Data: 04.08.2005
In temeiul prevederilor art. 4 alin. (27) din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare, potrivit Hotararii Consiliului CSA din data de 1 septembrie 2009 prin care s-au adoptat Normele privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori, presedintele CSA emite urmatorul ordin:
Art. 1. - Se aproba Normele privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori, prevazute In anexa care face parte integranta din prezentul ordin.
Art. 2. - La data intrarii In vigoare a prezentului ordin se abroga Ordinul presedintelui Comisiei de Supraveghere a Asigurarilor nr. 113.117/2006 pentru punerea In aplicare a Normelor privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori, publicat In Monitorul Oficial al Romaniei, Partea I, nr. 572 din 3 iulie 2006.
Art. 3. - Directia generala reglementari contabile din cadrul Comisiei de Supraveghere a Asigurarilor va lua masuri pentru ducerea la Indeplinire a prevederilor prezentului ordin.
Presedintele Comisiei de Supraveghere a Asigurarilor,
Angela Toncescu
Bucuresti, 7 septembrie 2009
Nr. 18
ANEXA
NORME privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori
Versiune consolidata la data de 18.07.2011.
Actul include modificarile din urmatoarele acte:
Ordinul nr. 7/2011 publicat In Monitorul Oficial, Partea I nr. 325 din 11.05.2011.
Ordinul nr. 12/2011 publicat In Monitorul Oficial, Partea I nr. 506 din 18.07.2011.
CAPITOLUL I
Definitii
Art. 1. - In sensul prezentelor norme, termenii si expresiile de mai jos au urmatoarele semnificatii:
1. profil de risc - o descriere a riscurilor la care asiguratorul/reasiguratorul este expus. Profilul de risc exprima natura riscurilor care ameninta societatea, In functie de complexitatea activitatii si de obiectivele sale strategice;
2. toleranta fata de risc - suma la risc pe care asiguratorul/reasiguratorul este dispus sa o accepte In desfasurarea activitatii sale, In concordanta cu obiectivele sale strategice. Toleranta fata de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;
3. teste de stres - analize cantitative sau calitative efectuate cu scopul de a evalua impactul unor evolutii nefavorabile ale factorilor de risc, luati individual sau combinati Intr-un scenariu unic, asupra situatiei financiare a asiguratorilor/reasiguratorilor;
4. risc de subscriere - posibilitatea Inregistrarii de pierderi sau a nerealizarii profiturilor estimate din cauza stabilirii inadecvate a tarifelor de prima si/sau a rezervelor tehnice comparativ cu obligatiile asumate si care poate sa rezulte, fara a fi limitativ, din fluctuatii In frecventa si severitatea evenimentelor asigurate In raport cu estimarile din momentul subscrierii;
5. risc de piata - posibilitatea Inregistrarii de pierderi sau a nerealizarii profiturilor estimate, care rezulta, direct ori indirect, din fluctuatiile In nivelul si volatilitatea pretului de piata al activelor, obligatiilor si instrumentelor financiare. Riscul de piata cuprinde riscul valutar si riscul ratei dobanzii;
6. risc de credit - posibilitatea Inregistrarii de pierderi sau a nerealizarii profiturilor estimate, care rezulta din fluctuatiile In ratingul emitentilor de valori mobiliare si al oricaror debitori fata de care societatile de asigurare sunt expuse sau din neIndeplinirea obligatiilor contractuale de catre intermediari, asigurati, reasiguratori sau alti debitori;
7. risc operational - posibilitatea Inregistrarii de pierderi sau a nerealizarii profiturilor estimate, care apare din procesele interne inadecvate, din vina angajatilor sau din erorile generate de sistemul informatic, precum si din factori externi;
8. risc de lichiditate - posibilitatea Inregistrarii de pierderi sau a nerealizarii profiturilor estimate, ce rezulta din imposibilitatea asiguratorilor de a valorifica active pentru a onora In orice moment si cu costuri rezonabile obligatiile de plata pe termen scurt sau din Incasarea cu dificultate a creantelor din contractele de asigurare/reasigurare;
9. risc de concentrare - expunerea la un risc cu un potential de generare de pierderi suficient de mari Incat sa ameninte solvabilitatea sau situatia financiara a asiguratorului/reasiguratorului;
10. risc de contagiune - posibilitatea Inregistrarii de pierderi generate de apartenenta la grup, aparuta ca urmare a raporturilor pe care societatea le are cu alte entitati din grup, situatiile de dificultate care apar Intr-o entitate putand sa se propage cu efecte negative asupra solvabilitatii societatii de asigurare/reasigurare;
11. risc reputational - posibilitatea Inregistrarii de pierderi sau a nerealizarii profiturilor estimate, ca urmare a deteriorarii imaginii si/sau a managementului societatii (publicitatii negative) care conduce la lipsa Increderii publicului In integritatea societatii;
12. tehnici de diminuare a riscului - toate procedurile care dau posibilitatea asiguratorului sa transfere partial sau total riscurile sale catre o alta entitate;
13. externalizare - un acord Incheiat Intre asigurator/reasigurator si un furnizor de servicii, In baza caruia furnizorul executa In numele si/sau pentru asigurator/reasigurator un serviciu ori o activitate, chiar daca aceasta nu priveste direct activitatea de asigurare;
14. control intern - proces continuu la care participa conducerea administrativa, conducerea executiva, precum si Intregul personal al asiguratorilor, prin care se furnizeaza o asigurare rezonabila asupra atingerii obiectivelor prevazute la art. 3;
15. conducerea administrativa - consiliul de administratie sau consiliul de supraveghere, pentru societatile care au adoptat sistemul dualist de conducere;
16. conducerea executiva - astfel cum este definita la art. 2 din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare;
17. conducerea operativa - persoanele care asigura conducerea nemijlocita a compartimentelor din cadrul asiguratorului, al sucursalelor si al altor sedii secundare;
18. managementul riscului - un proces prin care se evalueaza, se monitorizeaza si se controleaza riscurile (generate de factori interni sau de factori externi) care ar putea avea un impact negativ asupra activitatii asiguratorului/reasiguratorului. Sistemul de management al riscului cuprinde reguli si proceduri necesare pentru identificarea, masurarea, administrarea si raportarea riscurilor la care asiguratorul ar putea fi expus, luand In considerare si interdependenta dintre riscuri;
19. audit intern - activitate independenta constand Intr-o examinare obiectiva a modului de realizare a administrarii riscurilor, sistemului de control intern si proceselor de conducere ale societatilor, In scopul furnizarii unei asigurari rezonabile ca acestea functioneaza corespunzator si vor permite atingerea obiectivelor societatii de asigurare/reasigurare.
CAPITOLUL II
Sistemul de control intern
Art. 2. - Sistemul de control intern cuprinde ansamblul activitatilor de control intern din cadrul tuturor structurilor societatii de asigurare/reasigurare, corespunzator dimensiunii, naturii si complexitatii activitatii, cu scopul de a contribui la realizarea obiectivelor societatii de asigurare/reasigurare.
Art. 3. - In cadrul sistemului de control intern, asiguratorii/reasiguratorii trebuie sa defineasca reguli, proceduri si o structura organizatorica ierarhizata care sa asigure o functionare corecta a activitatii In cadrul societatii si sa urmareasca:
a) desfasurarea activitatii In conditii de eficienta si rentabilitate;
b) controlul adecvat al riscurilor care pot afecta atingerea obiectivelor societatii;
c) furnizarea unor informatii corecte, relevante, complete si oportune structurilor implicate In luarea deciziilor In cadrul societatilor si utilizatorilor externi ai informatiilor;
d) protejarea patrimoniului;
e) conformitatea activitatii societatii cu reglementarile legale In vigoare, politica si procedurile societatii.
Art. 4. - Activitatile de control intern includ cel putin urmatoarele:
a) analize la nivelul conducerii administrative si al conducerii executive;
b) analize operative la nivelul compartimentelor si al structurilor teritoriale ale asiguratorilor;
c) controale faptice care au In vedere restrictionarea accesului la active, cum ar fi disponibilitati banesti etc.;
d) analiza Incadrarii In limitele impuse expunerilor la risc si urmarirea modului In care sunt solutionate situatiile de neconformitate;
e) aprobari si autorizari, In cazul operatiunilor ce depasesc anumite limite de sume, asigurandu-se astfel controlul asupra realizarii operatiunilor respective de catre nivelul de conducere competent si stabilirea responsabilitatilor;
f) verificari ale tranzactiilor efectuate la nivelul asiguratorului si efectuarea de reconcilieri, In special acolo unde exista diferente Intre metodologiile sau sistemele de evaluare utilizate In compartimentele responsabile cu initierea tranzactiilor (front office) si compartimentele responsabile cu Inregistrarea si monitorizarea tranzactiilor initiate (back office). Rezultatele verificarilor vor fi comunicate nivelului de conducere superior competent.
Art. 5. - Asiguratorii/Reasiguratorii trebuie sa revizuiasca activitatile de control intern, cel putin anual, pentru a identifica si a evalua In mod corespunzator orice riscuri nou-aparute ca urmare a dezvoltarii activitatii.
Art. 6. - In vederea organizarii unui sistem de control intern eficient, asiguratorii/reasiguratorii trebuie sa urmareasca:
a) repartizarea corespunzatoare a atributiilor la toate nivelurile organizatorice, asigurandu-se ca personalului nu Ii sunt alocate responsabilitati care sa conduca la conflicte de interese. Domeniile care pot fi afectate de potentiale conflicte de interese trebuie sa fie identificate si supuse unei monitorizari independente exercitate de persoane neimplicate direct In activitatile respective, a caror informare este efectuata pe baza unor linii de raportare stabilite In mod corespunzator;
b) adoptarea unui cod etic pentru personalul propriu, care sa defineasca reguli comportamentale, de disciplina si situatii de potentiale conflicte de interese si sa prevada actiuni corective adecvate, In cazul In care se Incalca procedurile societatii sau codul etic;
c) evitarea politicilor sau practicilor de remunerare ce pot favoriza activitati ilegale, care nu respecta standardele etice sau care presupun riscuri fata de interesele societatii;
d) stabilirea unor canale de comunicare care sa asigure un flux corespunzator de informatii, la toate nivelurile, care sa garanteze ca personalul propriu cunoaste politicile si procedurile cu implicatii asupra atributiilor si responsabilitatilor sale, ca orice informatii relevante ajung In timp util si sa permita:
- informarea conducerii administrative si a conducerii executive asupra riscurilor aferente activitatii si functionarii asiguratorilor/reasiguratorilor;
- informarea nivelurilor inferioare de conducere operativa si a personalului atat asupra strategiilor asiguratorilor/reasiguratorilor, cat si asupra politicilor si procedurilor stabilite;
- difuzarea informatiilor Intre compartimentele si structurile teritoriale ale asiguratorilor/reasiguratorilor pentru care respectivele informatii au relevanta;
e) elaborarea de planuri alternative care sa permita reluarea activitatii In cazul aparitiei unor situatii neprevazute, pentru evitarea pierderilor generate de Intreruperea activitatii datorita unor factori externi ce nu pot fi controlati de catre asiguratori/reasiguratori. Replicarea sistemelor critice trebuie asigurata fie prin existenta unor sisteme de rezerva situate Intr-o alta locatie apartinand asiguratorilor/reasiguratorilor, fie prin intermediul unui furnizor extern de servicii. Functionarea planurilor alternative trebuie testata periodic prin simularea operatiunilor pe sistemele de rezerva, In scopul verificarii disponibilitatii acestora;
f) elaborarea unor proceduri privind tehnologia de informare si comunicare, menita sa asigure existenta si mentinerea unui sistem informatic adecvat nevoilor societatii, corespunzator cu dimensiunea si activitatea societatii, care sa asigure:
1. separarea mediului de dezvoltare de cel de operare. Accesul la diversele medii trebuie reglementat si controlat prin proceduri Intocmite, tinand cont de exigenta de limitare a riscurilor si a fraudei. Aceste proceduri garanteaza siguranta datelor, limitand accesul persoanelor neautorizate din mediul de operare si Inregistrand toate tentativele de acces neautorizate;
2. elaborarea de proceduri pentru aprobarea si achizitia sistemelor hardware si software, precum si externalizarea serviciilor din sistemul informatic;
3. elaborarea de proceduri ce asigura siguranta fizica a sistemelor hardware, software si a bancilor de date, precum si prevenirea utilizarii necorespunzatoare a informatiei de catre personalul asiguratorilor pentru obtinerea unor beneficii personale sau prejudicierea reputatiei societatii;
4. asigurarea conditiilor de securitate pentru zonele In care sunt accesate informatii cu caracter confidential;
5. adoptarea de proceduri pentru identificarea si gestionarea evenimentelor care pot prejudicia continuitatea activitatii, cum ar fi: incendii, defectiuni la sistemele hardware sau software, erori operationale din partea utilizatorilor, introducere involuntara de componente straine care sa creeze daune sistemului informatic sau retelei etc.
Procedurile sunt supuse verificarii din partea auditului intern.
Art. 7. -(1) In vederea evitarii disfunctionalitatilor In cadrul activitatii si a eventualelor pierderi generate de acestea, asiguratorii/reasiguratorii trebuie sa controleze eficient riscurile implicate de utilizarea sistemelor informatice. In acest scop se vor efectua atat controale generale la nivelul Intregului sistem informatic, cat si controale la nivelul fiecarei aplicatii informatice din componenta acestuia.
(2) Controalele generale se efectueaza asupra infrastructurii hardware si de comunicatii a sistemelor informatice, precum si asupra sistemelor de operare care asigura functionarea acestora. Controalele au drept scop verificarea functionarii continue si corespunzatoare a acestora.
(3) Controalele generale includ si verificarea existentei si aplicarii procedurilor interne de salvare si restaurare a datelor, a politicilor de efectuare a achizitiilor, a procedurilor de dezvoltare a aplicatiilor informatice, a procedurilor de administrare si Intretinere, precum si a politicilor de securitate vizand accesul fizic si logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicatiilor informatice presupun verificarea existentei unor proceduri de validare si control incluse In codul aplicatiilor informatice utilizate, precum si a unor proceduri/manuale de verificare a modului de procesare a tranzactiilor si efectuarii operatiunilor.
Art. 8. - (1) Deficientele identificate In legatura cu sistemul de control intern trebuie sa fie raportate imediat nivelului de conducere competent, care trebuie sa ia masuri pentru remedierea cu promptitudine a acestora.
(2) Deficientele majore ale sistemului de control intern trebuie sa fie raportate conducerii executive a asiguratorilor/reasiguratorilor si conducerii administrative a acestora.
(3) Conducerea executiva a asiguratorilor/reasiguratorilor are responsabilitatea de a stabili un sistem de detectare a deficientelor sistemului de control intern si de a Intreprinde masuri pentru solutionarea respectivelor deficiente.
Descarca intreg Ordinul nr. 18/2009 privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori de aici.
