NORMA nr. 3 din 17 martie 2014 privind controlul intern, auditul intern si administrarea riscurilor in sistemul de pensii private

 NORMA nr. 3 din 17 martie 2014 privind controlul intern, auditul intern si administrarea riscurilor in sistemul de pensii private


EMITENT: AUTORITATEA DE SUPRAVEGHERE FINANCIARA
PUBLICAT: MONITORUL OFICIAL nr. 258 din 9 aprilie 2014


    Avand in vedere prevederile art. 57 alin. (1) lit. l) si ale art. 66 alin. (1) din Legea nr. 411/2004 privind fondurile de pensii administrate privat, republicata, cu modificarile si completarile ulterioare, ale art. 15 alin. (1) lit. m) si ale art. 16 din Legea nr. 204/2006 privind pensiile facultative, cu modificarile si completarile ulterioare,
    in temeiul dispozitiilor art. 24 lit. a) si o) din Ordonanta de urgenta a Guvernului nr. 50/2005 privind infiintarea, organizarea si functionarea Comisiei de Supraveghere a Sistemului de Pensii Private, aprobata cu modificari si completari prin Legea nr. 313/2005, cu modificarile si completarile ulterioare,
    in baza dispozitiilor art. 2 alin. (1) lit. c) si d), ale art. 3 alin. (1) lit. b), ale art. 5 lit. c), art. 6 alin. (1) si (2) si ale art. 7 alin. (2) din Ordonanta de urgenta a Guvernului nr. 93/2012 privind infiintarea, organizarea si functionarea Autoritatii de Supraveghere Financiara, aprobata cu modificari si completari prin Legea nr. 113/2013, cu modificarile si completarile ulterioare,
    in urma deliberarilor din sedinta Consiliului Autoritatii de Supraveghere Financiara din data de 17 martie 2014,

    Consiliul Autoritatii de Supraveghere Financiara emite urmatoarea norma:

    CAP. I
    Dispozitii generale

    ART. 1
    Prezenta norma reglementeaza organizarea si desfasurarea activitatilor de control intern, audit intern si de administrare a riscurilor in sistemul de pensii private.
    ART. 2
    Prevederile prezentei norme sunt aplicabile:
    a) administratorilor fondurilor de pensii administrate privat si administratorilor fondurilor de pensii facultative, denumiti in continuare administratori;
    b) fondurilor de pensii administrate privat si fondurilor de pensii facultative, denumite in continuare fonduri de pensii private.
    ART. 3
    (1) Termenii si expresiile utilizate in prezenta norma au semnificatiile prevazute de:
    a) art. 2 din Legea nr. 411/2004 privind fondurile de pensii administrate privat, republicata, cu modificarile si completarile ulterioare, denumita in continuare Legea nr. 411/2004;
    b) art. 2 din Legea nr. 204/2006 privind pensiile facultative, cu modificarile si completarile ulterioare, denumita in continuare Legea nr. 204/2006;
    c) art. 2 alin. (1) din Legea nr. 297/2004 privind piata de capital, cu modificarile si completarile ulterioare;
    d) art. 2 alin. (2) din Norma nr. 11/2011 privind investirea si evaluarea activelor fondurilor de pensii private, aprobata prin Hotararea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 22/2011, cu modificarile si completarile ulterioare, denumita in continuare Norma nr. 11/2011;
    e) art. 3 alin. (2) din Norma nr. 10/2010 privind obligatiile de raportare si transparenta in sistemul pensiilor administrate privat, aprobata prin Hotararea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 20/2010, cu modificarile si completarile ulterioare, denumita in continuare Norma nr. 10/2010;
    f) art. 3 alin. (2) din Norma nr. 11/2010 privind obligatiile de raportare si transparenta in sistemul pensiilor facultative, aprobata prin Hotararea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 21/2010, cu modificarile si completarile ulterioare, denumita in continuare Norma nr. 11/2010;
    g) art. 3 alin. (2) din Norma nr. 12/2010 privind autorizarea de constituire a societatii de pensii si autorizarea de administrare a fondurilor de pensii administrate privat, aprobata prin Hotararea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 22/2010, cu modificarile si completarile ulterioare, denumita in continuare Norma nr. 12/2010;
    h) art. 3 alin. (2) din Norma nr. 13/2010 privind autorizarea de constituire a societatii de pensii si autorizarea de administrare a fondurilor de pensii facultative, aprobata prin Hotararea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 23/2010, cu modificarile si completarile ulterioare, denumita in continuare Norma nr. 13/2010;
    i) art. 3 din Norma nr. 11/2007 privind auditorul financiar pentru fondurile de pensii administrate privat si administratorii acestora, aprobata prin Hotararea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 32/2007, cu modificarile si completarile ulterioare.
    (2) De asemenea, termenii si expresiile de mai jos au urmatoarele semnificatii:
    a) auditul intern - examinarea obiectiva a ansamblului activitatilor administratorului si fondurilor de pensii private in scopul furnizarii unei evaluari independente a administrarii riscului, controlului si proceselor de conducere;
    b) administrarea riscurilor - procesul prin care se identifica, evalueaza, diminueaza, monitorizeaza si se raporteaza riscurile generate de factori interni sau de factori externi care ar putea avea un impact negativ asupra activitatii administratorului si/sau fondurilor de pensii private;
    c) control intern - procesul continuu prin care se urmareste indeplinirea obiectivelor:
    (i) de performanta, respectiv eficacitatea si eficienta activitatilor desfasurate;
    (ii) de informare, respectiv credibilitatea, integritatea si furnizarea la timp a informatiilor;
    (iii) de conformitate, respectiv conformarea cu actele normative aplicabile, precum si cu procedurile interne.
    d) diminuarea riscului - masurile intreprinse pentru reducerea probabilitatii de aparitie a riscului si/sau de reducere a impactului asupra activitatii administratorului si/ori a fondurilor de pensii private, daca riscul s-ar materializa;
    e) expunerea la risc - masura in care activitatea administratorului si/sau a fondurilor de pensii private poate fi afectata negativ de materializarea unui risc potential, evaluata pe baza probabilitatii de aparitie si a impactului estimat al acestuia;
    f) impactul riscului - cuantificarea sau interpretarea calitativa a consecintelor asupra administratorului si/sau a fondurilor de pensii private, in situatia materializarii riscului;
    g) probabilitatea de materializare a riscului - posibilitatea de aparitie a riscului, determinata apreciativ sau prin cuantificare, atunci cand natura riscului si informatiile disponibile permit o astfel de evaluare;
    h) profilul de risc - descrierea tipurilor si efectelor riscurilor la care sunt expusi administratorii si fondurile de pensii private;
    i) riscul actuarial - riscul care decurge din folosirea unor metode actuariale de evaluare si/sau ipoteze inadecvate;
    j) riscul de concentrare - riscul ca portofoliul de investitii al administratorului si/sau al fondurilor de pensii private sa fie expus excesiv fata de un anumit activ, emitent, grup de emitenti, sector economic, regiune geografica, intermediar, contrapartida, grupuri de contrapartide aflate in legatura, dupa caz;
    k) riscul de credit - riscul de pierdere care rezulta din fluctuatii ale bonitatii emitentilor de valori mobiliare, contrapartidelor si oricaror debitori fata de care sunt expusi administratorul si fondurile de pensii private;
    l) riscul de lichiditate - riscul ca administratorul si/sau fondurile de pensii private sa nu poata transforma intr-o perioada adecvata de timp activele in disponibilitati banesti in vederea stingerii obligatiilor;
    m) riscul operational - riscul de pierdere aferent unor procese interne inadecvate sau disfunctionale, personalului, sistemelor, proceselor si mediului extern, inclusiv riscul aferent tehnologiei informatice si de procesare inadecvata din punctul de vedere al administrarii, integritatii, infrastructurii, controlabilitatii si continuitatii, precum si riscurile aferente externalizarii activitatii;
    n) riscul de piata - riscul de pierdere rezultat direct sau indirect din fluctuatii nefavorabile ale ratelor de dobanda, ale cursului de schimb sau ale altor preturi de piata;
    o) riscul reputational - riscul de pierdere determinat de perceptia nefavorabila asupra imaginii administratorului si/sau a fondurilor de pensii private de catre participanti, potentiali participanti, contrapartide, actionari, investitori, autoritati de supraveghere si altele similare;
    p) riscul de conformitate - riscul ca administratorul sa fie sanctionat pentru nerespectarea actelor normative, a reglementarilor sale interne si a codurilor de conduita stabilite de piete sau industrie, aplicabile activitatii sale, fapt care poate cauza acestuia si/sau fondurilor de pensii private pe care le administreaza pierderi financiare ori afectarea reputatiei;
    q) riscul inerent - expunerea la un anumit risc, inainte sa fie implementate mecanisme de control si tehnici pentru diminuarea acestuia;
    r) riscul rezidual - expunerea la un anumit risc, dupa ce au fost implementate mecanisme de administrare pentru diminuarea acestuia;
    s) testul de stres - tehnica de administrare a riscului utilizata pentru a evalua prin simulare efectele potentiale ale unui anumit eveniment si/sau ale modificarii unui set de variabile asupra activitatii administratorului si a fondurilor de pensii private;
    s) toleranta la risc - marja pe care administratorul si/sau fondurile de pensii private sunt dispuse sa o accepte sau la care sunt expuse.

    CAP. II
    Activitatea de control intern

    SECTIUNEA 1
    Obiectivele activitatii de control intern

    ART. 4
    (1) Administratorul are obligatia de a constitui o structura de control intern pentru care trebuie prevazute urmatoarele elemente:
    a) rolul si responsabilitatile structurii de conducere in relatia cu structura de control intern;
    b) activitatile de control intern si separarea responsabilitatilor;
    c) informarea si comunicarea;
    d) activitatile de monitorizare si corectare a deficientelor.
    (2) Obiectivele activitatii de control intern sunt:
    a) desfasurarea acesteia in conditii de eficienta;
    b) furnizarea unor informatii corecte, credibile, relevante, complete si oportune in luarea deciziilor de catre membrii consiliului de administratie/consiliului de supraveghere sau directori/directorat, dupa caz, precum si de catre utilizatorii externi ai informatiilor;
    c) supravegherea respectarii de catre administrator si personalul acestuia a actelor normative aplicabile si a reglementarilor/normelor/procedurilor/regulilor interne;
    d) reducerea riscurilor de neindeplinire a obligatiilor de catre administrator.
    (3) Structura de control intern este subordonata direct consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz.
    (4) In vederea indeplinirii obiectivelor prevazute la alin. (2), administratorul procedeaza la:
    a) stabilirea, implementarea si mentinerea unor proceduri pentru a asigura:
    (i) securitatea, integritatea si confidentialitatea informatiilor, luand in considerare natura acestora;
    (ii) continuitatea si regularitatea prestarii serviciilor de administrare a fondurilor de pensii private;
    (iii) mecanismele corespunzatoare de control intern destinate respectarii deciziilor si procedurilor la toate nivelurile ierarhice;
    (iv) un sistem de raportare si comunicare interna la toate nivelurile ierarhice relevante;
    (v) politicile contabile, conform actelor normative aplicabile.
    b) asigurarea de personal calificat avand aptitudinile, cunostintele si experienta necesare pentru indeplinirea responsabilitatilor alocate;
    c) mentinerea de inregistrari corespunzatoare si ordonate ale activitatii administratorului;
    d) elaborarea altor proceduri, conform actelor normative aplicabile.

    SECTIUNEA a 2-a
    Rolul si responsabilitatile consiliului de administratie/consiliului de supraveghere si ale directorilor/directoratului

    ART. 5
    Consiliul de administratie/Consiliul de supraveghere are cel putin urmatoarele responsabilitati:
    a) stabilirea unor procese decizionale adecvate si separarea corecta a functiilor;
    b) aprobarea sistemului de delegare a competentelor si responsabilitatilor, astfel incat sa se evite concentrarea excesiva a deciziei la o singura persoana;
    c) verificarea modului de indeplinire a competentelor si responsabilitatilor delegate;
    d) verificarea implementarii corecte de catre directori/directorat a sistemului de control intern, conform politicilor stabilite;
    e) asigurarea ca este periodic informat despre eficacitatea sistemelor de control intern.
    ART. 6
    Directorii/Directoratul au/are cel putin urmatoarele responsabilitati:
    a) repartizarea corespunzatoare a atributiilor la toate nivelurile organizatorice, astfel incat sa nu conduca la aparitia conflictelor de interese;
    b) adoptarea, pentru personalul propriu, de reguli de conduita profesionala, de disciplina si de actiune in cazul unor potentiale conflicte de interese, care sa prevada inclusiv masuri corective adecvate in cazul in care acestea sunt incalcate;
    c) evitarea politicilor sau practicilor de remunerare care pot conduce la activitati ilegale, contrare intereselor administratorului sau fondurilor de pensii private administrate de acesta, ori care presupun asumarea unor riscuri nejustificate;
    d) stabilirea unor proceduri de comunicare ce asigura un flux corespunzator de informatii la toate nivelurile, care sa garanteze ca personalul propriu cunoaste politicile si procedurile cu implicatii asupra atributiilor si responsabilitatilor sale si ca informatiile relevante sunt primite in timp util, astfel incat sa permita:
    (i) informarea consiliului de administratie/consiliului de supraveghere cu privire la riscurile aferente activitatii administratorului si a fondurilor de pensii private;
    (ii) difuzarea informatiilor relevante intre compartimentele si structurile teritoriale ale administratorului.
    e) elaborarea unor proceduri privind tehnologia informatiei si comunicatiilor, menite sa asigure existenta si mentinerea unui sistem informatic adecvat nevoilor administratorului, corespunzator cu dimensiunea, natura si complexitatea activitatii acestuia, respectiv:
    (i) proceduri cu privire la siguranta fizica a sistemelor hardware, software si a bazelor de date;
    (ii) proceduri cu privire la siguranta datelor, inclusiv asigurarea conditiilor de securitate pentru zonele in care sunt accesate informatii cu caracter confidential;
    (iii) proceduri cu privire la limitarea accesului persoanelor neautorizate din mediul de operare, prevenirea utilizarii necorespunzatoare a informatiei de catre personalul administratorului si inregistrarea tuturor tentativelor de acces neautorizate.
    f) dezbaterea propunerilor privind revizuirea activitatii de control intern si aprobarea acestora, cel putin anual, dar nu mai tarziu de 31 mai.

    SECTIUNEA a 3-a
    Gestionarea conflictului de interese

    ART. 7
    (1) Administratorul trebuie sa ia toate masurile necesare astfel incat sa se asigure ca situatiile de conflict de interese intre acesta, inclusiv conducatori, personal, societatea-mama, grupul din care face parte sau orice persoana afiliata ori aflata in mod direct sau indirect in pozitie de control fata de acesta, si fondul de pensii private, precum si intre combinatii ale situatiilor de mai sus sunt identificate si gestionate astfel incat interesele fondului de pensii private sa nu fie afectate.
    (2) In vederea identificarii tipurilor de conflict de interese care pot aparea in cursul activitatii de administrare a portofoliului fondului de pensii private si/sau a serviciilor conexe si a caror existenta ar putea prejudicia interesele acestuia, administratorul va lua in considerare, in baza unor criterii minime stabilite la nivelul societatii, daca o persoana relevanta sau o persoana legata de aceasta in mod direct ori indirect se afla in oricare dintre urmatoarele situatii:
    a) administratorul sau acea persoana ar putea obtine un castig financiar ori ar putea evita o pierdere financiara, pe seama fondului;
    b) administratorul sau acea persoana ar putea beneficia de un stimulent financiar sau de alta natura pentru a favoriza o societate, pe seama fondului.
    ART. 8
    Administratorul trebuie sa dispuna masurile si procedurile necesare pentru a se asigura ca sunt respectate:
    a) cerinta ca personalul directiei de investitii care efectueaza activitati de analiza si alte persoane relevante sa nu se implice in tranzactii personale sau sa procedeze la influentarea ori determinarea oricaror persoane de a proceda la efectuarea de tranzactii cu instrumentele financiare supuse analizei sau cu orice instrumente financiare legate de acestea, inainte ca rezultatele acesteia sa fie utilizate de fondul de pensii;
    b) cerinta ca tranzactiile personale identificate la nivelul administratorului fondului de pensii private sa fie evidentiate intr-un registru care sa includa orice aprobare sau interdictie in legatura cu acestea;
    c) prevederile cap. V din Norma nr. 11/2011.
    ART. 9
    Procedurile intocmite in aplicarea art. 8 lit. b) trebuie sa fie concepute astfel incat sa asigure in mod distinct urmatoarele:
    a) fiecare persoana relevanta trebuie sa cunoasca restrictiile cu privire la tranzactiile personale, precum si masurile stabilite de catre administrator cu privire la acestea si la dezvaluirea informatiilor;
    b) administratorul trebuie sa fie informat de indata cu privire la orice tranzactie personala la care participa o persoana relevanta, fie in baza unei notificari cu privire la acea tranzactie, fie prin alte proceduri care permit administratorului sa identifice asemenea tranzactii.
    ART. 10
    Administratorului, personalului cu atributii de analiza financiara si persoanelor relevante implicate in analiza investitiilor le este interzis sa accepte orice fel de avantaje materiale sau de alta natura de la persoanele avand un interes material legat de subiectul acesteia.

    SECTIUNEA a 4-a
    Organizarea si desfasurarea activitatii de control intern

    ART. 11
    (1) Activitatea de control intern se desfasoara in mod independent de activitatile pe care administratorul le monitorizeaza si controleaza, astfel incat:
    a) sa evalueze in mod continuu eficacitatea si modul adecvat de punere in aplicare a masurilor si procedurilor administratorului, precum si masurile dispuse pentru rezolvarea oricaror situatii de neindeplinire a obligatiilor acestuia;
    b) sa urmareasca desfasurarea activitatii de administrare a fondului de pensii private in conditii de eficacitate.
    (2) Activitatea de control intern se exercita in baza procedurilor aprobate de catre consiliul de administratie/consiliul de supraveghere sau de catre directori/directorat, dupa caz.
    (3) Pentru a permite persoanei care conduce structura de control intern sa isi duca la indeplinire responsabilitatile in mod corect si independent, administratorul trebuie sa se asigure ca aceasta:
    a) are autoritatea, resursele si experienta necesare, precum si acces la toate informatiile relevante;
    b) are atributii aferente activitatii de control intern, precum si metode de remuneratie, astfel incat sa nu ii fie afectata obiectivitatea sau sa conduca la aceasta posibilitate;
    c) nu este implicata in desfasurarea activitatilor pe care le monitorizeaza;
    d) participa, in calitate de invitat, la sedinta consiliului de administratie/consiliului de supraveghere cel putin o data pe an, atunci cand pe ordinea de zi a acesteia este prevazuta dezbaterea raportului de activitate al structurii de control intern.
    ART. 12
    (1) Activitatea de control intern cuprinde cel putin urmatoarele:
    a) analize operative la nivelul structurilor administratorului;
    b) asigurarea ca se realizeaza controale privind modalitatea prin care administratorul gestioneaza accesul la operatiuni referitoare la activele fondului de pensii private si conturile participantilor;
    c) asigurarea ca se realizeaza verificari ale operatiunilor care depasesc anumite limite de sume de catre nivelul de conducere competent;
    d) asigurarea ca se realizeaza verificari independente, inclusiv privind separarea atributiilor, verificarea incrucisata, dublul control al activelor, semnatura dubla si altele similare;
    e) asigurarea ca se realizeaza verificari ale tranzactiilor efectuate la nivelul administratorului si la nivelul fondului de pensii private;
    f) asigurarea ca se realizeaza, de catre persoanele cu responsabilitati in acest sens, verificari cel putin semestriale, ale operatiunilor privind:
    (i) aderarea si evidenta participantilor;
    (ii) evidenta actelor individuale de aderare;
    (iii) comisionarea si convertirea contributiilor;
    (iv) evaluarea portofoliului de active financiare si calculul activului net al fondului de pensii private;
    (v) viramentele contributiilor individuale ale participantilor la fondurile de pensii private;
    (vi) decontarea tranzactiilor cu instrumente financiare;
    (vii) transferul activelor participantilor intre fondurile de pensii private;
    (viii) plata contravalorii activului personal net al participantului la un fond de pensii private in caz de invaliditate, deces si deschiderea dreptului acestuia la pensie;
    (ix) stingerea obligatiilor administratorului si fondurilor de pensii private;
    (x) mandatarea si monitorizarea agentilor de marketing ai fondului de pensii private;
    (xi) elaborarea, prezentarea, depunerea, publicarea si transmiterea catre Autoritatea de Supraveghere Financiara, denumita in continuare Autoritate, si participanti a rapoartelor/informarilor prevazute de actele normative aplicabile.
    g) asigurarea ca se realizeaza verificarea corectitudinii datelor si raportarilor administratorului si ale fondurilor de pensii private;
    h) asigurarea ca se realizeaza verificarea si semnarea tuturor documentelor transmise de catre administrator Autoritatii.
    (2) Activitatea de control intern este implementata pentru fiecare nivel organizatoric al administratorului si se exercita in functie de dimensiunea, natura si complexitatea acestuia.
    (3) Activitatea de control intern se constituie ca parte integranta a activitatii zilnice a administratorului.
    (4) Este interzisa externalizarea activitatii de control intern de catre administrator.

    SECTIUNEA a 5-a
    Activitatea persoanei care conduce structura de control intern

    ART. 13
    Persoana care conduce structura de control intern este autorizata individual de catre Autoritate inainte de inceperea exercitarii atributiilor, in conformitate cu prevederile Normei nr. 12/2010 si ale Normei nr. 13/2010.
    ART. 14
    Persoana care conduce structura de control intern are urmatoarele atributii:
    a) elaborarea planului anual de control intern, care trebuie aprobat de consiliul de administratie/consiliul de supraveghere sau de catre directori/directorat, dupa caz;
    b) monitorizarea si verificarea cu regularitate a aplicarii corespunzatoare a prevederilor actelor normative specifice activitatii de administrare a fondurilor de pensii private si a procedurilor interne, tinand evidenta neregulilor descoperite;
    c) depunerea tuturor diligentelor pentru a preveni orice situatie de incalcare a prevederilor actelor normative aplicabile sau a procedurilor interne ale administratorului si formularea propunerilor de masuri pentru remedierea oricarei situatii de neconformitate;
    d) raportarea catre consiliul de administratie/consiliul de supraveghere sau catre directori/directorat, dupa caz, a situatiilor de incalcare a actelor normative aplicabile sau a procedurilor interne;
    e) asigurarea ca se verifica conformitatea sistemului informatic cu prevederile actelor normative aplicabile si cu procedurile interne ale administratorului;
    f) asigurarea ca se tine evidenta tuturor reclamatiilor primite de catre administrator si a modului de solutionare a acestora, prin intermediul Registrului reclamatiilor, care trebuie sa contina cel putin urmatoarele informatii:
    (i) numarul si data reclamatiei din registrul de intrari/iesiri;
    (ii) datele de identificare ale reclamantului;
    (iii) activitatea la care se refera reclamatia;
    (iv) datele de identificare ale persoanelor la adresa carora s-a formulat reclamatia, dupa caz;
    (v) faptele reclamate;
    (vi) prejudiciul reclamat;
    (vii) numarul si data inregistrarii din registrul de intrari/iesiri a raspunsului catre reclamant si modul de solutionare a reclamatiei.
    g) asigurarea ca sunt indeplinite obligatiile de raportare, conform actelor normative aplicabile;
    h) avizarea conformitatii materialelor publicitare cu prevederile actelor normative aplicabile;
    i) urmarirea ducerii la indeplinire de catre administrator a solicitarilor formulate de persoanele imputernicite de catre Autoritate in efectuarea controlului activitatii administratorului si/sau fondurilor de pensii private si a masurilor dispuse de catre Autoritate.
    ART. 15
    In cel mai scurt timp posibil, dar nu mai tarziu de 30 de zile calendaristice de la identificarea unor deficiente, in functie de dimensiunea, natura si complexitatea acestora, consiliul de administratie/consiliul de supraveghere sau directorii/directoratul, dupa caz, trebuie sa dispuna elaborarea si implementarea unui plan de masuri de remediere.
    ART. 16
    Persoanei care conduce structura de control intern ii este interzis sa utilizeze informatiile la care are acces in orice mod contrar prevederilor legale sau in detrimentul obiectivelor administratorului si ale fondurilor de pensii private ori pentru obtinerea unor avantaje personale.
    ART. 17
    (1) In exercitarea atributiilor prevazute la art. 14, persoana care conduce structura de control intern are obligatia de a intocmi semestrial un raport de control intern.
    (2) Raportul prevazut la alin. (1) trebuie sa cuprinda cel putin urmatoarele elemente:
    a) lista tuturor activitatilor desfasurate de administrator in nume propriu si/sau in numele fondurilor de pensii private si supuse controlului;
    b) durata fiecarei activitati si perioada la care se refera;
    c) descrierea activitatilor de control intern efectuate, respectiv descrierea procedurii de control intern aplicata, persoanele care au elaborat procedurile si au verificat documentele, precum si conformitatea activitatilor desfasurate de catre administrator in nume propriu si/sau in numele fondurilor de pensii private, cu prevederile actelor normative aplicabile;
    d) deficientele identificate si masurile recomandate pentru remedierea acestora;
    e) deciziile adoptate de catre persoanele abilitate sa ia masuri de remediere;
    f) situatia privind implementarea masurilor pentru remedierea deficientelor identificate, separat pentru deficientele curente si pentru cele identificate prin rapoartele de control intern anterioare;
    g) termenele de implementare a masurilor.
    (3) Raportul prevazut la alin. (1) este aprobat de consiliul de administratie/consiliul de supraveghere sau de catre directori/directorat, dupa caz, si se transmite Autoritatii, in conformitate cu prevederile Normei nr. 10/2010 si ale Normei nr. 11/2010.
    ART. 18
    (1) In exercitarea atributiilor si responsabilitatilor sale, persoana care conduce structura de control intern are obligatia de a intocmi si de a gestiona:
    a) registrul de control intern;
    b) registrul tranzactiilor personale;
    c) registrul conflictelor de interese.
    (2) Registrele mentionate la alin. (1) se pastreaza pe suport hartie sau in format electronic.
    ART. 19
    (1) Registrul de control intern cuprinde cel putin informatii referitoare la:
    a) verificarile si investigatiile efectuate;
    b) persoanele care au efectuat verificarile si investigatiile;
    c) durata verificarilor si investigatiilor, precum si perioada la care acestea se refera;
    d) rezultatul verificarilor si investigatiilor;
    e) propunerile inaintate in scris consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz, si data cand au fost formulate;
    f) masurile de remediere si termenele de realizare asumate de persoanele abilitate.
    (2) Persoana care conduce structura de control intern are obligatia inscrierii tuturor investigatiilor efectuate in registrul prevazut la alin. (1), in ordine cronologica.
    Art. 20
    (1) Registrul tranzactiilor personale cuprinde toate tranzactiile persoanelor relevante.
    (2) Registrul prevazut la alin. (1) trebuie sa contina cel putin urmatoarele informatii:
    a) numele si prenumele persoanei relevante;
    b) data si ora tranzactiei;
    c) natura tranzactiei, respectiv vanzare sau cumparare, dupa caz;
    d) instrumentul financiar tranzactionat;
    e) intermediarul;
    f) orice aprobare sau interdictie a tranzactiei, dupa caz.
    (3) In analiza tranzactiilor personale, persoana care conduce structura de control intern trebuie sa verifice respectarea prevederilor art. 7-10.
    ART. 21
    (1) Registrul conflictelor de interese contine cel putin urmatoarele informatii:
    a) data completarii;
    b) activitatea identificata/suspecta ca a condus/ar putea conduce la un conflict de interese;
    c) persoanele implicate;
    d) posibilele efecte;
    e) propuneri transmise in scris consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz;
    f) modul de gestionare a conflictului de interese.
    (2) In analiza potentialelor conflicte de interese, persoana care conduce structura de control intern acorda o atentie sporita tranzactiilor care implica persoane relevante, persoane afiliate sau persoane care actioneaza in mod concertat.
    ART. 22
    Persoana care conduce structura de control intern este subordonata direct consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz.

    CAP. III
    Activitatea de audit intern

    SECTIUNEA 1
    Obiectivele activitatii de audit intern

    ART. 23
    (1) Administratorul are obligatia de a constitui o structura de audit intern.
    (2) Activitatea de audit intern este organizata cu respectarea prevederilor Ordonantei de urgenta a Guvernului nr. 75/1999 privind activitatea de audit financiar, republicata, cu modificarile si completarile ulterioare, denumita in continuare Ordonanta de urgenta a Guvernului nr. 75/1999.
    (3) Obiectivele auditului intern sunt:
    a) asigurarea ca politicile si procedurile administratorului sunt respectate in cadrul tuturor activitatilor si structurilor;
    b) revizuirea politicilor, procedurilor, proceselor si mecanismelor de control, astfel incat acestea sa fie suficiente si adecvate activitatii desfasurate.
    (4) Structura de audit intern este subordonata direct consiliului de administratie/consiliului de supraveghere.
    (5) Nu pot fi auditori interni persoanele care sunt soti, rude sau afini pana la gradul al patrulea inclusiv cu membrii organelor de conducere ale administratorului.
    (6) In vederea evitarii oricarui conflict de interese, auditorii interni:
    a) nu pot audita activitati sau functii desfasurate si, respectiv, detinute decat dupa trecerea unei perioade de cel putin un an de la exercitarea acestora;
    b) nu pot fi angrenati in operatiuni ale administratorilor/fondurilor de pensii private ori in proiectarea sau implementarea oricaror proceduri de control aplicabile administratorului/fondului de pensii private.
    ART. 24
    (1) Auditul intern trebuie sa acopere ansamblul activitatilor desfasurate de administrator in nume propriu si in numele fondului si/sau fondurilor de pensii private pe care le administreaza.
    (2) In vederea indeplinirii obiectivelor, activitatea de audit intern include cel putin urmatoarele:
    a) evaluarea eficientei si a gradului de adecvare a activitatii de control intern, de administrare a riscurilor, de administrare a investitiilor si activitatii de marketing;
    b) analizarea relevantei si integritatii datelor furnizate de sistemele informatice;
    c) evaluarea acuratetei si credibilitatii inregistrarilor contabile si situatiilor financiare;
    d) evaluarea modului in care se asigura protejarea elementelor patrimoniale bilantiere si extrabilantiere si identificarea metodelor de prevenire a fraudelor si a pierderilor de orice fel.
    (3) Activitatea de audit intern trebuie sa fie obiectiva si independenta fata de activitatile auditate.

    SECTIUNEA a 2-a
    Rolul si responsabilitatile consiliului de administratie/consiliului de supraveghere

    ART. 25
    (1) Consiliul de administratie/Consiliul de supraveghere este responsabil pentru asigurarea unei activitati de audit intern adecvate, corespunzatoare dimensiunii si naturii operatiunilor desfasurate.
    (2) Consiliul de administratie/Consiliul de supraveghere are cel putin urmatoarele responsabilitati:
    a) sa aprobe procedurile interne aplicabile comitetului de audit si structurii de audit intern;
    b) sa aprobe planul de audit anual;
    c) sa se asigure ca este informat despre planul de masuri rezultat in urma recomandarilor formulate de structura de audit intern;
    d) sa se asigure ca este informat periodic cu privire la stadiul implementarii planului de masuri si, dupa caz, sa dispuna masuri suplimentare cand acestea se impun.

    SECTIUNEA a 3-a
    Organizarea si desfasurarea activitatii de audit intern

    ART. 26
    (1) Activitatea de audit intern cuprinde cel putin urmatoarele etape:
    a) planificarea activitatii de audit intern;
    b) examinarea si evaluarea informatiilor avute la dispozitie;
    c) comunicarea raportului de audit intern, a planului de masuri, precum si a stadiului implementarii acestora catre consiliul de administratie/consiliul de supraveghere si/sau comitetul de audit, dupa caz;
    d) monitorizarea implementarii recomandarilor dispuse de consiliul de administratie/consiliul de supraveghere, dupa caz.
    (2) Este interzisa externalizarea activitatii de audit intern de catre administrator.
    ART. 27
    Administratorul elaboreaza procedurile interne, care trebuie sa contina cel putin urmatoarele:
    a) obiectivele activitatii de audit intern si sfera de cuprindere a acesteia;
    b) competentele si responsabilitatile structurii de audit intern in cadrul societatii;
    c) atributiile si responsabilitatile persoanei care conduce structura de audit intern;
    d) termenii si conditiile in care auditorii interni pot furniza servicii de consultanta sau pot indeplini alte sarcini speciale;
    e) modalitatea de analiza si revizuire.

    SECTIUNEA a 4-a
    Activitatea persoanei care conduce structura de audit intern

    ART. 28
    (1) Administratorul trebuie sa desemneze persoana care conduce structura de audit intern.
    (2) Persoana prevazuta la alin. (1) trebuie sa respecte prevederile Ordonantei de urgenta a Guvernului nr. 75/1999.
    (3) Inainte de inceperea exercitarii atributiilor de catre persoana prevazuta la alin. (1), administratorul notifica Autoritatii numele acesteia.
    ART. 29
    Auditorii interni trebuie sa fie prudenti in utilizarea informatiilor colectate in exercitarea activitatii si sa asigure protejarea acestor informatii.
    ART. 30
    Personalului implicat in activitatea de audit intern nu trebuie sa ii fie incredintate responsabilitati operative.
    ART. 31
    (1) Este interzisa auditorilor interni:
    a) utilizarea informatiilor colectate in orice mod contrar prevederilor legale sau in detrimentul obiectivelor administratorului ori pentru obtinerea unor avantaje personale;
    b) evaluarea operatiunilor de care au fost responsabili anterior exercitarii activitatii de audit intern.
    (2) Administratorul este obligat sa intreprinda masuri pentru a asigura auditarea corespunzatoare a operatiunilor prevazute la alin. (1) lit. b).
    ART. 32
    (1) Persoana care conduce structura de audit intern are urmatoarele atributii:
    a) stabilirea, implementarea si mentinerea unui plan de audit intern anual care sa asigure evaluarea si sa determine eficacitatea si caracterul adecvat al activitatii de administrare a riscurilor, al activitatii de control intern, de administrare a investitiilor si al activitatii de marketing, al mecanismelor si procedurilor administratorului, precum si stabilirea necesarului de resurse aferent acestei activitati;
    b) emiterea de recomandari bazate pe rezultatul activitatii desfasurate conform prevederilor lit. a);
    c) raportarea deficientelor constatate ca rezultat al activitatii de audit intern catre consiliul de administratie/consiliul de supraveghere;
    d) analizarea procedurilor administratorului si testarea eficacitatii sistemelor de control intern si de administrare a riscurilor referitoare la procesele auditate cu ocazia misiunilor intreprinse;
    e) asigurarea respectarii prevederilor legale, conform actelor normative aplicabile, referitor la procesele auditate cu ocazia misiunilor intreprinse.
    (2) Planul de audit intern prevazut la alin. (1) lit. a) trebuie sa indeplineasca urmatoarele conditii:
    a) sa defineasca obiectivele, termenele si frecventa misiunilor de audit intern, precum si informatiile privind ansamblul activitatilor care se vor desfasura, resursele umane si materiale necesare;
    b) sa cuprinda ansamblul operatiunilor, activitatilor si proceselor, tinand cont de riscurile si de organizarea diferitelor activitati ale administratorului.
    (3) Planul de audit intern este supus aprobarii consiliului de administratie/consiliului de supraveghere, conform prevederilor actelor normative aplicabile.
    (4) Fiecare misiune a planului de audit intern este executata pe baza documentelor specifice activitatii de audit care detaliaza activitatile desfasurate, tehnicile si metodele de lucru, precum si etapele misiunii.
    (5) In aplicarea prevederilor alin. (4), documentele trebuie sa permita revizuirea misiunilor de audit efectuate, a deficientelor descoperite si a concluziilor.
    (6) Documentele prevazute la alin. (4) trebuie pastrate pentru o perioada de 10 ani si puse la dispozitia auditorilor externi si a comitetului de audit.
    (7) Planul de audit intern prevazut la alin. (1) lit. a) se transmite Autoritatii in conformitate cu prevederile Normei nr. 10/2010 si ale Normei nr. 11/2010.
    ART. 33
    (1) Fiecare misiune de audit intern face obiectul unui raport de audit intern care este prezentat consiliului de administratie/consiliului de supraveghere.
    (2) Raportul prevazut la alin. (1) trebuie sa fie obiectiv, clar, concis, oportun si sa contina recomandari pentru remedierea deficientelor identificate in perioada auditata.
    (3) Raportul prevazut la alin. (1) trebuie sa cuprinda cel putin urmatoarele elemente:
    a) perioada supusa auditarii interne;
    b) lista activitatilor desfasurate de catre structura de audit intern aferente perioadei auditate;
    c) descrierea principalelor activitati desfasurate;
    d) persoanele responsabile pentru efectuarea respectivelor activitati;
    e) deficientele identificate si recomandarile structurii de audit intern pentru remedierea acestora;
    f) situatia privind planul de masuri pentru solutionarea deficientelor identificate, separat pentru deficientele curente si cele identificate prin rapoartele de audit intern anterioare, in cazul in care acestea din urma nu au fost solutionate corespunzator.
    (4) Raportul prevazut la alin. (1) este transmis si comitetului de audit.
    ART. 34
    Persoana care conduce structura de audit intern are obligatia de a intocmi un raport privind misiunile de audit intern desfasurate, care se transmite Autoritatii in conformitate cu prevederile Normei nr. 10/2010 si ale Normei nr. 11/2010.
    ART. 35
    Auditorii interni au acces la orice date sau inregistrari, precum si la documente si informatii relevante necesare indeplinirii atributiilor care le revin.
    ART. 36
    In indeplinirea atributiilor care ii revin, persoana care conduce structura de audit intern urmareste modul de implementare a recomandarilor formulate in raportul de audit intern si raporteaza in acest sens, cel putin semestrial, consiliului de administratie/consiliului de supraveghere si comitetului de audit, dupa caz.

    CAP. IV
    Activitatea de administrare a riscurilor

    SECTIUNEA 1
    Obiectivele activitatii de administrare a riscurilor

    ART. 37
    (1) Administratorul are obligatia de a constitui o structura de administrare a riscurilor.
    (2) Obiectivele activitatii de administrare a riscurilor sunt identificarea, analizarea, evaluarea, diminuarea, monitorizarea si raportarea riscurilor la care sunt expuse fondurile de pensii private si administratorul, cu luarea in considerare atat a factorilor interni, cat si a factorilor externi.
    (3) Structura de administrare a riscurilor este subordonata direct consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz.
    (4) Activitatea de administrare a riscurilor trebuie sa se realizeze cu luarea in considerare a:
    a) factorilor interni, precum complexitatea structurii organizatorice, natura si dimensiunea activitatilor desfasurate, calitatea personalului, fluctuatia acestuia si altele similare;
    b) factorilor externi, precum conditiile economice, modificarile cadrului legislativ si altele similare.
    (5) In procesul de administrare a riscurilor trebuie identificate:
    a) riscurile controlabile, in cazul carora administratorul stabileste daca si le asuma integral sau masura in care doreste sa le diminueze;
    b) riscurile necontrolabile, in cazul carora administratorul decide daca le accepta sau daca elimina ori reduce nivelul activitatilor afectate de riscurile respective, dupa caz.
    (6) Evaluarea riscurilor se efectueaza atat in conditii normale, cat si in conditiile unor scenarii alternative, inclusiv pentru conditii de criza.
    (7) Pentru riscurile identificate, administratorul efectueaza analize cantitative si/sau calitative, utilizand teste de stres, dupa caz.
    (8) Administratorul determina riscurile care trebuie sa fie supuse unor teste de stres adecvate si proportionale, avand in vedere o analiza a naturii si structurii portofoliilor, precum si a mediului in care administratorul si fondurile de pensii private isi desfasoara activitatea.
    (9) Testele de stres sunt elaborate si actualizate periodic in concordanta cu natura, dimensiunea si complexitatea activitatii de administrare a fondurilor de pensii private si trebuie sa aiba o frecventa specifica tipului de risc, evolutiei activitatii administratorului si contextului de piata.
    (10) Rezultatele testelor de stres sunt facute cunoscute consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz, in scopul de a oferi fundamentare pentru revizuirea si imbunatatirea politicii de administrare a riscurilor si a limitelor de expunere fixate, inclusiv pentru adoptarea de masuri adecvate daca rezultatele testelor indica o vulnerabilitate semnificativa.

    SECTIUNEA a 2-a
    Rolul si responsabilitatile consiliului de administratie/consiliului de supraveghere si directorilor/directoratului

    ART. 38
    Consiliul de administratie/Consiliul de supraveghere are cel putin urmatoarele responsabilitati:
    a) aprobarea politicii de administrare a riscurilor la care sunt expuse fondurile de pensii private si administratorul;
    b) aprobarea profilului de risc al fondurilor de pensii private si al administratorului si asigurarea ca acesta este revizuit si actualizat periodic;
    c) asigurarea ca directorii/directoratul iau/ia masurile necesare pentru identificarea, evaluarea, diminuarea, monitorizarea si raportarea riscurilor;
    d) luarea la cunostinta a continutului raportului de risc si aprobarea masurilor prevazute la lit. c), in cazul in care implementarea acestora depaseste competenta directorilor/directoratului.
    ART. 39
    Directorii/Directoratul au/are cel putin urmatoarele responsabilitati:
    a) implementarea politicii de administrare a riscurilor la care sunt expuse fondurile de pensii private si revizuirea acesteia cel putin anual sau de cate ori este necesar;
    b) asigurarea si alocarea resurselor necesare indeplinirii atributiilor structurii de administrare a riscurilor, inclusiv personal cu experienta si calificare corespunzatoare, sisteme de date, si acces la informatii interne si externe;
    c) stabilirea clara a atributiilor si responsabilitatilor structurii de administrare a riscurilor si a liniilor de raportare, astfel incat sa se respecte principiul de separare a atributiilor incompatibile si sa implementeze mecanisme transparente pentru solutionarea conflictelor de interese;
    d) adoptarea de proceduri de autorizare a operatiunilor supuse riscurilor asumate, dupa caz;
    e) asigurarea implementarii unor sisteme de stabilire a limitelor expunerii la risc si de monitorizare a acestora, precum si a nivelurilor de competenta decizionala;
    f) asigurarea implementarii unui sistem de raportare a expunerilor la riscuri catre nivelurile de conducere corespunzatoare;
    g) asigurarea evaluarii, monitorizarii si revizuirii periodice a masurilor adoptate pentru remedierea deficientelor aparute in derularea procesului de administrare a riscurilor;
    h) asigurarea ca sunt identificate procesele operationale critice, pentru care reluarea rapida a activitatii este esentiala, inclusiv acele procese care depind de furnizori externi sau terte parti.

    SECTIUNEA a 3-a
    Organizarea si desfasurarea activitatii de administrare a riscurilor

    ART. 40
    (1) Administrarea riscurilor se desfasoara in mod independent fata de celelalte activitati pe care administratorul le efectueaza.
    (2) Persoanele care desfasoara activitati de administrare a riscurilor trebuie sa dispuna de experienta necesara in procesul de identificare, evaluare, diminuare, monitorizare si raportare a riscurilor, acestea exercitand inclusiv atributiile de elaborare si monitorizare a modelelor de evaluare a riscurilor, precum si a scenariilor privind testele de stres.
    ART. 41
    (1) Activitatea de administrare a riscurilor include cel putin stabilirea, implementarea si actualizarea unor politici, proceduri, procese, tehnici si masuri adecvate pentru identificarea, analizarea, evaluarea, diminuarea, monitorizarea si raportarea riscurilor la care sunt expuse fondurile de pensii private si administratorul.
    (2) Este interzisa externalizarea activitatii de administrare a riscurilor de catre administrator.
    ART. 42
    (1) Administratorul trebuie sa stabileasca, sa implementeze si sa actualizeze o politica de administrare a riscurilor, adecvata si documentata care identifica, evalueaza, diminueaza, monitorizeaza si raporteaza riscurile la care sunt sau ar putea fi expusi administratorul si fondurile de pensii private, cu respectarea actelor normative aplicabile.
    (2) Politica de administrare a riscurilor constituie obiectul unui document separat sau este inclusa in procedurile interne ale administratorului, in conditiile in care permite o identificare clara a atributiilor, responsabilitatilor si operatiunilor din cadrul acesteia.
    (3) Politica prevazuta la alin. (1) trebuie sa asigure cel putin urmatoarele:
    a) tehnicile, instrumentele si metodele care permit administratorului sa isi indeplineasca obligatiile conform prevederilor actelor normative aplicabile;
    b) alocarea corespunzatoare a responsabilitatilor privind activitatea de administrare a riscurilor;
    c) persoanele responsabile si nivelul de raspundere;
    d) un sistem de raportare a expunerilor la riscuri, precum si a altor aspecte legate de riscuri;
    e) stabilirea interactiunii dintre structura de administrare a riscurilor si structura de administrare a investitiilor, cu pastrarea independentei acestora, inclusiv nivelul de la care deciziile privind activitatea de investire/dezinvestire trebuie sa fie insotite de opinia/recomandarea formulata de structura de administrare a riscurilor;
    f) conditiile, continutul, frecventa si destinatarul rapoartelor structurii de administrare a riscurilor.
    (4) Politica prevazuta la alin. (1) trebuie:
    a) sa contina informatii privind identificarea, analizarea, evaluarea, diminuarea, monitorizarea si raportarea cel putin a urmatoarelor riscuri:
    (i) riscul actuarial;
    (ii) riscul de piata/investitiei;
    (iii) riscul de credit;
    (iv) riscul de concentrare;
    (v) riscul de lichiditate;
    (vi) riscul operational, inclusiv riscul generat de utilizarea sistemelor informatice;
    (vii) riscul reputational;
    (viii) riscul de conformitate.
    b) sa masoare impactul si probabilitatea de materializare a riscului, in cazul in care este posibil, si sa evalueze expunerea la riscul respectiv;
    c) sa evalueze cantitativ sau sa interpreteze calitativ riscul inerent, masurile de diminuare a acestuia si ulterior sa determine riscul rezidual;
    d) sa stabileasca toleranta la risc si sa monitorizeze incadrarea in limitele acesteia;
    e) sa stabileasca daca limitele nu pot fi in nicio situatie depasite sau daca, in conditii clar specificate, depasirea acestora poate fi tolerata pentru o anumita perioada de timp;
    f) sa includa metodologii de evaluare a riscului de conformitate prin utilizarea unor indicatori, fara a se limita la numarul de reclamatii ale participantilor, rapiditatea in remedierea deficientelor constatate, activitati atipice privind tranzactionarea sau platile efectuate.
    Art. 43
    (1) Administratorul trebuie sa aiba planuri de reluare a activitatii pentru situatii neprevazute, care sa ia in considerare diferite tipuri de scenarii verosimile la care acesta poate fi expus, proportional cu dimensiunea, natura si complexitatea activitatii desfasurate.
    (2) Planurile prevazute la alin. (1) trebuie:
    a) sa permita administratorului sa functioneze conform principiului continuitatii activitatii si sa minimizeze pierderile, in eventualitatea unei intreruperi a activitatii;
    b) testate cel putin anual, pentru a asigura posibilitatea punerii in aplicare a acestora de catre administrator, in cazul in care activitatea este afectata.
    (3) Planurile prevazute la alin. (1) pot fi elaborate separat sau incadrate in politica de administrare a riscurilor.
    Art. 44
    (1) Administratorul trebuie sa adopte masuri si sa implementeze procese si tehnici adecvate si eficiente pentru administrarea in orice moment a riscurilor la care sunt sau ar putea fi expuse fondurile de pensii private si administratorul.
    (2) Procesele si tehnicile prevazute la alin. (1) trebuie sa fie proportionale cu dimensiunea, natura si complexitatea activitatii administratorului, a fondurilor de pensii private pe care acesta le administreaza si cu profilul de risc al fiecaruia dintre acestea.
    (3) Procesele si tehnicile prevazute la alin. (1) trebuie sa se refere la administrator si la fiecare fond de pensii private pe care acesta il administreaza si sa aiba in vedere impactul asupra fondului de pensii private si impactul asupra administratorului.
    (4) In aplicarea prevederilor alin. (1) si (2), pentru fiecare fond de pensii private, administratorul trebuie:
    a) sa se asigure ca riscurile aferente pozitiilor si contributia acestora la profilul de risc agregat sunt corect masurate;
    b) sa examineze periodic valabilitatea metodelor de masurare a riscurilor care includ prognoze si estimari bazate pe modele;
    c) sa efectueze teste de stres si analize periodice ale scenariilor pentru a aborda riscurile care decurg din posibilele modificari ale conditiilor de piata care pot afecta negativ fondurile de pensii private si administratorul;
    d) sa utilizeze date adecvate, documentate corespunzator si reprezentative;
    e) sa asigure adecvarea sistemelor informatice in conformitate cu actele normative aplicabile si cerintele categoriei de risc corespunzatoare, inclusiv sa dispuna de resursele informatice corespunzatoare complexitatii tehnicilor utilizate pentru efectuarea testelor de stres;
    f) sa verifice, cel putin o data pe an, daca testele de stres mai sunt corespunzatoare si, in mod special, daca ipotezele privind profilul de risc si mediul in care isi desfasoara activitatea raman valabile in timp;
    g) sa stabileasca, sa implementeze si sa mentina un sistem documentat de limite interne in ceea ce priveste masurile utilizate pentru administrarea si controlul riscurilor pentru fiecare fond de pensii private, asigurand coerenta cu profilul de risc al acestora;
    h) sa se asigure ca nivelul curent al riscurilor la data efectuarii reevaluarii respecta sistemul de limite prevazut la lit. g) pentru fiecare fond de pensii private;
    i) sa stabileasca, sa implementeze si sa mentina proceduri adecvate care, in eventualitatea unor incalcari reale sau anticipate ale sistemului de limite de risc al fiecarui fond de pensii private, sa permita adoptarea unor masuri rapide de remediere in interesul participantilor/beneficiarilor.

    SECTIUNEA a 4-a
    Atributiile persoanei care conduce structura de administrare a riscurilor

    ART. 45
    (1) Persoana care conduce structura de administrare a riscurilor trebuie sa fie autorizata individual de catre Autoritate inainte de inceperea exercitarii atributiilor, conform prevederilor Normei nr. 12/2010 si Normei nr. 13/2010.
    (2) Persoanele care asigura administrarea riscurilor nu pot avea sarcini de serviciu in cadrul departamentului de investitii al administratorului.
    ART. 46
    Persoana care conduce structura de administrare a riscurilor are urmatoarele atributii de coordonare:
    a) elaborarea de politici si proceduri adecvate pentru identificarea, evaluarea, masurarea, controlul si gestionarea riscurilor, precum si propunerea spre aprobare consiliului de administratie/consiliului de supraveghere a limitelor corespunzatoare privind expunerea la riscuri inclusiv pentru conditii de criza, in conformitate cu marimea, complexitatea si situatia financiara a fondului de pensii private, precum si a procedurilor necesare pentru aprobarea exceptiilor de la respectivele limite;
    b) stabilirea de procese, tehnici si modele adecvate pentru evaluarea riscurilor si limitarea expunerilor la riscuri;
    c) monitorizarea incadrarii fondurilor de pensii private si a administratorului in sistemul de limite de risc;
    d) informarea consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz, asupra expunerilor fondurilor de pensii private la riscuri ori de cate ori intervin schimbari semnificative, dar cel putin trimestrial. Informarile trebuie sa fie suficient de detaliate, astfel incat sa permita consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz, sa cunoasca si sa evalueze performanta in monitorizarea si controlul riscurilor, potrivit politicilor aprobate;
    e) informarea consiliului de administratie/consiliului de supraveghere sau directorilor/directoratului, dupa caz, asupra problemelor si evolutiilor semnificative care ar putea influenta profilul de risc al fondului de pensii private pe care il administreaza;
    f) analizarea modului in care planurile alternative de care dispune administratorul corespund situatiilor neprevazute cu care acesta s-ar putea confrunta;
    g) stabilirea sistemelor de raportare in cadrul administratorului privind aspecte legate de riscuri;
    h) administrarea riscurilor asociate administratorului si/sau fondurilor de pensii private, precum si colectarea si evaluarea datelor privind riscurile din punct de vedere cantitativ si/sau calitativ, prin adoptarea unor metodologii/instrumente adecvate de masurare/administrare a expunerilor la riscuri, in conformitate cu natura, dimensiunea si complexitatea riscurilor respective;
    i) analizarea riscurilor aferente unor decizii de investire/dezinvestire;
    j) elaborarea si actualizarea scenariilor privind testele de stres si propunerea de masuri corective, dupa caz;
    k) intocmirea de propuneri privind selectarea testelor de stres si a metodelor de verificare si validare a acestora.
    ART. 47
    (1) Persoana care conduce structura de administrare a riscurilor are obligatia de a intocmi semestrial un raport de risc.
    (2) Raportul mentionat la alin. (1) trebuie sa cuprinda cel putin urmatoarele elemente:
    a) evolutia, analiza detaliata si interpretarea tuturor indicatorilor de risc sau limitelor monitorizate conform procedurilor interne, pe fiecare clasa de risc;
    b) rezultatele testelor de stres, interpretarea acestora si propuneri de masuri corective, dupa caz;
    c) sumarul abaterilor identificate si a masurilor de remediere implementate;
    d) descrierea detaliata a abaterilor semnificative din perioada analizata.
    (3) Raportul prevazut la alin. (1) aprobat de consiliul de administratie/consiliul de supraveghere se transmite Autoritatii, in conformitate cu prevederile Normei nr. 10/2010 si ale Normei nr. 11/2010.

    CAP. V
    Raspunderea juridica

    ART. 48
    (1) Constituie contraventii urmatoarele fapte, daca nu au fost savarsite in astfel de conditii incat, potrivit legii penale, sa fie considerate infractiuni:
    a) neexecutarea sau executarea necorespunzatoare a obligatiilor administratorului in legatura cu organizarea activitatilor de control intern, audit intern si de administrare a riscurilor;
    b) nerespectarea de catre administrator a prevederilor art. 4-6, art. 11 alin. (1) si art. 15;
    c) nerespectarea de catre administrator a obligatiilor prevazute la art. 7-10 referitoare la gestionarea conflictului de interese;
    d) nerespectarea de catre persoana care conduce structura de control intern a prevederilor art. 14, 17 si art. 18 alin. (1);
    e) nerespectarea de catre administrator a prevederilor art. 23-26, art. 28 alin. (1), art. 30 si 35 referitoare la auditul intern;
    f) nerespectarea de catre persoana care conduce structura de audit intern a prevederilor art. 32 alin. (1), art. 33 si 34;
    g) nerespectarea de catre administrator a prevederilor art. 37-40 si art. 42-45 referitoare la activitatea de administrare a riscurilor;
    h) nerespectarea de catre persoana care conduce structura de administrare a riscurilor a prevederilor art. 46 si 47;
    i) nerespectarea de catre administrator a obligatiilor prevazute la art. 49.
    (2) Savarsirea vreuneia din faptele prevazute la alin. (1) se sanctioneaza conform prevederilor art. 140 alin. (1), art. 141 alin. (1) lit. g), art. 141 alin. (2)-(11) si art. 142 din Legea nr. 411/2004 si ale art. 120 alin. (1), art. 121 alin. (1) lit. k) si alin. (2)-(11) si art. 122 din Legea nr. 204/2006.
    (3) Daca fapta este imputabila mai multor persoane, acestea raspund solidar la repararea prejudiciului cauzat.

    CAP. VI
    Dispozitii tranzitorii si finale

    ART. 49
    (1) In termen de 6 luni de la data intrarii in vigoare a prezentei norme, administratorul are obligatia sa elaboreze sau sa revizuiasca, dupa caz, documentele privind politica de administrare a riscului si/sau procedurile interne referitoare la activitatile de control intern, audit intern si de administrare a riscurilor, in conformitate cu prevederile prezentei norme, si sa le notifice Autoritatii.
    (2) Documentele prevazute la alin. (1) se elaboreaza in limba romana si sunt aprobate de catre consiliul de administratie/consiliul de supraveghere sau directori/directorat, dupa caz.
    (3) Orice modificare ulterioara a documentelor mentionate la alin. (1) se notifica Autoritatii in termen de 30 de zile calendaristice de la aprobarea acesteia de catre consiliul de administratie/consiliul de supraveghere sau directori/directorat, dupa caz.
    ART. 50
    Termenele prevazute de prezenta norma care expira intr-o zi de sarbatoare legala sau intr-o zi nelucratoare se prelungesc pana la sfarsitul urmatoarei zile lucratoare.
    ART. 51
    In aplicarea art. 44 alin. (4) lit. e), pentru adecvarea sistemelor informatice, incadrarea in categoria de risc va fi evaluata periodic de catre Autoritate si va fi stabilita individual pentru fiecare administrator de fonduri de pensii private.
    ART. 52
    Prezenta norma intra in vigoare la data publicarii acesteia in Monitorul Oficial al Romaniei, Partea I.
    ART. 53
    La data intrarii in vigoare a prezentei norme se abroga art. 7-9 si 23 din Norma nr. 11/2011 privind investirea si evaluarea activelor fondurilor de pensii private, aprobata prin Hotararea Comisiei de Supraveghere a Sistemului de Pensii Private nr. 22/2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 8 din 5 ianuarie 2012, cu modificarile si completarile ulterioare, precum si orice alte dispozitii contrare.


         Prim-vicepresedintele Autoritatii de Supraveghere Financiara,
                                 Daniel Daianu

    Bucuresti, 17 martie 2014.
    Nr. 3.

                                     ------

de Legislatia Muncii