Art. 6. - stabilirea unor canale de comunicare care să asigure un flux corespunzător de informaţii, la toate nivelurile, care să garanteze că personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilităţilor sale, că orice informaţii relevante ajung în timp util şi să permită: - Norma din 2009 privind principiile de organizare a unui sistem de control intern şi management al riscurilor, precum şi organizarea şi desfăşurarea activităţii de audit intern la asigurători/reasiguratori
M.Of. 621
Ieşit din vigoare Versiune de la: 3 Aprilie 2015
Art. 6
În vederea organizării unui sistem de control intern eficient, asigurătorii / reasiguratorii trebuie să urmărească:
a)repartizarea corespunzătoare a atribuţiilor la toate nivelurile organizatorice, asigurându-se că personalului nu îi sunt alocate responsabilităţi care să conducă la conflicte de interese. Domeniile care pot fi afectate de potenţiale conflicte de interese trebuie să fie identificate şi supuse unei monitorizări independente exercitate de persoane neimplicate direct în activităţile respective, a căror informare este efectuată pe baza unor linii de raportare stabilite în mod corespunzător;
b)adoptarea unui cod etic pentru personalul propriu, care să definească reguli comportamentale, de disciplină şi situaţii de potenţiale conflicte de interese şi să prevadă acţiuni corective adecvate, în cazul în care se încalcă procedurile societăţii sau codul etic;
c)evitarea politicilor sau practicilor de remunerare ce pot favoriza activităţi ilegale, care nu respectă standardele etice sau care presupun riscuri faţă de interesele societăţii;
d)stabilirea unor canale de comunicare care să asigure un flux corespunzător de informaţii, la toate nivelurile, care să garanteze că personalul propriu cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilităţilor sale, că orice informaţii relevante ajung în timp util şi să permită:
- informarea conducerii administrative şi a conducerii executive asupra riscurilor aferente activităţii şi funcţionării asigurătorilor / reasiguratorilor;
- informarea nivelurilor inferioare de conducere operativă şi a personalului atât asupra strategiilor asigurătorilor / reasiguratorilor, cât şi asupra politicilor şi procedurilor stabilite;
- difuzarea informaţiilor între compartimentele şi structurile teritoriale ale asigurătorilor / reasiguratorilor pentru care respectivele informaţii au relevanţă;
e)elaborarea de planuri alternative care să permită reluarea activităţii în cazul apariţiei unor situaţii neprevăzute, pentru evitarea pierderilor generate de întreruperea activităţii datorită unor factori externi ce nu pot fi controlaţi de către asigurători / reasiguratori. Replicarea sistemelor critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie aparţinând asigurătorilor / reasiguratorilor, fie prin intermediul unui furnizor extern de servicii. Funcţionarea planurilor alternative trebuie testată periodic prin simularea operaţiunilor pe sistemele de rezervă, în scopul verificării disponibilităţii acestora;
f)elaborarea unor proceduri privind tehnologia de informare şi comunicare, menită să asigure existenţa şi menţinerea unui sistem informatic adecvat nevoilor societăţii, corespunzător cu dimensiunea şi activitatea societăţii, care să asigure:
1.separarea mediului de dezvoltare de cel de operare. Accesul la diversele medii trebuie reglementat şi controlat prin proceduri întocmite, ţinând cont de exigenţa de limitare a riscurilor şi a fraudei. Aceste proceduri garantează siguranţa datelor, limitând accesul persoanelor neautorizate din mediul de operare şi înregistrând toate tentativele de acces neautorizate;
2.elaborarea de proceduri pentru aprobarea şi achiziţia sistemelor hardware şi software, precum şi externalizarea serviciilor din sistemul informatic;
3.elaborarea de proceduri ce asigură siguranţa fizică a sistemelor hardware, software şi a băncilor de date, precum şi prevenirea utilizării necorespunzătoare a informaţiei de către personalul asigurătorilor pentru obţinerea unor beneficii personale sau prejudicierea reputaţiei societăţii;
4.asigurarea condiţiilor de securitate pentru zonele în care sunt accesate informaţii cu caracter confidenţial;
5.adoptarea de proceduri pentru identificarea şi gestionarea evenimentelor care pot prejudicia continuitatea activităţii, cum ar fi: incendii, defecţiuni la sistemele hardware sau software, erori operaţionale din partea utilizatorilor, introducere involuntară de componente străine care să creeze daune sistemului informatic sau reţelei etc.
Procedurile sunt supuse verificării din partea auditului intern.