Facebook LinkedIn

Ordin nr. 18/2009

pentru aprobarea Normelor privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători

(Versiune consolidată la data de 18/07/2011). Acesta este modificat şi completat prin Ordinul CSA nr. 15/2011.

În temeiul prevederilor art. 4 alin. (27) din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurărilor, cu modificările şi completările ulterioare, potrivit Hotărârii Consiliului Comisiei de Supraveghere a Asigurărilor din data de 1 septembrie 2009 prin care s-au adoptat Normele privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători,

preşedintele Comisiei de Supraveghere a Asigurărilor emite următorul ordin:

Art. 1. - Se aprobă Normele privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători, prevăzute în anexa care face parte integrantă din prezentul ordin.
Art. 2. - La data intrării în vigoare a prezentului ordin se abrogă Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 113.117/2006 pentru punerea în aplicare a Normelor privind principiile de organizare ale unui sistem de control intern şi management al riscului la asigurători, publicat în Monitorul Oficial al României, Partea I, nr. 572 din 3 iulie 2006.
Art. 3. - Direcţia generală reglementări contabile din cadrul Comisiei de Supraveghere a Asigurărilor va lua măsuri pentru ducerea la îndeplinire a prevederilor prezentului ordin.

Preşedintele Comisiei de Supraveghere a Asigurărilor,
Angela Toncescu
Bucureşti, 7 septembrie 2009
Nr. 18

ANEXĂ
NORME privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători


Versiune consolidată la data de 18.07.2011.

Actul include modificările din următoarele acte:

  • Ordinul nr. 7/2011 publicat în Monitorul Oficial, Partea I nr. 325 din 11.05.2011.
  • Ordinul nr. 12/2011 publicat în Monitorul Oficial, Partea I nr. 506 din 18.07.2011. 
     

CAPITOLUL I
  Definiţii

  Art. 1. - În sensul prezentelor norme, termenii şi expresiile de mai jos au următoarele semnificaţii:
  1. profil de risc - o descriere a riscurilor la care asigurătorul/reasigurătorul este expus. Profilul de risc exprimă natura riscurilor care ameninţă societatea, în funcţie de complexitatea activităţii şi de obiectivele sale strategice;
  2. toleranţa faţă de risc - suma la risc pe care asigurătorul/reasigurătorul este dispus să o accepte în desfăşurarea activităţii sale, în concordanţă cu obiectivele sale strategice. Toleranţa faţă de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;
  3. teste de stres - analize cantitative sau calitative efectuate cu scopul de a evalua impactul unor evoluţii nefavorabile ale factorilor de risc, luaţi individual sau combinaţi într-un scenariu unic, asupra situaţiei financiare a asigurătorilor/reasigurătorilor;
  4. risc de subscriere - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate din cauza stabilirii inadecvate a tarifelor de primă şi/sau a rezervelor tehnice comparativ cu obligaţiile asumate şi care poate să rezulte, fără a fi limitativ, din fluctuaţii în frecvenţa şi severitatea evenimentelor asigurate în raport cu estimările din momentul subscrierii;
  5. risc de piaţă - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, care rezultă, direct ori indirect, din fluctuaţiile în nivelul şi volatilitatea preţului de piaţă al activelor, obligaţiilor şi instrumentelor financiare. Riscul de piaţă cuprinde riscul valutar şi riscul ratei dobânzii;
  6. risc de credit - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, care rezultă din fluctuaţiile în ratingul emitenţilor de valori mobiliare şi al oricăror debitori faţă de care societăţile de asigurare sunt expuse sau din neîndeplinirea obligaţiilor contractuale de către intermediari, asiguraţi, reasigurători sau alţi debitori;
  7. risc operaţional - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, care apare din procesele interne inadecvate, din vina angajaţilor sau din erorile generate de sistemul informatic, precum şi din factori externi;
  8. risc de lichiditate - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, ce rezultă din imposibilitatea asigurătorilor de a valorifica active pentru a onora în orice moment şi cu costuri rezonabile obligaţiile de plată pe termen scurt sau din încasarea cu dificultate a creanţelor din contractele de asigurare/reasigurare;
  9. risc de concentrare - expunerea la un risc cu un potenţial de generare de pierderi suficient de mari încât să ameninţe solvabilitatea sau situaţia financiară a asigurătorului/reasigurătorului;
  10. risc de contagiune - posibilitatea înregistrării de pierderi generate de apartenenţa la grup, apărută ca urmare a raporturilor pe care societatea le are cu alte entităţi din grup, situaţiile de dificultate care apar într-o entitate putând să se propage cu efecte negative asupra solvabilităţii societăţii de asigurare/reasigurare;
  11. risc reputaţional - posibilitatea înregistrării de pierderi sau a nerealizării profiturilor estimate, ca urmare a deteriorării imaginii şi/sau a managementului societăţii (publicităţii negative) care conduce la lipsa încrederii publicului în integritatea societăţii;
  12. tehnici de diminuare a riscului - toate procedurile care dau posibilitatea asigurătorului să transfere parţial sau total riscurile sale către o altă entitate;
  13. externalizare - un acord încheiat între asigurător/reasigurător şi un furnizor de servicii, în baza căruia furnizorul execută în numele şi/sau pentru asigurător/reasigurător un serviciu ori o activitate, chiar dacă aceasta nu priveşte direct activitatea de asigurare;
  14. control intern - proces continuu la care participă conducerea administrativă, conducerea executivă, precum şi întregul personal al asigurătorilor, prin care se furnizează o asigurare rezonabilă asupra atingerii obiectivelor prevăzute la art. 3;
  15. conducerea administrativă - consiliul de administraţie sau consiliul de supraveghere, pentru societăţile care au adoptat sistemul dualist de conducere;
  16. conducerea executivă - astfel cum este definită la art. 2 din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurărilor, cu modificările şi completările ulterioare;
  17. conducerea operativă - persoanele care asigură conducerea nemijlocită a compartimentelor din cadrul asigurătorului, al sucursalelor şi al altor sedii secundare;
  18. managementul riscului - un proces prin care se evaluează, se monitorizează şi se controlează riscurile (generate de factori interni sau de factori externi) care ar putea avea un impact negativ asupra activităţii asigurătorului/reasigurătorului. Sistemul de management al riscului cuprinde reguli şi proceduri necesare pentru identificarea, măsurarea, administrarea şi raportarea riscurilor la care asigurătorul ar putea fi expus, luând în considerare şi interdependenţa dintre riscuri;
  19. audit intern - activitate independentă constând într-o examinare obiectivă a modului de realizare a administrării riscurilor, sistemului de control intern şi proceselor de conducere ale societăţilor, în scopul furnizării unei asigurări rezonabile că acestea funcţionează corespunzător şi vor permite atingerea obiectivelor societăţii de asigurare/reasigurare.

   
CAPITOLUL II
  Sistemul de control intern

  Art. 2. - Sistemul de control intern cuprinde ansamblul activităţilor de control intern din cadrul tuturor structurilor societăţii de asigurare/reasigurare, corespunzător dimensiunii, naturii şi complexităţii activităţii, cu scopul de a contribui la realizarea obiectivelor societăţii de asigurare/reasigurare.
  Art. 3. - În cadrul sistemului de control intern, asigurătorii/reasigurătorii trebuie să definească reguli, proceduri şi o structură organizatorică ierarhizată care să asigure o funcţionare corectă a activităţii în cadrul societăţii şi să urmărească:
  a) desfăşurarea activităţii în condiţii de eficienţă şi rentabilitate;
  b) controlul adecvat al riscurilor care pot afecta atingerea obiectivelor societăţii;
  c) furnizarea unor informaţii corecte, relevante, complete şi oportune structurilor implicate în luarea deciziilor în cadrul societăţilor şi utilizatorilor externi ai informaţiilor;
  d) protejarea patrimoniului;
  e) conformitatea activităţii societăţii cu reglementările legale în vigoare, politica şi procedurile societăţii.
  Art. 4. - Activităţile de control intern includ cel puţin următoarele:
  a) analize la nivelul conducerii administrative şi al conducerii executive;
  b) analize operative la nivelul compartimentelor şi al structurilor teritoriale ale asigurătorilor;
  c) controale faptice care au în vedere restricţionarea accesului la active, cum ar fi disponibilităţi băneşti etc.;
  d) analiza încadrării în limitele impuse expunerilor la risc şi urmărirea modului în care sunt soluţionate situaţiile de neconformitate;
  e) aprobări şi autorizări, în cazul operaţiunilor ce depăşesc anumite limite de sume, asigurându-se astfel controlul asupra realizării operaţiunilor respective de către nivelul de conducere competent şi stabilirea responsabilităţilor;
  f) verificări ale tranzacţiilor efectuate la nivelul asigurătorului şi efectuarea de reconcilieri, în special acolo unde există diferenţe între metodologiile sau sistemele de evaluare utilizate în compartimentele responsabile cu iniţierea tranzacţiilor (front office) şi compartimentele responsabile cu înregistrarea şi monitorizarea tranzacţiilor iniţiate (back office). Rezultatele verificărilor vor fi comunicate nivelului de conducere superior competent.
  Art. 5. - Asigurătorii/Reasigurătorii trebuie să revizuiască activităţile de control intern, cel puţin anual, pentru a identifica şi a evalua în mod corespunzător orice riscuri nou-apărute ca urmare a dezvoltării activităţii.
  Art. 6. - În vederea organizării unui sistem de control intern eficient, asigurătorii/reasigurătorii trebuie să urmărească:
  a) repartizarea corespunzătoare a atribuţiilor la toate nivelurile organizatorice, asigurându-se că personalului nu îi sunt alocate responsabilităţi care să conducă la conflicte de interese. Domeniile care pot fi afectate de potenţiale conflicte de interese trebuie să fie identificate şi supuse unei monitorizări independente exercitate de persoane neimplicate direct în activităţile respective, a căror informare este efectuată pe baza unor linii de raportare stabilite în mod corespunzător;
  b) adoptarea unui cod etic pentru personalul propriu, care să definească reguli comportamentale, de disciplină şi situaţii de potenţiale conflicte de interese şi să prevadă acţiuni corective adecvate, în cazul în care se încalcă procedurile societăţii sau codul etic;
  c) evitarea politicilor sau practicilor de remunerare ce pot favoriza activităţi ilegale, care nu respectă standardele etice sau care presupun riscuri faţă de interesele societăţii;
  d) stabilirea unor canale de comunicare care să asigure un flux corespunzător de informaţii, la toate nivelurile, care să garanteze că personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilităţilor sale, că orice informaţii relevante ajung în timp util şi să permită:
  - informarea conducerii administrative şi a conducerii executive asupra riscurilor aferente activităţii şi funcţionării asigurătorilor/reasigurătorilor;
  - informarea nivelurilor inferioare de conducere operativă şi a personalului atât asupra strategiilor asigurătorilor/reasigurătorilor, cât şi asupra politicilor şi procedurilor stabilite;
  - difuzarea informaţiilor între compartimentele şi structurile teritoriale ale asigurătorilor/reasigurătorilor pentru care respectivele informaţii au relevanţă;
  e) elaborarea de planuri alternative care să permită reluarea activităţii în cazul apariţiei unor situaţii neprevăzute, pentru evitarea pierderilor generate de întreruperea activităţii datorită unor factori externi ce nu pot fi controlaţi de către asigurători/reasigurători. Replicarea sistemelor critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie aparţinând asigurătorilor/reasigurătorilor, fie prin intermediul unui furnizor extern de servicii. Funcţionarea planurilor alternative trebuie testată periodic prin simularea operaţiunilor pe sistemele de rezervă, în scopul verificării disponibilităţii acestora;
  f) elaborarea unor proceduri privind tehnologia de informare şi comunicare, menită să asigure existenţa şi menţinerea unui sistem informatic adecvat nevoilor societăţii, corespunzător cu dimensiunea şi activitatea societăţii, care să asigure:
  1. separarea mediului de dezvoltare de cel de operare. Accesul la diversele medii trebuie reglementat şi controlat prin proceduri întocmite, ţinând cont de exigenţa de limitare a riscurilor şi a fraudei. Aceste proceduri garantează siguranţa datelor, limitând accesul persoanelor neautorizate din mediul de operare şi înregistrând toate tentativele de acces neautorizate;
  2. elaborarea de proceduri pentru aprobarea şi achiziţia sistemelor hardware şi software, precum şi externalizarea serviciilor din sistemul informatic;
  3. elaborarea de proceduri ce asigură siguranţa fizică a sistemelor hardware, software şi a băncilor de date, precum şi prevenirea utilizării necorespunzătoare a informaţiei de către personalul asigurătorilor pentru obţinerea unor beneficii personale sau prejudicierea reputaţiei societăţii;
  4. asigurarea condiţiilor de securitate pentru zonele în care sunt accesate informaţii cu caracter confidenţial;
  5. adoptarea de proceduri pentru identificarea şi gestionarea evenimentelor care pot prejudicia continuitatea activităţii, cum ar fi: incendii, defecţiuni la sistemele hardware sau software, erori operaţionale din partea utilizatorilor, introducere involuntară de componente străine care să creeze daune sistemului informatic sau reţelei etc.
  Procedurile sunt supuse verificării din partea auditului intern.
  Art. 7. -(1) În vederea evitării disfuncţionalităţilor în cadrul activităţii şi a eventualelor pierderi generate de acestea, asigurătorii/reasigurătorii trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecărei aplicaţii informatice din componenţa acestuia.
  (2) Controalele generale se efectuează asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice, precum şi asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au drept scop verificarea funcţionării continue şi corespunzătoare a acestora.
  (3) Controalele generale includ şi verificarea existenţei şi aplicării procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic.
  (4) Controalele efectuate la nivelul aplicaţiilor informatice presupun verificarea existenţei unor proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi a unor proceduri/manuale de verificare a modului de procesare a tranzacţiilor şi efectuării operaţiunilor.
  Art. 8. - (1) Deficienţele identificate în legătură cu sistemul de control intern trebuie să fie raportate imediat nivelului de conducere competent, care trebuie să ia măsuri pentru remedierea cu promptitudine a acestora.
  (2) Deficienţele majore ale sistemului de control intern trebuie să fie raportate conducerii executive a asigurătorilor/reasigurătorilor şi conducerii administrative a acestora.
  (3) Conducerea executivă a asigurătorilor/reasigurătorilor are responsabilitatea de a stabili un sistem de detectare a deficienţelor sistemului de control intern şi de a întreprinde măsuri pentru soluţionarea respectivelor deficienţe.

   
CAPITOLUL III
  Sistemul de management al riscului

  Art. 9. - Asigurătorii/Reasigurătorii trebuie să dispună de un sistem de management al riscurilor proporţional cu dimensiunea, natura şi complexitatea activităţii exercitate.
  Art. 10. - Politica privind managementul riscurilor trebuie să fie transpusă în mod clar şi transparent în norme interne şi manuale de proceduri, făcându-se distincţie între standardele generale aplicabile întregului personal şi regulile specifice aplicabile anumitor categorii de personal care utilizează informaţii confidenţiale sau au responsabilităţi de a angaja societatea.
  Art. 11. - Pentru asigurarea unui sistem de management al riscului eficient, asigurătorii/reasigurătorii trebuie să stabilească, după caz:
  a) un sistem de proceduri de autorizare a operaţiunilor afectate de riscuri;
  b) un sistem de stabilire a limitelor expunerii la risc şi de monitorizare a acestora, care să reflecte profilul de risc ales şi care să fie în conformitate cu legislaţia şi cu reglementările în vigoare; limitele stabilite la nivelul activităţilor şi/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asigurătorilor/reasigurătorilor;
  c) un sistem de raportare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri de la fiecare compartiment către nivelurile de conducere corespunzătoare;
  d) criterii de recrutare şi remunerare a personalului, care să stabilească standarde ridicate pentru pregătirea, experienţa şi integritatea acestuia;
  e) un program de instruire a personalului.
  Art. 12. - Asigurătorii/Reasigurătorii trebuie să opteze pentru un profil de risc, stabilind obiectivul şi strategia de administrare a fiecărui risc, inclusiv în ceea ce priveşte activităţile externalizate.
  Art. 13. - Societăţile de asigurare/reasigurare trebuie să fie capabile, printr-un proces adecvat de analize, să înţeleagă natura riscurilor identificate, originea lor, posibilitatea de a le controla şi efectele care pot deriva din acestea. Procesul de analiză include evaluări calitative şi evaluări cantitative, prin adoptarea unor metodologii de măsurare a expunerii la risc, inclusiv sisteme de determinare a pierderii maxime posibile, unde este cazul.
  Art. 14. - Analizele includ cel puţin următoarele riscuri: riscul de subscriere, riscul de piaţă, riscul de credit, riscul operaţional, riscul de lichiditate, riscul de concentrare, riscul de contagiune şi riscul reputaţional.
  Art. 15. - Pentru măsurarea expunerii la risc societăţile vor ţine cont de relaţia dintre riscuri, evaluându-le atât separat, cât şi sub o bază agregată.
  Art. 16. - (1) Identificarea şi evaluarea riscurilor trebuie să se realizeze cu luarea în considerare a factorilor interni (complexitatea structurii organizatorice, natura activităţilor desfăşurate, calitatea personalului şi fluctuaţia acestuia) şi a factorilor externi (condiţii economice, schimbări legislative sau legate de mediul concurenţial în sectorul de asigurări, progrese tehnologice).
  (2) Procesul de evaluare a riscurilor trebuie să includă identificarea atât a riscurilor care sunt controlabile de către asigurători/reasigurători, cât şi a celor necontrolabile. În cazul riscurilor controlabile, asigurătorii/reasigurătorii trebuie să stabilească dacă îşi asumă integral aceste riscuri sau măsura în care doresc să le reducă prin proceduri de control. În cazul riscurilor necontrolabile, asigurătorii trebuie să decidă dacă le acceptă sau dacă elimină ori reduc nivelul activităţilor afectate de riscurile respective.
  (3) Evaluarea riscurilor trebuie efectuată şi în condiţiile unor scenarii alternative, inclusiv în condiţii de criză.
  Art. 17. - Pentru fiecare dintre sursele de risc identificate, societăţile de asigurare/reasigurare trebuie să efectueze analize cantitative utilizând teste de stres.
  Art. 18. - Testele de stres vor fi create şi dezvoltate în concordanţă cu dimensiunea şi natura activităţii societăţii şi vor avea o frecvenţă specifică tipului de risc, evoluţiei dimensiunii activităţii societăţii şi contextului pieţei, dar cel puţin cu o scadenţă anuală.
  Art. 19. - Rezultatele acestor teste sunt făcute cunoscute conducerii administrative, în scopul de a oferi informaţii pentru revizuirea şi îmbunătăţirea politicii de gestiune a riscurilor, liniilor operative şi limitelor de expunere fixate.
  Art. 20. - Dacă rezultatele acestor analize de stres indică o vulnerabilitate faţă de anumite riscuri, asigurătorii adoptă imediat măsuri pentru gestionarea adecvată a acestor riscuri.
  Art. 21. - În ceea ce priveşte activitatea de investiţii, asigurătorii/reasigurătorii trebuie să întocmească proceduri pentru monitorizarea şi administrarea activelor, în corelaţie cu natura şi scadenţa obligaţiilor, şi să se asigure că activitatea de investiţii este potrivită profilului de risc aprobat.
  Art. 22. - Politicile de identificare, evaluare şi gestiune a riscurilor aferente activităţii de investiţii trebuie definite şi implementate având o viziune integrată asupra activelor şi a obligaţiilor din bilanţul contabil. Dezvoltarea unor tehnici şi modele de management al activelor şi al obligaţiilor este fundamentală pentru o corectă înţelegere şi gestiune a expunerii la risc, care poate să derive din lipsa unui echilibru între partea de active şi cea de obligaţii.
  Art. 23. - Procesele de identificare şi evaluare a riscurilor trebuie să se desfăşoare continuu, pentru a ţine cont de modificările intervenite în natura şi dimensiunea afacerii şi în contextul de piaţă, precum şi de apariţia unor noi riscuri sau de schimbarea celor existente. O atenţie deosebită trebuie acordată evaluării riscurilor care apar odată cu oferta de noi produse sau cu intrarea pe alte pieţe, şi modului în care poate fi afectată administrarea activelor şi a obligaţiilor.
  Art. 24. - Asigurătorii/Reasigurătorii trebuie să definească o procedură prin care să se evidenţieze cu operativitate apariţia unor riscuri care pot afecta situaţia patrimonială şi economică sau care depăşesc limitele de toleranţă fixate. Pentru surse de risc majore identificate, societatea trebuie să dispună măsuri de intervenţie imediate.
  Art. 25. - (1) Asigurătorii/Reasigurătorii trebuie să dispună de un sistem informatic auditat în conformitate cu reglementările în vigoare privind tehnologia informaţiei, care să certifice adecvarea acestuia la specificul şi volumul activităţii, gradul de securitate a informaţiei, capacitatea de a furniza raportările solicitate de Comisia de Supraveghere a Asigurărilor, capacitatea de conectare la reţea pentru transmiterea electronică a raportărilor, capacitatea de stocare/arhivare a datelor, îndeplinirea de către sistemele informatice a criteriilor minimale prevăzute de reglementările în vigoare pentru prelucrarea automată a datelor în domeniul financiar-contabil.
  (2) Auditarea sistemelor informatice conform prevederilor alin. (1) se va efectua de către un auditor financiar, altul decât cel care auditează situaţiile financiare ale societăţii, membru activ al Camerei Auditorilor Financiari din România şi care trebuie să dispună de personal specializat, cu experienţă în ceea ce priveşte sistemele informatice.
  Art. 26. - Asigurătorii/Reasigurătorii trebuie să dispună de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implică analize independente şi regulate, evaluări ale eficacităţii sistemului şi, acolo unde se impune, asigurarea remedierii deficienţelor constatate. Rezultatele unor astfel de analize trebuie să fie comunicate în mod direct conducerii administrative, comitetului de management al riscurilor şi comitetului de audit.
  Art. 27. - În procesul de management al riscurilor, asigurătorii/reasigurătorii trebuie să constituie un comitet de management al riscurilor.
  Art. 28. - (1) Comitetul de management al riscurilor este un comitet permanent, ale cărui funcţionare şi atribuţii sunt reglementate de prezentele norme şi de regulamentele interne ale fiecărui asigurător/reasigurător.
  (2) Comitetul de management al riscurilor îşi poate desfăşura lucrările în subcomitete, în funcţie de mărimea şi de complexitatea asigurătorului/reasigurătorului.
  (3) Comitetul de management al riscurilor se constituie prin decizie a conducerii administrative şi trebuie să cuprindă minimum 3 membri, în funcţie de dimensiunea activităţii societăţii.
  Art. 29. - Asigurătorii/Reasigurătorii trebuie să dispună de un regulament al comitetului de management al riscurilor, aprobat la nivelul conducerii administrative şi revizuit periodic, după caz, care să indice componenţa, autoritatea şi responsabilităţile acestuia şi modul de raportare către conducerea administrativă.
  Art. 30. - (1) Membrii comitetului de management al riscurilor trebuie să aibă o experienţă compatibilă cu responsabilităţile lor în cadrul acestuia.
  (2) Comitetul de management al riscurilor este format din membri ai conducerii executive şi operative a asigurătorului/reasigurătorului.
  Art. 31. - Comitetul de management al riscurilor va avea cel puţin următoarele atribuţii:
  a) să informeze conducerea administrativă asupra situaţiei expunerilor societăţii la riscuri, ori de câte ori intervin schimbări semnificative în expunerea la riscuri, dar cel puţin trimestrial, informări suficient de detaliate şi oportune care să permită conducerii să cunoască şi să evalueze performanţa în monitorizarea şi controlul riscurilor, potrivit politicilor aprobate;
  b) să informeze conducerea administrativă asupra problemelor şi evoluţiilor semnificative care ar putea influenţa profilul de risc al asigurătorului/reasigurătorului;
  c) să dezvolte politici şi proceduri adecvate pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor şi să stabilească limite corespunzătoare privind expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi situaţia financiară a asigurătorului/ reasigurătorului, precum şi proceduri necesare pentru aprobarea excepţiilor de la respectivele limite;
  d) să aprobe metodologii şi modele adecvate pentru evaluarea riscurilor şi limitarea expunerilor la riscuri;
  e) să aprobe angajarea asigurătorului/reasigurătorului în noi activităţi specifice domeniului de activitate, pe baza analizei riscurilor aferente acestora;
  f) să analizeze măsura în care planurile alternative de care dispune asigurătorul/reasigurătorul corespund situaţiilor neprevăzute cu care acesta s-ar putea confrunta;
  g) să stabilească sisteme de raportare în cadrul societăţii privind aspecte legate de riscuri;
  h) să stabilească competenţe şi responsabilităţi la nivel de compartimente privind administrarea şi controlul expunerilor la riscuri.
  Structura de management al riscului
  Art. 32. - Societăţile de asigurare/reasigurare trebuie să instituie o structură de management al riscului, corespunzător naturii, dimensiunii şi complexităţii activităţii, care:
  a) contribuie la definirea metodologiei de măsurare a riscurilor;
  b) avizează fluxurile informaţionale necesare pentru asigurarea controlului operativ al expunerilor la risc şi ia măsuri imediate pentru corectarea acestora;
  c) întocmeşte rapoartele către conducerea administrativă şi conducerea executivă privind evoluţia riscurilor şi depăşirea limitelor de toleranţă aprobate;
  d) contribuie la efectuarea analizelor de stres.
  Art. 33. - Structura de management al riscului trebuie să nu fie subordonată funcţiilor operative. Poziţia organizatorică a structurii de management al riscului este lăsată la autonomia societăţilor de asigurare, acestea trebuind să respecte principiul de separare între funcţiile operative şi cele de control.
  Art. 34. - Persoana desemnată de asigurători/reasigurători pentru conducerea acestei structuri trebuie să îndeplinească criteriile de aprobare prevăzute de Normele privind autorizarea asigurătorilor, puse în aplicare prin Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 16/2009, publicat în Monitorul Oficial al României, Partea I, nr. 569 din 14 august 2009.
 
   
CAPITOLUL IV
  Rolul şi responsabilităţile conducerii administrative şi ale conducerii executive

   
SECŢIUNEA 1
  Rolul şi responsabilităţile conducerii administrative şi ale conducerii executive în ceea ce priveşte controlul intern

  Art. 35. -(1) Conducerea administrativă a asigurătorilor/reasigurătorilor este responsabilă pentru stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.
  (2) În contextul prevederilor alin. (1), conducerea administrativă a asigurătorilor/reasigurătorilor are următoarele atribuţii:
  a) aprobă structura organizatorică a societăţii, precum şi atribuţiile şi responsabilităţile unităţilor operative;
  b) se asigură că sunt adoptate procese decizionale adecvate şi că se efectuează o separare corectă a funcţiunilor;
  c) aprobă sistemul de delegare a puterii şi a responsabilităţilor, evitând concentrarea excesivă a puterii într-o singură persoană şi punând în execuţie instrumente de verificare a respectării puterilor delegate;
  d) defineşte şi evaluează cel puţin o dată pe an strategia şi politica de identificare, evaluare şi gestiune a riscurilor semnificative şi aprobă nivelurile de toleranţă pe care le revizuieşte cel puţin anual;
  e) aprobă politica şi strategia societăţii, revizuindu-le cel puţin anual, şi urmăreşte evoluţia activităţii societăţii şi a condiţiilor externe;
  f) verifică dacă conducerea societăţii implementează corect sistemul de control intern şi de gestiune a riscurilor conform politicilor stabilite;
  g) cere să fie periodic informată despre eficacitatea sistemului de control intern şi de gestiune a riscurilor.
  (3) Pentru îndeplinirea atribuţiilor ce îi revin, conducerea administrativă trebuie să întreprindă cel puţin următoarele măsuri:
  a) discuţii periodice, cel puţin trimestrial, cu conducerea operativă privind eficienţa sistemului de control intern;
  b) analiză periodică, cel puţin trimestrial, a evaluărilor sistemului de control intern efectuate de conducerea operativă şi de auditul intern;
  c) urmărirea implementării de către conducerea operativă a recomandărilor formulate de auditul intern, de auditorul financiar extern şi de Comisia de Supraveghere a Asigurărilor cu privire la deficienţele sistemului de control intern şi examinarea efectului măsurilor implementate.
  Art. 36. -(1) Conducerea executivă a asigurătorului/reasigurătorului are responsabilităţi pe linia monitorizării funcţionării adecvate şi eficiente a sistemului de control intern.
  (2) În contextul prevederilor alin. (1), conducerea executivă are cel puţin următoarele atribuţii:
  a) defineşte în detaliu structura organizatorică a societăţii, drepturile şi responsabilităţile unităţilor operative şi procesele decizionale, în concordanţă cu politica stabilită de conducerea administrativă; asigură o separare a obligaţiilor şi a responsabilităţilor între funcţii în scopul de a evita situaţiile de conflict de interese;
  b) realizează politica de evaluare şi de gestiune a riscurilor aprobată de conducerea administrativă, asigurând definirea limitelor operative, şi verifică încadrarea în aceste limite; monitorizează expunerea la riscuri şi respectarea nivelurilor de toleranţă aprobate de organul administrativ;
  c) se asigură că responsabilităţile delegate conducerii operative cu privire la stabilirea politicilor şi procedurilor de control intern sunt îndeplinite în mod corespunzător;
  d) verifică dacă conducerea administrativă este periodic informată despre eficienţa şi funcţionalitatea sistemului de control intern şi de gestiune a riscurilor;
  e) urmăreşte dacă personalul societăţii îşi cunoaşte propriul rol şi propriile responsabilităţi, cu scopul de a fi efectiv implicat în desfăşurarea controlului ca şi cum ar face parte din propria sa activitate;
  f) stabileşte procese operative şi canale de raportare;
  g) promovează continuu comunicarea în cadrul societăţii cu scopul de a favoriza adeziunea întregului personal la principiile de integritate morală şi valorile etice;
  h) propune conducerii administrative iniţiative menite să îmbunătăţească sistemul de control intern şi de gestiune a riscurilor;
  i) asigură instruirea corespunzătoare a personalului.

   
SECŢIUNEA a 2-a
  Rolul şi responsabilităţile conducerii administrative şi ale conducerii executive în ceea ce priveşte managementul riscului

  Art. 37. - În domeniul managementului riscurilor, conducerea administrativă a asigurătorilor/reasigurătorilor are cel puţin următoarele atribuţii:
  a) să aprobe şi să reconsidere profilul de risc al acestora;
  b) să aprobe politicile privind managementul riscurilor, să le analizeze periodic, cel puţin anual, şi să dispună revizuirea acestora, după caz;
  c) să asigure luarea de către conducerea executivă a măsurilor necesare pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor, inclusiv pentru activităţile externalizate;
  d) să aprobe procedurile de stabilire a competenţelor şi a responsabilităţilor în domeniul managementului riscurilor;
  e) să aprobe externalizarea unor activităţi;
  f) să aprobe politica de instruire a personalului.
  Art. 38. - În domeniul managementului riscurilor, conducerea executivă a asigurătorilor/reasigurătorilor este responsabilă cel puţin pentru următoarele:
  a) implementarea strategiilor aprobate de conducerea administrativă şi asigurarea comunicării acestora personalului implicat în punerea lor în aplicare;
  b) asigurarea comunicării politicilor şi procedurilor pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor personalului implicat în punerea lor în aplicare;
  c) menţinerea unor sisteme de raportare corespunzătoare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri;
  d) menţinerea limitelor corespunzătoare privind expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi cu situaţia financiară a asigurătorilor/reasigurătorilor;
  e) menţinerea eficienţei şi eficacităţii sistemului de control intern;
  f) analizarea oportunităţii externalizării unor activităţi prin prisma riscurilor implicate de externalizare;
  g) supravegherea şi monitorizarea contractelor de externalizare;
  h) urmărirea instruirii corespunzătoare a personalului;
  i) asigurarea concordanţei politicilor de remunerare a personalului cu strategia asigurătorului/reasigurătorului privind riscurile.

   
CAPITOLUL V
  Audit intern

  Art. 39. - Asigurătorii/Reasigurătorii au obligaţia, conform reglementărilor în vigoare privind auditul intern, să instituie o funcţie/structură de audit intern cu scopul de a monitoriza şi evalua eficacitatea şi eficienţa sistemului de control intern şi a celorlalte activităţi din cadrul societăţii.
  Art. 40. - Funcţia de audit intern trebuie organizată respectându-se următoarele cerinţe:
  a) poziţia funcţiei în cadrul structurii organizatorice trebuie să fie astfel încât să garanteze independenţa şi autonomia, pentru a nu fi compromisă obiectivitatea procesului de audit; funcţia de audit intern nu depinde ierarhic de niciun responsabil din aria operativă; personalului implicat în auditul intern nu trebuie să îi fie încredinţate responsabilităţi operative sau acesta nu trebuie să verifice activitatea desfăşurată în trecut, dacă nu a trecut cel puţin un an de la schimbarea activităţii;
  b) funcţia de audit intern trebuie să aibă legături cu toate structurile de control din cadrul societăţii;
  c) responsabilul cu funcţia de audit intern este numit de conducerea administrativă. El trebuie să aibă competenţa profesională pentru a realiza această activitate, conform reglementărilor Camerei Auditorilor Financiari din România. Atribuţiile persoanei responsabile cu funcţia de audit intern trebuie clar definite, iar responsabilitatea şi modalitatea de raportare către conducerea administrativă trebuie precizate în fişa postului/obligaţiile contractuale (în cazul externalizării auditului intern). Responsabilul cu funcţia de audit intern este împuternicit cu autoritatea necesară pentru a garanta independenţa sa;
  d) personalului implicat în activitatea de audit intern trebuie să i se asigure accesul la toate structurile societăţii şi la întreaga documentaţie, inclusiv informaţii privind activităţile externalizate;
  e) structura trebuie să fie corespunzătoare dimensiunii societăţii şi obiectivelor stabilite, în ceea ce priveşte resursele umane şi tehnologia.
  Art. 41. - Funcţia de audit intern va include în principal următoarele activităţi:
  a) evaluarea eficienţei şi a gradului de adecvare a sistemului de control intern;
  b) evaluarea modului de aplicare şi a eficacităţii procedurilor de management al riscurilor;
  c) analizarea relevanţei şi integrităţii datelor furnizate de sistemele informaţionale financiare şi de gestiune, inclusiv sistemul informatic;
  d) verificarea funcţionării şi eficienţei fluxurilor informaţionale între sectoarele activităţii;
  e) evaluarea acurateţei şi credibilităţii înregistrărilor contabile care stau la baza întocmirii situaţiilor financiare şi a raportărilor contabile;
  f) evaluarea modului în care se asigură protejarea elementelor patrimoniale bilanţiere şi extrabilanţiere şi identificarea metodelor de prevenire a fraudelor şi pierderilor de orice fel;
  g) evaluarea modului în care sunt respectate dispoziţiile cadrului legal, cerinţele codurilor etice, precum şi evaluarea modului în care sunt implementate politicile şi procedurile asigurătorului/reasigurătorului;
  h) testarea integrităţii şi credibilităţii raportărilor, inclusiv a celor destinate utilizatorilor externi;
  i) eficienţa controalelor efectuate asupra activităţilor externalizate.
  Art. 42. - Funcţia de audit intern îşi planifică activitatea astfel încât să identifice zonele care vor fi supuse cu prioritate auditului. Planul de audit este supus aprobării conducerii administrative şi identifică activităţile, operaţiunile şi procesele supuse auditului, operaţiunile şi sistemele de verificare, descriind criteriile sub care acestea au fost selecţionate şi specificând resursele necesare executării planului.
  Art. 43. - Funcţia de audit intern va comunica cel puţin trimestrial conducerii administrative, conducerii executive şi funcţiei de control intern rezultatele verificării şi eventualele disfuncţiuni. Este obligatoriu să semnaleze imediat conducerii administrative şi conducerii executive situaţiile de o gravitate specială. Rapoartele de audit trebuie să fie obiective, clare, concise, oportune şi să conţină propuneri pentru eliminarea lipsurilor întâlnite.
  Art. 44. - Asigurătorii/Reasigurătorii trebuie să elaboreze norme de audit intern, unde vor stabili cel puţin următoarele:
  a) obiectivele şi sfera de cuprindere ale auditului intern;
  b) poziţia auditului intern în cadrul societăţii, competenţele şi responsabilităţile acestuia;
  c) responsabilităţile coordonatorului activităţii de audit intern;
  d) termenii şi condiţiile în care auditorii interni pot furniza servicii de consultanţă sau pot îndeplini alte sarcini speciale.
  Art. 45. - Normele de audit intern trebuie să fie revizuite periodic, dacă este cazul, şi comunicate structurilor organizatorice ale societăţii. Ele trebuie aprobate de conducerea administrativă, cu avizul comitetului de audit.
  Art. 46. - Normele de audit intern trebuie să prevadă dreptul de iniţiativă al auditorului intern şi autoritatea acestuia de a comunica cu orice membru din cadrul conducerii societăţii, de a examina orice activitate, compartiment sau sediu secundar al societăţii, precum şi accesul acestuia la orice înregistrări, fişiere şi informaţii interne, inclusiv la informaţii destinate conducerii, precum şi la procese-verbale şi alte materiale cu caracter similar ale tuturor organelor de decizie şi consultative, care prezintă relevanţă în îndeplinirea atribuţiilor sale.
  Art. 47. - Asigurătorii/Reasigurătorii trebuie să se asigure că auditorii interni răspund din punct de vedere profesional obiectivelor prevăzute de normele de audit intern şi că sunt competenţi pentru îndeplinirea responsabilităţilor individuale.
  Art. 48. - Pentru a nu fi afectată capacitatea de evaluare critică a auditorilor interni, ca urmare a rutinei şi executării permanente a aceloraşi sarcini, societăţile de asigurare trebuie să asigure, în măsura posibilităţilor, rotirea responsabililor misiunilor de audit intern, cu condiţia respectării principiului obiectivităţii şi imparţialităţii.
  Art. 49. - (1) Auditorii interni trebuie să fie prudenţi în utilizarea informaţiilor colectate în exercitarea activităţii şi să asigure protejarea acestor informaţii.
  (2) Este interzis ca auditorii interni să utilizeze informaţiile colectate pentru obţinerea unor avantaje personale sau în orice mod care ar fi contrar prevederilor legale ori în detrimentul obiectivelor societăţii de asigurare.
  Art. 50. - Auditorii interni trebuie să fie corecţi, oneşti şi incoruptibili, să respecte prevederile legale şi ale Codului privind conduita etică în activitatea de audit intern şi să comunice informaţii potrivit cerinţelor legale şi ale profesiei.
  Art. 51. - Asigurătorii/Reasigurătorii trebuie să dispună de un comitet de audit, constituit conform reglementărilor în vigoare, şi să dispună de un regulament al comitetului de audit, aprobat la nivelul conducerii administrative şi revizuit periodic, dacă este cazul, care să indice componenţa, competenţele şi atribuţiile acestuia, modul de raportare către conducerea administrativă, precum şi periodicitatea întrunirilor comitetului de audit.
  Art. 52. - Structurile de audit intern, control intern, management al riscului şi actuariat, precum şi orice alt organ de control căruia îi este atribuită o funcţie specifică de control colaborează între ele, schimbând orice informaţii utile necesare pentru îndeplinirea atribuţiilor.
 
   
CAPITOLUL VI
  Externalizarea activităţilor

  Art. 53. - (1) Asigurătorii/Reasigurătorii trebuie să dispună de politici privind externalizarea activităţilor auxiliare sau conexe în raport cu activităţile principale.
  (2) Asigurătorii/Reasigurătorii trebuie să dispună de proceduri de administrare a riscurilor asociate activităţilor externalizate.
  (3) Procedurile de management al riscurilor asociate activităţilor externalizate se vor referi cel puţin la următoarele:
  a) luarea deciziilor privind externalizarea unor noi activităţi sau modificarea celor existente;
  b) selectarea şi evaluarea societăţilor prestatoare de servicii auxiliare sau conexe în legătură cu aspecte cum ar fi: solvabilitatea, reputaţia, familiarizarea cu specificul sectorului asigurărilor, calitatea serviciilor prestate, organizarea activităţii şi controlul intern, existenţa unui personal competent, existenţa unui plan alternativ de redresare a activităţii, asigurarea confidenţialităţii informaţiei;
  c) monitorizarea modului în care societăţile prestatoare de servicii auxiliare sau conexe desfăşoară activităţile externalizate;
  d) elaborarea de planuri alternative şi stabilirea costurilor şi a resurselor necesare pentru schimbarea societăţilor prestatoare de servicii auxiliare sau conexe.
  Art. 54. - (1) Asigurătorii/Reasigurătorii pot externaliza activităţi doar în condiţiile încheierii de contracte cu societăţi prestatoare de servicii auxiliare sau conexe.
  (2) Contractele încheiate cu societăţi prestatoare de servicii auxiliare sau conexe în legătură cu activităţile externalizate trebuie să fie în formă scrisă şi să cuprindă în mod clar responsabilităţile fiecarei părţi.
  (3) Asigurătorii/Reasigurătorii vor putea încheia contracte cu societăţi prestatoare de servicii auxiliare sau conexe pentru externalizarea unor activităţi, în următoarele condiţii:
  a) asigurarea respectării de către furnizorul de servicii a prevederilor legislaţiei în vigoare şi a normelor Comisiei de Supraveghere a Asigurărilor referitoare la serviciile/activităţile externalizate;
  b) asigurarea furnizării de către societatea prestatoare de servicii a unor date actualizate la nivelul asigurătorului/ reasigurătorului privind desfăşurarea activităţii externalizate;
  c) asigurarea accesului reprezentanţilor Comisiei de Supraveghere a Asigurărilor la toate datele şi informaţiile aferente operaţiunilor efectuate pentru asigurător/reasigurător de către societăţile prestatoare de servicii;
  d) asigurarea securităţii/confidenţialităţii datelor cel puţin prin următoarele măsuri: angajamentul societăţii prestatoare de servicii auxiliare sau conexe şi al personalului acesteia de a se supune regulilor de confidenţialitate şi drepturile contractuale ale asigurătorului/reasigurătorului de a lua măsuri împotriva societăţii prestatoare de servicii auxiliare sau conexe în cazul încălcării confidenţialităţii, evidenţierea separată a datelor asigurătorului/reasigurătorului de cele ale societăţii prestatoare de servicii auxiliare sau conexe şi de cele ale altor clienţi ai acesteia.
  Art. 55. - Asigurătorii/Reasigurătorii nu pot externaliza următoarele activităţi:
  a) activitatea de audit intern, în condiţiile în care furnizorul extern de servicii în domeniul auditului intern are şi calitatea de auditor financiar al societăţii de asigurare în cauză. Coordonatorul activităţii de audit intern trebuie să fie angajat al societăţii de asigurare;
  b) organizarea şi ţinerea contabilităţii, în condiţiile în care între persoanele cărora le-ar fi externalizată activitatea de contabilitate şi auditorul financiar există legături ce afectează independenţa acestuia în exercitarea mandatului;
  c) organizarea şi desfăşurarea activităţii juridice curente, în conformitate cu dispoziţiile Legii nr. 514/2003 privind organizarea şi exercitarea profesiei de consilier juridic, cu completările ulterioare;
  d) activitatea de investiţii, în ceea ce priveşte plasarea şi gestionarea activelor admise să acopere rezervele tehnice brute;
  e) orice alte activităţi care în urma externalizării nu mai pot fi controlate şi desfăşurate în conformitate cu regulile unei practici prudente şi sănătoase.
  Art. 56. -
 În cazul externalizării unor activităţi, conducerea administrativă şi conducerea executivă ale asigurătorilor/reasigurătorilor răspund pentru atingerea obiectivelor controlului intern aferente respectivelor activităţi.
 
   
CAPITOLUL VII
  Raportări

  Art. 57. - (1) Asigurătorii/Reasigurătorii trebuie să întocmească anual un raport asupra condiţiilor în care este desfăşurat controlul intern. Acest raport trebuie să cuprindă cel puţin:
  a) o inventariere a principalelor deficienţe identificate în cadrul sistemului de control intern şi măsurile întreprinse pentru corectarea acestora;
  b) o descriere a modificărilor semnificative intervenite în sistemul de control intern în perioada respectivă, în special axate pe evoluţia activităţii şi a riscurilor;
  c) o descriere a condiţiilor de aplicare a procedurilor de control aferente noilor activităţi;
  d) modul de desfăşurare a controlului intern în cadrul structurilor teritoriale ale asigurătorilor/reasigurătorilor din străinătate.
  (2) Raportul întocmit de către asigurători/reasigurători trebuie să includă şi condiţiile în care se desfăşoară controlul intern la nivelul entităţilor cuprinse în perimetrul lor de consolidare şi al societăţilor prestatoare de servicii auxiliare sau conexe.
  Art. 58. - (1) Asigurătorii/Reasigurătorii trebuie să întocmească anual un raport privind măsurile luate pe linia managementului riscurilor la care sunt expuşi aceştia şi, după caz, măsurile luate de entităţile cuprinse în perimetrul lor de consolidare şi societăţile prestatoare de servicii auxiliare sau conexe.
  (2) Raportul trebuie să fie aprobat de comitetul de management al riscului şi trebuie să cuprindă cel puţin:
  a) profilul de risc al societăţii şi politica de management al riscurilor, cu specificarea toleranţei asigurătorului/reasigurătorului la principalele riscuri şi limitele stabilite pentru gestionarea acestora;
  b) metodologia folosită în evaluarea fiecărei categorii de risc, testele de stres folosite şi rezultatele acestora, frecvenţa şi conţinutul rapoartelor interne privind analiza şi administrarea riscurilor;
  c) detalii ale politicilor de investiţii, incluzând procedurile de identificare, monitorizare şi control al riscurilor, detalii referitoare la strategiile investiţionale cu produse derivate sau produse cu efect similar, precum şi procedurile referitoare la introducerea de noi instrumente de investiţii şi de monitorizare a riscurilor asociate cu utilizarea acestora;
  d) informaţii despre managementul intern al portofoliilor de active şi al obligaţiilor: detalii despre administrarea activelor în corelaţie cu natura şi scadenţa obligaţiilor, detalii despre investiţiile intragrup realizate;
  e) procedurile asigurătorului/reasigurătorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare şi monitorizare a administratorilor de fonduri şi a societăţilor de servicii de investiţii financiare;
  f) o prezentare a modului de abordare şi a politicilor asigurătorului/reasigurătorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare şi solvabilitate;
  g) detalii referitoare la salarizarea personalului pentru a stabili dacă compania acordă prime sau alte stimulente salariale mari care determină o mărire nejustificată a expunerii la risc a societăţii;
  h) un plan de afaceri global al asigurătorului/reasigurătorului pentru anul următor, care cuprinde informaţii referitoare la noile produse lansate de societate, strategia de distribuţie a produselor, procesul de subscriere şi activitatea de reasigurare;
  i) planurile elaborate de asigurător/reasigurător pentru împrejurări neprevăzute;
  j) lista tuturor deciziilor consiliului de administraţie/consiliului de supraveghere;
  k) detalii referitoare la serviciile externalizate;
  l) eventuale modificări în organigrama societăţii şi în sistemul de delegare a responsabilităţilor faţă de cele comunicate anterior către Comisia de Supraveghere a Asigurărilor;
  m) planul de activitate al comitetului de management al riscului în perioada analizată.
  Art. 59. - Asigurătorii/Reasigurătorii trebuie să întocmească anual un raport privind acţiunile de audit desfăşurate, din care să reiasă constatările şi recomandările auditului intern şi modul de implementare a recomandărilor respective la nivelul structurii auditate.
  Art. 60. - Rapoartele menţionate la art. 57-59 trebuie să fie transmise Comisiei de Supraveghere a Asigurărilor în termen de 6 luni de la încheierea exerciţiului financiar.
  Art. 601. - (1) Asigurătorii trebuie să întocmească anual un raport privind programul de reasigurare utilizat pentru riscurile cedate, pe care trebuie să îl transmită Comisiei de Supraveghere a Asigurărilor.
  ___________
  Alineatul (1) a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  (2) Raportul trebuie să fie asumat de conducerea asigurătorului, reprezentată de consiliul de administraţie/supraveghere sau de directorat, care este deplin răspunzătoare de eficienţa programului de reasigurare utilizat în perioada de referinţă a raportului.
  ___________
  Alineatul (2) a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  (3) Raportul trebuie să prezinte informaţii referitoare la următoarele aspecte:
  a) strategia aprobată de conducere şi explicaţii cu privire la adecvarea programului de reasigurare în funcţie de profilul de risc al asigurătorului, descrierea procedurilor menite să asigure prudenţa alegerii programului de reasigurare, evitarea concentrării riscurilor cedate pe o singură piaţă şi unui singur reasigurător;
  ___________
  Litera a) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  b) criteriile calitative şi cantitative care au stat la baza selectării formelor de reasigurare şi la adoptarea programului de reasigurare;
  ___________
  Litera b) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  c) criteriile de selectare a reasigurătorilor, piaţa de operare, jurisdicţia aplicabilă, indicarea apartenenţei reasigurătorilor la grupul din care face parte asigurătorul, analizarea riscului de credit al acestora;
  ___________
  Litera c) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  d) descrierea detaliată a programului de reasigurare cu referire la riscurile cedate, la acumularea răspunderilor asumate prin contractele de asigurare pentru fiecare clasă de asigurare, la nivelul reţinerii proprii, pe total activitate şi pe fiecare clasă de asigurare, a sumelor cedate în reasigurare, descrierea modului de înregistrare în evidenţele tehnice şi contabile a poliţelor acoperite de reasigurare şi de gestionare a acestora, descrierea decontărilor realizate cu reasigurătorii conform contractelor încheiate, procedurile de monitorizare a daunelor apărute şi de recuperare a sumelor care sunt în sarcina reasigurătorilor;
  ___________
  Litera d) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  e) menţionarea departamentelor şi a persoanelor care monitorizează şi răspund de îndeplinirea prevederilor contractelor de reasigurare, descrierea procedurilor de evaluare periodică a performanţelor acestora şi măsurile luate de conducerea societăţii în funcţie de rezultatele evaluării;
  ___________
  Litera e) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  f) descrierea rezultatelor testelor de stres sau a scenariilor derulate de societate pentru evaluarea riscurilor rezultate din contractele de reasigurare;
  ___________
  Litera f) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  g) precizarea (dacă este cazul) a valorii sumelor derulate prin alte forme de acoperire a riscurilor care nu sunt aferente reasigurărilor tradiţionale;
  ___________
  Litera g) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  h) descrierea riscurilor de catastrofe naturale subscrise, a capacităţii contractului de reasigurare distinct pe fiecare clasă de asigurare, a calculului daunei maxime posibile şi a modului în care a fost constituită, menţinută şi eventual eliberată rezerva de catastrofă pe fiecare clasă de asigurare;
  ___________
  Litera h) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  i) rezultatele analizei comparative a programelor de reasigurare derulate în anul de referinţă al raportului şi în anul anterior acestuia;
  ___________
  Litera i) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  j) descrierea strategiei de reasigurare pentru anul în curs şi a motivelor care au condus la menţinerea unei strategii similare din anul anterior sau la o eventuală modificare a acesteia.
  ___________
  Litera j) a fost introdusă prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.
  ___________
  Alineatul (3) a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.
  ___________
  Art. 601. a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  Art. 602. - (1) În urma analizării raportului de reasigurare, Comisia de Supraveghere a Asigurărilor evaluează în ce măsură sunt respectate cerinţele de natură prudenţială, adecvarea programului de reasigurare la profilul de risc al asigurătorului, evitarea concentrării riscurilor, transferarea efectivă a riscurilor etc.
  ___________
  Alineatul (1) a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  (2) În cazul în care Comisia de Supraveghere a Asigurărilor constată că strategia de reasigurare şi programul utilizat nu corespund cerinţelor de natură prudenţială prevăzute de legislaţia în vigoare, poate dispune măsurile necesare modificării acestei strategii.
  ___________
  Alineatul (2) a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.
  ___________
  Art. 602. a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  Art. 603. - (1) Raportul menţionat la art. 601 alin. (1) trebuie transmis la sediul Comisiei de Supraveghere a Asigurărilor în termen de 120 de zile de la încheierea exerciţiului financiar, primul raport fiind emis pentru anul 2011.
  ___________
  Alineatul (1) a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  (2) Prevederile art. 601-603 se aplică şi reasigurătorilor pentru programul de retrocesiune.
  ___________
  Alineatul (2) a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.
  ___________
  Art. 603. a fost introdus prin punctul 2. din Ordin nr. 12/2011 începând cu 18.07.2011.

  Art. 61. - Pentru controlul intern al activităţii, managementul riscului şi desfăşurarea activităţii de audit intern, asigurătorii/reasigurătorii vor avea în vedere atât prevederile legislaţiei naţionale, cât şi standardele internaţionale în materie.
  Art. 62. - Asigurătorii/Reasigurătorii vor transmite Comisiei de Supraveghere a Asigurărilor, până la data de 31 decembrie 2010, dovada auditării sistemului informatic conform cerinţelor art. 25.
  Art. 63. - Asigurătorii/Reasigurătorii au obligaţia să îşi revizuiască/elaboreze normele interne privind organizarea controlului intern al activităţii, normele interne privind organizarea sistemului de management al riscurilor, regulamentul comitetului de management al riscurilor, normele de audit intern şi regulamentul comitetului de audit, în concordanţă cu prevederile prezentelor norme, şi să le transmită Comisiei de Supraveghere a Asigurărilor până la data de 31 decembrie 2009. Orice revizuire ulterioară a normelor interne va fi transmisă în termen de 30 de zile de la aprobare.
  Art. 64. - Nerespectarea prevederilor prezentelor norme constituie contravenţie şi se sancţionează conform prevederilor art. 39 din Legea nr. 32/2000, cu modificările şi completările ulterioare.