Norma Nr.3 din 17.03.2014

privind controlul intern, auditul intern şi administrarea riscurilor în sistemul de pensii private
ACT EMIS DE: Autoritatea de Supraveghere Financiara
ACT PUBLICAT ÎN MONITORUL OFICIAL NR. 258 din 09 aprilie 2014

Având în vedere prevederile art. 57 alin. (1) lit. l) şi ale art. 66 alin. (1) din Legea nr. 411/2004 privind fondurile de pensii administrate privat, republicată, cu modificările şi completările ulterioare, ale art. 15 alin. (1) lit. m) şi ale art. 16 din Legea nr. 204/2006 privind pensiile facultative, cu modificările şi completările ulterioare,în temeiul dispoziţiilor art. 24 lit. a) şi o) din Ordonanţa de urgenţă a Guvernului nr. 50/2005 privind înfiinţarea, organizarea şi funcţionarea Comisiei de Supraveghere a Sistemului de Pensii Private, aprobată cu modificări şi completări prin Legea nr. 313/2005, cu modificările şi completările ulterioare,în baza dispoziţiilor art. 2 alin. (1) lit. c) şi d), ale art. 3 alin. (1) lit. b), ale art. 5 lit. c), art. 6 alin. (1) şi (2) şi ale art. 7 alin. (2) din Ordonanţa de urgenţă a Guvernului nr. 93/2012 privind înfiinţarea, organizarea şi funcţionarea Autorităţii de Supraveghere Financiară, aprobată cu modificări şi completări prin Legea nr. 113/2013, cu modificările şi completările ulterioare,în urma deliberărilor din şedinţa Consiliului Autorităţii de Supraveghere Financiară din data de 17 martie 2014,Consiliul Autorităţii de Supraveghere Financiară emite următoarea normă: Capitolul IDispoziţii generale Articolul 1Prezenta normă reglementează organizarea şi desfăşurarea activităţilor de control intern, audit intern şi de administrare a riscurilor în sistemul de pensii private. Articolul 2Prevederile prezentei norme sunt aplicabile: a)administratorilor fondurilor de pensii administrate privat şi administratorilor fondurilor de pensii facultative, denumiţi în continuare administratori; b)fondurilor de pensii administrate privat şi fondurilor de pensii facultative, denumite în continuare fonduri de pensii private. Articolul 3(1) Termenii şi expresiile utilizate în prezenta normă au semnificaţiile prevăzute de:a) art. 2 din Legea nr. 411/2004 privind fondurile de pensii administrate privat, republicată, cu modificările şi completările ulterioare, denumită în continuare Legea nr. 411/2004;b) art. 2 din Legea nr. 204/2006 privind pensiile facultative, cu modificările şi completările ulterioare, denumită în continuare Legea nr. 204/2006;c)art. 2 alin. (1) din Legea nr. 297/2004 privind piaţa de capital, cu modificările şi completările ulterioare;d)art. 2 alin. (2) din Norma nr. 11/2011 privind investirea şi evaluarea activelor fondurilor de pensii private, aprobată prin Hotărârea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 22/2011, cu modificările şi completările ulterioare, denumită în continuare Norma nr. 11/2011; e)art. 3 alin. (2) din Norma nr. 10/2010 privind obligaţiile de raportare şi transparenţă în sistemul pensiilor administrate privat, aprobată prin Hotărârea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 20/2010, cu modificările şi completările ulterioare, denumită în continuare Norma nr. 10/2010; f)art. 3 alin. (2) din Norma nr. 11/2010 privind obligaţiile de raportare şi transparenţă în sistemul pensiilor facultative, aprobată prin Hotărârea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 21/2010, cu modificările şi completările ulterioare, denumită în continuare Norma nr. 11/2010; g)art. 3 alin. (2) din Norma nr. 12/2010 privind autorizarea de constituire a societăţii de pensii şi autorizarea de administrare a fondurilor de pensii administrate privat, aprobată prin Hotărârea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 22/2010, cu modificările şi completările ulterioare, denumită în continuare Norma nr. 12/2010; h)art. 3 alin. (2) din Norma nr. 13/2010 privind autorizarea de constituire a societăţii de pensii şi autorizarea de administrare a fondurilor de pensii facultative, aprobată prin Hotărârea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 23/2010, cu modificările şi completările ulterioare, denumită în continuare Norma nr. 13/2010; i)art. 3 din Norma nr. 11/2007 privind auditorul financiar pentru fondurile de pensii administrate privat şi administratorii acestora, aprobată prin Hotărârea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 32/2007, cu modificările şi completările ulterioare.
(2) De asemenea, termenii şi expresiile de mai jos au următoarele semnificaţii:a)auditul intern - examinarea obiectivă a ansamblului activităţilor administratorului şi fondurilor de pensii private în scopul furnizării unei evaluări independente a administrării riscului, controlului şi proceselor de conducere; b)administrarea riscurilor - procesul prin care se identifică, evaluează, diminuează, monitorizează şi se raportează riscurile generate de factori interni sau de factori externi care ar putea avea un impact negativ asupra activităţii administratorului şi/sau fondurilor de pensii private; c)control intern - procesul continuu prin care se urmăreşte îndeplinirea obiectivelor:

	(i)	de performanţă, respectiv eficacitatea şi eficienţa activităţilor desfăşurate;
	(ii)	de informare, respectiv credibilitatea, integritatea şi furnizarea la timp a informaţiilor;
	(iii)	de conformitate, respectiv conformarea cu actele normative aplicabile, precum şi cu procedurile interne.

d)diminuarea riscului - măsurile întreprinse pentru reducerea probabilităţii de apariţie a riscului şi/sau de reducere a impactului asupra activităţii administratorului şi/ori a fondurilor de pensii private, dacă riscul s-ar materializa; e)expunerea la risc - măsura în care activitatea administratorului şi/sau a fondurilor de pensii private poate fi afectată negativ de materializarea unui risc potenţial, evaluată pe baza probabilităţii de apariţie şi a impactului estimat al acestuia; f)impactul riscului - cuantificarea sau interpretarea calitativă a consecinţelor asupra administratorului şi/sau a fondurilor de pensii private, în situaţia materializării riscului; g)probabilitatea de materializare a riscului - posibilitatea de apariţie a riscului, determinată apreciativ sau prin cuantificare, atunci când natura riscului şi informaţiile disponibile permit o astfel de evaluare; h)profilul de risc - descrierea tipurilor şi efectelor riscurilor la care sunt expuşi administratorii şi fondurile de pensii private; i)riscul actuarial - riscul care decurge din folosirea unor metode actuariale de evaluare şi/sau ipoteze inadecvate; j)riscul de concentrare - riscul ca portofoliul de investiţii al administratorului şi/sau al fondurilor de pensii private să fie expus excesiv faţă de un anumit activ, emitent, grup de emitenţi, sector economic, regiune geografică, intermediar, contrapartidă, grupuri de contrapartide aflate în legătură, după caz; k)riscul de credit - riscul de pierdere care rezultă din fluctuaţii ale bonităţii emitenţilor de valori mobiliare, contrapartidelor şi oricăror debitori faţă de care sunt expuşi administratorul şi fondurile de pensii private; l)riscul de lichiditate - riscul ca administratorul şi/sau fondurile de pensii private să nu poată transforma într-o perioadă adecvată de timp activele în disponibilităţi băneşti în vederea stingerii obligaţiilor; m)riscul operaţional - riscul de pierdere aferent unor procese interne inadecvate sau disfuncţionale, personalului, sistemelor, proceselor şi mediului extern, inclusiv riscul aferent tehnologiei informatice şi de procesare inadecvată din punctul de vedere al administrării, integrităţii, infrastructurii, controlabilităţii şi continuităţii, precum şi riscurile aferente externalizării activităţii; n)riscul de piaţă - riscul de pierdere rezultat direct sau indirect din fluctuaţii nefavorabile ale ratelor de dobândă, ale cursului de schimb sau ale altor preţuri de piaţă; o)riscul reputaţional - riscul de pierdere determinat de percepţia nefavorabilă asupra imaginii administratorului şi/sau a fondurilor de pensii private de către participanţi, potenţiali participanţi, contrapartide, acţionari, investitori, autorităţi de supraveghere şi altele similare; p)riscul de conformitate - riscul ca administratorul să fie sancţionat pentru nerespectarea actelor normative, a reglementărilor sale interne şi a codurilor de conduită stabilite de pieţe sau industrie, aplicabile activităţii sale, fapt care poate cauza acestuia şi/sau fondurilor de pensii private pe care le administrează pierderi financiare ori afectarea reputaţiei; q)riscul inerent - expunerea la un anumit risc, înainte să fie implementate mecanisme de control şi tehnici pentru diminuarea acestuia; r)riscul rezidual - expunerea la un anumit risc, după ce au fost implementate mecanisme de administrare pentru diminuarea acestuia; s)testul de stres - tehnica de administrare a riscului utilizată pentru a evalua prin simulare efectele potenţiale ale unui anumit eveniment şi/sau ale modificării unui set de variabile asupra activităţii administratorului şi a fondurilor de pensii private; ş)toleranţa la risc - marja pe care administratorul şi/sau fondurile de pensii private sunt dispuse să o accepte sau la care sunt expuse. Capitolul IIActivitatea de control intern Secţiunea 1Obiectivele activităţii de control intern Articolul 4 (1) Administratorul are obligaţia de a constitui o structură de control intern pentru care trebuie prevăzute următoarele elemente:a)rolul şi responsabilităţile structurii de conducere în relaţia cu structura de control intern; b)activităţile de control intern şi separarea responsabilităţilor; c)informarea şi comunicarea; d)activităţile de monitorizare şi corectare a deficienţelor. (2) Obiectivele activităţii de control intern sunt:a)desfăşurarea acesteia în condiţii de eficienţă; b)furnizarea unor informaţii corecte, credibile, relevante, complete şi oportune în luarea deciziilor de către membrii consiliului de administraţie/consiliului de supraveghere sau directori/directorat, după caz, precum şi de către utilizatorii externi ai informaţiilor; c)supravegherea respectării de către administrator şi personalul acestuia a actelor normative aplicabile şi a reglementărilor/normelor/procedurilor/regulilor interne; d)reducerea riscurilor de neîndeplinire a obligaţiilor de către administrator. (3) Structura de control intern este subordonată direct consiliului de administraţie/consiliului de supraveghere sau directorilor/directoratului, după caz.(4) În vederea îndeplinirii obiectivelor prevăzute la alin. (2), administratorul procedează la:a)stabilirea, implementarea şi menţinerea unor proceduri pentru a asigura:

	(i)	securitatea, integritatea şi confidenţialitatea informaţiilor, luând în considerare natura acestora;
	(ii)	continuitatea şi regularitatea prestării serviciilor de administrare a fondurilor de pensii private;
	(iii)	mecanismele corespunzătoare de control intern destinate respectării deciziilor şi procedurilor la toate nivelurile ierarhice;
	(iv)	un sistem de raportare şi comunicare internă la toate nivelurile ierarhice relevante;
	(v)	politicile contabile, conform actelor normative aplicabile.

b)asigurarea de personal calificat având aptitudinile, cunoştinţele şi experienţa necesare pentru îndeplinirea responsabilităţilor alocate; c)menţinerea de înregistrări corespunzătoare şi ordonate ale activităţii administratorului; d)elaborarea altor proceduri, conform actelor normative aplicabile. Secţiunea a 2-aRolul şi responsabilităţile consiliului de administraţie/consiliului de supraveghere şi ale directorilor/directoratului Articolul 5Consiliul de administraţie/Consiliul de supraveghere are cel puţin următoarele responsabilităţi: a)stabilirea unor procese decizionale adecvate şi separarea corectă a funcţiilor; b)aprobarea sistemului de delegare a competenţelor şi responsabilităţilor, astfel încât să se evite concentrarea excesivă a deciziei la o singură persoană; c)verificarea modului de îndeplinire a competenţelor şi responsabilităţilor delegate; d)verificarea implementării corecte de către directori/directorat a sistemului de control intern, conform politicilor stabilite; e)asigurarea că este periodic informat despre eficacitatea sistemelor de control intern. Articolul 6Directorii/Directoratul au/are cel puţin următoarele responsabilităţi: a)repartizarea corespunzătoare a atribuţiilor la toate nivelurile organizatorice, astfel încât să nu conducă la apariţia conflictelor de interese; b)adoptarea, pentru personalul propriu, de reguli de conduită profesională, de disciplină şi de acţiune în cazul unor potenţiale conflicte de interese, care să prevadă inclusiv măsuri corective adecvate în cazul în care acestea sunt încălcate; c)evitarea politicilor sau practicilor de remunerare care pot conduce la activităţi ilegale, contrare intereselor administratorului sau fondurilor de pensii private administrate de acesta, ori care presupun asumarea unor riscuri nejustificate; d)stabilirea unor proceduri de comunicare ce asigură un flux corespunzător de informaţii la toate nivelurile, care să garanteze că personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilităţilor sale şi că informaţiile relevante sunt primite în timp util, astfel încât să permită:

	(i)	informarea consiliului de administraţie/consiliului de supraveghere cu privire la riscurile aferente activităţii administratorului şi a fondurilor de pensii private;
	(ii)	difuzarea informaţiilor relevante între compartimentele şi structurile teritoriale ale administratorului.
e) elaborarea unor proceduri privind tehnologia informaţiei şi comunicaţiilor, menite să asigure existenţa şi menţinerea unui sistem informatic adecvat nevoilor administratorului, corespunzător cu dimensiunea, natura şi complexitatea activităţii acestuia, respectiv:
	(i)	proceduri cu privire la siguranţa fizică a sistemelor hardware, software şi a bazelor de date;
	(ii)	proceduri cu privire la siguranţa datelor, inclusiv asigurarea condiţiilor de securitate pentru zonele în care sunt accesate informaţii cu caracter confidenţial;
	(iii)	proceduri cu privire la limitarea accesului persoanelor neautorizate din mediul de operare, prevenirea utilizării necorespunzătoare a informaţiei de către personalul administratorului şi înregistrarea tuturor tentativelor de acces neautorizate.

f)dezbaterea propunerilor privind revizuirea activităţii de control intern şi aprobarea acestora, cel puţin anual, dar nu mai târziu de 31 mai. Secţiunea a 3-aGestionarea conflictului de interese Articolul 7 (1) Administratorul trebuie să ia toate măsurile necesare astfel încât să se asigure că situaţiile de conflict de interese între acesta, inclusiv conducători, personal, societatea-mamă, grupul din care face parte sau orice persoană afiliată ori aflată în mod direct sau indirect în poziţie de control faţă de acesta, şi fondul de pensii private, precum şi între combinaţii ale situaţiilor de mai sus sunt identificate şi gestionate astfel încât interesele fondului de pensii private să nu fie afectate.(2) În vederea identificării tipurilor de conflict de interese care pot apărea în cursul activităţii de administrare a portofoliului fondului de pensii private şi/sau a serviciilor conexe şi a căror existenţă ar putea prejudicia interesele acestuia, administratorul va lua în considerare, în baza unor criterii minime stabilite la nivelul societăţii, dacă o persoană relevantă sau o persoană legată de aceasta în mod direct ori indirect se află în oricare dintre următoarele situaţii:a)administratorul sau acea persoană ar putea obţine un câştig financiar ori ar putea evita o pierdere financiară, pe seama fondului; b)administratorul sau acea persoană ar putea beneficia de un stimulent financiar sau de altă natură pentru a favoriza o societate, pe seama fondului. Articolul 8Administratorul trebuie să dispună măsurile şi procedurile necesare pentru a se asigura că sunt respectate: a)cerinţa ca personalul direcţiei de investiţii care efectuează activităţi de analiză şi alte persoane relevante să nu se implice în tranzacţii personale sau să procedeze la influenţarea ori determinarea oricăror persoane de a proceda la efectuarea de tranzacţii cu instrumentele financiare supuse analizei sau cu orice instrumente financiare legate de acestea, înainte ca rezultatele acesteia să fie utilizate de fondul de pensii; b)cerinţa ca tranzacţiile personale identificate la nivelul administratorului fondului de pensii private să fie evidenţiate într-un registru care să includă orice aprobare sau interdicţie în legătură cu acestea; c)prevederile cap. V din Norma nr. 11/2011. Articolul 9Procedurile întocmite în aplicarea art. 8 lit. b) trebuie să fie concepute astfel încât să asigure în mod distinct următoarele: a)fiecare persoană relevantă trebuie să cunoască restricţiile cu privire la tranzacţiile personale, precum şi măsurile stabilite de către administrator cu privire la acestea şi la dezvăluirea informaţiilor; b)administratorul trebuie să fie informat de îndată cu privire la orice tranzacţie personală la care participă o persoană relevantă, fie în baza unei notificări cu privire la acea tranzacţie, fie prin alte proceduri care permit administratorului să identifice asemenea tranzacţii. Articolul 10Administratorului, personalului cu atribuţii de analiză financiară şi persoanelor relevante implicate în analiza investiţiilor le este interzis să accepte orice fel de avantaje materiale sau de altă natură de la persoanele având un interes material legat de subiectul acesteia. Secţiunea a 4-aOrganizarea şi desfăşurarea activităţii de control intern Articolul 11(1) Activitatea de control intern se desfăşoară în mod independent de activităţile pe care administratorul le monitorizează şi controlează, astfel încât:a)să evalueze în mod continuu eficacitatea şi modul adecvat de punere în aplicare a măsurilor şi procedurilor administratorului, precum şi măsurile dispuse pentru rezolvarea oricăror situaţii de neîndeplinire a obligaţiilor acestuia; b)să urmărească desfăşurarea activităţii de administrare a fondului de pensii private în condiţii de eficacitate. (2) Activitatea de control intern se exercită în baza procedurilor aprobate de către consiliul de administraţie/consiliul de supraveghere sau de către directori/directorat, după caz.(3) Pentru a permite persoanei care conduce structura de control intern să îşi ducă la îndeplinire responsabilităţile în mod corect şi independent, administratorul trebuie să se asigure că aceasta:a)are autoritatea, resursele şi experienţa necesare, precum şi acces la toate informaţiile relevante; b)are atribuţii aferente activităţii de control intern, precum şi metode de remuneraţie, astfel încât să nu îi fie afectată obiectivitatea sau să conducă la această posibilitate; c)nu este implicată în desfăşurarea activităţilor pe care le monitorizează; d)participă, în calitate de invitat, la şedinţa consiliului de administraţie/consiliului de supraveghere cel puţin o dată pe an, atunci când pe ordinea de zi a acesteia este prevăzută dezbaterea raportului de activitate al structurii de control intern. Articolul 12(1) Activitatea de control intern cuprinde cel puţin următoarele:a)analize operative la nivelul structurilor administratorului; b)asigurarea că se realizează controale privind modalitatea prin care administratorul gestionează accesul la operaţiuni referitoare la activele fondului de pensii private şi conturile participanţilor; c)asigurarea că se realizează verificări ale operaţiunilor care depăşesc anumite limite de sume de către nivelul de conducere competent; d)asigurarea că se realizează verificări independente, inclusiv privind separarea atribuţiilor, verificarea încrucişată, dublul control al activelor, semnătura dublă şi altele similare; e)asigurarea că se realizează verificări ale tranzacţiilor efectuate la nivelul administratorului şi la nivelul fondului de pensii private; f)asigurarea că se realizează, de către persoanele cu responsabilităţi în acest sens, verificări cel puţin semestriale, ale operaţiunilor privind:

	(i)	aderarea şi evidenţa participanţilor;
	(ii)	evidenţa actelor individuale de aderare;
	(iii)	comisionarea şi convertirea contribuţiilor;
	(iv)	evaluarea portofoliului de active financiare şi calculul activului net al fondului de pensii private;
	(v)	viramentele contribuţiilor individuale ale participanţilor la fondurile de pensii private;
	(vi)	decontarea tranzacţiilor cu instrumente financiare;
	(vii)	transferul activelor participanţilor între fondurile de pensii private;
	(viii)	plata contravalorii activului personal net al participantului la un fond de pensii private în caz de invaliditate, deces şi deschiderea dreptului acestuia la pensie;
	(ix)	stingerea obligaţiilor administratorului şi fondurilor de pensii private;
	(x)	mandatarea şi monitorizarea agenţilor de marketing ai fondului de pensii private;
	(xi)	elaborarea, prezentarea, depunerea, publicarea şi transmiterea către Autoritatea de Supraveghere Financiară, denumită în continuare Autoritate, şi participanţi a rapoartelor/informărilor prevăzute de actele normative aplicabile.

g)asigurarea că se realizează verificarea corectitudinii datelor şi raportărilor administratorului şi ale fondurilor de pensii private; h)asigurarea că se realizează verificarea şi semnarea tuturor documentelor transmise de către administrator Autorităţii. (2) Activitatea de control intern este implementată pentru fiecare nivel organizatoric al administratorului şi se exercită în funcţie de dimensiunea, natura şi complexitatea acestuia.(3) Activitatea de control intern se constituie ca parte integrantă a activităţii zilnice a administratorului.(4) Este interzisă externalizarea activităţii de control intern de către administrator. Secţiunea a 5-aActivitatea persoanei care conduce structura de control intern Articolul 13Persoana care conduce structura de control intern este autorizată individual de către Autoritate înainte de începerea exercitării atribuţiilor, în conformitate cu prevederile Normei nr. 12/2010 şi ale Normei nr. 13/2010. Articolul 14Persoana care conduce structura de control intern are următoarele atribuţii: a)elaborarea planului anual de control intern, care trebuie aprobat de consiliul de administraţie/consiliul de supraveghere sau de către directori/directorat, după caz; b)monitorizarea şi verificarea cu regularitate a aplicării corespunzătoare a prevederilor actelor normative specifice activităţii de administrare a fondurilor de pensii private şi a procedurilor interne, ţinând evidenţa neregulilor descoperite; c)depunerea tuturor diligenţelor pentru a preveni orice situaţie de încălcare a prevederilor actelor normative aplicabile sau a procedurilor interne ale administratorului şi formularea propunerilor de măsuri pentru remedierea oricărei situaţii de neconformitate; d)raportarea către consiliul de administraţie/consiliul de supraveghere sau către directori/directorat, după caz, a situaţiilor de încălcare a actelor normative aplicabile sau a procedurilor interne; e)asigurarea că se verifică conformitatea sistemului informatic cu prevederile actelor normative aplicabile şi cu procedurile interne ale administratorului; f)asigurarea că se ţine evidenţa tuturor reclamaţiilor primite de către administrator şi a modului de soluţionare a acestora, prin intermediul Registrului reclamaţiilor, care trebuie să conţină cel puţin următoarele informaţii:

	(i)	numărul şi data reclamaţiei din registrul de intrări/ieşiri;
	(ii)	datele de identificare ale reclamantului;
	(iii)	activitatea la care se referă reclamaţia;
	(iv)	datele de identificare ale persoanelor la adresa cărora s-a formulat reclamaţia, după caz;
	(v)	faptele reclamate;
	(vi)	prejudiciul reclamat;
	(vii)	numărul şi data înregistrării din registrul de intrări/ieşiri a răspunsului către reclamant şi modul de soluţionare a reclamaţiei.

g)asigurarea că sunt îndeplinite obligaţiile de raportare, conform actelor normative aplicabile; h)avizarea conformităţii materialelor publicitare cu prevederile actelor normative aplicabile; i)urmărirea ducerii la îndeplinire de către administrator a solicitărilor formulate de persoanele împuternicite de către Autoritate în efectuarea controlului activităţii administratorului şi/sau fondurilor de pensii private şi a măsurilor dispuse de către Autoritate. Articolul 15În cel mai scurt timp posibil, dar nu mai târziu de 30 de zile calendaristice de la identificarea unor deficienţe, în funcţie de dimensiunea, natura şi complexitatea acestora, consiliul de administraţie/consiliul de supraveghere sau directorii/directoratul, după caz, trebuie să dispună elaborarea şi implementarea unui plan de măsuri de remediere. Articolul 16Persoanei care conduce structura de control intern îi este interzis să utilizeze informaţiile la care are acces în orice mod contrar prevederilor legale sau în detrimentul obiectivelor administratorului şi ale fondurilor de pensii private ori pentru obţinerea unor avantaje personale. Articolul 17(1) În exercitarea atribuţiilor prevăzute la art. 14, persoana care conduce structura de control intern are obligaţia de a întocmi semestrial un raport de control intern.(2) Raportul prevăzut la alin. (1) trebuie să cuprindă cel puţin următoarele elemente:a)lista tuturor activităţilor desfăşurate de administrator în nume propriu şi/sau în numele fondurilor de pensii private şi supuse controlului; b)durata fiecărei activităţi şi perioada la care se referă; c)descrierea activităţilor de control intern efectuate, respectiv descrierea procedurii de control intern aplicată, persoanele care au elaborat procedurile şi au verificat documentele, precum şi conformitatea activităţilor desfăşurate de către administrator în nume propriu şi/sau în numele fondurilor de pensii private, cu prevederile actelor normative aplicabile; d)deficienţele identificate şi măsurile recomandate pentru remedierea acestora; e)deciziile adoptate de către persoanele abilitate să ia măsuri de remediere; f)situaţia privind implementarea măsurilor pentru remedierea deficienţelor identificate, separat pentru deficienţele curente şi pentru cele identificate prin rapoartele de control intern anterioare; g)termenele de implementare a măsurilor. (3) Raportul prevăzut la alin. (1) este aprobat de consiliul de administraţie/consiliul de supraveghere sau de către directori/directorat, după caz, şi se transmite Autorităţii, în conformitate cu prevederile Normei nr. 10/2010 şi ale Normei nr. 11/2010. Articolul 18(1) În exercitarea atribuţiilor şi responsabilităţilor sale, persoana care conduce structura de control intern are obligaţia de a întocmi şi de a gestiona:a)registrul de control intern; b)registrul tranzacţiilor personale; c)registrul conflictelor de interese.
(2) Registrele menţionate la alin. (1) se păstrează pe suport hârtie sau în format electronic. Articolul 19 (1) Registrul de control intern cuprinde cel puţin informaţii referitoare la:a)verificările şi investigaţiile efectuate; b)persoanele care au efectuat verificările şi investigaţiile; c)durata verificărilor şi investigaţiilor, precum şi perioada la care acestea se referă; d)rezultatul verificărilor şi investigaţiilor; e)propunerile înaintate în scris consiliului de administraţie/ consiliului de supraveghere sau directorilor/directoratului, după caz, şi data când au fost formulate; f)măsurile de remediere şi termenele de realizare asumate de persoanele abilitate. (2) Persoana care conduce structura de control intern are obligaţia înscrierii tuturor investigaţiilor efectuate în registrul prevăzut la alin. (1), în ordine cronologică. Articolul 20(1) Registrul tranzacţiilor personale cuprinde toate tranzacţiile persoanelor relevante.(2) Registrul prevăzut la alin. (1) trebuie să conţină cel puţin următoarele informaţii:a)numele şi prenumele persoanei relevante; b)data şi ora tranzacţiei; c)natura tranzacţiei, respectiv vânzare sau cumpărare, după caz; d)instrumentul financiar tranzacţionat; e)intermediarul; f)orice aprobare sau interdicţie a tranzacţiei, după caz. (3) În analiza tranzacţiilor personale, persoana care conduce structura de control intern trebuie să verifice respectarea prevederilor art. 7-10. Articolul 21(1) Registrul conflictelor de interese conţine cel puţin următoarele informaţii:a)data completării; b)activitatea identificată/suspectă că a condus/ar putea conduce la un conflict de interese; c)persoanele implicate; d)posibilele efecte; e)propuneri transmise în scris consiliului de administraţie/ consiliului de supraveghere sau directorilor/directoratului, după caz; f)modul de gestionare a conflictului de interese. (2) În analiza potenţialelor conflicte de interese, persoana care conduce structura de control intern acordă o atenţie sporită tranzacţiilor care implică persoane relevante, persoane afiliate sau persoane care acţionează în mod concertat. Articolul 22Persoana care conduce structura de control intern este subordonată direct consiliului de administraţie/consiliului de supraveghere sau directorilor/directoratului, după caz. Capitolul IIIActivitatea de audit intern Secţiunea 1Obiectivele activităţii de audit intern Articolul 23 (1) Administratorul are obligaţia de a constitui o structură de audit intern.(2) Activitatea de audit intern este organizată cu respectarea prevederilor Ordonanţei de urgenţă a Guvernului nr. 75/1999 privind activitatea de audit financiar, republicată, cu modificările şi completările ulterioare, denumită în continuare Ordonanţa de urgenţă a Guvernului nr. 75/1999.
(3) Obiectivele auditului intern sunt:a)asigurarea că politicile şi procedurile administratorului sunt respectate în cadrul tuturor activităţilor şi structurilor; b)revizuirea politicilor, procedurilor, proceselor şi mecanismelor de control, astfel încât acestea să fie suficiente şi adecvate activităţii desfăşurate. (4) Structura de audit intern este subordonată direct consiliului de administraţie/consiliului de supraveghere.(5) Nu pot fi auditori interni persoanele care sunt soţi, rude sau afini până la gradul al patrulea inclusiv cu membrii organelor de conducere ale administratorului.(6) În vederea evitării oricărui conflict de interese, auditorii interni:a)nu pot audita activităţi sau funcţii desfăşurate şi, respectiv, deţinute decât după trecerea unei perioade de cel puţin un an de la exercitarea acestora; b)nu pot fi angrenaţi în operaţiuni ale administratorilor/ fondurilor de pensii private ori în proiectarea sau implementarea oricăror proceduri de control aplicabile administratorului/fondului de pensii private. Articolul 24(1) Auditul intern trebuie să acopere ansamblul activităţilor desfăşurate de administrator în nume propriu şi în numele fondului şi/sau fondurilor de pensii private pe care le administrează.(2) În vederea îndeplinirii obiectivelor, activitatea de audit intern include cel puţin următoarele:a)evaluarea eficienţei şi a gradului de adecvare a activităţii de control intern, de administrare a riscurilor, de administrare a investiţiilor şi activităţii de marketing; b)analizarea relevanţei şi integrităţii datelor furnizate de sistemele informatice; c)evaluarea acurateţei şi credibilităţii înregistrărilor contabile şi situaţiilor financiare; d)evaluarea modului în care se asigură protejarea elementelor patrimoniale bilanţiere şi extrabilanţiere şi identificarea metodelor de prevenire a fraudelor şi a pierderilor de orice fel. (3) Activitatea de audit intern trebuie să fie obiectivă şi independentă faţă de activităţile auditate. Secţiunea a 2-aRolul şi responsabilităţile consiliului de administraţie/consiliului de supraveghere Articolul 25(1) Consiliul de administraţie/Consiliul de supraveghere este responsabil pentru asigurarea unei activităţi de audit intern adecvate, corespunzătoare dimensiunii şi naturii operaţiunilor desfăşurate.(2) Consiliul de administraţie/Consiliul de supraveghere are cel puţin următoarele responsabilităţi:a)să aprobe procedurile interne aplicabile comitetului de audit şi structurii de audit intern; b)să aprobe planul de audit anual; c)să se asigure că este informat despre planul de măsuri rezultat în urma recomandărilor formulate de structura de audit intern; d)să se asigure că este informat periodic cu privire la stadiul implementării planului de măsuri şi, după caz, să dispună măsuri suplimentare când acestea se impun. Secţiunea a 3-aOrganizarea şi desfăşurarea activităţii de audit intern Articolul 26(1) Activitatea de audit intern cuprinde cel puţin următoarele etape:a)planificarea activităţii de audit intern; b)examinarea şi evaluarea informaţiilor avute la dispoziţie; c)comunicarea raportului de audit intern, a planului de măsuri, precum şi a stadiului implementării acestora către consiliul de administraţie/consiliul de supraveghere şi/sau comitetul de audit, după caz; d)monitorizarea implementării recomandărilor dispuse de consiliul de administraţie/consiliul de supraveghere, după caz. (2) Este interzisă externalizarea activităţii de audit intern de către administrator. Articolul 27Administratorul elaborează procedurile interne, care trebuie să conţină cel puţin următoarele: a)obiectivele activităţii de audit intern şi sfera de cuprindere a acesteia; b)competenţele şi responsabilităţile structurii de audit intern în cadrul societăţii; c)atribuţiile şi responsabilităţile persoanei care conduce structura de audit intern; d)termenii şi condiţiile în care auditorii interni pot furniza servicii de consultanţă sau pot îndeplini alte sarcini speciale; e)modalitatea de analiză şi revizuire. Secţiunea a 4-aActivitatea persoanei care conduce structura de audit intern Articolul 28(1) Administratorul trebuie să desemneze persoana care conduce structura de audit intern.(2) Persoana prevăzută la alin. (1) trebuie să respecte prevederile Ordonanţei de urgenţă a Guvernului nr. 75/1999.
(3) Înainte de începerea exercitării atribuţiilor de către persoana prevăzută la alin. (1), administratorul notifică Autorităţii numele acesteia. Articolul 29Auditorii interni trebuie să fie prudenţi în utilizarea informaţiilor colectate în exercitarea activităţii şi să asigure protejarea acestor informaţii. Articolul 30Personalului implicat în activitatea de audit intern nu trebuie să îi fie încredinţate responsabilităţi operative. Articolul 31 (1) Este interzisă auditorilor interni:a)utilizarea informaţiilor colectate în orice mod contrar prevederilor legale sau în detrimentul obiectivelor administratorului ori pentru obţinerea unor avantaje personale; b)evaluarea operaţiunilor de care au fost responsabili anterior exercitării activităţii de audit intern. (2) Administratorul este obligat să întreprindă măsuri pentru a asigura auditarea corespunzătoare a operaţiunilor prevăzute la alin. (1) lit. b). Articolul 32(1) Persoana care conduce structura de audit intern are următoarele atribuţii:a)stabilirea, implementarea şi menţinerea unui plan de audit intern anual care să asigure evaluarea şi să determine eficacitatea şi caracterul adecvat al activităţii de administrare a riscurilor, al activităţii de control intern, de administrare a investiţiilor şi al activităţii de marketing, al mecanismelor şi procedurilor administratorului, precum şi stabilirea necesarului de resurse aferent acestei activităţi; b)emiterea de recomandări bazate pe rezultatul activităţii desfăşurate conform prevederilor lit. a); c)raportarea deficienţelor constatate ca rezultat al activităţii de audit intern către consiliul de administraţie/consiliul de supraveghere; d)analizarea procedurilor administratorului şi testarea eficacităţii sistemelor de control intern şi de administrare a riscurilor referitoare la procesele auditate cu ocazia misiunilor întreprinse; e)asigurarea respectării prevederilor legale, conform actelor normative aplicabile, referitor la procesele auditate cu ocazia misiunilor întreprinse. (2) Planul de audit intern prevăzut la alin. (1) lit. a) trebuie să îndeplinească următoarele condiţii:a)să definească obiectivele, termenele şi frecvenţa misiunilor de audit intern, precum şi informaţiile privind ansamblul activităţilor care se vor desfăşura, resursele umane şi materiale necesare; b)să cuprindă ansamblul operaţiunilor, activităţilor şi proceselor, ţinând cont de riscurile şi de organizarea diferitelor activităţi ale administratorului. (3) Planul de audit intern este supus aprobării consiliului de administraţie/consiliului de supraveghere, conform prevederilor actelor normative aplicabile.(4) Fiecare misiune a planului de audit intern este executată pe baza documentelor specifice activităţii de audit care detaliază activităţile desfăşurate, tehnicile şi metodele de lucru, precum şi etapele misiunii.(5) În aplicarea prevederilor alin. (4), documentele trebuie să permită revizuirea misiunilor de audit efectuate, a deficienţelor descoperite şi a concluziilor.(6) Documentele prevăzute la alin. (4) trebuie păstrate pentru o perioadă de 10 ani şi puse la dispoziţia auditorilor externi şi a comitetului de audit.(7) Planul de audit intern prevăzut la alin. (1) lit. a) se transmite Autorităţii în conformitate cu prevederile Normei nr. 10/2010 şi ale Normei nr. 11/2010. Articolul 33(1) Fiecare misiune de audit intern face obiectul unui raport de audit intern care este prezentat consiliului de administraţie/consiliului de supraveghere.(2) Raportul prevăzut la alin. (1) trebuie să fie obiectiv, clar, concis, oportun şi să conţină recomandări pentru remedierea deficienţelor identificate în perioada auditată.(3) Raportul prevăzut la alin. (1) trebuie să cuprindă cel puţin următoarele elemente:a)perioada supusă auditării interne; b)lista activităţilor desfăşurate de către structura de audit intern aferente perioadei auditate; c)descrierea principalelor activităţi desfăşurate; d)persoanele responsabile pentru efectuarea respectivelor activităţi; e)deficienţele identificate şi recomandările structurii de audit intern pentru remedierea acestora; f)situaţia privind planul de măsuri pentru soluţionarea deficienţelor identificate, separat pentru deficienţele curente şi cele identificate prin rapoartele de audit intern anterioare, în cazul în care acestea din urmă nu au fost soluţionate corespunzător. (4) Raportul prevăzut la alin. (1) este transmis şi comitetului de audit. Articolul 34Persoana care conduce structura de audit intern are obligaţia de a întocmi un raport privind misiunile de audit intern desfăşurate, care se transmite Autorităţii în conformitate cu prevederile Normei nr. 10/2010 şi ale Normei nr. 11/2010. Articolul 35Auditorii interni au acces la orice date sau înregistrări, precum şi la documente şi informaţii relevante necesare îndeplinirii atribuţiilor care le revin. Articolul 36În îndeplinirea atribuţiilor care îi revin, persoana care conduce structura de audit intern urmăreşte modul de implementare a recomandărilor formulate în raportul de audit intern şi raportează în acest sens, cel puţin semestrial, consiliului de administraţie/consiliului de supraveghere şi comitetului de audit, după caz. Capitolul IVActivitatea de administrare a riscurilor Secţiunea 1Obiectivele activităţii de administrare a riscurilor Articolul 37 (1) Administratorul are obligaţia de a constitui o structură de administrare a riscurilor.(2) Obiectivele activităţii de administrare a riscurilor sunt identificarea, analizarea, evaluarea, diminuarea, monitorizarea şi raportarea riscurilor la care sunt expuse fondurile de pensii private şi administratorul, cu luarea în considerare atât a factorilor interni, cât şi a factorilor externi.(3) Structura de administrare a riscurilor este subordonată direct consiliului de administraţie/consiliului de supraveghere sau directorilor/directoratului, după caz.(4) Activitatea de administrare a riscurilor trebuie să se realizeze cu luarea în considerare a:a)factorilor interni, precum complexitatea structurii organizatorice, natura şi dimensiunea activităţilor desfăşurate, calitatea personalului, fluctuaţia acestuia şi altele similare; b)factorilor externi, precum condiţiile economice, modificările cadrului legislativ şi altele similare. (5) În procesul de administrare a riscurilor trebuie identificate:a)riscurile controlabile, în cazul cărora administratorul stabileşte dacă şi le asumă integral sau măsura în care doreşte să le diminueze; b)riscurile necontrolabile, în cazul cărora administratorul decide dacă le acceptă sau dacă elimină ori reduce nivelul activităţilor afectate de riscurile respective, după caz. (6) Evaluarea riscurilor se efectuează atât în condiţii normale, cât şi în condiţiile unor scenarii alternative, inclusiv pentru condiţii de criză.(7) Pentru riscurile identificate, administratorul efectuează analize cantitative şi/sau calitative, utilizând teste de stres, după caz.(8) Administratorul determină riscurile care trebuie să fie supuse unor teste de stres adecvate şi proporţionale, având în vedere o analiză a naturii şi structurii portofoliilor, precum şi a mediului în care administratorul şi fondurile de pensii private îşi desfăşoară activitatea.(9) Testele de stres sunt elaborate şi actualizate periodic în concordanţă cu natura, dimensiunea şi complexitatea activităţii de administrare a fondurilor de pensii private şi trebuie să aibă o frecvenţă specifică tipului de risc, evoluţiei activităţii administratorului şi contextului de piaţă.(10) Rezultatele testelor de stres sunt făcute cunoscute consiliului de administraţie/consiliului de supraveghere sau directorilor/directoratului, după caz, în scopul de a oferi fundamentare pentru revizuirea şi îmbunătăţirea politicii de administrare a riscurilor şi a limitelor de expunere fixate, inclusiv pentru adoptarea de măsuri adecvate dacă rezultatele testelor indică o vulnerabilitate semnificativă. Secţiunea a 2-aRolul şi responsabilităţile consiliului de administraţie/consiliului de supraveghere şi directorilor/directoratului Articolul 38Consiliul de administraţie/Consiliul de supraveghere are cel puţin următoarele responsabilităţi: a)aprobarea politicii de administrare a riscurilor la care sunt expuse fondurile de pensii private şi administratorul; b)aprobarea profilului de risc al fondurilor de pensii private şi al administratorului şi asigurarea că acesta este revizuit şi actualizat periodic; c)asigurarea că directorii/directoratul iau/ia măsurile necesare pentru identificarea, evaluarea, diminuarea, monitorizarea şi raportarea riscurilor; d)luarea la cunoştinţă a conţinutului raportului de risc şi aprobarea măsurilor prevăzute la lit. c), în cazul în care implementarea acestora depăşeşte competenţa directorilor/ directoratului. Articolul 39Directorii/Directoratul au/are cel puţin următoarele responsabilităţi: a)implementarea politicii de administrare a riscurilor la care sunt expuse fondurile de pensii private şi revizuirea acesteia cel puţin anual sau de câte ori este necesar; b)asigurarea şi alocarea resurselor necesare îndeplinirii atribuţiilor structurii de administrare a riscurilor, inclusiv personal cu experienţă şi calificare corespunzătoare, sisteme de date, şi acces la informaţii interne şi externe; c)stabilirea clară a atribuţiilor şi responsabilităţilor structurii de administrare a riscurilor şi a liniilor de raportare, astfel încât să se respecte principiul de separare a atribuţiilor incompatibile şi să implementeze mecanisme transparente pentru soluţionarea conflictelor de interese; d)adoptarea de proceduri de autorizare a operaţiunilor supuse riscurilor asumate, după caz; e)asigurarea implementării unor sisteme de stabilire a limitelor expunerii la risc şi de monitorizare a acestora, precum şi a nivelurilor de competenţă decizională; f)asigurarea implementării unui sistem de raportare a expunerilor la riscuri către nivelurile de conducere corespunzătoare; g)asigurarea evaluării, monitorizării şi revizuirii periodice a măsurilor adoptate pentru remedierea deficienţelor apărute în derularea procesului de administrare a riscurilor; h)asigurarea că sunt identificate procesele operaţionale critice, pentru care reluarea rapidă a activităţii este esenţială, inclusiv acele procese care depind de furnizori externi sau terţe părţi. Secţiunea a 3-aOrganizarea şi desfăşurarea activităţii de administrare a riscurilor Articolul 40(1) Administrarea riscurilor se desfăşoară în mod independent faţă de celelalte activităţi pe care administratorul le efectuează.(2) Persoanele care desfăşoară activităţi de administrare a riscurilor trebuie să dispună de experienţa necesară în procesul de identificare, evaluare, diminuare, monitorizare şi raportare a riscurilor, acestea exercitând inclusiv atribuţiile de elaborare şi monitorizare a modelelor de evaluare a riscurilor, precum şi a scenariilor privind testele de stres. Articolul 41(1) Activitatea de administrare a riscurilor include cel puţin stabilirea, implementarea şi actualizarea unor politici, proceduri, procese, tehnici şi măsuri adecvate pentru identificarea, analizarea, evaluarea, diminuarea, monitorizarea şi raportarea riscurilor la care sunt expuse fondurile de pensii private şi administratorul.(2) Este interzisă externalizarea activităţii de administrare a riscurilor de către administrator. Articolul 42 (1) Administratorul trebuie să stabilească, să implementeze şi să actualizeze o politică de administrare a riscurilor, adecvată şi documentată care identifică, evaluează, diminuează, monitorizează şi raportează riscurile la care sunt sau ar putea fi expuşi administratorul şi fondurile de pensii private, cu respectarea actelor normative aplicabile.(2) Politica de administrare a riscurilor constituie obiectul unui document separat sau este inclusă în procedurile interne ale administratorului, în condiţiile în care permite o identificare clară a atribuţiilor, responsabilităţilor şi operaţiunilor din cadrul acesteia.(3) Politica prevăzută la alin. (1) trebuie să asigure cel puţin următoarele:a)tehnicile, instrumentele şi metodele care permit administratorului să îşi îndeplinească obligaţiile conform prevederilor actelor normative aplicabile; b)alocarea corespunzătoare a responsabilităţilor privind activitatea de administrare a riscurilor; c)persoanele responsabile şi nivelul de răspundere; d)un sistem de raportare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri; e)stabilirea interacţiunii dintre structura de administrare a riscurilor şi structura de administrare a investiţiilor, cu păstrarea independenţei acestora, inclusiv nivelul de la care deciziile privind activitatea de investire/dezinvestire trebuie să fie însoţite de opinia/recomandarea formulată de structura de administrare a riscurilor; f)condiţiile, conţinutul, frecvenţa şi destinatarul rapoartelor structurii de administrare a riscurilor. (4) Politica prevăzută la alin. (1) trebuie:a)să conţină informaţii privind identificarea, analizarea, evaluarea, diminuarea, monitorizarea şi raportarea cel puţin a următoarelor riscuri:(i) riscul actuarial; (ii) riscul de piaţă/investiţiei; (iii) riscul de credit; (iv) riscul de concentrare; (v) riscul de lichiditate; (vi) riscul operaţional, inclusiv riscul generat de utilizarea sistemelor informatice; (vii) riscul reputaţional; (viii) riscul de conformitate. b)să măsoare impactul şi probabilitatea de materializare a riscului, în cazul în care este posibil, şi să evalueze expunerea la riscul respectiv; c)să evalueze cantitativ sau să interpreteze calitativ riscul inerent, măsurile de diminuare a acestuia şi ulterior să determine riscul rezidual; d)să stabilească toleranţa la risc şi să monitorizeze încadrarea în limitele acesteia; e)să stabilească dacă limitele nu pot fi în nicio situaţie depăşite sau dacă, în condiţii clar specificate, depăşirea acestora poate fi tolerată pentru o anumită perioadă de timp; f)să includă metodologii de evaluare a riscului de conformitate prin utilizarea unor indicatori, fără a se limita la numărul de reclamaţii ale participanţilor, rapiditatea în remedierea deficienţelor constatate, activităţi atipice privind tranzacţionarea sau plăţile efectuate. Articolul 43(1) Administratorul trebuie să aibă planuri de reluare a activităţii pentru situaţii neprevăzute, care să ia în considerare diferite tipuri de scenarii verosimile la care acesta poate fi expus, proporţional cu dimensiunea, natura şi complexitatea activităţii desfăşurate.(2) Planurile prevăzute la alin. (1) trebuie:a)să permită administratorului să funcţioneze conform principiului continuităţii activităţii şi să minimizeze pierderile, în eventualitatea unei întreruperi a activităţii; b)testate cel puţin anual, pentru a asigura posibilitatea punerii în aplicare a acestora de către administrator, în cazul în care activitatea este afectată. (3) Planurile prevăzute la alin. (1) pot fi elaborate separat sau încadrate în politica de administrare a riscurilor. Articolul 44(1) Administratorul trebuie să adopte măsuri şi să implementeze procese şi tehnici adecvate şi eficiente pentru administrarea în orice moment a riscurilor la care sunt sau ar putea fi expuse fondurile de pensii private şi administratorul.(2) Procesele şi tehnicile prevăzute la alin. (1) trebuie să fie proporţionale cu dimensiunea, natura şi complexitatea activităţii administratorului, a fondurilor de pensii private pe care acesta le administrează şi cu profilul de risc al fiecăruia dintre acestea.(3) Procesele şi tehnicile prevăzute la alin. (1) trebuie să se refere la administrator şi la fiecare fond de pensii private pe care acesta îl administrează şi să aibă în vedere impactul asupra fondului de pensii private şi impactul asupra administratorului.(4) În aplicarea prevederilor alin. (1) şi (2), pentru fiecare fond de pensii private, administratorul trebuie:a)să se asigure că riscurile aferente poziţiilor şi contribuţia acestora la profilul de risc agregat sunt corect măsurate; b)să examineze periodic valabilitatea metodelor de măsurare a riscurilor care includ prognoze şi estimări bazate pe modele; c)să efectueze teste de stres şi analize periodice ale scenariilor pentru a aborda riscurile care decurg din posibilele modificări ale condiţiilor de piaţă care pot afecta negativ fondurile de pensii private şi administratorul; d)să utilizeze date adecvate, documentate corespunzător şi reprezentative; e)să asigure adecvarea sistemelor informatice în conformitate cu actele normative aplicabile şi cerinţele categoriei de risc corespunzătoare, inclusiv să dispună de resursele informatice corespunzătoare complexităţii tehnicilor utilizate pentru efectuarea testelor de stres; f)să verifice, cel puţin o dată pe an, dacă testele de stres mai sunt corespunzătoare şi, în mod special, dacă ipotezele privind profilul de risc şi mediul în care îşi desfăşoară activitatea rămân valabile în timp; g)să stabilească, să implementeze şi să menţină un sistem documentat de limite interne în ceea ce priveşte măsurile utilizate pentru administrarea şi controlul riscurilor pentru fiecare fond de pensii private, asigurând coerenţa cu profilul de risc al acestora; h)să se asigure că nivelul curent al riscurilor la data efectuării reevaluării respectă sistemul de limite prevăzut la lit. g) pentru fiecare fond de pensii private; i)să stabilească, să implementeze şi să menţină proceduri adecvate care, în eventualitatea unor încălcări reale sau anticipate ale sistemului de limite de risc al fiecărui fond de pensii private, să permită adoptarea unor măsuri rapide de remediere în interesul participanţilor/beneficiarilor. Secţiunea a 4-aAtribuţiile persoanei care conduce structura de administrare a riscurilor Articolul 45(1) Persoana care conduce structura de administrare a riscurilor trebuie să fie autorizată individual de către Autoritate înainte de începerea exercitării atribuţiilor, conform prevederilor Normei nr. 12/2010 şi Normei nr. 13/2010.(2) Persoanele care asigură administrarea riscurilor nu pot avea sarcini de serviciu în cadrul departamentului de investiţii al administratorului. Articolul 46Persoana care conduce structura de administrare a riscurilor are următoarele atribuţii de coordonare: a)elaborarea de politici şi proceduri adecvate pentru identificarea, evaluarea, măsurarea, controlul şi gestionarea riscurilor, precum şi propunerea spre aprobare consiliului de administraţie/consiliului de supraveghere a limitelor corespunzătoare privind expunerea la riscuri inclusiv pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi situaţia financiară a fondului de pensii private, precum şi a procedurilor necesare pentru aprobarea excepţiilor de la respectivele limite; b)stabilirea de procese, tehnici şi modele adecvate pentru evaluarea riscurilor şi limitarea expunerilor la riscuri; c)monitorizarea încadrării fondurilor de pensii private şi a administratorului în sistemul de limite de risc; d)informarea consiliului de administraţie/consiliului de supraveghere sau directorilor/directoratului, după caz, asupra expunerilor fondurilor de pensii private la riscuri ori de câte ori intervin schimbări semnificative, dar cel puţin trimestrial. Informările trebuie să fie suficient de detaliate, astfel încât să permită consiliului de administraţie/consiliului de supraveghere sau directorilor/directoratului, după caz, să cunoască şi să evalueze performanţa în monitorizarea şi controlul riscurilor, potrivit politicilor aprobate; e)informarea consiliului de administraţie/consiliului de supraveghere sau directorilor/directoratului, după caz, asupra problemelor şi evoluţiilor semnificative care ar putea influenţa profilul de risc al fondului de pensii private pe care îl administrează; f)analizarea modului în care planurile alternative de care dispune administratorul corespund situaţiilor neprevăzute cu care acesta s-ar putea confrunta; g)stabilirea sistemelor de raportare în cadrul administratorului privind aspecte legate de riscuri; h)administrarea riscurilor asociate administratorului şi/sau fondurilor de pensii private, precum şi colectarea şi evaluarea datelor privind riscurile din punct de vedere cantitativ şi/sau calitativ, prin adoptarea unor metodologii/instrumente adecvate de măsurare/administrare a expunerilor la riscuri, în conformitate cu natura, dimensiunea şi complexitatea riscurilor respective; i)analizarea riscurilor aferente unor decizii de investire/ dezinvestire; j)elaborarea şi actualizarea scenariilor privind testele de stres şi propunerea de măsuri corective, după caz; k)întocmirea de propuneri privind selectarea testelor de stres şi a metodelor de verificare şi validare a acestora. Articolul 47(1) Persoana care conduce structura de administrare a riscurilor are obligaţia de a întocmi semestrial un raport de risc.(2) Raportul menţionat la alin. (1) trebuie să cuprindă cel puţin următoarele elemente:a)evoluţia, analiza detaliată şi interpretarea tuturor indicatorilor de risc sau limitelor monitorizate conform procedurilor interne, pe fiecare clasă de risc; b)rezultatele testelor de stres, interpretarea acestora şi propuneri de măsuri corective, după caz; c)sumarul abaterilor identificate şi a măsurilor de remediere implementate; d)descrierea detaliată a abaterilor semnificative din perioada analizată. (3) Raportul prevăzut la alin. (1) aprobat de consiliul de administraţie/consiliul de supraveghere se transmite Autorităţii, în conformitate cu prevederile Normei nr. 10/2010 şi ale Normei nr. 11/2010. Capitolul VRăspunderea juridică Articolul 48(1) Constituie contravenţii următoarele fapte, dacă nu au fost săvârşite în astfel de condiţii încât, potrivit legii penale, să fie considerate infracţiuni:a)neexecutarea sau executarea necorespunzătoare a obligaţiilor administratorului în legătură cu organizarea activităţilor de control intern, audit intern şi de administrare a riscurilor; b)nerespectarea de către administrator a prevederilor art. 4-6, art. 11 alin. (1) şi art. 15; c)nerespectarea de către administrator a obligaţiilor prevăzute la art. 7-10 referitoare la gestionarea conflictului de interese; d)nerespectarea de către persoana care conduce structura de control intern a prevederilor art. 14, 17 şi art. 18 alin. (1); e)nerespectarea de către administrator a prevederilor art. 23-26, art. 28 alin. (1), art. 30 şi 35 referitoare la auditul intern; f)nerespectarea de către persoana care conduce structura de audit intern a prevederilor art. 32 alin. (1), art. 33 şi 34; g)nerespectarea de către administrator a prevederilor art. 37-40 şi art. 42-45 referitoare la activitatea de administrare a riscurilor; h)nerespectarea de către persoana care conduce structura de administrare a riscurilor a prevederilor art. 46 şi 47; i)nerespectarea de către administrator a obligaţiilor prevăzute la art. 49. (2) Săvârşirea vreuneia din faptele prevăzute la alin. (1) se sancţionează conform prevederilor art. 140 alin. (1), art. 141 alin. (1) lit. g), art. 141 alin. (2)-(11) şi art. 142 din Legea nr. 411/2004 şi ale art. 120 alin. (1), art. 121 alin. (1) lit. k) şi alin. (2)-(11) şi art. 122 din Legea nr. 204/2006.
(3) Dacă fapta este imputabilă mai multor persoane, acestea răspund solidar la repararea prejudiciului cauzat. Capitolul VIDispoziţii tranzitorii şi finale Articolul 49(1) În termen de 6 luni de la data intrării în vigoare a prezentei norme, administratorul are obligaţia să elaboreze sau să revizuiască, după caz, documentele privind politica de administrare a riscului şi/sau procedurile interne referitoare la activităţile de control intern, audit intern şi de administrare a riscurilor, în conformitate cu prevederile prezentei norme, şi să le notifice Autorităţii.(2) Documentele prevăzute la alin. (1) se elaborează în limba română şi sunt aprobate de către consiliul de administraţie/ consiliul de supraveghere sau directori/directorat, după caz.(3) Orice modificare ulterioară a documentelor menţionate la alin. (1) se notifică Autorităţii în termen de 30 de zile calendaristice de la aprobarea acesteia de către consiliul de administraţie/consiliul de supraveghere sau directori/directorat, după caz. Articolul 50Termenele prevăzute de prezenta normă care expiră într-o zi de sărbătoare legală sau într-o zi nelucrătoare se prelungesc până la sfârşitul următoarei zile lucrătoare. Articolul 51În aplicarea art. 44 alin. (4) lit. e), pentru adecvarea sistemelor informatice, încadrarea în categoria de risc va fi evaluată periodic de către Autoritate şi va fi stabilită individual pentru fiecare administrator de fonduri de pensii private. Articolul 52Prezenta normă intră în vigoare la data publicării acesteia în Monitorul Oficial al României, Partea I. Articolul 53La data intrării în vigoare a prezentei norme se abrogă art. 7 , 8 , 9 şi 23 din Norma nr. 11/2011 privind investirea şi evaluarea activelor fondurilor de pensii private, aprobată prin Hotărârea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 22/2011, publicată în Monitorul Oficial al României, Partea I, nr. 8 din 5 ianuarie 2012, cu modificările şi completările ulterioare, precum şi orice alte dispoziţii contrare. Prim-vicepreşedintele Autorităţii de Supraveghere Financiară, Daniel Dăianu