituie o
funcţie/structură de audit intern cu scopul de a monitoriza şi evalua
eficacitatea şi eficienţa sistemului de control intern şi a celorlalte
activităţi din cadrul societăţii.
Art. 40. - Funcţia de audit intern trebuie organizată
respectându-se următoarele cerinţe:
a) poziţia funcţiei în cadrul structurii organizatorice
trebuie să fie astfel încât să garanteze independenţa şi autonomia, pentru a nu
fi compromisă obiectivitatea procesului de audit; funcţia de audit intern nu
depinde ierarhic de niciun responsabil din aria operativă; personalului
implicat în auditul intern nu trebuie să îi fie încredinţate responsabilităţi
operative sau acesta nu trebuie să verifice activitatea desfăşurată în trecut,
dacă nu a trecut cel puţin un an de la schimbarea activităţii;
b) funcţia de audit intern trebuie să aibă legături cu
toate structurile de control din cadrul societăţii;
c) responsabilul cu funcţia de audit intern este numit
de conducerea administrativă. El trebuie să aibă competenţa profesională pentru
a realiza această activitate, conform reglementărilor Camerei Auditorilor
Financiari din România. Atribuţiile persoanei responsabile cu funcţia de audit
intern trebuie clar definite, iar responsabilitatea şi modalitatea de raportare
către conducerea administrativă trebuie precizate în fişa postului/obligaţiile
contractuale (în cazul externalizării auditului intern). Responsabilul cu
funcţia de audit intern este împuternicit cu autoritatea necesară pentru a
garanta independenţa sa;
d) personalului implicat în activitatea de audit intern
trebuie să i se asigure accesul la toate structurile societăţii şi la întreaga
documentaţie, inclusiv informaţii privind activităţile externalizate;
e) structura trebuie să fie corespunzătoare dimensiunii
societăţii şi obiectivelor stabilite, în ceea ce priveşte resursele umane şi
tehnologia.
Art. 41. - Funcţia de audit intern va include în
principal următoarele activităţi:
a) evaluarea eficienţei şi a gradului de adecvare a
sistemului de control intern;
b) evaluarea modului de aplicare şi a eficacităţii
procedurilor de management al riscurilor;
c) analizarea relevanţei şi integrităţii datelor
furnizate de sistemele informaţionale financiare şi de gestiune, inclusiv
sistemul informatic;
d) verificarea funcţionării şi eficienţei fluxurilor
informaţionale între sectoarele activităţii;
e) evaluarea acurateţei şi credibilităţii
înregistrărilor contabile care stau la baza întocmirii situaţiilor financiare
şi a raportărilor contabile;
f) evaluarea modului în care se asigură protejarea
elementelor patrimoniale bilanţiere şi extrabilanţiere şi identificarea
metodelor de prevenire a fraudelor şi pierderilor de orice fel;
g) evaluarea modului în care sunt respectate
dispoziţiile cadrului legal, cerinţele codurilor etice, precum şi evaluarea
modului în care sunt implementate politicile şi procedurile asigurătorului/reasiguratorului;
h) testarea integrităţii şi credibilităţii
raportărilor, inclusiv a celor destinate utilizatorilor externi;
i) eficienţa controalelor efectuate asupra
activităţilor externalizate.
Art. 42. - Funcţia de audit intern îşi planifică
activitatea astfel încât să identifice zonele care vor fi supuse cu prioritate
auditului. Planul de audit este supus aprobării conducerii administrative şi
identifică activităţile, operaţiunile şi procesele supuse auditului,
operaţiunile şi sistemele de verificare, descriind criteriile sub care acestea
au fost selecţionate şi specificând resursele necesare executării planului.
Art. 43. - Funcţia de audit intern va comunica cel
puţin trimestrial conducerii administrative, conducerii executive şi funcţiei
de control intern rezultatele verificării şi eventualele disfuncţiuni. Este
obligatoriu să semnaleze imediat conducerii administrative şi conducerii
executive situaţiile de o gravitate specială. Rapoartele de audit trebuie să
fie obiective, clare, concise, oportune şi să conţină propuneri pentru
eliminarea lipsurilor întâlnite.
Art. 44. -Asigurătorii/Reasiguratorii trebuie să
elaboreze norme de audit intern, unde vor stabili cel puţin următoarele:
a) obiectivele şi sfera de cuprindere ale auditului
intern;
b) poziţia auditului intern în cadrul societăţii,
competenţele şi responsabilităţile acestuia;
c) responsabilităţile coordonatorului activităţii de
audit intern;
d) termenii şi condiţiile în care auditorii interni pot
furniza servicii de consultanţă sau pot îndeplini alte sarcini speciale.
Art. 45. - Normele de audit intern trebuie să fie
revizuite periodic, dacă este cazul, şi comunicate structurilor organizatorice
ale societăţii. Ele trebuie aprobate de conducerea administrativă, cu avizul
comitetului de audit.
Art. 46. - Normele de audit intern trebuie să prevadă
dreptul de iniţiativă al auditorului intern şi autoritatea acestuia de a
comunica cu orice membru din cadrul conducerii societăţii, de a examina orice activitate,
compartiment sau sediu secundar al societăţii, precum şi accesul acestuia la
orice înregistrări, fişiere şi informaţii interne, inclusiv la informaţii
destinate conducerii, precum şi la procese-verbale şi alte materiale cu
caracter similar ale tuturor organelor de decizie şi consultative, care
prezintă relevanţă în îndeplinirea atribuţiilor sale.
Art. 47. -Asigurătorii/Reasiguratorii trebuie să se
asigure că auditorii interni răspund din punct de vedere profesional
obiectivelor prevăzute de normele de audit intern şi că sunt competenţi pentru
îndeplinirea responsabilităţilor individuale.
Art. 48. - Pentru a nu fi afectată capacitatea de
evaluare critică a auditorilor interni, ca urmare a rutinei şi executării
permanente a aceloraşi sarcini, societăţile de asigurare trebuie să asigure, în
măsura posibilităţilor, rotirea responsabililor misiunilor de audit intern, cu
condiţia respectării principiului obiectivitătii şi imparţialităţii.
Art. 49. - (1) Auditorii interni trebuie să fie
prudenţi în utilizarea informaţiilor colectate în exercitarea activităţii şi să
asigure protejarea acestor informaţii.
(2) Este interzis ca auditorii interni să utilizeze
informaţiile colectate pentru obţinerea unor avantaje personale sau în orice
mod care ar fi contrar prevederilor legale ori în detrimentul obiectivelor
societăţii de asigurare.
Art. 50. -Auditorii interni trebuie să fie corecţi,
oneşti şi incoruptibili, să respecte prevederile legale şi ale Codului privind
conduita etică în activitatea de audit intern şi să comunice informaţii
potrivit cerinţelor legale şi ale profesiei.
Art. 51. -Asigurătorii/Reasiguratorii trebuie să
dispună de un comitet de audit, constituit conform reglementărilor în vigoare,
şi să dispună de un regulament al comitetului de audit, aprobat la nivelul
conducerii administrative şi revizuit periodic, dacă este cazul, care să indice
componenţa, competenţele şi atribuţiile acestuia, modul de raportare către
conducerea administrativă, precum şi periodicitatea întrunirilor comitetului de
audit.
Art. 52. - Structurile de audit intern, control intern,
management al riscului şi actuariat, precum şi orice alt organ de control
căruia îi este atribuită o funcţie specifică de control colaborează între ele,
schimbând orice informaţii utile necesare pentru îndeplinirea atribuţiilor.
CAPITOLUL VI
Externalizarea activităţilor
Art. 53. - (1) Asigurătorii/Reasiguratorii trebuie să
dispună de politici privind externalizarea activităţilor auxiliare sau conexe
în raport cu activităţile principale.
(2) Asigurătorii/Reasiguratorii trebuie să dispună de
proceduri de administrare a riscurilor asociate activităţilor externai izate.
(3) Procedurile de management al riscurilor asociate
activităţilor externalizate se vor referi cel puţin la următoarele:
a) luarea deciziilor privind externalizarea unor noi
activităţi sau modificarea celor existente;
b) selectarea şi evaluarea societăţilor prestatoare de
servicii auxiliare sau conexe în legătură cu aspecte cum ar fi: solvabilitatea,
reputaţia, familiarizarea cu specificul sectorului asigurărilor, calitatea
serviciilor prestate, organizarea activităţii şi controlul intern, existenţa
unui personal competent, existenţa unui plan alternativ de redresare a
activităţii, asigurarea confidenţialităţii informaţiei;
c) monitorizarea modului în care societăţile
prestatoare de servicii auxiliare sau conexe desfăşoară activităţile
externalizate;
d) elaborarea de planuri alternative şi stabilirea
costurilor şi a resurselor necesare pentru schimbarea societăţilor prestatoare
de servicii auxiliare sau conexe.
Art. 54. - (1) Asigurătorii/Reasiguratorii pot
externaliza activităţi doar în condiţiile încheierii de contracte cu societăţi
prestatoare de servicii auxiliare sau conexe.
(2) Contractele încheiate cu societăţi prestatoare de
servicii auxiliare sau conexe în legătură cu activităţile externalizate trebuie
să fie în formă scrisă şi să cuprindă în mod clar responsabilităţile fiecărei
părţi.
(3) Asigurătorii/Reasiguratorii vor putea încheia
contracte cu societăţi prestatoare de servicii auxiliare sau conexe pentru
externalizarea unor activităţi, în următoarele condiţii:
a) asigurarea respectării de către furnizorul de
servicii a prevederilor legislaţiei în vigoare şi a normelor Comisiei de
Supraveghere a Asigurărilor referitoare la serviciile/activităţile
externalizate;
b) asigurarea furnizării de către societatea
prestatoare de servicii a unor date actualizate la nivelul asigurătorului/
reasiguratorului privind desfăşurarea activităţii externalizate;
c) asigurarea accesului reprezentanţilor Comisiei de
Supraveghere a Asigurărilor la toate datele şi informaţiile aferente
operaţiunilor efectuate pentru asigurător/reasigurator de către societăţile
prestatoare de servicii;
d) asigurarea securităţii/confidenţialităţii datelor
cel puţin prin următoarele măsuri: angajamentul societăţii prestatoare de
servicii auxiliare sau conexe şi al personalului acesteia de a se supune
regulilor de confidenţialitate şi drepturile contractuale ale
asigurătorului/reasiguratorului de a lua măsuri împotriva societăţii
prestatoare de servicii auxiliare sau conexe în cazul încălcării
confidenţialităţii, evidenţierea separată a datelor
asigurătorului/reasiguratorului de cele ale societăţii prestatoare de servicii
auxiliare sau conexe şi de cele ale altor clienţi ai acesteia.
Art. 55. - Asigurătorii/Reasiguratorii nu pot
externaliza următoarele activităţi:
a) activitatea de audit intern, în condiţiile în care
furnizorul extern de servicii în domeniul auditului intern are şi calitatea de
auditor financiar al societăţii de asigurare în cauză. Coordonatorul
activităţii de audit intern trebuie să fie angajat al societăţii de asigurare;
b) organizarea şi ţinerea contabilităţii, în condiţiile
în care între persoanele cărora le-ar fi externalizata activitatea de
contabilitate şi auditorul financiar există legături ce afectează independenţa
acestuia în exercitarea mandatului;
c) organizarea şi desfăşurarea activităţii juridice
curente, în conformitate cu dispoziţiile Legii nr. 514/2003 privind organizarea
şi exercitarea profesiei de consilier juridic, cu completările ulterioare;
d) activitatea de investiţii, în ceea ce priveşte
plasarea şi gestionarea activelor admise să acopere rezervele tehnice brute;
e) orice alte activităţi care în urma externalizării nu
mai pot fi controlate şi desfăşurate în conformitate cu regulile unei practici
prudente şi sănătoase.
Art. 56. -In cazul externalizării unor activităţi,
conducerea administrativă şi conducerea executivă ale asigurătorilor/
reasiguratorilor răspund pentru atingerea obiectivelor controlului intern
aferente respectivelor activităţi.
CAPITOLUL VII
Raportări
Art. 57. - (1) Asigurătorii/Reasiguratorii trebuie să
întocmească anual un raport asupra condiţiilor în care este desfăşurat
controlul intern. Acest raport trebuie să cuprindă cel puţin:
a) o inventariere a principalelor deficienţe
identificate în cadrul sistemului de control intern şi măsurile întreprinse
pentru corectarea acestora;
b) o descriere a modificărilor semnificative
intervenite în sistemul de control intern în perioada respectivă, în special
axate pe evoluţia activităţii şi a riscurilor;
c) o descriere a condiţiilor de aplicare a procedurilor
de control aferente noilor activităţi;
d) modul de desfăşurare a controlului intern în cadrul
structurilor teritoriale ale asigurătorilor/reasiguratorilor din străinătate.
(2) Raportul întocmit de către
asigurători/reasiguratori trebuie să includă şi condiţiile în care se
desfăşoară controlul intern la nivelul entităţilor cuprinse în perimetrul lor
de consolidare şi al societăţilor prestatoare de servicii auxiliare sau conexe.
Art. 58. - (1) Asigurătorii/Reasiguratorii trebuie să
întocmească anual un raport privind măsurile luate pe linia managementului
riscurilor la care sunt expuşi aceştia şi, după caz, măsurile luate de
entităţile cuprinse în perimetrul lor de consolidare şi societăţile prestatoare
de servicii auxiliare sau conexe.
(2) Raportul trebuie să fie aprobat de comitetul de
management al riscului şi trebuie să cuprindă cel puţin:
a) profilul de risc al societăţii şi politica de
management al riscurilor, cu specificarea toleranţei asigurătorului/
reasiguratorului la principalele riscuri şi limitele stabilite pentru
gestionarea acestora;
b) metodologia folosită în evaluarea fiecărei categorii
de risc, testele de stres folosite şi rezultatele acestora, frecvenţa şi
conţinutul rapoartelor interne privind analiza şi administrarea riscurilor;
c) detalii ale politicilor de investiţii, incluzând
procedurile de identificare, monitorizare şi control al riscurilor, detalii
referitoare la strategiile investiţionale cu produse derivate sau produse cu
efect similar, precum şi procedurile referitoare la introducerea de noi
instrumente de investiţii şi de monitorizare a riscurilor asociate cu
utilizarea acestora;
d) informaţii despre managementul intern al
portofoliilor de active şi al obligaţiilor: detalii despre administrarea
activelor în corelaţie cu natura şi scadenţa obligaţiilor, detalii despre
investiţiile intragrup realizate;
e) procedurile asigurătorului/reasiguratorului pentru
alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare şi
monitorizare a administratorilor de fonduri şi a societăţilor de servicii de
investiţii financiare;
f) o prezentare a modului de abordare şi a politicilor
asigurătorului/reasiguratorului referitoare la produsele de asigurare, procesul
de subscriere, activitatea de reasigurare şi solvabilitate;
g) detalii referitoare la salarizarea personalului
pentru a stabili dacă compania acordă prime sau alte stimulente salariale mari
care determină o mărire nejustificată a expunerii la risc a societăţii;
h) un plan de afaceri global al
asigurătorului/reasiguratorului pentru anul următor, care cuprinde informaţii
referitoare la noile produse lansate de societate, strategia de distribuţie a
produselor, procesul de subscriere şi activitatea de reasigurare;
i) planurile elaborate de asigurător/reasigurator
pentru împrejurări neprevăzute;
j) lista tuturor deciziilor consiliului de
administraţie/consiliului de supraveghere;
k) detalii referitoare la serviciile externalizate;
l) eventuale modificări în organigrama societăţii şi în
sistemul de delegare a responsabilităţilor faţă de cele comunicate anterior
către Comisia de Supraveghere a Asigurărilor;
m) planul de activitate al comitetului de management al
riscului în perioada analizată.
Art. 59. -Asigurătorii/Reasiguratorii trebuie să
întocmească anual un raport privind acţiunile de audit desfăşurate, din care să
reiasă constatările şi recomandările auditului intern şi modul de implementare
a recomandărilor respective la nivelul structurii auditate.
Art. 60. - Rapoartele menţionate la art. 57-59 trebuie
să fie transmise Comisiei de Supraveghere a Asigurărilor în termen de 6 luni de
la încheierea exerciţiului financiar.
Art. 61. - Pentru controlul intern al activităţii,
managementul riscului şi desfăşurarea activităţii de audit intern,
asigurătorii/reasiguratorii vor avea în vedere atât prevederile legislaţiei
naţionale, cât şi standardele internaţionale în materie.
Art. 62. -Asigurătorii/Reasiguratorii vor transmite
Comisiei de Supraveghere a Asigurărilor, până la data de 31 decembrie 2010,
dovada auditării sistemului informatic conform cerinţelor art. 25.
Art. 63. - Asigurătorii/Reasiguratorii au obligaţia să
îşi revizuiască/elaboreze normele interne privind organizarea controlului
intern al activităţii, normele interne privind organizarea sistemului de
management al riscurilor, regulamentul comitetului de management al riscurilor,
normele de audit intern şi regulamentul comitetului de audit, în concordanţă cu
prevederile prezentelor norme, şi să le transmită Comisiei de Supraveghere a
Asigurărilor până la data de 31 decembrie 2009. Orice revizuire ulterioară a
normelor interne va fi transmisă în termen de 30 de zile de la aprobare.
Art. 64. - Nerespectarea prevederilor prezentelor norme
constituie contravenţie şi se sancţionează conform prevederilor art. 39 din
Legea nr. 32/2000, cu modificările şi completările ulterioare.