Comisia de Supraveghere a Asigurărilor - CSA

Norma privind principiile de organizare a unui sistem de control intern și management al riscurilor, precum și organizarea și desfășurarea activității de audit intern la asigurători/reasigurători din 07.09.2009

Modificări (6), Referințe (1), Referințe în jurisprudență

Text publicat în M.Of. al României.

În vigoare de la 16 septembrie 2009 până la 31 decembrie 2015, fiind abrogat și înlocuit prin Normă 28/2015.

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

Cumpără forma actualizată
sau autentifică-te
  •  

CAPITOLUL I Definiții

Art. 1. -

În sensul prezentelor norme, termenii și expresiile de mai jos au următoarele semnificații:

1. profil de risc - o descriere a riscurilor la care asigurătorul/reasigurătorul este expus. Profilul de risc exprimă natura riscurilor care amenință societatea, în funcție de complexitatea activității și de obiectivele sale strategice;

2. toleranța față de risc - suma la risc pe care asigurătorul/reasigurătorul este dispus să o accepte în desfășurarea activității sale, în concordanță cu obiectivele sale strategice. Toleranța față de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;

3. teste de stres - analize cantitative sau calitative efectuate cu scopul de a evalua impactul unor evoluții nefavorabile ale factorilor de risc, luați individual sau combinați într-un scenariu unic, asupra situației financiare a asigurătorilor/reasigurătorilor;

4. risc de subscriere - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate din cauza stabilirii inadecvate a tarifelor de primă și/sau a rezervelor tehnice comparativ cu obligațiile asumate și care poate să rezulte, fără a fi limitativ, din fluctuații în frecvența și severitatea evenimentelor asigurate în raport cu estimările din momentul subscrierii;

5. risc de piață - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, care rezultă, direct ori indirect, din fluctuațiile în nivelul și volatilitatea prețului de piață al activelor, obligațiilor și instrumentelor financiare. Riscul de piață cuprinde riscul valutar și riscul ratei dobânzii;

6. risc de credit - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, care rezultă din fluctuațiile în ratingul emitenților de valori mobiliare și al oricăror debitori față de care societățile de asigurare sunt expuse sau din neîndeplinirea obligațiilor contractuale de către intermediari, asigurați, reasigurători sau alți debitori;

7. risc operațional - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, care apare din procesele interne inadecvate, din vina angajaților sau din erorile generate de sistemul informatic, precum și din factori externi;

8. risc de lichiditate - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, ce rezultă din imposibilitatea asigurătorilor de a valorifica active pentru a onora în orice moment și cu costuri rezonabile obligațiile de plată pe termen scurt sau din încasarea cu dificultate a creanțelor din contractele de asigurare/reasigurare;

9. risc de concentrare - expunerea la un risc cu un potențial de generare de pierderi suficient de mari încât să amenințe solvabilitatea sau situația financiară a asigurătorului/reasigurătorului;

10. risc de contagiune - posibilitatea înregistrării de pierderi generate de apartenența la grup, apărută ca urmare a raporturilor pe care societatea le are cu alte entități din grup, situațiile de dificultate care apar într-o entitate putând să se propage cu efecte negative asupra solvabilității societății de asigurare/reasigurare;

11. risc reputațional - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, ca urmare a deteriorării imaginii și/sau a managementului societății (publicității negative) care conduce la lipsa încrederii publicului în integritatea societății;

12. tehnici de diminuare a riscului - toate procedurile care dau posibilitatea asigurătorului să transfere parțial sau total riscurile sale către o altă entitate;

13. externalizare - un acord încheiat între asigurător/reasigurător și un furnizor de servicii, în baza căruia furnizorul execută în numele și/sau pentru asigurător/reasigurător un serviciu ori o activitate, chiar dacă aceasta nu privește direct activitatea de asigurare;

14. control intern - proces continuu la care participă conducerea administrativă, conducerea executivă, precum și întregul personal al asigurătorilor, prin care se furnizează o asigurare rezonabilă asupra atingerii obiectivelor prevăzute la art. 3; Jurisprudență

15. conducerea administrativă - consiliul de administrație sau consiliul de supraveghere, pentru societățile care au adoptat sistemul dualist de conducere;

16. conducerea executivă - astfel cum este definită la art. 2 din Legea nr. 32/2000 privind activitatea de asigurare și supravegherea asigurărilor, cu modificările și completările ulterioare;

17. conducerea operativă - persoanele care asigură conducerea nemijlocită a compartimentelor din cadrul asigurătorului, al sucursalelor și al altor sedii secundare;

18. managementul riscului - un proces prin care se evaluează, se monitorizează și se controlează riscurile (generate de factori interni sau de factori externi) care ar putea avea un impact negativ asupra activității asigurătorului/reasigurătorului. Sistemul de management al riscului cuprinde reguli și proceduri necesare pentru identificarea, măsurarea, administrarea și raportarea riscurilor la care asigurătorul ar putea fi expus, luând în considerare și interdependența dintre riscuri;

19. audit intern - activitate independentă constând într-o examinare obiectivă a modului de realizare a administrării riscurilor, sistemului de control intern și proceselor de conducere ale societăților, în scopul furnizării unei asigurări rezonabile că acestea funcționează corespunzător și vor permite atingerea obiectivelor societății de asigurare/reasigurare.

CAPITOLUL II Sistemul de control intern

Art. 2. -

Sistemul de control intern cuprinde ansamblul activităților de control intern din cadrul tuturor structurilor societății de asigurare/reasigurare, corespunzător dimensiunii, naturii și complexității activității, cu scopul de a contribui la realizarea obiectivelor societății de asigurare/reasigurare.

Art. 3. -

În cadrul sistemului de control intern, asigurătorii/reasigurătorii trebuie să definească reguli, proceduri și o structură organizatorică ierarhizată care să asigure o funcționare corectă a activității în cadrul societății și să urmărească:

a) desfășurarea activității în condiții de eficiență și rentabilitate;

b) controlul adecvat al riscurilor care pot afecta atingerea obiectivelor societății;

c) furnizarea unor informații corecte, relevante, complete și oportune structurilor implicate în luarea deciziilor în cadrul societăților și utilizatorilor externi ai informațiilor;

d) protejarea patrimoniului;

e) conformitatea activității societății cu reglementările legale în vigoare, politica și procedurile societății. Jurisprudență

Art. 4. -

Activitățile de control intern includ cel puțin următoarele:

a) analize la nivelul conducerii administrative și al conducerii executive;

b) analize operative la nivelul compartimentelor și al structurilor teritoriale ale asigurătorilor;

c) controale faptice care au în vedere restricționarea accesului la active, cum ar fi disponibilități bănești etc.;

d) analiza încadrării în limitele impuse expunerilor la risc și urmărirea modului în care sunt soluționate situațiile de neconformitate;

e) aprobări și autorizări, în cazul operațiunilor ce depășesc anumite limite de sume, asigurându-se astfel controlul asupra realizării operațiunilor respective de către nivelul de conducere competent și stabilirea responsabilităților;

f) verificări ale tranzacțiilor efectuate la nivelul asigurătorului și efectuarea de reconcilieri, în special acolo unde există diferențe între metodologiile sau sistemele de evaluare utilizate în compartimentele responsabile cu inițierea tranzacțiilor (front office) și compartimentele responsabile cu înregistrarea și monitorizarea tranzacțiilor inițiate (back office). Rezultatele verificărilor vor fi comunicate nivelului de conducere superior competent.

Art. 5. -

Asigurătorii/Reasigurătorii trebuie să revizuiască activitățile de control intern, cel puțin anual, pentru a identifica și a evalua în mod corespunzător orice riscuri nou-apărute ca urmare a dezvoltării activității.

Art. 6. -

În vederea organizării unui sistem de control intern eficient, asigurătorii/reasigurătorii trebuie să urmărească:

a) repartizarea corespunzătoare a atribuțiilor la toate nivelurile organizatorice, asigurându-se că personalului nu îi sunt alocate responsabilități care să conducă la conflicte de interese. Domeniile care pot fi afectate de potențiale conflicte de interese trebuie să fie identificate și supuse unei monitorizări independente exercitate de persoane neimplicate direct în activitățile respective, a căror informare este efectuată pe baza unor linii de raportare stabilite în mod corespunzător;

b) adoptarea unui cod etic pentru personalul propriu, care să definească reguli comportamentale, de disciplină și situații de potențiale conflicte de interese și să prevadă acțiuni corective adecvate, în cazul în care se încalcă procedurile societății sau codul etic;

c) evitarea politicilor sau practicilor de remunerare ce pot favoriza activități ilegale, care nu respectă standardele etice sau care presupun riscuri față de interesele societății;

d) stabilirea unor canale de comunicare care să asigure un flux corespunzător de informații, la toate nivelurile, care să garanteze că personalul propriu cunoaște politicile și procedurile cu implicații asupra atribuțiilor și responsabilităților sale, că orice informații relevante ajung în timp util și să permită:

- informarea conducerii administrative și a conducerii executive asupra riscurilor aferente activității și funcționării asigurătorilor/reasigurătorilor;

- informarea nivelurilor inferioare de conducere operativă și a personalului atât asupra strategiilor asigurătorilor/reasigurătorilor, cât și asupra politicilor și procedurilor stabilite;

- difuzarea informațiilor între compartimentele și structurile teritoriale ale asigurătorilor/reasigurătorilor pentru care respectivele informații au relevanță;

e) elaborarea de planuri alternative care să permită reluarea activității în cazul apariției unor situații neprevăzute, pentru evitarea pierderilor generate de întreruperea activității datorită unor factori externi ce nu pot fi controlați de către asigurători/reasigurători. Replicarea sistemelor critice trebuie asigurată fie prin existența unor sisteme de rezervă situate într-o altă locație aparținând asigurătorilor/reasigurătorilor, fie prin intermediul unui furnizor extern de servicii. Funcționarea planurilor alternative trebuie testată periodic prin simularea operațiunilor pe sistemele de rezervă, în scopul verificării disponibilității acestora;

f) elaborarea unor proceduri privind tehnologia de informare și comunicare, menită să asigure existența și menținerea unui sistem informatic adecvat nevoilor societății, corespunzător cu dimensiunea și activitatea societății, care să asigure:

1. separarea mediului de dezvoltare de cel de operare. Accesul la diversele medii trebuie reglementat și controlat prin proceduri întocmite, ținând cont de exigența de limitare a riscurilor și a fraudei. Aceste proceduri garantează siguranța datelor, limitând accesul persoanelor neautorizate din mediul de operare și înregistrând toate tentativele de acces neautorizate;

2. elaborarea de proceduri pentru aprobarea și achiziția sistemelor hardware și software, precum și externalizarea serviciilor din sistemul informatic;

3. elaborarea de proceduri ce asigură siguranța fizică a sistemelor hardware, software și a băncilor de date, precum și prevenirea utilizării necorespunzătoare a informației de către personalul asigurătorilor pentru obținerea unor beneficii personale sau prejudicierea reputației societății;

4. asigurarea condițiilor de securitate pentru zonele în care sunt accesate informații cu caracter confidențial;

5. adoptarea de proceduri pentru identificarea și gestionarea evenimentelor care pot prejudicia continuitatea activității, cum ar fi: incendii, defecțiuni la sistemele hardware sau software, erori operaționale din partea utilizatorilor, introducere involuntară de componente străine care să creeze daune sistemului informatic sau rețelei etc.

Procedurile sunt supuse verificării din partea auditului intern.

Art. 7. -

(1) În vederea evitării disfuncționalităților în cadrul activității și a eventualelor pierderi generate de acestea, asigurătorii/reasigurătorii trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop se vor efectua atât controale generale la nivelul întregului sistem informatic, cât și controale la nivelul fiecărei aplicații informatice din componența acestuia.

(2) Controalele generale se efectuează asupra infrastructurii hardware și de comunicații a sistemelor informatice, precum și asupra sistemelor de operare care asigură funcționarea acestora. Controalele au drept scop verificarea funcționării continue și corespunzătoare a acestora.

(3) Controalele generale includ și verificarea existenței și aplicării procedurilor interne de salvare și restaurare a datelor, a politicilor de efectuare a achizițiilor, a procedurilor de dezvoltare a aplicațiilor informatice, a procedurilor de administrare și întreținere, precum și a politicilor de securitate vizând accesul fizic și logic la resursele sistemului informatic.

(4) Controalele efectuate la nivelul aplicațiilor informatice presupun verificarea existenței unor proceduri de validare și control incluse în codul aplicațiilor informatice utilizate, precum și a unor proceduri/manuale de verificare a modului de procesare a tranzacțiilor și efectuării operațiunilor.

Art. 8. -

(1) Deficiențele identificate în legătură cu sistemul de control intern trebuie să fie raportate imediat nivelului de conducere competent, care trebuie să ia măsuri pentru remedierea cu promptitudine a acestora.

(2) Deficiențele majore ale sistemului de control intern trebuie să fie raportate conducerii executive a asigurătorilor/reasigurătorilor și conducerii administrative a acestora.

(3) Conducerea executivă a asigurătorilor/reasigurătorilor are responsabilitatea de a stabili un sistem de detectare a deficiențelor sistemului de control intern și de a întreprinde măsuri pentru soluționarea respectivelor deficiențe.

CAPITOLUL III Sistemul de management al riscului

Art. 9. -

Asigurătorii/Reasigurătorii trebuie să dispună de un sistem de management al riscurilor proporțional cu dimensiunea, natura și complexitatea activității exercitate.

Art. 10. -

Politica privind managementul riscurilor trebuie să fie transpusă în mod clar și transparent în norme interne și manuale de proceduri, făcându-se distincție între standardele generale aplicabile întregului personal și regulile specifice aplicabile anumitor categorii de personal care utilizează informații confidențiale sau au responsabilități de a angaja societatea.

Art. 11. -

Pentru asigurarea unui sistem de management al riscului eficient, asigurătorii/reasigurătorii trebuie să stabilească, după caz:

a) un sistem de proceduri de autorizare a operațiunilor afectate de riscuri;

b) un sistem de stabilire a limitelor expunerii la risc și de monitorizare a acestora, care să reflecte profilul de risc ales și care să fie în conformitate cu legislația și cu reglementările în vigoare; limitele stabilite la nivelul activităților și/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asigurătorilor/reasigurătorilor;

c) un sistem de raportare a expunerilor la riscuri, precum și a altor aspecte legate de riscuri de la fiecare compartiment către nivelurile de conducere corespunzătoare;

d) criterii de recrutare și remunerare a personalului, care să stabilească standarde ridicate pentru pregătirea, experiența și integritatea acestuia;

e) un program de instruire a personalului.

Art. 12. -

Asigurătorii/Reasigurătorii trebuie să opteze pentru un profil de risc, stabilind obiectivul și strategia de administrare a fiecărui risc, inclusiv în ceea ce privește activitățile externalizate.

Art. 13. -

Societățile de asigurare/reasigurare trebuie să fie capabile, printr-un proces adecvat de analize, să înțeleagă natura riscurilor identificate, originea lor, posibilitatea de a le controla și efectele care pot deriva din acestea. Procesul de analiză include evaluări calitative și evaluări cantitative, prin adoptarea unor metodologii de măsurare a expunerii la risc, inclusiv sisteme de determinare a pierderii maxime posibile, unde este cazul.

Art. 14. -

Analizele includ cel puțin următoarele riscuri: riscul de subscriere, riscul de piață, riscul de credit, riscul operațional, riscul de lichiditate, riscul de concentrare, riscul de contagiune și riscul reputațional.

Art. 15. -

Pentru măsurarea expunerii la risc societățile vor ține cont de relația dintre riscuri, evaluându-le atât separat, cât și sub o bază agregată.

Art. 16. -

(1) Identificarea și evaluarea riscurilor trebuie să se realizeze cu luarea în considerare a factorilor interni (complexitatea structurii organizatorice, natura activităților desfășurate, calitatea personalului și fluctuația acestuia) și a factorilor externi (condiții economice, schimbări legislative sau legate de mediul concurențial în sectorul de asigurări, progrese tehnologice).

(2) Procesul de evaluare a riscurilor trebuie să includă identificarea atât a riscurilor care sunt controlabile de către asigurători/reasigurători, cât și a celor necontrolabile. În cazul riscurilor controlabile, asigurătorii/reasigurătorii trebuie să stabilească dacă își asumă integral aceste riscuri sau măsura în care doresc să le reducă prin proceduri de control. În cazul riscurilor necontrolabile, asigurătorii trebuie să decidă dacă le acceptă sau dacă elimină ori reduc nivelul activităților afectate de riscurile respective.

(3) Evaluarea riscurilor trebuie efectuată și în condițiile unor scenarii alternative, inclusiv în condiții de criză.

Art. 17. -

Pentru fiecare dintre sursele de risc identificate, societățile de asigurare/reasigurare trebuie să efectueze analize cantitative utilizând teste de stres.

Art. 18. -

Testele de stres vor fi create și dezvoltate în concordanță cu dimensiunea și natura activității societății și vor avea o frecvență specifică tipului de risc, evoluției dimensiunii activității societății și contextului pieței, dar cel puțin cu o scadență anuală.

Art. 19. -

Rezultatele acestor teste sunt făcute cunoscute conducerii administrative, în scopul de a oferi informații pentru revizuirea și îmbunătățirea politicii de gestiune a riscurilor, liniilor operative și limitelor de expunere fixate.

Art. 20. -

Dacă rezultatele acestor analize de stres indică o vulnerabilitate față de anumite riscuri, asigurătorii adoptă imediat măsuri pentru gestionarea adecvată a acestor riscuri.

Art. 21. -

În ceea ce privește activitatea de investiții, asigurătorii/reasigurătorii trebuie să întocmească proceduri pentru monitorizarea și administrarea activelor, în corelație cu natura și scadența obligațiilor, și să se asigure că activitatea de investiții este potrivită profilului de risc aprobat.

Art. 22. -

Politicile de identificare, evaluare și gestiune a riscurilor aferente activității de investiții trebuie definite și implementate având o viziune integrată asupra activelor și a obligațiilor din bilanțul contabil. Dezvoltarea unor tehnici și modele de management al activelor și al obligațiilor este fundamentală pentru o corectă înțelegere și gestiune a expunerii la risc, care poate să derive din lipsa unui echilibru între partea de active și cea de obligații.

Art. 23. -

Procesele de identificare și evaluare a riscurilor trebuie să se desfășoare continuu, pentru a ține cont de modificările intervenite în natura și dimensiunea afacerii și în contextul de piață, precum și de apariția unor noi riscuri sau de schimbarea celor existente. O atenție deosebită trebuie acordată evaluării riscurilor care apar odată cu oferta de noi produse sau cu intrarea pe alte piețe, și modului în care poate fi afectată administrarea activelor și a obligațiilor.

Art. 24. -

Asigurătorii/Reasigurătorii trebuie să definească o procedură prin care să se evidențieze cu operativitate apariția unor riscuri care pot afecta situația patrimonială și economică sau care depășesc limitele de toleranță fixate. Pentru surse de risc majore identificate, societatea trebuie să dispună măsuri de intervenție imediate.

Art. 25. -

(1) Asigurătorii/Reasigurătorii trebuie să dispună de un sistem informatic auditat în conformitate cu reglementările în vigoare privind tehnologia informației, care să certifice adecvarea acestuia la specificul și volumul activității, gradul de securitate a informației, capacitatea de a furniza raportările solicitate de Comisia de Supraveghere a Asigurărilor, capacitatea de conectare la rețea pentru transmiterea electronică a raportărilor, capacitatea de stocare/arhivare a datelor, îndeplinirea de către sistemele informatice a criteriilor minimale prevăzute de reglementările în vigoare pentru prelucrarea automată a datelor în domeniul financiar-contabil.

(2) Auditarea sistemelor informatice conform prevederilor alin. (1) se va efectua de către un auditor financiar, altul decât cel care auditează situațiile financiare ale societății, membru activ al Camerei Auditorilor Financiari din România și care trebuie să dispună de personal specializat, cu experiență în ceea ce privește sistemele informatice.

Art. 26. -

Asigurătorii/Reasigurătorii trebuie să dispună de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implică analize independente și regulate, evaluări ale eficacității sistemului și, acolo unde se impune, asigurarea remedierii deficiențelor constatate. Rezultatele unor astfel de analize trebuie să fie comunicate în mod direct conducerii administrative, comitetului de management al riscurilor și comitetului de audit.

Art. 27. -

În procesul de management al riscurilor, asigurătorii/reasigurătorii trebuie să constituie un comitet de management al riscurilor.

Art. 28. -

(1) Comitetul de management al riscurilor este un comitet permanent, ale cărui funcționare și atribuții sunt reglementate de prezentele norme și de regulamentele interne ale fiecărui asigurător/reasigurător.

(2) Comitetul de management al riscurilor își poate desfășura lucrările în subcomitete, în funcție de mărimea și de complexitatea asigurătorului/reasigurătorului.

(3) Comitetul de management al riscurilor se constituie prin decizie a conducerii administrative și trebuie să cuprindă minimum 3 membri, în funcție de dimensiunea activității societății.

Art. 29. -

Asigurătorii/Reasigurătorii trebuie să dispună de un regulament al comitetului de management al riscurilor, aprobat la nivelul conducerii administrative și revizuit periodic, după caz, care să indice componența, autoritatea și responsabilitățile acestuia și modul de raportare către conducerea administrativă.

Art. 30. -

(1) Membrii comitetului de management al riscurilor trebuie să aibă o experiență compatibilă cu responsabilitățile lor în cadrul acestuia.

(2) Comitetul de management al riscurilor este format din membri ai conducerii executive și operative a asigurătorului/reasigurătorului.

Art. 31. -

Comitetul de management al riscurilor va avea cel puțin următoarele atribuții:

a) să informeze conducerea administrativă asupra situației expunerilor societății la riscuri, ori de câte ori intervin schimbări semnificative în expunerea la riscuri, dar cel puțin trimestrial, informări suficient de detaliate și oportune care să permită conducerii să cunoască și să evalueze performanța în monitorizarea și controlul riscurilor, potrivit politicilor aprobate;

b) să informeze conducerea administrativă asupra problemelor și evoluțiilor semnificative care ar putea influența profilul de risc al asigurătorului/reasigurătorului;

c) să dezvolte politici și proceduri adecvate pentru identificarea, evaluarea, monitorizarea și controlul riscurilor și să stabilească limite corespunzătoare privind expunerea la riscuri, inclusiv pentru condiții de criză, în conformitate cu mărimea, complexitatea și situația financiară a asigurătorului/ reasigurătorului, precum și proceduri necesare pentru aprobarea excepțiilor de la respectivele limite;

d) să aprobe metodologii și modele adecvate pentru evaluarea riscurilor și limitarea expunerilor la riscuri;

e) să aprobe angajarea asigurătorului/reasigurătorului în noi activități specifice domeniului de activitate, pe baza analizei riscurilor aferente acestora;

f) să analizeze măsura în care planurile alternative de care dispune asigurătorul/reasigurătorul corespund situațiilor neprevăzute cu care acesta s-ar putea confrunta;

g) să stabilească sisteme de raportare în cadrul societății privind aspecte legate de riscuri;

h) să stabilească competențe și responsabilități la nivel de compartimente privind administrarea și controlul expunerilor la riscuri.

Structura de management al riscului

Art. 32. -

Societățile de asigurare/reasigurare trebuie să instituie o structură de management al riscului, corespunzător naturii, dimensiunii și complexității activității, care:

a) contribuie la definirea metodologiei de măsurare a riscurilor;

b) avizează fluxurile informaționale necesare pentru asigurarea controlului operativ al expunerilor la risc și ia măsuri imediate pentru corectarea acestora;

c) întocmește rapoartele către conducerea administrativă și conducerea executivă privind evoluția riscurilor și depășirea limitelor de toleranță aprobate;

d) contribuie la efectuarea analizelor de stres.

Art. 33. -

Structura de management al riscului trebuie să nu fie subordonată funcțiilor operative. Poziția organizatorică a structurii de management al riscului este lăsată la autonomia societăților de asigurare, acestea trebuind să respecte principiul de separare între funcțiile operative și cele de control.

Art. 34. -

Persoana desemnată de asigurători/reasigurători pentru conducerea acestei structuri trebuie să îndeplinească criteriile de aprobare prevăzute de Normele privind autorizarea asigurătorilor, puse în aplicare prin Ordinul președintelui Comisiei de Supraveghere a Asigurărilor nr. 16/2009, publicat în Monitorul Oficial al României, Partea I, nr. 569 din 14 august 2009.

CAPITOLUL IV Rolul și responsabilitățile conducerii administrative și ale conducerii executive

SECȚIUNEA 1 Rolul și responsabilitățile conducerii administrative și ale conducerii executive în ceea ce privește controlul intern

Art. 35. -

(1) Conducerea administrativă a asigurătorilor/reasigurătorilor este responsabilă pentru stabilirea și menținerea unui sistem de control intern adecvat și eficient. Jurisprudență

(2) În contextul prevederilor alin. (1), conducerea administrativă a asigurătorilor/reasigurătorilor are următoarele atribuții: Jurisprudență

a) aprobă structura organizatorică a societății, precum și atribuțiile și responsabilitățile unităților operative;

b) se asigură că sunt adoptate procese decizionale adecvate și că se efectuează o separare corectă a funcțiunilor;

c) aprobă sistemul de delegare a puterii și a responsabilităților, evitând concentrarea excesivă a puterii într-o singură persoană și punând în execuție instrumente de verificare a respectării puterilor delegate;

d) definește și evaluează cel puțin o dată pe an strategia și politica de identificare, evaluare și gestiune a riscurilor semnificative și aprobă nivelurile de toleranță pe care le revizuiește cel puțin anual;

e) aprobă politica și strategia societății, revizuindu-le cel puțin anual, și urmărește evoluția activității societății și a condițiilor externe;

f) verifică dacă conducerea societății implementează corect sistemul de control intern și de gestiune a riscurilor conform politicilor stabilite; Jurisprudență

g) cere să fie periodic informată despre eficacitatea sistemului de control intern și de gestiune a riscurilor.

(3) Pentru îndeplinirea atribuțiilor ce îi revin, conducerea administrativă trebuie să întreprindă cel puțin următoarele măsuri:

a) discuții periodice, cel puțin trimestrial, cu conducerea operativă privind eficiența sistemului de control intern;

b) analiză periodică, cel puțin trimestrial, a evaluărilor sistemului de control intern efectuate de conducerea operativă și de auditul intern;

c) urmărirea implementării de către conducerea operativă a recomandărilor formulate de auditul intern, de auditorul financiar extern și de Comisia de Supraveghere a Asigurărilor cu privire la deficiențele sistemului de control intern și examinarea efectului măsurilor implementate.

Art. 36. -

(1) Conducerea executivă a asigurătorului/reasigurătorului are responsabilități pe linia monitorizării funcționării adecvate și eficiente a sistemului de control intern.

(2) În contextul prevederilor alin. (1), conducerea executivă are cel puțin următoarele atribuții:

a) definește în detaliu structura organizatorică a societății, drepturile și responsabilitățile unităților operative și procesele decizionale, în concordanță cu politica stabilită de conducerea administrativă; asigură o separare a obligațiilor și a responsabilităților între funcții în scopul de a evita situațiile de conflict de interese;

b) realizează politica de evaluare și de gestiune a riscurilor aprobată de conducerea administrativă, asigurând definirea limitelor operative, și verifică încadrarea în aceste limite; monitorizează expunerea la riscuri și respectarea nivelurilor de toleranță aprobate de organul administrativ;

c) se asigură că responsabilitățile delegate conducerii operative cu privire la stabilirea politicilor și procedurilor de control intern sunt îndeplinite în mod corespunzător;

d) verifică dacă conducerea administrativă este periodic informată despre eficiența și funcționalitatea sistemului de control intern și de gestiune a riscurilor;

e) urmărește dacă personalul societății își cunoaște propriul rol și propriile responsabilități, cu scopul de a fi efectiv implicat în desfășurarea controlului ca și cum ar face parte din propria sa activitate;

f) stabilește procese operative și canale de raportare;

g) promovează continuu comunicarea în cadrul societății cu scopul de a favoriza adeziunea întregului personal la principiile de integritate morală și valorile etice;

h) propune conducerii administrative inițiative menite să îmbunătățească sistemul de control intern și de gestiune a riscurilor;

i) asigură instruirea corespunzătoare a personalului.

SECȚIUNEA a 2-a Rolul și responsabilitățile conducerii administrative și ale conducerii executive în ceea ce privește managementul riscului

Art. 37. -

În domeniul managementului riscurilor, conducerea administrativă a asigurătorilor/reasigurătorilor are cel puțin următoarele atribuții:

a) să aprobe și să reconsidere profilul de risc al acestora;

b) să aprobe politicile privind managementul riscurilor, să le analizeze periodic, cel puțin anual, și să dispună revizuirea acestora, după caz;

c) să asigure luarea de către conducerea executivă a măsurilor necesare pentru identificarea, evaluarea, monitorizarea și controlul riscurilor, inclusiv pentru activitățile externalizate;

d) să aprobe procedurile de stabilire a competențelor și a responsabilităților în domeniul managementului riscurilor;

e) să aprobe externalizarea unor activități;

f) să aprobe politica de instruire a personalului.

Art. 38. -

În domeniul managementului riscurilor, conducerea executivă a asigurătorilor/reasigurătorilor este responsabilă cel puțin pentru următoarele:

a) implementarea strategiilor aprobate de conducerea administrativă și asigurarea comunicării acestora personalului implicat în punerea lor în aplicare;

b) asigurarea comunicării politicilor și procedurilor pentru identificarea, evaluarea, monitorizarea și controlul riscurilor personalului implicat în punerea lor în aplicare;

c) menținerea unor sisteme de raportare corespunzătoare a expunerilor la riscuri, precum și a altor aspecte legate de riscuri;

d) menținerea limitelor corespunzătoare privind expunerea la riscuri, inclusiv pentru condiții de criză, în conformitate cu mărimea, complexitatea și cu situația financiară a asigurătorilor/reasigurătorilor;

e) menținerea eficienței și eficacității sistemului de control intern;

f) analizarea oportunității externalizării unor activități prin prisma riscurilor implicate de externalizare;

g) supravegherea și monitorizarea contractelor de externalizare;

h) urmărirea instruirii corespunzătoare a personalului;

i) asigurarea concordanței politicilor de remunerare a personalului cu strategia asigurătorului/reasigurătorului privind riscurile.

CAPITOLUL V Audit intern

Art. 39. -

Asigurătorii/Reasigurătorii au obligația, conform reglementărilor în vigoare privind auditul intern, să instituie o funcție/structură de audit intern cu scopul de a monitoriza și evalua eficacitatea și eficiența sistemului de control intern și a celorlalte activități din cadrul societății.

Art. 40. -

Funcția de audit intern trebuie organizată respectându-se următoarele cerințe:

a) poziția funcției în cadrul structurii organizatorice trebuie să fie astfel încât să garanteze independența și autonomia, pentru a nu fi compromisă obiectivitatea procesului de audit; funcția de audit intern nu depinde ierarhic de niciun responsabil din aria operativă; personalului implicat în auditul intern nu trebuie să îi fie încredințate responsabilități operative sau acesta nu trebuie să verifice activitatea desfășurată în trecut, dacă nu a trecut cel puțin un an de la schimbarea activității;

b) funcția de audit intern trebuie să aibă legături cu toate structurile de control din cadrul societății;

c) responsabilul cu funcția de audit intern este numit de conducerea administrativă. El trebuie să aibă competența profesională pentru a realiza această activitate, conform reglementărilor Camerei Auditorilor Financiari din România. Atribuțiile persoanei responsabile cu funcția de audit intern trebuie clar definite, iar responsabilitatea și modalitatea de raportare către conducerea administrativă trebuie precizate în fișa postului/obligațiile contractuale (în cazul externalizării auditului intern). Responsabilul cu funcția de audit intern este împuternicit cu autoritatea necesară pentru a garanta independența sa; Modificări (1)

d) personalului implicat în activitatea de audit intern trebuie să i se asigure accesul la toate structurile societății și la întreaga documentație, inclusiv informații privind activitățile externalizate;

e) structura trebuie să fie corespunzătoare dimensiunii societății și obiectivelor stabilite, în ceea ce privește resursele umane și tehnologia.

Art. 41. -

Funcția de audit intern va include în principal următoarele activități:

a) evaluarea eficienței și a gradului de adecvare a sistemului de control intern;

b) evaluarea modului de aplicare și a eficacității procedurilor de management al riscurilor;

c) analizarea relevanței și integrității datelor furnizate de sistemele informaționale financiare și de gestiune, inclusiv sistemul informatic;

d) verificarea funcționării și eficienței fluxurilor informaționale între sectoarele activității;

e) evaluarea acurateței și credibilității înregistrărilor contabile care stau la baza întocmirii situațiilor financiare și a raportărilor contabile;

f) evaluarea modului în care se asigură protejarea elementelor patrimoniale bilanțiere și extrabilanțiere și identificarea metodelor de prevenire a fraudelor și pierderilor de orice fel;

g) evaluarea modului în care sunt respectate dispozițiile cadrului legal, cerințele codurilor etice, precum și evaluarea modului în care sunt implementate politicile și procedurile asigurătorului/reasigurătorului;

h) testarea integrității și credibilității raportărilor, inclusiv a celor destinate utilizatorilor externi;

i) eficiența controalelor efectuate asupra activităților externalizate.

Art. 42. -

Funcția de audit intern își planifică activitatea astfel încât să identifice zonele care vor fi supuse cu prioritate auditului. Planul de audit este supus aprobării conducerii administrative și identifică activitățile, operațiunile și procesele supuse auditului, operațiunile și sistemele de verificare, descriind criteriile sub care acestea au fost selecționate și specificând resursele necesare executării planului.

Art. 43. -

Funcția de audit intern va comunica cel puțin trimestrial conducerii administrative, conducerii executive și funcției de control intern rezultatele verificării și eventualele disfuncțiuni. Este obligatoriu să semnaleze imediat conducerii administrative și conducerii executive situațiile de o gravitate specială. Rapoartele de audit trebuie să fie obiective, clare, concise, oportune și să conțină propuneri pentru eliminarea lipsurilor întâlnite.

Art. 44. -

Asigurătorii/Reasigurătorii trebuie să elaboreze norme de audit intern, unde vor stabili cel puțin următoarele:

a) obiectivele și sfera de cuprindere ale auditului intern;

b) poziția auditului intern în cadrul societății, competențele și responsabilitățile acestuia;

c) responsabilitățile coordonatorului activității de audit intern;

d) termenii și condițiile în care auditorii interni pot furniza servicii de consultanță sau pot îndeplini alte sarcini speciale.

Art. 45. -

Normele de audit intern trebuie să fie revizuite periodic, dacă este cazul, și comunicate structurilor organizatorice ale societății. Ele trebuie aprobate de conducerea administrativă, cu avizul comitetului de audit.

Art. 46. -

Normele de audit intern trebuie să prevadă dreptul de inițiativă al auditorului intern și autoritatea acestuia de a comunica cu orice membru din cadrul conducerii societății, de a examina orice activitate, compartiment sau sediu secundar al societății, precum și accesul acestuia la orice înregistrări, fișiere și informații interne, inclusiv la informații destinate conducerii, precum și la procese-verbale și alte materiale cu caracter similar ale tuturor organelor de decizie și consultative, care prezintă relevanță în îndeplinirea atribuțiilor sale.

Art. 47. -

Asigurătorii/Reasigurătorii trebuie să se asigure că auditorii interni răspund din punct de vedere profesional obiectivelor prevăzute de normele de audit intern și că sunt competenți pentru îndeplinirea responsabilităților individuale.

Art. 48. -

Pentru a nu fi afectată capacitatea de evaluare critică a auditorilor interni, ca urmare a rutinei și executării permanente a acelorași sarcini, societățile de asigurare trebuie să asigure, în măsura posibilităților, rotirea responsabililor misiunilor de audit intern, cu condiția respectării principiului obiectivității și imparțialității.

Art. 49. -

(1) Auditorii interni trebuie să fie prudenți în utilizarea informațiilor colectate în exercitarea activității și să asigure protejarea acestor informații.

(2) Este interzis ca auditorii interni să utilizeze informațiile colectate pentru obținerea unor avantaje personale sau în orice mod care ar fi contrar prevederilor legale ori în detrimentul obiectivelor societății de asigurare.

Art. 50. -

Auditorii interni trebuie să fie corecți, onești și incoruptibili, să respecte prevederile legale și ale Codului privind conduita etică în activitatea de audit intern și să comunice informații potrivit cerințelor legale și ale profesiei.

Art. 51. -

Asigurătorii/Reasigurătorii trebuie să dispună de un comitet de audit, constituit conform reglementărilor în vigoare, și să dispună de un regulament al comitetului de audit, aprobat la nivelul conducerii administrative și revizuit periodic, dacă este cazul, care să indice componența, competențele și atribuțiile acestuia, modul de raportare către conducerea administrativă, precum și periodicitatea întrunirilor comitetului de audit.

Art. 52. -

Structurile de audit intern, control intern, management al riscului și actuariat, precum și orice alt organ de control căruia îi este atribuită o funcție specifică de control colaborează între ele, schimbând orice informații utile necesare pentru îndeplinirea atribuțiilor.

CAPITOLUL VI Externalizarea activităților

Art. 53. - Modificări (1)

(1) Asigurătorii/Reasigurătorii trebuie să dispună de politici privind externalizarea activităților auxiliare sau conexe în raport cu activitățile principale.

(2) Asigurătorii/Reasigurătorii trebuie să dispună de proceduri de administrare a riscurilor asociate activităților externalizate.

(3) Procedurile de management al riscurilor asociate activităților externalizate se vor referi cel puțin la următoarele:

a) luarea deciziilor privind externalizarea unor noi activități sau modificarea celor existente;

b) selectarea și evaluarea societăților prestatoare de servicii auxiliare sau conexe în legătură cu aspecte cum ar fi: solvabilitatea, reputația, familiarizarea cu specificul sectorului asigurărilor, calitatea serviciilor prestate, organizarea activității și controlul intern, existența unui personal competent, existența unui plan alternativ de redresare a activității, asigurarea confidențialității informației;

c) monitorizarea modului în care societățile prestatoare de servicii auxiliare sau conexe desfășoară activitățile externalizate;

d) elaborarea de planuri alternative și stabilirea costurilor și a resurselor necesare pentru schimbarea societăților prestatoare de servicii auxiliare sau conexe.

Art. 54. - Modificări (1)

(1) Asigurătorii/Reasigurătorii pot externaliza activități doar în condițiile încheierii de contracte cu societăți prestatoare de servicii auxiliare sau conexe. Modificări (1)

(2) Contractele încheiate cu societăți prestatoare de servicii auxiliare sau conexe în legătură cu activitățile externalizate trebuie să fie în formă scrisă și să cuprindă în mod clar responsabilitățile fiecarei părți.

(3) Asigurătorii/Reasigurătorii vor putea încheia contracte cu societăți prestatoare de servicii auxiliare sau conexe pentru externalizarea unor activități, în următoarele condiții:

a) asigurarea respectării de către furnizorul de servicii a prevederilor legislației în vigoare și a normelor Comisiei de Supraveghere a Asigurărilor referitoare la serviciile/activitățile externalizate;

b) asigurarea furnizării de către societatea prestatoare de servicii a unor date actualizate la nivelul asigurătorului/ reasigurătorului privind desfășurarea activității externalizate;

c) asigurarea accesului reprezentanților Comisiei de Supraveghere a Asigurărilor la toate datele și informațiile aferente operațiunilor efectuate pentru asigurător/reasigurător de către societățile prestatoare de servicii;

d) asigurarea securității/confidențialității datelor cel puțin prin următoarele măsuri: angajamentul societății prestatoare de servicii auxiliare sau conexe și al personalului acesteia de a se supune regulilor de confidențialitate și drepturile contractuale ale asigurătorului/reasigurătorului de a lua măsuri împotriva societății prestatoare de servicii auxiliare sau conexe în cazul încălcării confidențialității, evidențierea separată a datelor asigurătorului/reasigurătorului de cele ale societății prestatoare de servicii auxiliare sau conexe și de cele ale altor clienți ai acesteia.

Art. 55. - Modificări (1)

Asigurătorii/Reasigurătorii nu pot externaliza următoarele activități:

a) activitatea de audit intern, în condițiile în care furnizorul extern de servicii în domeniul auditului intern are și calitatea de auditor financiar al societății de asigurare în cauză. Coordonatorul activității de audit intern trebuie să fie angajat al societății de asigurare;

b) organizarea și ținerea contabilității, în condițiile în care între persoanele cărora le-ar fi externalizată activitatea de contabilitate și auditorul financiar există legături ce afectează independența acestuia în exercitarea mandatului;

c) organizarea și desfășurarea activității juridice curente, în conformitate cu dispozițiile Legii nr. 514/2003 privind organizarea și exercitarea profesiei de consilier juridic, cu completările ulterioare;

d) activitatea de investiții, în ceea ce privește plasarea și gestionarea activelor admise să acopere rezervele tehnice brute;

e) orice alte activități care în urma externalizării nu mai pot fi controlate și desfășurate în conformitate cu regulile unei practici prudente și sănătoase.

Art. 56. - Modificări (1)

În cazul externalizării unor activități, conducerea administrativă și conducerea executivă ale asigurătorilor/reasigurătorilor răspund pentru atingerea obiectivelor controlului intern aferente respectivelor activități.

CAPITOLUL VII Raportări

Art. 57. -

(1) Asigurătorii/Reasigurătorii trebuie să întocmească anual un raport asupra condițiilor în care este desfășurat controlul intern. Acest raport trebuie să cuprindă cel puțin:

a) o inventariere a principalelor deficiențe identificate în cadrul sistemului de control intern și măsurile întreprinse pentru corectarea acestora;

b) o descriere a modificărilor semnificative intervenite în sistemul de control intern în perioada respectivă, în special axate pe evoluția activității și a riscurilor;

c) o descriere a condițiilor de aplicare a procedurilor de control aferente noilor activități;

d) modul de desfășurare a controlului intern în cadrul structurilor teritoriale ale asigurătorilor/reasigurătorilor din străinătate.

(2) Raportul întocmit de către asigurători/reasigurători trebuie să includă și condițiile în care se desfășoară controlul intern la nivelul entităților cuprinse în perimetrul lor de consolidare și al societăților prestatoare de servicii auxiliare sau conexe.

Art. 58. -

(1) Asigurătorii/Reasigurătorii trebuie să întocmească anual un raport privind măsurile luate pe linia managementului riscurilor la care sunt expuși aceștia și, după caz, măsurile luate de entitățile cuprinse în perimetrul lor de consolidare și societățile prestatoare de servicii auxiliare sau conexe.

(2) Raportul trebuie să fie aprobat de comitetul de management al riscului și trebuie să cuprindă cel puțin:

a) profilul de risc al societății și politica de management al riscurilor, cu specificarea toleranței asigurătorului/reasigurătorului la principalele riscuri și limitele stabilite pentru gestionarea acestora;

b) metodologia folosită în evaluarea fiecărei categorii de risc, testele de stres folosite și rezultatele acestora, frecvența și conținutul rapoartelor interne privind analiza și administrarea riscurilor;

c) detalii ale politicilor de investiții, incluzând procedurile de identificare, monitorizare și control al riscurilor, detalii referitoare la strategiile investiționale cu produse derivate sau produse cu efect similar, precum și procedurile referitoare la introducerea de noi instrumente de investiții și de monitorizare a riscurilor asociate cu utilizarea acestora;

d) informații despre managementul intern al portofoliilor de active și al obligațiilor: detalii despre administrarea activelor în corelație cu natura și scadența obligațiilor, detalii despre investițiile intragrup realizate;

e) procedurile asigurătorului/reasigurătorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare și monitorizare a administratorilor de fonduri și a societăților de servicii de investiții financiare;

f) o prezentare a modului de abordare și a politicilor asigurătorului/reasigurătorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare și solvabilitate;

g) detalii referitoare la salarizarea personalului pentru a stabili dacă compania acordă prime sau alte stimulente salariale mari care determină o mărire nejustificată a expunerii la risc a societății;

h) un plan de afaceri global al asigurătorului/reasigurătorului pentru anul următor, care cuprinde informații referitoare la noile produse lansate de societate, strategia de distribuție a produselor, procesul de subscriere și activitatea de reasigurare;

i) planurile elaborate de asigurător/reasigurător pentru împrejurări neprevăzute;

j) lista tuturor deciziilor consiliului de administrație/consiliului de supraveghere;

k) detalii referitoare la serviciile externalizate;

l) eventuale modificări în organigrama societății și în sistemul de delegare a responsabilităților față de cele comunicate anterior către Comisia de Supraveghere a Asigurărilor;

m) planul de activitate al comitetului de management al riscului în perioada analizată.

Art. 59. -

Asigurătorii/Reasigurătorii trebuie să întocmească anual un raport privind acțiunile de audit desfășurate, din care să reiasă constatările și recomandările auditului intern și modul de implementare a recomandărilor respective la nivelul structurii auditate.

Art. 60. -

Rapoartele menționate la art. 57-59 trebuie să fie transmise Comisiei de Supraveghere a Asigurărilor în termen de 6 luni de la încheierea exercițiului financiar.

Art. 61. -

Pentru controlul intern al activității, managementul riscului și desfășurarea activității de audit intern, asigurătorii/reasigurătorii vor avea în vedere atât prevederile legislației naționale, cât și standardele internaționale în materie.

Art. 62. -

Asigurătorii/Reasigurătorii vor transmite Comisiei de Supraveghere a Asigurărilor, până la data de 31 decembrie 2010, dovada auditării sistemului informatic conform cerințelor art. 25.

Art. 63. -

Asigurătorii/Reasigurătorii au obligația să își revizuiască/elaboreze normele interne privind organizarea controlului intern al activității, normele interne privind organizarea sistemului de management al riscurilor, regulamentul comitetului de management al riscurilor, normele de audit intern și regulamentul comitetului de audit, în concordanță cu prevederile prezentelor norme, și să le transmită Comisiei de Supraveghere a Asigurărilor până la data de 31 decembrie 2009. Orice revizuire ulterioară a normelor interne va fi transmisă în termen de 30 de zile de la aprobare.

Art. 64. -

Nerespectarea prevederilor prezentelor norme constituie contravenție și se sancționează conform prevederilor art. 39 din Legea nr. 32/2000, cu modificările și completările ulterioare.

Acest document poate avea modificări ulterioare. Cumpărați documentul în formă actualizată sau alegeți un abonament Lege5 care permite accesul la orice formă actualizată.

;
se încarcă...