Potrivit Hotărârii Consiliului Comisiei de Supraveghere a Asigurărilor din data de 13 decembrie 2011 prin care s-a adoptat modificarea Normelor privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători, aprobate prin Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 18/2009, cu modificările şi completările ulterioare, în temeiul art. 4 alin. (27) din Legea nr. 32/2000 privind activitatea de asigurare şi supravegherea asigurărilor, cu modificările şi completările ulterioare,preşedintele Comisiei de Supraveghere a Asigurărilor emite următorul ordin: Articolul INormele privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători, aprobate prin Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 18/2009, publicat în Monitorul Oficial al României, Partea I, nr. 621 din 16 septembrie 2009, cu modificările şi completările ulterioare, se modifică şi se completează după cum urmează: 1. La articolul 1, după punctul 13 se introduce un nou punct , punctul 131, cu următorul cuprins: 131. externalizare în lanţ - operaţiune prin care furnizorul de servicii subcontractează către alţi furnizori serviciile sau unele componente ale serviciilor ori activităţilor prestate asigurătorului/reasigurătorului; 2. La articolul 40, litera c) se modifică şi va avea următorul cuprins: c)responsabilul cu funcţia de audit intern este numit de conducerea administrativă. El trebuie să aibă competenţa profesională pentru a realiza această activitate, conform reglementărilor Camerei Auditorilor Financiari din România. Atribuţiile persoanei responsabile cu funcţia de audit intern trebuie clar definite, iar responsabilitatea şi modalitatea de raportare către conducerea administrativă trebuie precizate în fişa postului. Responsabilul cu funcţia de audit intern este împuternicit cu autoritatea necesară pentru a garanta independenţa sa; 3. Articolele 53 şi 54 se modifică şi vor avea următorul cuprins: Articolul 53(1) Asigurătorii/Reasigurătorii trebuie să dispună de politici şi proceduri scrise privind administrarea activităţilor externalizate.(2) Externalizarea unor activităţi nu trebuie să afecteze desfăşurarea activităţii asigurătorului/reasigurătorului şi nici supravegherea prudenţială exercitată de Comisia de Supraveghere a Asigurărilor.(3) Conducerea asigurătorului/reasigurătorului rămâne răspunzătoare pentru toată activitatea societăţii, inclusiv pentru activităţile externalizate.(4) Asigurătorul/Reasigurătorul trebuie să dispună permanent de un sistem alternativ adecvat de competenţe care să permită evaluarea calităţii serviciilor executate de furnizorii de servicii şi reluarea în orice moment a controlului direct asupra activităţilor externalizate, în cazul rezilierii contractelor cu furnizorii de servicii.(5) Procedurile privind administrarea activităţilor externalizate vor include cel puţin următoarele informaţii:a)hotărârea organului competent privind aprobarea externalizării unor activităţi; b)descrierea activităţilor, prezentarea riscurilor care derivă din externalizare; c)procedura de selectare şi evaluare a furnizorilor care preiau activităţile de la asigurători/reasigurători, cu privire la: poziţia acestora pe piaţa în care îşi desfăşoară activitatea, reputaţia, experienţa în colaborarea cu sectorul asigurărilor, calitatea serviciilor prestate, organizarea activităţii şi controlul intern, existenţa unui personal competent, existenţa unui plan alternativ de redresare a activităţii, asigurarea confidenţialităţii informaţiei, jurisdicţia aplicabilă; d)procedura de monitorizare şi evaluare a modului în care furnizorii de servicii desfăşoară activităţile externalizate; e)elaborarea de planuri alternative şi estimarea costurilor şi a resurselor necesare în caz de încetare a prestării serviciilor de către furnizorul extern. Articolul 54(1) Asigurătorii/Reasigurătorii nu pot externaliza fără notificarea prealabilă a Comisiei de Supraveghere a Asigurărilor următoarele activităţi: activitatea de investiţii, în ceea ce priveşte plasarea şi gestionarea activelor admise să acopere rezervele tehnice brute, administrarea bazelor de date şi a sistemelor informatice, administrarea portofoliului de asigurări, generare de rapoarte sau date statistice privind informaţiile electronice asociate contractelor de asigurare, activitatea de constatare şi lichidare a daunelor, altele decât cele prevăzute la art. 55 lit. d).(2) În temeiul prezentelor norme, nu se consideră externalizare contractarea unor servicii de consultanţă fără a externaliza într-un mod continuu respectiva activitate sau respectivul serviciu.(3) În cazul în care externalizarea are loc către o societate dintr-un stat terţ, este necesară aprobarea Comisiei de Supraveghere a Asigurărilor pentru semnarea contractului de externalizare.(4) Notificarea va fi efectuată cu cel puţin 60 de zile anterior datei la care se intenţionează încheierea contractului de externalizare, astfel încât Comisia de Supraveghere a Asigurărilor să poată evalua în ce măsură sunt respectate cerinţele de natură prudenţială şi, dacă este cazul, să poată dispune măsurile necesare. (5) Notificarea va fi însoţită de următoarele documente şi informaţii:a)hotărârea organului competent privind aprobarea externalizării activităţilor respective; b)o descriere a activităţilor externalizate; c)fundamentarea oportunităţii externalizării activităţilor în cauză, inclusiv din perspectiva riscurilor implicate de externalizare; d)o prezentare a furnizorului extern, care să cuprindă cel puţin informaţii privind: denumirea şi sfera de activitate, piaţa de operare şi poziţia de piaţă a acestuia, jurisdicţia aplicabilă, acţionariatul şi, dacă este cazul, indicarea apartenenţei furnizorului extern la grupul din care face parte asigurătorul şi precizarea includerii sau nu a acestuia în supravegherea consolidată la nivel de grup; e)proiectul contractului de externalizare. (6) În cazul externalizării unei activităţi, Comisia de Supraveghere a Asigurărilor poate impune anumite condiţii ţinând seama de factori cum ar fi: volumul şi natura activităţii care se intenţionează a fi externalizată, durata contractului, conflictele de interese ce ar putea fi generate de externalizare, poate impune anumite condiţii pentru a fi cuprinse în contractul de externalizare sau se poate opune motivat operaţiunii de externalizare.(7) Comisia de Supraveghere a Asigurărilor are dreptul de a se adresa în scris direct furnizorului de servicii referitor la activitatea desfăşurată pentru societăţile de asigurare.(8) Ulterior externalizării unei activităţi, asigurătorii vor comunica Comisiei de Supraveghere a Asigurărilor următoarele:a)intenţia de schimbare a furnizorului extern către care a fost externalizată activitatea, cu motivarea acestei schimbări, caz în care se aplică în mod corespunzător prevederile alin. (3); b)intenţia de reintegrare în cadrul asigurătorului a activităţilor supuse externalizării; c)informaţii privind evoluţia activităţii furnizorului extern şi/sau capacitatea acestuia de a-şi îndeplini obligaţiile faţă de asigurător, eventuale măsuri adoptate de asigurător în aceste cazuri, inclusiv schimbarea furnizorului de servicii. (9) În cazul prevăzut la alin. (8) lit. a), notificarea va fi efectuată cu 30 de zile anterior datei la care se intenţionează încheierea noului contract de externalizare, astfel încât Comisia de Supraveghere a Asigurărilor să poată efectua evaluarea noilor circumstanţe şi, dacă este cazul, să poată dispune măsurile necesare.(10) Contractele de externalizare trebuie să fie încheiate în formă scrisă şi să cuprindă în mod clar responsabilităţile fiecărei părţi:a)asigurarea respectării de către furnizorul de servicii a prevederilor legislaţiei în vigoare şi a normelor emise de Comisia de Supraveghere a Asigurărilor; b)asigurarea furnizării de către societatea prestatoare de servicii a tuturor datelor solicitate de asigurător/reasigurător şi de către Comisia de Supraveghere a Asigurărilor privind desfăşurarea activităţii externalizate; c)stabilirea obligaţiei furnizorului de servicii de a nu subcontracta servicii fără acordul prealabil scris al asigurătorului; d)existenţa prevederii referitoare la obligaţia furnizorului extern de a permite accesul complet la datele/informaţiile sale referitoare la activitatea externalizată organelor competente ale asigurătorului în vederea verificării, auditării şi inspectării activităţii externalizate; e)stabilirea obligaţiei furnizorului de a permite accesul complet la datele sale în legătură cu serviciile externalizate, funcţiei de audit intern din cadrul asigurătorului/reasigurătorului, respectiv de a permite, fără restricţii, inspectarea şi auditarea respectivelor date de către auditorul financiar al asigurătorului/reasigurătorului, precum şi accesul reprezentanţilor Comisiei de Supraveghere a Asigurărilor pentru efectuarea în orice moment a inspecţiilor la faţa locului; f)prevederi cu privire la obligaţia furnizorului extern de a asigura securitatea/confidenţialitatea datelor asigurătorului/ reasigurătorului, existenţa angajamentului acestui furnizor, precum şi a măsurilor aplicabile în cazul nerespectării angajamentului; g)prevederi că furnizorul deţine planuri de intervenţie adecvate pentru a face faţă situaţiilor de urgenţă sau întreruperilor de activitate şi testează periodic sistemele de stocare şi arhivare a datelor. 4. După articolul 54 se introduce un nou articol , articolul 541, cu următorul cuprins: Articolul 541 (1) Asigurătorii/Reasigurătorii trebuie să ia în considerare riscurile asociate unei externalizări în lanţ.(2) Asigurătorii/Reasigurătorii pot consimţi la o externalizare în lanţ doar dacă subcontractorul îşi asumă aceleaşi obligaţii ca şi cele stabilite în sarcina furnizorului extern principal, inclusiv obligaţiile în relaţie cu Comisia de Supraveghere a Asigurărilor.(3) Subcontractarea este permisă doar cu acordul prealabil al asigurătorilor/reasigurătorilor şi în aceleaşi condiţii ca externalizarea către furnizorul extern principal.(4) Asigurătorii/Reasigurătorii trebuie să ia măsurile corespunzătoare cu privire la riscurile decurgând din neîndeplinirea sau îndeplinirea necorespunzătoare a activităţilor subcontractate, care are un impact semnificativ asupra capacităţii furnizorului extern principal de a-şi respecta obligaţiile asumate prin contract. 5. Articolele 55 şi 56 se modifică şi vor avea următorul cuprins: Articolul 55Asigurătorii/Reasigurătorii nu pot externaliza următoarele activităţi: a)activitatea de audit intern; b)organizarea şi conducerea contabilităţii proprii, respectiv contabilitatea financiară şi contabilitatea de gestiune adaptate la specificul activităţii de asigurare/reasigurare; c)organizarea şi desfăşurarea activităţii juridice curente, în conformitate cu dispoziţiile Legii nr. 514/2003 privind organizarea şi exercitarea profesiei de consilier juridic, cu completările ulterioare; d)activitatea de constatare şi lichidare a daunelor, pentru asigurarea obligatorie de răspundere civilă pentru prejudicii produse prin accidente de vehicule RCA, pe teritoriul României, dacă nu se prevede altfel prin alte norme aplicabile emise de Comisia de Supraveghere a Asigurărilor. Articolul 56(1) Pentru investirea fondurilor proprii sau atrase prin activitatea desfăşurată asigurătorul/reasigurătorul poate utiliza serviciile unui furnizor de servicii autorizat să desfăşoare activitate de investiţii, prevăzând în contract un nivel de protecţie ridicat. Pentru externalizarea acestei activităţi este necesară notificarea Comisiei de Supraveghere a Asigurărilor, în conformitate cu prevederile prezentelor norme. (2) Conducerea asigurătorului va desemna o persoană din cadrul societăţii care va monitoriza evoluţia portofoliului de tranzacţionare externalizat, conformitatea cu cerinţele privind dispersia activelor şi alte limite dispuse de legislaţia în domeniul asigurărilor şi va informa cel puţin trimestrial conducerea executivă asupra acestei evoluţii. 6. Articolele 601-603 se modifică şi vor avea următorul cuprins: Articolul 601 (1) Asigurătorii trebuie să întocmească anual un raport privind programul de reasigurare utilizat pentru riscurile cedate în exerciţiul financiar precedent, pe care trebuie să îl transmită Comisiei de Supraveghere a Asigurărilor.(2) Raportul trebuie să fie asumat de conducerea asigurătorului, reprezentată de consiliul de administraţie/ supraveghere sau de directorat, care este deplin răspunzătoare de eficienţa programului de reasigurare utilizat în perioada de referinţă a raportului.(3) Raportul trebuie să prezinte informaţii referitoare la următoarele aspecte:a)strategia aprobată de conducere în exerciţiul financiar precedent şi explicaţii cu privire la adecvarea programului de reasigurare în funcţie de profilul de risc al asigurătorului, descrierea procedurilor menite să asigure prudenţa alegerii programului de reasigurare, evitarea concentrării riscurilor cedate pe o singură piaţă şi unui singur reasigurător; b)criteriile calitative şi cantitative care au stat la baza selectării formelor de reasigurare şi la adoptarea programului de reasigurare; c)criteriile de selectare a reasigurătorilor, piaţa de operare, jurisdicţia aplicabilă, indicarea apartenenţei reasigurătorilor la grupul din care face parte asigurătorul, analizarea riscului de credit al acestora; d)descrierea detaliată a programului de reasigurare cu referire la riscurile cedate, la acumularea răspunderilor asumate prin contractele de asigurare pentru fiecare clasă de asigurare, la nivelul reţinerii proprii, pe total activitate şi pe fiecare clasă de asigurare, a sumelor cedate în reasigurare, descrierea modului de înregistrare în evidenţele tehnice şi contabile a poliţelor acoperite de reasigurare şi de gestionare a acestora, descrierea decontărilor realizate cu reasigurătorii conform contractelor încheiate, procedurile de monitorizare a daunelor apărute şi de recuperare a sumelor care sunt în sarcina reasigurătorilor; e)menţionarea departamentelor şi a persoanelor care monitorizează şi răspund de îndeplinirea prevederilor contractelor de reasigurare, descrierea procedurilor de evaluare periodică a performanţelor acestora şi măsurile luate de conducerea societăţii în funcţie de rezultatele evaluării; f)descrierea rezultatelor testelor de stres sau a scenariilor derulate de societate pentru evaluarea riscurilor rezultate din contractele de reasigurare; g)precizarea (dacă este cazul) a valorii sumelor derulate prin alte forme de acoperire a riscurilor care nu sunt aferente reasigurărilor tradiţionale; h)descrierea riscurilor de catastrofe naturale subscrise, a capacităţii contractului de reasigurare distinct pe fiecare clasă de asigurare, a calculului daunei maxime posibile şi a modului în care a fost constituită, menţinută şi eventual eliberată rezerva de catastrofă pe fiecare clasă de asigurare; i)rezultatele analizei comparative a programelor de reasigurare derulate în anul de referinţă al raportului şi în anul anterior acestuia; j)descrierea strategiei de reasigurare pentru anul în curs şi a motivelor care au condus la menţinerea unei strategii similare din anul anterior sau la o eventuală modificare a acesteia. Articolul 602 (1) În urma analizării raportului de reasigurare, Comisia de Supraveghere a Asigurărilor evaluează în ce măsură sunt respectate cerinţele de natură prudenţială, adecvarea programului de reasigurare la profilul de risc al asigurătorului, evitarea concentrării riscurilor, transferarea efectivă a riscurilor etc.(2) În cazul în care Comisia de Supraveghere a Asigurărilor constată că strategia de reasigurare şi programul utilizat nu corespund cerinţelor de natură prudenţială prevăzute de legislaţia în vigoare, poate dispune măsurile necesare modificării acestei strategii, urmând ca asigurătorul să implementeze modificările în exerciţiul financiar următor celui în care transmite raportul menţionat la art. 601 alin. (1). Articolul 603 (1) Raportul menţionat la art. 601 alin. (1) trebuie transmis la sediul Comisiei de Supraveghere a Asigurărilor în termen de 120 de zile de la încheierea exerciţiului financiar, primul raport fiind emis pentru anul 2011.(2) Prevederile art. 601, 602 şi art. 603 alin. (1) se aplică şi reasigurătorilor pentru programul de retrocesiune. Articolul II(1) Prezentul ordin se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data de 1 ianuarie 2012.(2) La data intrării în vigoare a prezentului ordin se abrogă Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 12/2011 pentru modificarea şi completarea Normelor privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasigurători, aprobate prin Ordinul preşedintelui Comisiei de Supraveghere a Asigurărilor nr. 18/2009, publicat în Monitorul Oficial al României, Partea I, nr. 506 din 18 iulie 2011.Preşedintele Comisiei de Supraveghere a Asigurărilor, Constantin Buzoianu