Comunica experienta
MonitorulJuridic.ro
ORDIN nr. 113.117 din 23 iunie 2006 pentru punerea in aplicare a Normelor privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori
EMITENT: COMISIA DE SUPRAVEGHERE A ASIGURARILOR PUBLICAT: MONITORUL OFICIAL nr. 572 din 3 iulie 2006
În temeiul prevederilor art. 5 lit. a), ale art. 8 alin. (1) şi ale <>art. 20 alin. (3) lit. c) şi c^2) din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurãrilor, cu modificãrile şi completãrile ulterioare,
potrivit Hotãrârii Consiliului Comisiei de Supraveghere a Asigurãrilor din data de 20 iunie 2006, prin care s-au adoptat Normele privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurãtori,
preşedintele Comisiei de Supraveghere a Asigurãrilor emite urmãtorul ordin:
ART. 1
Se pun în aplicare Normele privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurãtori, prevãzute în anexa care face parte integrantã din prezentul ordin.
ART. 2
Direcţia generalã reglementãri din cadrul Comisiei de Supraveghere a Asigurãrilor va asigura ducerea la îndeplinire a prevederilor prezentului ordin.
Preşedintele
Comisiei de Supraveghere a Asigurãrilor,
Nicolae Eugen Crişan
Bucureşti, 23 iunie 2006.
Nr. 113.117.
ANEXĂ
NORME
privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurãtori
ART. 1
În sensul prezentelor norme, termenii şi expresiile de mai jos au urmãtoarele semnificaţii:
1. managementul riscului - un set de proceduri prin intermediul cãrora asigurãtorul ia mãsuri pentru a evalua, monitoriza şi controla influenţa evenimentelor trecute şi potenţial viitoare care ar putea avea un impact negativ asupra activitãţii sale. Procedurile de management al riscului vor include cel puţin: stabilirea strategiilor şi politicilor de management al riscului, identificarea riscurilor, criteriile pentru mãsurarea riscurilor, controlul riscurilor, incluzând toleranţa faţã de risc şi raportarea riscurilor;
2. toleranţa faţã de risc - natura şi cantitatea de expunere la risc pe care asigurãtorul este dispus sã o accepte. Toleranţa faţã de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;
3. testul de senzitivitate:
a) evalueazã influenţa schimbãrilor unor factori de risc asupra situaţiei financiare viitoare a asigurãtorului;
b) este utilizat de asigurãtor pentru o mai bunã înţelegere a vulnerabilitãţilor cu care se confruntã în condiţii atipice;
c) are la bazã analiza influenţei scenariilor adverse puţin probabile, dar nu imposibile;
d) se aplicã oricãrui risc ce poate avea o influenţã economicã asupra asigurãtorului;
4. control intern - proces continuu la care participã consiliul de administraţie, conducerea executivã, precum şi personalul asigurãtorilor, prin care se furnizeazã o asigurare rezonabilã asupra atingerii obiectivelor prevãzute la art. 2 alin. (1);
5. conducerea operativã - persoanele care asigurã conducerea nemijlocitã a compartimentelor din cadrul asigurãtorului, al sucursalelor şi al altor sedii secundare;
6. sistem informaţional - ansamblul de fluxuri informaţionale organizate într-o concepţie unitarã, care asigurã legãtura dintre nivelul de conducere (decizional) şi nivelul de execuţie (operaţional);
7. risc de credit - riscul înregistrãrii de pierderi sau al nerealizãrii profiturilor estimate, ca urmare a neîndeplinirii de cãtre debitor a obligaţiilor contractuale;
8. risc de ţarã - risc asociat riscului de credit, care este determinat de condiţiile economice, sociale şi politice ale ţãrii de origine a debitorului;
9. risc de piaţã - riscul înregistrãrii de pierderi sau al nerealizãrii profiturilor estimate, care apare din fluctuaţiile pe piaţã ale preţurilor, ratei dobânzii şi cursului valutar;
10. risc de subscriere - riscul înregistrãrii de pierderi sau al nerealizãrii profiturilor estimate, care apare ca urmare a faptului cã situaţiile economice sau rata de apariţie a incidentelor s-au schimbat faţã de previziunile fãcute la data tarifãrii primelor de asigurare;
11. risc de lichiditate - riscul înregistrãrii de pierderi sau al nerealizãrii profiturilor estimate, ce rezultã din imposibilitatea asigurãtorilor de a onora în orice moment obligaţiile de platã pe termen scurt, fãrã ca aceasta sã implice costuri sau pierderi ce nu pot fi suportate de asigurãtori.
12. risc operaţional - riscul înregistrãrii de pierderi sau al nerealizãrii profiturilor estimate, care este determinat de factori interni (derularea neadecvatã a unor activitãţi interne, existenţa unui personal sau unor sisteme informatice necorespunzãtoare etc.) sau de factori externi (condiţii economice, schimbãri în mediul financiar, progrese tehnologice etc.);
13. risc juridic - componentã a riscului operaţional, apãrut ca urmare a neaplicãrii sau a aplicãrii defectuoase a dispoziţiilor legale ori contractuale, care afecteazã negativ operaţiunile sau situaţia asigurãtorilor;
14. risc reputaţional - riscul înregistrãrii de pierderi sau al nerealizãrii profiturilor estimate, ca urmare a publicitãţii negative care conduce la lipsa încrederii publicului în integritatea asigurãtorilor.
ART. 2
(1) Obiectivele controlului intern constau în:
a) desfãşurarea activitãţii în condiţii de eficienţã şi rentabilitate;
b) furnizarea unor informaţii corecte, relevante, complete şi oportune structurilor implicate în luarea deciziilor în cadrul asigurãtorilor şi utilizatorilor externi ai informaţiilor;
c) asigurarea conformitãţii activitãţilor asigurãtorilor cu cadrul legal şi cu politicile şi procedurile proprii.
(2) În vederea îndeplinirii obiectivelor de control intern, asigurãtorii trebuie sã îşi organizeze un sistem de control intern care se compune din urmãtoarele elemente aflate în strânsã corelare:
a) rolul şi responsabilitãţile consiliului de administraţie şi conducerii executive;
b) identificarea şi evaluarea riscurilor;
c) activitãţile de control şi separarea responsabilitãţilor;
d) informarea şi comunicarea;
e) activitãţile de monitorizare şi corectare a deficienţelor.
ART. 3
(1) Consiliul de administraţie al asigurãtorilor este responsabil pentru stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.
(2) În contextul prevederilor alin. (1), consiliul de administraţie al asigurãtorilor trebuie sã îndeplineascã cel puţin urmãtoarele atribuţii:
a) sã aprobe şi sã revizuiascã periodic, cel puţin anual, strategiile generale şi politicile privitoare la activitatea asigurãtorilor;
b) sã stabileascã toleranţa faţã de risc şi sã asigure luarea mãsurilor necesare de cãtre conducerea executivã pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor respective;
c) sã supravegheze conducerea executivã în legãturã cu modul în care aceasta monitorizeazã funcţionarea adecvatã şi eficientã a sistemului de control intern;
d) sã aprobe acea structurã organizatoricã ce rãspunde cel mai bine obiectivelor propuse.
(3) Pentru îndeplinirea atribuţiilor ce îi revin, consiliul de administraţie trebuie sã întreprindã cel puţin urmãtoarele mãsuri:
a) discuţii periodice, cel puţin trimestrial, cu conducerea operativã privind eficienţa sistemului de control intern;
b) analiza periodicã, cel puţin trimestrial, a evaluãrilor sistemului de control intern efectuate de conducerea operativã, de auditul intern şi, dupã caz, de auditorul financiar al asigurãtorilor şi de Comisia de Supraveghere a Asigurãrilor;
c) asigurarea implementãrii de cãtre conducerea operativã a recomandãrilor formulate de auditul intern, de auditorul financiar extern şi de Comisia de Supraveghere a Asigurãrilor cu privire la deficienţele sistemului de control intern şi examinarea efectului mãsurilor implementate.
ART. 4
(1) Conducerea executivã a asigurãtorului are responsabilitãţi pe linia monitorizãrii funcţionãrii adecvate şi eficiente a sistemului de control intern.
(2) În contextul prevederilor alin. (1), conducerea executivã are cel puţin urmãtoarele atribuţii:
a) sã implementeze strategiile generale şi politicile privitoare la activitatea asigurãtorilor, aprobate de consiliul de administraţie;
b) sã coordoneze procesul de elaborare a procedurilor de management al riscului şi sã ia mãsurile necesare pentru identificarea, evaluarea, monitorizarea şi controlul acestor riscuri;
c) sã se asigure cã responsabilitãţile delegate conducerii operative, cu privire la stabilirea politicilor şi procedurilor de control intern, sunt îndeplinite în mod corespunzãtor;
d) sã menţinã o structurã organizatoricã adecvatã;
e) sã stabileascã fluxul informaţional necesar;
f) sã se asigure cã toate activitãţile asigurãtorilor sunt realizate de personal calificat, având experienţã şi cunoştinţe necesare în domeniul asigurãrilor;
g) sã asigure instruirea corespunzãtoare a personalului propriu.
ART. 5
În cazul externalizãrii unor activitãţi, consiliul de administraţie şi conducerea executivã ale asigurãtorilor rãspund pentru atingerea obiectivelor controlului intern aferente respectivelor activitãţi.
ART. 6
Consiliul de administraţie şi conducerea executivã ale asigurãtorilor sunt responsabile pentru promovarea unor standarde de eticã şi integritate pentru personalul asigurãtorilor în ceea ce priveşte controlul intern, care sã evidenţieze şi sã asigure conştientizarea importanţei acestuia la toate nivelurile organizatorice.
ART. 7
(1) Pentru a avea un sistem de control intern eficient asigurãtorii trebuie sã identifice şi sã evalueze permanent riscurile care pot periclita atingerea obiectivelor controlului intern.
(2) Identificarea şi evaluarea riscurilor trebuie sã se facã atât la nivelul de ansamblu al unui asigurãtor, cât şi la toate nivelurile organizatorice ale acestuia, trebuie sã acopere toate activitãţile şi sã ţinã cont de apariţia unor noi activitãţi.
ART. 8
(1) Identificarea şi evaluarea riscurilor trebuie sã se realizeze cu luarea în considerare a factorilor interni (complexitatea structurii organizatorice, natura activitãţilor desfãşurate, calitatea personalului şi fluctuaţia acestuia) şi a factorilor externi (condiţii economice, schimbãri legislative sau legate de mediul concurenţial în sectorul de asigurãri, progrese tehnologice).
(2) Procesul de evaluare a riscurilor trebuie sã includã identificarea atât a riscurilor care sunt controlabile de cãtre asigurãtori, cât şi a celor necontrolabile. În cazul riscurilor controlabile, asigurãtorii trebuie sã stabileascã dacã îşi asumã integral aceste riscuri sau în mãsura în care doresc sã le reducã prin proceduri de control. În cazul riscurilor necontrolabile, asigurãtorii trebuie sã decidã dacã le acceptã sau dacã eliminã ori reduc nivelul activitãţilor afectate de riscurile respective.
(3) Evaluarea riscurilor trebuie efectuatã şi în condiţiile unor scenarii alternative, inclusiv în condiţii de crizã.
ART. 9
Evaluarea riscurilor se va realiza de cãtre specialişti din cadrul asigurãtorilor care nu au responsabilitãţi în realizarea performanţei comerciale şi financiare.
ART. 10
Asigurãtorii trebuie sã revizuiascã activitãţile de control pentru a identifica şi a evalua în mod corespunzãtor orice riscuri nou-apãrute ca urmare a dezvoltãrii activitãţii.
ART. 11
(1) Activitãţile de control trebuie sã se constituie ca parte integrantã a activitãţilor curente desfãşurate de asigurãtori.
(2) Activitãţile de control trebuie sã aibã în vedere riscurile identificate de asigurãtori în cadrul procesului de identificare şi evaluare a riscurilor.
ART. 12
Activitãţile de control trebuie definite pentru fiecare nivel organizatoric al asigurãtorilor şi implicã douã etape:
a) stabilirea politicilor şi procedurilor de control;
b) verificarea respectãrii politicilor şi procedurilor de control stabilite.
ART. 13
Activitãţile de control includ cel puţin urmãtoarele:
a) analize la nivelul consiliului de administraţie şi al conducerii executive;
b) analize operative la nivelul compartimentelor şi sediilor secundare ale asigurãtorilor;
c) controale faptice care au în vedere restricţionarea accesului la active, cum ar fi disponibilitãţi bãneşti, restricţionarea accesului la conturile clienţilor etc.;
d) analiza încadrãrii în limitele impuse expunerilor la risc şi urmãrirea modului în care sunt soluţionate situaţiile de neconformitate;
e) aprobãri şi autorizãri, în cazul operaţiunilor ce depãşesc anumite limite de sume, asigurându-se astfel controlul asupra realizãrii operaţiunilor respective de cãtre nivelul de conducere competent şi stabilirea responsabilitãţilor;
f) verificãri ale tranzacţiilor efectuate de asigurãtori şi reconcilieri, în special acolo unde existã diferenţe între metodologiile sau sistemele de evaluare utilizate în compartimentele responsabile cu iniţierea tranzacţiilor (front office) şi compartimentele responsabile cu înregistrarea şi monitorizarea tranzacţiilor iniţiate (back office). Rezultatele verificãrilor vor fi comunicate nivelului de conducere superior competent.
ART. 14
Asigurãtorii trebuie sã realizeze o repartizare corespunzãtoare a atribuţiilor la toate nivelurile organizatorice şi sã se asigure cã personalului nu îi sunt alocate responsabilitãţi care sã conducã la conflicte de interese.
ART. 15
Domeniile care pot fi afectate de potenţiale conflicte de interese trebuie sã fie identificate şi supuse unei monitorizãri independente exercitate de persoane neimplicate direct în activitãţile respective, a cãror informare este efectuatã pe baza unor linii de raportare stabilite în mod corespunzãtor.
ART. 16
(1) Asigurãtorii trebuie sã asigure evidenţa datelor financiare, operaţionale şi de conformitate, adecvate şi complete, pentru desfãşurarea activitãţii lor.
(2) Asigurãtorii trebuie sã dispunã de informaţii despre piaţã referitoare la evenimente şi condiţii care sunt relevante pentru luarea deciziilor.
(3) Informaţiile trebuie sã fie credibile, relevante, complete, oportune, accesibile şi furnizate într-un format consecvent.
ART. 17
Asigurãtorii trebuie sã dispunã de sisteme informaţionale adecvate, care sã acopere toate activitãţile acestora.
ART. 18
Asigurãtorii trebuie sã dispunã de proceduri pentru a preveni utilizarea necorespunzãtoare a informaţiei, prin care sã se evite:
a) prejudicierea, directã sau indirectã, a reputaţiei acestora;
b) dezvãluirea informaţiilor secrete sau confidenţiale;
c) utilizarea informaţiilor de cãtre personalul asigurãtorilor pentru obţinerea unor beneficii personale.
ART. 19
(1) În cadrul sistemului informaţional asigurãtorii trebuie sã dispunã de sisteme informatice. Formatul acestor sisteme trebuie sã asigure un grad adecvat de securitate a informaţiei. Monitorizarea sistemelor informatice va fi asiguratã de personal specializat independent şi distinct de cel care le utilizeazã.
(2) Asigurãtorii trebuie sã dispunã de prevederi referitoare la organizarea şi controlul intern al procesãrii informaţiilor în formã electronicã, astfel încât sã fie posibilã obţinerea de probe de audit.
ART. 20
(1) În vederea evitãrii apariţiei disfuncţionalitãţilor în cadrul activitãţii şi a eventualelor pierderi generate de acestea, asigurãtorii trebuie sã controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecãrei aplicaţii informatice din componenţa acestuia.
(2) Controalele generale se efectueazã asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice, precum şi asupra sistemelor de operare care asigurã funcţionarea acestora. Controalele au drept scop verificarea funcţionãrii continue şi corespunzãtoare a acestora.
(3) Controalele generale includ şi verificarea existenţei şi aplicãrii unei strategii de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicaţiilor informatice reprezintã proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a modului de procesare a tranzacţiilor şi efectuãrii operaţiunilor.
ART. 21
(1) În vederea evitãrii pierderilor generate de întreruperea activitãţii datoritã unor factori externi ce nu pot fi controlaţi de cãtre asigurãtori, aceştia trebuie sã elaboreze planuri alternative, care sã le permitã reluarea activitãţii în cazul apariţiei unor situaţii neprevãzute. Replicarea sistemelor critice trebuie asiguratã fie prin existenţa unor sisteme de rezervã situate într-o altã locaţie aparţinând asigurãtorilor, fie prin intermediul unui furnizor extern de servicii.
(2) Funcţionarea planurilor alternative trebuie testatã periodic prin stimularea operaţiunilor pe sistemele de rezervã, în scopul verificãrii disponibilitãţii acestora.
ART. 22
În vederea organizãrii unui sistem de control intern eficient, asigurãtorii trebuie sã dispunã de canale de comunicare care sã asigure cã personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilitãţilor sale şi cã orice alte informaţii relevante ajung în timp util la acesta.
ART. 23
Structura organizatoricã a asigurãtorilor trebuie sã asigure un flux corespunzãtor de informaţii, pe verticalã, în ambele sensuri, şi pe orizontalã, care sã permitã urmãtoarele:
a) informarea consiliului de administraţie şi a conducerii executive asupra riscurilor aferente activitãţii şi funcţionãrii asigurãtorilor;
b) informarea nivelurilor inferioare de conducere operativã şi a personalului atât asupra strategiilor asigurãtorilor, cât şi asupra politicilor şi procedurilor stabilite;
c) difuzarea informaţiilor între compartimentele şi sediile secundare ale asigurãtorilor pentru care respectivele informaţii au relevanţã.
ART. 24
(1) Asigurãtorii trebuie sã monitorizeze permanent eficacitatea sistemului de control intern, cu luarea în considerare a modificãrilor intervenite în condiţiile interne şi externe de desfãşurare a activitãţii.
(2) Asigurãtorii trebuie sã asigure un rol important auditului intern în procesul de monitorizare a sistemului de control intern.
(3) Monitorizarea eficacitãţii sistemului de control intern va fi efectuatã atât de personalul responsabil pentru fiecare compartiment şi sediu secundar al asigurãtorului, cât şi de auditul intern.
(4) Monitorizarea eficacitãţii sistemului de control intern trebuie sã facã parte din activitãţile zilnice ale asigurãtorilor şi trebuie sã includã şi evaluãri separate ale sistemului de control intern în general.
(5) Evaluãrile separate, periodice, ale sistemului de control intern vor fi efectuate atât de personalul responsabil pentru fiecare compartiment şi sediu secundar (autoevaluare), cât şi de auditul intern.
(6) Frecvenţa cu care trebuie monitorizate diferitele activitãţi ale asigurãtorilor depinde de riscurile implicate de activitãţile respective, precum şi de natura şi frecvenţa schimbãrilor din activitatea respectivã.
ART. 25
(1) Deficienţele identificate în legãturã cu sistemul de control intern trebuie sã fie raportate imediat nivelului de conducere competent, care trebuie sã ia mãsuri pentru remedierea cu promptitudine a acestora.
(2) Deficienţele majore ale sistemului de control intern trebuie sã fie raportate conducerii executive a asigurãtorilor şi consiliului de administraţie al acestora.
(3) Conducerea executivã a asigurãtorilor are responsabilitatea de a stabili un sistem de detectare a deficienţelor sistemului de control intern şi de a întreprinde mãsuri pentru soluţionarea respectivelor deficienţe.
ART. 26
Asigurãtorii trebuie sã ia mãsuri pe linia administrãrii urmãtoarelor riscuri: riscul de credit, riscul de piaţã, riscul de lichiditate, riscul operaţional, riscul de subscriere şi riscul reputaţional.
ART. 27
În domeniul managementului riscurilor, consiliul de administraţie al asigurãtorilor are cel puţin urmãtoarele atribuţii:
a) sã aprobe şi sã reconsidere profilul de risc al acestora;
b) sã aprobe politicile privind managementul riscurilor respective, sã le analizeze periodic, cel puţin anual, şi sã dispunã revizuirea acestora, dupã caz;
c) sã asigure luarea de cãtre conducerea executivã a mãsurilor necesare pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor, inclusiv pentru activitãţile externalizate;
d) sã aprobe procedurile de stabilire a competenţelor şi a responsabilitãţilor în domeniul managementului riscurilor;
e) sã aprobe externalizarea unor activitãţi;
f) sã aprobe politica de instruire a personalului.
ART. 28
În domeniul managementului riscurilor, conducerea executivã a asigurãtorilor este responsabilã cel puţin pentru urmãtoarele:
a) implementarea strategiilor aprobate de consiliul de administraţie şi asigurarea comunicãrii acestora personalului implicat în punerea lor în aplicare;
b) asigurarea comunicãrii politicilor şi procedurilor pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor personalului implicat în punerea lor în aplicare;
c) menţinerea unor sisteme de raportare corespunzãtoare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri;
d) menţinerea limitelor corespunzãtoare privind expunerea la riscuri, inclusiv pentru condiţii de crizã, în conformitate cu mãrimea, complexitatea şi situaţia financiarã a asigurãtorilor;
e) menţinerea eficienţei şi eficacitãţii sistemului de control intern;
f) analizarea oportunitãţii externalizãrii unor activitãţi prin prisma riscurilor implicate de externalizare;
g) supravegherea şi monitorizarea contractului de externalizare;
h) asigurarea unui personal calificat, având experienţa şi cunoştinţele necesare;
i) asigurarea instruirii corespunzãtoare a personalului;
j) asigurarea concordanţei politicilor de remunerare a personalului cu strategia asigurãtorului privind riscurile.
ART. 29
În procesul de management al riscurilor, asigurãtorii trebuie sã constituie un comitet de management al riscurilor.
ART. 30
(1) Asigurãtorii trebuie sã opteze pentru un profil de risc, stabilind obiectivul şi strategia pentru fiecare risc, inclusiv în ceea ce priveşte activitãţile externalizate.
(2) Asigurãtorii vor stabili tipurile de riscuri pe care sunt pregãtiţi sã le asume. La stabilirea acestora se vor avea în vedere natura, dimensiunea şi complexitatea activitãţii.
(3) Strategia asigurãtorilor privind managementul riscurilor trebuie sã determine raportul dintre risc şi profit pe care asigurãtorul îl considerã acceptabil în condiţiile asigurãrii continuitãţii activitãţii acesteia pe baze sãnãtoase şi prudente.
ART. 31
Asigurãtorii trebuie sã adopte politici pentru managementul riscurilor, în vederea implementãrii profilului de risc ales. Politicile respective trebuie sã corespundã strategiilor generale, sã fie corelate cu nivelul fondurilor proprii ale asigurãtorilor şi cu experienţa acestora în administrarea riscurilor, precum şi cu toleranţa faţã de risc stabilitã de consiliul de administraţie.
ART. 32
Politicile privind managementul riscurilor, corespunzãtoare naturii, dimensiunii şi complexitãţii activitãţilor asigurãtorilor, trebuie sã fie transpuse în mod clar şi transparent în norme interne, proceduri, inclusiv în manuale şi coduri de conduitã, fãcându-se distincţie între standardele generale aplicabile întregului personal şi regulile specifice aplicabile anumitor categorii de personal.
ART. 33
Politicile de management al riscurilor trebuie sã asigure, dupã caz, stabilirea cel puţin a:
a) unui sistem de proceduri de autorizare a operaţiunilor afectate de riscurile respective;
b) unui sistem de stabilire a limitelor expunerii la risc şi de monitorizare a acestora, care sã reflecte profilul de risc ales şi care sã fie în conformitate cu legislaţia şi cu reglementãrile în vigoare; limitele stabilite la nivelul activitãţilor şi/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asigurãtorilor;
c) unui sistem de raportare a expunerilor la riscuri, precum şi altor aspecte legate de riscuri cãtre nivelurile de conducere corespunzãtoare;
d) unui sistem de proceduri pentru situaţii neprevãzute;
e) unor criterii de recrutare şi remunerare a personalului, care sã stabileascã standarde ridicate pentru pregãtirea, experienţa şi integritatea acestuia;
f) unui program de instruire a personalului.
ART. 34
(1) Asigurãtorii trebuie sã efectueze sistematic o evaluare a riscurilor.
(2) Evaluarea riscurilor trebuie sã ţinã cont şi de:
a) implicaţiile corelãrii fiecãrui risc cu celelalte riscuri la care se expune asigurãtorul;
b) previzionãrile profitului şi fondurilor proprii pe baza diferitelor scenarii în condiţii de crizã, inclusiv o cuantificare a pierderilor maxime în condiţiile extreme.
(3) Asigurãtorii trebuie sã efectueze sistematic teste de senzitivitate.
ART. 35
Asigurãtorii trebuie sã dispunã de un sistem de informare adecvat pentru identificarea, evaluarea, monitorizarea şi documentarea sistematicã a riscurilor atât la nivelul asigurãtorilor, cât şi la nivelul compartimentelor şi sediilor secundare ale acestora.
ART. 36
Asigurãtorii trebuie sã asigure cã existã o separare corespunzãtoare a atribuţiilor în cadrul procesului de administrare a riscurilor, pentru evitarea potenţialelor conflicte de interese.
ART. 37
Asigurãtorii trebuie sã asigure o monitorizare sistematicã a conformitãţii cu procedurile stabilite pentru managementul riscurilor şi sã soluţioneze deficienţele constatate.
ART. 38
Asigurãtorii trebuie sã dispunã de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implicã analize independente şi regulate şi evaluãri ale eficacitãţii sistemului şi, acolo unde se impune, asigurarea remedierii deficienţelor constatate. Rezultatele unor astfel de analize trebuie sã fie comunicate în mod direct consiliului de administraţie, comitetului de administrare a riscurilor şi comitetului de audit.
ART. 39
(1) Asigurãtorii trebuie sã dispunã de politici privind externalizarea activitãţilor auxiliare sau conexe în raport cu activitãţile principale.
(2) Asigurãtorii trebuie sã dispunã de proceduri de administrare a riscurilor asociate activitãţilor externalizate.
(3) Procedurile de management al riscurilor asociate activitãţilor externalizate se vor referi cel puţin la urmãtoarele:
a) luarea deciziilor privind externalizarea unor noi activitãţi sau modificarea celor existente;
b) selectarea şi evaluarea societãţilor prestatoare de servicii auxiliare sau conexe în legãturã cu aspecte cum ar fi: solvabilitatea, reputaţia, familiarizarea cu specificul sectorului asigurãrilor, calitatea serviciilor prestate, organizarea activitãţii şi controlul intern, existenţa unui personal competent, existenţa unui plan alternativ de redresare a activitãţii, asigurarea confidenţialitãţii informaţiei;
c) monitorizarea modului în care societãţile prestatoare de servicii auxiliare sau conexe desfãşoarã activitãţile externalizate;
d) elaborarea de planuri alternative şi stabilirea costurilor şi resurselor necesare pentru schimbarea societãţilor prestatoare de servicii auxiliare sau conexe.
ART. 40
(1) Asigurãtorii pot externaliza activitãţi doar în condiţiile încheierii de contracte cu societãţi prestatoare de servicii auxiliare sau conexe.
(2) Contractele încheiate cu societãţi prestatoare de servicii auxiliare sau conexe în legãturã cu activitãţile externalizate trebuie sã fie în formã scrisã şi sã asigure o alocare clarã a responsabilitãţilor fiecãrei pãrţi.
(3) Asigurãtorii vor putea încheia contracte cu societãţi prestatoare de servicii auxiliare sau conexe, în legãturã cu activitãţile externalizate, în urmãtoarele condiţii:
a) asigurarea existenţei unor date actualizate şi a altor informaţii la nivelul asigurãtorului;
b) asigurarea accesului unor entitãţi din România (autoritãţi sau instituţii publice) la datele şi informaţiile aferente operaţiunilor din România, în cazul externalizãrii unor activitãţi în afara graniţelor ţãrii;
c) asigurarea securitãţii/confidenţialitãţii datelor cel puţin prin urmãtoarele mãsuri: angajamentul societãţii prestatoare de servicii auxiliare sau conexe şi al personalului acesteia de a se supune regulilor de confidenţialitate, drepturile contractuale ale asigurãtorului de a lua mãsuri împotriva societãţii prestatoare de servicii auxiliare sau conexe în cazul încãlcãrii confidenţialitãţii, separarea datelor asigurãtorului de cele ale societãţii prestatoare de servicii auxiliare sau conexe şi de cele ale altor clienţi ai acesteia.
ART. 41
Asigurãtorii nu pot externaliza urmãtoarele activitãţi:
a) activitatea de audit intern, în condiţiile în care furnizorul extern de servicii în domeniul auditului intern are şi calitatea de auditor financiar al instituţiei de credit în cauzã;
b) organizarea şi ţinerea contabilitãţii, în condiţiile în care între persoanele cãrora le-ar fi externalizatã activitatea de ţinere a contabilitãţii şi auditorul financiar existã legãturi ce afecteazã independenţa acestuia în exercitarea mandatului;
c) organizarea şi desfãşurarea activitãţii juridice curente, în conformitate cu dispoziţiile <>Legii nr. 514/2003 privind organizarea şi exercitarea profesiei de consilier juridic;
d) orice alte activitãţi care în urma externalizãrii nu mai pot fi controlate şi desfãşurate în conformitate cu regulile unei practici prudente şi sãnãtoase.
ART. 42
(1) Asigurãtorii trebuie sã dispunã de un comitet de management al riscurilor. Comitetul de management al riscurilor este un comitet permanent, ale cãrui funcţionare şi atribuţii sunt reglementate de prezentele norme şi de regulamentele interne ale fiecãrui asigurãtor.
(2) Comitetul de management al riscurilor îşi poate desfãşura lucrãrile în subcomitete, în funcţie de mãrimea şi complexitatea asigurãtorului.
(3) Comitetul de management al riscurilor se constituie prin decizie a consiliului de administraţie.
ART. 43
Asigurãtorii trebuie sã dispunã de un regulament al comitetului de management al riscurilor, aprobat la nivelul consiliului de administraţie şi revizuit periodic, dupã caz, care sã indice componenţa, autoritatea şi responsabilitãţile acestuia şi modul de raportare cãtre consiliul de administraţie.
ART. 44
(1) Membrii comitetului de management al riscurilor trebuie sã aibã o experienţã compatibilã cu responsabilitãţile lor în cadrul acestuia.
(2) Comitetul de management al riscurilor este format din membri ai conducerii executive şi operative ai asigurãtorului.
ART. 45
Comitetul de management al riscurilor va avea cel puţin urmãtoarele atribuţii:
a) sã asigure informarea consiliului de administraţie asupra problemelor şi evoluţiilor semnificative care ar putea influenţa profilul de risc al asigurãtorului;
b) sã dezvolte politici şi proceduri adecvate pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor;
c) sã aprobe metodologii şi modele adecvate pentru evaluarea riscurilor şi limitarea expunerilor;
d) sã stabileascã limite corespunzãtoare privind expunerea la riscuri, inclusiv pentru condiţii de crizã, în conformitate cu mãrimea, complexitatea şi situaţia financiarã a asigurãtorului, precum şi proceduri necesare pentru aprobarea excepţiilor de la respectivele limite;
e) sã aprobe angajarea asigurãtorului în noi activitãţi, pe baza analizei riscurilor aferente acestora;
f) sã analizeze mãsura în care planurile alternative de care dispune banca corespund situaţiilor neprevãzute cu care aceasta s-ar putea confrunta;
g) sã prezinte consiliului de administraţie informãri suficient de detaliate şi oportune, care sã permitã acestuia sã cunoascã şi sã evalueze performanţa conducerii în monitorizarea şi controlul riscurilor, potrivit politicilor aprobate, precum şi performanţa de ansamblu a asigurãtorului;
h) sã informeze regulat consiliul de administraţie asupra situaţiei expunerilor asigurãtorului la riscuri şi imediat, în cazul în care intervin schimbãri semnificative în expunerea curentã sau viitoare a asigurãtorului la riscurile respective;
i) sã stabileascã sisteme de raportare corespunzãtoare a aspectelor legate de riscuri;
j) sã stabileascã competenţele şi responsabilitãţile pentru administrarea şi controlul expunerilor la riscuri.
ART. 46
(1) Asigurãtorii trebuie sã întocmeascã anual un raport asupra condiţiilor în care este desfãşurat controlul intern. Acest raport trebuie sã cuprindã cel puţin:
a) o inventariere a principalelor deficienţe identificate în cadrul sistemului de control intern şi mãsurile întreprinse pentru corectarea acestora;
b) o descriere a modificãrilor semnificative intervenite în sistemul de control intern în perioada respectivã, în special axate pe evoluţia activitãţii şi a riscurilor;
c) o descriere a condiţiilor de aplicare a procedurilor de control aferente noilor activitãţi;
d) desfãşurarea controlului intern în cadrul sediilor secundare ale asigurãtorilor din strãinãtate.
(2) Raportul întocmit de cãtre asigurãtori trebuie sã includã şi condiţiile în care se desfãşoarã controlul intern la nivelul entitãţilor cuprinse în perimetrul lor de consolidare şi al societãţilor prestatoare de servicii auxiliare sau conexe.
ART. 47
(1) Asigurãtorii trebuie sã întocmeascã anual un raport privind mãsurile luate pe linia managementului riscurilor la care sunt expuşi aceştia şi, dupã caz, mãsurile luate de entitãţile cuprinse în perimetrul lor de consolidare şi societãţile prestatoare de servicii auxiliare sau conexe.
(2) Raportul întocmit trebuie sã cuprindã cel puţin:
a) politicile de management al riscului, cu specificarea toleranţei asigurãtorului la risc şi limitele stabilite pentru gestiunea riscurilor de piaţã, de credit şi de lichiditate;
b) detalii ale politicilor de investiţii ale asigurãtorului, incluzând procedurile de identificare, monitorizare şi control al riscurilor, precum şi detalii referitoare la strategiile investiţionale cu produse derivate sau produse cu efect similar;
c) procedurile asigurãtorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare şi monitorizare a administratorilor de fonduri şi a societãţilor de servicii de investiţii financiare;
d) procedurile asigurãtorului referitoare la introducerea de noi instrumente de investiţii şi de monitorizare a riscurilor asociate cu utilizarea acestora;
e) o prezentare a modului de abordare şi a politicilor asigurãtorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare şi solvabilitate;
f) detalii referitoare la salarizarea personalului pentru a stabili dacã compania acordã prime sau alte stimulente salariale mari care determinã o mãrire nejustificatã a expunerii la risc a societãţii;
g) un plan de afaceri global al asigurãtorului care cuprinde informaţii referitoare la noile produse lansate de societate, strategia de distribuţie a produselor, procesul de subscriere şi activitatea de reasigurare. Aceste informaţii vor fi folosite în scopul evaluãrii gradului de adecvare a sistemului de management al riscului implementat de asigurãtor la afacerea sa;
h) planurile elaborate de asigurãtor pentru împrejurãri neprevãzute;
i) detalii referitoare la testele de senzitivitate efectuate de asigurãtor pentru evaluarea riscurilor la care este expus;
j) informaţii despre managementul intern al portofoliilor de active: detalii despre active şi datorii, detalii despre investiţiile intragrup realizate;
k) lista deciziilor consiliului de administraţie;
l) documente care sã ateste pregãtirea profesionalã a persoanelor responsabile cu activitãţile de investiţii, respectiv cu managementul riscului investiţiilor;
m) detalii referitoare la serviciile externalizate;
n) rapoarte referitoare la riscurile de piaţã, precum şi rentabilitatea portofoliului de investiţii.
ART. 48
Rapoartele menţionate la art. 46 şi 47 trebuie sã fie transmise Comisiei de Supraveghere a Asigurãrilor în termen de 6 luni de la încheierea exerciţiului financiar.
ART. 49
Pentru controlul intern al activitãţii şi managementul riscurilor, asigurãtorii vor avea în vedere şi prevederile legislaţiei naţionale şi standardele internaţionale în materie.
ART. 50
În cazul în care asigurãtorii nu apeleazã la un furnizor extern de servicii pentru sistemele informatice, aceştia vor trebui sã dispunã de sistemele de rezervã prevãzute la art. 21 alin. (1), în termen de 9 luni de la intrarea în vigoare a prezentelor norme.
ART. 51
În termen de 3 luni de la data intrãrii în vigoare a prezentelor norme, asigurãtorii trebuie sã transmitã Comisiei de Supraveghere a Asigurãrilor normele interne privind organizarea controlului intern al activitãţii, normele interne privind organizarea sistemului de management al riscurilor, precum şi regulamentul comitetului de management al riscurilor.
ART. 52
Nerespectarea prevederilor prezentelor norme constituie contravenţie şi se sancţioneazã conform prevederilor <>art. 39 din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurãrilor, cu modificãrile şi completãrile ulterioare.
ART. 53
Prezentele norme intrã în vigoare începând cu data aderãrii României la Uniunea Europeanã, datã la care se abrogã <>Ordinul preşedintelui Comisiei de Supraveghere a Asigurãrilor nr. 3.105/2004 pentru punerea în aplicare a Normei minimale privind activitatea de control intern, publicat în Monitorul Oficial al României, Partea I, nr. 186 din 3 martie 2004.
_________
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
