Ordin nr. 18/2009 18.09.

2009

pentru aprobarea Normelor privind principiile de organizare a unui sistem de control intern i management al riscurilor, precum i organizarea i desfurarea activitii de audit intern la asigurtori/reasigurtori

(Publicat n Monitorul Oficial, Partea I nr. 621 din 16/09/2009).

n temeiul prevederilor art. 4 alin. (27) din Legea nr. 32/2000 privind activitatea de asigurare i supravegherea asigurrilor, cu modificrile i completrile ulterioare, potrivit Hotrrii Consiliului Comisiei de Supraveghere a Asigurrilor din data de 1 septembrie 2009 prin care s-au adoptat Normele privind principiile de organizare a unui sistem de control intern i management al riscurilor, precum i organizarea i desfurarea activitii de audit intern la asigurtori/reasigurtori,

preedintele Comisiei de Supraveghere a Asigurrilor emite urmtorul ordin:

Art. 1. - Se aprob Normele privind principiile de organizare a unui sistem de control intern i management al riscurilor, precum i organizarea i desfurarea activitii de audit intern la asigurtori/reasigurtori, prevzute n anexa care face parte integrant din prezentul ordin. Art. 2. - La data intrrii n vigoare a prezentului ordin se abrog Ordinul preedintelui Comisiei de Supraveghere a Asigurrilor nr. 113.117/2006 pentru punerea n aplicare a Normelor privind principiile de organizare ale unui sistem de control intern i management al riscului la asigurtori, publicat n Monitorul Oficial al Romniei, Partea I, nr. 572 din 3 iulie 2006. Art. 3. - Direcia general reglementri contabile din cadrul Comisiei de Supraveghere a Asigurrilor va lua msuri pentru ducerea la ndeplinire a prevederilor prezentului ordin.

Preedintele Comisiei de Supraveghere a Asigurrilor, Angela Toncescu

Bucureti, 7 septembrie 2009. Nr. 18.

ANEX NORME privind principiile de organizare a unui sistem de control intern i management al riscurilor, precum i organizarea i desfurarea activitii de audit intern la asigurtori/reasigurtori

CAPITOLUL I Definiii

Art. 1. - n sensul prezentelor norme, termenii i expresiile de mai jos au urmtoarele semnificaii: 1. profil de risc - o descriere a riscurilor la care asigurtorul/reasigurtorul este expus. Profilul de risc exprim natura riscurilor care amenin societatea, n funcie de complexitatea activitii i de obiectivele sale strategice; 2. tolerana fa de risc - suma la risc pe care asigurtorul/reasigurtorul este dispus s o accepte n desfurarea activitii sale, n concordan cu obiectivele sale strategice. Tolerana fa de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului; 3. teste de stres - analize cantitative sau calitative efectuate cu scopul de a evalua impactul unor evoluii nefavorabile ale factorilor de risc, luai individual sau combinai ntr-un scenariu unic, asupra situaiei financiare a asigurtorilor/reasigurtorilor; 4. risc de subscriere - posibilitatea nregistrrii de pierderi sau a nerealizrii profiturilor estimate din cauza stabilirii inadecvate a tarifelor de prim i/sau a rezervelor tehnice comparativ cu obligaiile asumate i care poate s rezulte, fr a fi limitativ, din fluctuaii n frecvena i severitatea evenimentelor asigurate n raport cu estimrile din momentul subscrierii; 5. risc de pia - posibilitatea nregistrrii de pierderi sau a nerealizrii profiturilor estimate, care rezult, direct ori indirect, din fluctuaiile n nivelul i volatilitatea preului de pia al activelor, obligaiilor i instrumentelor financiare. Riscul de pia cuprinde riscul valutar i riscul ratei dobnzii; 6. risc de credit - posibilitatea nregistrrii de pierderi sau a nerealizrii profiturilor estimate, care rezult din fluctuaiile n ratingul emitenilor de valori mobiliare i al oricror debitori fa de care societile de asigurare sunt expuse sau din nendeplinirea obligaiilor contractuale de ctre intermediari, asigurai, reasigurtori sau ali debitori;

7. risc operaional - posibilitatea nregistrrii de pierderi sau a nerealizrii profiturilor estimate, care apare din procesele interne inadecvate, din vina angajailor sau din erorile generate de sistemul informatic, precum i din factori externi; 8. risc de lichiditate - posibilitatea nregistrrii de pierderi sau a nerealizrii profiturilor estimate, ce rezult din imposibilitatea asigurtorilor de a valorifica active pentru a onora n orice moment i cu costuri rezonabile obligaiile de plat pe termen scurt sau din ncasarea cu dificultate a creanelor din contractele de asigurare/reasigurare; 9. risc de concentrare - expunerea la un risc cu un potenial de generare de pierderi suficient de mari nct s amenine solvabilitatea sau situaia financiar a asigurtorului/reasigurtorului; 10. risc de contagiune - posibilitatea nregistrrii de pierderi generate de apartenena la grup, aprut ca urmare a raporturilor pe care societatea le are cu alte entiti din grup, situaiile de dificultate care apar ntr-o entitate putnd s se propage cu efecte negative asupra solvabilitii societii de asigurare/reasigurare; 11. risc reputaional - posibilitatea nregistrrii de pierderi sau a nerealizrii profiturilor estimate, ca urmare a deteriorrii imaginii i/sau a managementului societii (publicitii negative) care conduce la lipsa ncrederii publicului n integritatea societii; 12. tehnici de diminuare a riscului - toate procedurile care dau posibilitatea asigurtorului s transfere parial sau total riscurile sale ctre o alt entitate; 13. externalizare - un acord ncheiat ntre asigurtor/reasigurtor i un furnizor de servicii, n baza cruia furnizorul execut n numele i/sau pentru asigurtor/reasigurtor un serviciu ori o activitate, chiar dac aceasta nu privete direct activitatea de asigurare; 14. control intern - proces continuu la care particip conducerea administrativ, conducerea executiv, precum i ntregul personal al asigurtorilor, prin care se furnizeaz o asigurare rezonabil asupra atingerii obiectivelor prevzute la art. 3; 15. conducerea administrativ - consiliul de administraie sau consiliul de supraveghere, pentru societile care au adoptat sistemul dualist de conducere; 16. conducerea executiv - astfel cum este definit la art. 2 din Legea nr. 32/2000 privind activitatea de asigurare i supravegherea asigurrilor, cu modificrile i completrile ulterioare; 17. conducerea operativ - persoanele care asigur conducerea nemijlocit compartimentelor din cadrul asigurtorului, al sucursalelor i al altor sedii secundare; a

18. managementul riscului - un proces prin care se evalueaz, se monitorizeaz i se controleaz riscurile (generate de factori interni sau de factori externi) care ar putea avea un impact negativ asupra activitii asigurtorului/reasigurtorului. Sistemul de management al riscului cuprinde reguli i proceduri necesare pentru identificarea, msurarea, administrarea i raportarea riscurilor la care asigurtorul ar putea fi expus, lund n considerare i interdependena dintre riscuri;

19. audit intern - activitate independent constnd ntr-o examinare obiectiv a modului de realizare a administrrii riscurilor, sistemului de control intern i proceselor de conducere ale societilor, n scopul furnizrii unei asigurri rezonabile c acestea funcioneaz corespunztor i vor permite atingerea obiectivelor societii de asigurare/reasigurare.

CAPITOLUL II Sistemul de control intern

Art. 2. - Sistemul de control intern cuprinde ansamblul activitilor de control intern din cadrul tuturor structurilor societii de asigurare/reasigurare, corespunztor dimensiunii, naturii i complexitii activitii, cu scopul de a contribui la realizarea obiectivelor societii de asigurare/reasigurare. Art. 3. - n cadrul sistemului de control intern, asigurtorii/reasigurtorii trebuie s defineasc reguli, proceduri i o structur organizatoric ierarhizat care s asigure o funcionare corect a activitii n cadrul societii i s urmreasc: a) desfurarea activitii n condiii de eficien i rentabilitate; b) controlul adecvat al riscurilor care pot afecta atingerea obiectivelor societii; c) furnizarea unor informaii corecte, relevante, complete i oportune structurilor implicate n luarea deciziilor n cadrul societilor i utilizatorilor externi ai informaiilor; d) protejarea patrimoniului; e) conformitatea activitii societii cu reglementrile legale n vigoare, politica i procedurile societii. Art. 4. - Activitile de control intern includ cel puin urmtoarele: a) analize la nivelul conducerii administrative i al conducerii executive; b) analize operative la nivelul compartimentelor i al structurilor teritoriale ale asigurtorilor; c) controale faptice care au n vedere restricionarea accesului la active, cum ar fi disponibiliti bneti etc.; d) analiza ncadrrii n limitele impuse expunerilor la risc i urmrirea modului n care sunt soluionate situaiile de neconformitate; e) aprobri i autorizri, n cazul operaiunilor ce depesc anumite limite de sume, asigurndu-se astfel controlul asupra realizrii operaiunilor respective de ctre nivelul de conducere competent i stabilirea responsabilitilor; f) verificri ale tranzaciilor efectuate la nivelul asigurtorului i efectuarea de reconcilieri, n special acolo unde exist diferene ntre metodologiile sau sistemele de evaluare utilizate n compartimentele responsabile cu iniierea tranzaciilor (front office) i compartimentele

responsabile cu nregistrarea i monitorizarea tranzaciilor iniiate (back office). Rezultatele verificrilor vor fi comunicate nivelului de conducere superior competent. Art. 5. - Asigurtorii/Reasigurtorii trebuie s revizuiasc activitile de control intern, cel puin anual, pentru a identifica i a evalua n mod corespunztor orice riscuri nou-aprute ca urmare a dezvoltrii activitii. Art. 6. - n vederea organizrii unui asigurtorii/reasigurtorii trebuie s urmreasc: sistem de control intern eficient,

a) repartizarea corespunztoare a atribuiilor la toate nivelurile organizatorice, asigurnduse c personalului nu i sunt alocate responsabiliti care s conduc la conflicte de interese. Domeniile care pot fi afectate de poteniale conflicte de interese trebuie s fie identificate i supuse unei monitorizri independente exercitate de persoane neimplicate direct n activitile respective, a cror informare este efectuat pe baza unor linii de raportare stabilite n mod corespunztor; b) adoptarea unui cod etic pentru personalul propriu, care s defineasc reguli comportamentale, de disciplin i situaii de poteniale conflicte de interese i s prevad aciuni corective adecvate, n cazul n care se ncalc procedurile societii sau codul etic; c) evitarea politicilor sau practicilor de remunerare ce pot favoriza activiti ilegale, care nu respect standardele etice sau care presupun riscuri fa de interesele societii; d) stabilirea unor canale de comunicare care s asigure un flux corespunztor de informaii, la toate nivelurile, care s garanteze c personalul propriu cunoate politicile i procedurile cu implicaii asupra atribuiilor i responsabilitilor sale, c orice informaii relevante ajung n timp util i s permit: - informarea conducerii administrative i a conducerii executive asupra riscurilor aferente activitii i funcionrii asigurtorilor/reasigurtorilor; - informarea nivelurilor inferioare de conducere operativ i a personalului att asupra strategiilor asigurtorilor/reasigurtorilor, ct i asupra politicilor i procedurilor stabilite; difuzarea informaiilor ntre compartimentele i structurile teritoriale asigurtorilor/reasigurtorilor pentru care respectivele informaii au relevan; ale

e) elaborarea de planuri alternative care s permit reluarea activitii n cazul apariiei unor situaii neprevzute, pentru evitarea pierderilor generate de ntreruperea activitii datorit unor factori externi ce nu pot fi controlai de ctre asigurtori/reasigurtori. Replicarea sistemelor critice trebuie asigurat fie prin existena unor sisteme de rezerv situate ntr-o alt locaie aparinnd asigurtorilor/reasigurtorilor, fie prin intermediul unui furnizor extern de servicii. Funcionarea planurilor alternative trebuie testat periodic prin simularea operaiunilor pe sistemele de rezerv, n scopul verificrii disponibilitii acestora; f) elaborarea unor proceduri privind tehnologia de informare i comunicare, menit s asigure existena i meninerea unui sistem informatic adecvat nevoilor societii, corespunztor cu dimensiunea i activitatea societii, care s asigure:

1. separarea mediului de dezvoltare de cel de operare. Accesul la diversele medii trebuie reglementat i controlat prin proceduri ntocmite, innd cont de exigena de limitare a riscurilor i a fraudei. Aceste proceduri garanteaz sigurana datelor, limitnd accesul persoanelor neautorizate din mediul de operare i nregistrnd toate tentativele de acces neautorizate; 2. elaborarea de proceduri pentru aprobarea i achiziia sistemelor hardware i software, precum i externalizarea serviciilor din sistemul informatic; 3. elaborarea de proceduri ce asigur sigurana fizic a sistemelor hardware, software i a bncilor de date, precum i prevenirea utilizrii necorespunztoare a informaiei de ctre personalul asigurtorilor pentru obinerea unor beneficii personale sau prejudicierea reputaiei societii; 4. asigurarea condiiilor de securitate pentru zonele n care sunt accesate informaii cu caracter confidenial; 5. adoptarea de proceduri pentru identificarea i gestionarea evenimentelor care pot prejudicia continuitatea activitii, cum ar fi: incendii, defeciuni la sistemele hardware sau software, erori operaionale din partea utilizatorilor, introducere involuntar de componente strine care s creeze daune sistemului informatic sau reelei etc. Procedurile sunt supuse verificrii din partea auditului intern. Art. 7. - (1) n vederea evitrii disfuncionalitilor n cadrul activitii i a eventualelor pierderi generate de acestea, asigurtorii/reasigurtorii trebuie s controleze eficient riscurile implicate de utilizarea sistemelor informatice. n acest scop se vor efectua att controale generale la nivelul ntregului sistem informatic, ct i controale la nivelul fiecrei aplicaii informatice din componena acestuia. (2) Controalele generale se efectueaz asupra infrastructurii hardware i de comunicaii a sistemelor informatice, precum i asupra sistemelor de operare care asigur funcionarea acestora. Controalele au drept scop verificarea funcionrii continue i corespunztoare a acestora. (3) Controalele generale includ i verificarea existenei i aplicrii procedurilor interne de salvare i restaurare a datelor, a politicilor de efectuare a achiziiilor, a procedurilor de dezvoltare a aplicaiilor informatice, a procedurilor de administrare i ntreinere, precum i a politicilor de securitate viznd accesul fizic i logic la resursele sistemului informatic. (4) Controalele efectuate la nivelul aplicaiilor informatice presupun verificarea existenei unor proceduri de validare i control incluse n codul aplicaiilor informatice utilizate, precum i a unor proceduri/manuale de verificare a modului de procesare a tranzaciilor i efecturii operaiunilor. Art. 8. - (1) Deficienele identificate n legtur cu sistemul de control intern trebuie s fie raportate imediat nivelului de conducere competent, care trebuie s ia msuri pentru remedierea cu promptitudine a acestora. (2) Deficienele majore ale sistemului de control intern trebuie s fie raportate conducerii executive a asigurtorilor/reasigurtorilor i conducerii administrative a acestora.

(3) Conducerea executiv a asigurtorilor/reasigurtorilor are responsabilitatea de a stabili un sistem de detectare a deficienelor sistemului de control intern i de a ntreprinde msuri pentru soluionarea respectivelor deficiene.

CAPITOLUL III Sistemul de management al riscului

Art. 9. - Asigurtorii/Reasigurtorii trebuie s dispun de un sistem de management al riscurilor proporional cu dimensiunea, natura i complexitatea activitii exercitate. Art. 10. - Politica privind managementul riscurilor trebuie s transparent n norme interne i manuale de proceduri, standardele generale aplicabile ntregului personal i regulile categorii de personal care utilizeaz informaii confideniale angaja societatea. fie transpus n mod clar i fcndu-se distincie ntre specifice aplicabile anumitor sau au responsabiliti de a al riscului eficient,

Art. 11. - Pentru asigurarea unui sistem de management asigurtorii/reasigurtorii trebuie s stabileasc, dup caz:

a) un sistem de proceduri de autorizare a operaiunilor afectate de riscuri; b) un sistem de stabilire a limitelor expunerii la risc i de monitorizare a acestora, care s reflecte profilul de risc ales i care s fie n conformitate cu legislaia i cu reglementrile n vigoare; limitele stabilite la nivelul activitilor i/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asigurtorilor/reasigurtorilor; c) un sistem de raportare a expunerilor la riscuri, precum i a altor aspecte legate de riscuri de la fiecare compartiment ctre nivelurile de conducere corespunztoare; d) criterii de recrutare i remunerare a personalului, care s stabileasc standarde ridicate pentru pregtirea, experiena i integritatea acestuia; e) un program de instruire a personalului. Art. 12. - Asigurtorii/Reasigurtorii trebuie s opteze pentru un profil de risc, stabilind obiectivul i strategia de administrare a fiecrui risc, inclusiv n ceea ce privete activitile externalizate. Art. 13. - Societile de asigurare/reasigurare trebuie s fie capabile, printr-un proces adecvat de analize, s neleag natura riscurilor identificate, originea lor, posibilitatea de a le controla i efectele care pot deriva din acestea. Procesul de analiz include evaluri calitative i evaluri cantitative, prin adoptarea unor metodologii de msurare a expunerii la risc, inclusiv sisteme de determinare a pierderii maxime posibile, unde este cazul. Art. 14. - Analizele includ cel puin urmtoarele riscuri: riscul de subscriere, riscul de pia, riscul de credit, riscul operaional, riscul de lichiditate, riscul de concentrare, riscul de contagiune i riscul reputaional.

Art. 15. - Pentru msurarea expunerii la risc societile vor ine cont de relaia dintre riscuri, evalundu-le att separat, ct i sub o baz agregat. Art. 16. - (1) Identificarea i evaluarea riscurilor trebuie s se realizeze cu luarea n considerare a factorilor interni (complexitatea structurii organizatorice, natura activitilor desfurate, calitatea personalului i fluctuaia acestuia) i a factorilor externi (condiii economice, schimbri legislative sau legate de mediul concurenial n sectorul de asigurri, progrese tehnologice). (2) Procesul de evaluare a riscurilor trebuie s includ identificarea att a riscurilor care sunt controlabile de ctre asigurtori/reasigurtori, ct i a celor necontrolabile. n cazul riscurilor controlabile, asigurtorii/reasigurtorii trebuie s stabileasc dac i asum integral aceste riscuri sau msura n care doresc s le reduc prin proceduri de control. n cazul riscurilor necontrolabile, asigurtorii trebuie s decid dac le accept sau dac elimin ori reduc nivelul activitilor afectate de riscurile respective. (3) Evaluarea riscurilor trebuie efectuat i n condiiile unor scenarii alternative, inclusiv n condiii de criz. Art. 17. - Pentru fiecare dintre sursele de risc identificate, societile asigurare/reasigurare trebuie s efectueze analize cantitative utiliznd teste de stres. de

Art. 18. - Testele de stres vor fi create i dezvoltate n concordan cu dimensiunea i natura activitii societii i vor avea o frecven specific tipului de risc, evoluiei dimensiunii activitii societii i contextului pieei, dar cel puin cu o scaden anual. Art. 19. - Rezultatele acestor teste sunt fcute cunoscute conducerii administrative, n scopul de a oferi informaii pentru revizuirea i mbuntirea politicii de gestiune a riscurilor, liniilor operative i limitelor de expunere fixate. Art. 20. - Dac rezultatele acestor analize de stres indic o vulnerabilitate fa de anumite riscuri, asigurtorii adopt imediat msuri pentru gestionarea adecvat a acestor riscuri. Art. 21. - n ceea ce privete activitatea de investiii, asigurtorii/reasigurtorii trebuie s ntocmeasc proceduri pentru monitorizarea i administrarea activelor, n corelaie cu natura i scadena obligaiilor, i s se asigure c activitatea de investiii este potrivit profilului de risc aprobat. Art. 22. - Politicile de identificare, evaluare i gestiune a riscurilor aferente activitii de investiii trebuie definite i implementate avnd o viziune integrat asupra activelor i a obligaiilor din bilanul contabil. Dezvoltarea unor tehnici i modele de management al activelor i al obligaiilor este fundamental pentru o corect nelegere i gestiune a expunerii la risc, care poate s derive din lipsa unui echilibru ntre partea de active i cea de obligaii. Art. 23. - Procesele de identificare i evaluare a riscurilor trebuie s se desfoare continuu, pentru a ine cont de modificrile intervenite n natura i dimensiunea afacerii i n contextul de pia, precum i de apariia unor noi riscuri sau de schimbarea celor existente. O atenie deosebit trebuie acordat evalurii riscurilor care apar odat cu oferta de noi produse sau

cu intrarea pe alte piee, i modului n care poate fi afectat administrarea activelor i a obligaiilor. Art. 24. - Asigurtorii/Reasigurtorii trebuie s defineasc o procedur prin care s se evidenieze cu operativitate apariia unor riscuri care pot afecta situaia patrimonial i economic sau care depesc limitele de toleran fixate. Pentru surse de risc majore identificate, societatea trebuie s dispun msuri de intervenie imediate. Art. 25. - (1) Asigurtorii/Reasigurtorii trebuie s dispun de un sistem informatic auditat n conformitate cu reglementrile n vigoare privind tehnologia informaiei, care s certifice adecvarea acestuia la specificul i volumul activitii, gradul de securitate a informaiei, capacitatea de a furniza raportrile solicitate de Comisia de Supraveghere a Asigurrilor, capacitatea de conectare la reea pentru transmiterea electronic a raportrilor, capacitatea de stocare/arhivare a datelor, ndeplinirea de ctre sistemele informatice a criteriilor minimale prevzute de reglementrile n vigoare pentru prelucrarea automat a datelor n domeniul financiar-contabil. (2) Auditarea sistemelor informatice conform prevederilor alin. (1) se va efectua de ctre un auditor financiar, altul dect cel care auditeaz situaiile financiare ale societii, membru activ al Camerei Auditorilor Financiari din Romnia i care trebuie s dispun de personal specializat, cu experien n ceea ce privete sistemele informatice. Art. 26. - Asigurtorii/Reasigurtorii trebuie s dispun de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implic analize independente i regulate, evaluri ale eficacitii sistemului i, acolo unde se impune, asigurarea remedierii deficienelor constatate. Rezultatele unor astfel de analize trebuie s fie comunicate n mod direct conducerii administrative, comitetului de management al riscurilor i comitetului de audit. Art. 27. - n procesul de management al riscurilor, asigurtorii/reasigurtorii trebuie s constituie un comitet de management al riscurilor. Art. 28. - (1) Comitetul de management al riscurilor este un comitet permanent, ale crui funcionare i atribuii sunt reglementate de prezentele norme i de regulamentele interne ale fiecrui asigurtor/reasigurtor. (2) Comitetul de management al riscurilor i poate desfura lucrrile n subcomitete, n funcie de mrimea i de complexitatea asigurtorului/reasigurtorului. (3) Comitetul de management al riscurilor se constituie prin decizie a conducerii administrative i trebuie s cuprind minimum 3 membri, n funcie de dimensiunea activitii societii. Art. 29. - Asigurtorii/Reasigurtorii trebuie s dispun de un regulament al comitetului de management al riscurilor, aprobat la nivelul conducerii administrative i revizuit periodic, dup caz, care s indice componena, autoritatea i responsabilitile acestuia i modul de raportare ctre conducerea administrativ. Art. 30. - (1) Membrii comitetului de management al riscurilor trebuie s aib o experien compatibil cu responsabilitile lor n cadrul acestuia.

(2) Comitetul de management al riscurilor este format din membri ai conducerii executive i operative a asigurtorului/reasigurtorului. Art. 31. - Comitetul de management al riscurilor va avea cel puin urmtoarele atribuii: a) s informeze conducerea administrativ asupra situaiei expunerilor societii la riscuri, ori de cte ori intervin schimbri semnificative n expunerea la riscuri, dar cel puin trimestrial, informri suficient de detaliate i oportune care s permit conducerii s cunoasc i s evalueze performana n monitorizarea i controlul riscurilor, potrivit politicilor aprobate; b) s informeze conducerea administrativ asupra problemelor i evoluiilor semnificative care ar putea influena profilul de risc al asigurtorului/reasigurtorului; c) s dezvolte politici i proceduri adecvate pentru identificarea, evaluarea, monitorizarea i controlul riscurilor i s stabileasc limite corespunztoare privind expunerea la riscuri, inclusiv pentru condiii de criz, n conformitate cu mrimea, complexitatea i situaia financiar a asigurtorului/ reasigurtorului, precum i proceduri necesare pentru aprobarea excepiilor de la respectivele limite; d) s aprobe metodologii i modele adecvate pentru evaluarea riscurilor i limitarea expunerilor la riscuri; e) s aprobe angajarea asigurtorului/reasigurtorului n noi activiti specifice domeniului de activitate, pe baza analizei riscurilor aferente acestora; f) s analizeze msura n care planurile alternative de care dispune asigurtorul/reasigurtorul corespund situaiilor neprevzute cu care acesta s-ar putea confrunta; g) s stabileasc sisteme de raportare n cadrul societii privind aspecte legate de riscuri; h) s stabileasc competene i responsabiliti la nivel de compartimente privind administrarea i controlul expunerilor la riscuri. Structura de management al riscului Art. 32. - Societile de asigurare/reasigurare trebuie s instituie o structur de management al riscului, corespunztor naturii, dimensiunii i complexitii activitii, care: a) contribuie la definirea metodologiei de msurare a riscurilor; b) avizeaz fluxurile informaionale necesare pentru asigurarea controlului operativ al expunerilor la risc i ia msuri imediate pentru corectarea acestora; c) ntocmete rapoartele ctre conducerea administrativ i conducerea executiv privind evoluia riscurilor i depirea limitelor de toleran aprobate; d) contribuie la efectuarea analizelor de stres. Art. 33. - Structura de management al riscului trebuie s nu fie subordonat funciilor operative. Poziia organizatoric a structurii de management al riscului este lsat la

autonomia societilor de asigurare, acestea trebuind s respecte principiul de separare ntre funciile operative i cele de control. Art. 34. - Persoana desemnat de asigurtori/reasigurtori pentru conducerea acestei structuri trebuie s ndeplineasc criteriile de aprobare prevzute de Normele privind autorizarea asigurtorilor, puse n aplicare prin Ordinul preedintelui Comisiei de Supraveghere a Asigurrilor nr. 16/2009, publicat n Monitorul Oficial al Romniei, Partea I, nr. 569 din 14 august 2009.

CAPITOLUL IV Rolul i responsabilitile conducerii administrative i ale conducerii executive

SECIUNEA 1 Rolul i responsabilitile conducerii administrative i ale conducerii executive n ceea ce privete controlul intern

Art. 35. - (1) Conducerea administrativ a asigurtorilor/reasigurtorilor este responsabil pentru stabilirea i meninerea unui sistem de control intern adecvat i eficient. (2) n contextul prevederilor alin. (1), asigurtorilor/reasigurtorilor are urmtoarele atribuii: conducerea administrativ a

a) aprob structura organizatoric a societii, precum i atribuiile i responsabilitile unitilor operative; b) se asigur c sunt adoptate procese decizionale adecvate i c se efectueaz o separare corect a funciunilor; c) aprob sistemul de delegare a puterii i a responsabilitilor, evitnd concentrarea excesiv a puterii ntr-o singur persoan i punnd n execuie instrumente de verificare a respectrii puterilor delegate; d) definete i evalueaz cel puin o dat pe an strategia i politica de identificare, evaluare i gestiune a riscurilor semnificative i aprob nivelurile de toleran pe care le revizuiete cel puin anual; e) aprob politica i strategia societii, revizuindu-le cel puin anual, i urmrete evoluia activitii societii i a condiiilor externe; f) verific dac conducerea societii implementeaz corect sistemul de control intern i de gestiune a riscurilor conform politicilor stabilite;

g) cere s fie periodic informat despre eficacitatea sistemului de control intern i de gestiune a riscurilor. (3) Pentru ndeplinirea atribuiilor ce i revin, conducerea administrativ trebuie s ntreprind cel puin urmtoarele msuri: a) discuii periodice, cel puin trimestrial, cu conducerea operativ privind eficiena sistemului de control intern; b) analiz periodic, cel puin trimestrial, a evalurilor sistemului de control intern efectuate de conducerea operativ i de auditul intern; c) urmrirea implementrii de ctre conducerea operativ a recomandrilor formulate de auditul intern, de auditorul financiar extern i de Comisia de Supraveghere a Asigurrilor cu privire la deficienele sistemului de control intern i examinarea efectului msurilor implementate. Art. 36. - (1) Conducerea executiv a asigurtorului/reasigurtorului are responsabiliti pe linia monitorizrii funcionrii adecvate i eficiente a sistemului de control intern. (2) n contextul prevederilor alin. (1), conducerea executiv are cel puin urmtoarele atribuii: a) definete n detaliu structura organizatoric a societii, drepturile i responsabilitile unitilor operative i procesele decizionale, n concordan cu politica stabilit de conducerea administrativ; asigur o separare a obligaiilor i a responsabilitilor ntre funcii n scopul de a evita situaiile de conflict de interese; b) realizeaz politica de evaluare i de gestiune a riscurilor aprobat de conducerea administrativ, asigurnd definirea limitelor operative, i verific ncadrarea n aceste limite; monitorizeaz expunerea la riscuri i respectarea nivelurilor de toleran aprobate de organul administrativ; c) se asigur c responsabilitile delegate conducerii operative cu privire la stabilirea politicilor i procedurilor de control intern sunt ndeplinite n mod corespunztor; d) verific dac conducerea administrativ este periodic informat despre eficiena i funcionalitatea sistemului de control intern i de gestiune a riscurilor; e) urmrete dac personalul societii i cunoate propriul rol i propriile responsabiliti, cu scopul de a fi efectiv implicat n desfurarea controlului ca i cum ar face parte din propria sa activitate; f) stabilete procese operative i canale de raportare; g) promoveaz continuu comunicarea n cadrul societii cu scopul de a favoriza adeziunea ntregului personal la principiile de integritate moral i valorile etice; h) propune conducerii administrative iniiative menite s mbunteasc sistemul de control intern i de gestiune a riscurilor; i) asigur instruirea corespunztoare a personalului.

SECIUNEA a 2-a Rolul i responsabilitile conducerii administrative i ale conducerii executive n ceea ce privete managementul riscului

Art. 37. - n domeniul managementului riscurilor, conducerea asigurtorilor/reasigurtorilor are cel puin urmtoarele atribuii: a) s aprobe i s reconsidere profilul de risc al acestora;

administrativ

b) s aprobe politicile privind managementul riscurilor, s le analizeze periodic, cel puin anual, i s dispun revizuirea acestora, dup caz; c) s asigure luarea de ctre conducerea executiv a msurilor necesare pentru identificarea, evaluarea, monitorizarea i controlul riscurilor, inclusiv pentru activitile externalizate; d) s aprobe procedurile de stabilire a competenelor i a responsabilitilor n domeniul managementului riscurilor; e) s aprobe externalizarea unor activiti; f) s aprobe politica de instruire a personalului. Art. 38. - n domeniul managementului riscurilor, conducerea executiv asigurtorilor/reasigurtorilor este responsabil cel puin pentru urmtoarele: a

a) implementarea strategiilor aprobate de conducerea administrativ i asigurarea comunicrii acestora personalului implicat n punerea lor n aplicare; b) asigurarea comunicrii politicilor i procedurilor pentru identificarea, evaluarea, monitorizarea i controlul riscurilor personalului implicat n punerea lor n aplicare; c) meninerea unor sisteme de raportare corespunztoare a expunerilor la riscuri, precum i a altor aspecte legate de riscuri; d) meninerea limitelor corespunztoare privind expunerea la riscuri, inclusiv pentru condiii de criz, n conformitate cu mrimea, complexitatea i cu situaia financiar a asigurtorilor/reasigurtorilor; e) meninerea eficienei i eficacitii sistemului de control intern; f) analizarea oportunitii externalizrii unor activiti prin prisma riscurilor implicate de externalizare; g) supravegherea i monitorizarea contractelor de externalizare; h) urmrirea instruirii corespunztoare a personalului;

i) asigurarea concordanei politicilor de remunerare asigurtorului/reasigurtorului privind riscurile.

personalului

cu

strategia

CAPITOLUL V Audit intern

Art. 39. - Asigurtorii/Reasigurtorii au obligaia, conform reglementrilor n vigoare privind auditul intern, s instituie o funcie/structur de audit intern cu scopul de a monitoriza i evalua eficacitatea i eficiena sistemului de control intern i a celorlalte activiti din cadrul societii. Art. 40. - Funcia de audit intern trebuie organizat respectndu-se urmtoarele cerine: a) poziia funciei n cadrul structurii organizatorice trebuie s fie astfel nct s garanteze independena i autonomia, pentru a nu fi compromis obiectivitatea procesului de audit; funcia de audit intern nu depinde ierarhic de niciun responsabil din aria operativ; personalului implicat n auditul intern nu trebuie s i fie ncredinate responsabiliti operative sau acesta nu trebuie s verifice activitatea desfurat n trecut, dac nu a trecut cel puin un an de la schimbarea activitii; b) funcia de audit intern trebuie s aib legturi cu toate structurile de control din cadrul societii; c) responsabilul cu funcia de audit intern este numit de conducerea administrativ. El trebuie s aib competena profesional pentru a realiza aceast activitate, conform reglementrilor Camerei Auditorilor Financiari din Romnia. Atribuiile persoanei responsabile cu funcia de audit intern trebuie clar definite, iar responsabilitatea i modalitatea de raportare ctre conducerea administrativ trebuie precizate n fia postului/obligaiile contractuale (n cazul externalizrii auditului intern). Responsabilul cu funcia de audit intern este mputernicit cu autoritatea necesar pentru a garanta independena sa; d) personalului implicat n activitatea de audit intern trebuie s i se asigure accesul la toate structurile societii i la ntreaga documentaie, inclusiv informaii privind activitile externalizate; e) structura trebuie s fie corespunztoare dimensiunii societii i obiectivelor stabilite, n ceea ce privete resursele umane i tehnologia. Art. 41. - Funcia de audit intern va include n principal urmtoarele activiti: a) evaluarea eficienei i a gradului de adecvare a sistemului de control intern; b) evaluarea modului de aplicare i a eficacitii procedurilor de management al riscurilor; c) analizarea relevanei i integritii datelor furnizate de sistemele informaionale financiare i de gestiune, inclusiv sistemul informatic;

d) verificarea funcionrii i eficienei fluxurilor informaionale ntre sectoarele activitii; e) evaluarea acurateei i credibilitii nregistrrilor contabile care stau la baza ntocmirii situaiilor financiare i a raportrilor contabile; f) evaluarea modului n care se asigur protejarea elementelor patrimoniale bilaniere i extrabilaniere i identificarea metodelor de prevenire a fraudelor i pierderilor de orice fel; g) evaluarea modului n care sunt respectate dispoziiile cadrului legal, cerinele codurilor etice, precum i evaluarea modului n care sunt implementate politicile i procedurile asigurtorului/reasigurtorului; h) testarea integritii i credibilitii raportrilor, inclusiv a celor destinate utilizatorilor externi; i) eficiena controalelor efectuate asupra activitilor externalizate. Art. 42. - Funcia de audit intern i planific activitatea astfel nct s identifice zonele care vor fi supuse cu prioritate auditului. Planul de audit este supus aprobrii conducerii administrative i identific activitile, operaiunile i procesele supuse auditului, operaiunile i sistemele de verificare, descriind criteriile sub care acestea au fost selecionate i specificnd resursele necesare executrii planului. Art. 43. - Funcia de audit intern va comunica cel puin trimestrial conducerii administrative, conducerii executive i funciei de control intern rezultatele verificrii i eventualele disfunciuni. Este obligatoriu s semnaleze imediat conducerii administrative i conducerii executive situaiile de o gravitate special. Rapoartele de audit trebuie s fie obiective, clare, concise, oportune i s conin propuneri pentru eliminarea lipsurilor ntlnite. Art. 44. - Asigurtorii/Reasigurtorii trebuie s elaboreze norme de audit intern, unde vor stabili cel puin urmtoarele: a) obiectivele i sfera de cuprindere ale auditului intern; b) poziia auditului intern n cadrul societii, competenele i responsabilitile acestuia; c) responsabilitile coordonatorului activitii de audit intern; d) termenii i condiiile n care auditorii interni pot furniza servicii de consultan sau pot ndeplini alte sarcini speciale. Art. 45. - Normele de audit intern trebuie s fie revizuite periodic, dac este cazul, i comunicate structurilor organizatorice ale societii. Ele trebuie aprobate de conducerea administrativ, cu avizul comitetului de audit. Art. 46. - Normele de audit intern trebuie s prevad dreptul de iniiativ al auditorului intern i autoritatea acestuia de a comunica cu orice membru din cadrul conducerii societii, de a examina orice activitate, compartiment sau sediu secundar al societii, precum i accesul acestuia la orice nregistrri, fiiere i informaii interne, inclusiv la informaii destinate conducerii, precum i la procese-verbale i alte materiale cu caracter similar ale tuturor organelor de decizie i consultative, care prezint relevan n ndeplinirea atribuiilor sale.

Art. 47. - Asigurtorii/Reasigurtorii trebuie s se asigure c auditorii interni rspund din punct de vedere profesional obiectivelor prevzute de normele de audit intern i c sunt competeni pentru ndeplinirea responsabilitilor individuale. Art. 48. - Pentru a nu fi afectat capacitatea de evaluare critic a auditorilor interni, ca urmare a rutinei i executrii permanente a acelorai sarcini, societile de asigurare trebuie s asigure, n msura posibilitilor, rotirea responsabililor misiunilor de audit intern, cu condiia respectrii principiului obiectivitii i imparialitii. Art. 49. - (1) Auditorii interni trebuie s fie prudeni n utilizarea informaiilor colectate n exercitarea activitii i s asigure protejarea acestor informaii. (2) Este interzis ca auditorii interni s utilizeze informaiile colectate pentru obinerea unor avantaje personale sau n orice mod care ar fi contrar prevederilor legale ori n detrimentul obiectivelor societii de asigurare. Art. 50. - Auditorii interni trebuie s fie coreci, oneti i incoruptibili, s respecte prevederile legale i ale Codului privind conduita etic n activitatea de audit intern i s comunice informaii potrivit cerinelor legale i ale profesiei. Art. 51. - Asigurtorii/Reasigurtorii trebuie s dispun de un comitet de audit, constituit conform reglementrilor n vigoare, i s dispun de un regulament al comitetului de audit, aprobat la nivelul conducerii administrative i revizuit periodic, dac este cazul, care s indice componena, competenele i atribuiile acestuia, modul de raportare ctre conducerea administrativ, precum i periodicitatea ntrunirilor comitetului de audit. Art. 52. - Structurile de audit intern, control intern, management al riscului i actuariat, precum i orice alt organ de control cruia i este atribuit o funcie specific de control colaboreaz ntre ele, schimbnd orice informaii utile necesare pentru ndeplinirea atribuiilor.

CAPITOLUL VI Externalizarea activitilor

Art. 53. - (1) Asigurtorii/Reasigurtorii trebuie s dispun de politici privind externalizarea activitilor auxiliare sau conexe n raport cu activitile principale. (2) Asigurtorii/Reasigurtorii trebuie s dispun de proceduri de administrare a riscurilor asociate activitilor externalizate. (3) Procedurile de management al riscurilor asociate activitilor externalizate se vor referi cel puin la urmtoarele: a) luarea deciziilor privind externalizarea unor noi activiti sau modificarea celor existente; b) selectarea i evaluarea societilor prestatoare de servicii auxiliare sau conexe n legtur cu aspecte cum ar fi: solvabilitatea, reputaia, familiarizarea cu specificul sectorului asigurrilor, calitatea serviciilor prestate, organizarea activitii i controlul intern, existena

unui personal competent, existena unui plan alternativ de redresare a activitii, asigurarea confidenialitii informaiei; c) monitorizarea modului n care societile prestatoare de servicii auxiliare sau conexe desfoar activitile externalizate; d) elaborarea de planuri alternative i stabilirea costurilor i a resurselor necesare pentru schimbarea societilor prestatoare de servicii auxiliare sau conexe. Art. 54. - (1) Asigurtorii/Reasigurtorii pot externaliza activiti doar n condiiile ncheierii de contracte cu societi prestatoare de servicii auxiliare sau conexe. (2) Contractele ncheiate cu societi prestatoare de servicii auxiliare sau conexe n legtur cu activitile externalizate trebuie s fie n form scris i s cuprind n mod clar responsabilitile fiecarei pri. (3) Asigurtorii/Reasigurtorii vor putea ncheia contracte cu societi prestatoare de servicii auxiliare sau conexe pentru externalizarea unor activiti, n urmtoarele condiii: a) asigurarea respectrii de ctre furnizorul de servicii a prevederilor legislaiei n vigoare i a normelor Comisiei de Supraveghere a Asigurrilor referitoare la serviciile/activitile externalizate; b) asigurarea furnizrii de ctre societatea prestatoare de servicii a unor date actualizate la nivelul asigurtorului/ reasigurtorului privind desfurarea activitii externalizate; c) asigurarea accesului reprezentanilor Comisiei de Supraveghere a Asigurrilor la toate datele i informaiile aferente operaiunilor efectuate pentru asigurtor/reasigurtor de ctre societile prestatoare de servicii; d) asigurarea securitii/confidenialitii datelor cel puin prin urmtoarele msuri: angajamentul societii prestatoare de servicii auxiliare sau conexe i al personalului acesteia de a se supune regulilor de confidenialitate i drepturile contractuale ale asigurtorului/reasigurtorului de a lua msuri mpotriva societii prestatoare de servicii auxiliare sau conexe n cazul nclcrii confidenialitii, evidenierea separat a datelor asigurtorului/reasigurtorului de cele ale societii prestatoare de servicii auxiliare sau conexe i de cele ale altor clieni ai acesteia. Art. 55. - Asigurtorii/Reasigurtorii nu pot externaliza urmtoarele activiti: a) activitatea de audit intern, n condiiile n care furnizorul extern de servicii n domeniul auditului intern are i calitatea de auditor financiar al societii de asigurare n cauz. Coordonatorul activitii de audit intern trebuie s fie angajat al societii de asigurare; b) organizarea i inerea contabilitii, n condiiile n care ntre persoanele crora le-ar fi externalizat activitatea de contabilitate i auditorul financiar exist legturi ce afecteaz independena acestuia n exercitarea mandatului; c) organizarea i desfurarea activitii juridice curente, n conformitate cu dispoziiile Legii nr. 514/2003 privind organizarea i exercitarea profesiei de consilier juridic, cu completrile ulterioare;

d) activitatea de investiii, n ceea ce privete plasarea i gestionarea activelor admise s acopere rezervele tehnice brute; e) orice alte activiti care n urma externalizrii nu mai pot fi controlate i desfurate n conformitate cu regulile unei practici prudente i sntoase. Art. 56. - n cazul externalizrii unor activiti, conducerea administrativ i conducerea executiv ale asigurtorilor/reasigurtorilor rspund pentru atingerea obiectivelor controlului intern aferente respectivelor activiti.

CAPITOLUL VII Raportri

Art. 57. - (1) Asigurtorii/Reasigurtorii trebuie s ntocmeasc anual un raport asupra condiiilor n care este desfurat controlul intern. Acest raport trebuie s cuprind cel puin: a) o inventariere a principalelor deficiene identificate n cadrul sistemului de control intern i msurile ntreprinse pentru corectarea acestora; b) o descriere a modificrilor semnificative intervenite n sistemul de control intern n perioada respectiv, n special axate pe evoluia activitii i a riscurilor; c) o descriere a condiiilor de aplicare a procedurilor de control aferente noilor activiti; d) modul de desfurare a controlului intern n cadrul structurilor teritoriale ale asigurtorilor/reasigurtorilor din strintate. (2) Raportul ntocmit de ctre asigurtori/reasigurtori trebuie s includ i condiiile n care se desfoar controlul intern la nivelul entitilor cuprinse n perimetrul lor de consolidare i al societilor prestatoare de servicii auxiliare sau conexe. Art. 58. - (1) Asigurtorii/Reasigurtorii trebuie s ntocmeasc anual un raport privind msurile luate pe linia managementului riscurilor la care sunt expui acetia i, dup caz, msurile luate de entitile cuprinse n perimetrul lor de consolidare i societile prestatoare de servicii auxiliare sau conexe. (2) Raportul trebuie s fie aprobat de comitetul de management al riscului i trebuie s cuprind cel puin: a) profilul de risc al societii i politica de management al riscurilor, cu specificarea toleranei asigurtorului/reasigurtorului la principalele riscuri i limitele stabilite pentru gestionarea acestora; b) metodologia folosit n evaluarea fiecrei categorii de risc, testele de stres folosite i rezultatele acestora, frecvena i coninutul rapoartelor interne privind analiza i administrarea riscurilor;

c) detalii ale politicilor de investiii, incluznd procedurile de identificare, monitorizare i control al riscurilor, detalii referitoare la strategiile investiionale cu produse derivate sau produse cu efect similar, precum i procedurile referitoare la introducerea de noi instrumente de investiii i de monitorizare a riscurilor asociate cu utilizarea acestora; d) informaii despre managementul intern al portofoliilor de active i al obligaiilor: detalii despre administrarea activelor n corelaie cu natura i scadena obligaiilor, detalii despre investiiile intragrup realizate; e) procedurile asigurtorului/reasigurtorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare i monitorizare a administratorilor de fonduri i a societilor de servicii de investiii financiare; f) o prezentare a modului de abordare i a politicilor asigurtorului/reasigurtorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare i solvabilitate; g) detalii referitoare la salarizarea personalului pentru a stabili dac compania acord prime sau alte stimulente salariale mari care determin o mrire nejustificat a expunerii la risc a societii; h) un plan de afaceri global al asigurtorului/reasigurtorului pentru anul urmtor, care cuprinde informaii referitoare la noile produse lansate de societate, strategia de distribuie a produselor, procesul de subscriere i activitatea de reasigurare; i) planurile elaborate de asigurtor/reasigurtor pentru mprejurri neprevzute; j) lista tuturor deciziilor consiliului de administraie/consiliului de supraveghere; k) detalii referitoare la serviciile externalizate; l) eventuale modificri n organigrama societii i n sistemul de delegare a responsabilitilor fa de cele comunicate anterior ctre Comisia de Supraveghere a Asigurrilor; m) planul de activitate al comitetului de management al riscului n perioada analizat. Art. 59. - Asigurtorii/Reasigurtorii trebuie s ntocmeasc anual un raport privind aciunile de audit desfurate, din care s reias constatrile i recomandrile auditului intern i modul de implementare a recomandrilor respective la nivelul structurii auditate. Art. 60. - Rapoartele menionate la art. 57-59 trebuie s fie transmise Comisiei de Supraveghere a Asigurrilor n termen de 6 luni de la ncheierea exerciiului financiar. Art. 61. - Pentru controlul intern al activitii, managementul riscului i desfurarea activitii de audit intern, asigurtorii/reasigurtorii vor avea n vedere att prevederile legislaiei naionale, ct i standardele internaionale n materie. Art. 62. - Asigurtorii/Reasigurtorii vor transmite Comisiei de Supraveghere a Asigurrilor, pn la data de 31 decembrie 2010, dovada auditrii sistemului informatic conform cerinelor art. 25.

Art. 63. - Asigurtorii/Reasigurtorii au obligaia s i revizuiasc/elaboreze normele interne privind organizarea controlului intern al activitii, normele interne privind organizarea sistemului de management al riscurilor, regulamentul comitetului de management al riscurilor, normele de audit intern i regulamentul comitetului de audit, n concordan cu prevederile prezentelor norme, i s le transmit Comisiei de Supraveghere a Asigurrilor pn la data de 31 decembrie 2009. Orice revizuire ulterioar a normelor interne va fi transmis n termen de 30 de zile de la aprobare. Art. 64. - Nerespectarea prevederilor prezentelor norme constituie contravenie i se sancioneaz conform prevederilor art. 39 din Legea nr. 32/2000, cu modificrile i completrile ulterioare.