Act legislativ


 


Banca Naţională a României
Normă nr. 17 din 18.dec.2003
Monitorul Oficial, Partea I 47 20.ian.2004
Intrare în vigoare la 20.ian.2004
privind organizarea şi controlul intern al activităţii instituţiilor de credit şi administrarea riscurilor semnificative, precum şi organizarea şi desfăşurarea activităţii de audit intern a instituţiilor de credit

   Având în vedere prevederile art. 26 alin. (2) lit. a) din Legea nr. 101/1998 privind Statutul Băncii Naţionale a României, cu modificările şi completările ulterioare, ale art. 24 alin. 1 lit. d) şi f), art. 38 alin. 1 şi 2, art. 45 alin. 1 lit. g), art. 66, art. 833 alin. 3 şi ale art. 836 din Legea nr. 58/1998 privind activitatea bancară, cu modificările şi completările ulterioare, ale art. 4 alin. (2) şi ale art. 19 din Legea nr. 541/2002 privind economisirea şi creditarea în sistem colectiv pentru domeniul locativ, modificată şi completată prin Ordonanţa de urgenţă a Guvernului nr. 99/2003, precum şi cele ale art. 3 alin. 2 şi ale art. 284 alin. 2 din Ordonanţa de urgenţă a Guvernului nr. 97/2000 privind organizaţiile cooperatiste de credit, aprobată şi modificată prin Legea nr. 200/2002,
   în temeiul dispoziţiilor art. 50 alin. (1) din Legea nr. 101/1998, cu modificările şi completările ulterioare, şi ale art. 93 din Legea nr. 58/1998, cu modificările şi completările ulterioare,

   Banca Naţională a României emite prezentele norme.

   CAPITOLUL I
 Dispoziţii generale

   Art. 1. - Prezentele norme se aplică instituţiilor de credit, persoane juridice române, şi reglementează cadrul general pentru:
   a) organizarea şi controlul intern al activităţii instituţiilor de credit;
   b) administrarea riscurilor semnificative de către instituţiile de credit;
   c) organizarea şi desfăşurarea activităţii de audit intern.
   Art. 2. -(1) Instituţiile de credit sunt responsabile pentru organizarea şi controlul intern al activităţii lor, pentru administrarea riscurilor semnificative, precum şi pentru organizarea şi desfăşurarea activităţii de audit intern a acestora.
   (2) Casele centrale ale cooperativelor de credit sunt responsabile şi pentru organizarea şi controlul intern al activităţii, pentru administrarea riscurilor semnificative, precum şi pentru organizarea şi desfăşurarea activităţii de audit intern la nivelul reţelelor cooperatiste de credit.
   (3) Instituţiile de credit trebuie să asigure aplicarea în mod corespunzător a prevederilor prezentelor norme de către entităţile cuprinse în perimetrul de consolidare al acestora, astfel încât să fie create condiţiile pentru efectuarea supravegherii pe bază consolidată.
   (4) Instituţiile de credit trebuie să asigure aplicarea în mod corespunzător a prevederilor prezentelor norme de către societăţile prestatoare de servicii auxiliare sau conexe, care nu intră în categoria entităţilor prevăzute la alin. (3), prin adaptare la specificul acestora.
   Art. 3. - În sensul prezentelor norme, termenii şi expresiile de mai jos au următoarele semnificaţii:
   a) instituţii de credit - bănci, instituţii emitente de monedă electronică, case de economii pentru domeniul locativ şi case centrale ale cooperativelor de credit, persoane juridice române, autorizate să funcţioneze în conformitate cu prevederile Legii nr. 58/1998 privind activitatea bancară, cu modificările şi completările ulterioare, Legii nr. 541/2002 privind economisirea şi creditarea în sistem colectiv pentru domeniul locativ, modificată şi completată prin Ordonanţa de urgenţă a Guvernului nr. 99/2003, respectiv ale Ordonanţei de urgenţă a Guvernului nr. 97/2000 privind organizaţiile cooperatiste de credit, aprobată şi modificată prin Legea nr. 200/2002;
   b) control intern - proces continuu la care participă consiliul de administraţie, conducătorii, precum şi personalul instituţiilor de credit, prin care se furnizează o asigurare rezonabilă asupra atingerii obiectivelor prevăzute la art. 4 alin. (1) din prezentele norme;
   c) conducere operativă - persoanele care asigură conducerea nemijlocită a compartimentelor din cadrul instituţiei de credit, al sucursalelor şi al altor sedii secundare;
   d) sistem informaţional - ansamblul de fluxuri informaţionale organizate într-o concepţie unitară, care asigură legătura dintre nivelul de conducere (decizional) şi nivelul de execuţie (operaţional);
   e) administrarea riscurilor semnificative - proces focalizat pe analiza profilului de risc, în vederea maximizării raportului dintre risc şi profit în diferite domenii de activitate ale unei instituţii de credit;
   f) riscuri semnificative - riscuri cu impact însemnat asupra situaţiei patrimoniale şi/sau reputaţionale a instituţiilor de credit;
   g) risc de credit - riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, ca urmare a neîndeplinirii de către contrapartidă a obligaţiilor contractuale;
   h) risc de ţară - risc asociat riscului de credit, care este determinat de condiţiile economice, sociale şi politice ale ţării de origine a împrumutatului;
   i) risc de transfer - componentă a riscului de ţară, care apare atunci când obligaţia împrumutatului nu este exprimată în moneda locală a acestuia;
   j) risc de piaţă - riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, care apare din fluctuaţiile pe piaţă ale preţurilor, ratei dobânzii şi cursului valutar;
   k) risc de preţ - componentă a riscului de piaţă, care apare din fluctuaţiile pe piaţă ale preţurilor valorilor mobiliare, mărfurilor şi instrumentelor financiare derivate;
   l) risc valutar - componentă a riscului de piaţă, care apare din fluctuaţiile pe piaţă ale cursului valutar;
   m) risc al ratei dobânzii - componentă a riscului de piaţă, care apare din fluctuaţiile pe piaţă ale ratei dobânzii;
   n) risc de lichiditate - riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, ce rezultă din imposibilitatea instituţiilor de credit de a onora în orice moment obligaţiile de plată pe termen scurt, fără ca aceasta să implice costuri sau pierderi ce nu pot fi suportate de instituţiile de credit;
   o) risc operaţional - riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, care este determinat de factori interni (derularea neadecvată a unor activităţi interne, existenţa unui personal sau unor sisteme necorespunzătoare etc.) sau de factori externi (condiţii economice, schimbări în mediul bancar, progrese tehnologice etc.);
   p) risc juridic - componentă a riscului operaţional, apărut ca urmare a neaplicării sau a aplicării defectuoase a dispoziţiilor legale ori contractuale, care afectează negativ operaţiunile sau situaţia instituţiilor de credit;
   q) risc reputaţional - riscul înregistrării de pierderi sau al nerealizării profiturilor estimate, ca urmare a lipsei de încredere a publicului în integritatea instituţiilor de credit;
   r) audit intern - activitate independentă, destinată îmbunătăţirii activităţii instituţiilor de credit, fie prin îndeplinirea unor angajamente de audit, fie prin acordarea unor servicii de consultanţă structurilor/entităţilor auditate;
   s) angajament de audit - activitate constând într-o examinare obiectivă a modului de realizare a administrării riscurilor, sistemului de control intern şi proceselor de conducere ale instituţiilor de credit, în scopul furnizării unei asigurări rezonabile că acestea funcţionează corespunzător şi vor permite atingerea obiectivelor instituţiilor de credit, precum şi în scopul formulării unor recomandări de îmbunătăţire a activităţii acestora;
   t) serviciu de consultanţă - activităţi de consiliere ale căror obiective şi întindere se vor stabili cu conducerea structurii beneficiare a unui astfel de serviciu sau, după caz, cu conducerea instituţiei de credit, în funcţie de necesităţile acestora şi de statutul auditului intern;
   u) structură organizatorică - ansamblu format din compartimente şi sedii secundare ale instituţiilor de credit, cărora, pentru funcţionarea eficientă a acestora, le-au fost precizate atribuţii şi între care s-au stabilit relaţiile de raportare;
   v) coordonatorul activităţii de audit intern - responsabilul pentru organizarea şi desfăşurarea activităţii de audit intern a instituţiilor de credit, ale cărui atribuţii sunt prevăzute la cap. IV din prezentele norme. În cazul în care activitatea de audit intern nu este externalizată, acesta este conducătorul compartimentului de audit intern.

   CAPITOLUL II
 Organizarea şi controlul intern al activităţii instituţiilor de credit

   Art. 4. -(1) Obiectivele controlului intern constau în:
   a) desfăşurarea activităţilor în condiţii de eficienţă şi eficacitate;
   b) furnizarea unor informaţii credibile, relevante, complete şi oportune structurilor implicate în luarea deciziilor în cadrul instituţiei de credit şi utilizatorilor externi ai informaţiilor;
   c) asigurarea conformităţii activităţilor instituţiilor de credit cu cadrul legal şi cu politicile şi procedurile proprii.
   (2) În vederea îndeplinirii obiectivelor de control intern, instituţiile de credit trebuie să îşi organizeze un sistem de control intern care se compune din următoarele elemente aflate în strânsă corelare:
   a) rolul şi responsabilităţile consiliului de administraţie şi ale conducătorilor instituţiilor de credit;
   b) identificarea şi evaluarea riscurilor semnificative;
   c) activităţile de control şi separarea responsabilităţilor;
   d) informarea şi comunicarea;
   e) activităţile de monitorizare şi corectare a deficienţelor.

   SECŢIUNEA 1
Rolul şi responsabilităţile consiliului de administraţie
şi ale conducătorilor instituţiilor de credit

   Art. 5. -(1) Consiliul de administraţie al instituţiilor de credit este responsabil pentru stabilirea şi menţinerea unui sistem de control intern adecvat şi eficient.
   (2) În contextul prevederilor alin. (1), consiliul de administraţie al instituţiilor de credit are cel puţin următoarele atribuţii:
   a) să aprobe şi să revizuiască periodic, cel puţin anual, strategiile generale şi politicile privitoare la activitatea instituţiei de credit;
   b) să stabilească niveluri acceptabile pentru riscurile semnificative şi să asigure luarea măsurilor necesare de către conducători pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor respective;
   c) să supravegheze conducătorii în legătură cu modul în care aceştia monitorizează funcţionarea adecvată şi eficientă a sistemului de control intern;
   d) să aprobe structura organizatorică.
   (3) Pentru îndeplinirea atribuţiilor ce îi revin, consiliul de administraţie trebuie să întreprindă cel puţin următoarele măsuri:
   a) discuţii periodice (de regulă trimestrial) cu conducerea operativă privind eficienţa sistemului de control intern;
   b) analiza periodică (de regulă trimestrial) a evaluărilor sistemului de control intern efectuate de conducerea operativă, de auditul intern şi, după caz, de auditorul financiar al instituţiilor de credit şi de Banca Naţională a României;
   c) asigurarea implementării de către conducerea operativă a recomandărilor formulate de auditul intern, de auditorul financiar şi de Banca Naţională a României cu privire la deficienţele sistemului de control intern şi examinarea efectului măsurilor implementate.
   Art. 6. - Instituţiile de credit trebuie să constituie un comitet de audit, potrivit prevederilor secţiunii a 6-a a cap. IV din prezentele norme, care să asiste consiliul de administraţie în îndeplinirea atribuţiilor ce îi revin.
   Art. 7. -(1) Conducătorii instituţiilor de credit au responsabilităţi pe linia monitorizării funcţionării adecvate şi eficiente a sistemului de control intern.
   (2) În contextul prevederilor alin. (1), conducătorii instituţiilor de credit au cel puţin următoarele atribuţii:
   a) să implementeze strategiile generale şi politicile privitoare la activitatea instituţiilor de credit, aprobate de consiliul de administraţie;
   b) să coordoneze procesul de elaborare a procedurilor de identificare, evaluare, monitorizare şi control pentru riscurile semnificative şi să ia măsurile necesare pentru identificarea, evaluarea, monitorizarea şi controlul acestor riscuri;
   c) să se asigure că responsabilităţile delegate conducerii operative, cu privire la stabilirea politicilor şi procedurilor de control intern, sunt îndeplinite în mod corespunzător;
   d) să menţină o structură organizatorică adecvată;
   e) să stabilească fluxul informaţional necesar;
   f) să se asigure că toate activităţile instituţiilor de credit sunt realizate de personal calificat, având experienţă şi cunoştinţe necesare;
   g) să asigure instruirea corespunzătoare a personalului propriu.
   Art. 8. - În cazul externalizării unor activităţi, consiliul de administraţie şi conducătorii instituţiilor de credit răspund pentru atingerea obiectivelor controlului intern aferente respectivelor activităţi.
   Art. 9. -(1) Consiliul de administraţie şi conducătorii unei case centrale a cooperativelor de credit sunt responsabili pentru îndeplinirea obiectivelor controlului intern la nivelul reţelei cooperatiste de credit, inclusiv în condiţiile art. 8.
   (2) Consiliul de administraţie al unei case centrale a cooperativelor de credit va îndeplini atribuţiile prevăzute la art. 5 alin. (2) lit. a)-c) şi la nivelul reţelei cooperatiste de credit.
   (3) Conducătorii unei case centrale a cooperativelor de credit vor îndeplini atribuţiile prevăzute la art. 7 alin. (2) lit. a) şi b) şi la nivelul reţelei cooperatiste de credit.
   Art. 10. -(1) Consiliul de administraţie şi conducătorii instituţiilor de credit sunt responsabili pentru promovarea unor standarde de etică şi integritate pentru personalul instituţiilor de credit în ceea ce priveşte controlul intern, care să evidenţieze şi să asigure conştientizarea importanţei acestuia la toate nivelurile organizatorice.
   (2) Consiliul de administraţie şi conducătorii unei case centrale a cooperativelor de credit sunt responsabili pentru promovarea unor standarde de etică şi integritate pentru personalul reţelei cooperatiste de credit în ceea ce priveşte controlul intern, care să evidenţieze şi să asigure conştientizarea importanţei acestuia.

   SECŢIUNEA a 2-a
Identificarea şi evaluarea riscurilor semnificative

   Art. 11. -(1) Pentru a avea un sistem de control intern eficient instituţiile de credit trebuie să identifice şi să evalueze permanent riscurile semnificative care pot periclita atingerea obiectivelor controlului intern.
   (2) Identificarea şi evaluarea riscurilor semnificative trebuie să se facă atât la nivel de ansamblu al unei instituţii de credit, cât şi la toate nivelurile organizatorice ale acesteia, trebuie să acopere toate activităţile şi să ţină cont de apariţia unor noi activităţi.
   Art. 12. -(1) Identificarea şi evaluarea riscurilor semnificative trebuie să se realizeze cu luarea în considerare a factorilor interni (de exemplu: complexitatea structurii organizatorice, natura activităţilor desfăşurate, calitatea personalului şi fluctuaţia acestuia) şi a factorilor externi (de exemplu: condiţii economice, schimbări legislative sau legate de mediul concurenţial în sectorul bancar, progrese tehnologice).
   (2) Procesul de evaluare a riscurilor trebuie să includă identificarea atât a riscurilor care sunt controlabile de către instituţiile de credit, cât şi a celor necontrolabile. În cazul riscurilor controlabile, instituţiile de credit trebuie să stabilească dacă îşi asumă integral aceste riscuri sau măsura în care doresc să le reducă prin proceduri de control. În cazul riscurilor necontrolabile, instituţiile de credit trebuie să decidă dacă le acceptă sau dacă elimină ori reduc nivelul activităţilor afectate de riscurile respective.
   (3) Evaluarea riscurilor semnificative trebuie efectuată şi în condiţiile unor scenarii alternative, inclusiv în condiţii de criză.
   Art. 13. - Evaluarea riscurilor se va realiza de către specialişti din cadrul instituţiilor de credit care nu au responsabilităţi în realizarea performanţei comerciale şi financiare.
   Art. 14. - Instituţiile de credit trebuie să revizuiască activităţile de control pentru a identifica şi evalua în mod corespunzător orice riscuri noi sau care au atins pragul de la care acestea le consideră riscuri semnificative.
   Art. 15. - În vederea atingerii obiectivelor de control intern, casa centrală a cooperativelor de credit trebuie să identifice şi să evalueze permanent riscurile semnificative la nivelul reţelei cooperatiste de credit, cu aplicarea corespunzătoare a prevederilor prezentei secţiuni.

   SECŢIUNEA a 3-a
Activităţile de control şi separarea responsabilităţilor

   3.1. - Activităţile de control
   Art. 16. -(1) Activităţile de control trebuie să se constituie ca parte integrantă a activităţilor zilnice ale instituţiilor de credit.
   (2) Activităţile de control trebuie să aibă în vedere riscurile identificate de instituţiile de credit în cadrul procesului de identificare şi evaluare a riscurilor.
   Art. 17. - Activităţile de control trebuie definite pentru fiecare nivel organizatoric al instituţiilor de credit şi implică două etape:
   a) stabilirea politicilor şi procedurilor de control;
   b) verificarea respectării politicilor şi procedurilor de control stabilite.
   Art. 18. - Activităţile de control includ cel puţin următoarele:
   a) analize la nivelul consiliului de administraţie şi al conducătorilor;
   b) analize operative la nivelul compartimentelor şi sediilor secundare ale instituţiilor de credit;
   c) controale faptice care au în vedere restricţionarea accesului la active, cum ar fi titluri sau numerar, restricţionarea accesului la conturile clienţilor etc.;
   d) analiza încadrării în limitele impuse expunerilor la risc şi urmărirea modului în care sunt soluţionate situaţiile de neconformitate;
   e) aprobări şi autorizări, în cazul operaţiunilor ce depăşesc anumite limite de sume, asigurându-se astfel controlul asupra realizării operaţiunilor respective de către nivelul de conducere competent şi stabilirea responsabilităţilor;
   f) verificări ale tranzacţiilor efectuate de instituţiile de credit şi reconcilieri, în special acolo unde există diferenţe între metodologiile sau sistemele de evaluare utilizate în compartimentele însărcinate cu iniţierea tranzacţiilor (front office) şi compartimentele însărcinate cu înregistrarea şi monitorizarea tranzacţiilor iniţiate (back office). Rezultatele verificărilor vor fi comunicate nivelului de conducere competent.
   Art. 19. - Activităţile de control desfăşurate de o casă centrală a cooperativelor de credit la nivelul reţelei cooperatiste de credit vor include cel puţin următoarele:
   a) analize la nivelul consiliului de administraţie şi al conducătorilor casei centrale a cooperativelor de credit;
   b) analiza încadrării în limitele impuse expunerilor la risc la nivelul reţelei cooperatiste de credit şi urmărirea modului în care sunt soluţionate situaţiile de neconformitate.
   3.2. - Separarea responsabilităţilor
   Art. 20. - Instituţiile de credit trebuie să realizeze o repartizare corespunzătoare a atribuţiilor la toate nivelurile organizatorice şi să se asigure că personalului nu îi sunt alocate responsabilităţi care să conducă la conflicte de interese (de exemplu: responsabilităţi duale ale unei persoane în domenii cum ar fi: acţionarea în front-office şi back-office, aprobarea tragerii fondurilor şi tragerea efectivă, evaluarea documentaţiei de credit şi monitorizarea clientului după contractarea creditului etc.).
   Art. 21. - Domeniile care pot fi afectate de potenţiale conflicte de interese trebuie să fie identificate şi supuse unei monitorizări independente exercitate de persoane neimplicate direct în activităţile respective, a căror informare este efectuată pe baza unor linii de raportare stabilite în mod corespunzător.

   SECŢIUNEA a 4-a
Informare şi comunicare

   Art. 22. - Casa centrală a cooperativelor de credit este responsabilă pentru respectarea principiilor de informare şi comunicare la nivelul reţelei cooperatiste de credit afiliate.
   4.1. - Informare
   Art. 23. -(1) Instituţiile de credit trebuie să asigure existenţa datelor financiare, operaţionale şi de conformitate, adecvate şi complete, pentru desfăşurarea activităţii lor.
   (2) Instituţiile de credit trebuie să dispună de informaţii despre piaţă referitoare la evenimente şi condiţii care sunt relevante pentru luarea deciziilor.
   (3) Informaţiile trebuie să fie credibile, relevante, complete, oportune, accesibile şi furnizate într-un format consecvent.
   Art. 24. - Instituţiile de credit trebuie să dispună de sisteme informaţionale adecvate, care să acopere toate activităţile acestora.
   Art. 25. - Instituţiile de credit trebuie să dispună de proceduri pentru a preveni utilizarea necorespunzătoare a informaţiei, prin care să se evite:
   a) prejudicierea, directă sau indirectă, a reputaţiei acestora;
   b) dezvăluirea informaţiilor secrete sau confidenţiale;
   c) utilizarea informaţiilor de către personalul instituţiei de credit pentru obţinerea unor beneficii personale.
   Art. 26. -(1) În cadrul sistemului informaţional instituţiile de credit trebuie să dispună de sisteme informatice. Arhitectura acestor sisteme trebuie să asigure un grad adecvat de securitate a informaţiei. Monitorizarea sistemelor informatice va fi asigurată de o structură de personal independentă de cea care le utilizează.
   (2) Instituţiile de credit trebuie să dispună de prevederi referitoare la organizarea şi controlul intern al procesării informaţiilor în formă electronică, astfel încât să fie posibilă obţinerea de probe de audit.
   Art. 27. -(1) În vederea evitării apariţiei disfuncţionalităţilor în cadrul activităţii şi a eventualelor pierderi generate de acestea, instituţiile de credit trebuie să controleze eficient riscurile implicate de utilizarea sistemelor informatice. În acest scop, se vor efectua atât controale generale la nivelul întregului sistem informatic, cât şi controale la nivelul fiecărei aplicaţii informatice din componenţa acestuia.
   (2) Controalele generale se efectuează asupra infrastructurii hardware şi de comunicaţii a sistemelor informatice (sisteme mainframe, sisteme client/server, routere, echipamente de reţea, staţii de lucru ale utilizatorilor finali), precum şi asupra sistemelor de operare care asigură funcţionarea acestora. Controalele au drept scop verificarea funcţionării continue şi corespunzătoare a acestora.
   (3) Controalele generale includ şi verificarea existenţei şi aplicării unei strategii de informatizare, a procedurilor interne de salvare şi restaurare a datelor, a politicilor de efectuare a achiziţiilor, a procedurilor de dezvoltare a aplicaţiilor informatice, a procedurilor de administrare şi întreţinere, precum şi a politicilor de securitate vizând accesul fizic şi logic la resursele sistemului informatic.
   (4) Controalele efectuate la nivelul aplicaţiilor informatice reprezintă proceduri de validare şi control incluse în codul aplicaţiilor informatice utilizate, precum şi proceduri manuale de verificare a modului de procesare a tranzacţiilor şi efectuării operaţiunilor.
   Art. 28. -(1) În vederea evitării pierderilor generate de întreruperea activităţii datorită unor factori externi ce nu pot fi controlaţi de către instituţiile de credit, acestea, trebuie să elaboreze planuri alternative (de rezervă), care să le permită reluarea activităţii în cazul apariţiei unor situaţii neprevăzute. Replicarea sistemelor critice trebuie asigurată fie prin existenţa unor sisteme de rezervă situate într-o altă locaţie aparţinând instituţiei de credit (centru de back-up), fie prin intermediul unui furnizor extern de servicii.
   (2) Funcţionarea planurilor alternative trebuie testată periodic prin simularea operaţiunilor pe sistemele de rezervă, în scopul verificării disponibilităţii acestora.
   4.2. - Comunicare
   Art. 29. - În vederea organizării unui sistem de control intern eficient, instituţiile de credit trebuie să dispună de canale de comunicare care să asigure că personalul instituţiilor de credit cunoaşte politicile şi procedurile cu implicaţii asupra atribuţiilor şi responsabilităţilor sale şi că orice alte informaţii relevante ajung în timp util la acesta.
   Art. 30. - Structura organizatorică a instituţiilor de credit trebuie să asigure un flux corespunzător de informaţii, pe verticală (în ambele sensuri) şi pe orizontală, care să permită următoarele:
   a) informarea consiliului de administraţie şi a conducătorilor asupra riscurilor aferente activităţii şi funcţionării instituţiilor de credit;
   b) informarea nivelurilor inferioare de conducere operativă şi a personalului atât asupra strategiilor instituţiilor de credit, cât şi asupra politicilor şi procedurilor stabilite;
   c) difuzarea informaţiilor între compartimentele şi sediile secundare ale instituţiilor de credit pentru care respectivele informaţii au relevanţă.

   SECŢIUNEA a 5-a
Activităţile de monitorizare şi corectare a deficienţelor

   Art. 31. -(1) Instituţiile de credit trebuie să monitorizeze permanent eficacitatea sistemului de control intern, cu luarea în considerare a modificărilor intervenite în condiţiile interne şi externe de desfăşurare a activităţii.
   (2) Instituţiile de credit trebuie să asigure un rol important auditului intern în procesul de monitorizare a sistemului de control intern.
   (3) Monitorizarea eficacităţii sistemului de control intern va fi efectuată atât de personalul responsabil pentru fiecare compartiment şi sediu secundar al instituţiei de credit, cât şi de auditul intern.
   (4) Monitorizarea eficacităţii sistemului de control intern trebuie să facă parte din activităţile zilnice ale instituţiilor de credit şi trebuie să includă şi evaluări separate ale sistemului de control intern în general.
   (5) Evaluările separate, periodice, ale sistemului de control intern vor fi efectuate atât de personalul responsabil pentru fiecare compartiment şi sediu secundar (autoevaluare), cât şi de auditul intern.
   (6) Frecvenţa cu care trebuie monitorizate diferitele activităţi ale instituţiilor de credit depinde de riscurile implicate de activităţile respective, precum şi de natura şi frecvenţa schimbărilor din activitatea respectivă.
   Art. 32. -(1) Deficienţele identificate în legătură cu sistemul de control intern trebuie să fie raportate imediat nivelului de conducere competent care trebuie să ia măsuri pentru remedierea cu promptitudine a acestora.
   (2) Deficienţele majore ale sistemului de control intern trebuie să fie raportate conducătorilor instituţiilor de credit şi consiliului de administraţie al acestora.
   (3) Conducătorii instituţiilor de credit au responsabilitatea de a stabili un sistem de detectare a deficienţelor sistemului de control intern şi de a întreprinde măsuri pentru soluţionarea respectivelor deficienţe.
   Art. 33. - Casa centrală a cooperativelor de credit va monitoriza permanent atingerea obiectivelor de control intern la nivelul reţelei cooperatiste de credit, cu aplicarea corespunzătoare a prevederilor prezentei secţiuni.

   CAPITOLUL III
 Administrarea riscurilor semnificative

   SECŢIUNEA 1
Cadrul general

   Art. 34. - Instituţiile de credit trebuie să ia măsuri pe linia administrării următoarelor riscuri semnificative: riscul de credit, riscul de piaţă, riscul de lichiditate, riscul operaţional şi riscul reputaţional.
   Art. 35. - În domeniul administrării riscurilor semnificative, consiliul de administraţie al instituţiilor de credit are cel puţin următoarele atribuţii:
   a) să aprobe şi să reconsidere profilul de risc al acestora;
   b) să aprobe politicile privind administrarea riscurilor respective, să le analizeze periodic, cel puţin anual, şi să dispună revizuirea acestora, după caz;
   c) să asigure luarea de către conducătorii instituţiei de credit a măsurilor necesare pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor, inclusiv pentru activităţile externalizate;
   d) să aprobe procedurile de stabilire a competenţelor şi a responsabilităţilor în domeniul administrării riscurilor;
   e) să aprobe externalizarea unor activităţi;
   f) să aprobe politica de instruire a personalului;
   Art. 36. - În domeniul administrării riscurilor semnificative, conducătorii instituţiilor de credit sunt responsabili cel puţin pentru următoarele:
   a) implementarea strategiilor aprobate de consiliul de administraţie şi asigurarea comunicării acestora personalului implicat în punerea lor în aplicare;
   b) asigurarea comunicării politicilor şi procedurilor pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor personalului implicat în punerea lor în aplicare;
   c) menţinerea unor sisteme de raportare corespunzătoare a expunerilor la riscuri, precum şi a altor aspecte legate de riscuri;
   d) menţinerea limitelor corespunzătoare privind expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi situaţia financiară a instituţiei de credit;
   e) menţinerea eficienţei şi eficacităţii sistemului de control intern;
   f) analizarea oportunităţii externalizării unor activităţi prin prisma riscurilor implicate de externalizare;
   g) supravegherea şi monitorizarea contractului de externalizare;
   h) asigurarea unui personal calificat, având experienţa şi cunoştinţele necesare;
   i) asigurarea instruirii corespunzătoare a personalului;
   j) asigurarea concordanţei politicilor de remunerare a personalului cu strategia instituţiei de credit privind riscurile.
   Art. 37. - În procesul de administrare a riscurilor, instituţiile de credit trebuie să constituie un comitet de administrare a riscurilor, potrivit prevederilor secţiunii a 5-a din prezentul capitol.
   Art. 38. -(1) Instituţiile de credit trebuie să opteze pentru un profil de risc, stabilind obiectivul şi strategia pentru fiecare risc semnificativ, inclusiv în ceea ce priveşte activităţile externalizate.
   (2) Instituţiile de credit vor stabili tipurile de riscuri pe care sunt pregătite să le asume, precum şi pragul de la care un risc este considerat semnificativ. La stabilirea acestora se vor avea în vedere natura, dimensiunea şi complexitatea activităţii.
   (3) Strategia instituţiilor de credit privind administrarea riscurilor semnificative trebuie să determine raportul dintre risc şi profit pe care instituţia de credit îl consideră acceptabil în condiţiile asigurării continuităţii activităţii acesteia pe baze sănătoase şi prudente.
   Art. 39. - Instituţiile de credit trebuie să adopte politici pentru administrarea riscurilor semnificative, în vederea implementării profilului de risc ales. Politicile respective trebuie să corespundă strategiilor generale, să fie corelate cu nivelul fondurilor proprii ale instituţiilor de credit şi cu experienţa acestora în administrarea riscurilor, precum şi cu disponibilitatea de expunere la risc stabilită de consiliul de administraţie.
   Art. 40. -(1) Politicile privind administrarea riscurilor semnificative, corespunzătoare naturii, dimensiunii şi complexităţii activităţilor instituţiilor de credit, trebuie să fie transpuse în mod clar şi transparent în norme interne, proceduri, inclusiv în manuale şi coduri de conduită, făcându-se distincţie între standardele generale aplicabile întregului personal şi regulile specifice aplicabile anumitor categorii de personal.
   (2) Pentru activitatea de tipul "electronic banking", inclusiv cea de emisiune şi administrare de monedă electronică, instituţiile de credit trebuie să dezvolte politici şi proceduri care să asigure integritatea, autenticitatea şi confidenţialitatea datelor, precum şi securitatea proceselor de operare.
   Art. 41. -(1) Politicile de administrare a riscurilor semnificative trebuie să asigure, după caz, stabilirea cel puţin a:
   a) unui sistem de proceduri de autorizare a operaţiunilor afectate de riscurile respective;
   b) unui sistem de stabilire a limitelor expunerii la risc şi de monitorizare a acestora, care să reflecte profilul de risc ales şi care să fie în conformitate cu legislaţia şi cu reglementările în vigoare; limitele stabilite la nivelul activităţilor şi/sau compartimentelor/sediilor secundare trebuie corelate cu cele stabilite la nivel de ansamblu al instituţiilor de credit;
   c) unui sistem de raportare a expunerilor la riscuri, precum şi altor aspecte legate de riscuri către nivelurile de conducere corespunzătoare;
   d) unui sistem de proceduri pentru situaţii neprevăzute;
   e) unor criterii de recrutare şi remunerare a personalului, care să stabilească standarde ridicate pentru pregătirea, experienţa şi integritatea acestuia;
   f) unui program de instruire a personalului;
   (2) Politicile de securitate ale instituţiilor de credit aferente activităţii de tipul "electronic banking", inclusiv a celei de emisiune şi administrare de monedă electronică, trebuie să cuprindă cel puţin: definirea responsabilităţilor pentru dezvoltarea şi implementarea unor proceduri de securitate a informaţiilor, stabilirea unor proceduri pentru evaluarea conformităţii cu politica, punerea în aplicare a unor măsuri de remediere şi raportarea situaţiilor de nerespectare a măsurilor de securitate.
   (3) Procedurile de securitate ale instituţiilor de credit, aferente activităţii de tipul "electronic banking", inclusiv a celei de emisiune şi administrare de monedă electronică, trebuie să cuprindă o combinare de elemente de hardware şi software, cum ar fi: codificare, parole, firewalls, controale ale viruşilor şi monitorizarea angajaţilor.
   (4) Pentru activităţile cu instrumente financiare derivate, băncile trebuie să stabilească politici şi proceduri de evaluare a poziţiilor şi să verifice respectarea acestora, a frecvenţei de evaluare, precum şi a independenţei şi calităţii surselor de stabilire a preţurilor de evaluare, în special pentru instrumentele emise şi tranzacţionate pe pieţe cu lichiditate scăzută.
   (5) Prevederile alin. (4) se vor aplica în mod corespunzător şi în cazul poziţiilor pe care băncile le deţin în valori mobiliare necotate pe pieţe organizate.
   Art. 42. -(1) Înainte de angajarea în activităţi cu instrumente financiare derivate, conducătorii băncilor trebuie să se asigure că sunt obţinute toate aprobările prevăzute de cadrul legal şi de reglementare şi că există proceduri de administrare şi sisteme de control al riscurilor adecvate.
   (2) Decizia privind angajarea băncilor în activităţi cu instrumente financiare derivate va fi de competenţa consiliului de administraţie şi se va baza cel puţin pe următoarele:
   a) descrierea instrumentelor financiare derivate relevante, precum şi a pieţelor şi strategiilor propuse;
   b) resursele necesare pentru stabilirea de sisteme eficiente de administrare a riscurilor, precum şi pentru atragerea de personal cu experienţă în tranzacţionarea instrumentelor financiare derivate;
   c) analiza activităţilor propuse în funcţie de situaţia financiară generală a băncii şi de fondurile proprii ale acesteia;
   d) analiza riscurilor cu care băncile se pot confrunta ca urmare a desfăşurării activităţilor respective;
   e) procedurile pe care băncile le vor utiliza pentru a evalua, monitoriza şi controla riscurile;
   f) tratamentul contabil relevant;
   g) tratamentul fiscal relevant;
   h) analiza oricărei restricţii legale privind desfăşurarea respectivelor activităţi.
   Art. 43. -(1) Instituţiile de credit trebuie să efectueze sistematic o evaluare a riscurilor semnificative.
   (2) Evaluarea riscurilor trebuie să ţină cont şi de:
   a) implicaţiile corelării fiecărui risc semnificativ cu celelalte riscuri semnificative la care se expune instituţia de credit;
   b) previzionările profitului şi fondurilor proprii pe baza diferitelor scenarii în condiţii de criză, inclusiv o cuantificare a pierderilor maxime în condiţii extreme.
   (3) Scenariile în condiţii de criză trebuie să aibă în vedere identificarea evenimentelor posibile sau a modificărilor viitoare ale condiţiilor economice care ar putea avea efecte nefavorabile asupra expunerilor instituţiei de credit la riscurile semnificative, precum şi evaluarea capacităţii instituţiei de credit de a face faţă acestora.
   Art. 44. - Instituţiile de credit trebuie să dispună de un sistem de informare adecvat pentru identificarea, evaluarea, monitorizarea şi documentarea sistematică a riscurilor semnificative atât la nivelul instituţiilor de credit, cât şi la nivelul compartimentelor şi sediilor secundare ale acestora.
   Art. 45. - Instituţiile de credit trebuie să asigure că există o separare corespunzătoare a atribuţiilor în cadrul procesului de administrare a riscurilor, pentru evitarea potenţialelor conflicte de interese.
   Art. 46. - Instituţiile de credit trebuie să asigure o monitorizare sistematică a conformităţii cu procedurile stabilite pentru riscurile semnificative şi să soluţioneze deficienţele constatate.
   Art. 47. - Instituţiile de credit trebuie să dispună de un sistem adecvat de control intern asupra procesului de administrare a riscurilor semnificative, care implică analize independente şi regulate şi evaluări ale eficacităţii sistemului şi, acolo unde se impune, asigurarea remedierii deficienţelor constatate. Rezultatele unor astfel de analize trebuie să fie comunicate în mod direct consiliului de administraţie, comitetului de administrare a riscurilor şi comitetului de audit.
   Art. 48. - Casa centrală a cooperativelor de credit trebuie să ia măsuri pe linia administrării riscurilor semnificative şi a respectării principiilor de administrare a acestor riscuri la nivelul reţelei cooperatiste de credit, cu aplicarea corespunzătoare a prevederilor prezentului capitol.

   SECŢIUNEA a 2-a
Administrarea riscului de credit şi a riscului de ţară

   Art. 49. - Strategia instituţiilor de credit privind riscul de credit trebuie să includă cel puţin următoarele:
   a) categoriile de credit pe care doreşte să le promoveze, tipul expunerii, sectorul economic, forma de proprietate, categoria contrapartidei, rezidenţa, aria geografică, moneda, durata iniţială şi profitabilitatea estimată;
   b) identificarea pieţelor pe care doresc să acţioneze şi determinarea caracteristicilor portofoliului de credite (inclusiv gradul de diversificare şi gradul de concentrare).
   Art. 50. -(1) Politicile şi procedurile instituţiilor de credit privind riscul de credit trebuie să se refere la toate activităţile acestora şi trebuie să aibă în vedere atât creditele la nivel individual, cât şi întregul portofoliu.
   (2) Politicile şi procedurile vor trebui stabilite şi implementate de către instituţiile de credit astfel încât să se asigure următoarele:
   a) menţinerea unor standarde sănătoase de creditare;
   b) monitorizarea şi controlul riscului de credit;
   c) evaluarea corespunzătoare a noilor oportunităţi de afaceri;
   d) identificarea şi administrarea creditelor neperformante.
   (3) Politicile instituţiilor de credit vor stabili cadrul de desfăşurare a activităţii de creditare şi se vor referi inclusiv la următoarele:
   a) contrapartidele eligibile şi condiţiile ce trebuie îndeplinite de către acestea pentru a putea intra în relaţie de afaceri cu instituţia de credit;
   b) garanţiile acceptabile de către instituţia de credit.
   (4) În vederea prevenirii intrării în relaţii de afaceri cu persoane implicate în activităţi frauduloase şi alte activităţi de natură infracţională, instituţiile de credit trebuie să aibă în funcţiune politici stricte care să includă cel puţin:
   a) solicitarea de referinţe şi informaţii de la persoane autorizate;
   b) consultarea informaţiilor puse la dispoziţie instituţiilor de credit de structuri, constituite sub forma Centralei Riscurilor Bancare sau sub forma unor entităţi cu activitate similară, organizate în condiţiile legii, având drept scop colectarea şi furnizarea de informaţii privind situaţia contrapartidei în calitatea sa de beneficiar de credite ori alte informaţii de natură financiară;
   c) cunoaşterea structurii participanţilor la capitalul societăţii, precum şi a persoanelor responsabile de administrarea acesteia, în cazul clienţilor persoane juridice, verificarea referinţelor şi a situaţiei financiare personale a administratorilor şi asociaţilor.
   Art. 51. - Instituţiile de credit trebuie să evalueze riscul de credit aferent tuturor activităţilor ce sunt afectate de acest risc, indiferent dacă rezultatele respectivelor activităţii sunt reflectate în bilanţ sau în afara bilanţului.
   Art. 52. -(1) La evaluarea riscului de credit instituţiile de credit trebuie să ia în considerare cel puţin:
   a) performanţa financiară curentă şi previzionată a contrapartidelor;
   b) concentrarea expunerilor faţă de contrapartide, pieţele în care acestea operează, sectoarele economice şi ţările unde sunt stabilite;
   c) capacitatea de punere în aplicare, din punct de vedere legal, a angajamentelor contractuale;
   d) capacitatea şi posibilitatea de a executa garanţiile, în condiţiile pieţei;
   e) angajamentele contractuale cu persoanele aflate în relaţii speciale cu instituţiile de credit, personalul propriu, precum şi familia acestuia.
   (2) În ceea ce priveşte cadrul contractual, instituţiile de credit trebuie să aibă în vedere cel puţin următoarele:
   a) natura specifică a creditului;
   b) clauzele contractuale aferente creditului;
   c) profilul expunerii până la scadenţă prin prisma evoluţiilor potenţiale ale pieţei;
   d) existenţa garanţiilor reale sau personale;
   e) probabilitatea nerespectării obligaţiilor contractuale, stabilită pe baza unui sistem intern de rating.
   Art. 53. -(1) Instituţiile de credit trebuie să desfăşoare activitatea de creditare în baza unor criterii sănătoase şi bine definite de acordare a creditelor.
   (2) În activitatea de creditare, instituţiile de credit trebuie să aibă în vedere cel puţin următoarele:
   a) destinaţia creditului şi sursa de rambursare a acestuia;
   b) profilul de risc curent al contrapartidei şi garanţiile prezentate, precum şi senzitivitatea garanţiilor la evoluţiile economice şi cele ale pieţei;
   c) istoricul serviciului datoriei aferent contrapartidei şi capacitatea curentă şi viitoare de rambursare a acesteia, bazată de evoluţiile financiare istorice şi proiecţiile viitoarelor fluxuri de numerar;
   d) experienţa în activitate a contrapartidei şi sectorul economic în care aceasta îşi desfăşoară activitatea, precum şi poziţia sa în cadrul acestui sector, în cazul creditelor comerciale;
   e) termenii şi condiţiile propuse în contractul de creditare, inclusiv clauzele destinate să limiteze modificările în profilul de risc viitor al contrapartidei;
   f) capacitatea instituţiilor de credit de executare şi valorificare a garanţiilor, dacă este cazul, într-un termen cât mai scurt.
   (3) Creditele care depăşesc un anumit procent din fondurile proprii ale instituţiilor de credit şi/sau care presupun un risc de credit ridicat ori cele care nu se înscriu în politica în domeniul creditării trebuie să fie aprobate la nivelul consiliului de administraţie.
   Art. 54. - Instituţiile de credit trebuie să dispună de proceduri de identificare şi înregistrare a expunerilor mari şi a modificărilor care pot interveni asupra lor, precum şi de mecanisme de monitorizare a acestor expuneri în funcţie de politica în materie de expuneri.
   Art. 55. -(1) La aprobarea pentru prima dată a contrapartidelor, instituţiile de credit trebuie să ia în considerare integritatea şi reputaţia acestora, precum şi capacitatea lor juridică de a-şi asuma obligaţii.
   (2) Instituţiile de credit trebuie să se asigure că informaţiile pe care le primesc sunt suficiente pentru luarea unei decizii de creditare corecte.
   Art. 56. -(1) Instituţiile de credit trebuie să dispună de proceduri pentru aprobarea noilor credite, precum şi pentru restructurarea celor existente (de exemplu: reeşalonare, refinanţare).
   (2) Refinanţarea creditelor nu va conduce la încadrarea acestora într-o categorie de clasificare superioară.
   (3) Instituţiile de credit vor clasifica creditele reeşalonate în condiţii mai stricte decât cele asociate situaţiei iniţiale a respectivelor credite.
   (4) Procedurile prevăzute la alin. (1) trebuie să stabilească competenţele şi responsabilităţile în legătură cu deciziile prezentate la alineatul respectiv.
   Art. 57. -(1) Instituţiile de credit trebuie să dispună de proceduri pentru evaluarea continuă a garanţiilor reale.
   (2) În legătură cu garanţiile personale, instituţiile de credit trebuie să evalueze capacitatea garanţilor de a-şi asuma obligaţii.
   Art. 58. - Instituţiile de credit trebuie să aibă proceduri de stabilire, într-o manieră consecventă, de la o perioadă la alta, a provizioanelor specifice şi a provizioanelor generale pentru riscul de credit (provizioane constituite pentru pierderi potenţiale, neidentificate în mod specific, dar pe care experienţa le precizează ca fiind prezente în portofoliul de credite) şi trebuie să dispună de suficiente fonduri proprii pentru a înregistra un nivel de solvabilitate corespunzător.
   Art. 59. -(1) Instituţiile de credit trebuie să stabilească limite privind expunerile la riscul de credit şi să monitorizeze respectarea acestora.
   (2) Limitele de expunere trebuie stabilite în legătură cu orice activitate a instituţiei de credit care implică risc de credit.
   (3) Limitele trebuie stabilite la nivel de ansamblu al instituţiei de credit, iar limitele stabilite la nivelul compartimentelor şi sediilor secundare ale instituţiei de credit trebuie să fie corelate cu acestea.
   (4) Instituţiile de credit trebuie să stabilească limite şi pentru diverse sectoare economice, regiuni geografice şi produse bancare specifice.
   Art. 60. - Personalul instituţiei de credit implicat în activitatea de creditare trebuie să aibă o experienţă corespunzătoare dimensiunii şi complexităţii operaţiunilor în legătură cu care are competenţe.
   Art. 61. -(1) Instituţiile de credit trebuie să dispună de sisteme de informare în baza cărora aspectele legate de riscul de credit să fie raportate la timp, cu accent pe înregistrarea de credite neperformante şi/sau identificarea neconformării cu limitele de expunere stabilite.
   (2) Sistemele de informare trebuie să permită evaluarea de către instituţia de credit a riscului de credit aferent elementelor din bilanţ şi din afara bilanţului.
   (3) Sistemele de informare trebuie să furnizeze informaţii adecvate privind componenţa portofoliului de credite, precum şi informaţii care să permită identificarea oricăror concentrări de risc.
   Art. 62. - Sistemul de monitorizare a riscului de credit va cuprinde cel puţin următoarele:
   a) înţelegerea situaţiei financiare curente a contrapartidei;
   b) urmărirea conformităţii cu clauzele contractuale;
   c) evaluarea gradului de acoperire cu garanţii a expunerii în raport cu situaţia curentă a contrapartidei;
   d) actualizarea dosarului de credit, obţinerea de informaţii financiare curente.
   Art. 63. - În cadrul activităţilor de control intern, instituţiile de credit trebuie să dispună de un sistem pentru remedierea la timp a situaţiei creditelor a căror calitate se deteriorează şi pentru administrarea creditelor neperformante.
   Art. 64. -(1) Instituţiile de credit trebuie să dispună de politici şi de proceduri corespunzătoare pentru identificarea, evaluarea, monitorizarea şi controlul riscului de ţară şi riscului de transfer.
   (2) La monitorizarea riscului de ţară, instituţiile de credit trebuie să aibă în vedere cel puţin următoarele:
   a) incapacitatea potenţială de onorare a obligaţiilor de către contrapartidele din cadrul unui sector privat străin, ce poate fi cauzată de factori economici specifici ţării respective;
   b) imposibilitatea de punere în aplicare a contractelor de creditare, precum şi incapacitatea şi imposibilitatea de a executa la timp garanţiile în baza cadrului legal naţional al împrumutatului.
   (3) Instituţiile de credit trebuie să stabilească şi să monitorizeze expunerile pe fiecare ţară şi să ia măsuri corespunzătoare în cazul înregistrării unor evoluţii necorespunzătoare.

   SECŢIUNEA a 3-a
Administrarea altor riscuri semnificative

   3.1. - Riscul de piaţă
   Art. 65. -(1) Politicile instituţiilor de credit privind administrarea riscului de piaţă trebuie să se refere cel puţin la riscurile pe care acestea intenţionează să şi le asume, precum şi la modul în care respectivele riscuri sunt controlate.
   (2) Politicile prevăzute la alin. (1) trebuie să definească instrumentele financiare autorizate a fi utilizate, strategiile de acoperire împotriva riscurilor, oportunităţile legate de asumarea de poziţii, precum şi parametrii cantitativi care definesc nivelul riscului de piaţă acceptabil pentru instituţiile de credit.
   Art. 66. -(1) Instituţiile de credit trebuie să dispună de proceduri de autorizare pentru poziţiile asumate.
   (2) Instituţiile de credit trebuie să stabilească limite în legătură cu expunerile la riscurile asumate şi să monitorizeze respectarea acestora. Limitele trebuie să specifice poziţiile permise a fi asumate.
   (3) Instituţiile de credit pot stabili limite la nivelul unităţilor funcţionale, portofoliilor, tipurilor de instrumente financiare sau instrumente financiare specifice.
   (4) Instituţiile de credit trebuie să stabilească dacă limitele nu pot fi în nici o situaţie depăşite sau dacă, în condiţii clar specificate, depăşirea acestora poate fi tolerată pentru o perioadă scurtă.
   Art. 67. - Instituţiile de credit trebuie să dispună de planuri alternative care să cuprindă procedurile ce trebuie aplicate în cazuri de criză. Procedurile respective trebuie să se refere inclusiv la punerea în evidenţă a poziţiilor deschise ce pot fi afectate de riscul de piaţă, precum şi la variante de închidere a acestor poziţii în astfel de situaţii.
   Art. 68. - Instituţiile de credit trebuie să efectueze evaluarea riscului de piaţă, avându-se în vedere cel puţin următoarele:
   a) toate activităţile ale căror rezultate sunt sensibile la fluctuaţiile înregistrate de preţuri, rata dobânzii şi/sau cursul valutar pe piaţă, indiferent dacă rezultatele respectivelor activităţi sunt reflectate în bilanţ sau în afara bilanţului;
   b) evoluţiile înregistrate în legătură cu lichiditatea diferitelor pieţe financiare;
   c) poziţiile deschise înregistrate în legătură cu toate activităţile;
   d) concentrările de risc în cadrul poziţiilor din portofoliul pentru tranzacţii (trading book);
   e) impactul corelării dintre diferitele activităţi ale instituţiilor de credit în care sunt utilizate instrumente financiare;
   f) instrumentele financiare complexe, cum ar fi instrumentele financiare derivate.
   Art. 69. - Instituţiile de credit trebuie să dezvolte sisteme de evaluare a riscului de piaţă, pe baza cărora să poată fi evaluate riscurile asociate activelor, pasivelor şi elementelor în afara bilanţului şi care să utilizeze tehnici de evaluare adecvate.
   Art. 70. -(1) Instituţiile de credit vor dispune de proceduri de administrare a riscurilor de piaţă pentru toate activităţile care implică astfel de riscuri, cum ar fi:
   a) proceduri pentru desfăşurarea activităţilor care, prin specificul lor, afectează dimensiunile riscului de piaţă la care instituţiile de credit sunt expuse, inclusiv proceduri pentru asumarea de poziţii;
   b) proceduri pentru utilizarea instrumentelor financiare.
   (2) În legătură cu poziţiile din portofoliul pentru tranzacţii, instituţiile de credit trebuie să dispună de proceduri care implică cel puţin următoarele:
   a) evaluarea respectivelor poziţii la valoarea de piaţă, precum şi calcularea expunerilor cel puţin zilnic;
   b) identificarea imediată a depăşirilor de limite, precum şi raportarea şi evaluarea acestora cel puţin zilnic;
   c) monitorizarea continuă a lichidităţii portofoliului pentru tranzacţii;
   d) evaluarea şi monitorizarea permanentă a poziţiilor deschise, cu luarea în considerare a dimensiunii, scadenţei şi complexităţii acestora.
   Art. 71. -(1) Instituţiile de credit trebuie să dispună de un sistem de informare adecvat pentru evaluarea, monitorizarea, controlul şi raportarea expunerilor afectate de riscul de piaţă.
   (2) Raportările trebuie să includă cel puţin următoarele:
   a) expunerile agregate la nivel de instituţie de credit;
   b) gradul de conformitate cu politicile şi limitele stabilite;
   c) rezultatul testelor efectuate pentru condiţii de criză;
   d) sinteze ale constatărilor rezultate ca urmare a analizei politicilor, procedurilor şi adecvării sistemului de administrare a riscurilor, inclusiv ale constatărilor auditului intern şi auditorului financiar al instituţiilor de credit.
   (3) Raportările trebuie transmise conducătorilor şi, într-o formă sintetică, consiliului de administraţie.
   3.2. - Riscul de lichiditate
   Art. 72. - Instituţiile de credit trebuie să îşi dezvolte strategia în domeniul administrării lichidităţii, care trebuie să includă şi o componentă a administrării zilnice a acesteia.
   Art. 73. - Politicile instituţiilor de credit privind administrarea lichidităţii trebuie să se refere cel puţin la următoarele:
   a) componenţa activelor, prin prisma lichidităţii şi a capacităţii acestora de a fi tranzacţionate pe piaţă, a pasivelor, precum şi a elementelor din afara bilanţului;
   b) modul de administrare a lichidităţii pe principalele valute cu care operează atât la nivel individual, cât şi la nivel agregat;
   c) utilizarea anumitor instrumente financiare, cum ar fi instrumentele financiare derivate.
   Art. 74. -(1) Instituţiile de credit trebuie să aibă proceduri de evaluare şi monitorizare a poziţiei lichidităţii, stabilite pe baza analizei fluxurilor de numerar viitoare, determinate în funcţie de evoluţiile viitoare ale elementelor de activ, de pasiv şi din afara bilanţului. Fluxurile de numerar viitoare vor fi distribuite pe benzi de scadenţe.
   (2) Instituţiile de credit vor calcula indicatori de lichiditate, pentru care vor stabili limite.
   (3) Instituţiile de credit vor stabili perioada în raport cu care se determină poziţia lichidităţii, precum şi frecvenţa de determinare a acesteia, în funcţie de natura activităţii lor.
   (4) Instituţiile de credit trebuie să determine poziţia lichidităţii pe baza unor scenarii care să ţină cont atât de factori interni (specifici instituţiilor de credit), cât şi de factori externi (legaţi de evoluţiile pieţei).
   (5) Instituţiile de credit trebuie să revizuiască periodic scenariile utilizate în administrarea lichidităţii, pentru a determina dacă acestea continuă să fie valabile. În acest scop, instituţiile de credit vor lua următoarele măsuri:
   a) determinarea nivelului activelor potenţiale (de exemplu: active ajunse la scadenţă ce ar putea fi reînnoite, cereri de noi credite ce ar putea fi aprobate, trageri din angajamente de finanţare date de instituţii de credit, ce ar putea fi efectuate);
   b) determinarea capacităţii de tranzacţionare pe piaţă a activelor;
   c) determinarea evoluţiei elementelor de pasiv bilanţiere în condiţii normale de desfăşurare a activităţii (de exemplu: nivelul reînnoirii depozitelor şi a altor elemente de pasiv, scadenţa efectivă a depozitelor la vedere sau a conturilor de economii, creşterea înregistrată în legătură cu noile depozite, monedă electronică emisă şi vândută), precum şi în condiţii de criză (de exemplu, probabilitatea de rămânere la dispoziţia instituţiei de credit a surselor de finanţare);
   d) determinarea evoluţiei elementelor din afara bilanţului, inclusiv a poziţiilor rezultate din operaţiuni cu instrumente financiare derivate.
   Art. 75. - Instituţiile de credit trebuie să menţină relaţii stabile cu furnizorii surselor de finanţare, să asigure o diversificare corespunzătoare a acestor surse prin evitarea concentrărilor în domeniul finanţării.
   Art. 76. -(1) În vederea implementării strategiei instituţiei de credit privind administrarea lichidităţii în condiţii de criză, instituţiile de credit trebuie să dispună de planuri alternative şi de proceduri de remediere.
   (2) Un plan alternativ în condiţii de criză presupune cel puţin:
   a) existenţa unor fluxuri de informaţii oportune şi neîntrerupte care să permită conducerii luarea unor decizii rapide;
   b) luarea de măsuri pentru modificarea evoluţiei elementelor de activ şi de pasiv;
   c) menţinerea relaţiilor cu furnizorii surselor de finanţare;
   d) orientarea către pieţe alternative;
   e) apelarea la facilităţile de credit avute la dispoziţie şi neutilizate.
   3.3. - Riscul operaţional şi alte riscuri semnificative
   Art. 77. - Instituţiile de credit trebuie să definească riscul operaţional pentru necesităţi interne.
   Art. 78. - Instituţiile de credit trebuie să aibă politici privind administrarea riscului operaţional, care vor lua în considerare cel puţin următoarele tipuri de evenimente generatoare ale unui astfel de risc:
   a) frauda internă (de exemplu: raportarea cu rea-credinţă a poziţiilor, furtul, încheierea de către salariaţi de tranzacţii în cont propriu);
   b) frauda externă (de exemplu: tâlhăria, falsificarea, spargerea unor coduri aferente sistemelor informatice);
   c) condiţiile aferente efectuării angajărilor de personal şi siguranţa locului de muncă (de exemplu: cererile compensatorii ale personalului, nerespectarea normelor de protecţie a muncii, promovarea unor practici discriminatorii);
   d) practici defectuoase legate de clientelă, produse şi activităţi (de exemplu: utilizarea necorespunzătoare a informaţiilor confidenţiale deţinute în legătură cu clientela, spălarea banilor, vânzarea unor produse neautorizate, folosirea greşită de către clienţi a produselor şi serviciilor aferente sistemului "electronic banking");
   e) punerea în pericol a activelor corporale (de exemplu: acte de terorism sau vandalism, incendii, cutremure);
   f) întreruperea activităţii şi funcţionarea defectuoasă a sistemelor (de exemplu: defecţiuni ale componentelor hardware şi software, probleme legate de telecomunicaţii, proiectarea, implementarea şi întreţinerea defectuoasă a sistemului "electronic banking");
   g) tratamentul aplicat clienţilor şi contrapartidelor comerciale, precum şi procesarea defectuoasă a datelor legate de aceştia (de exemplu: înregistrarea eronată a datelor de intrare, administrarea defectuoasă a garanţiilor reale, documentaţia legală incompletă, accesul neautorizat la conturile clienţilor, litigii);
   h) securitatea sistemului "electronic banking" (de exemplu: angajamente ale instituţiei de credit rezultate în mod fraudulos prin contrafacerea monedei electronice sau înregistrarea unor pierderi ori a unor angajamente suplimentare de către clienţi în cazul unui acces defectuos în cadrul sistemului).
   Art. 79. - În scopul identificării şi evaluării riscului operaţional, instituţiile de credit trebuie să ia cel puţin următoarele măsuri:
   a) evaluarea operaţiunilor şi activităţilor în vederea determinării celor vulnerabile la riscul operaţional;
   b) stabilirea unor indicatori cu ajutorul cărora să poată fi determinată poziţia instituţiei de credit afectate de riscul operaţional (de exemplu, număr de tranzacţii nefinalizate, frecvenţa şi/sau gravitatea erorilor şi omisiunilor, rata de fluctuaţie a personalului, creşterea rapidă a activităţii), precum şi a unor limite aferente acestora;
   c) evaluarea permanentă a expunerilor la riscul operaţional (de exemplu, pe baza datelor istorice legate de înregistrarea de pierderi, analizării unor scenarii diferite).
   Art. 80. - Băncile trebuie să aibă sisteme şi capacitate operaţională adecvate activităţilor cu instrumente financiare derivate pe care acestea le desfăşoară.
   Art. 81. - Instituţiile de credit vor dispune de următoarele proceduri pentru administrarea riscului operaţional:
   a) proceduri de evaluare;
   b) proceduri de monitorizare;
   c) proceduri de reducere a riscului fie pe plan intern, prin corectarea la timp a erorilor constatate şi prin introducerea unor tehnologii adecvate de procesare şi asigurare a securităţii informaţiilor, fie prin transferul riscului către alte domenii de activitate (de exemplu, asigurări împotriva unor evenimente).
   Art. 82. - Instituţiile de credit trebuie să stabilească planuri de reîncepere a activităţii şi pentru situaţii neprevăzute, care să ia în considerare diferite tipuri de scenarii, inclusiv în condiţii de criză.
   Art. 83. -(1) La evaluarea riscului juridic şi a celui reputaţional instituţiile de credit trebuie să ia în considerare cadrul legal şi de reglementare, inclusiv în domeniul social, precum şi orice alte elemente care le pot afecta activitatea (de exemplu: publicitatea negativă, conformă sau nu cu realitatea, făcută practicilor de afaceri şi/sau persoanelor legate de acestea, pierderea încrederii în soliditatea unei instituţii de credit, datorată încălcării grave a securităţii acesteia în urma unor atacuri interne sau externe asupra sistemului informaţional, întâmpinarea de către clienţi a unor probleme în utilizarea anumitor produse, fără a avea suficiente informaţii despre acestea şi fără a cunoaşte procedurile de remediere a problemelor respective, necunoaşterea clară a drepturilor şi obligaţiilor părţilor unei tranzacţii de tip "electronic banking", inclusiv cu monedă electronică).
   (2) În vederea reducerii riscului juridic şi reputaţional, instituţiile de credit pot dezvolta programe de educare a clienţilor pentru utilizarea noilor produse şi servicii, pentru cunoaşterea comisioanelor aferente acestora, pentru semnalarea problemelor ce pot apărea şi a modalităţilor de soluţionare a acestora.
   Art. 84. -(1) Înainte de a se angaja în tranzacţii cu instrumente financiare derivate, băncile trebuie să se asigure că, potrivit cadrului legal şi de reglementare, contrapartidele au capacitatea de a se angaja în astfel de tranzacţii.
   (2) Băncile trebuie să se asigure că obligaţiile contrapartidei care apar din tranzacţii cu instrumente financiare derivate şi drepturile lor asupra oricăror garanţii reale primite de la o contrapartidă pot fi îndeplinite.
   (3) Băncile trebuie să se asigure de întocmirea în mod corespunzător şi posibil de pus în aplicare din punct de vedere legal a contractelor de compensare a creanţelor şi obligaţiilor reciproce decurgând din operaţiuni cu instrumente având la bază cursul de schimb şi rata dobânzii.

   SECŢIUNEA a 4-a
Administrarea riscurilor asociate activităţilor externalizate

   Art. 85. -(1) Instituţiile de credit trebuie să dispună de politici privind externalizarea activităţilor auxiliare sau conexe în raport cu activităţile principale.
   (2) Instituţiile de credit trebuie să dispună de proceduri de administrare a riscurilor asociate activităţilor externalizate, respectiv a riscului juridic, a riscului reputaţional şi a riscului operaţional.
   (3) Procedurile de administrare a riscurilor asociate activităţilor externalizate se vor referi cel puţin la următoarele:
   a) luarea deciziilor privind externalizarea unor noi activităţi sau modificarea celor existente;
   b) selectarea şi evaluarea societăţilor prestatoare de servicii auxiliare sau conexe în legătură cu aspecte cum ar fi: solvabilitatea, reputaţia, familiarizarea cu specificul sectorului instituţiilor de credit, calitatea serviciilor prestate, organizarea activităţii şi controlul intern, existenţa unui personal competent, existenţa unui plan alternativ de redresare a activităţii, asigurarea confidenţialităţii informaţiei, în special în cazul celei legate de instrumentele de plată electronică;
   c) monitorizarea modului în care societăţile prestatoare de servicii auxiliare sau conexe desfăşoară activităţile externalizate;
   d) elaborarea de planuri alternative şi stabilirea costurilor şi resurselor necesare pentru schimbarea societăţilor prestatoare de servicii auxiliare sau conexe.
   Art. 86. -(1) Instituţiile de credit pot externaliza activităţi doar în condiţiile încheierii de contracte cu societăţi prestatoare de servicii auxiliare sau conexe.
   (2) Contractele încheiate cu societăţi prestatoare de servicii auxiliare sau conexe în legătură cu activităţile externalizate trebuie să fie în formă scrisă şi să asigure o alocare clară a responsabilităţilor fiecărei părţi.
   (3) Instituţiile de credit vor putea încheia contracte cu societăţi prestatoare de servicii auxiliare sau conexe, în legătură cu activităţile externalizate, în următoarele condiţii:
   a) asigurarea existenţei unor date actualizate şi a altor informaţii la nivelul instituţiei de credit;
   b) asigurarea accesului unor entităţi din România (Banca Naţională a României, autorităţi sau instituţii publice, casa centrală a cooperativelor de credit) la datele şi informaţiile aferente operaţiunilor din România, în cazul externalizării unor activităţi în afara graniţelor ţării;
   c) asigurarea securităţii/confidenţialităţii datelor, cel puţin prin următoarele măsuri: angajamentul societăţii prestatoare de servicii auxiliare sau conexe şi al personalului acesteia de a se supune regulilor de confidenţialitate, drepturile contractuale ale instituţiei de credit de a lua măsuri împotriva societăţii prestatoare de servicii auxiliare sau conexe în cazul încălcării confidenţialităţii, separarea datelor instituţiei de credit de cele ale societăţii prestatoare de servicii auxiliare sau conexe şi de cele ale altor clienţi ai acesteia.
   Art. 87. - Instituţiile de credit nu pot externaliza următoarele activităţi:
   a) activităţile principale prevăzute la art. 8 şi 15 3 din Legea nr. 58/1998 privind activitatea bancară, cu modificările şi completările ulterioare, la art. 7 din Legea nr. 541/2002 privind economisirea şi creditarea în sistem colectiv pentru domeniul locativ, modificată şi completată prin Ordonanţa de urgenţă a Guvernului nr. 99/2003, şi la art. 104 din Ordonanţa de urgenţă a Guvernului nr. 97/2000 privind organizaţiile cooperatiste de credit, aprobată şi modificată prin Legea nr. 200/2002;
   b) activitatea de audit intern, în condiţiile în care furnizorul extern de servicii în domeniul auditului intern are şi calitatea de auditor financiar al instituţiei de credit în cauză;
   c) organizarea şi ţinerea contabilităţii, în condiţiile în care între persoanele cărora le-ar fi externalizată activitatea de ţinere a contabilităţii şi auditorul financiar există legături ce afectează independenţa acestuia în exercitarea mandatului;
   d) organizarea şi desfăşurarea activităţii juridice curente, în conformitate cu dispoziţiile Legii nr. 514/2003 privind organizarea şi exercitarea profesiei de consilier juridic;
   e) orice alte activităţi care în urma externalizării nu mai pot fi controlate şi desfăşurate în conformitate cu regulile unei practici bancare prudente şi sănătoase.

   SECŢIUNEA a 5-a
Comitetul de administrare a riscurilor

   Art. 88. -(1) Instituţiile de credit trebuie să dispună de un comitet de administrare a riscurilor. Comitetul de administrare a riscurilor este un comitet permanent, ale cărui funcţionare şi atribuţii sunt reglementate de prezentele norme şi de regulamentele interne ale fiecărei instituţii de credit.
   (2) Comitetul de administrare a riscurilor îşi poate desfăşura lucrările în subcomitete, în funcţie de mărimea şi complexitatea instituţiilor de credit.
   (3) Comitetul de administrare a riscurilor se constituie prin decizie a consiliului de administraţie.
   Art. 89. - Instituţiile de credit trebuie să dispună de un regulament al comitetului de administrare a riscurilor, aprobat la nivelul consiliului de administraţie şi revizuit periodic, după caz, care să indice componenţa, autoritatea şi responsabilităţile acestuia şi modul de raportare către consiliul de administraţie.
   Art. 90. -(1) Membrii comitetului de administrare a riscurilor trebuie să aibă o experienţă compatibilă cu responsabilităţile lor în cadrul acestuia.
   (2) Comitetul de administrare a riscurilor este format din conducători ai instituţiei de credit şi ai compartimentelor a căror activitate este afectată de riscurile semnificative şi, dacă se consideră necesar, din acest comitet pot face parte şi alţi conducători de compartimente.
   Art. 91. - Comitetul de administrare a riscurilor va avea cel puţin următoarele atribuţii:
   a) să asigure informarea consiliului de administraţie asupra problemelor şi evoluţiilor semnificative care ar putea influenţa profilul de risc al instituţiei de credit;
   b) să dezvolte politici şi proceduri adecvate pentru identificarea, evaluarea, monitorizarea şi controlul riscurilor semnificative;
   c) să aprobe metodologii şi modele adecvate pentru evaluarea riscurilor şi limitarea expunerilor;
   d) să stabilească limite corespunzătoare privind expunerea la riscuri, inclusiv pentru condiţii de criză, în conformitate cu mărimea, complexitatea şi situaţia financiară a instituţiei de credit, precum şi proceduri necesare pentru aprobarea excepţiilor de la respectivele limite;
   e) să aprobe angajarea instituţiilor de credit în noi activităţi, pe baza analizei riscurilor semnificative aferente acestora;
   f) să analizeze măsura în care planurile alternative de care dispune banca corespund situaţiilor neprevăzute cu care aceasta s-ar putea confrunta;
   g) să prezinte consiliului de administraţie informări suficient de detaliate şi oportune, care să permită acestuia să cunoască şi să evalueze performanţa conducerii în monitorizarea şi controlul riscurilor semnificative, potrivit politicilor aprobate, precum şi performanţa de ansamblu a instituţiei de credit;
   h) să informeze regulat consiliul de administraţie asupra situaţiei expunerilor instituţiei de credit la riscuri şi imediat, în cazul în care intervin schimbări semnificative în expunerea curentă sau viitoare a instituţiei de credit la riscurile respective;
   i) să stabilească sisteme de raportare corespunzătoare a aspectelor legate de riscuri;
   j) să stabilească competenţele şi responsabilităţile pentru administrarea şi controlul expunerilor la riscuri.

   CAPITOLUL IV
 Organizarea şi desfăşurarea activităţii de audit intern
a instituţiilor de credit

   SECŢIUNEA 1
Obiectivul auditului intern

   Art. 92. -(1) Instituţiile de credit trebuie să organizeze auditul intern ca o componentă a activităţii de monitorizare a sistemului de control intern şi a evaluării gradului de adecvare a nivelului fondurilor proprii în funcţie de riscurile la care instituţiile de credit sunt expuse, în vederea asigurării unei evaluări independente a adecvării politicilor şi procedurilor stabilite şi a modului în care acestea sunt respectate.
   (2) Casele centrale ale cooperativelor de credit trebuie să organizeze auditul intern şi ca o componentă a activităţii de monitorizare a atingerii obiectivelor de control intern la nivelul reţelei cooperatiste de credit şi a evaluării gradului de adecvare a nivelului fondurilor proprii ale reţelei cooperatiste de credit în funcţie de riscurile la care aceasta este expusă, în vederea asigurării unei evaluări independente a adecvării politicilor stabilite şi a modului în care acestea sunt respectate şi, după caz, ca o componentă a activităţii de monitorizare a sistemului de control intern al cooperativelor de credit afiliate şi a evaluării gradului de adecvare a nivelului fondurilor proprii ale acestora în funcţie de riscurile la care sunt expuse, în vederea asigurării unei evaluări independente a adecvării politicilor şi procedurilor stabilite şi a modului în care acestea sunt respectate.
   Art. 93. -(1) Obiectivul auditului intern îl reprezintă îmbunătăţirea activităţii instituţiilor de credit.
   (2) Obiectivul auditului intern al casei centrale a cooperativelor de credit îl reprezintă şi îmbunătăţirea activităţii reţelei cooperatiste de credit.
   Art. 94. -(1) Auditul intern trebuie să acopere toate activităţile instituţiilor de credit, inclusiv activităţile sediilor secundare din ţară şi din străinătate.
   (2) Auditul intern al casei centrale a cooperativelor de credit este responsabil şi pentru modul în care este organizat şi se desfăşoară auditul intern la nivelul cooperativelor de credit afiliate. Auditul intern al casei centrale a cooperativelor de credit se poate implica în mod direct în activitatea de audit intern la nivelul cooperativelor de credit afiliate.
   Art. 95. -(1) Instituţiile de credit îşi vor organiza activitatea de audit intern astfel încât aceasta să contribuie la îndeplinirea obiectivelor lor, prin prezentarea unei abordări sistematice şi disciplinate de evaluare şi îmbunătăţire a eficienţei sistemului de control intern, procesului de administrare a riscurilor şi proceselor de conducere din cadrul instituţiilor de credit, în cadrul unor angajamente de audit sau, după caz, prin furnizarea unor servicii de consultanţă, potrivit statutului auditului intern.
   (2) În vederea îndeplinirii obiectivului prevăzut la art. 93 alin. (1), auditul intern al instituţiilor de credit va include, în principal, în cadrul unui angajament de audit, următoarele activităţi:
   a) evaluarea eficienţei şi a gradului de adecvare a sistemului de control intern;
   b) evaluarea modului de aplicare şi a eficacităţii procedurilor de administrare a riscurilor şi a metodologiilor de evaluare a riscurilor semnificative;
   c) analizarea relevanţei şi integrităţii datelor furnizate de sistemele informaţionale financiare şi de gestiune, inclusiv de sistemul informatic;
   d) evaluarea acurateţei şi credibilităţii înregistrărilor contabile şi situaţiilor financiare;
   e) evaluarea modului în care se asigură protejarea elementelor patrimoniale bilanţiere şi extrabilanţiere şi identificarea metodelor de prevenire a fraudelor şi pierderilor de orice fel;
   f) evaluarea gradului de adecvare a nivelului fondurilor proprii ale instituţiilor de credit în funcţie de riscurile la care acestea sunt expuse;
   g) testarea atât a operaţiunilor, cât şi a funcţionării procedurilor specifice de control;
   h) evaluarea eficienţei operaţiunilor instituţiilor de credit;
   i) evaluarea modului în care sunt respectate dispoziţiile cadrului legal, cerinţele codurilor de conduită, precum şi evaluarea modului în care sunt implementate politicile şi procedurile instituţiei de credit;
   j) testarea integrităţii, credibilităţii şi, după caz, a oportunităţii raportărilor, inclusiv a celor destinate utilizatorilor externi.
   (3) În cadrul unui angajament de consultanţă al instituţiei de credit, auditul intern va avea în vedere şi eficacitatea procesului de administrare a riscurilor şi a sistemului de control intern.
   (4) Casele centrale ale cooperativelor de credit îşi vor organiza activitatea de audit intern astfel încât aceasta să contribuie şi la îndeplinirea obiectivelor reţelei cooperatiste de credit, prin prezentarea unei abordări sistematice şi disciplinate de evaluare a activităţii de control intern, a procesului de administrare a riscurilor şi a proceselor de conducere.
   (5) În vederea îndeplinirii obiectivului prevăzut la art. 93 alin. (2), auditului intern al casei centrale a cooperativelor de credit i se aplică în mod corespunzător prevederile alin. (2) lit. b)-e), h) şi j) şi trebuie să desfăşoare următoarele activităţi:
   a) evaluarea realizării obiectivelor de control intern ale reţelei cooperatiste de credit;
   b) evaluarea gradului de adecvare a nivelului fondurilor proprii ale reţelei cooperatiste de credit în funcţie de riscurile la care aceasta este expusă, precum şi, după caz, a nivelului fondurilor proprii ale cooperativelor de credit afiliate în funcţie de riscurile la care acestea sunt expuse;
   c) testarea atât a operaţiunilor, cât şi a funcţionării procedurilor specifice de control ale cooperativelor de credit afiliate, după caz;
   d) evaluarea modului în care sunt respectate cerinţele codurilor de conduită şi a modului în care sunt implementate politicile la nivelul reţelei;
   e) evaluarea modului în care sunt respectate dispoziţiile cadrului legal, cerinţele codurilor de conduită, precum şi evaluarea modului în care sunt implementate politicile şi procedurile cooperativelor de credit.

   SECŢIUNEA a 2-a
Externalizarea activităţii de audit intern

   Art. 96. -(1) Consiliul de administraţie al instituţiilor de credit, cu avizul comitetului de audit, poate lua decizia externalizării totale sau parţiale a activităţii de audit intern. La luarea deciziei se vor aplica în mod corespunzător prevederile secţiunii a 4-a a cap. III din prezentele norme.
   (2) Instituţiile de credit pot externaliza activitatea de audit intern numai unui auditor financiar specializat în auditarea respectivei categorii de instituţii de credit.
   (3) Principiile fundamentale ale auditului intern rămân aplicabile şi în cazul externalizării acestei activităţi.
   (4) Coordonatorul activităţii de audit intern trebuie să fie angajat al instituţiei de credit.
   Art. 97. - Coordonatorul activităţii de audit intern are cel puţin următoarele atribuţii pe linia externalizării activităţii de audit intern:
   a) elaborarea fundamentării necesităţii externalizării activităţii de audit intern;
   b) evaluarea furnizorului/furnizorilor extern/externi de servicii în domeniul auditului intern, în vederea creării condiţiilor necesare pentru desfăşurarea corespunzătoare a activităţii de audit intern şi respectării principiilor fundamentale ale auditului intern pe tot parcursul activităţii;
   c) prezentarea propunerilor cuprinse la lit. a) şi b) spre aprobarea consiliului de administraţie, cu avizul comitetului de audit.

   SECŢIUNEA a 3-a
Principii fundamentale ale auditului intern

   3.1. - Permanenţa auditului intern
   Art. 98. -(1) Auditul intern reprezintă o activitate cu caracter permanent.
   (2) Conducătorii instituţiilor de credit sunt responsabili pentru asigurarea unei activităţi de audit intern adecvate, corespunzătoare dimensiunii şi naturii operaţiunilor lor.
   3.2. - Independenţa auditului intern
   Art. 99. -(1) Instituţiile de credit trebuie să asigure independenţa activităţii de audit intern de activităţile auditate şi de activităţile zilnice pe care le implică controlul intern.
   (2) Activitatea de audit intern va fi subordonată consiliului de administraţie din punct de vedere funcţional.
   (3) Coordonatorul activităţii de audit intern trebuie să aibă competenţa de a comunica, direct şi din proprie iniţiativă, cele constatate în cadrul activităţii desfăşurate consiliului de administraţie, comitetului de audit, precum şi auditorilor financiari ai instituţiilor de credit, după caz, potrivit prevederilor stabilite de fiecare instituţie de credit în cadrul statutului auditului intern.
   3.3. - Obiectivitatea şi imparţialitatea auditului intern
   Art. 100. - Auditorii interni trebuie să fie obiectivi şi imparţiali, astfel încât să fie evitat orice conflict de interese.
   Art. 101. -(1) Orice situaţie de conflict de interese va fi adusă la cunoştinţă părţilor interesate.
   (2) Orice situaţie de limitare a sferei de cuprindere a auditului intern va fi adusă la cunoştinţă consiliului de administraţie şi comitetului de audit.
   (3) Orice situaţie prin care se prejudiciază obiectivitatea şi imparţialitatea auditului intern, înaintea începerii sau în timpul desfăşurării unui angajament de consultanţă, trebuie adusă imediat la cunoştinţă conducerii instituţiei de credit.
   (4) Persoanele care sunt soţi, rude sau afini până la gradul al patrulea inclusiv cu conducătorii unei instituţii de credit nu pot fi auditori interni ai instituţiei de credit.
   (5) Persoanele care sunt soţi, rude sau afini până la gradul al patrulea inclusiv cu conducătorii unei cooperative de credit nu pot fi auditori interni ai casei centrale a cooperativelor de credit.
   Art. 102. -(1) În vederea evitării oricărui conflict de interese, auditorii interni nu vor putea audita activităţi sau funcţii desfăşurate şi, respectiv, deţinute decât după trecerea unei perioade de cel puţin un an şi nu vor putea fi angrenaţi în operaţiuni ale instituţiilor de credit ori în proiectarea sau implementarea oricăror proceduri de control.
   (2) În vederea evitării oricărui conflict de interese, auditorii interni ai unei case centrale a cooperativelor de credit nu vor putea fi angrenaţi nici în operaţiuni ale cooperativelor de credit ori în proiectarea sau implementarea oricăror proceduri de control ale acestora.
   (3) Auditorii interni pot formula recomandări cu privire la procedurile de control.
   (4) Fără a prejudicia obiectivitatea şi imparţialitatea auditului intern, la cererea conducătorilor instituţiei de credit, acesta poate să exprime opinii legate de modul în care principiile de control intern sunt respectate în unele situaţii specifice, cum ar fi: reorganizări de amploare, demararea unor noi activităţi importante sau riscante, constituirea sau reorganizarea sistemelor de control al administrării riscurilor, sistemelor informaţionale ori informatice.
   (5) Casele centrale ale cooperativelor de credit vor aplica în mod corespunzător prevederile alin. (4) la nivelul reţelei cooperatiste de credit.
   Art. 103. - Fără a prejudicia obiectivitatea şi imparţialitatea auditului intern, auditorii interni vor putea acorda consultanţă asupra unor operaţiuni pentru care au avut anterior responsabilităţi sau asupra cărora au exercitat angajamente de audit, în conformitate cu statutul auditului intern, cu condiţia de a nu efectua un angajament de audit în anul următor.
   3.4. - Integritatea şi competenţa profesională
   Art. 104. - Auditorii interni trebuie să fie corecţi, oneşti şi incoruptibili, să respecte prevederile legale şi ale Codului privind conduita etică în activitatea de audit intern şi să comunice informaţii potrivit cerinţelor legale şi ale profesiei.
   Art. 105. -(1) Instituţiile de credit trebuie să se asigure că auditorii interni sunt competenţi din punct de vedere profesional privind îndeplinirea responsabilităţilor individuale.
   (2) La evaluarea competenţei profesionale a auditorilor interni trebuie să fie avute în vedere complexitatea activităţilor instituţiei de credit ce fac obiectul auditului intern, natura activităţii ce urmează a fi desfăşurată, respectiv capacitatea acestora de a solicita şi obţine informaţii, de a le sintetiza, evalua şi raporta.
   (3) La evaluarea competenţei profesionale a auditorilor interni ai casei centrale a cooperativelor de credit trebuie să fie avută în vedere şi complexitatea activităţilor desfăşurate la nivelul reţelei cooperatiste de credit.
   Art. 106. - Pentru a nu fi afectată capacitatea de evaluare critică a auditorilor interni, ca urmare a rutinei şi executării permanente a aceloraşi sarcini, instituţiile de credit trebuie să asigure, în măsura posibilităţilor, rotirea acestora, cu condiţia respectării principiului obiectivităţii şi imparţialităţii.
   Art. 107. - Instituţiile de credit trebuie să se asigure că, pe ansamblu, auditorii interni răspund din punct de vedere profesional obiectivelor prevăzute de statutul auditului intern.
   3.5. - Confidenţialitatea
   Art. 108. -(1) Auditorii interni trebuie să fie prudenţi în utilizarea informaţiilor colectate în exercitarea activităţii şi să asigure protejarea acestor informaţii.
   (2) Auditorii interni nu vor utiliza informaţiile colectate pentru obţinerea unor avantaje personale sau în orice mod care ar fi contrar prevederilor legale ori în detrimentul obiectivelor instituţiei de credit.
   (3) Auditorii interni ai casei centrale a cooperativelor de credit nu vor utiliza informaţiile colectate în detrimentul obiectivelor stabilite la nivelul unei reţele cooperatiste de credit.

   SECŢIUNEA a 4-a
Statutul auditului intern

   Art. 109. -(1) Instituţiile de credit trebuie să elaboreze statutul auditului intern, care va stabili cel puţin următoarele:
   a) obiectivele şi sfera de cuprindere ale auditului intern;
   b) poziţia auditului intern în cadrul instituţiei de credit, competenţele şi responsabilităţile acestuia;
   c) responsabilităţile coordonatorului activităţii de audit intern;
   d) termenii şi condiţiile în care auditorii interni pot furniza servicii de consultanţă sau pot îndeplini alte sarcini speciale.
   (2) Statutul auditului intern al unei case centrale a cooperativelor de credit va cuprinde cel puţin elementele menţionate la alin. (1) lit. a)-c) la nivelul unei reţele cooperatiste de credit.
   Art. 110. -(1) Statutul auditului intern trebuie să fie revizuit periodic şi comunicat întregului personal al instituţiei de credit. El trebuie aprobat de consiliul de administraţie şi de conducătorii instituţiilor de credit, în cazul în care aceştia nu sunt membri ai consiliului de administraţie, după caz, cu avizul comitetului de audit.
   (2) Statutul auditului intern al unei case centrale a cooperativelor de credit trebuie să fie revizuit periodic şi comunicat întregului personal al reţelei cooperatiste de credit. El trebuie aprobat de consiliul de administraţie al casei centrale a cooperativelor de credit.
   Art. 111. -(1) Statutul auditului intern trebuie să prevadă dreptul de iniţiativă al auditorului intern şi autoritatea acestuia de a comunica cu orice membru din cadrul personalului instituţiei de credit, de a examina orice activitate, compartiment sau sediu secundar al instituţiei de credit, precum şi accesul acestuia la orice înregistrări, fişiere şi informaţii interne, inclusiv la informaţii destinate conducerii, precum şi la procese-verbale şi alte materiale cu caracter similar ale tuturor organelor de decizie şi consultative, care prezintă relevanţă în îndeplinirea atribuţiilor sale.
   (2) Statutul auditului intern al unei case centrale a cooperativelor de credit trebuie să prevadă şi autoritatea auditorului intern de a comunica cu orice membru din cadrul personalului cooperativelor de credit afiliate, de a examina orice activitate, compartiment sau sediu secundar al acestora, precum şi accesul auditorului la orice înregistrări, fişiere şi informaţii interne, inclusiv la informaţii destinate conducerii, precum şi la procese-verbale şi alte materiale cu caracter similar ale tuturor organelor de decizie, care prezintă relevanţă în îndeplinirea atribuţiilor sale.

   SECŢIUNEA a 5-a
Desfăşurarea activităţii de audit intern

   Art. 112. -(1) Activitatea de audit intern presupune, în vederea desfăşurării de angajamente de audit, parcurgerea a cel puţin următoarelor etape:
   a) planificarea activităţii de audit intern;
   b) examinarea şi evaluarea informaţiilor avute la dispoziţie;
   c) comunicarea rezultatelor;
   d) monitorizarea implementării recomandărilor date.
   (2) Prevederile alin. (1) se vor aplica în mod corespunzător şi pentru auditul intern al cooperativelor de credit afiliate unei case centrale a cooperativelor de credit.
   (3) Activitatea de audit intern poate presupune, în vederea desfăşurării unui angajament de consultanţă, parcurgerea următoarelor etape:
   a) planificarea unor întâlniri cu beneficiarul serviciului de consultanţă - reprezentantul compartimentului/sediului secundar al instituţiei de credit - pentru evaluarea naturii şi întinderii serviciului ce va fi furnizat;
   b) confirmarea faptului că beneficiarul serviciului înţelege şi este de acord cu tipul de consultanţă prevăzut de statutul auditului intern;
   c) evaluarea angajamentului de consultanţă sub raportul compatibilităţii cu planul de audit;
   d) stabilirea printr-un acord a condiţiilor şi cerinţelor generale, precum şi a altor factori importanţi ai unui angajament oficial de consultanţă;
   e) comunicarea rezultatelor;
   f) monitorizarea implementării recomandărilor date.
   Art. 113. -(1) Coordonatorul activităţii de audit intern răspunde de dezvoltarea şi menţinerea unui program de asigurare a calităţii şi îmbunătăţire a activităţii de audit intern, prin care să se asigure că activitatea de audit intern se desfăşoară pe baza unor norme solide de audit intern, transpuse în proceduri, precum şi în conformitate cu Codul privind conduita etică în activitatea de audit intern.
   (2) Coordonatorul activităţii de audit intern răspunde de monitorizarea şi evaluarea eficienţei programului de asigurare a calităţii acestei activităţi. Evaluarea poate fi internă sau externă şi va urmări cel puţin:
   a) conformitatea cu normele de audit intern şi Codul privind conduita etică în activitatea de audit intern;
   b) adecvarea activităţii de audit intern la statutul auditului intern, obiectivele, politicile şi procedurile aferente;
   c) contribuţia activităţii de audit intern la îmbunătăţirea procesului de administrare a riscurilor, de conducere şi la sistemul de control intern;
   d) modul în care activitatea de audit intern a contribuit la îmbunătăţirea activităţii instituţiei de credit.
   (3) Coordonatorul activităţii de audit intern al unei case centrale a cooperativelor de credit răspunde de monitorizarea şi evaluarea eficienţei programului de asigurare a calităţii acestei activităţi şi la nivelul reţelei cooperatiste de credit. În acest sens, prevederile alin. (2) referitoare la evaluarea eficienţei programului de asigurare a calităţii se vor aplica în mod corespunzător.
   (4) Coordonatorul activităţii de audit intern este responsabil pentru asigurarea competenţei profesionale a auditorilor interni, pentru pregătirea profesională a acestora şi pentru existenţa unor resurse necesare, adecvate desfăşurării activităţii.
   (5) Coordonatorul activităţii de audit intern este responsabil pentru stabilirea politicilor şi procedurilor aferente activităţii de audit intern. Acestea pot fi concretizate în manuale privind tehnica auditului intern.
   (6) Coordonatorul activităţii de audit intern este responsabil de coordonarea activităţilor desfăşurate de auditorii interni din cadrul instituţiei de credit cu cele ale altor furnizori externi de servicii în domeniul auditului intern, pentru a minimiza eforturile necesare atingerii obiectivelor auditului intern.
   (7) Coordonatorul activităţii de audit intern este responsabil pentru informarea, cel puţin anual, a consiliului de administraţie al instituţiei de credit şi a comitetului de audit asupra activităţii desfăşurate în raport cu planul auditului intern (angajamente efectuate, abateri semnificative de la plan şi motivele aferente) şi a principalelor recomandări aferente angajamentelor desfăşurate.
   (8) Coordonatorul activităţii de audit intern al unei case centrale a cooperativelor de credit este responsabil, după caz, şi pentru informarea, cel puţin anual, a consiliului de administraţie al cooperativelor de credit asupra activităţii desfăşurate în raport cu planul auditului intern (angajamente efectuate, abateri semnificative de la plan şi motivele aferente) şi a principalelor recomandări aferente angajamentelor desfăşurate.
   Art. 114. -(1) Auditul intern poate utiliza, în funcţie de obiectivul urmărit, una dintre următoarele forme de audit, specifice unui angajament de audit:
   a) audit financiar, ce are ca obiectiv verificarea credibilităţii sistemului contabil şi informatic şi a situaţiilor financiare anuale;
   b) audit de conformitate, ce are ca obiectiv verificarea conformităţii cu legile, reglementările, politicile şi procedurile;
   c) audit operaţional, ce are ca obiectiv verificarea calităţii şi adecvării sistemelor şi procedurilor, analiza critică a structurii organizatorice, evaluarea adecvării metodelor şi resurselor în raport cu obiectivele stabilite;
   d) audit al conducerii, ce are ca obiectiv evaluarea din punct de vedere calitativ a modului în care este exercitată funcţia de conducere pentru îndeplinirea obiectivelor instituţiei de credit.
   (2) Auditul intern poate oferi, în limita statutului auditului intern, următoarele tipuri de servicii de consultanţă:
   a) angajamente oficiale de consultanţă - planificate şi concretizate într-un document scris;
   b) angajamente neoficiale de consultanţă - activităţi de rutină, cum ar fi: participarea la comitete permanente, proiecte pe durată limitată, întruniri ad-hoc şi schimb de informaţii;
   c) angajamente speciale de consultanţă - participări la fuziuni şi achiziţii;
   d) angajamente de consultanţă pentru cazuri deosebite - participarea într-o echipă stabilită pentru redresarea sau menţinerea activităţilor după un dezastru sau alt eveniment extraordinar ori într-o echipă desemnată să acorde sprijin temporar pentru îndeplinirea unei cerinţe speciale.
   (3) Auditul intern nu va putea agrea desfăşurarea unui angajament de consultanţă care determină sustragerea de la cerinţele normale aferente unui angajament de audit, dacă serviciul respectiv este mai bine desfăşurat ca angajament de audit.
   Art. 115. -(1) Coordonatorul activităţii de audit intern va elabora un plan de audit care va include termenele şi frecvenţa angajamentelor de audit planificate. Planul de audit trebuie să cuprindă o situaţie referitoare la resursele necesare, inclusiv cele de personal.
   (2) Planul de audit va avea la bază metodologia de evaluare a riscurilor, ale cărei principii vor fi stabilite de coordonatorul activităţii de audit intern şi vor trebui actualizate cu regularitate. Analiza riscurilor se va referi la toate activităţile instituţiilor de credit şi la sistemul de control intern.
   (3) La nivelul unei reţele cooperatiste de credit analiza riscurilor se va referi şi la obiectivele controlului intern la nivelul reţelei, precum şi la toate activităţile cooperativelor de credit afiliate şi la sistemul de control intern al acestora.
   (4) Planul de audit urmează a se derula pe un anumit număr de ani şi se va stabili pe baza rezultatelor analizei riscurilor aferente tuturor activităţilor desfăşurate. Planul de audit va avea în vedere şi evoluţiile prognozate, gradul de risc, în general mai ridicat, aferent noilor activităţi, necesitatea de a audita într-o perioadă stabilită prin statutul auditului intern toate activităţile semnificative, precum şi angajamentele de consultanţă propuse şi acceptate, după caz.
   (5) Planul de audit trebuie aprobat de către consiliul de administraţie şi de conducătorii instituţiei de credit, în cazul în care aceştia nu sunt membri ai consiliului de administraţie, cu avizul comitetului de audit.
   (6) Planul de audit la nivelul unei reţele cooperatiste de credit trebuie aprobat de către consiliul de administraţie al casei centrale a cooperativelor de credit afiliate, cu avizul comitetului de audit.
   Art. 116. -(1) Pentru fiecare angajament de audit din planul de audit trebuie elaborat un program care să descrie obiectivele şi etapele acestuia.
   (2) Programul iniţial şi orice modificări ale acestuia trebuie să fie aprobate de către coordonatorul activităţii de audit intern.
   (3) Procedurile de audit aferente angajamentului de audit trebuie documentate în fişe de lucru care, întocmite pe baza unei metode determinate, trebuie să reflecte informaţiile colectate, precum şi examinările efectuate şi să evidenţieze evaluările formulate în raport. Fişele de lucru trebuie aprobate de către coordonatorul activităţii de audit intern, înaintea începerii unui angajament.
   (4) Coordonatorul activităţii de audit intern trebuie să stabilească politici privind păstrarea datelor aferente fiecărui angajament, precum şi furnizarea acestora unor terţe persoane. Datele aferente fiecărui angajament nu vor putea fi furnizate terţilor fără aprobarea conducătorilor instituţiilor de credit.
   (5) Instituţiile de credit vor lua în considerare tipul serviciilor de consultanţă care pot fi oferite potrivit statutului auditului intern, după caz, şi vor determina dacă trebuie stabilite politici şi proceduri specifice pentru fiecare serviciu de acest gen.
   (6) Natura, întinderea şi rezultatele generale ale unui angajament de consultanţă trebuie comunicate conducătorilor instituţiei de credit şi comitetului de audit.
   Art. 117. -(1) Pentru fiecare angajament de audit din planul de audit trebuie întocmit un raport de audit în cât mai scurt timp posibil. Raportul de audit trebuie transmis conducerii structurii auditate şi, într-o formă sumară, conducătorilor instituţiei de credit.
   (2) Raportul de audit într-un angajament de audit trebuie să prezinte scopul şi întinderea angajamentului respectiv, inclusiv perioada auditată, şi să cuprindă constatările şi recomandările auditului intern, un plan de acţiuni pentru punerea în practică a acestora, în vederea îmbunătăţirii activităţii instituţiei de credit, precum şi răspunsurile structurii auditate pe marginea acestora. Raportul poate include şi stadiul îndeplinirii recomandărilor aferente angajamentelor anterioare.
   (3) În cazul în care anumite informaţii conţinute în raportul de audit (informaţii privilegiate, legate de acţiuni ilegale sau necorespunzătoare) nu este oportun să fie cunoscute de toţi beneficiarii unui astfel de raport, ele vor fi dezvăluite într-un raport separat, care va fi transmis consiliului de administraţie al instituţiei de credit.
   (4) În cazul în care se doreşte comunicarea unor informaţii ce necesită atenţie imediată, a modificării întinderii angajamentului sau informarea continuă a conducătorilor structurii auditate asupra progreselor unui angajament ce se întinde pe o perioadă mai mare, se pot întocmi rapoarte interimare.
   (5) Prevederile alin. (1), (2) şi (4) se vor aplica în mod corespunzător pentru fiecare angajament ce face obiectul auditului intern la nivelul unei reţele cooperatiste de credit.
   Art. 118. -(1) În urma analizării recomandărilor auditului intern, conducătorul/conducătorii responsabil/responsabili de coordonarea structurii auditate va/vor dispune asupra implementării recomandărilor respective.
   (2) La implementarea recomandărilor vor fi avute în vedere cel puţin: importanţa recomandării făcute de auditul intern, responsabilităţile persoanelor implicate în remedierea deficienţelor raportate, termenul în care trebuie remediată deficienţa, complexitatea măsurii de corectare şi implicaţiile asupra instituţiei de credit în cazul în care măsura de corectare eşuează.
   Art. 119. -(1) Auditul intern va urmări modul de implementare a recomandărilor sale şi va raporta în acest sens, cel puţin semestrial, conducătorilor, consiliului de administraţie şi comitetului de audit.
   (2) Auditul intern al casei centrale a cooperativelor de credit va urmări modul de implementare a recomandărilor sale şi la nivelul reţelei cooperatiste de credit şi va raporta în acest sens, cel puţin semestrial, consiliului de administraţie şi comitetului de audit.
   (3) Auditul intern va monitoriza rezultatele unui acord de consultanţă în limitele convenite cu beneficiarul acestuia.

   SECŢIUNEA a 6-a
Comitetul de audit

   Art. 120. -(1) Instituţiile de credit trebuie să dispună de un comitet de audit.
   (2) Comitetul de audit este un comitet permanent, independent de conducătorii instituţiilor de credit, subordonat direct consiliului de administraţie, având funcţie consultativă.
   (3) Funcţionarea şi atribuţiile comitetului de audit sunt reglementate de prezentele norme şi de statutul fiecărei instituţii de credit.
   (4) Comitetul de audit al casei centrale a cooperativelor de credit va avea responsabilităţi şi la nivelul reţelei cooperatiste de credit.
   Art. 121. - Instituţiile de credit trebuie să dispună de un regulament al comitetului de audit, aprobat la nivelul consiliului de administraţie şi revizuit periodic, dacă este cazul, care să indice componenţa, competenţele şi atribuţiile acestuia, modul de raportare către consiliul de administraţie, precum şi periodicitatea întrunirilor comitetului de audit.
   Art. 122. -(1) Comitetul de audit este format din membri ai consiliului de administraţie al instituţiei de credit, care nu au şi nu au avut calitatea de conducător.
   (2) Membrii comitetului de audit trebuie să aibă o experienţă corespunzătoare atribuţiilor ce le revin în cadrul respectivului comitet. Cel puţin un membru trebuie să aibă experienţă în domeniul contabilităţii sau auditului.
   (3) Comitetul de audit al casei centrale a cooperativelor de credit poate include şi membri ai consiliului de administraţie al cooperativelor de credit afiliate, care nu sunt conducători.
   Art. 123. - Instituţiile de credit trebuie să asigure accesul comitetului de audit la orice date sau înregistrări necesare îndeplinirii atribuţiilor ce îi revin.
   Art. 124. -(1) Comitetul de audit va avea cel puţin următoarele atribuţii:
   a) încurajarea comunicării dintre membrii consiliului de administraţie, conducătorii instituţiei de credit, auditul intern, auditorul financiar al instituţiei de credit şi Banca Naţională a României;
   b) avizarea statutului auditului intern, planului de audit şi necesarului de resurse aferente acestei activităţi;
   c) asigurarea relaţiei cu auditorul financiar al instituţiei de credit, în sensul primirii planului de audit şi analizării constatărilor şi recomandărilor acestuia, precum şi ale altor organe de supraveghere şi control din afara instituţiei de credit;
   d) analiza constatărilor şi recomandărilor auditului intern şi a planurilor conducerii instituţiei de credit pentru implementarea acestora.
   (2) Prevederile alin. (1) se vor aplica în mod corespunzător de către comitetul de audit al casei centrale a cooperativelor de credit, la nivelul reţelei cooperatiste de credit.
   Art. 125. -(1) În cadrul şedinţelor comitetului de audit se va pune accentul cel puţin pe următoarele aspecte:
   a) funcţionarea sistemului de control intern şi a activităţii de audit intern;
   b) activităţile afectate de riscuri ce urmează a fi analizate în anul respectiv în cadrul angajamentelor de audit şi ale auditorului financiar al instituţiei de credit;
   c) corectitudinea şi credibilitatea informaţiilor financiare furnizate conducerii şi utilizatorilor externi;
   d) conformarea instituţiei de credit cu prevederile cadrului legal, cu actul constitutiv şi cu normele stabilite de consiliul de administraţie.
   (2) Prevederile alin. (1) se vor aplica în mod corespunzător şi la nivelul reţelei cooperatiste de credit.
   Art. 126. -(1) Comitetul de audit poate formula recomandări adresate consiliului de administraţie privind strategia şi politica băncii în domeniul controlului intern, auditului intern şi auditului financiar, precum şi pentru numirea auditorului financiar al instituţiei de credit.
   (2) Comitetul de audit al casei centrale a cooperativelor de credit poate formula recomandări adresate consiliului de administraţie al cooperativelor de credit pentru numirea auditorului financiar al acestora.

   CAPITOLUL V
 Dispoziţii tranzitorii şi finale

   Art. 127. -(1) Instituţiile de credit trebuie să întocmească anual un raport asupra condiţiilor în care este desfăşurat controlul intern. Acest raport trebuie să cuprindă cel puţin:
   a) o inventariere a principalelor deficienţe identificate în cadrul sistemului de control intern şi măsurile întreprinse pentru corectarea acestora;
   b) o descriere a modificărilor semnificative intervenite în sistemul de control intern în perioada respectivă, în special axate pe evoluţia activităţii şi a riscurilor;
   c) o descriere a condiţiilor de aplicare a procedurilor de control aferente noilor activităţi;
   d) desfăşurarea controlului intern în cadrul sediilor secundare ale instituţiilor de credit din străinătate.
   (2) Raportul întocmit de către instituţiile de credit trebuie să includă şi condiţiile în care se desfăşoară controlul intern la nivelul entităţilor cuprinse în perimetrul lor de consolidare şi al societăţilor prestatoare de servicii auxiliare sau conexe.
   (3) Raportul întocmit de către casele centrale ale cooperativelor de credit se va referi şi la condiţiile în care se va desfăşura controlul intern la nivelul reţelei cooperatiste de credit.
   Art. 128. -(1) Instituţiile de credit trebuie să întocmească anual un raport privind măsurile luate pe linia administrării riscurilor semnificative la care sunt expuse acestea şi, după caz, măsurile luate de entităţile cuprinse în perimetrul lor de consolidare şi societăţile prestatoare de servicii auxiliare sau conexe.
   (2) Raportul întocmit de către casele centrale ale cooperativelor de credit trebuie să cuprindă şi măsurile luate pe linia administrării riscurilor semnificative la nivelul reţelei cooperatiste de credit.
   Art. 129. -(1) Instituţiile de credit trebuie să întocmească anual un raport privind angajamentele de audit desfăşurate în perioada respectivă, din care să reiasă constatările şi recomandările auditului intern şi modul de implementare a recomandărilor respective de către conducerea structurii auditate.
   (2) Raportul întocmit de către casele centrale ale cooperativelor de credit se va referi şi la desfăşurarea activităţii de audit intern la nivelul reţelei cooperatiste de credit.
   Art. 130. - Rapoartele menţionate la art. 127-129 trebuie să fie transmise Băncii Naţionale a României - Direcţia supraveghere în termen de 6 luni de la încheierea exerciţiului financiar.
   Art. 131. - Pentru controlul intern al activităţii, administrarea riscurilor semnificative şi desfăşurarea activităţii de audit intern, instituţiile de credit vor avea în vedere şi prevederile legislaţiei naţionale şi standardele internaţionale în materie.
   Art. 132. - Nerespectarea prevederilor prezentelor norme atrage aplicarea sancţiunilor prevăzute la art. 69 şi/sau a măsurilor/măsurilor de remediere prevăzute la art. 70, respectiv la art. 701 din Legea nr. 58/1998, cu modificările şi completările ulterioare, a sancţiunilor prevăzute la art. 34 alin. (2) din Legea nr. 541/2002, modificată şi completată prin Ordonanţa de urgenţă a Guvernului nr. 99/2003, precum şi a sancţiunilor prevăzute la art. 189 alin. 2 şi a măsurilor prevăzute la art. 191 din Ordonanţa de urgenţă a Guvernului nr. 97/2000, aprobată şi modificată prin Legea nr. 200/2002.
   Art. 133. -(1) Casele centrale ale cooperativelor de credit sunt responsabile pentru reglementarea cadrului general aferent organizării şi controlului intern al activităţii cooperativelor de credit afiliate, administrării riscurilor semnificative şi organizării şi desfăşurării activităţii de audit intern la nivelul acestora.
   (2) Cadrul general reglementat de casa centrală a cooperativelor de credit va avea în vedere prevederile prezentelor norme şi nu va putea stabili cerinţe mai puţin restrictive decât cele prevăzute de acestea.
   Art. 134. - În cazul în care instituţiile de credit nu apelează la un furnizor extern de servicii pentru sistemele informatice, acestea vor trebui să dispună de sistemele de rezervă prevăzute la art. 28 alin. (1), în termen de 9 luni de la intrarea în vigoare a prezentelor norme.
   Art. 135. - În termen de 3 luni de la data intrării în vigoare a prezentelor norme, instituţiile de credit trebuie să transmită Băncii Naţionale a României - Direcţia supraveghere normele interne privind organizarea şi controlul intern al activităţii, precum şi administrarea riscurilor semnificative, regulamentul comitetului de administrare a riscurilor, statutul auditului intern şi regulamentul comitetului de audit.
   Art. 136. -(1) Prezentele norme intră în vigoare în termen de 6 luni de la data publicării lor în Monitorul Oficial al României, Partea I, pentru instituţiile de credit în funcţiune la data publicării.
   (2) Casele centrale ale cooperativelor de credit se vor conforma pe deplin prevederilor prezentelor norme, în termen de 6 luni de la data intrării în vigoare a acestora, pentru atribuţiile ce le revin la nivelul reţelei cooperatiste de credit.
   (3) În cazul cererilor de autorizare nesoluţionate de la data publicării prezentelor norme în Monitorul Oficial al României, Partea I, şi până la termenul prevăzut la alin. (1), data intrării în vigoare a prezentelor norme este data publicării lor în Monitorul Oficial al României, Partea I.

   Preşedintele Consiliului de administraţie al Băncii Naţionale a României,
   Mugur Isărescu

   Bucureşti, 18 decembrie 2003.
   Nr. 17.