Ordinul CSA nr. 18/2009 - aprobarea Normelor privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori

In temeiul prevederilor art. 4 alin. (27) din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor,
cu modificarile si completarile ulterioare, potrivit Hotararii Consiliului Comisiei de Supraveghere a Asigurarilor din data de 1 septembrie 2009 prin care s-au adoptat Normele privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori,
presedintele Comisiei de Supraveghere a Asigurarilor emite urmatorul ordin:

Art. 1. — Se aproba Normele privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori, prevazute in anexa care face parte integranta din prezentul ordin.
Art. 2. — La data intrarii in vigoare a prezentului ordin se abroga Ordinul presedintelui Comisiei de Supraveghere a Asigurarilor nr. 113.117/2006 pentru punerea in aplicare a Normelor privind principiile de organizare ale unui sistem de control intern si management al riscului la asiguratori, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 572 din 3 iulie 2006.
Art. 3. — Directia generala reglementari contabile din cadrul Comisiei de Supraveghere a Asigurarilor va lua masuri pentru ducerea la indeplinire a prevederilor prezentului ordin.

Presedintele Comisiei de Supraveghere a Asigurarilor,
Angela Toncescu
Bucuresti, 7 septembrie 2009.
Nr. 18.


ANEXA
Norme privind principiile de organizare a unui sistem de control intern si management al riscurilor, precum si organizarea si desfasurarea activitatii de audit intern la asiguratori/reasiguratori

CAPITOLUL I
Definitii

Art. 1. — In sensul prezentelor norme, termenii si expresiile de mai jos au urmatoarele semnificatii:
1. profil de risc — o descriere a riscurilor la care asiguratorul/reasiguratorul este expus. Profilul de risc exprima natura riscurilor care ameninta societatea, in functie de complexitatea activitatii si de obiectivele sale strategice;
2. toleranta fata de risc — suma la risc pe care asiguratorul/reasiguratorul este dispus sa o accepte in desfasurarea activitatii sale, in concordanta cu obiectivele sale strategice. Toleranta fata de risc va specifica limitele de risc stabilite ca parte a politicilor de management al riscului;
3. teste de stres — analize cantitative sau calitative efectuate cu scopul de a evalua impactul unor evolutii nefavorabile ale factorilor de risc, luati individual sau combinati intr-un scenariu unic, asupra situatiei financiare a asiguratorilor/reasiguratorilor;
4. risc de subscriere — posibilitatea inregistrarii de pierderi sau a nerealizarii profiturilor estimate din cauza stabilirii inadecvate a tarifelor de prima si/sau a rezervelor tehnice comparativ cu obligatiile asumate si care poate sa rezulte, fara a fi limitativ, din fluctuatii in frecventa si severitatea evenimentelor asigurate in raport cu estimarile din momentul subscrierii;
5. risc de piata — posibilitatea inregistrarii de pierderi sau a nerealizarii profiturilor estimate, care rezulta, direct ori indirect, din fluctuatiile in nivelul si volatilitatea pretului de piata al activelor, obligatiilor si instrumentelor financiare. Riscul de piata cuprinde riscul valutar si riscul ratei dobanzii;
6. risc de credit — posibilitatea inregistrarii de pierderi sau a nerealizarii profiturilor estimate, care rezulta din fluctuatiile in ratingul emitentilor de valori mobiliare si al oricaror debitori fata de care societatile de asigurare sunt expuse sau din neindeplinirea obligatiilor contractuale de catre intermediari, asigurati, reasiguratori sau alti debitori;
7. risc operational — posibilitatea inregistrarii de pierderi sau a nerealizarii profiturilor estimate, care apare din procesele interne inadecvate, din vina angajatilor sau din erorile generate de sistemul informatic, precum si din factori externi;
8. risc de lichiditate — posibilitatea inregistrarii de pierderi sau a nerealizarii profiturilor estimate, ce rezulta din imposibilitatea asiguratorilor de a valorifica active pentru a onora in orice moment si cu costuri rezonabile obligatiile de plata pe termen scurt sau din incasarea cu dificultate a creantelor din contractele de asigurare/reasigurare;
9. risc de concentrare — expunerea la un risc cu un potential de generare de pierderi suficient de mari incat sa ameninte solvabilitatea sau situatia financiara a asiguratorului/ reasiguratorului;
10. risc de contagiune — posibilitatea inregistrarii de pierderi generate de apartenenta la grup, aparuta ca urmare a raporturilor pe care societatea le are cu alte entitati din grup, situatiile de dificultate care apar intr-o entitate putand sa se propage cu efecte negative asupra solvabilitatii societatii de asigurare/reasigurare;
11. risc reputational — posibilitatea inregistrarii de pierderi sau a nerealizarii profiturilor estimate, ca urmare a deteriorarii imaginii si/sau a managementului societatii (publicitatii negative) care conduce la lipsa increderii publicului in integritatea societatii;
12. tehnici de diminuare a riscului — toate procedurile care dau posibilitatea asiguratorului sa transfere partial sau total riscurile sale catre o alta entitate;
13. externalizare — un acord incheiat intre asigurator/ reasigurator si un furnizor de servicii, in baza caruia furnizorul executa in numele si/sau pentru asigurator/reasigurator un serviciu ori o activitate, chiar daca aceasta nu priveste direct activitatea de asigurare;
14. control intern — proces continuu la care participa conducerea administrativa, conducerea executiva, precum si intregul personal al asiguratorilor, prin care se furnizeaza o asigurare rezonabila asupra atingerii obiectivelor prevazute la art. 3;
15. conducerea administrativa — consiliul de administratie sau consiliul de supraveghere, pentru societatile care au adoptat sistemul dualist de conducere;
16. conducerea executiva — astfel cum este definita la art. 2 din Legea nr. 32/2000 privind activitatea de asigurare si supravegherea asigurarilor, cu modificarile si completarile ulterioare;
17. conducerea operativa — persoanele care asigura conducerea nemijlocita a compartimentelor din cadrul asiguratorului, al sucursalelor si al altor sedii secundare;
18. managementul riscului — un proces prin care se evalueaza, se monitorizeaza si se controleaza riscurile (generate de factori interni sau de factori externi) care ar putea avea un impact negativ asupra activitatii asiguratorului/ reasiguratorului. Sistemul de management al riscului cuprinde reguli si proceduri necesare pentru identificarea, masurarea, administrarea si raportarea riscurilor la care asiguratorul ar putea fi expus, luand in considerare si interdependenta dintre riscuri;
19. audit intern — activitate independenta constand intr-o examinare obiectiva a modului de realizare a administrarii riscurilor, sistemului de control intern si proceselor de conducere ale societatilor, in scopul furnizarii unei asigurari rezonabile ca acestea functioneaza corespunzator si vor permite atingerea obiectivelor societatii de asigurare/reasigurare.

CAPITOLUL II
Sistemul de control intern

Art. 2. — Sistemul de control intern cuprinde ansamblul activitatilor de control intern din cadrul tuturor structurilor societatii de asigurare/reasigurare, corespunzator dimensiunii, naturii si complexitatii activitatii, cu scopul de a contribui la realizarea obiectivelor societatii de asigurare/reasigurare.
Art. 3. — In cadrul sistemului de control intern, asiguratorii/reasiguratorii trebuie sa defineasca reguli, proceduri si o structura organizatorica ierarhizata care sa asigure o functionare corecta a activitatii in cadrul societatii si sa urmareasca:
a) desfasurarea activitatii in conditii de eficienta si rentabilitate;
b) controlul adecvat al riscurilor care pot afecta atingerea obiectivelor societatii;
c) furnizarea unor informatii corecte, relevante, complete si oportune structurilor implicate in luarea deciziilor in cadrul societatilor si utilizatorilor externi ai informatiilor;
d) protejarea patrimoniului;
e) conformitatea activitatii societatii cu reglementarile legale in vigoare, politica si procedurile societatii.
Art. 4. — Activitatile de control intern includ cel putin urmatoarele:
a) analize la nivelul conducerii administrative si al conducerii executive;
b) analize operative la nivelul compartimentelor si al structurilor teritoriale ale asiguratorilor;
c) controale faptice care au in vedere restrictionarea accesului la active, cum ar fi disponibilitati banesti etc.;
d) analiza incadrarii in limitele impuse expunerilor la risc si urmarirea modului in care sunt solutionate situatiile de neconformitate;
e) aprobari si autorizari, in cazul operatiunilor ce depasesc anumite limite de sume, asigurandu-se astfel controlul asupra realizarii operatiunilor respective de catre nivelul de conducere competent si stabilirea responsabilitatilor;
f) verificari ale tranzactiilor efectuate la nivelul asiguratorului si efectuarea de reconcilieri, in special acolo unde exista diferente intre metodologiile sau sistemele de evaluare utilizate in compartimentele responsabile cu initierea tranzactiilor (front office) si compartimentele responsabile cu inregistrarea si monitorizarea tranzactiilor initiate (back office). Rezultatele verificarilor vor fi comunicate nivelului de conducere superior competent.
Art. 5. — Asiguratorii/Reasiguratorii trebuie sa revizuiasca activitatile de control intern, cel putin anual, pentru a identifica si a evalua in mod corespunzator orice riscuri nou-aparute ca urmare a dezvoltarii activitatii.
Art. 6. — In vederea organizarii unui sistem de control intern eficient, asiguratorii/reasiguratorii trebuie sa urmareasca:
a) repartizarea corespunzatoare a atributiilor la toate nivelurile organizatorice, asigurandu-se ca personalului nu ii sunt alocate responsabilitati care sa conduca la conflicte de interese. Domeniile care pot fi afectate de potentiale conflicte de interese trebuie sa fie identificate si supuse unei monitorizari independente exercitate de persoane neimplicate direct in activitatile respective, a caror informare este efectuata pe baza unor linii de raportare stabilite in mod corespunzator;
b) adoptarea unui cod etic pentru personalul propriu, care sa defineasca reguli comportamentale, de disciplina si situatii de potentiale conflicte de interese si sa prevada actiuni corective adecvate, in cazul in care se incalca procedurile societatii sau codul etic;
c) evitarea politicilor sau practicilor de remunerare ce pot favoriza activitati ilegale, care nu respecta standardele etice sau care presupun riscuri fata de interesele societatii;
d) stabilirea unor canale de comunicare care sa asigure un flux corespunzator de informatii, la toate nivelurile, care sa garanteze ca personalul propriu cunoaste politicile si procedurile cu implicatii asupra atributiilor si responsabilitatilor sale, ca orice informatii relevante ajung in timp util si sa permita:
— informarea conducerii administrative si a conducerii executive asupra riscurilor aferente activitatii si functionarii asiguratorilor/reasiguratorilor;
— informarea nivelurilor inferioare de conducere operativa si a personalului atat asupra strategiilor asiguratorilor/ reasiguratorilor, cat si asupra politicilor si procedurilor stabilite;
— difuzarea informatiilor intre compartimentele si structurile teritoriale ale asiguratorilor/reasiguratorilor pentru care respectivele informatii au relevanta;
e) elaborarea de planuri alternative care sa permita reluarea activitatii in cazul aparitiei unor situatii neprevazute, pentru evitarea pierderilor generate de intreruperea activitatii datorita unor factori externi ce nu pot fi controlati de catre asiguratori/reasiguratori. Replicarea sistemelor critice trebuie asigurata fie prin existenta unor sisteme de rezerva situate intr-o alta locatie apartinand asiguratorilor/reasiguratorilor, fie prin intermediul unui furnizor extern de servicii. Functionarea planurilor alternative trebuie testata periodic prin simularea operatiunilor pe sistemele de rezerva, in scopul verificarii disponibilitatii acestora;
f) elaborarea unor proceduri privind tehnologia de informare si comunicare, menita sa asigure existenta si mentinerea unui sistem informatic adecvat nevoilor societatii, corespunzator cu dimensiunea si activitatea societatii, care sa asigure:
1. separarea mediului de dezvoltare de cel de operare.
Accesul la diversele medii trebuie reglementat si controlat prin proceduri intocmite, tinand cont de exigenta de limitare a riscurilor si a fraudei. Aceste proceduri garanteaza siguranta datelor, limitand accesul persoanelor neautorizate din mediul de operare si inregistrand toate tentativele de acces neautorizate;
2. elaborarea de proceduri pentru aprobarea si achizitia sistemelor hardware si software, precum si externalizarea serviciilor din sistemul informatic;
3. elaborarea de proceduri ce asigura siguranta fizica a sistemelor hardware, software si a bancilor de date, precum si prevenirea utilizarii necorespunzatoare a informatiei de catre personalul asiguratorilor pentru obtinerea unor beneficii personale sau prejudicierea reputatiei societatii;
4. asigurarea conditiilor de securitate pentru zonele in care sunt accesate informatii cu caracter confidential;
5. adoptarea de proceduri pentru identificarea si gestionarea evenimentelor care pot prejudicia continuitatea activitatii, cum ar fi: incendii, defectiuni la sistemele hardware sau software, erori operationale din partea utilizatorilor, introducere involuntara de componente straine care sa creeze daune sistemului informatic sau retelei etc.
Procedurile sunt supuse verificarii din partea auditului intern.
Art. 7. — (1) In vederea evitarii disfunctionalitatilor in cadrul activitatii si a eventualelor pierderi generate de acestea, asiguratorii/reasiguratorii trebuie sa controleze eficient riscurile implicate de utilizarea sistemelor informatice. In acest scop se vor efectua atat controale generale la nivelul intregului sistem informatic, cat si controale la nivelul fiecarei aplicatii informatice din componenta acestuia.
(2) Controalele generale se efectueaza asupra infrastructurii hardware si de comunicatii a sistemelor informatice, precum si asupra sistemelor de operare care asigura functionarea acestora. Controalele au drept scop verificarea functionarii continue si corespunzatoare a acestora.
(3) Controalele generale includ si verificarea existentei si aplicarii procedurilor interne de salvare si restaurare a datelor, a politicilor de efectuare a achizitiilor, a procedurilor de dezvoltare a aplicatiilor informatice, a procedurilor de administrare si intretinere, precum si a politicilor de securitate vizand accesul fizic si logic la resursele sistemului informatic.
(4) Controalele efectuate la nivelul aplicatiilor informatice presupun verificarea existentei unor proceduri de validare si control incluse in codul aplicatiilor informatice utilizate, precum si a unor proceduri/manuale de verificare a modului de procesare a tranzactiilor si efectuarii operatiunilor.
Art. 8. — (1) Deficientele identificate in legatura cu sistemul de control intern trebuie sa fie raportate imediat nivelului de conducere competent, care trebuie sa ia masuri pentru remedierea cu promptitudine a acestora.
(2) Deficientele majore ale sistemului de control intern trebuie sa fie raportate conducerii executive a asiguratorilor/ reasiguratorilor si conducerii administrative a acestora.
(3) Conducerea executiva a asiguratorilor/reasiguratorilor are responsabilitatea de a stabili un sistem de detectare a deficientelor sistemului de control intern si de a intreprinde masuri pentru solutionarea respectivelor deficiente.

#PAGEBREAK#

CAPITOLUL III
Sistemul de management al riscului

Art. 9. — Asiguratorii/Reasiguratorii trebuie sa dispuna de un sistem de management al riscurilor proportional cu dimensiunea, natura si complexitatea activitatii exercitate.
Art. 10. — Politica privind managementul riscurilor trebuie sa fie transpusa in mod clar si transparent in norme interne si manuale de proceduri, facandu-se distinctie intre standardele generale aplicabile intregului personal si regulile specifice aplicabile anumitor categorii de personal care utilizeaza informatii confidentiale sau au responsabilitati de a angaja societatea.
Art. 11. — Pentru asigurarea unui sistem de management al riscului eficient, asiguratorii/reasiguratorii trebuie sa stabileasca, dupa caz:
a) un sistem de proceduri de autorizare a operatiunilor afectate de riscuri;
b) un sistem de stabilire a limitelor expunerii la risc si de monitorizare a acestora, care sa reflecte profilul de risc ales si care sa fie in conformitate cu legislatia si cu reglementarile in vigoare; limitele stabilite la nivelul activitatilor si/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al asiguratorilor/reasiguratorilor;
c) un sistem de raportare a expunerilor la riscuri, precum si a altor aspecte legate de riscuri de la fiecare compartiment catre nivelurile de conducere corespunzatoare;
d) criterii de recrutare si remunerare a personalului, care sa stabileasca standarde ridicate pentru pregatirea, experienta si integritatea acestuia;
e) un program de instruire a personalului.
Art. 12. — Asiguratorii/Reasiguratorii trebuie sa opteze pentru un profil de risc, stabilind obiectivul si strategia de administrare a fiecarui risc, inclusiv in ceea ce priveste activitatile externalizate.
Art. 13. — Societatile de asigurare/reasigurare trebuie sa fie capabile, printr-un proces adecvat de analize, sa inteleaga natura riscurilor identificate, originea lor, posibilitatea de a le controla si efectele care pot deriva din acestea. Procesul de analiza include evaluari calitative si evaluari cantitative, prin adoptarea unor metodologii de masurare a expunerii la risc, inclusiv sisteme de determinare a pierderii maxime posibile, unde este cazul.
Art. 14. — Analizele includ cel putin urmatoarele riscuri: riscul de subscriere, riscul de piata, riscul de credit, riscul operational, riscul de lichiditate, riscul de concentrare, riscul de contagiune si riscul reputational.
Art. 15. — Pentru masurarea expunerii la risc societatile vor tine cont de relatia dintre riscuri, evaluandu-le atat separat, cat si sub o baza agregata.
Art. 16. — (1) Identificarea si evaluarea riscurilor trebuie sa se realizeze cu luarea in considerare a factorilor interni (complexitatea structurii organizatorice, natura activitatilor desfasurate, calitatea personalului si fluctuatia acestuia) si a factorilor externi (conditii economice, schimbari legislative sau legate de mediul concurential in sectorul de asigurari, progrese tehnologice).
(2) Procesul de evaluare a riscurilor trebuie sa includa identificarea atat a riscurilor care sunt controlabile de catre asiguratori/reasiguratori, cat si a celor necontrolabile. In cazul riscurilor controlabile, asiguratorii/reasiguratorii trebuie sa stabileasca daca isi asuma integral aceste riscuri sau masura in care doresc sa le reduca prin proceduri de control. In cazul riscurilor necontrolabile, asiguratorii trebuie sa decida daca le accepta sau daca elimina ori reduc nivelul activitatilor afectate de riscurile respective.
(3) Evaluarea riscurilor trebuie efectuata si in conditiile unor scenarii alternative, inclusiv in conditii de criza.
Art. 17. — Pentru fiecare dintre sursele de risc identificate, societatile de asigurare/reasigurare trebuie sa efectueze analize cantitative utilizand teste de stres.
Art. 18. — Testele de stres vor fi create si dezvoltate in concordanta cu dimensiunea si natura activitatii societatii si vor avea o frecventa specifica tipului de risc, evolutiei dimensiunii activitatii societatii si contextului pietei, dar cel putin cu o scadenta anuala.
Art. 19. — Rezultatele acestor teste sunt facute cunoscute conducerii administrative, in scopul de a oferi informatii pentru revizuirea si imbunatatirea politicii de gestiune a riscurilor, liniilor operative si limitelor de expunere fixate.
Art. 20. — Daca rezultatele acestor analize de stres indica o vulnerabilitate fata de anumite riscuri, asiguratorii adopta imediat masuri pentru gestionarea adecvata a acestor riscuri.
Art. 21. — In ceea ce priveste activitatea de investitii, asiguratorii/reasiguratorii trebuie sa intocmeasca proceduri pentru monitorizarea si administrarea activelor, in corelatie cu natura si scadenta obligatiilor, si sa se asigure ca activitatea de investitii este potrivita profilului de risc aprobat.
Art. 22. — Politicile de identificare, evaluare si gestiune a riscurilor aferente activitatii de investitii trebuie definite si implementate avand o viziune integrata asupra activelor si a obligatiilor din bilantul contabil. Dezvoltarea unor tehnici si modele de management al activelor si al obligatiilor este fundamentala pentru o corecta intelegere si gestiune a expunerii la risc, care poate sa derive din lipsa unui echilibru intre partea de active si cea de obligatii.
Art. 23. — Procesele de identificare si evaluare a riscurilor trebuie sa se desfasoare continuu, pentru a tine cont de modificarile intervenite in natura si dimensiunea afacerii si in contextul de piata, precum si de aparitia unor noi riscuri sau de schimbarea celor existente. O atentie deosebita trebuie acordata evaluarii riscurilor care apar odata cu oferta de noi produse sau cu intrarea pe alte piete, si modului in care poate fi afectata administrarea activelor si a obligatiilor.
Art. 24. — Asiguratorii/Reasiguratorii trebuie sa defineasca o procedura prin care sa se evidentieze cu operativitate aparitia unor riscuri care pot afecta situatia patrimoniala si economica sau care depasesc limitele de toleranta fixate. Pentru surse de risc majore identificate, societatea trebuie sa dispuna masuri de interventie imediate.
Art. 25. — (1) Asiguratorii/Reasiguratorii trebuie sa dispuna de un sistem informatic auditat in conformitate cu reglementarile in vigoare privind tehnologia informatiei, care sa certifice adecvarea acestuia la specificul si volumul activitatii, gradul de securitate a informatiei, capacitatea de a furniza raportarile solicitate de Comisia de Supraveghere a Asigurarilor, capacitatea de conectare la retea pentru transmiterea electronica a raportarilor, capacitatea de stocare/arhivare a datelor, indeplinirea de catre sistemele informatice a criteriilor minimale prevazute de reglementarile in vigoare pentru prelucrarea automata a datelor in domeniul financiar-contabil.
(2) Auditarea sistemelor informatice conform prevederilor alin. (1) se va efectua de catre un auditor financiar, altul decat cel care auditeaza situatiile financiare ale societatii, membru activ al Camerei Auditorilor Financiari din Romania si care trebuie sa dispuna de personal specializat, cu experienta in ceea ce priveste sistemele informatice.
Art. 26. — Asiguratorii/Reasiguratorii trebuie sa dispuna de un sistem adecvat de control intern asupra procesului de management al riscurilor, care implica analize independente si regulate, evaluari ale eficacitatii sistemului si, acolo unde se impune, asigurarea remedierii deficientelor constatate. Rezultatele unor astfel de analize trebuie sa fie comunicate in mod direct conducerii administrative, comitetului de management al riscurilor si comitetului de audit.
Art. 27. — In procesul de management al riscurilor, asiguratorii/reasiguratorii trebuie sa constituie un comitet de management al riscurilor.
Art. 28. — (1) Comitetul de management al riscurilor este un comitet permanent, ale carui functionare si atributii sunt reglementate de prezentele norme si de regulamentele interne ale fiecarui asigurator/reasigurator.
(2) Comitetul de management al riscurilor isi poate desfasura lucrarile in subcomitete, in functie de marimea si de complexitatea asiguratorului/reasiguratorului.
(3) Comitetul de management al riscurilor se constituie prin decizie a conducerii administrative si trebuie sa cuprinda minimum 3 membri, in functie de dimensiunea activitatii societatii.
Art. 29. — Asiguratorii/Reasiguratorii trebuie sa dispuna de un regulament al comitetului de management al riscurilor, aprobat la nivelul conducerii administrative si revizuit periodic, dupa caz, care sa indice componenta, autoritatea si responsabilitatile acestuia si modul de raportare catre conducerea administrativa.
Art. 30. — (1) Membrii comitetului de management al riscurilor trebuie sa aiba o experienta compatibila cu responsabilitatile lor in cadrul acestuia.
(2) Comitetul de management al riscurilor este format din membri ai conducerii executive si operative a asiguratorului/reasiguratorului.
Art. 31. — Comitetul de management al riscurilor va avea cel putin urmatoarele atributii:
a) sa informeze conducerea administrativa asupra situatiei expunerilor societatii la riscuri, ori de cate ori intervin schimbari semnificative in expunerea la riscuri, dar cel putin trimestrial, informari suficient de detaliate si oportune care sa permita conducerii sa cunoasca si sa evalueze performanta in monitorizarea si controlul riscurilor, potrivit politicilor aprobate;
b) sa informeze conducerea administrativa asupra problemelor si evolutiilor semnificative care ar putea influenta profilul de risc al asiguratorului/reasiguratorului;
c) sa dezvolte politici si proceduri adecvate pentru identificarea, evaluarea, monitorizarea si controlul riscurilor si sa stabileasca limite corespunzatoare privind expunerea la riscuri, inclusiv pentru conditii de criza, in conformitate cu marimea, complexitatea si situatia financiara a asiguratorului/ reasiguratorului, precum si proceduri necesare pentru aprobarea exceptiilor de la respectivele limite;
d) sa aprobe metodologii si modele adecvate pentru evaluarea riscurilor si limitarea expunerilor la riscuri;
e) sa aprobe angajarea asiguratorului/reasiguratorului in noi activitati specifice domeniului de activitate, pe baza analizei riscurilor aferente acestora;
f) sa analizeze masura in care planurile alternative de care dispune asiguratorul/reasiguratorul corespund situatiilor neprevazute cu care acesta s-ar putea confrunta;
g) sa stabileasca sisteme de raportare in cadrul societatii privind aspecte legate de riscuri;
h) sa stabileasca competente si responsabilitati la nivel de compartimente privind administrarea si controlul expunerilor la riscuri.

Structura de management al riscului
Art. 32. — Societatile de asigurare/reasigurare trebuie sa instituie o structura de management al riscului, corespunzator naturii, dimensiunii si complexitatii activitatii, care:
a) contribuie la definirea metodologiei de masurare a riscurilor;
b) avizeaza fluxurile informationale necesare pentru asigurarea controlului operativ al expunerilor la risc si ia masuri imediate pentru corectarea acestora;
c) intocmeste rapoartele catre conducerea administrativa si conducerea executiva privind evolutia riscurilor si depasirea limitelor de toleranta aprobate;
d) contribuie la efectuarea analizelor de stres.
Art. 33. — Structura de management al riscului trebuie sa nu fie subordonata functiilor operative. Pozitia organizatorica a structurii de management al riscului este lasata la autonomia societatilor de asigurare, acestea trebuind sa respecte principiul de separare intre functiile operative si cele de control.
Art. 34. — Persoana desemnata de asiguratori/reasiguratori pentru conducerea acestei structuri trebuie sa indeplineasca criteriile de aprobare prevazute de Normele privind autorizarea asiguratorilor, puse in aplicare prin Ordinul presedintelui Comisiei de Supraveghere a Asigurarilor nr. 16/2009, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 569 din 14 august 2009.

CAPITOLUL IV
Rolul si responsabilitatile conducerii administrative si ale conducerii executive

SECȚIUNEA 1
Rolul si responsabilitatile conducerii administrative si ale conducerii executive in ceea ce priveste controlul intern

Art. 35. — (1) Conducerea administrativa a asiguratorilor/ reasiguratorilor este responsabila pentru stabilirea si mentinerea unui sistem de control intern adecvat si eficient.
(2) In contextul prevederilor alin. (1), conducerea administrativa a asiguratorilor/reasiguratorilor are urmatoarele atributii:
a) aproba structura organizatorica a societatii, precum si atributiile si responsabilitatile unitatilor operative;
b) se asigura ca sunt adoptate procese decizionale adecvate si ca se efectueaza o separare corecta a functiunilor;
c) aproba sistemul de delegare a puterii si a responsabilitatilor, evitand concentrarea excesiva a puterii intr-o singura persoana si punand in executie instrumente de verificare a respectarii puterilor delegate;
d) defineste si evalueaza cel putin o data pe an strategia si politica de identificare, evaluare si gestiune a riscurilor semnificative si aproba nivelurile de toleranta pe care le revizuieste cel putin anual;
e) aproba politica si strategia societatii, revizuindu-le cel putin anual, si urmareste evolutia activitatii societatii si a conditiilor externe;
f) verifica daca conducerea societatii implementeaza corect sistemul de control intern si de gestiune a riscurilor conform politicilor stabilite;
g) cere sa fie periodic informata despre eficacitatea sistemului de control intern si de gestiune a riscurilor.
(3) Pentru indeplinirea atributiilor ce ii revin, conducerea administrativa trebuie sa intreprinda cel putin urmatoarele masuri:
a) discutii periodice, cel putin trimestrial, cu conducerea operativa privind eficienta sistemului de control intern;
b) analiza periodica, cel putin trimestrial, a evaluarilor sistemului de control intern efectuate de conducerea operativa si de auditul intern;
c) urmarirea implementarii de catre conducerea operativa a recomandarilor formulate de auditul intern, de auditorul financiar extern si de Comisia de Supraveghere a Asigurarilor cu privire la deficientele sistemului de control intern si examinarea efectului masurilor implementate.
Art. 36. — (1) Conducerea executiva a asiguratorului/reasiguratorului are responsabilitati pe linia monitorizariifunctionarii adecvate si eficiente a sistemului de control intern.
(2) In contextul prevederilor alin. (1), conducerea executiva are cel putin urmatoarele atributii:
a) defineste in detaliu structura organizatorica a societatii, drepturile si responsabilitatile unitatilor operative si procesele decizionale, in concordanta cu politica stabilita de conducerea administrativa; asigura o separare a obligatiilor si a responsabilitatilor intre functii in scopul de a evita situatiile de conflict de interese;
b) realizeaza politica de evaluare si de gestiune a riscurilor aprobata de conducerea administrativa, asigurand definirea limitelor operative, si verifica incadrarea in aceste limite;
monitorizeaza expunerea la riscuri si respectarea nivelurilor de toleranta aprobate de organul administrativ;
c) se asigura ca responsabilitatile delegate conducerii operative cu privire la stabilirea politicilor si procedurilor de control intern sunt indeplinite in mod corespunzator;
d) verifica daca conducerea administrativa este periodic informata despre eficienta si functionalitatea sistemului de control intern si de gestiune a riscurilor;
e) urmareste daca personalul societatii isi cunoaste propriul rol si propriile responsabilitati, cu scopul de a fi efectiv implicat in desfasurarea controlului ca si cum ar face parte din propria sa activitate;
f) stabileste procese operative si canale de raportare;
g) promoveaza continuu comunicarea in cadrul societatii cu scopul de a favoriza adeziunea intregului personal la principiile de integritate morala si valorile etice;
h) propune conducerii administrative initiative menite sa imbunatateasca sistemul de control intern si de gestiune a riscurilor;
i) asigura instruirea corespunzatoare a personalului.

SECȚIUNEA a 2-a
Rolul si responsabilitatile conducerii administrative si ale conducerii executive in ceea ce priveste managementul riscului

Art. 37. — In domeniul managementului riscurilor, conducerea administrativa a asiguratorilor/reasiguratorilor are cel putin urmatoarele atributii:
a) sa aprobe si sa reconsidere profilul de risc al acestora;
b) sa aprobe politicile privind managementul riscurilor, sa le analizeze periodic, cel putin anual, si sa dispuna revizuirea acestora, dupa caz;
c) sa asigure luarea de catre conducerea executiva a masurilor necesare pentru identificarea, evaluarea, monitorizarea si controlul riscurilor, inclusiv pentru activitatile externalizate;
d) sa aprobe procedurile de stabilire a competentelor si a responsabilitatilor in domeniul managementului riscurilor;
e) sa aprobe externalizarea unor activitati;
f) sa aprobe politica de instruire a personalului.
Art. 38. — In domeniul managementului riscurilor,
conducerea executiva a asiguratorilor/reasiguratorilor este responsabila cel putin pentru urmatoarele:
a) implementarea strategiilor aprobate de conducerea administrativa si asigurarea comunicarii acestora personalului implicat in punerea lor in aplicare;
b) asigurarea comunicarii politicilor si procedurilor pentru identificarea, evaluarea, monitorizarea si controlul riscurilor personalului implicat in punerea lor in aplicare;
c) mentinerea unor sisteme de raportare corespunzatoare a expunerilor la riscuri, precum si a altor aspecte legate de riscuri;
d) mentinerea limitelor corespunzatoare privind expunerea la riscuri, inclusiv pentru conditii de criza, in conformitate cu marimea, complexitatea si cu situatia financiara a asiguratorilor/ reasiguratorilor;
e) mentinerea eficientei si eficacitatii sistemului de control intern;
f) analizarea oportunitatii externalizarii unor activitati prin prisma riscurilor implicate de externalizare;
g) supravegherea si monitorizarea contractelor de externalizare;
h) urmarirea instruirii corespunzatoare a personalului;
i) asigurarea concordantei politicilor de remunerare a personalului cu strategia asiguratorului/reasiguratorului privind riscurile.

CAPITOLUL V
Audit intern

Art. 39. — Asiguratorii/Reasiguratorii au obligatia, conform reglementarilor in vigoare privind auditul intern, sa instituie o functie/structura de audit intern cu scopul de a monitoriza si evalua eficacitatea si eficienta sistemului de control intern si a celorlalte activitati din cadrul societatii.
Art. 40. — Functia de audit intern trebuie organizata respectandu-se urmatoarele cerinte:
a) pozitia functiei in cadrul structurii organizatorice trebuie sa fie astfel incat sa garanteze independenta si autonomia, pentru a nu fi compromisa obiectivitatea procesului de audit; functia de audit intern nu depinde ierarhic de niciun responsabil din aria operativa; personalului implicat in auditul intern nu trebuie sa ii fie incredintate responsabilitati operative sau acesta nu trebuie sa verifice activitatea desfasurata in trecut, daca nu a trecut cel putin un an de la schimbarea activitatii;
b) functia de audit intern trebuie sa aiba legaturi cu toate structurile de control din cadrul societatii;
c) responsabilul cu functia de audit intern este numit de conducerea administrativa. El trebuie sa aiba competenta profesionala pentru a realiza aceasta activitate, conform reglementarilor Camerei Auditorilor Financiari din Romania. Atributiile persoanei responsabile cu functia de audit intern trebuie clar definite, iar responsabilitatea si modalitatea de raportare catre conducerea administrativa trebuie precizate in fisa postului/obligatiile contractuale (in cazul externalizarii auditului intern). Responsabilul cu functia de audit intern este imputernicit cu autoritatea necesara pentru a garanta independenta sa;
d) personalului implicat in activitatea de audit intern trebuie sa i se asigure accesul la toate structurile societatii si la intreaga documentatie, inclusiv informatii privind activitatile externalizate;
e) structura trebuie sa fie corespunzatoare dimensiunii societatii si obiectivelor stabilite, in ceea ce priveste resursele umane si tehnologia.
Art. 41. — Functia de audit intern va include in principal urmatoarele activitati:
a) evaluarea eficientei si a gradului de adecvare a sistemului de control intern;
b) evaluarea modului de aplicare si a eficacitatii procedurilor de management al riscurilor;
c) analizarea relevantei si integritatii datelor furnizate de sistemele informationale financiare si de gestiune, inclusiv sistemul informatic;
d) verificarea functionarii si eficientei fluxurilor informationale intre sectoarele activitatii;
e) evaluarea acuratetei si credibilitatii inregistrarilor contabile care stau la baza intocmirii situatiilor financiare si a raportarilor contabile;
f) evaluarea modului in care se asigura protejarea elementelor patrimoniale bilantiere si extrabilantiere si identificarea metodelor de prevenire a fraudelor si pierderilor de orice fel;
g) evaluarea modului in care sunt respectate dispozitiile cadrului legal, cerintele codurilor etice, precum si evaluarea modului in care sunt implementate politicile si procedurile asiguratorului/reasiguratorului;
h) testarea integritatii si credibilitatii raportarilor, inclusiv a celor destinate utilizatorilor externi;
i) eficienta controalelor efectuate asupra activitatilor externalizate.
Art. 42. — Functia de audit intern isi planifica activitatea astfel incat sa identifice zonele care vor fi supuse cu prioritate auditului. Planul de audit este supus aprobarii conducerii administrative si identifica activitatile, operatiunile si procesele supuse auditului, operatiunile si sistemele de verificare, descriind criteriile sub care acestea au fost selectionate si specificand resursele necesare executarii planului.
Art. 43. — Functia de audit intern va comunica cel putin trimestrial conducerii administrative, conducerii executive si functiei de control intern rezultatele verificarii si eventualele disfunctiuni. Este obligatoriu sa semnaleze imediat conducerii administrative si conducerii executive situatiile de o gravitate speciala. Rapoartele de audit trebuie sa fie obiective, clare, concise, oportune si sa contina propuneri pentru eliminarea lipsurilor intalnite.
Art. 44. — Asiguratorii/Reasiguratorii trebuie sa elaboreze norme de audit intern, unde vor stabili cel putin urmatoarele:
a) obiectivele si sfera de cuprindere ale auditului intern;
b) pozitia auditului intern in cadrul societatii, competentele si responsabilitatile acestuia;
c) responsabilitatile coordonatorului activitatii de audit intern;
d) termenii si conditiile in care auditorii interni pot furniza servicii de consultanta sau pot indeplini alte sarcini speciale.
Art. 45. — Normele de audit intern trebuie sa fie revizuite periodic, daca este cazul, si comunicate structurilor organizatorice ale societatii. Ele trebuie aprobate de conducerea administrativa, cu avizul comitetului de audit.
Art. 46. — Normele de audit intern trebuie sa prevada dreptul de initiativa al auditorului intern si autoritatea acestuia de a comunica cu orice membru din cadrul conducerii societatii, de a examina orice activitate, compartiment sau sediu secundar al societatii, precum si accesul acestuia la orice inregistrari, fisiere si informatii interne, inclusiv la informatii destinate conducerii, precum si la procese-verbale si alte materiale cu caracter similar ale tuturor organelor de decizie si consultative, care prezinta relevanta in indeplinirea atributiilor sale.
Art. 47. — Asiguratorii/Reasiguratorii trebuie sa se asigure ca auditorii interni raspund din punct de vedere profesional obiectivelor prevazute de normele de audit intern si ca sunt competenti pentru indeplinirea responsabilitatilor individuale.
Art. 48. — Pentru a nu fi afectata capacitatea de evaluare critica a auditorilor interni, ca urmare a rutinei si executarii permanente a acelorasi sarcini, societatile de asigurare trebuie sa asigure, in masura posibilitatilor, rotirea responsabililor misiunilor de audit intern, cu conditia respectarii principiului obiectivitatii si impartialitatii.
Art. 49. — (1) Auditorii interni trebuie sa fie prudenti in utilizarea informatiilor colectate in exercitarea activitatii si sa asigure protejarea acestor informatii.
(2) Este interzis ca auditorii interni sa utilizeze informatiile colectate pentru obtinerea unor avantaje personale sau in orice mod care ar fi contrar prevederilor legale ori in detrimentul obiectivelor societatii de asigurare.
Art. 50. — Auditorii interni trebuie sa fie corecti, onesti si incoruptibili, sa respecte prevederile legale si ale Codului privind conduita etica in activitatea de audit intern si sa comunice informatii potrivit cerintelor legale si ale profesiei.
Art. 51. — Asiguratorii/Reasiguratorii trebuie sa dispuna de un comitet de audit, constituit conform reglementarilor in vigoare, si sa dispuna de un regulament al comitetului de audit, aprobat la nivelul conducerii administrative si revizuit periodic, daca este cazul, care sa indice componenta, competentele si atributiile acestuia, modul de raportare catre conducerea administrativa, precum si periodicitatea intrunirilor comitetului de audit.
Art. 52. — Structurile de audit intern, control intern, management al riscului si actuariat, precum si orice alt organ de control caruia ii este atribuita o functie specifica de control colaboreaza intre ele, schimband orice informatii utile necesare pentru indeplinirea atributiilor.

#PAGEBREAK#

CAPITOLUL VI
Externalizarea activitatilor

Art. 53. — (1) Asiguratorii/Reasiguratorii trebuie sa dispuna de politici privind externalizarea activitatilor auxiliare sau conexe in raport cu activitatile principale.
(2) Asiguratorii/Reasiguratorii trebuie sa dispuna de proceduri de administrare a riscurilor asociate activitatilor externalizate.
(3) Procedurile de management al riscurilor asociate activitatilor externalizate se vor referi cel putin la urmatoarele:
a) luarea deciziilor privind externalizarea unor noi activitati sau modificarea celor existente;
b) selectarea si evaluarea societatilor prestatoare de servicii auxiliare sau conexe in legatura cu aspecte cum ar fi:
solvabilitatea, reputatia, familiarizarea cu specificul sectorului asigurarilor, calitatea serviciilor prestate, organizarea activitatii si controlul intern, existenta unui personal competent, existenta unui plan alternativ de redresare a activitatii, asigurarea confidentialitatii informatiei;
c) monitorizarea modului in care societatile prestatoare de servicii auxiliare sau conexe desfasoara activitatile externalizate;
d) elaborarea de planuri alternative si stabilirea costurilor si a resurselor necesare pentru schimbarea societatilor prestatoare de servicii auxiliare sau conexe.
Art. 54. — (1) Asiguratorii/Reasiguratorii pot externaliza activitati doar in conditiile incheierii de contracte cu societati prestatoare de servicii auxiliare sau conexe.
(2) Contractele incheiate cu societati prestatoare de servicii auxiliare sau conexe in legatura cu activitatile externalizate trebuie sa fie in forma scrisa si sa cuprinda in mod clar responsabilitatile fiecarei parti.
(3) Asiguratorii/Reasiguratorii vor putea incheia contracte cu societati prestatoare de servicii auxiliare sau conexe pentru externalizarea unor activitati, in urmatoarele conditii:
a) asigurarea respectarii de catre furnizorul de servicii a prevederilor legislatiei in vigoare si a normelor Comisiei de Supraveghere a Asigurarilor referitoare la serviciile/activitatile externalizate;
b) asigurarea furnizarii de catre societatea prestatoare de servicii a unor date actualizate la nivelul asiguratorului/ reasiguratorului privind desfasurarea activitatii externalizate;
c) asigurarea accesului reprezentantilor Comisiei de Supraveghere a Asigurarilor la toate datele si informatiile aferente operatiunilor efectuate pentru asigurator/reasigurator de catre societatile prestatoare de servicii;
d) asigurarea securitatii/confidentialitatii datelor cel putin prin urmatoarele masuri: angajamentul societatii prestatoare de servicii auxiliare sau conexe si al personalului acesteia de a se supune regulilor de confidentialitate si drepturile contractuale ale asiguratorului/reasiguratorului de a lua masuri impotriva societatii prestatoare de servicii auxiliare sau conexe in cazul incalcarii confidentialitatii, evidentierea separata a datelor asiguratorului/reasiguratorului de cele ale societatii prestatoare de servicii auxiliare sau conexe si de cele ale altor clienti ai acesteia.
Art. 55. — Asiguratorii/Reasiguratorii nu pot externaliza urmatoarele activitati:
a) activitatea de audit intern, in conditiile in care furnizorul extern de servicii in domeniul auditului intern are si calitatea de auditor financiar al societatii de asigurare in cauza. Coordonatorul activitatii de audit intern trebuie sa fie angajat al societatii de asigurare;
b) organizarea si tinerea contabilitatii, in conditiile in care intre persoanele carora le-ar fi externalizata activitatea de contabilitate si auditorul financiar exista legaturi ce afecteaza independenta acestuia in exercitarea mandatului;
c) organizarea si desfasurarea activitatii juridice curente, in conformitate cu dispozitiile Legii nr. 514/2003 privind organizarea si exercitarea profesiei de consilier juridic, cu completarile ulterioare;
d) activitatea de investitii, in ceea ce priveste plasarea si gestionarea activelor admise sa acopere rezervele tehnice brute;
e) orice alte activitati care in urma externalizarii nu mai pot fi controlate si desfasurate in conformitate cu regulile unei practici prudente si sanatoase.
Art. 56. — In cazul externalizarii unor activitati, conducerea administrativa si conducerea executiva ale asiguratorilor/ reasiguratorilor raspund pentru atingerea obiectivelor controlului intern aferente respectivelor activitati.


CAPITOLUL VII
Raportari

Art. 57. — (1) Asiguratorii/Reasiguratorii trebuie sa intocmeasca anual un raport asupra conditiilor in care este desfasurat controlul intern. Acest raport trebuie sa cuprinda cel putin:
a) o inventariere a principalelor deficiente identificate in cadrul sistemului de control intern si masurile intreprinse pentru corectarea acestora;
b) o descriere a modificarilor semnificative intervenite in sistemul de control intern in perioada respectiva, in special axate pe evolutia activitatii si a riscurilor;
c) o descriere a conditiilor de aplicare a procedurilor de control aferente noilor activitati;
d) modul de desfasurare a controlului intern in cadrul structurilor teritoriale ale asiguratorilor/reasiguratorilor din strainatate.
(2) Raportul intocmit de catre asiguratori/reasiguratori trebuie sa includa si conditiile in care se desfasoara controlul intern la nivelul entitatilor cuprinse in perimetrul lor de consolidare si al societatilor prestatoare de servicii auxiliare sau conexe.
Art. 58. — (1) Asiguratorii/Reasiguratorii trebuie sa intocmeasca anual un raport privind masurile luate pe linia managementului riscurilor la care sunt expusi acestia si, dupa caz, masurile luate de entitatile cuprinse in perimetrul lor de consolidare si societatile prestatoare de servicii auxiliare sau conexe.
(2) Raportul trebuie sa fie aprobat de comitetul de management al riscului si trebuie sa cuprinda cel putin:
a) profilul de risc al societatii si politica de management al riscurilor, cu specificarea tolerantei asiguratorului/ reasiguratorului la principalele riscuri si limitele stabilite pentru gestionarea acestora;
b) metodologia folosita in evaluarea fiecarei categorii de risc, testele de stres folosite si rezultatele acestora, frecventa si continutul rapoartelor interne privind analiza si administrarea riscurilor;
c) detalii ale politicilor de investitii, incluzand procedurile de identificare, monitorizare si control al riscurilor, detalii referitoare la strategiile investitionale cu produse derivate sau produse cu efect similar, precum si procedurile referitoare la introducerea de noi instrumente de investitii si de monitorizare a riscurilor asociate cu utilizarea acestora;
d) informatii despre managementul intern al portofoliilor de active si al obligatiilor: detalii despre administrarea activelor in corelatie cu natura si scadenta obligatiilor, detalii despre investitiile intragrup realizate;
e) procedurile asiguratorului/reasiguratorului pentru alegerea partenerilor, cu specificarea detaliilor procedurilor de selectare si monitorizare a administratorilor de fonduri si a societatilor de servicii de investitii financiare;
f) o prezentare a modului de abordare si a politicilor asiguratorului/reasiguratorului referitoare la produsele de asigurare, procesul de subscriere, activitatea de reasigurare si solvabilitate;
g) detalii referitoare la salarizarea personalului pentru a stabili daca compania acorda prime sau alte stimulente salariale mari care determina o marire nejustificata a expunerii la risc a societatii;
h) un plan de afaceri global al asiguratorului/reasiguratorului pentru anul urmator, care cuprinde informatii referitoare la noile produse lansate de societate, strategia de distributie a produselor, procesul de subscriere si activitatea de reasigurare;
i) planurile elaborate de asigurator/reasigurator pentru imprejurari neprevazute;
j) lista tuturor deciziilor consiliului de administratie/consiliului de supraveghere;
k) detalii referitoare la serviciile externalizate;
l) eventuale modificari in organigrama societatii si in sistemul de delegare a responsabilitatilor fata de cele comunicate anterior catre Comisia de Supraveghere a Asigurarilor;
m) planul de activitate al comitetului de management al riscului in perioada analizata.
Art. 59. — Asiguratorii/Reasiguratorii trebuie sa intocmeasca anual un raport privind actiunile de audit desfasurate, din care sa reiasa constatarile si recomandarile auditului intern si modul de implementare a recomandarilor respective la nivelul structurii auditate.
Art. 60. — Rapoartele mentionate la art. 57—59 trebuie sa fie transmise Comisiei de Supraveghere a Asigurarilor in termen de 6 luni de la incheierea exercitiului financiar.
Art. 61. — Pentru controlul intern al activitatii, managementul riscului si desfasurarea activitatii de audit intern, asiguratorii/reasiguratorii vor avea in vedere atat prevederile legislatiei nationale, cat si standardele internationale in materie.
Art. 62. — Asiguratorii/Reasiguratorii vor transmite Comisiei de Supraveghere a Asigurarilor, pana la data de 31 decembrie 2010, dovada auditarii sistemului informatic conform cerintelor art. 25.
Art. 63. — Asiguratorii/Reasiguratorii au obligatia sa isi revizuiasca/elaboreze normele interne privind organizarea controlului intern al activitatii, normele interne privind organizarea sistemului de management al riscurilor, regulamentul comitetului de management al riscurilor, normele de audit intern si regulamentul comitetului de audit, in
concordanta cu prevederile prezentelor norme, si sa le transmita Comisiei de Supraveghere a Asigurarilor pana la data de 31 decembrie 2009. Orice revizuire ulterioara a normelor interne va fi transmisa in termen de 30 de zile de la aprobare.
Art. 64. — Nerespectarea prevederilor prezentelor norme constituie contraventie si se sanctioneaza conform prevederilor art. 39 din Legea nr. 32/2000, cu modificarile si completarile ulterioare.