INSTITUTUL BANCAR ROMÂN

Nota obţinută

OFIŢER CONFORMITARE - Cod COR 241516

Perioada: 10 octombrie – 17 decembrie 2011

Seria II

Lucrare de evaluare nr. 1

Data: 20 octombrie 2011
Modulele 1 şi 2

Şchiopu Adina
BCR Banca pentru Locuinţe S.A.

Ofiţer conformitate – cod COR 241516

 Bucureşti, 2011

Ofiţer conformitate – cod COR 241516

CERINŢE:

 Alcătuiţi un Raport de conformare adresat conducerii băncii care sa respecte cerinţele de

forma si fond prezentate in cadrul acestui modul. Raportul va cuprinde analiza unui eşantion
de trei acte normative la care banca trebuie sa asigure conformarea.

 Alegeţi o procedura interna (la libera dvs. alegere) si realizaţi activitatea de evaluare a
adecvării ei la cerinţele legii si/sau standardelor băncii dvs. Descrieţi metoda folosita, ce
factori aţi luat in considerare, deficientele identificate si propunerile dvs. de modificare a
procedurii existente, in scopul alinierii pe deplin la cerinţele legii /standardului intern.

CUPRINS1

Pag.
Raport de Conformare 2012 1

Norma de Cunostere a Clientelei - Gap Analysis 7

Anexa 1 – Matricea Riscurilor

11

1
Numărul maxim de pagini al lucrării: 10, se acceptă suplimentar max 5 pagini de anexe, grafice, font Arial 10
Termen de predare: 20 octombrie, lucrarea se transmite la adresa maria.plaisanu@ibr-ibr.ro
Termen prezentare rezultate: 27 octombrie 2011.

Ofiţer conformitate – cod COR 241516

 Raport de Conformare 2012

I. Cover

Prezentul Raport aparţine ABC Bank, o instituţie de credit organizata in sistem dualist, in conformitate cu legislaţia in vigoare, in care conducerea este asigurata de un directorat
- Comitetul Executiv si de Consiliul de Supraveghere al ABC Bank.
Prezentul Raport este întocmit de către Direcţia Conformitate a ABC Bank si este adresat structurii de conducere a acesteia, spre a fi avizat de către Comitetul Executiv si
aprobat de către Consiliului de Supraveghere, potrivit prerogativelor conferite acestora de cadrul legislativ in vigoare si transpuse in reglementările interne ale ABC Bank, si
anume Regulamentul de Organizare si Funcţionare al Comitetului Executiv, respectiv Regulamentul de Organizare si Funcţionare al Consiliului de Supraveghere.

Scopul Raportului de Conformare: Identificarea obligaţiilor legale la care banca trebuie sa se conformeze, evaluarea gradului de risc asociat neconformării la obligaţiile legale,
stabilirea personalului responsabil de conformarea la obligaţiile legale, identificarea masurilor interne ale băncii de conformare;

Cadrul de Conformare: inventarul legislaţiei aplicabile activităţii băncii. Banca trebuie sa asigure conformarea la următoarele legi:

Nr. Denumirea actului normativ Numărul Data emiterii actului

crt. actului normativ
normativ
1. Legea pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulaţie a acestor date 677 21.11.2001
2. Legea privind integritatea in exercitarea funcţiilor si demnităţilor publice, pentru modificarea si completarea Legii nr. 176 01.09.2010
144/2007 privind înfiinţarea, organizarea si funcţionarea Agenţiei Naţionale de Integritatea, precum si modificarea si
completarea altor acte normative
3. Legea privind prevenirea si combaterea terorismului 535 25.11.2004

Apetitul la risc al ABC Bank: Conform Strategiei de administrare a riscurilor semnificative a ABC Bank, nivelul de risc pe care banca este dispusa sa il accepte este mediu.

Evaluarea gradului de risc asociat neconformării la obligaţiile legale: conform matricei riscurilor prezentata in Anexa 1 – „Matricea riscurilor”

II. Raport de Conformare

Denumire, Obligaţiile legale la care banca trebuie Risc Responsabilităţi personal Masuri interne de Masuri interne de Risc
lege, sa asigure conformarea inerent conformare existente conformare propuse rezidual
regulament,
standard
Legea nr. Obligaţia: Banca este obligata sa notifice Înalt Consiliul de Supraveghere Procedura privind Stabilirea competentelor de Mediu
677/2001 ANSPDCP, înainte de efectuarea oricărei Comitetul Executiv prelucrarea datelor cu aprobare a prelucrării de
pentru prelucrări de date cu caracter personal Direcţia Juridica caracter personal noi date la nivelul structurii
protecţia ori a unui ansamblu de prelucrări, având Direcţia Conformitate de conducere (modificare
persoanelor acelaşi scop sau scopuri corelate, Întregul personal Notificare pentru ROF CE; ROF CS), cu
cu privire la conform art. 22; prelucrarea datelor cu avizul prealabil al Direcţiei
prelucrarea Sancţiunea: Nerespectarea acestei caracter personal Conformitate si Direcţiei
Ofiţer conformitate – cod COR 241516
datelor cu obligaţii constituie: Juridic
caracter - contravenţie si se sancţionează Contractele /cererile
personal si cu amenda de la 500 RON la standard ale băncii sunt Training Conformitate
libera 10.000 RON; sau avizate de Direcţia
circulaţie a - infracţiune (daca sunt îndeplinite Juridic si Direcţia
acestor date condiţiile acesteia) Conformitate

a1
Obligaţia: Banca este obligata ca pentru Critic Consiliul de Supraveghere Procedura privind Stabilirea competentelor de Înalt
orice prelucrare de date cu caracter Comitetul Executiv prelucrarea datelor cu aprobare a prelucrării de
personal sa obtina in prealabil Direcţia Juridica caracter personal noi date la nivelul structurii
consimtamantul in mod expres si Întregul personal de conducere (modificare
neechivoc pentru acea prelucrare, Draftul cererilor de ROF CE; ROF CS), cu
conform art. 5; deschidere cont avizul prealabil al Direcţiei
/contractelor băncii Conformitate si Direcţiei
a2 Sancţiunea: Nerespectarea acestei cuprinde declaraţia Juridic
obligaţii constituie: clientului in acest sens
- contravenţie si se sancţionează si sunt supuse avizării Training Conformitate
cu amenda de la 1.000 RON la Direcţiei Juridic si
25.000 RON; Direcţiei Conformitate la
- infracţiune (daca sunt îndeplinite fiecare modificare
condiţiile acesteia);

a3 Obligaţia: Banca este obligata sa Critic Consiliul de Supraveghere Procedura privind Stabilirea competentelor de Înalt
prelucreze date cu caracter personal Comitetul Executiv prelucrarea datelor cu aprobare a prelucrării de
numai cu buna-credinţa, in conformitate Întregul personal caracter personal noi date la nivelul structurii
cu dispoziţiile legale in vigoare; datele sa de conducere (modificare
fie colectate in scopuri determinate, ROF CE; ROF CS), cu
explicite si legitime, sa fie adecvate, avizul prealabil al Direcţiei
pertinente si neexcesive in raport cu Conformitate si Direcţiei
scopul pentru care sunt colectate si Juridic
ulterior prelucrate, exacte, actualizate,
stocate intr-o forma care sa permită Implementarea in aplicaţia
identificarea persoanelor vizate strict pe IT a scopului prelucrării
durata necesara realizării scopului in pentru care clientul si-a dat
care datele au fost colectate; consimtamantul

Sancţiunea: Nerespectarea acestei Training Conformitate

obligaţii constituie:
- contravenţie si se sancţionează
cu amenda de la 1.000 RON la
25.000 RON;
- infracţiune (daca sunt îndeplinite
condiţiile acesteia);

Ofiţer conformitate – cod COR 241516

 Obligaţia: Banca are obligaţia ca după Critic Consiliul de Supraveghere Procedura privind Implementarea in sistemul Înalt
încheierea operaţiunilor de prelucrare Comitetul Executiv prelucrarea datelor cu IT a unor alerte care sa se
(daca persoana vizata nu si-a dat Direcţia IT caracter personal genereze la momentul
consimtamantul expres si neechivoc Întregul personal încheierii operaţiunii de
pentru o alta destinaţie /prelucrare) sa Procedura privind prelucrare;
distrugă /transfere către un alt operator destinaţia ulterioara a
/transforme in date anonime si stocheze datelor cu caracter Implementarea in aplicaţia
in scopuri statistice, de cercetare istorica personal IT a scopului prelucrării
sau ştiinţifica datele, conform art. 6; pentru care clientul si-a dat
a4
consimtamantul
Sancţiunea: Nerespectarea acestei
obligaţii constituie: Training Conformitate
- contravenţie si se sancţionează
cu amenda de la 1.000 RON la
25.000 RON;
- infracţiune (daca sunt îndeplinite
condiţiile acesteia)

Obligaţia: Banca poate prelucra codul Critic Consiliul de Supraveghere Procedura privind Stabilirea competentelor de Înalt
numeric personal sau alte date cu Comitetul Executiv prelucrarea datelor cu aprobare a prelucrării de
caracter personal având funcţie de Întregul personal caracter personal noi date la nivelul structurii
identificare generala numai daca de conducere (modificare
persoana vizata si-a dat consimtamantul Draftul cererilor de ROF CE; ROF CS), cu
expres sau prelucrarea este prevăzuta in deschidere cont avizul prealabil al Direcţiei
mod expres de o dispoziţie legala, /contractelor băncii Conformitate si Direcţiei
conform art. 8; cuprinde declaraţia Juridic
a5
Sancţiunea: Nerespectarea acestei clientului in acest sens
obligaţii constituie: si sunt supuse avizării Training Conformitate
- contravenţie si se sancţionează Direcţiei Juridic si
cu amenda de la 1.000 RON la Direcţiei Conformitate la
25.000 RON; fiecare modificare
- infracţiune (daca sunt îndeplinite
condiţiile acesteia);

a6 Obligaţia: Banca este obligata sa Critic Consiliul de Supraveghere Procedura privind Stabilirea competentelor de Înalt
respecte dreptul persoanei vizate de a fi Comitetul Executiv prelucrarea datelor cu aprobare a prelucrării de
informat conform art. 12, dreptul de Direcţia Juridica caracter personal noi date la nivelul structurii
acces la date, de intervenţie asupra Personalul front-office de conducere (modificare
datelor, de opoziţie, de a nu fi supus unei Draftul cererilor de ROF CE; ROF CS), cu
decizii individuale; deschidere de cont avizul prealabil al Direcţiei
/contractelor băncii Conformitate si Direcţiei
Sancţiunea: Nerespectarea acestei cuprinde declaraţia Juridic
obligaţii constituie: clientului in acest sens

Ofiţer conformitate – cod COR 241516

 - contravenţie si se sancţionează si sunt supuse avizării Training Conformitate
cu amenda de la 1.000 RON la Direcţiei Juridic si
25.000 RON; Direcţiei Conformitate la
- infracţiune (daca sunt îndeplinite fiecare modificare
condiţiile acesteia);

Obligaţia: Banca este obligata sa Înalt Consiliul de Supraveghere Procedura privind Implementarea unei Mediu
furnizeze ANSPDCP, la cerere, orice Comitetul Executiv prelucrarea datelor cu aplicaţii IT la nivelul
informaţii /documente /înregistrări Direcţia Juridica caracter personal Departamentului
referitoare la prelucrarea datelor cu Direcţia Conformitate Secretariat de înregistrare a
caracter personal; Întregul personal Procedura privind solicitărilor primite de la
relaţiile cu autorităţile de ANSPDCP si transmitere
Sancţiunea: Nerespectarea acestei supraveghere si control de alerte in acest sens
a7
obligaţii constituie: Direcţiei Conformitate
- contravenţie si se sancţionează
cu amenda de la 1.000 RON la
15.000 RON;
- infracţiune (daca sunt îndeplinite
condiţiile acesteia);

Obligaţia: Banca este obligata sa Critic Consiliul de Supraveghere Procedura privind Training Conformitate Înalt
asigure securitatea prelucrărilor Comitetul Executiv prelucrarea datelor cu Training specializat IT
Direcţia IT caracter personal
Sancţiunea: Nerespectarea acestei Întregul personal
obligaţii constituie: Politica de securitate
- contravenţie si se sancţionează informaţionala
a8
cu amenda de la 1.500 RON la
50.000 RON; Existenta userilor si
- infracţiune (daca sunt îndeplinite parolelor pentru
condiţiile acesteia); autentificarea
utilizatorilor

a9 Obligaţia: Banca are obligaţia de Critic Consiliul de Supraveghere Procedura privind Training Conformitate Înalt
păstrare a confidentialitatii prelucrărilor Comitetul Executiv prelucrarea datelor cu
de date (inclusiv personalul nu poate Întregul personal caracter personal
efectua prelucrări in afara instrucţiunilor
băncii); Procedura privind
furnizarea de date de
Sancţiunea: Nerespectarea acestei natura secretului bancar
obligaţii constituie:
- contravenţie si se sancţionează Codul de Etica
cu amenda de la 1.500 RON la
50.000 RON;
- infracţiune (daca sunt îndeplinite

Ofiţer conformitate – cod COR 241516

 condiţiile acesteia);

Obligaţia: Banca este obligata sa notifice Înalt Consiliul de Supraveghere Procedura privind Implementarea in sistemul Mediu
in prealabil ANSPDCP in situaţiile Comitetul Executiv prelucrarea datelor cu IT a unor alerte in cazul
transferurilor de date cu caracter Direcţia Juridica caracter personal transferurilor de date cu
personal către un alt stat; Direcţia Conformitate caracter personal către alte
Întregul personal state
Sancţiunea: Nerespectarea acestei
a10 obligaţii constituie: Training Conformitate
- contravenţie si se sancţionează
cu amenda de la 500 RON la
10.000 RON;
- infracţiune (daca sunt îndeplinite
condiţiile acesteia);

Legea nr. Obligaţia: Banca este obligata, conform Mediu Consiliul de Supraveghere Procedura privind Implementarea unei Scăzut
176/2010 art. 15, ca, la solicitarea motivata a Comitetul Executiv relaţiile cu autorităţile de aplicaţii IT la nivelul
privind inspectorilor de integritate ai ANI, sa Direcţia Conformitate supraveghere si control Departamentului
integritatea in comunice in termen de 30 de zile Întregul personal Secretariat de înregistrare a
exercitarea datele /informaţiile /înscrisurile Procedura privind cererilor de date primite de
funcţiilor si /documentele solicitate /pe care le deţine înregistrarea la ANI si transmitere de
demnităţilor si care ar putea conduce la soluţionarea documentelor in cadrul alerte Direcţiei Conformitate
publice, lucrării, despre persoana evaluata /soţ ABC Bank
pentru /soţia acestuia /copii aflaţi in întreţinere,
modificarea (activitatea de evaluare re refera la
si durata exercitării funcţiei sau demnităţii
completarea publice /in decursul a trei ani de la
Lefii nr. încetarea acesteia;
144/2007
privind Sancţiunea: Nerespectarea acestei
înfiinţarea, obligaţii se sancţionează cu amenda
organizarea civila de 200 RON pe fiecare zi de
si intaziere;
funcţionarea
Agenţiei
Naţionale de
Integritatea,
precum si
modificarea
si
completarea
altor acte
normative–b1
Legea nr. Obligaţia: Banca /personalul băncii are Critic Consiliul de Supraveghere Procedura privind Training Conformitate Înalt

Ofiţer conformitate – cod COR 241516

535/2006 obligaţia sa refuze efectuarea de Comitetul Executiv efectuarea de operaţiuni
privind operaţiuni financiar-bancare intre Întregul personal
prevenirea si rezidenţi si nerezidenţi, precum si intre Procedura privind
combaterea nerezidenţi, efectuate pentru sau in prevenirea finanţării
terorismului contul persoanelor fizice ori juridice actelor de terorism
prevăzute de OUG nr. 159/2001;
c1 Implementarea in
Sancţiunea: Nerespectarea acestei sistemul IT a listei
obligaţii constituie contravenţie si se persoanelor prevăzute
sancţionează cu amenda de la 5.000 de OUG 159/2001 si
RON la 10.000 RON; generarea unor alerte in
cazul iniţierii
transferurilor care
implica aceste persoane

Procedura privind
controlul dual

Obligaţia: Banca /personalul băncii are Critic Consiliul de Supraveghere Procedura privind Training conformitate Înalt
obligaţia de a sesiza de indata Parchetul Comitetul Executiv efectuarea de operaţiuni
de pe langa Curtea de Apel cu privire la Direcţia Juridica
iniţierea operaţiunilor financiar-bancare Întregul personal Procedura privind
intre rezidenţi si nerezidenţi, precum si prevenirea finanţării
intre nerezidenţi, efectuate pentru sau in actelor de terorism
contul persoanelor fizice ori juridice
prevăzute de OUG nr. 159/2001; Implementarea in
sistemul IT a listei
c2
Sancţiunea: Nerespectarea acestei persoanelor prevăzute
obligaţii constituie contravenţie si se de OUG 159/2001 si
sancţionează cu amenda de la 5.000 generarea unor alerte in
RON la 10.000 RON; cazul iniţierii acestor
transferuri

Procedura privind
controlul dual

c3 Obligaţia: Banca are obligaţia conform Consiliul de Supraveghere Procedura privind Training Conformitate Înalt
art. 29 de a prezenta de indata BNR Critic Comitetul Executiv efectuarea de operaţiuni
documentaţia privind operaţiunea Direcţia Conformitate
financiar-bancara supusa autorizării; Întregul personal Procedura privind
prevenirea finanţării
Sancţiunea: Nerespectarea acestei actelor de terorism
obligaţii constituie contravenţie si se
sancţionează cu amenda de la 5.000 Procedura privind

Ofiţer conformitate – cod COR 241516

 RON la 10.000 RON; controlul dual

Obligaţia: Banca are obligaţia de a Înalt Consiliul de Supraveghere Procedura privind Training Conformitate Mediu
sesiza de indata autorităţile competente Comitetul Executiv prevenirea finanţării
in domeniu /sa permită accesul acestora Direcţia Conformitate actelor de terorism
in imobilele si la datele si informaţiile care Direcţia Juridica
au legătura cu actele de terorism /sa Întregul personal
acorde sprijinul necesar îndeplinirii
atribuţiilor pe linia AML/CFT, daca are
cunoştinţa despre date si indicii privind
comiterea, favorizarea ori finanţarea
c4
actelor de terorism;

Sancţiunea: Orice fapte comise cu

intenţia de a sprijini, înlesni, ascunde sau
de a determina săvârşirea actelor de
terorism este asimilata actelor de
terorism si se sancţionează cu
închisoarea de la 1 an la 5 ani si
interzicerea unor drepturi;

Abrevieri:
ANSPDCP - Autoritatea Naţionala de Supraveghere a Prelucrării Datelor cu Caracter Personal
BNR - Banca Naţionala a României

Norma de cunoaştere a clientelei - Gap Analysis

I. Cover

Prezentul Raport aparţine ABC Bank, o instituţie de credit organizata in sistem dualist, in conformitate cu legislaţia in vigoare, in care conducerea este asigurata de un directorat
- Comitetul Executiv si de Consiliul de Supraveghere al ABC Bank.
Prezentul Raport este întocmit de către Direcţia Conformitate a ABC Bank si este adresat structurii de conducere a acesteia, spre a fi avizat de către Comitetul Executiv si
aprobat de către Consiliului de Supraveghere, potrivit prerogativelor conferite acestora de cadrul legislativ in vigoare si transpuse in reglementările interne ale ABC Bank, si
anume Regulamentul de Organizare si Funcţionare al Comitetului Executiv, respectiv Regulamentul de Organizare si Funcţionare al Consiliului de Supraveghere.

Scopul Raportului de Conformare: Evaluarea adecvării Normei de Cunoaştere a Clientelei (denumita in cele ce urmează „ Norma KYC”) la cerinţele Regulamentului BNR nr.
9/2008 privind cunoaşterea clientelei (denumita in cele ce urmează „Regulamentul BNR nr. 9/2008”), Legii nr. 656/2002 pentru prevenirea si sancţionarea spalarii banilor,
precum si pentru instituirea unor masuri de prevenire si combatere a finanţării actelor de terorism (denumita in cele ce urmează „ Legea nr. 656/2002”) si Regulamentului de
aplicare a prevederilor Legii nr. 656/2002;

Ofiţer conformitate – cod COR 241516

II. Gap Analysis

Ofiţer conformitate – cod COR 241516

 Obligaţia legala Implementarea actuala Statusul implementării Deficientele constatate Acţiunile propuse, Responsabili, Deadline
Sa fie aprobata la nivelul In fapt - aprobata la Week, având in vedere ca Atribuţia nu este Revizuirea Normei KYC + ROF CE
Comitetului Executiv nivelul Comitetului nu este formalizat formalizata nici in cadrul Direcţia Conformitate + Direcţia Organizare
Executiv Normei KYC, nici in ROF 31.12.2011
CE
Sa fie revizuite ori de In cadrul Programului de Medium, având in vedere Obligaţia legala nu este Revizuirea Normei KYC Direcţia
cate ori este necesar, dar Conformitate este avuta ca Programul de formalizata in cadrul Conformitate
cel puţin anual in vedere revizuirea Conformitate este stabilit Normei KYC 31.12.2011
anuala anual
Politica de acceptare a Principii generale, Medium, având in vedere n/a n/a
clienţilor categorii de clienţi in rezultatele acţiunilor de
funcţie de riscul asociat, testare a conformitatii
etape de acceptare a (ex: încadrarea in clase
clienţilor de risc
necorespunzătoare si pe
cale de consecinţa
aplicarea unor masuri de
cunoaştere a clientelei
necorespunzătoare)
Proceduri de identificare Cerinţele specifice de Medium, având in vedere Lipsa unei liste a Actualizarea Normei KYC cu acesta lista;
a clienţilor identificare a clienţilor si rezultatele acţiunilor de documentelor de Direcţia Conformitate;
a beneficiarilor reali testare a conformitatii identitate acceptate de 31.12.2011
(conform art. 8 si 9 (ex: identificarea banca, pe categorii de
Regulamentul nr. 9/2008), necorespunzătoare a clienţi rezidenţi
declararea sursei clienţilor – de exemplu: /nerezidenţi, conform
fondurilor, reevaluare pe baza de paşaport in dispoziţiilor legislaţiei in
periodica a procedurilor cazul cetăţenilor romani) vigoare (OUG nr. 97/2005
de identificare aplicate de privind evidenta,
partenerii ABC Bank, domiciliul, reşedinţa si
nedeschiderea conturilor actele de identitate ale
anonime sau sub nume cetăţenilor romani, OUG
fictive (conform art. 92 din nr. 194/2002 privind
Legea nr. 656/2002) regimul străinilor in
România)
Proceduri de Principii si Medium, având in vedere n/a n/a
monitorizare permanenta responsabilitati privind rezultatele acţiunilor de
a clienţilor monitorizarea identitatii testare a conformitatii
clienţilor, conturilor si (ex: neactualizarea
tranzacţiilor, cazurile de datelor clienţilor)
încetare a relaţiei de
afaceri cu clientul,
monitorizarea clienţilor
cu grad de risc înalt
Conţinutul masurilor Masurile de cunoaştere a Medium, având in vedere n/a n/a
standard, simplificate, clientelei in funcţie de rezultatele acţiunilor de
suplimentare gradul de risc asociat testare a conformitatii
(ex: încadrarea in clase
de risc
Ofiţer conformitate – cod COR 241516 necorespunzătoare si pe
cale de consecinţa
aplicarea unor masuri de
Evaluarea adecvării Normei KYC a fost efectuata in baza legislaţiei in vigoare.

Ofiţer conformitate – cod COR 241516