Comunica experienta
MonitorulJuridic.ro
ORDIN nr. 18 din 7 septembrie 2009 pentru aprobarea Normelor privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori
EMITENT: COMISIA DE SUPRAVEGHERE A ASIGURARILOR PUBLICAT: MONITORUL OFICIAL nr. 621 din 16 septembrie 2009
ORDIN nr. 18 din 7 septembrie 2009
pentru aprobarea Normelor privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfãşurarea activitãţii de audit intern la asigurãtori/reasigurãtori
EMITENT: COMISIA DE SUPRAVEGHERE A ASIGURÃRILOR
PUBLICAT ÎN: MONITORUL OFICIAL nr. 621 din 16 septembrie 2009
În temeiul prevederilor <>art. 4 alin. (27) din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurãrilor, cu modificãrile şi completãrile ulterioare, potrivit Hotãrârii Consiliului Comisiei de Supraveghere a Asigurãrilor din data de 1 septembrie 2009 prin care s-au adoptat Normele privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfãşurarea activitãţii de audit intern la asigurãtori/reasigurãtori,
preşedintele Comisiei de Supraveghere a Asigurãrilor emite urmãtorul ordin:
ART. 1
Se aprobã Normele privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfãşurarea activitãţii de audit intern la asigurãtori/reasigurãtori, prevãzute în anexa care face parte integrantã din prezentul ordin.
ART. 2
La data intrãrii în vigoare a prezentului ordin se abrogã <>Ordinul preşedintelui Comisiei de Supraveghere a Asigurãrilor nr. 113.117/2006 pentru punerea în aplicare a 1 0 8> Normelor privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurãtori, publicat în Monitorul Oficial al României, Partea I, nr. 572 din 3 iulie 2006.
ART. 3
Direcţia generalã reglementãri contabile din cadrul Comisiei de Supraveghere a Asigurãrilor va lua mãsuri pentru ducerea la îndeplinire a prevederilor prezentului ordin.
Preşedintele Comisiei
de Supraveghere a Asigurãrilor,
Angela Toncescu
Bucureşti, 7 septembrie 2009.
Nr. 18.
ANEXÃ
NORME
privind principiile de organizare a unui sistem
de control intern şi management al riscurilor,
precum şi organizarea şi desfãşurarea activitãţii
de audit intern la asigurãtori/reasigurãtori
CAP. I
Definiţii
ART. 1
În sensul prezentelor norme, termenii şi expresiile de mai jos au urmãtoarele semnificaţii:
1. profil de risc - o descriere a riscurilor la care asigurãtorul/reasigurãtorul este expus. Profilul de risc exprimã natura riscurilor care ameninţã societatea, în funcţie de complexitatea activitãţii şi de obiectivele sale strategice;
2. toleranţa faţã de risc - suma la risc pe care asigurãtorul/reasigurãtorul este dispus sã o accepte în desfãşurarea activitãţii sale, în concordanţã cu obiectivele sale strategice. Toleranţa faţã de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;
3. teste de stres - analize cantitative sau calitative efectuate cu scopul de a evalua impactul unor evoluţii nefavorabile ale factorilor de risc, luaţi individual sau combinaţi într-un scenariu unic, asupra situaţiei financiare a asigurãtorilor/reasigurãtorilor;
4. risc de subscriere - posibilitatea înregistrãrii de pierderi sau a nerealizãrii profiturilor estimate din cauza stabilirii inadecvate a tarifelor de primã şi/sau a rezervelor tehnice comparativ cu obligaţiile asumate şi care poate sã rezulte, fãrã a fi limitativ, din fluctuaţii în frecvenţa şi severitatea evenimentelor asigurate în raport cu estimãrile din momentul subscrierii;
5. risc de piaţã - posibilitatea înregistrãrii de pierderi sau a nerealizãrii profiturilor estimate, care rezultã, direct ori indirect, din fluctuaţiile în nivelul şi volatilitatea preţului de piaţã al activelor, obligaţiilor şi instrumentelor financiare. Riscul de piaţã cuprinde riscul valutar şi riscul ratei dobânzii;
6. risc de credit - posibilitatea înregistrãrii de pierderi sau a nerealizãrii profiturilor estimate, care rezultã din fluctuaţiile în ratingul emitenţilor de valori mobiliare şi al oricãror debitori faţã de care societãţile de asigurare sunt expuse sau din neîndeplinirea obligaţiilor contractuale de cãtre intermediari, asiguraţi, reasigurãtori sau alţi debitori;
7. risc operaţional - posibilitatea înregistrãrii de pierderi sau a nerealizãrii profiturilor estimate, care apare din procesele interne inadecvate, din vina angajaţilor sau din erorile generate de sistemul informatic, precum şi din factori externi;
8. risc de lichiditate - posibilitatea înregistrãrii de pierderi sau a nerealizãrii profiturilor estimate, ce rezultã din imposibilitatea asigurãtorilor de a valorifica active pentru a onora în orice moment şi cu costuri rezonabile obligaţiile de platã pe termen scurt sau din încasarea cu dificultate a creanţelor din contractele de asigurare/reasigurare;
9. risc de concentrare - expunerea la un risc cu un potenţial de generare de pierderi suficient de mari încât sã ameninţe solvabilitatea sau situaţia financiarã a asigurãtorului/reasigurãtorului;
10. risc de contagiune - posibilitatea înregistrãrii de pierderi generate de apartenenţa la grup, apãrutã ca urmare a raporturilor pe care societatea le are cu alte entitãţi din grup, situaţiile de dificultate care apar într-o entitate putând sã se propage cu efecte negative asupra solvabilitãţii societãţii de asigurare/reasigurare;
11. risc reputaţional - posibilitatea înregistrãrii de pierderi sau a nerealizãrii profiturilor estimate, ca urmare a deteriorãrii imaginii şi/sau a managementului societãţii (publicitãţii negative) care conduce la lipsa încrederii publicului în integritatea societãţii;
12. tehnici de diminuare a riscului - toate procedurile care dau posibilitatea asigurãtorului sã transfere parţial sau total riscurile sale cãtre o altã entitate;
13. externalizare - un acord încheiat între asigurãtor/reasigurãtor şi un furnizor de servicii, în baza cãruia furnizorul executã în numele şi/sau pentru asigurãtor/reasigurãtor un serviciu ori o activitate, chiar dacã aceasta nu priveşte direct activitatea de asigurare;
14. control intern - proces continuu la care participã conducerea administrativã, conducerea executivã, precum şi întregul personal al asigurãtorilor, prin care se furnizeazã o asigurare rezonabilã asupra atingerii obiectivelor prevãzute la art. 3;
15. conducerea administrativã - consiliul de administraţie sau consiliul de supraveghere, pentru societãţile care au adoptat sistemul dualist de conducere;
16. conducerea executivã - astfel cum este definitã la <>art. 2 din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurãrilor, cu modificãrile şi completãrile ulterioare;
17. conducerea operativã - persoanele care asigurã conducerea nemijlocitã a compartimentelor din cadrul asigurãtorului, al sucursalelor şi al altor sedii secundare;
18. managementul riscului - un proces prin care se evalueazã, se monitorizeazã şi se controleazã riscurile (generate de factori interni sau de factori externi) care ar putea avea un impact negativ asupra activitãţii asigurãtorului/reasigurãtorului. Sistemul de management al riscului cuprinde reguli şi proceduri necesare pentru identificarea, mãsurarea, administrarea şi raportarea riscurilor la care asigurãtorul ar putea fi expus, luând în considerare şi interdependenţa dintre riscuri;
19. audit intern - activitate independentã constând într-o examinare obiectivã a modului de realizare a administrãrii riscurilor, sistemului de control intern şi proceselor de conducere ale societãţilor, în scopul furnizãrii unei asigurãri rezonabile cã acestea funcţioneazã corespunzãtor şi vor permite atingerea obiectivelor societãţii de asigurare/reasigurare.
CAP. II
Sistemul de control intern
ART. 2
Sistemul de control intern cuprinde ansamblul activitãţilor de control intern din cadrul tuturor structurilor societãţii de asigurare/reasigurare, corespunzãtor dimensiunii, naturii şi complexitãţii activitãţii, cu scopul de a contribui la realizarea obiectivelor societãţii de asigurare/reasigurare.
ART. 3
În cadrul sistemului de control intern, asigurãtorii/reasigurãtorii trebuie sã defineascã reguli, proceduri şi o structurã organizatoricã ierarhizatã care sã asigure o funcţionare corectã a activitãţii în cadrul societãţii şi sã urmãreascã:
a) desfãşurarea activitãţii în condiţii de eficienţã şi rentabilitate;
b) controlul adecvat al riscurilor care pot afecta atingerea obiectivelor societãţii;
c) furnizarea unor informaţii corecte, relevante, complete şi oportune structurilor implicate în luarea deciziilor în cadrul societãţilor şi utilizatorilor externi ai informaţiilor;
d) protejarea patrimoniului;
e) conformitatea activitãţii societãţii cu reglementãrile legale în vigoare, politica şi procedurile societãţii.
ART. 4
Activitãţile de control intern includ cel puţin urmãtoarele:
a) analize la nivelul conducerii administrative şi al conducerii executive;
b) analize operative la nivelul compartimentelor şi al structurilor teritoriale ale asigurãtorilor;
c) controale faptice care au în vedere restricţionarea accesului la active, cum ar fi disponibilitãţi bãneşti etc.;
d) analiza încadrãrii în limitele impuse expunerilor la risc şi urmãrirea modului în care sunt soluţionate situaţiile de neconformitate;
e) aprobãri şi autorizãri, în cazul operaţiunilor ce depãşesc anumite limite de sume, asigurându-se astfel controlul asupra realizãrii operaţiunilor respective de cãtre nivelul de conducere competent şi stabilirea responsabilitãţilor;
f) verificãri ale tranzacţiilor efectuate la nivelul asigurãtorului şi efectuarea de reconcilieri, în special acolo unde existã diferenţe între metodologiile sau sistemele de evaluare utilizate în compartimentele responsabile cu iniţierea tranzacţiilor (front office) şi compartimentele responsabile cu înregistrarea şi monitorizarea tranzacţiilor iniţiate (back office). Rezultatele verificãrilor vor fi comunicate nivelului de conducere superior competent.
ART. 5
Asigurãtorii/Reasigurãtorii trebuie sã revizuiascã activitãţile de control intern, cel puţin anual, pentru a identifica şi a evalua în mod corespunzãtor orice riscuri nou-apãrute ca urmare a dezvoltãrii activitãţii.
ART. 6
În vederea organizãrii unui sistem de control intern eficient, asigurãtorii/reasigurãtorii trebuie sã urmãreascã:
a) repartizarea corespunzãtoare a atribuţiilor la toate nivelurile organizatorice, asigurându-se cã personalului nu îi sunt alocate responsabilitãţi care sã conducã la conflicte de interese. Domeniile care pot fi afectate de potenţiale conflicte de interese trebuie sã fie identificate şi supuse unei monitorizãri independente exercitate de persoane neimplicate direct în activitãţile respective, a cãror informare este efectuatã pe baza unor linii de raportare stabilite în mod corespunzãtor;
b) adoptarea unui cod etic pentru personalul propriu, care sã defineascã reguli comportamentale, de disciplinã şi situaţii de potenţiale conflicte de interese şi sã prevadã acţiuni corective adecvate, în cazul în care se încalcã procedurile societãţii sau codul etic;
c) evitarea politicilor sau practicilor de remunerare ce pot favoriza activitãţi ilegale, care nu respectã standardele etice sau care presupun riscuri faţã de interesele societãţii;
d) stabilirea unor canale de comunicare care sã asigure un flux corespunzãtor de informaţii, la toate nivelurile, care sã garanteze cã personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilitãţilor sale, cã orice informaţii relevante ajung în timp util şi sã permitã:
- informarea conducerii administrative şi a conducerii executive asupra riscurilor aferente activitãţii şi funcţionãrii asigurãtorilor/reasigurãtorilor;
- informarea nivelurilor inferioare de conducere operativã şi a personalului atât asupra strategiilor asigurãtorilor/reasigurãtorilor, cât şi asupra politicilor şi procedurilor stabilite;
- difuzarea informaţiilor între compartimentele şi structurile teritoriale ale asigurãtorilor/reasigurãtorilor pentru care respectivele informaţii au relevanţã;
e) elaborarea de planuri alternative care sã permitã reluarea activitãţii în cazul apariţiei unor situaţii neprevãzute, pentru evitarea pierderilor generate de întreruperea activitãţii datoritã unor factori externi ce nu pot fi controlaţi de cãtre asigurãtori/reasigurãtori. Replicarea sistemelor critice trebuie asiguratã fie prin existenţa unor sisteme de rezervã situate într-o altã locaţie aparţinând asigurãtorilor/reasigurãtorilor, fie prin intermediul unui furnizor extern de servicii. Funcţionarea planurilor alternative trebuie testatã periodic prin simularea operaţiunilor pe sistemele de rezervã, în scopul verificãrii disponibilitãţii acestora;
f) elaborarea unor proceduri privind tehnologia de informare şi comunicare, menitã sã asigure existenţa şi menţinerea unui sistem informatic adecvat nevoilor societãţii, corespunzãtor cu dimensiunea şi activitatea societãţii, care sã asigure:
1. separarea mediului de dezvoltare de cel de operare. Accesul la diversele medii trebuie reglementat şi controlat prin proceduri întocmite, ţinând cont de exigenţa de limitare a riscurilor şi a fraudei. Aceste proceduri garanteazã siguranţa datelor, limitând accesul persoanelor neautorizate din mediul de operare şi înregistrând toate tentativele de acces neautorizate;
2. elaborarea de proceduri pentru aprobarea şi achiziţia sistemelor hardware şi software, precum şi externalizarea serviciilor din sistemul informatic;
3. elaborarea de proceduri ce asigurã siguranţa fizicã a sistemelor hardware, software şi a bãncilor de date, precum şi prevenirea utilizãrii necorespunzãtoare a informaţiei de cãtre personalul asigurãtorilor pentru obţinerea unor beneficii personale sau prejudicierea reputaţiei societãţii;
4. asigurarea condiţiilor de securitate pentru zonele în care sunt accesate informaţii cu caracter confidenţial;
5. adoptarea de proceduri pentru identificarea şi gestionarea evenimentelor care pot prejudicia continuitatea activitãţii, cum ar fi: incendii, defecţiuni la sistemele hardware sau software, erori operaţionale din partea utilizatorilor, introducere involuntarã de componente strãine care sã creeze daune sistemului informatic sau reţelei etc.
Procedurile sunt supuse verificãrii din partea auditului intern.
ART. 7
(1) În vederea evitãrii disfuncţionalitãţilor în cadrul activitãţii şi a eventualelor pierderi generate de acestea, asigurãtorii/reasigurãtorii trebuie sã controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecãrei aplicaţii informatice din componenţa acestuia.
(2) Controalele generale se efectueazã asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice, precum şi asupra sistemelor de operare care asigurã funcţionarea acestora. Controalele au drept scop verificarea funcţionãrii continue şi corespunzãtoare a acestora.
(3) Controalele generale includ şi verificarea existenţei şi aplicãrii procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicaţiilor informatice presupun verificarea existenţei unor proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi a unor proceduri/manuale de verificare a modului de procesare a tranzacţiilor şi efectuãrii operaţiunilor.
ART. 8
(1) Deficienţele identificate în legãturã cu sistemul de control intern trebuie sã fie raportate imediat nivelului de conducere competent, care trebuie sã ia mãsuri pentru remedierea cu promptitudine a acestora.
(2) Deficienţele majore ale sistemului de control intern trebuie sã fie raportate conducerii executive a asigurãtorilor/reasigurãtorilor şi conducerii administrative a acestora.
(3) Conducerea executivã a asigurãtorilor/reasigurãtorilor are responsabilitatea de a stabili un sistem de detectare a deficienţelor sistemului de control intern şi de a întreprinde mãsuri pentru soluţionarea respectivelor deficienţe.
CAP. III
Sistemul de management al riscului
ART. 9
Asigurãtorii/Reasigurãtorii trebuie sã dispunã de un sistem de management al riscurilor proporţional cu dimensiunea, natura şi complexitatea activitãţii exercitate.
ART. 10
Politica privind managementul riscurilor trebuie sã fie transpusã în mod clar şi transparent în norme interne şi manuale de proceduri, fãcându-se distincţie între standardele generale aplicabile întregului personal şi regulile specifice aplicabile anumitor categorii de personal care utilizeazã informaţii confidenţiale sau au responsabilitãţi de a angaja societatea.
ART. 11
Pentru asigurarea unui sistem de management al riscului eficient, asigurãtorii/reasigurãtorii trebuie sã stabileascã, dupã caz:
a) un sistem de proceduri de autorizare a operaţiunilor afectate de riscuri;
b) un sistem de stabilire a limitelor expunerii la risc şi de monitorizare a acestora, care sã reflecte profilul de risc ales şi care sã fie în conformitate cu legislaţia şi cu reglementãrile în vigoare; limitele stabilite la nivelul activitãţilor şi/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asigurãtorilor/reasigurãtorilor;
c) un sistem de raportare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri de la fiecare compartiment cãtre nivelurile de conducere corespunzãtoare;
d) criterii de recrutare şi remunerare a personalului, care sã stabileascã standarde ridicate pentru pregãtirea, experienţa şi integritatea acestuia;
e) un program de instruire a personalului.
ART. 12
Asigurãtorii/Reasigurãtorii trebuie sã opteze pentru un profil de risc, stabilind obiectivul şi strategia de administrare a fiecãrui risc, inclusiv în ceea ce priveşte activitãţile externalizate.
ART. 13
Societãţile de asigurare/reasigurare trebuie sã fie capabile, printr-un proces adecvat de analize, sã înţeleagã natura riscurilor identificate, originea lor, posibilitatea de a le controla şi efectele care pot deriva din acestea. Procesul de analizã include evaluãri calitative şi evaluãri cantitative, prin adoptarea unor metodologii de mãsurare a expunerii la risc, inclusiv sisteme de determinare a pierderii maxime posibile, unde este cazul.
ART. 14
Analizele includ cel puţin urmãtoarele riscuri: riscul de subscriere, riscul de piaţã, riscul de credit, riscul operaţional, riscul de lichiditate, riscul de concentrare, riscul de contagiune şi riscul reputaţional.
ART. 15
Pentru mãsurarea expunerii la risc societãţile vor ţine cont de relaţia dintre riscuri, evaluându-le atât separat, cât şi sub o bazã agregatã.
ART. 16
(1) Identificarea şi evaluarea riscurilor trebuie sã se realizeze cu luarea în considerare a factorilor interni (complexitatea structurii organizatorice, natura activitãţilor desfãşurate, calitatea personalului şi fluctuaţia acestuia) şi a factorilor externi (condiţii economice, schimbãri legislative sau legate de mediul concurenţial în sectorul de asigurãri, progrese tehnologice).
(2) Procesul de evaluare a riscurilor trebuie sã includã identificarea atât a riscurilor care sunt controlabile de cãtre asigurãtori/reasigurãtori, cât şi a celor necontrolabile. În cazul riscurilor controlabile, asigurãtorii/reasigurãtorii trebuie sã stabileascã dacã îşi asumã integral aceste riscuri sau mãsura în care doresc sã le reducã prin proceduri de control. În cazul riscurilor necontrolabile, asigurãtorii trebuie sã decidã dacã le acceptã sau dacã eliminã ori reduc nivelul activitãţilor afectate de riscurile respective.
(3) Evaluarea riscurilor trebuie efectuatã şi în condiţiile unor scenarii alternative, inclusiv în condiţii de crizã.
ART. 17
Pentru fiecare dintre sursele de risc identificate, societãţile de asigurare/reasigurare trebuie sã efectueze analize cantitative utilizând teste de stres.
ART. 18
Testele de stres vor fi create şi dezvoltate în concordanţã cu dimensiunea şi natura activitãţii societãţii şi vor avea o frecvenţã specificã tipului de risc, evoluţiei dimensiunii activitãţii societãţii şi contextului pieţei, dar cel puţin cu o scadenţã anualã.
ART. 19
Rezultatele acestor teste sunt fãcute cunoscute conducerii administrative, în scopul de a oferi informaţii pentru revizuirea şi îmbunãtãţirea politicii de gestiune a riscurilor, liniilor operative şi limitelor de expunere fixate.
ART. 20
Dacã rezultatele acestor analize de stres indicã o vulnerabilitate faţã de anumite riscuri, asigurãtorii adoptã imediat mãsuri pentru gestionarea adecvatã a acestor riscuri.
ART. 21
În ceea ce priveşte activitatea de investiţii, asigurãtorii/reasigurãtorii trebuie sã întocmeascã proceduri pentru monitorizarea şi administrarea activelor, în corelaţie cu natura şi scadenţa obligaţiilor, şi sã se asigure cã activitatea de investiţii este potrivitã profilului de risc aprobat.
ART. 22
Politicile de identificare, evaluare şi gestiune a riscurilor aferente activitãţii de investiţii trebuie definite şi implementate având o viziune integratã asupra activelor şi a obligaţiilor din bilanţul contabil. Dezvoltarea unor tehnici şi modele de management al activelor şi al obligaţiilor este fundamentalã pentru o corectã înţelegere şi gestiune a expunerii la risc, care poate sã derive din lipsa unui echilibru între partea de active şi cea de obligaţii.
ART. 23
Procesele de identificare şi evaluare a riscurilor trebuie sã se desfãşoare continuu, pentru a ţine cont de modificãrile intervenite în natura şi dimensiunea afacerii şi în contextul de piaţã, precum şi de apariţia unor noi riscuri sau de schimbarea celor existente. O atenţie deosebitã trebuie acordatã evaluãrii riscurilor care apar odatã cu oferta de noi produse sau cu intrarea pe alte pieţe, şi modului în care poate fi afectatã administrarea activelor şi a obligaţiilor.
ART. 24
Asigurãtorii/Reasigurãtorii trebuie sã defineascã o procedurã prin care sã se evidenţieze cu operativitate apariţia unor riscuri care pot afecta situaţia patrimonialã şi economicã sau care depãşesc limitele de toleranţã fixate. Pentru surse de risc majore identificate, societatea trebuie sã dispunã mãsuri de intervenţie imediate.
ART. 25
(1) Asigurãtorii/Reasigurãtorii trebuie sã dispunã de un sistem informatic auditat în conformitate cu reglementãrile în vigoare privind tehnologia informaţiei, care sã certifice adecvarea acestuia la specificul şi volumul activitãţii, gradul de securitate a informaţiei, capacitatea de a furniza raportãrile solicitate de Comisia de Supraveghere a Asigurãrilor, capacitatea de conectare la reţea pentru transmiterea electronicã a raportãrilor, capacitatea de stocare/arhivare a datelor, îndeplinirea de cãtre sistemele informatice a criteriilor minimale prevãzute de reglementãrile în vigoare pentru prelucrarea automatã a datelor în domeniul financiar-contabil.
(2) Auditarea sistemelor informatice conform prevederilor alin. (1) se va efectua de cãtre un auditor financiar, altul decât cel care auditeazã situaţiile financiare ale societãţii, membru activ al Camerei Auditorilor Financiari din România şi care trebuie sã dispunã de personal specializat, cu experienţã în ceea ce priveşte sistemele informatice.
ART. 26
Asigurãtorii/Reasigurãtorii trebuie sã dispunã de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implicã analize independente şi regulate, evaluãri ale eficacitãţii sistemului şi, acolo unde se impune, asigurarea remedierii deficienţelor constatate. Rezultatele unor astfel de analize trebuie sã fie comunicate în mod direct conducerii administrative, comitetului de management al riscurilor şi comitetului de audit.
ART. 27
În procesul de management al riscurilor, asigurãtorii/reasigurãtorii trebuie sã constituie un comitet de management al riscurilor.
ART. 28
(1) Comitetul de management al riscurilor este un comitet permanent, ale cãrui funcţionare şi atribuţii sunt reglementate de prezentele norme şi de regulamentele interne ale fiecãrui asigurãtor/reasigurãtor.
(2) Comitetul de management al riscurilor îşi poate desfãşura lucrãrile în subcomitete, în funcţie de mãrimea şi de complexitatea asigurãtorului/reasigurãtorului.
(3) Comitetul de management al riscurilor se constituie prin decizie a conducerii administrative şi trebuie sã cuprindã minimum 3 membri, în funcţie de dimensiunea activitãţii societãţii.
ART. 29
Asigurãtorii/Reasigurãtorii trebuie sã dispunã de un regulament al comitetului de management al riscurilor, aprobat la nivelul conducerii administrative şi revizuit periodic, dupã caz, care sã indice componenţa, autoritatea şi responsabilitãţile acestuia şi modul de raportare cãtre conducerea administrativã.
ART. 30
(1) Membrii comitetului de management al riscurilor trebuie sã aibã o experienţã compatibilã cu responsabilitãţile lor în cadrul acestuia.
(2) Comitetul de management al riscurilor este format din membri ai conducerii executive şi operative a asigurãtorului/reasigurãtorului.
ART. 31
Comitetul de management al riscurilor va avea cel puţin urmãtoarele atribuţii:
a) sã informeze conducerea administrativã asupra situaţiei expunerilor societãţii la riscuri, ori de câte ori intervin schimbãri semnificative în expunerea la riscuri, dar cel puţin trimestrial, informãri suficient de detaliate şi oportune care sã permitã conducerii sã cunoascã şi sã evalueze performanţa în monitorizarea şi controlul riscurilor, potrivit politicilor aprobate;
b) sã informeze conducerea administrativã asupra problemelor şi evoluţiilor semnificative care ar putea influenţa profilul de risc al asigurãtorului/reasigurãtorului;
c) sã dezvolte politici şi proceduri adecvate pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor şi sã stabileascã limite corespunzãtoare privind expunerea la riscuri, inclusiv pentru condiţii de crizã, în conformitate cu mãrimea, complexitatea şi situaţia financiarã a asigurãtorului/reasigurãtorului, precum şi proceduri necesare pentru aprobarea excepţiilor de la respectivele limite;
d) sã aprobe metodologii şi modele adecvate pentru evaluarea riscurilor şi limitarea expunerilor la riscuri;
e) sã aprobe angajarea asigurãtorului/reasigurãtorului în noi activitãţi specifice domeniului de activitate, pe baza analizei riscurilor aferente acestora;
f) sã analizeze mãsura în care planurile alternative de care dispune asigurãtorul/reasigurãtorul corespund situaţiilor neprevãzute cu care acesta s-ar putea confrunta;
g) sã stabileascã sisteme de raportare în cadrul societãţii privind aspecte legate de riscuri;
h) sã stabileascã competenţe şi responsabilitãţi la nivel de compartimente privind administrarea şi controlul expunerilor la riscuri.
Structura de management al riscului
ART. 32
Societãţile de asigurare/reasigurare trebuie sã instituie o structurã de management al riscului, corespunzãtor naturii, dimensiunii şi complexitãţii activitãţii, care:
a) contribuie la definirea metodologiei de mãsurare a riscurilor;
b) avizeazã fluxurile informaţionale necesare pentru asigurarea controlului operativ al expunerilor la risc şi ia mãsuri imediate pentru corectarea acestora;
c) întocmeşte rapoartele cãtre conducerea administrativã şi conducerea executivã privind evoluţia riscurilor şi depãşirea limitelor de toleranţã aprobate;
d) contribuie la efectuarea analizelor de stres.
ART. 33
Structura de management al riscului trebuie sã nu fie subordonatã funcţiilor operative. Poziţia organizatoricã a structurii de management al riscului este lãsatã la autonomia societãţilor de asigurare, acestea trebuind sã respecte principiul de separare între funcţiile operative şi cele de control.
ART. 34
Persoana desemnatã de asigurãtori/reasigurãtori pentru conducerea acestei structuri trebuie sã îndeplineascã criteriile de aprobare prevãzute de Normele privind autorizarea asigurãtorilor, puse în aplicare prin <>Ordinul preşedintelui Comisiei de Supraveghere a Asigurãrilor nr. 16/2009 , publicat în Monitorul Oficial al României, Partea I, nr. 569 din 14 august 2009.
CAP. IV
Rolul şi responsabilitãţile conducerii administrative şi ale conducerii executive
SECŢIUNEA 1
Rolul şi responsabilitãţile conducerii administrative şi ale conducerii executive în ceea ce priveşte controlul intern
ART. 35
(1) Conducerea administrativã a asigurãtorilor/reasigurãtorilor este responsabilã pentru stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.
(2) În contextul prevederilor alin. (1), conducerea administrativã a asigurãtorilor/reasigurãtorilor are urmãtoarele atribuţii:
a) aprobã structura organizatoricã a societãţii, precum şi atribuţiile şi responsabilitãţile unitãţilor operative;
b) se asigurã cã sunt adoptate procese decizionale adecvate şi cã se efectueazã o separare corectã a funcţiunilor;
c) aprobã sistemul de delegare a puterii şi a responsabilitãţilor, evitând concentrarea excesivã a puterii într-o singurã persoanã şi punând în execuţie instrumente de verificare a respectãrii puterilor delegate;
d) defineşte şi evalueazã cel puţin o datã pe an strategia şi politica de identificare, evaluare şi gestiune a riscurilor semnificative şi aprobã nivelurile de toleranţã pe care le revizuieşte cel puţin anual;
e) aprobã politica şi strategia societãţii, revizuindu-le cel puţin anual, şi urmãreşte evoluţia activitãţii societãţii şi a condiţiilor externe;
f) verificã dacã conducerea societãţii implementeazã corect sistemul de control intern şi de gestiune a riscurilor conform politicilor stabilite;
g) cere sã fie periodic informatã despre eficacitatea sistemului de control intern şi de gestiune a riscurilor.
(3) Pentru îndeplinirea atribuţiilor ce îi revin, conducerea administrativã trebuie sã întreprindã cel puţin urmãtoarele mãsuri:
a) discuţii periodice, cel puţin trimestrial, cu conducerea operativã privind eficienţa sistemului de control intern;
b) analizã periodicã, cel puţin trimestrial, a evaluãrilor sistemului de control intern efectuate de conducerea operativã şi de auditul intern;
c) urmãrirea implementãrii de cãtre conducerea operativã a recomandãrilor formulate de auditul intern, de auditorul financiar extern şi de Comisia de Supraveghere a Asigurãrilor cu privire la deficienţele sistemului de control intern şi examinarea efectului mãsurilor implementate.
ART. 36
(1) Conducerea executivã a asigurãtorului/ reasigurãtorului are responsabilitãţi pe linia monitorizãrii funcţionãrii adecvate şi eficiente a sistemului de control intern.
(2) În contextul prevederilor alin. (1), conducerea executivã are cel puţin urmãtoarele atribuţii:
a) defineşte în detaliu structura organizatoricã a societãţii, drepturile şi responsabilitãţile unitãţilor operative şi procesele decizionale, în concordanţã cu politica stabilitã de conducerea administrativã; asigurã o separare a obligaţiilor şi a responsabilitãţilor între funcţii în scopul de a evita situaţiile de conflict de interese;
b) realizeazã politica de evaluare şi de gestiune a riscurilor aprobatã de conducerea administrativã, asigurând definirea limitelor operative, şi verificã încadrarea în aceste limite; monitorizeazã expunerea la riscuri şi respectarea nivelurilor de toleranţã aprobate de organul administrativ;
c) se asigurã cã responsabilitãţile delegate conducerii operative cu privire la stabilirea politicilor şi procedurilor de control intern sunt îndeplinite în mod corespunzãtor;
d) verificã dacã conducerea administrativã este periodic informatã despre eficienţa şi funcţionalitatea sistemului de control intern şi de gestiune a riscurilor;
e) urmãreşte dacã personalul societãţii îşi cunoaşte propriul rol şi propriile responsabilitãţi, cu scopul de a fi efectiv implicat în desfãşurarea controlului ca şi cum ar face parte din propria sa activitate;
f) stabileşte procese operative şi canale de raportare;
g) promoveazã continuu comunicarea în cadrul societãţii cu scopul de a favoriza adeziunea întregului personal la principiile de integritate moralã şi valorile etice;
h) propune conducerii administrative iniţiative menite sã îmbunãtãţeascã sistemul de control intern şi de gestiune a riscurilor;
i) asigurã instruirea corespunzãtoare a personalului.
SECŢIUNEA a 2-a
Rolul şi responsabilitãţile conducerii administrative şi ale conducerii executive în ceea ce priveşte managementul riscului
ART. 37
În domeniul managementului riscurilor, conducerea administrativã a asigurãtorilor/reasigurãtorilor are cel puţin urmãtoarele atribuţii:
a) sã aprobe şi sã reconsidere profilul de risc al acestora;
b) sã aprobe politicile privind managementul riscurilor, sã le analizeze periodic, cel puţin anual, şi sã dispunã revizuirea acestora, dupã caz;
c) sã asigure luarea de cãtre conducerea executivã a mãsurilor necesare pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor, inclusiv pentru activitãţile externalizate;
d) sã aprobe procedurile de stabilire a competenţelor şi a responsabilitãţilor în domeniul managementului riscurilor;
e) sã aprobe externalizarea unor activitãţi;
f) sã aprobe politica de instruire a personalului.
ART. 38
În domeniul managementului riscurilor, conducerea executivã a asigurãtorilor/reasigurãtorilor este responsabilã cel puţin pentru urmãtoarele:
a) implementarea strategiilor aprobate de conducerea administrativã şi asigurarea comunicãrii acestora personalului implicat în punerea lor în aplicare;
b) asigurarea comunicãrii politicilor şi procedurilor pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor personalului implicat în punerea lor în aplicare;
c) menţinerea unor sisteme de raportare corespunzãtoare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri;
d) menţinerea limitelor corespunzãtoare privind expunerea la riscuri, inclusiv pentru condiţii de crizã, în conformitate cu mãrimea, complexitatea şi cu situaţia financiarã a asigurãtorilor/reasigurãtorilor;
e) menţinerea eficienţei şi eficacitãţii sistemului de control intern;
f) analizarea oportunitãţii externalizãrii unor activitãţi prin prisma riscurilor implicate de externalizare;
g) supravegherea şi monitorizarea contractelor de externalizare;
h) urmãrirea instruirii corespunzãtoare a personalului;
i) asigurarea concordanţei politicilor de remunerare a personalului cu strategia asigurãtorului/reasigurãtorului privind riscurile.
CAP. V
Audit intern
ART. 39
Asigurãtorii/Reasigurãtorii au obligaţia, conform reglementãrilor în vigoare privind auditul intern, sã instituie o funcţie/structurã de audit intern cu scopul de a monitoriza şi evalua eficacitatea şi eficienţa sistemului de control intern şi a celorlalte activitãţi din cadrul societãţii.
ART. 40
Funcţia de audit intern trebuie organizatã respectându-se urmãtoarele cerinţe:
a) poziţia funcţiei în cadrul structurii organizatorice trebuie sã fie astfel încât sã garanteze independenţa şi autonomia, pentru a nu fi compromisã obiectivitatea procesului de audit; funcţia de audit intern nu depinde ierarhic de niciun responsabil din aria operativã; personalului implicat în auditul intern nu trebuie sã îi fie încredinţate responsabilitãţi operative sau acesta nu trebuie sã verifice activitatea desfãşuratã în trecut, dacã nu a trecut cel puţin un an de la schimbarea activitãţii;
b) funcţia de audit intern trebuie sã aibã legãturi cu toate structurile de control din cadrul societãţii;
c) responsabilul cu funcţia de audit intern este numit de conducerea administrativã. El trebuie sã aibã competenţa profesionalã pentru a realiza aceastã activitate, conform reglementãrilor Camerei Auditorilor Financiari din România. Atribuţiile persoanei responsabile cu funcţia de audit intern trebuie clar definite, iar responsabilitatea şi modalitatea de raportare cãtre conducerea administrativã trebuie precizate în fişa postului/obligaţiile contractuale (în cazul externalizãrii auditului intern). Responsabilul cu funcţia de audit intern este împuternicit cu autoritatea necesarã pentru a garanta independenţa sa;
d) personalului implicat în activitatea de audit intern trebuie sã i se asigure accesul la toate structurile societãţii şi la întreaga documentaţie, inclusiv informaţii privind activitãţile externalizate;
e) structura trebuie sã fie corespunzãtoare dimensiunii societãţii şi obiectivelor stabilite, în ceea ce priveşte resursele umane şi tehnologia.
ART. 41
Funcţia de audit intern va include în principal urmãtoarele activitãţi:
a) evaluarea eficienţei şi a gradului de adecvare a sistemului de control intern;
b) evaluarea modului de aplicare şi a eficacitãţii procedurilor de management al riscurilor;
c) analizarea relevanţei şi integritãţii datelor furnizate de sistemele informaţionale financiare şi de gestiune, inclusiv sistemul informatic;
d) verificarea funcţionãrii şi eficienţei fluxurilor informaţionale între sectoarele activitãţii;
e) evaluarea acurateţei şi credibilitãţii înregistrãrilor contabile care stau la baza întocmirii situaţiilor financiare şi a raportãrilor contabile;
f) evaluarea modului în care se asigurã protejarea elementelor patrimoniale bilanţiere şi extrabilanţiere şi identificarea metodelor de prevenire a fraudelor şi pierderilor de orice fel;
g) evaluarea modului în care sunt respectate dispoziţiile cadrului legal, cerinţele codurilor etice, precum şi evaluarea modului în care sunt implementate politicile şi procedurile asigurãtorului/reasigurãtorului;
h) testarea integritãţii şi credibilitãţii raportãrilor, inclusiv a celor destinate utilizatorilor externi;
i) eficienţa controalelor efectuate asupra activitãţilor externalizate.
ART. 42
Funcţia de audit intern îşi planificã activitatea astfel încât sã identifice zonele care vor fi supuse cu prioritate auditului. Planul de audit este supus aprobãrii conducerii administrative şi identificã activitãţile, operaţiunile şi procesele supuse auditului, operaţiunile şi sistemele de verificare, descriind criteriile sub care acestea au fost selecţionate şi specificând resursele necesare executãrii planului.
ART. 43
Funcţia de audit intern va comunica cel puţin trimestrial conducerii administrative, conducerii executive şi funcţiei de control intern rezultatele verificãrii şi eventualele disfuncţiuni. Este obligatoriu sã semnaleze imediat conducerii administrative şi conducerii executive situaţiile de o gravitate specialã. Rapoartele de audit trebuie sã fie obiective, clare, concise, oportune şi sã conţinã propuneri pentru eliminarea lipsurilor întâlnite.
ART. 44
Asigurãtorii/Reasigurãtorii trebuie sã elaboreze norme de audit intern, unde vor stabili cel puţin urmãtoarele:
a) obiectivele şi sfera de cuprindere ale auditului intern;
b) poziţia auditului intern în cadrul societãţii, competenţele şi responsabilitãţile acestuia;
c) responsabilitãţile coordonatorului activitãţii de audit intern;
d) termenii şi condiţiile în care auditorii interni pot furniza servicii de consultanţã sau pot îndeplini alte sarcini speciale.
ART. 45
Normele de audit intern trebuie sã fie revizuite periodic, dacã este cazul, şi comunicate structurilor organizatorice ale societãţii. Ele trebuie aprobate de conducerea administrativã, cu avizul comitetului de audit.
ART. 46
Normele de audit intern trebuie sã prevadã dreptul de iniţiativã al auditorului intern şi autoritatea acestuia de a comunica cu orice membru din cadrul conducerii societãţii, de a examina orice activitate, compartiment sau sediu secundar al societãţii, precum şi accesul acestuia la orice înregistrãri, fişiere şi informaţii interne, inclusiv la informaţii destinate conducerii, precum şi la procese-verbale şi alte materiale cu caracter similar ale tuturor organelor de decizie şi consultative, care prezintã relevanţã în îndeplinirea atribuţiilor sale.
ART. 47
Asigurãtorii/Reasigurãtorii trebuie sã se asigure cã auditorii interni rãspund din punct de vedere profesional obiectivelor prevãzute de normele de audit intern şi cã sunt competenţi pentru îndeplinirea responsabilitãţilor individuale.
ART. 48
Pentru a nu fi afectatã capacitatea de evaluare criticã a auditorilor interni, ca urmare a rutinei şi executãrii permanente a aceloraşi sarcini, societãţile de asigurare trebuie sã asigure, în mãsura posibilitãţilor, rotirea responsabililor misiunilor de audit intern, cu condiţia respectãrii principiului obiectivitãţii şi imparţialitãţii.
ART. 49
(1) Auditorii interni trebuie sã fie prudenţi în utilizarea informaţiilor colectate în exercitarea activitãţii şi sã asigure protejarea acestor informaţii.
(2) Este interzis ca auditorii interni sã utilizeze informaţiile colectate pentru obţinerea unor avantaje personale sau în orice mod care ar fi contrar prevederilor legale ori în detrimentul obiectivelor societãţii de asigurare.
ART. 50
Auditorii interni trebuie sã fie corecţi, oneşti şi incoruptibili, sã respecte prevederile legale şi ale Codului privind conduita eticã în activitatea de audit intern şi sã comunice informaţii potrivit cerinţelor legale şi ale profesiei.
ART. 51
Asigurãtorii/Reasigurãtorii trebuie sã dispunã de un comitet de audit, constituit conform reglementãrilor în vigoare, şi sã dispunã de un regulament al comitetului de audit, aprobat la nivelul conducerii administrative şi revizuit periodic, dacã este cazul, care sã indice componenţa, competenţele şi atribuţiile acestuia, modul de raportare cãtre conducerea administrativã, precum şi periodicitatea întrunirilor comitetului de audit.
ART. 52
Structurile de audit intern, control intern, management al riscului şi actuariat, precum şi orice alt organ de control cãruia îi este atribuitã o funcţie specificã de control colaboreazã între ele, schimbând orice informaţii utile necesare pentru îndeplinirea atribuţiilor.
CAP. VI
Externalizarea activitãţilor
ART. 53
(1) Asigurãtorii/Reasigurãtorii trebuie sã dispunã de politici privind externalizarea activitãţilor auxiliare sau conexe în raport cu activitãţile principale.
(2) Asigurãtorii/Reasigurãtorii trebuie sã dispunã de proceduri de administrare a riscurilor asociate activitãţilor externalizate.
(3) Procedurile de management al riscurilor asociate activitãţilor externalizate se vor referi cel puţin la urmãtoarele:
a) luarea deciziilor privind externalizarea unor noi activitãţi sau modificarea celor existente;
b) selectarea şi evaluarea societãţilor prestatoare de servicii auxiliare sau conexe în legãturã cu aspecte cum ar fi: solvabilitatea, reputaţia, familiarizarea cu specificul sectorului asigurãrilor, calitatea serviciilor prestate, organizarea activitãţii şi controlul intern, existenţa unui personal competent, existenţa unui plan alternativ de redresare a activitãţii, asigurarea confidenţialitãţii informaţiei;
c) monitorizarea modului în care societãţile prestatoare de servicii auxiliare sau conexe desfãşoarã activitãţile externalizate;
d) elaborarea de planuri alternative şi stabilirea costurilor şi a resurselor necesare pentru schimbarea societãţilor prestatoare de servicii auxiliare sau conexe.
ART. 54
(1) Asigurãtorii/Reasigurãtorii pot externaliza activitãţi doar în condiţiile încheierii de contracte cu societãţi prestatoare de servicii auxiliare sau conexe.
(2) Contractele încheiate cu societãţi prestatoare de servicii auxiliare sau conexe în legãturã cu activitãţile externalizate trebuie sã fie în formã scrisã şi sã cuprindã în mod clar responsabilitãţile fiecarei pãrţi.
(3) Asigurãtorii/Reasigurãtorii vor putea încheia contracte cu societãţi prestatoare de servicii auxiliare sau conexe pentru externalizarea unor activitãţi, în urmãtoarele condiţii:
a) asigurarea respectãrii de cãtre furnizorul de servicii a prevederilor legislaţiei în vigoare şi a normelor Comisiei de Supraveghere a Asigurãrilor referitoare la serviciile/activitãţile externalizate;
b) asigurarea furnizãrii de cãtre societatea prestatoare de servicii a unor date actualizate la nivelul asigurãtorului/reasigurãtorului privind desfãşurarea activitãţii externalizate;
c) asigurarea accesului reprezentanţilor Comisiei de Supraveghere a Asigurãrilor la toate datele şi informaţiile aferente operaţiunilor efectuate pentru asigurãtor/reasigurãtor de cãtre societãţile prestatoare de servicii;
d) asigurarea securitãţii/confidenţialitãţii datelor cel puţin prin urmãtoarele mãsuri: angajamentul societãţii prestatoare de servicii auxiliare sau conexe şi al personalului acesteia de a se supune regulilor de confidenţialitate şi drepturile contractuale ale asigurãtorului/reasigurãtorului de a lua mãsuri împotriva societãţii prestatoare de servicii auxiliare sau conexe în cazul încãlcãrii confidenţialitãţii, evidenţierea separatã a datelor asigurãtorului/reasigurãtorului de cele ale societãţii prestatoare de servicii auxiliare sau conexe şi de cele ale altor clienţi ai acesteia.
ART. 55
Asigurãtorii/Reasigurãtorii nu pot externaliza urmãtoarele activitãţi:
a) activitatea de audit intern, în condiţiile în care furnizorul extern de servicii în domeniul auditului intern are şi calitatea de auditor financiar al societãţii de asigurare în cauzã. Coordonatorul activitãţii de audit intern trebuie sã fie angajat al societãţii de asigurare;
b) organizarea şi ţinerea contabilitãţii, în condiţiile în care între persoanele cãrora le-ar fi externalizatã activitatea de contabilitate şi auditorul financiar existã legãturi ce afecteazã independenţa acestuia în exercitarea mandatului;
c) organizarea şi desfãşurarea activitãţii juridice curente, în conformitate cu dispoziţiile <>Legii nr. 514/2003 privind organizarea şi exercitarea profesiei de consilier juridic, cu completãrile ulterioare;
d) activitatea de investiţii, în ceea ce priveşte plasarea şi gestionarea activelor admise sã acopere rezervele tehnice brute;
e) orice alte activitãţi care în urma externalizãrii nu mai pot fi controlate şi desfãşurate în conformitate cu regulile unei practici prudente şi sãnãtoase.
ART. 56
În cazul externalizãrii unor activitãţi, conducerea administrativã şi conducerea executivã ale asigurãtorilor/reasigurãtorilor rãspund pentru atingerea obiectivelor controlului intern aferente respectivelor activitãţi.
CAP. VII
Raportãri
ART. 57
(1) Asigurãtorii/Reasigurãtorii trebuie sã întocmeascã anual un raport asupra condiţiilor în care este desfãşurat controlul intern. Acest raport trebuie sã cuprindã cel puţin:
a) o inventariere a principalelor deficienţe identificate în cadrul sistemului de control intern şi mãsurile întreprinse pentru corectarea acestora;
b) o descriere a modificãrilor semnificative intervenite în sistemul de control intern în perioada respectivã, în special axate pe evoluţia activitãţii şi a riscurilor;
c) o descriere a condiţiilor de aplicare a procedurilor de control aferente noilor activitãţi;
d) modul de desfãşurare a controlului intern în cadrul structurilor teritoriale ale asigurãtorilor/reasigurãtorilor din strãinãtate.
(2) Raportul întocmit de cãtre asigurãtori/reasigurãtori trebuie sã includã şi condiţiile în care se desfãşoarã controlul intern la nivelul entitãţilor cuprinse în perimetrul lor de consolidare şi al societãţilor prestatoare de servicii auxiliare sau conexe.
ART. 58
(1) Asigurãtorii/Reasigurãtorii trebuie sã întocmeascã anual un raport privind mãsurile luate pe linia managementului riscurilor la care sunt expuşi aceştia şi, dupã caz, mãsurile luate de entitãţile cuprinse în perimetrul lor de consolidare şi societãţile prestatoare de servicii auxiliare sau conexe.
(2) Raportul trebuie sã fie aprobat de comitetul de management al riscului şi trebuie sã cuprindã cel puţin:
a) profilul de risc al societãţii şi politica de management al riscurilor, cu specificarea toleranţei asigurãtorului/reasigurãtorului la principalele riscuri şi limitele stabilite pentru gestionarea acestora;
b) metodologia folositã în evaluarea fiecãrei categorii de risc, testele de stres folosite şi rezultatele acestora, frecvenţa şi conţinutul rapoartelor interne privind analiza şi administrarea riscurilor;
c) detalii ale politicilor de investiţii, incluzând procedurile de identificare, monitorizare şi control al riscurilor, detalii referitoare la strategiile investiţionale cu produse derivate sau produse cu efect similar, precum şi procedurile referitoare la introducerea de noi instrumente de investiţii şi de monitorizare a riscurilor asociate cu utilizarea acestora;
d) informaţii despre managementul intern al portofoliilor de active şi al obligaţiilor: detalii despre administrarea activelor în corelaţie cu natura şi scadenţa obligaţiilor, detalii despre investiţiile intragrup realizate;
e) procedurile asigurãtorului/reasigurãtorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare şi monitorizare a administratorilor de fonduri şi a societãţilor de servicii de investiţii financiare;
f) o prezentare a modului de abordare şi a politicilor asigurãtorului/reasigurãtorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare şi solvabilitate;
g) detalii referitoare la salarizarea personalului pentru a stabili dacã compania acordã prime sau alte stimulente salariale mari care determinã o mãrire nejustificatã a expunerii la risc a societãţii;
h) un plan de afaceri global al asigurãtorului/reasigurãtorului pentru anul urmãtor, care cuprinde informaţii referitoare la noile produse lansate de societate, strategia de distribuţie a produselor, procesul de subscriere şi activitatea de reasigurare;
i) planurile elaborate de asigurãtor/reasigurãtor pentru împrejurãri neprevãzute;
j) lista tuturor deciziilor consiliului de administraţie/consiliului de supraveghere;
k) detalii referitoare la serviciile externalizate;
l) eventuale modificãri în organigrama societãţii şi în sistemul de delegare a responsabilitãţilor faţã de cele comunicate anterior cãtre Comisia de Supraveghere a Asigurãrilor;
m) planul de activitate al comitetului de management al riscului în perioada analizatã.
ART. 59
Asigurãtorii/Reasigurãtorii trebuie sã întocmeascã anual un raport privind acţiunile de audit desfãşurate, din care sã reiasã constatãrile şi recomandãrile auditului intern şi modul de implementare a recomandãrilor respective la nivelul structurii auditate.
ART. 60
Rapoartele menţionate la art. 57-59 trebuie sã fie transmise Comisiei de Supraveghere a Asigurãrilor în termen de 6 luni de la încheierea exerciţiului financiar.
ART. 61
Pentru controlul intern al activitãţii, managementul riscului şi desfãşurarea activitãţii de audit intern, asigurãtorii/reasigurãtorii vor avea în vedere atât prevederile legislaţiei naţionale, cât şi standardele internaţionale în materie.
ART. 62
Asigurãtorii/Reasigurãtorii vor transmite Comisiei de Supraveghere a Asigurãrilor, pânã la data de 31 decembrie 2010, dovada auditãrii sistemului informatic conform cerinţelor art. 25.
ART. 63
Asigurãtorii/Reasigurãtorii au obligaţia sã îşi revizuiascã/elaboreze normele interne privind organizarea controlului intern al activitãţii, normele interne privind organizarea sistemului de management al riscurilor, regulamentul comitetului de management al riscurilor, normele de audit intern şi regulamentul comitetului de audit, în concordanţã cu prevederile prezentelor norme, şi sã le transmitã Comisiei de Supraveghere a Asigurãrilor pânã la data de 31 decembrie 2009. Orice revizuire ulterioarã a normelor interne va fi transmisã în termen de 30 de zile de la aprobare.
ART. 64
Nerespectarea prevederilor prezentelor norme constituie contravenţie şi se sancţioneazã conform prevederilor <>art. 39 din Legea nr. 32/2000 , cu modificãrile şi completãrile ulterioare.
-----------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
