|
În temeiul prevederilor art. 5 lit. a), ale art. 8 alin. (1) si ale art. 20 alin. (3) lit. c) si c2) din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare, potrivit Hotarârii Consiliului Comisiei de Supraveghere a Asigurarilor din data de 20 iunie 2006, prin care s-au adoptat Normele privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori, presedintele Comisiei de Supraveghere a Asigurarilor emite urmatorul ordin:
Art. 1. - Se pun în aplicare Normele privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori, prevazute în anexa care face parte integranta din prezentul ordin.
Art. 2. - Directia generala reglementari din cadrul Comisiei de Supraveghere a Asigurarilor va asigura ducerea la îndeplinire a prevederilor prezentului ordin.
Presedintele Comisiei de Supraveghere a Asigurarilor,
Nicolae Eugen Crisan
Bucuresti, 23 iunie 2006.
Nr. 113.117.
ANEXA - NORME privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori
Art. 1. - În sensul prezentelor norme, termenii si expresiile de mai jos au urmatoarele semnificatii:
1. managementul riscului - un set de proceduri prin intermediul carora asiguratorul ia masuri pentru a evalua, monitoriza si controla influenta evenimentelor trecute si potential viitoare care ar putea avea un impact negativ asupra activitatii sale. Procedurile de management al riscului vor include cel putin: stabilirea strategiilor si politicilor de management al riscului, identificarea riscurilor, criteriile pentru masurarea riscurilor, controlul riscurilor, incluzând toleranta fata de risc si raportarea riscurilor;
2. toleranta fata de risc - natura si cantitatea de expunere la risc pe care asiguratorul este dispus sa o accepte. Toleranta fata de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;
3. testul de senzitivitate:
a) evalueaza influenta schimbarilor unor factori de risc asupra situatiei financiare viitoare a asiguratorului;
b) este utilizat de asigurator pentru o mai buna întelegere a vulnerabilitatilor cu care se confrunta în conditii atipice;
c) are la baza analiza influentei scenariilor adverse putin probabile, dar nu imposibile;
d) se aplica oricarui risc ce poate avea o influenta economica asupra asiguratorului;
4. control intern - proces continuu la care participa consiliul de administratie, conducerea executiva, precum si personalul asiguratorilor, prin care se furnizeaza o asigurare rezonabila asupra atingerii obiectivelor prevazute la art. 2 alin. (1);
5. conducerea operativa - persoanele care asigura conducerea nemijlocita a compartimentelor din cadrul asiguratorului, al sucursalelor si al altor sedii secundare;
6. sistem informational - ansamblul de fluxuri informationale organizate într-o conceptie unitara, care asigura legatura dintre nivelul de conducere (decizional) si nivelul de executie (operational);
7. risc de credit - riscul înregistrarii de pierderi sau al nerealizarii profiturilor estimate, ca urmare a neîndeplinirii de catre debitor a obligatiilor contractuale;
8. risc de tara - risc asociat riscului de credit, care este determinat de conditiile economice, sociale si politice ale tarii de origine a debitorului;
9. risc de piata - riscul înregistrarii de pierderi sau al nerealizarii profiturilor estimate, care apare din fluctuatiile pe piata ale preturilor, ratei dobânzii si cursului valutar;
10. risc de subscriere - riscul înregistrarii de pierderi sau al nerealizarii profiturilor estimate, care apare ca urmare a faptului ca situatiile economice sau rata de aparitie a incidentelor s-au schimbat fata de previziunile facute la data tarifarii primelor de asigurare;
11. risc de lichiditate - riscul înregistrarii de pierderi sau al nerealizarii profiturilor estimate, ce rezulta din imposibilitatea asiguratorilor de a onora în orice moment obligatiile de plata pe termen scurt, fara ca aceasta sa implice costuri sau pierderi ce nu pot fi suportate de asiguratori.
12. risc operational - riscul înregistrarii de pierderi sau al nerealizarii profiturilor estimate, care este determinat de factori interni (derularea neadecvata a unor activitati interne, existenta unui personal sau unor sisteme informatice necorespunzatoare etc.) sau de factori externi (conditii economice, schimbari în mediul financiar, progrese tehnologice etc.);
13. risc juridic - componenta a riscului operational, aparut ca urmare a neaplicarii sau a aplicarii defectuoase a dispozitiilor legale ori contractuale, care afecteaza negativ operatiunile sau situatia asiguratorilor;
14. risc reputational - riscul înregistrarii de pierderi sau al nerealizarii profiturilor estimate, ca urmare a publicitatii negative care conduce la lipsa încrederii publicului în integritatea asiguratorilor.
Art. 2. - (1) Obiectivele controlului intern constau în:
a) desfasurarea activitatii în conditii de eficienta si rentabilitate;
b) furnizarea unor informatii corecte, relevante, complete si oportune structurilor implicate în luarea deciziilor în cadrul asiguratorilor si utilizatorilor externi ai informatiilor;
c) asigurarea conformitatii activitatilor asiguratorilor cu cadrul legal si cu politicile si procedurile proprii.
(2) În vederea îndeplinirii obiectivelor de control intern, asiguratorii trebuie sa îsi organizeze un sistem de control intern care se compune din urmatoarele elemente aflate în strânsa corelare:
a) rolul si responsabilitatile consiliului de administratie si conducerii executive;
b) identificarea si evaluarea riscurilor;
c) activitatile de control si separarea responsabilitatilor;
d) informarea si comunicarea;
e) activitatile de monitorizare si corectare a deficientelor.
Art. 3. - (1) Consiliul de administratie al asiguratorilor este responsabil pentru stabilirea si mentinerea unui sistem de control intern adecvat si eficient.
(2) În contextul prevederilor alin. (1), consiliul de administratie al asiguratorilor trebuie sa îndeplineasca cel putin urmatoarele atributii:
a) sa aprobe si sa revizuiasca periodic, cel putin anual, strategiile generale si politicile privitoare la activitatea asiguratorilor;
b) sa stabileasca toleranta fata de risc si sa asigure luarea masurilor necesare de catre conducerea executiva pentru identificarea, evaluarea, monitorizarea si controlul riscurilor respective;
c) sa supravegheze conducerea executiva în legatura cu modul în care aceasta monitorizeaza functionarea adecvata si eficienta a sistemului de control intern;
d) sa aprobe acea structura organizatorica ce raspunde cel mai bine obiectivelor propuse.
(3) Pentru îndeplinirea atributiilor ce îi revin, consiliul de administratie trebuie sa întreprinda cel putin urmatoarele masuri:
a) discutii periodice, cel putin trimestrial, cu conducerea operativa privind eficienta sistemului de control intern;
b) analiza periodica, cel putin trimestrial, a evaluarilor sistemului de control intern efectuate de conducerea operativa, de auditul intern si, dupa caz, de auditorul financiar al asiguratorilor si de Comisia de Supraveghere a Asigurarilor;
c) asigurarea implementarii de catre conducerea operativa a recomandarilor formulate de auditul intern, de auditorul financiar extern si de Comisia de Supraveghere a Asigurarilor cu privire la deficientele sistemului de control intern si examinarea efectului masurilor implementate.
Art. 4. - (1) Conducerea executiva a asiguratorului are responsabilitati pe linia monitorizarii functionarii adecvate si eficiente a sistemului de control intern.
(2) În contextul prevederilor alin. (1), conducerea executiva are cel putin urmatoarele atributii:
a) sa implementeze strategiile generale si politicile privitoare la activitatea asiguratorilor, aprobate de consiliul de administratie;
b) sa coordoneze procesul de elaborare a procedurilor de management al riscului si sa ia masurile necesare pentru identificarea, evaluarea, monitorizarea si controlul acestor riscuri;
c) sa se asigure ca responsabilitatile delegate conducerii operative, cu privire la stabilirea politicilor si procedurilor de control intern, sunt îndeplinite în mod corespunzator;
d) sa mentina o structura organizatorica adecvata;
e) sa stabileasca fluxul informational necesar;
f) sa se asigure ca toate activitatile asiguratorilor sunt realizate de personal calificat, având experienta si cunostinte necesare în domeniul asigurarilor;
g) sa asigure instruirea corespunzatoare a personalului propriu.
Art. 5. - În cazul externalizarii unor activitati, consiliul de administratie si conducerea executiva ale asiguratorilor raspund pentru atingerea obiectivelor controlului intern aferente respectivelor activitati.
Art. 6. - Consiliul de administratie si conducerea executiva ale asiguratorilor sunt responsabile pentru promovarea unor standarde de etica si integritate pentru personalul asiguratorilor în ceea ce priveste controlul intern, care sa evidentieze si sa asigure constientizarea importantei acestuia la toate nivelurile organizatorice.
Art. 7. - (1) Pentru a avea un sistem de control intern eficient asiguratorii trebuie sa identifice si sa evalueze permanent riscurile care pot periclita atingerea obiectivelor controlului intern.
(2) Identificarea si evaluarea riscurilor trebuie sa se faca atât la nivelul de ansamblu al unui asigurator, cât si la toate nivelurile organizatorice ale acestuia, trebuie sa acopere toate activitatile si sa tina cont de aparitia unor noi activitati.
Art. 8. - (1) Identificarea si evaluarea riscurilor trebuie sa se realizeze cu luarea în considerare a factorilor interni (complexitatea structurii organizatorice, natura activitatilor desfasurate, calitatea personalului si fluctuatia acestuia) si a factorilor externi (conditii economice, schimbari legislative sau legate de mediul concurential în sectorul de asigurari, progrese tehnologice).
(2) Procesul de evaluare a riscurilor trebuie sa includa identificarea atât a riscurilor care sunt controlabile de catre asiguratori, cât si a celor necontrolabile. În cazul riscurilor controlabile, asiguratorii trebuie sa stabileasca daca îsi asuma integral aceste riscuri sau în masura în care doresc sa le reduca prin proceduri de control. În cazul riscurilor necontrolabile, asiguratorii trebuie sa decida daca le accepta sau daca elimina ori reduc nivelul activitatilor afectate de riscurile respective.
(3) Evaluarea riscurilor trebuie efectuata si în conditiile unor scenarii alternative, inclusiv în conditii de criza.
Art. 9. - Evaluarea riscurilor se va realiza de catre specialisti din cadrul asiguratorilor care nu au responsabilitati în realizarea performantei comerciale si financiare.
Art. 10. - Asiguratorii trebuie sa revizuiasca activitatile de control pentru a identifica si a evalua în mod corespunzator orice riscuri nou-aparute ca urmare a dezvoltarii activitatii.
Art. 11. - (1) Activitatile de control trebuie sa se constituie ca parte integranta a activitatilor curente desfasurate de asiguratori.
(2) Activitatile de control trebuie sa aiba în vedere riscurile identificate de asiguratori în cadrul procesului de identificare si evaluare a riscurilor.
Art. 12. - Activitatile de control trebuie definite pentru fiecare nivel organizatoric al asiguratorilor si implica doua etape:
a) stabilirea politicilor si procedurilor de control;
b) verificarea respectarii politicilor si procedurilor de control stabilite.
Art. 13. - Activitatile de control includ cel putin urmatoarele:
a) analize la nivelul consiliului de administratie si al conducerii executive;
b) analize operative la nivelul compartimentelor si sediilor secundare ale asiguratorilor;
c) controale faptice care au în vedere restrictionarea accesului la active, cum ar fi disponibilitati banesti, restrictionarea accesului la conturile clientilor etc.;
d) analiza încadrarii în limitele impuse expunerilor la risc si urmarirea modului în care sunt solutionate situatiile de neconformitate;
e) aprobari si autorizari, în cazul operatiunilor ce depasesc anumite limite de sume, asigurându-se astfel controlul asupra realizarii operatiunilor respective de catre nivelul de conducere competent si stabilirea responsabilitatilor;
f) verificari ale tranzactiilor efectuate de asiguratori si reconcilieri, în special acolo unde exista diferente între metodologiile sau sistemele de evaluare utilizate în compartimentele responsabile cu initierea tranzactiilor (front office) si compartimentele responsabile cu înregistrarea si monitorizarea tranzactiilor initiate (back office). Rezultatele verificarilor vor fi comunicate nivelului de conducere superior competent.
Art. 14. - Asiguratorii trebuie sa realizeze o repartizare corespunzatoare a atributiilor la toate nivelurile organizatorice si sa se asigure ca personalului nu îi sunt alocate responsabilitati care sa conduca la conflicte de interese.
Art. 15. - Domeniile care pot fi afectate de potentiale conflicte de interese trebuie sa fie identificate si supuse unei monitorizari independente exercitate de persoane neimplicate direct în activitatile respective, a caror informare este efectuata pe baza unor linii de raportare stabilite în mod corespunzator.
Art. 16. - (1) Asiguratorii trebuie sa asigure evidenta datelor financiare, operationale si de conformitate, adecvate si complete, pentru desfasurarea activitatii lor.
(2) Asiguratorii trebuie sa dispuna de informatii despre piata referitoare la evenimente si conditii care sunt relevante pentru luarea deciziilor.
(3) Informatiile trebuie sa fie credibile, relevante, complete, oportune, accesibile si furnizate într-un format consecvent.
Art. 17. - Asiguratorii trebuie sa dispuna de sisteme informationale adecvate, care sa acopere toate activitatile acestora.
Art. 18. - Asiguratorii trebuie sa dispuna de proceduri pentru a preveni utilizarea necorespunzatoare a informatiei, prin care sa se evite:
a) prejudicierea, directa sau indirecta, a reputatiei acestora;
b) dezvaluirea informatiilor secrete sau confidentiale;
c) utilizarea informatiilor de catre personalul asiguratorilor pentru obtinerea unor beneficii personale.
Art. 19. - (1) În cadrul sistemului informational asiguratorii trebuie sa dispuna de sisteme informatice. Formatul acestor sisteme trebuie sa asigure un grad adecvat de securitate a informatiei. Monitorizarea sistemelor informatice va fi asigurata de personal specializat independent si distinct de cel care le utilizeaza.
(2) Asiguratorii trebuie sa dispuna de prevederi referitoare la organizarea si controlul intern al procesarii informatiilor în forma electronica, astfel încât sa fie posibila obtinerea de probe de audit.
Art. 20. - (1) În vederea evitarii aparitiei disfunctionalitatilor în cadrul activitatii si a eventualelor pierderi generate de acestea, asiguratorii trebuie sa controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop se vor efectua atât controale generale la nivelul întregului sistem informatic, cât si controale la nivelul fiecarei aplicatii informatice din componenta acestuia.
(2) Controalele generale se efectueaza asupra infrastructurii hardware si de comunicatii a sistemelor informatice, precum si asupra sistemelor de operare care asigura functionarea acestora. Controalele au drept scop verificarea functionarii continue si corespunzatoare a acestora.
(3) Controalele generale includ si verificarea existentei si aplicarii unei strategii de informatizare, a procedurilor interne de salvare si restaurare a datelor, a politicilor de efectuare a achizitiilor, a procedurilor de dezvoltare a aplicatiilor informatice, a procedurilor de administrare si întretinere, precum si a politicilor de securitate vizând accesul fizic si logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicatiilor informatice reprezinta proceduri de validare si control incluse în codul aplicatiilor informatice utilizate, precum si proceduri manuale de verificare a modului de procesare a tranzactiilor si efectuarii operatiunilor.
Art. 21. - (1) În vederea evitarii pierderilor generate de întreruperea activitatii datorita unor factori externi ce nu pot fi controlati de catre asiguratori, acestia trebuie sa elaboreze planuri alternative, care sa le permita reluarea activitatii în cazul aparitiei unor situatii neprevazute. Replicarea sistemelor critice trebuie asigurata fie prin existenta unor sisteme de rezerva situate într-o alta locatie apartinând asiguratorilor, fie prin intermediul unui furnizor extern de servicii.
(2) Functionarea planurilor alternative trebuie testata periodic prin stimularea operatiunilor pe sistemele de rezerva, în scopul verificarii disponibilitatii acestora.
Art. 22. - În vederea organizarii unui sistem de control intern eficient, asiguratorii trebuie sa dispuna de canale de comunicare care sa asigure ca personalul propriu cunoaste politicile si procedurile cu implicatii asupra atributiilor si responsabilitatilor sale si ca orice alte informatii relevante ajung în timp util la acesta.
Art. 23. - Structura organizatorica a asiguratorilor trebuie sa asigure un flux corespunzator de informatii, pe verticala, în ambele sensuri, si pe orizontala, care sa permita urmatoarele:
a) informarea consiliului de administratie si a conducerii executive asupra riscurilor aferente activitatii si functionarii asiguratorilor;
b) informarea nivelurilor inferioare de conducere operativa si a personalului atât asupra strategiilor asiguratorilor, cât si asupra politicilor si procedurilor stabilite;
c) difuzarea informatiilor între compartimentele si sediile secundare ale asiguratorilor pentru care respectivele informatii au relevanta.
Art. 24. - (1) Asiguratorii trebuie sa monitorizeze permanent eficacitatea sistemului de control intern, cu luarea în considerare a modificarilor intervenite în conditiile interne si externe de desfasurare a activitatii.
(2) Asiguratorii trebuie sa asigure un rol important auditului intern în procesul de monitorizare a sistemului de control intern.
(3) Monitorizarea eficacitatii sistemului de control intern va fi efectuata atât de personalul responsabil pentru fiecare compartiment si sediu secundar al asiguratorului, cât si de auditul intern.
(4) Monitorizarea eficacitatii sistemului de control intern trebuie sa faca parte din activitatile zilnice ale asiguratorilor si trebuie sa includa si evaluari separate ale sistemului de control intern în general.
(5) Evaluarile separate, periodice, ale sistemului de control intern vor fi efectuate atât de personalul responsabil pentru fiecare compartiment si sediu secundar (autoevaluare), cât si de auditul intern.
(6) Frecventa cu care trebuie monitorizate diferitele activitati ale asiguratorilor depinde de riscurile implicate de activitatile respective, precum si de natura si frecventa schimbarilor din activitatea respectiva.
Art. 25. - (1) Deficientele identificate în legatura cu sistemul de control intern trebuie sa fie raportate imediat nivelului de conducere competent, care trebuie sa ia masuri pentru remedierea cu promptitudine a acestora.
(2) Deficientele majore ale sistemului de control intern trebuie sa fie raportate conducerii executive a asiguratorilor si consiliului de administratie al acestora.
(3) Conducerea executiva a asiguratorilor are responsabilitatea de a stabili un sistem de detectare a deficientelor sistemului de control intern si de a întreprinde masuri pentru solutionarea respectivelor deficiente.
Art. 26. - Asiguratorii trebuie sa ia masuri pe linia administrarii urmatoarelor riscuri: riscul de credit, riscul de piata, riscul de lichiditate, riscul operational, riscul de subscriere si riscul reputational.
Art. 27. - În domeniul managementului riscurilor, consiliul de administratie al asiguratorilor are cel putin urmatoarele atributii:
a) sa aprobe si sa reconsidere profilul de risc al acestora;
b) sa aprobe politicile privind managementul riscurilor respective, sa le analizeze periodic, cel putin anual, si sa dispuna revizuirea acestora, dupa caz;
c) sa asigure luarea de catre conducerea executiva a masurilor necesare pentru identificarea, evaluarea, monitorizarea si controlul riscurilor, inclusiv pentru activitatile externalizate;
d) sa aprobe procedurile de stabilire a competentelor si a responsabilitatilor în domeniul managementului riscurilor;
e) sa aprobe externalizarea unor activitati;
f) sa aprobe politica de instruire a personalului.
Art. 28. - În domeniul managementului riscurilor, conducerea executiva a asiguratorilor este responsabila cel putin pentru urmatoarele:
a) implementarea strategiilor aprobate de consiliul de administratie si asigurarea comunicarii acestora personalului implicat în punerea lor în aplicare;
b) asigurarea comunicarii politicilor si procedurilor pentru identificarea, evaluarea, monitorizarea si controlul riscurilor personalului implicat în punerea lor în aplicare;
c) mentinerea unor sisteme de raportare corespunzatoare a expunerilor la riscuri, precum si a altor aspecte legate de riscuri;
d) mentinerea limitelor corespunzatoare privind expunerea la riscuri, inclusiv pentru conditii de criza, în conformitate cu marimea, complexitatea si situatia financiara a asiguratorilor;
e) mentinerea eficientei si eficacitatii sistemului de control intern;
f) analizarea oportunitatii externalizarii unor activitati prin prisma riscurilor implicate de externalizare;
g) supravegherea si monitorizarea contractului de externalizare;
h) asigurarea unui personal calificat, având experienta si cunostintele necesare;
i) asigurarea instruirii corespunzatoare a personalului;
j) asigurarea concordantei politicilor de remunerare a personalului cu strategia asiguratorului privind riscurile.
Art. 29. - În procesul de management al riscurilor, asiguratorii trebuie sa constituie un comitet de management al riscurilor.
Art. 30. - (1) Asiguratorii trebuie sa opteze pentru un profil de risc, stabilind obiectivul si strategia pentru fiecare risc, inclusiv în ceea ce priveste activitatile externalizate.
(2) Asiguratorii vor stabili tipurile de riscuri pe care sunt pregatiti sa le asume. La stabilirea acestora se vor avea în vedere natura, dimensiunea si complexitatea activitatii.
(3) Strategia asiguratorilor privind managementul riscurilor trebuie sa determine raportul dintre risc si profit pe care asiguratorul îl considera acceptabil în conditiile asigurarii continuitatii activitatii acesteia pe baze sanatoase si prudente.
Art. 31. - Asiguratorii trebuie sa adopte politici pentru managementul riscurilor, în vederea implementarii profilului de risc ales. Politicile respective trebuie sa corespunda strategiilor generale, sa fie corelate cu nivelul fondurilor proprii ale asiguratorilor si cu experienta acestora în administrarea riscurilor, precum si cu toleranta fata de risc stabilita de consiliul de administratie.
Art. 32. - Politicile privind managementul riscurilor, corespunzatoare naturii, dimensiunii si complexitatii activitatilor asiguratorilor, trebuie sa fie transpuse în mod clar si transparent în norme interne, proceduri, inclusiv în manuale si coduri de conduita, facându-se distinctie între standardele generale aplicabile întregului personal si regulile specifice aplicabile anumitor categorii de personal.
Art. 33. - Politicile de management al riscurilor trebuie sa asigure, dupa caz, stabilirea cel putin a:
a) unui sistem de proceduri de autorizare a operatiunilor afectate de riscurile respective;
b) unui sistem de stabilire a limitelor expunerii la risc si de monitorizare a acestora, care sa reflecte profilul de risc ales si care sa fie în conformitate cu legislatia si cu reglementarile în vigoare; limitele stabilite la nivelul activitatilor si/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asiguratorilor;
c) unui sistem de raportare a expunerilor la riscuri, precum si altor aspecte legate de riscuri catre nivelurile de conducere corespunzatoare;
d) unui sistem de proceduri pentru situatii neprevazute;
e) unor criterii de recrutare si remunerare a personalului, care sa stabileasca standarde ridicate pentru pregatirea, experienta si integritatea acestuia;
f) unui program de instruire a personalului.
Art. 34. - (1) Asiguratorii trebuie sa efectueze sistematic o evaluare a riscurilor.
(2) Evaluarea riscurilor trebuie sa tina cont si de:
a) implicatiile corelarii fiecarui risc cu celelalte riscuri la care se expune asiguratorul;
b) previzionarile profitului si fondurilor proprii pe baza diferitelor scenarii în conditii de criza, inclusiv o cuantificare a pierderilor maxime în conditiile extreme.
(3) Asiguratorii trebuie sa efectueze sistematic teste de senzitivitate.
Art. 35. - Asiguratorii trebuie sa dispuna de un sistem de informare adecvat pentru identificarea, evaluarea, monitorizarea si documentarea sistematica a riscurilor atât la nivelul asiguratorilor, cât si la nivelul compartimentelor si sediilor secundare ale acestora.
Art. 36. - Asiguratorii trebuie sa asigure ca exista o separare corespunzatoare a atributiilor în cadrul procesului de administrare a riscurilor, pentru evitarea potentialelor conflicte de interese.
Art. 37. - Asiguratorii trebuie sa asigure o monitorizare sistematica a conformitatii cu procedurile stabilite pentru managementul riscurilor si sa solutioneze deficientele constatate.
Art. 38. - Asiguratorii trebuie sa dispuna de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implica analize independente si regulate si evaluari ale eficacitatii sistemului si, acolo unde se impune, asigurarea remedierii deficientelor constatate. Rezultatele unor astfel de analize trebuie sa fie comunicate în mod direct consiliului de administratie, comitetului de administrare a riscurilor si comitetului de audit.
Art. 39. - (1) Asiguratorii trebuie sa dispuna de politici privind externalizarea activitatilor auxiliare sau conexe în raport cu activitatile principale.
(2) Asiguratorii trebuie sa dispuna de proceduri de administrare a riscurilor asociate activitatilor externalizate.
(3) Procedurile de management al riscurilor asociate activitatilor externalizate se vor referi cel putin la urmatoarele:
a) luarea deciziilor privind externalizarea unor noi activitati sau modificarea celor existente;
b) selectarea si evaluarea societatilor prestatoare de servicii auxiliare sau conexe în legatura cu aspecte cum ar fi: solvabilitatea, reputatia, familiarizarea cu specificul sectorului asigurarilor, calitatea serviciilor prestate, organizarea activitatii si controlul intern, existenta unui personal competent, existenta unui plan alternativ de redresare a activitatii, asigurarea confidentialitatii informatiei;
c) monitorizarea modului în care societatile prestatoare de servicii auxiliare sau conexe desfasoara activitatile externalizate;
d) elaborarea de planuri alternative si stabilirea costurilor si resurselor necesare pentru schimbarea societatilor prestatoare de servicii auxiliare sau conexe.
Art. 40. - (1) Asiguratorii pot externaliza activitati doar în conditiile încheierii de contracte cu societati prestatoare de servicii auxiliare sau conexe.
(2) Contractele încheiate cu societati prestatoare de servicii auxiliare sau conexe în legatura cu activitatile externalizate trebuie sa fie în forma scrisa si sa asigure o alocare clara a responsabilitatilor fiecarei parti.
(3) Asiguratorii vor putea încheia contracte cu societati prestatoare de servicii auxiliare sau conexe, în legatura cu activitatile externalizate, în urmatoarele conditii:
a) asigurarea existentei unor date actualizate si a altor informatii la nivelul asiguratorului;
b) asigurarea accesului unor entitati din România (autoritati sau institutii publice) la datele si informatiile aferente operatiunilor din România, în cazul externalizarii unor activitati în afara granitelor tarii;
c) asigurarea securitatii/confidentialitatii datelor cel putin prin urmatoarele masuri: angajamentul societatii prestatoare de servicii auxiliare sau conexe si al personalului acesteia de a se supune regulilor de confidentialitate, drepturile contractuale ale asiguratorului de a lua masuri împotriva societatii prestatoare de servicii auxiliare sau conexe în cazul încalcarii confidentialitatii, separarea datelor asiguratorului de cele ale societatii prestatoare de servicii auxiliare sau conexe si de cele ale altor clienti ai acesteia.
Art. 41. - Asiguratorii nu pot externaliza urmatoarele activitati:
a) activitatea de audit intern, în conditiile în care furnizorul extern de servicii în domeniul auditului intern are si calitatea de auditor financiar al institutiei de credit în cauza;
b) organizarea si tinerea contabilitatii, în conditiile în care între persoanele carora le-ar fi externalizata activitatea de tinere a contabilitatii si auditorul financiar exista legaturi ce afecteaza independenta acestuia în exercitarea mandatului;
c) organizarea si desfasurarea activitatii juridice curente, în conformitate cu dispozitiile Legii nr. 514/2003 privind organizarea si exercitarea profesiei de consilier juridic;
d) orice alte activitati care în urma externalizarii nu mai pot fi controlate si desfasurate în conformitate cu regulile unei practici prudente si sanatoase.
Art. 42. - (1) Asiguratorii trebuie sa dispuna de un comitet de management al riscurilor. Comitetul de management al riscurilor este un comitet permanent, ale carui functionare si atributii sunt reglementate de prezentele norme si de regulamentele interne ale fiecarui asigurator.
(2) Comitetul de management al riscurilor îsi poate desfasura lucrarile în subcomitete, în functie de marimea si complexitatea asiguratorului.
(3) Comitetul de management al riscurilor se constituie prin decizie a consiliului de administratie.
Art. 43. - Asiguratorii trebuie sa dispuna de un regulament al comitetului de management al riscurilor, aprobat la nivelul consiliului de administratie si revizuit periodic, dupa caz, care sa indice componenta, autoritatea si responsabilitatile acestuia si modul de raportare catre consiliul de administratie.
Art. 44. - (1) Membrii comitetului de management al riscurilor trebuie sa aiba o experienta compatibila cu responsabilitatile lor în cadrul acestuia.
(2) Comitetul de management al riscurilor este format din membri ai conducerii executive si operative ai asiguratorului.
Art. 45. - Comitetul de management al riscurilor va avea cel putin urmatoarele atributii:
a) sa asigure informarea consiliului de administratie asupra problemelor si evolutiilor semnificative care ar putea influenta profilul de risc al asiguratorului;
b) sa dezvolte politici si proceduri adecvate pentru identificarea, evaluarea, monitorizarea si controlul riscurilor;
c) sa aprobe metodologii si modele adecvate pentru evaluarea riscurilor si limitarea expunerilor;
d) sa stabileasca limite corespunzatoare privind expunerea la riscuri, inclusiv pentru conditii de criza, în conformitate cu marimea, complexitatea si situatia financiara a asiguratorului, precum si proceduri necesare pentru aprobarea exceptiilor de la respectivele limite;
e) sa aprobe angajarea asiguratorului în noi activitati, pe baza analizei riscurilor aferente acestora;
f) sa analizeze masura în care planurile alternative de care dispune banca corespund situatiilor neprevazute cu care aceasta s-ar putea confrunta;
g) sa prezinte consiliului de administratie informari suficient de detaliate si oportune, care sa permita acestuia sa cunoasca si sa evalueze performanta conducerii în monitorizarea si controlul riscurilor, potrivit politicilor aprobate, precum si performanta de ansamblu a asiguratorului;
h) sa informeze regulat consiliul de administratie asupra situatiei expunerilor asiguratorului la riscuri si imediat, în cazul în care intervin schimbari semnificative în expunerea curenta sau viitoare a asiguratorului la riscurile respective;
i) sa stabileasca sisteme de raportare corespunzatoare a aspectelor legate de riscuri;
j) sa stabileasca competentele si responsabilitatile pentru administrarea si controlul expunerilor la riscuri.
Art. 46. - (1) Asiguratorii trebuie sa întocmeasca anual un raport asupra conditiilor în care este desfasurat controlul intern. Acest raport trebuie sa cuprinda cel putin:
a) o inventariere a principalelor deficiente identificate în cadrul sistemului de control intern si masurile întreprinse pentru corectarea acestora;
b) o descriere a modificarilor semnificative intervenite în sistemul de control intern în perioada respectiva, în special axate pe evolutia activitatii si a riscurilor;
c) o descriere a conditiilor de aplicare a procedurilor de control aferente noilor activitati;
d) desfasurarea controlului intern în cadrul sediilor secundare ale asiguratorilor din strainatate.
(2) Raportul întocmit de catre asiguratori trebuie sa includa si conditiile în care se desfasoara controlul intern la nivelul entitatilor cuprinse în perimetrul lor de consolidare si al societatilor prestatoare de servicii auxiliare sau conexe.
Art. 47. - (1) Asiguratorii trebuie sa întocmeasca anual un raport privind masurile luate pe linia managementului riscurilor la care sunt expusi acestia si, dupa caz, masurile luate de entitatile cuprinse în perimetrul lor de consolidare si societatile prestatoare de servicii auxiliare sau conexe.
(2) Raportul întocmit trebuie sa cuprinda cel putin:
a) politicile de management al riscului, cu specificarea tolerantei asiguratorului la risc si limitele stabilite pentru gestiunea riscurilor de piata, de credit si de lichiditate;
b) detalii ale politicilor de investitii ale asiguratorului, incluzând procedurile de identificare, monitorizare si control al riscurilor, precum si detalii referitoare la strategiile investitionale cu produse derivate sau produse cu efect similar;
c) procedurile asiguratorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare si monitorizare a administratorilor de fonduri si a societatilor de servicii de investitii financiare;
d) procedurile asiguratorului referitoare la introducerea de noi instrumente de investitii si de monitorizare a riscurilor asociate cu utilizarea acestora;
e) o prezentare a modului de abordare si a politicilor asiguratorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare si solvabilitate;
f) detalii referitoare la salarizarea personalului pentru a stabili daca compania acorda prime sau alte stimulente salariale mari care determina o marire nejustificata a expunerii la risc a societatii;
g) un plan de afaceri global al asiguratorului care cuprinde informatii referitoare la noile produse lansate de societate, strategia de distributie a produselor, procesul de subscriere si activitatea de reasigurare. Aceste informatii vor fi folosite în scopul evaluarii gradului de adecvare a sistemului de management al riscului implementat de asigurator la afacerea sa;
h) planurile elaborate de asigurator pentru împrejurari neprevazute;
i) detalii referitoare la testele de senzitivitate efectuate de asigurator pentru evaluarea riscurilor la care este expus;
j) informatii despre managementul intern al portofoliilor de active: detalii despre active si datorii, detalii despre investitiile intragrup realizate;
k) lista deciziilor consiliului de administratie;
l) documente care sa ateste pregatirea profesionala a persoanelor responsabile cu activitatile de investitii, respectiv cu managementul riscului investitiilor;
m) detalii referitoare la serviciile externalizate;
n) rapoarte referitoare la riscurile de piata, precum si rentabilitatea portofoliului de investitii.
Art. 48. - Rapoartele mentionate la art. 46 si 47 trebuie sa fie transmise Comisiei de Supraveghere a Asigurarilor în termen de 6 luni de la încheierea exercitiului financiar.
Art. 49. - Pentru controlul intern al activitatii si managementul riscurilor, asiguratorii vor avea în vedere si prevederile legislatiei nationale si standardele internationale în materie.
Art. 50. - În cazul în care asiguratorii nu apeleaza la un furnizor extern de servicii pentru sistemele informatice, acestia vor trebui sa dispuna de sistemele de rezerva prevazute la art. 21 alin. (1), în termen de 9 luni de la intrarea în vigoare a prezentelor norme.
Art. 51. - În termen de 3 luni de la data intrarii în vigoare a prezentelor norme, asiguratorii trebuie sa transmita Comisiei de Supraveghere a Asigurarilor normele interne privind organizarea controlului intern al activitatii, normele interne privind organizarea sistemului de management al riscurilor, precum si regulamentul comitetului de management al riscurilor.
Art. 52. - Nerespectarea prevederilor prezentelor norme constituie contraventie si se sanctioneaza conform prevederilor art. 39 din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare.
Art. 53. - Prezentele norme intra în vigoare începând cu data aderarii României la Uniunea Europeana, data la care se abroga Ordinul presedintelui Comisiei de Supraveghere a Asigurarilor nr. 3.105/2004 pentru punerea în aplicare a Normei minimale privind activitatea de control intern, publicat în Monitorul Oficial al României, Partea I, nr. 186 din 3 martie 2004.
 |
|
egislatie
e-mail
oncept
sigurari
raditie
ocietati
nternational
obs
