Data: 12.09.2008
Ordin nr. 113117/2006 pentru punerea in aplicare a Normelor privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori, (Publicat in Monitorul Oficial, Partea I, nr. 572 din 03 iulie 2006).
In temeiul prevederilor art. 5 lit. a), ale art. 8 alin. (1) si ale art. 20 alin. (3) lit. c) si c2) din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare, potrivit Hotararii Consiliului Comisiei de Supraveghere a Asigurarilor din data de 20 iunie 2006, prin care s-au adoptat Normele privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori, presedintele Comisiei de Supraveghere a Asigurarilor emite urmatorul ordin:
Art. 1. - Se pun in aplicare Normele privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori, prevazute in anexa care face parte integranta din prezentul ordin.
Art. 2. - Directia generala reglementari din cadrul Comisiei de Supraveghere a Asigurarilor va asigura ducerea la indeplinire a prevederilor prezentului ordin.
Presedintele Comisiei de Supraveghere a Asigurarilor,
Nicolae Eugen Crisan
Bucuresti, 23 iunie 2006.
Nr. 113.117.
ANEXA - NORME privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori
Art. 1. - in sensul prezentelor norme, termenii si expresiile de mai jos au urmatoarele semnificatii:
1. managementul riscului - un set de proceduri prin intermediul carora asiguratorul ia masuri pentru a evalua, monitoriza si controla influenta evenimentelor trecute si potential viitoare care ar putea avea un impact negativ asupra activitatii sale. Procedurile de management al riscului vor include cel putin: stabilirea strategiilor si politicilor de management al riscului, identificarea riscurilor, criteriile pentru masurarea riscurilor, controlul riscurilor, incluzand toleranta fata de risc si raportarea riscurilor;
2. toleranta fata de risc - natura si cantitatea de expunere la risc pe care asiguratorul este dispus sa o accepte. Toleranta fata de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;
3. testul de senzitivitate:
a) evalueaza influenta schimbarilor unor factori de risc asupra situatiei financiare viitoare a asiguratorului;
b) este utilizat de asigurator pentru o mai buna intelegere a vulnerabilitatilor cu care se confrunta in conditii atipice;
c) are la baza analiza influentei scenariilor adverse putin probabile, dar nu imposibile;
d) se aplica oricarui risc ce poate avea o influenta economica asupra asiguratorului;
4. control intern - proces continuu la care participa consiliul de administratie, conducerea executiva, precum si personalul asiguratorilor, prin care se furnizeaza o asigurare rezonabila asupra atingerii obiectivelor prevazute la art. 2 alin. (1);
5. conducerea operativa - persoanele care asigura conducerea nemijlocita a compartimentelor din cadrul asiguratorului, al sucursalelor si al altor sedii secundare;
6. sistem informational - ansamblul de fluxuri informationale organizate intr-o conceptie unitara, care asigura legatura dintre nivelul de conducere (decizional) si nivelul de executie (operational);
7. risc de credit - riscul inregistrarii de pierderi sau al nerealizarii profiturilor estimate, ca urmare a neindeplinirii de catre debitor a obligatiilor contractuale;
8. risc de tara - risc asociat riscului de credit, care este determinat de conditiile economice, sociale si politice ale tarii de origine a debitorului;
9. risc de piata - riscul inregistrarii de pierderi sau al nerealizarii profiturilor estimate, care apare din fluctuatiile pe piata ale preturilor, ratei dobanzii si cursului valutar;
10. risc de subscriere - riscul inregistrarii de pierderi sau al nerealizarii profiturilor estimate, care apare ca urmare a faptului ca situatiile economice sau rata de aparitie a incidentelor s-au schimbat fata de previziunile facute la data tarifarii primelor de asigurare;
11. risc de lichiditate - riscul inregistrarii de pierderi sau al nerealizarii profiturilor estimate, ce rezulta din imposibilitatea asiguratorilor de a onora in orice moment obligatiile de plata pe termen scurt, fara ca aceasta sa implice costuri sau pierderi ce nu pot fi suportate de asiguratori.
12. risc operational - riscul inregistrarii de pierderi sau al nerealizarii profiturilor estimate, care este determinat de factori interni (derularea neadecvata a unor activitati interne, existenta unui personal sau unor sisteme informatice necorespunzatoare etc.) sau de factori externi (conditii economice, schimbari in mediul financiar, progrese tehnologice etc.);
13. risc juridic - componenta a riscului operational, aparut ca urmare a neaplicarii sau a aplicarii defectuoase a dispozitiilor legale ori contractuale, care afecteaza negativ operatiunile sau situatia asiguratorilor;
14. risc reputational - riscul inregistrarii de pierderi sau al nerealizarii profiturilor estimate, ca urmare a publicitatii negative care conduce la lipsa increderii publicului in integritatea asiguratorilor.
Art. 2. - (1) Obiectivele controlului intern constau in:
a) desfasurarea activitatii in conditii de eficienta si rentabilitate;
b) furnizarea unor informatii corecte, relevante, complete si oportune structurilor implicate in luarea deciziilor in cadrul asiguratorilor si utilizatorilor externi ai informatiilor;
c) asigurarea conformitatii activitatilor asiguratorilor cu cadrul legal si cu politicile si procedurile proprii.
(2) in vederea indeplinirii obiectivelor de control intern, asiguratorii trebuie sa isi organizeze un sistem de control intern care se compune din urmatoarele elemente aflate in stransa corelare:
a) rolul si responsabilitatile consiliului de administratie si conducerii executive;
b) identificarea si evaluarea riscurilor;
c) activitatile de control si separarea responsabilitatilor;
d) informarea si comunicarea;
e) activitatile de monitorizare si corectare a deficientelor.
Art. 3. - (1) Consiliul de administratie al asiguratorilor este responsabil pentru stabilirea si mentinerea unui sistem de control intern adecvat si eficient.
(2) in contextul prevederilor alin. (1), consiliul de administratie al asiguratorilor trebuie sa indeplineasca cel putin urmatoarele atributii:
a) sa aprobe si sa revizuiasca periodic, cel putin anual, strategiile generale si politicile privitoare la activitatea asiguratorilor;
b) sa stabileasca toleranta fata de risc si sa asigure luarea masurilor necesare de catre conducerea executiva pentru identificarea, evaluarea, monitorizarea si controlul riscurilor respective;
c) sa supravegheze conducerea executiva in legatura cu modul in care aceasta monitorizeaza functionarea adecvata si eficienta a sistemului de control intern;
d) sa aprobe acea structura organizatorica ce raspunde cel mai bine obiectivelor propuse.
(3) Pentru indeplinirea atributiilor ce ii revin, consiliul de administratie trebuie sa intreprinda cel putin urmatoarele masuri:
a) discutii periodice, cel putin trimestrial, cu conducerea operativa privind eficienta sistemului de control intern;
b) analiza periodica, cel putin trimestrial, a evaluarilor sistemului de control intern efectuate de conducerea operativa, de auditul intern si, dupa caz, de auditorul financiar al asiguratorilor si de Comisia de Supraveghere a Asigurarilor;
c) asigurarea implementarii de catre conducerea operativa a recomandarilor formulate de auditul intern, de auditorul financiar extern si de Comisia de Supraveghere a Asigurarilor cu privire la deficientele sistemului de control intern si examinarea efectului masurilor implementate.
Art. 4. - (1) Conducerea executiva a asiguratorului are responsabilitati pe linia monitorizarii functionarii adecvate si eficiente a sistemului de control intern.
(2) in contextul prevederilor alin. (1), conducerea executiva are cel putin urmatoarele atributii:
a) sa implementeze strategiile generale si politicile privitoare la activitatea asiguratorilor, aprobate de consiliul de administratie;
b) sa coordoneze procesul de elaborare a procedurilor de management al riscului si sa ia masurile necesare pentru identificarea, evaluarea, monitorizarea si controlul acestor riscuri;
c) sa se asigure ca responsabilitatile delegate conducerii operative, cu privire la stabilirea politicilor si procedurilor de control intern, sunt indeplinite in mod corespunzator;
d) sa mentina o structura organizatorica adecvata;
e) sa stabileasca fluxul informational necesar;
f) sa se asigure ca toate activitatile asiguratorilor sunt realizate de personal calificat, avand experienta si cunostinte necesare in domeniul asigurarilor;
g) sa asigure instruirea corespunzatoare a personalului propriu.
Art. 5. - in cazul externalizarii unor activitati, consiliul de administratie si conducerea executiva ale asiguratorilor raspund pentru atingerea obiectivelor controlului intern aferente respectivelor activitati.
Art. 6. - Consiliul de administratie si conducerea executiva ale asiguratorilor sunt responsabile pentru promovarea unor standarde de etica si integritate pentru personalul asiguratorilor in ceea ce priveste controlul intern, care sa evidentieze si sa asigure constientizarea importantei acestuia la toate nivelurile organizatorice.
Art. 7. - (1) Pentru a avea un sistem de control intern eficient asiguratorii trebuie sa identifice si sa evalueze permanent riscurile care pot periclita atingerea obiectivelor controlului intern.
(2) Identificarea si evaluarea riscurilor trebuie sa se faca atat la nivelul de ansamblu al unui asigurator, cat si la toate nivelurile organizatorice ale acestuia, trebuie sa acopere toate activitatile si sa tina cont de aparitia unor noi activitati.
Art. 8. - (1) Identificarea si evaluarea riscurilor trebuie sa se realizeze cu luarea in considerare a factorilor interni (complexitatea structurii organizatorice, natura activitatilor desfasurate, calitatea personalului si fluctuatia acestuia) si a factorilor externi (conditii economice, schimbari legislative sau legate de mediul concurential in sectorul de asigurari, progrese tehnologice).
(2) Procesul de evaluare a riscurilor trebuie sa includa identificarea atat a riscurilor care sunt controlabile de catre asiguratori, cat si a celor necontrolabile. in cazul riscurilor controlabile, asiguratorii trebuie sa stabileasca daca isi asuma integral aceste riscuri sau in masura in care doresc sa le reduca prin proceduri de control. in cazul riscurilor necontrolabile, asiguratorii trebuie sa decida daca le accepta sau daca elimina ori reduc nivelul activitatilor afectate de riscurile respective.
(3) Evaluarea riscurilor trebuie efectuata si in conditiile unor scenarii alternative, inclusiv in conditii de criza.
Art. 9. - Evaluarea riscurilor se va realiza de catre specialisti din cadrul asiguratorilor care nu au responsabilitati in realizarea performantei comerciale si financiare.
Art. 10. - Asiguratorii trebuie sa revizuiasca activitatile de control pentru a identifica si a evalua in mod corespunzator orice riscuri nou-aparute ca urmare a dezvoltarii activitatii.
Art. 11. - (1) Activitatile de control trebuie sa se constituie ca parte integranta a activitatilor curente desfasurate de asiguratori.
(2) Activitatile de control trebuie sa aiba in vedere riscurile identificate de asiguratori in cadrul procesului de identificare si evaluare a riscurilor.
Art. 12. - Activitatile de control trebuie definite pentru fiecare nivel organizatoric al asiguratorilor si implica doua etape:
a) stabilirea politicilor si procedurilor de control;
b) verificarea respectarii politicilor si procedurilor de control stabilite.
Art. 13. - Activitatile de control includ cel putin urmatoarele:
a) analize la nivelul consiliului de administratie si al conducerii executive;
b) analize operative la nivelul compartimentelor si sediilor secundare ale asiguratorilor;
c) controale faptice care au in vedere restrictionarea accesului la active, cum ar fi disponibilitati banesti, restrictionarea accesului la conturile clientilor etc.;
d) analiza incadrarii in limitele impuse expunerilor la risc si urmarirea modului in care sunt solutionate situatiile de neconformitate;
e) aprobari si autorizari, in cazul operatiunilor ce depasesc anumite limite de sume, asigurandu-se astfel controlul asupra realizarii operatiunilor respective de catre nivelul de conducere competent si stabilirea responsabilitatilor;
f) verificari ale tranzactiilor efectuate de asiguratori si reconcilieri, in special acolo unde exista diferente intre metodologiile sau sistemele de evaluare utilizate in compartimentele responsabile cu initierea tranzactiilor (front office) si compartimentele responsabile cu inregistrarea si monitorizarea tranzactiilor initiate (back office). Rezultatele verificarilor vor fi comunicate nivelului de conducere superior competent.
Art. 14. - Asiguratorii trebuie sa realizeze o repartizare corespunzatoare a atributiilor la toate nivelurile organizatorice si sa se asigure ca personalului nu ii sunt alocate responsabilitati care sa conduca la conflicte de interese.
Art. 15. - Domeniile care pot fi afectate de potentiale conflicte de interese trebuie sa fie identificate si supuse unei monitorizari independente exercitate de persoane neimplicate direct in activitatile respective, a caror informare este efectuata pe baza unor linii de raportare stabilite in mod corespunzator.
Art. 16. - (1) Asiguratorii trebuie sa asigure evidenta datelor financiare, operationale si de conformitate, adecvate si complete, pentru desfasurarea activitatii lor.
(2) Asiguratorii trebuie sa dispuna de informatii despre piata referitoare la evenimente si conditii care sunt relevante pentru luarea deciziilor.
(3) Informatiile trebuie sa fie credibile, relevante, complete, oportune, accesibile si furnizate intr-un format consecvent.
Art. 17. - Asiguratorii trebuie sa dispuna de sisteme informationale adecvate, care sa acopere toate activitatile acestora.
Art. 18. - Asiguratorii trebuie sa dispuna de proceduri pentru a preveni utilizarea necorespunzatoare a informatiei, prin care sa se evite:
a) prejudicierea, directa sau indirecta, a reputatiei acestora;
b) dezvaluirea informatiilor secrete sau confidentiale;
c) utilizarea informatiilor de catre personalul asiguratorilor pentru obtinerea unor beneficii personale.
Art. 19. - (1) in cadrul sistemului informational asiguratorii trebuie sa dispuna de sisteme informatice. Formatul acestor sisteme trebuie sa asigure un grad adecvat de securitate a informatiei. Monitorizarea sistemelor informatice va fi asigurata de personal specializat independent si distinct de cel care le utilizeaza.
(2) Asiguratorii trebuie sa dispuna de prevederi referitoare la organizarea si controlul intern al procesarii informatiilor in forma electronica, astfel incat sa fie posibila obtinerea de probe de audit.
Art. 20. - (1) in vederea evitarii aparitiei disfunctionalitatilor in cadrul activitatii si a eventualelor pierderi generate de acestea, asiguratorii trebuie sa controleze eficient riscurile implicate de utilizarea sistemelor informatice. in acest scop se vor efectua atat controale generale la nivelul intregului sistem informatic, cat si controale la nivelul fiecarei aplicatii informatice din componenta acestuia.
(2) Controalele generale se efectueaza asupra infrastructurii hardware si de comunicatii a sistemelor informatice, precum si asupra sistemelor de operare care asigura functionarea acestora. Controalele au drept scop verificarea functionarii continue si corespunzatoare a acestora.
(3) Controalele generale includ si verificarea existentei si aplicarii unei strategii de informatizare, a procedurilor interne de salvare si restaurare a datelor, a politicilor de efectuare a achizitiilor, a procedurilor de dezvoltare a aplicatiilor informatice, a procedurilor de administrare si intretinere, precum si a politicilor de securitate vizand accesul fizic si logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicatiilor informatice reprezinta proceduri de validare si control incluse in codul aplicatiilor informatice utilizate, precum si proceduri manuale de verificare a modului de procesare a tranzactiilor si efectuarii operatiunilor.
Art. 21. - (1) in vederea evitarii pierderilor generate de intreruperea activitatii datorita unor factori externi ce nu pot fi controlati de catre asiguratori, acestia trebuie sa elaboreze planuri alternative, care sa le permita reluarea activitatii in cazul aparitiei unor situatii neprevazute. Replicarea sistemelor critice trebuie asigurata fie prin existenta unor sisteme de rezerva situate intr-o alta locatie apartinand asiguratorilor, fie prin intermediul unui furnizor extern de servicii.
(2) Functionarea planurilor alternative trebuie testata periodic prin stimularea operatiunilor pe sistemele de rezerva, in scopul verificarii disponibilitatii acestora.
Art. 22. - in vederea organizarii unui sistem de control intern eficient, asiguratorii trebuie sa dispuna de canale de comunicare care sa asigure ca personalul propriu cunoaste politicile si procedurile cu implicatii asupra atributiilor si responsabilitatilor sale si ca orice alte informatii relevante ajung in timp util la acesta.
Art. 23. - Structura organizatorica a asiguratorilor trebuie sa asigure un flux corespunzator de informatii, pe verticala, in ambele sensuri, si pe orizontala, care sa permita urmatoarele:
a) informarea consiliului de administratie si a conducerii executive asupra riscurilor aferente activitatii si functionarii asiguratorilor;
b) informarea nivelurilor inferioare de conducere operativa si a personalului atat asupra strategiilor asiguratorilor, cat si asupra politicilor si procedurilor stabilite;
c) difuzarea informatiilor intre compartimentele si sediile secundare ale asiguratorilor pentru care respectivele informatii au relevanta.
Art. 24. - (1) Asiguratorii trebuie sa monitorizeze permanent eficacitatea sistemului de control intern, cu luarea in considerare a modificarilor intervenite in conditiile interne si externe de desfasurare a activitatii.
(2) Asiguratorii trebuie sa asigure un rol important auditului intern in procesul de monitorizare a sistemului de control intern.
(3) Monitorizarea eficacitatii sistemului de control intern va fi efectuata atat de personalul responsabil pentru fiecare compartiment si sediu secundar al asiguratorului, cat si de auditul intern.
(4) Monitorizarea eficacitatii sistemului de control intern trebuie sa faca parte din activitatile zilnice ale asiguratorilor si trebuie sa includa si evaluari separate ale sistemului de control intern in general.
(5) Evaluarile separate, periodice, ale sistemului de control intern vor fi efectuate atat de personalul responsabil pentru fiecare compartiment si sediu secundar (autoevaluare), cat si de auditul intern.
(6) Frecventa cu care trebuie monitorizate diferitele activitati ale asiguratorilor depinde de riscurile implicate de activitatile respective, precum si de natura si frecventa schimbarilor din activitatea respectiva.
Art. 25. - (1) Deficientele identificate in legatura cu sistemul de control intern trebuie sa fie raportate imediat nivelului de conducere competent, care trebuie sa ia masuri pentru remedierea cu promptitudine a acestora.
(2) Deficientele majore ale sistemului de control intern trebuie sa fie raportate conducerii executive a asiguratorilor si consiliului de administratie al acestora.
(3) Conducerea executiva a asiguratorilor are responsabilitatea de a stabili un sistem de detectare a deficientelor sistemului de control intern si de a intreprinde masuri pentru solutionarea respectivelor deficiente.
Art. 26. - Asiguratorii trebuie sa ia masuri pe linia administrarii urmatoarelor riscuri: riscul de credit, riscul de piata, riscul de lichiditate, riscul operational, riscul de subscriere si riscul reputational.
Art. 27. - in domeniul managementului riscurilor, consiliul de administratie al asiguratorilor are cel putin urmatoarele atributii:
a) sa aprobe si sa reconsidere profilul de risc al acestora;
b) sa aprobe politicile privind managementul riscurilor respective, sa le analizeze periodic, cel putin anual, si sa dispuna revizuirea acestora, dupa caz;
c) sa asigure luarea de catre conducerea executiva a masurilor necesare pentru identificarea, evaluarea, monitorizarea si controlul riscurilor, inclusiv pentru activitatile externalizate;
d) sa aprobe procedurile de stabilire a competentelor si a responsabilitatilor in domeniul managementului riscurilor;
e) sa aprobe externalizarea unor activitati;
f) sa aprobe politica de instruire a personalului.
Art. 28. - in domeniul managementului riscurilor, conducerea executiva a asiguratorilor este responsabila cel putin pentru urmatoarele:
a) implementarea strategiilor aprobate de consiliul de administratie si asigurarea comunicarii acestora personalului implicat in punerea lor in aplicare;
b) asigurarea comunicarii politicilor si procedurilor pentru identificarea, evaluarea, monitorizarea si controlul riscurilor personalului implicat in punerea lor in aplicare;
c) mentinerea unor sisteme de raportare corespunzatoare a expunerilor la riscuri, precum si a altor aspecte legate de riscuri;
d) mentinerea limitelor corespunzatoare privind expunerea la riscuri, inclusiv pentru conditii de criza, in conformitate cu marimea, complexitatea si situatia financiara a asiguratorilor;
e) mentinerea eficientei si eficacitatii sistemului de control intern;
f) analizarea oportunitatii externalizarii unor activitati prin prisma riscurilor implicate de externalizare;
g) supravegherea si monitorizarea contractului de externalizare;
h) asigurarea unui personal calificat, avand experienta si cunostintele necesare;
i) asigurarea instruirii corespunzatoare a personalului;
j) asigurarea concordantei politicilor de remunerare a personalului cu strategia asiguratorului privind riscurile.
Art. 29. - in procesul de management al riscurilor, asiguratorii trebuie sa constituie un comitet de management al riscurilor.
Art. 30. - (1) Asiguratorii trebuie sa opteze pentru un profil de risc, stabilind obiectivul si strategia pentru fiecare risc, inclusiv in ceea ce priveste activitatile externalizate.
(2) Asiguratorii vor stabili tipurile de riscuri pe care sunt pregatiti sa le asume. La stabilirea acestora se vor avea in vedere natura, dimensiunea si complexitatea activitatii.
(3) Strategia asiguratorilor privind managementul riscurilor trebuie sa determine raportul dintre risc si profit pe care asiguratorul il considera acceptabil in conditiile asigurarii continuitatii activitatii acesteia pe baze sanatoase si prudente.
Art. 31. - Asiguratorii trebuie sa adopte politici pentru managementul riscurilor, in vederea implementarii profilului de risc ales. Politicile respective trebuie sa corespunda strategiilor generale, sa fie corelate cu nivelul fondurilor proprii ale asiguratorilor si cu experienta acestora in administrarea riscurilor, precum si cu toleranta fata de risc stabilita de consiliul de administratie.
Art. 32. - Politicile privind managementul riscurilor, corespunzatoare naturii, dimensiunii si complexitatii activitatilor asiguratorilor, trebuie sa fie transpuse in mod clar si transparent in norme interne, proceduri, inclusiv in manuale si coduri de conduita, facandu-se distinctie intre standardele generale aplicabile intregului personal si regulile specifice aplicabile anumitor categorii de personal.
Art. 33. - Politicile de management al riscurilor trebuie sa asigure, dupa caz, stabilirea cel putin a:
a) unui sistem de proceduri de autorizare a operatiunilor afectate de riscurile respective;
b) unui sistem de stabilire a limitelor expunerii la risc si de monitorizare a acestora, care sa reflecte profilul de risc ales si care sa fie in conformitate cu legislatia si cu reglementarile in vigoare; limitele stabilite la nivelul activitatilor si/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asiguratorilor;
c) unui sistem de raportare a expunerilor la riscuri, precum si altor aspecte legate de riscuri catre nivelurile de conducere corespunzatoare;
d) unui sistem de proceduri pentru situatii neprevazute;
e) unor criterii de recrutare si remunerare a personalului, care sa stabileasca standarde ridicate pentru pregatirea, experienta si integritatea acestuia;
f) unui program de instruire a personalului.
Art. 34. - (1) Asiguratorii trebuie sa efectueze sistematic o evaluare a riscurilor.
(2) Evaluarea riscurilor trebuie sa tina cont si de:
a) implicatiile corelarii fiecarui risc cu celelalte riscuri la care se expune asiguratorul;
b) previzionarile profitului si fondurilor proprii pe baza diferitelor scenarii in conditii de criza, inclusiv o cuantificare a pierderilor maxime in conditiile extreme.
(3) Asiguratorii trebuie sa efectueze sistematic teste de senzitivitate.
Art. 35. - Asiguratorii trebuie sa dispuna de un sistem de informare adecvat pentru identificarea, evaluarea, monitorizarea si documentarea sistematica a riscurilor atat la nivelul asiguratorilor, cat si la nivelul compartimentelor si sediilor secundare ale acestora.
Art. 36. - Asiguratorii trebuie sa asigure ca exista o separare corespunzatoare a atributiilor in cadrul procesului de administrare a riscurilor, pentru evitarea potentialelor conflicte de interese.
Art. 37. - Asiguratorii trebuie sa asigure o monitorizare sistematica a conformitatii cu procedurile stabilite pentru managementul riscurilor si sa solutioneze deficientele constatate.
Art. 38. - Asiguratorii trebuie sa dispuna de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implica analize independente si regulate si evaluari ale eficacitatii sistemului si, acolo unde se impune, asigurarea remedierii deficientelor constatate. Rezultatele unor astfel de analize trebuie sa fie comunicate in mod direct consiliului de administratie, comitetului de administrare a riscurilor si comitetului de audit.
Art. 39. - (1) Asiguratorii trebuie sa dispuna de politici privind externalizarea activitatilor auxiliare sau conexe in raport cu activitatile principale.
(2) Asiguratorii trebuie sa dispuna de proceduri de administrare a riscurilor asociate activitatilor externalizate.
(3) Procedurile de management al riscurilor asociate activitatilor externalizate se vor referi cel putin la urmatoarele:
a) luarea deciziilor privind externalizarea unor noi activitati sau modificarea celor existente;
b) selectarea si evaluarea societatilor prestatoare de servicii auxiliare sau conexe in legatura cu aspecte cum ar fi: solvabilitatea, reputatia, familiarizarea cu specificul sectorului asigurarilor, calitatea serviciilor prestate, organizarea activitatii si controlul intern, existenta unui personal competent, existenta unui plan alternativ de redresare a activitatii, asigurarea confidentialitatii informatiei;
c) monitorizarea modului in care societatile prestatoare de servicii auxiliare sau conexe desfasoara activitatile externalizate;
d) elaborarea de planuri alternative si stabilirea costurilor si resurselor necesare pentru schimbarea societatilor prestatoare de servicii auxiliare sau conexe.
Art. 40. - (1) Asiguratorii pot externaliza activitati doar in conditiile incheierii de contracte cu societati prestatoare de servicii auxiliare sau conexe.
(2) Contractele incheiate cu societati prestatoare de servicii auxiliare sau conexe in legatura cu activitatile externalizate trebuie sa fie in forma scrisa si sa asigure o alocare clara a responsabilitatilor fiecarei parti.
(3) Asiguratorii vor putea incheia contracte cu societati prestatoare de servicii auxiliare sau conexe, in legatura cu activitatile externalizate, in urmatoarele conditii:
a) asigurarea existentei unor date actualizate si a altor informatii la nivelul asiguratorului;
b) asigurarea accesului unor entitati din Romania (autoritati sau institutii publice) la datele si informatiile aferente operatiunilor din Romania, in cazul externalizarii unor activitati in afara granitelor tarii;
c) asigurarea securitatii/confidentialitatii datelor cel putin prin urmatoarele masuri: angajamentul societatii prestatoare de servicii auxiliare sau conexe si al personalului acesteia de a se supune regulilor de confidentialitate, drepturile contractuale ale asiguratorului de a lua masuri impotriva societatii prestatoare de servicii auxiliare sau conexe in cazul incalcarii confidentialitatii, separarea datelor asiguratorului de cele ale societatii prestatoare de servicii auxiliare sau conexe si de cele ale altor clienti ai acesteia.
Art. 41. - Asiguratorii nu pot externaliza urmatoarele activitati:
a) activitatea de audit intern, in conditiile in care furnizorul extern de servicii in domeniul auditului intern are si calitatea de auditor financiar al institutiei de credit in cauza;
b) organizarea si tinerea contabilitatii, in conditiile in care intre persoanele carora le-ar fi externalizata activitatea de tinere a contabilitatii si auditorul financiar exista legaturi ce afecteaza independenta acestuia in exercitarea mandatului;
c) organizarea si desfasurarea activitatii juridice curente, in conformitate cu dispozitiile Legii nr. 514/2003 privind organizarea si exercitarea profesiei de consilier juridic;
d) orice alte activitati care in urma externalizarii nu mai pot fi controlate si desfasurate in conformitate cu regulile unei practici prudente si sanatoase.
Art. 42. - (1) Asiguratorii trebuie sa dispuna de un comitet de management al riscurilor. Comitetul de management al riscurilor este un comitet permanent, ale carui functionare si atributii sunt reglementate de prezentele norme si de regulamentele interne ale fiecarui asigurator.
(2) Comitetul de management al riscurilor isi poate desfasura lucrarile in subcomitete, in functie de marimea si complexitatea asiguratorului.
(3) Comitetul de management al riscurilor se constituie prin decizie a consiliului de administratie.
Art. 43. - Asiguratorii trebuie sa dispuna de un regulament al comitetului de management al riscurilor, aprobat la nivelul consiliului de administratie si revizuit periodic, dupa caz, care sa indice componenta, autoritatea si responsabilitatile acestuia si modul de raportare catre consiliul de administratie.
Art. 44. - (1) Membrii comitetului de management al riscurilor trebuie sa aiba o experienta compatibila cu responsabilitatile lor in cadrul acestuia.
(2) Comitetul de management al riscurilor este format din membri ai conducerii executive si operative ai asiguratorului.
Art. 45. - Comitetul de management al riscurilor va avea cel putin urmatoarele atributii:
a) sa asigure informarea consiliului de administratie asupra problemelor si evolutiilor semnificative care ar putea influenta profilul de risc al asiguratorului;
b) sa dezvolte politici si proceduri adecvate pentru identificarea, evaluarea, monitorizarea si controlul riscurilor;
c) sa aprobe metodologii si modele adecvate pentru evaluarea riscurilor si limitarea expunerilor;
d) sa stabileasca limite corespunzatoare privind expunerea la riscuri, inclusiv pentru conditii de criza, in conformitate cu marimea, complexitatea si situatia financiara a asiguratorului, precum si proceduri necesare pentru aprobarea exceptiilor de la respectivele limite;
e) sa aprobe angajarea asiguratorului in noi activitati, pe baza analizei riscurilor aferente acestora;
f) sa analizeze masura in care planurile alternative de care dispune banca corespund situatiilor neprevazute cu care aceasta s-ar putea confrunta;
g) sa prezinte consiliului de administratie informari suficient de detaliate si oportune, care sa permita acestuia sa cunoasca si sa evalueze performanta conducerii in monitorizarea si controlul riscurilor, potrivit politicilor aprobate, precum si performanta de ansamblu a asiguratorului;
h) sa informeze regulat consiliul de administratie asupra situatiei expunerilor asiguratorului la riscuri si imediat, in cazul in care intervin schimbari semnificative in expunerea curenta sau viitoare a asiguratorului la riscurile respective;
i) sa stabileasca sisteme de raportare corespunzatoare a aspectelor legate de riscuri;
j) sa stabileasca competentele si responsabilitatile pentru administrarea si controlul expunerilor la riscuri.
Art. 46. - (1) Asiguratorii trebuie sa intocmeasca anual un raport asupra conditiilor in care este desfasurat controlul intern. Acest raport trebuie sa cuprinda cel putin:
a) o inventariere a principalelor deficiente identificate in cadrul sistemului de control intern si masurile intreprinse pentru corectarea acestora;
b) o descriere a modificarilor semnificative intervenite in sistemul de control intern in perioada respectiva, in special axate pe evolutia activitatii si a riscurilor;
c) o descriere a conditiilor de aplicare a procedurilor de control aferente noilor activitati;
d) desfasurarea controlului intern in cadrul sediilor secundare ale asiguratorilor din strainatate.
(2) Raportul intocmit de catre asiguratori trebuie sa includa si conditiile in care se desfasoara controlul intern la nivelul entitatilor cuprinse in perimetrul lor de consolidare si al societatilor prestatoare de servicii auxiliare sau conexe.
Art. 47. - (1) Asiguratorii trebuie sa intocmeasca anual un raport privind masurile luate pe linia managementului riscurilor la care sunt expusi acestia si, dupa caz, masurile luate de entitatile cuprinse in perimetrul lor de consolidare si societatile prestatoare de servicii auxiliare sau conexe.
(2) Raportul intocmit trebuie sa cuprinda cel putin:
a) politicile de management al riscului, cu specificarea tolerantei asiguratorului la risc si limitele stabilite pentru gestiunea riscurilor de piata, de credit si de lichiditate;
b) detalii ale politicilor de investitii ale asiguratorului, incluzand procedurile de identificare, monitorizare si control al riscurilor, precum si detalii referitoare la strategiile investitionale cu produse derivate sau produse cu efect similar;
c) procedurile asiguratorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare si monitorizare a administratorilor de fonduri si a societatilor de servicii de investitii financiare;
d) procedurile asiguratorului referitoare la introducerea de noi instrumente de investitii si de monitorizare a riscurilor asociate cu utilizarea acestora;
e) o prezentare a modului de abordare si a politicilor asiguratorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare si solvabilitate;
f) detalii referitoare la salarizarea personalului pentru a stabili daca compania acorda prime sau alte stimulente salariale mari care determina o marire nejustificata a expunerii la risc a societatii;
g) un plan de afaceri global al asiguratorului care cuprinde informatii referitoare la noile produse lansate de societate, strategia de distributie a produselor, procesul de subscriere si activitatea de reasigurare. Aceste informatii vor fi folosite in scopul evaluarii gradului de adecvare a sistemului de management al riscului implementat de asigurator la afacerea sa;
h) planurile elaborate de asigurator pentru imprejurari neprevazute;
i) detalii referitoare la testele de senzitivitate efectuate de asigurator pentru evaluarea riscurilor la care este expus;
j) informatii despre managementul intern al portofoliilor de active: detalii despre active si datorii, detalii despre investitiile intragrup realizate;
k) lista deciziilor consiliului de administratie;
l) documente care sa ateste pregatirea profesionala a persoanelor responsabile cu activitatile de investitii, respectiv cu managementul riscului investitiilor;
m) detalii referitoare la serviciile externalizate;
n) rapoarte referitoare la riscurile de piata, precum si rentabilitatea portofoliului de investitii.
Art. 48. - Rapoartele mentionate la art. 46 si 47 trebuie sa fie transmise Comisiei de Supraveghere a Asigurarilor in termen de 6 luni de la incheierea exercitiului financiar.
Art. 49. - Pentru controlul intern al activitatii si managementul riscurilor, asiguratorii vor avea in vedere si prevederile legislatiei nationale si standardele internationale in materie.
Art. 50. - in cazul in care asiguratorii nu apeleaza la un furnizor extern de servicii pentru sistemele informatice, acestia vor trebui sa dispuna de sistemele de rezerva prevazute la art. 21 alin. (1), in termen de 9 luni de la intrarea in vigoare a prezentelor norme.
Art. 51. - in termen de 3 luni de la data intrarii in vigoare a prezentelor norme, asiguratorii trebuie sa transmita Comisiei de Supraveghere a Asigurarilor normele interne privind organizarea controlului intern al activitatii, normele interne privind organizarea sistemului de management al riscurilor, precum si regulamentul comitetului de management al riscurilor.
Art. 52. - Nerespectarea prevederilor prezentelor norme constituie contraventie si se sanctioneaza conform prevederilor art. 39 din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare.
Art. 53. - Prezentele norme intra in vigoare incepand cu data aderarii Romaniei la Uniunea Europeana, data la care se abroga Ordinul presedintelui Comisiei de Supraveghere a Asigurarilor nr. 3.105/2004 pentru punerea in aplicare a Normei minimale privind activitatea de control intern, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 186 din 3 martie 2004.
