ICP 10: Control Interno

Módulo Nivel Básico

A Copyright © 2006 International Association of Insurance Supervisors (IAIS). Todos los derechos reservados. El material en este módulo está protegido por derechos de autor. Puede ser utilizado para capacitación por organizaciones competentes que tengan autorización. Por favor contactar a IAIS para solicitar autorización. Este documento fue preparado por el Jean-Louis Bellando, quien es jefe retirado de la autoridad de control de seguros de Francia. Este módulo fue revisado por Pierre Couillard, Carlos Montalvo, y Helmut Müller. Pierre Couillard es contador por profesión, con un certificado de contador general de la Asociación General de contadores de Canadá . Ha trabajado durante 14 años con negocios medianos y pequeños, como contador, contralor y director de finanzas y ha servido en el sector público durante 16 años. Trabaja para Autorité des Marchés Financiers (AMF) donde, desde 1997, ha estado investigando los temas de estándares y políticas. Carlos Montalvo Rebuelta es supervisor de seguros que trabaja con la Dirección General de Seguros y Fondos de Pensiones (DGSFP), con la Autoridad de Control de Seguros de España, donde dirige el área Internacional del Departamento de Supervisión. Ha estado involucrado en temas de seguros como supervisor desde 1995. Ha presidido el Committee of European Insurance y Occupational Pensions Supervisors (CEIOPS) Grupo de Trabajo sobre Control Interno (el Grupo de Madrid ) y ha estado además involucrado en trabajos CEIOPS sobre asuntos de Solvencia II y además ha realizado inspecciones in situ de los aseguradores en España. Helmut Müller tiene 35 años de experiencia en la autoridad de control de seguros de Alemania y la Autoridad de Supervisión de Seguros de Alemania (Bundesaufsichtsamt für das Versicherungswesen), los últimos cinco años como presidente. Actualmente trabaja como experto con el fondo Monetario Internacional, la Unión Europea y la International Association of Insurance Supervisors (IAIS).

Contenidos Sobre el Currículo Básico....................................................................................................... 4 Nota al estudiante ................................................................................................................... 5 A. Introducción....................................................................................................................... 8 B. Objetivos del control interno ............................................................................................. 9 C. Organización del control interno ..................................................................................... 13 D. Control interno y procedimientos específicos para los seguros...................................... 23 E. El control interno y la autoridad de control interno ......................................................... 35 F. Conclusiones .................................................................................................................... 41 G. Referencias ...................................................................................................................... 43 Anexo I. ICP 10................................................................................................................... 44 Anexo II. Clave de respuestas .............................................................................................. 47

Sobre el Currículo Básico Un sector de seguros financieramente fuerte contribuye al crecimiento económico y al bienestar dando soporte a la administración del riesgo, a la asignación de recursos, y a la movilización de ahorros a largo plazo. Los principios básicos de seguros (ICPs), desarrollados por la Asociación Internacional de Supervisores de Seguros (IAIS), son estándares internacionales claves para tener sistemas financieros fuertes. La implementación efectiva de los ICPs requiere supervisores de seguros con conocimientos y habilidades. Concientes de esta necesidad, el Banco Mundial y la IAIS se asociaron en el año 2002 para desarrollar un “currículo básico” para supervisores de seguros. El Proyecto del Currículo Básico, financiado y apoyado por varias fuentes, acelera el proceso de aprendizaje tanto de los supervisores nuevos como de los que ya tienen experiencia. Los ICPs suministran la estructura para el currículo básico, que consiste en un conjunto de módulos que resumen los aspectos más relevantes de cada tema, enfocándose en la

aplicación práctica de los conceptos de supervisión y en la correlación con la literatura existente. El currículo básico está diseñado para ayudar a los estudiantes a: • Reconocer los riesgos que surgen de las operaciones de seguros • Conocer las técnicas y las herramientas utilizadas por profesionales del sector público y privado • Identificar, medir y administrar esos riesgos • Operar efectivamente dentro de una organización de supervisión • Entender los ICPs y otros principios, estándares y guías de IAIS • Recomendar técnicas y herramientas para ayudar a una jurisdicción particular a observar los ICPs y otros principios, estándares y guías IAIS • Identificar las restricciones e identificar y priorizar las técnicas y las herramientas de supervisión para administrar mejor los riesgos existentes a la luz de esas restricciones.

Nota al estudiante Bienvenido al ICP 10: Módulo de Control Interno. Este es un módulo básico sobre control interno en un asegurador que no requiere conocimiento específicos previos del tema. El módulo debe ser útil para supervisores de seguros nuevos o experimentados que no hayan tratado con el tema- o que simplemente están buscando refrescar y actualizar los conocimientos. Comience por revisar los objetivos, lo que le dará una idea de lo que aprenderá al estudiar este módulo. Luego, siga con el estudio del módulo bien sea en forma independiente, como auto estudio o en el contexto de un seminario o de un taller. El tiempo requerido para estudiar el módulo sobre la base de auto estudio puede variar, pero es mejor hacerlo en un período corto de tiempo, dividido en sesiones o en partes, si lo desea. Para ayudarlo a entrar en el tema, hemos intercalado el módulo con varias actividades de práctica para que usted las complete. Estos ejercicios están orientados a darle de vez en cuando un control, de manera que usted pueda interiorizar y entender más fácilmente el material y aplicarlo a sus circunstancias locales. Usted debe realizar cada una de estas actividades antes de continuar con la siguiente sección del módulo. El anexo II de clave de respuestas, establece algunos de los puntos que usted podría considerar al hacer los ejercicios. Además encontrará preguntas que tienen que ver con la situación local y prácticas relacionadas en su jurisdicción. Estas pretenden ayudarle a aplicar el material en este módulo a sus circunstancias locales. Si usted está trabajando con otros en este módulo, desarrolle las respuestas con métodos de discusión cooperativa, como estas respuestas pueden variar entre jurisdicciones, la clave de respuestas le sugiere donde buscarlas. Como resultado del estudio de este material, usted podrá hacer lo siguiente

1. Explicar la naturaleza del control interno y su aplicación a las compañías de seguro. 2. Explicar cada uno de los siguientes objetivos de control interno: a. El negocio de un asegurador se conduce de manera prudente, según las políticas y las estrategias establecidas por la junta b. Las transacciones solamente se harán con una autoridad apropiada c. Los activos se protegen d. Los registros de contabilidad y otros, ofrecen información completa, precisa y oportuna e. La administración puede identificar, evaluar, administrar y controlar los riesgos del negocio 3. Describir los principales elementos de control interno 4. Explicar los roles de cada una de las siguientes funciones de control: a. Actuarial b. Auditoría externa c. Auditoría Interna d. Cumplimiento. 5. Explicar cada una de las siguientes condiciones ambientales esenciales para el control interno: a. Sistematización b. Documentación c. Competencia e integridad d. Recursos 6. Ilustrar cada una de las siguientes disciplinas sobre los controles internos de contabilidad: a. Segregación de obligaciones b. Controles de custodia c. Supervisión 7. Dado un objetivo particular de control, ilustrar las técnicas de control efectivo para ese objetivo 8. Comparar los efectos de diferentes tipos de debilidades de control

9. Describir las pruebas apropiadas de cumplimiento, para cada categoría de controles generales 10. Demostrar la necesidad de la aplicación de controles en los sistemas computarizados 11. Ilustrar los problemas que pueden surgir en conexión con la contratación de prestación de servicios por terceros, las funciones y describir los controles efectivos para tratar con esos problemas 12. Explicar el propósito de la auditoría interna, e ilustrar formas apropiadas e inapropiadas de organizar la función de auditoría interna 13. Dada una transacción de seguros particular, en una situación de caso, hacerle el seguimiento a la transacción a través de los procesos de contabilidad de la compañía de seguros 14. Determinar la idoneidad de los procedimientos de control interno 15. Explicar cómo una evaluación de control interno facilita la supervisión 16. Explicar cada uno de los criterios esenciales establecidos en ICP 10.

ICP 10: Control interno Módulo Nivel Básico

A. Introducción De acuerdo en el principio básico de seguros (ICP) 101 de la Asociación Internacional de Supervisores de Seguros (IAIS), “La autoridad de control requiere que los aseguradores tengan en funcionamiento controles internos, que sean adecuados para la naturaleza y escala de su operación. Los sistemas de vigilancia e informes permiten a la junta directiva y a los directivos monitorear y controlar las operaciones...” Los mismos requerimientos se encuentran en la legislación de la Comunidad Europea, aunque las directivas europeas no definen específicamente el control interno: “Las autoridades competentes del estado miembro local requerirán que cada asegurador tenga procedimientos sólidos de administración y contabilidad y mecanismos adecuados de control interno.” Las definiciones de control interno, han evolucionado con los años y las asociaciones internacionales y nacionales de contadores o de auditores los han propuesto en forma exitosa. En 1977 , el Order of Certified Accountants in France definió control interno como el “ conjunto de medidas de seguridad orientadas a administrar los riesgos del negocio.” en 1981 el Federación Internacional de Contadores elaboró este concepto: “Un sistema de control interno consiste de todas las políticas y procedimientos adoptados por la administración de una entidad para lograr el objetivo de administración de garantizar en cuanto sea práctico la conducta ordenada y eficiente de su negocio.”2 El Instituto Canadiense de Contadores Colegiados repitió la sustancia de esta definición en 1986 y la suplementó en 1992 haciendo referencia a “las instrucciones dadas por la alta gerencia de una compañía para la toma de decisiones y medidas que se deben tomar” .Según estas definiciones, el control interno aplica a todas las actividades de la compañía, aunque es particularmente relevante a la contabilidad. Este módulo utiliza los términos de control interno, procedimiento de control interno o simplemente procedimiento. El papel de los procedimientos es indicar los pasos que se deben seguir. El control interno no es un modelo de decisión. No responde la pregunta, ¿Que se debe hacer? Sino más bien ¿Quien hace qué? ¿Cuándo? ¿Con qué propósito? 1 Ver IAIS 2003a 2 Ver IFAC 2006 para estándares internacionales sobre auditoría, muchos de los cuales tienen que ver con asuntos de control interno.

El control interno es un sistema de organización que comprende una serie de estructuras, métodos y procedimientos implementados por una compañía para conducir en forma ordenada y efectiva sus actividades de negocios, particularmente: • Cumplimiento con las leyes y regulaciones • Implementación de las políticas generales definidas por la administración • Control y administración de los riesgos del negocio • Calidad de contabilidad e información financiera Todos los empleados de la compañía deben estar involucrados en el control interno, cada uno con sus propias responsabilidades y obligaciones. Este módulo discute los objetivos, la organización, las especificidades del sector de seguros y las relaciones con las autoridades de control orientadas a describir el control interno en una compañía de seguros.

B. Objetivos del control interno Según las notas explicativas de ICP 10, “El propósito del control interno es verificar que la operación de un asegurador sea manejada de una manera prudente, de acuerdo con las políticas y las estrategias establecidas por la junta directiva (refiérase al ICP 9 sobre gobierno corporativo), las transacciones son solamente realizadas con permiso apropiado, los activos están salvaguardados (refiérase al ICP 21 sobre Inversiones), la contabilidad y otros registros proporcionan información completa, precisa, verificable y oportuna. La administración puede identificar, evaluar, administrar y controlar los riesgos del negocio y mantener el capital suficiente para estos riesgos [referirse a ICP 18 sobre evaluación y administración de riesgos e ICP 23 sobre lo adecuado del capital y solvencia].” Además los controles internos deben verificar que los departamentos internos funcionan según las leyes y regulaciones prevalentes de las jurisdicciones en que opera la compañía (especialmente las normas para la protección individual y colectiva de los asegurados) así como sus propios estatutos y políticas. El control interno es una herramienta esencial de la junta directiva de la compañía que le proporciona elementos claves para ayudarle a definir, implementar, y corregir sus políticas (ver COSO 1994). La administración de los riesgos de la compañía es una prioridad para los ejecutivos, y el control interno les ofrece a los administradores los medios para identificar, evaluar, administrar, y controlar los riesgos involucrados en las actividades de negocio de la compañía. En una compañía de seguros, este objetivo está dividido en dos. Por un lado, el asegurador cubre los riesgos de sus clientes. La junta directiva define estrategias de mercadeo, política de precios, y los criterios generales para la selección de riesgos. El control interno verifica

si esas instrucciones se han seguido y mide su validez después del hecho. Por otro lado, la compañía está expuesta a riesgos que amenazan su solidez financiera y ponen en peligro su rentabilidad. Estos riesgos se analizarán en otra parte desde el punto de vista regulatorio y prudencial. Están generalmente clasificados como: • Riesgos Técnicos. Errores en los precios, fondos insuficientes, reaseguro inapropiado • Riesgo de Inversión. Riesgos relacionados con las tasas, liquidez, tasa de cambio, mercado, mora de una contraparte, y riesgos específicos para derivados • Otros riesgos. Riesgos tales como mora de un socio clave (reasegurador, corredor), presiones externas (membresía en un grupo financiero), y fallas en la administración. Esta lista es indicativa, no exhaustiva. Estos riesgos también incluyen aquellos específicamente relacionados con ciertos departamentos internos. Los sistemas de administración de riesgo, por lo tanto incluyen procedimientos de control interno, uno de cuyos principales objetivos es alertar a los administradores sobre el posible impacto de estos riesgos en la situación de la compañía. (ver CEIOPS 2003 y COSO 2004). La protección de los activos es un objetivo más específico pero se basa en el anterior. Sin embargo restringirían el control interno, a una serie de procedimientos orientados a proteger los activos de la compañía y a mejorar su desempeño. En general, la protección de los activos incluye prevenir errores, fraude, y toma de riesgos desproporcionados a los beneficios esperados. Mejorar el desempeño significa, integrar los procedimientos correspondientes en un enfoque cualitativo. Con relación a una compañía de seguros, los gerentes usan procedimientos de control interno para garantizar que: • Las inversiones y desinversiones están justificadas y llevadas a cabo bajo las mejores condiciones • Las inversiones son adecuadas para los compromisos que cubre • Las inversiones están valoradas apropiadamente y las depreciaciones potenciales identificadas • Las inversiones son protegidas contra riesgo financiero y también contra pérdidas (incendio, inundaciones), y malversación y uso fraudulento. Para reducir sus riesgos financieros, una compañía de seguros puede usas derivados. Estos instrumentos bien sea que se usen para dar cobertura o para modificar la estructura de rendimientos de un portafolio de inversión, están sujetos a riesgos específicos: efecto de apalancamiento, manejo complejo, mora de una contraparte y otros. Los riesgos de administración (control) de los derivados, es un problema de control interno. Es importante que la Junta Directiva participe en el desarrollo de estrategias para su uso, esté bien informada de las decisiones que se toman y comprenda su impacto. Esto se logra a través de procedimientos de control interno. Un objetivo básico del control interno es verificar que las políticas y estrategias definidas por la Junta Directiva y las decisiones que se desprendan de allí sean aplicadas correctamente (ver Committee of the Conference of Insurance Supervisory Authorities of the Member States of the European Union 2002). Mientras más complejas sean las estructuras de la compañía y más geográfica y técnicamente diversas sean sus actividades,

es más necesario tener información confiable—por ejemplo, en tasas, provisiones e inversiones. Esto es especialmente cierto para contratos de servicios con terceros y para actividades extranjeras. ¿Está el gerente de la sucursal siguiendo las reglas de la oficina principal? O ¿Esta él usando circunstancias específicas locales para justificar su desviación de las líneas generales de conducta? Se deben establecer procedimientos para prevenir o limitar la extensión de iniciativas inapropiadas. El presidente de la compañía, quien toma las decisiones, puede cometer errores: por ejemplo, Estimular precios erróneos, subvalorar ciertas obligaciones, reaseguro inadecuado, o una inversión no exitosa. Las pérdidas resultantes agotarán los fondos propios de la compañía en forma más o menos severa, dependiendo de la capacidad de los administradores para detectar los errores, tomar medidas para corregirlas, hacen cumplir estas medidas, y supervisar su eficacia. Los controles internos deben llamar la atención a las debilidades, así como permitirles a los ejecutivos mejorar sus habilidades de gerencia. Los controles internos deben también asegurar que las transacciones referentes a la compañía han sido realizadas por las personas asignadas para negociarlas y para concluirlas y acordes a las formas autorizadas por la junta directiva (delegación de firmas, segregación de obligaciones, y control de procedimientos). La delegación de poderes, que es aún más necesaria cuando la compañía tiene un campo de actividad extendido, es garantizada por la segregación de obligaciones, asignación de las funciones de la toma de decisión (o autorización de decisiones), la protección (salvaguardia) de activos, la contabilidad, y el control a diversas personas. La colusión entre el tesorero y el contable puede facilitar las actividades fraudulentas que son difíciles de detectar en una auditoría interna rutinaria. La quiebra del banco de Barings en 1995 fue el resultado de especulaciones fallidas hechas por un solo corredor en Singapur, quien hizo y registró decisiones, usando su propio programa de computador, al cual nadie más tenía acceso. Para ser eficaces, los controles internos deben incluir: • Un organigrama de la compañía, enumerando las personas autorizadas a firmar por la compañía (es decir, comprometer la responsabilidad de la compañía) y a las personas autorizadas para aprobar una decisión. • Un manual escrito que describe la segregación de obligaciones, de responsabilidades (especialmente con respecto a la supervisión), y poderes (de la firma, entre otros). La seguridad de los procedimientos requiere la implicación de muchos participantes en cada operación, con el control interno supervisando su eficacia. Los controles internos, finalmente, deben asegurar que la información registrada en las cuentas y registros preparados por varios departamentos de la compañía sea completa, ajustada y enviada oportunamente. Así mismo, los controles internos deben verificar la seguridad de los sistemas de computador. En particular, los controles internos afectan la

contabilidad limitando el número de errores que podrían alterar la calidad de la información, que distorsiona el punto de vista de la persona que toma decisiones respecto a la situación financiera real de la compañía. Así, los controles internos deben buscar las siguientes declaraciones erróneas: • Registro de transacciones ficticias • Transacciones reales no registradas • Transacciones sin autorización, tales como una rebaja de tarifa convenida por un corredor que excede los límites fijados por la junta directiva • Errores de la asignación, tales como la asignación de siniestros en una clase de seguro a otra clase, distorsionando el cálculo de tarifas • Errores en la fecha de ingreso, llevando a aplazar para el siguiente año fiscal cargas atribuibles al período financiero divulgado (siniestros no denunciados, por ejemplo) • Errores de presentación, por ejemplo, en lo que se refiere a operaciones fuera de balance La tecnología de los computadores también incurre en riesgos debido a la concentración de datos, que pueden debilitar la seguridad de la información, y al uso de las aplicaciones complejas, lo cual puede resultar en la repetición de problemas si el programa contiene errores. Por lo tanto, los controles internos deben asegurar: • La seguridad física y logística de las instalaciones y de los datos, incluyendo la protección de archivos y del software y el uso posible de instalaciones alternativas • La existencia de un rastro de auditoría, es decir, una serie de procedimientos escritos que permiten reconstruir transacciones cronológicamente, justificar cualquier transacción usando una fuente de texto original para seguir un rastro intacto hasta y desde el estado financiero, y explicar los cambios en los balances a partir de un extracto de la cuenta a otra demostrando qué transacciones se han realizado. La lista de objetivos ilustra la importancia del control interno. Antes de que los gerentes y economistas reconocieran y elaboraran el papel del control interno, las compañías ya realizaban controles internos sin saberlo, puesto que el sentido común las llevó siempre a buscar medios apropiados para manejar y controlar sus acciones. En 1977 la Order of Certified Accountants en Francia señaló, “El control interno no es en sí mismo un sistema o función separada de la compañía. Éste es (idealmente) una preocupación: El deseo del empresario que está organizando su compañía de proporcionar “medidas de seguridad” en cada procedimiento de gestión que aseguren, tanto como sea posible, la autorregulación y la auto-supervisión. Esto es la presencia de estas “medidas de seguridad” en sistemas que demuestren el control interno de la compañía tanto técnica como administrativamente hablando.”

Ejercicios 1. ¿Cuales son los cinco principales propósitos del control interno? 2. Resuma los requerimientos del control interno establecidos por la ley de compañías y por las leyes de seguros en su jurisdicción. ¿Están estos de acuerdo explícitamente con los cinco principales propósitos del control interno?

C. Organización del control interno Los procedimientos de control interno establecidos por las compañías de seguros son cada vez más complejos y sofisticados. Deben también ser adecuados. Desde un punto de vista prudencial, cumplir este criterio es particularmente importante en ciertas áreas del negocio, tales como contabilidad o informática, pero no sólo es importante en esos campos. El control interno es tratado extensamente en regulaciones y normas de actividades bancarias (véase al comité de Basilea Sobre el Control Bancario 1998). En el sector de los seguros, el tema es abordado, dependiendo de la jurisdicción, por leyes y regulaciones, por directivos y por autoridades de control, o por recomendaciones de asociaciones profesionales. Las reglas son más o menos detalladas, y a menudo son similares para todos los servicios financieros. Algunas veces se han elaborado para temas específicos como los seguros. En 1992 la Unión Europea definió una obligación, en principio, nada más: “Las autoridades competentes de un estado miembro local exigirán a cada empresa de seguros tener procedimientos administrativos y de contabilidad sólidos y mecanismos de control interno adecuados.” ICP 10 repite este requerimiento, especificando que los controles deben ser “adecuados para la naturaleza y el tamaño de los negocios.” Así, la organización de control interno se debe adaptar a la actividad del sector de la compañía – seguros generales, seguros de responsabilidad civil, reaseguros, vida y salud- su tamaño, su estructura jerárquica, su diversificación geográfica, sus clientes (individuos, compañías), la distribución de su capital, y su capacidad de tener acceso a mercados de capitales. La eficacia del control interno depende de un número de condiciones: respeto por los principios básicos y las técnicas para su uso apropiado, la implicación de participantes internos en todos los niveles, y la supervisión de la implementación de los procedimientos, así como el seguimiento del cumplimiento de los objetivos buscados.

Principios Básicos y su aplicación La compañía debe estar racionalmente organizada, lo que significa que sus estructuras deben estar descritas en el organigrama y sus procedimientos escritos en forma de manual. No existe una organización típica. Cada compañía está organizada sobre las bases de sus objetivos, estrategia, tamaño y la diversidad de los negocios. En particular, el organigrama debe especificar la personas autorizadas para firmar por la compañía—esto es, comprometer la responsabilidad de la compañía y, potencialmente su responsabilidad penal. En una forma más general, el organigrama debe mencionar las personas con poder para tomar decisiones. El manual debe describir la delegación de poderes, la cual debe ser clara para el beneficio de las personas calificadas para ejercer esos poderes. La delegación deberá corresponder con las funciones reales de las personas a quienes se les otorga el poder. Los procedimientos para la formalización deben ser aplicados sistemática y continuamente. Calidad y disponibilidad de la información Las redes de control interno deben recoger y usar la información que sea: • Relevante, lo que significa adaptada a su uso • Neutral, lo que significa libre de manipulación • Utilizable, lo que significa permitir que cada usuario encuentre la información que él o ella necesita, por ejemplo índices y tablas de personal • Comprobable, incluyendo documentación en una forma clara y fácilmente comprensible de modo que las transacciones y otros acontecimientos significativos estén registrados oportunamente y listados en forma precisa. El control interno eficaz requiere buenas técnicas de compilación de información. Uno de los problemas en compañías grandes es que los altos directivos están rodeados por personas que elogian más de lo que critican; esto puede hacer difícil obtener información que no haya sido filtrada por los gerentes o por los intermediarios operativos y funcionales. De esta forma, la junta directiva deberá quizás recibir cierta información directamente. En el sector de los seguros, esto incluye los siniestros, pleitos, supervisión de operaciones fuera de balance, inconsistencias entre primas suscritas y colectadas, discrepancias significativas entre los pagos de los siniestros y las provisiones, y los índices de recuperación de siniestros donde existe el recurso, judicial o amistoso o con la “subrogación”. Competencia y honestidad del personal (prueba “idoneidad”) De acuerdo con lo establecido por la Treadway Commission en 1992, “Los factores que más influyen en la determinación de la eficacia del control interno son la actitud y el comportamiento de los funcionarios sénior y de los directores, que dan el ejemplo para toda

la compañía.” 3 La competencia de los empleados se puede asegurar usando un sistema de selección apropiado, con entrenamientos en cursos en institutos especializados y en el trabajo, establecimiento de objetivos de motivación, e incentivos de carrera. La honradez es una virtud, pero no es necesariamente eterna: un daño grave puede ser causado por empleados dignos de confianza que se “salen repentinamente de los carriles” después de exhibir un comportamiento irreprochable durante muchos años. La movilidad individual o la transferencia de responsabilidades a todos los niveles de la jerarquía pueden ofrecer una cierta protección contra las tentaciones que se presentan por rutina y hábito. Incluso en un ambiente altamente automatizado, la fatiga o la distracción pueden causar error humano y minar la eficacia del control interno. Por consiguiente, sin importar el nivel de competencia y de integridad de los empleados, siempre es recomendable supervisar sus operaciones, ya sea por medio de superiores inmediatos o por medio de los auditores del departamento de auditoría interna. Disponibilidad de suficientes recursos humanos y materiales Los controles internos deben presentar la situación de la compañía y los riesgos a los que está expuesta. Esto significa establecer una organización con personal y herramientas adecuadas. Pero los gastos incurridos deben ser proporcionales a los resultados obtenidos, según la norma de relación costo-beneficio. Si los procedimientos establecidos para detectar un fraude de seguros en la presentación y pago de los siniestros son mucho más costosos que los ahorros que traen, se deben desarrollar diferentes procedimientos que sean más costo-efectivos. En forma más general, una clase de control interno capaz de prevenir todos los controles y todos los fraudes sería obviamente efectivo pero estaría fuera de discusión si los costos fueran prohibitivos y si aumentara las redundancias en detrimento de la velocidad de procesamiento de información. Segregación de obligaciones Según ICP 10, criterio esencial b, “El marco para el control interno del asegurador incluye los acuerdos para delegar la autoridad y responsabilidad y la segregación de obligaciones.” El control interno no es efectivo cuando la misma persona realiza dos funciones en la misma operación que involucran simultáneamente toma de decisiones, preservación de activos, registro y control. Según el enfoque tradicional, la función de toma de decisiones involucra el logro de los objetivos del negocio. Cuando la decisión se delega a un subordinado, la función de toma de decisiones está relacionada con la función de autorización o aprobación. La preservación (protección o salvaguarda) de activos aplicada a las unidades de procesamiento-computadores y redes y a los activos fijos y valores, incluyendo efectivo en la caja fuerte. Su ejercicio adecuado requiere el uso de métodos tales como cajas fuertes, carnés, o códigos de acceso, que limitan o prohíben acceso a los 3 National Commission on Fraudulent Financial Reporting (Estados Unidos), más comúnmente conocida bajo el nombre de su presidente; ver también COSO 1994.

fondos y documentos. La expansión del comercio electrónico requiere establecer controles de acceso para programas y archivos, que incluyen contraseñas, seguros, y software de acceso. Esta labor ocasionalmente es llevada a cabo por tesoreros o personas autorizadas para comerciar valores. La tarea de preservar los activos significa asegurar que los activos estén cubiertos por una póliza de seguro adecuada. La tarea de registro o contabilidad incluye verificación de transacciones antes de registrarlas, una tarea que es ocasionalmente asignada a computadores mediante programación de procedimientos de control. La experiencia ha mostrado la necesidad absoluta de segregar las funciones del contador y el tesorero. El contador nunca debe manejar efectivo o cheques y la firma del contador nunca debe estar autorizada en el banco. De lo contrario, el contador podría por ejemplo registrar siniestros falsos y pagarlos inmediatamente, castigar primas que se deben y robarse los cheques enviados por los asegurados o registrar una transferencia de activos por menos de la cantidad real y guardarse la diferencia. Aún peor, si existe colusión entre el contador y el tesorero, los dos están en una posición, de organizar sus malversaciones de tal forma que engañen al control interno. El propósito de verificación (o control) es monitorear las otras obligaciones a través de operaciones rutinarias, sistemáticas y permanentes. Pero este enfoque tradicional no es apropiado para el ambiente computarizado de las compañías modernas grandes que operan en un sistema de contabilidad integrada. En la contabilidad tradicional, aún con muchas tareas automatizadas, cada parte permanece responsable de una función específica, mientras que en la contabilidad integrada, las tareas dependen de procesamiento de datos, en el cual los pasos se siguen automáticamente uno a uno después de que se ha hecho la entrada inicial. De esta forma ya no hay una separación entre las tareas de toma de decisiones, preservación y contabilidad. La segregación ocurre en otro nivel, entre la función de diseño y la función de usuario. El usuarios del computador – contador, tesorero, administrador de activos- debe únicamente poder realizar la secuencia de operaciones necesarias para su misión, y no necesita una descripción exhaustiva de los procesos y de las verificaciones computarizadas involucradas en estos procesos. El diseñador del sistema de computador, no debe tener acceso a los sistemas operativos. El principio de evitar la auto-supervisión— inseparable del principio de segregación de obligaciones comprende una verificación cruzada de los datos y un control recíproco. La verificación cruzada consiste en comparar información parecida contenida en diferentes documentos o en verificar la información sobre la base de diferentes fuentes. El procesamiento por computador multiplica las posibilidades de revisión cruzada automática. Los controles recíprocos consisten en comparar los mismos datos registrados por dos personas diferentes. Por ejemplo, el registro contable de primas y el registro del tesorero de los cheques recibidos del asegurado. Como otro ejemplo, tenemos, la adquisición de un edificio se registra en el servicio de administración técnica para propiedades inmobiliarias (activos fijos) y en la oficina de contabilidad (registro de adquisiciones y ventas de bienes inmuebles), y el control recíproco consiste en conciliar las dos cantidades.

También es necesario hacer una supervisión permanente de la cadena de mando para cumplir con los objetivos de control interno, ésa supervisión se puede hacer a través de procedimientos de programación, y los administradores deben verificar con regularidad que éstos estén funcionando adecuadamente. Participantes en el control interno El control interno se establece a nivel de un departamento, una compañía un grupo de compañías de seguros, o un conglomerado financiero. La unidad de referencia para la siguiente discusión es la compañía. Como herramienta esencial para la toma de decisiones de la compañía, el control interno no es una función aislada diferente, y aún cuando involucra especialistas dentro o fuera de la compañía, constituye un sistema integrado que cubre todos los departamentos y requiere la contribución de todas las personas que establecen lo procedimientos, los administran, los implementan, y hacen seguimiento a cualquier cambio y corrección que se considere necesaria. El diseño es responsabilidad de la Junta Directiva y posiblemente de los comités a los que se les delegan ciertos poderes. La junta debe también exigir correcciones que parezcan necesarias con base en la información recibida. La administración y la implementación son responsabilidad del personal sobre la base de auto supervisión y supervisión realizada por el jefe de mando. El diseño correcto y la operación apropiada del control interno, son verificados por equipos de inspectores (auditores) o expertos (administradores de riesgo, actuarios o contadores certificados) dentro y fuera de la compañía. La coordinación de los controles, la lista de los defectos, y el seguimiento a las mejoras son asignados con mayor frecuencia a un coordinador, conocido algunas veces como el oficial de cumplimiento. Junta Directiva De acuerdo a ICP 9, sobre gobierno corporativo, “la Junta Directiva es el punto central en el sistema de gobierno corporativo. Debe rendir cuentas y es la responsable final del desempeño y conducta de la compañía de seguros . El hecho de que delegue autoridad sobre los comités de la junta o sobre la administración, de ninguna manera mitiga o disipa el cumplimiento de las obligaciones y responsabilidades de la Junta Directiva… la autoridad de control revisa los controles internos y verifica que sean adecuados a la naturaleza y tamaño del negocio y exige que se fortalezcan estos controles cuando sea necesario. La Junta Directiva es responsable de establecer y mantener un sistema efectivo de control interno.” La Junta Directiva es entonces quien diseña el sistema de control interno de la compañía y su usuario final, como tal, la junta establece principios y lineamientos, define objetivos estratégicos y organiza los medios para cumplirlos, incluyendo la segregación de obligaciones y tareas, define los pasos a seguir para monitorear y evaluar su

implementación, analiza la información recogida, solicita información adicional cuando la necesite, examina las recomendaciones recibidas con miras a mejorar la operación de la compañía y exige que se hagan correcciones y ajustes, además de proporcionar las formas y los medios para el seguimiento de su implantación. En esta tarea, la Junta Directiva puede recibir ayuda de comités creados especialmente con este fin. Entre más grande sea la compañía, más probabilidades tiene de tener comités. Pero la delegación de poderes a estos comités que pueden incluir administradores y gerentes entre sus miembros, no exime a la junta de sus obligaciones y responsabilidades. Según ICP 9, criterio esencial d, “la Junta Directiva puede establecer comités con responsabilidades específicas, tal como un comité de compensaciones, de auditoría o de elecciones.” Estos comités pueden diferir considerablemente en composición, propósito y poderes entre una compañía y otra. El más común es un comité de auditoría con un amplio rango de responsabilidades: preparación y organización de un código de conducta y de un manual de auditoría interna, establecimiento de un programa anual de auditoría y seguimiento de los informes de auditoría interna. Los comités funcionales especializados también se establecen para tratar con problemas como, administración de riesgo, inversiones, tecnología de la información y ética (la información de los asegurados y su protección). El comité de administración de riesgos es responsable de monitorear los riesgos que podrían exponer a pérdidas a la compañía de seguros, incluyendo riesgos técnicos, riesgos de inversión, riesgos de administración. Sus poderes que están relacionados con los procedimientos de control interno, incluyen además riesgos de computador (pérdidas a las que está expuesta la compañía como resultado del mal funcionamiento o uso inapropiado de los computadores, tales como fraude, piratería o sabotaje) y riesgos operacionales (pérdidas que resultan de errores o fraude del personal). Algunas veces al comité de cumplimiento se le confía la verificación del cumplimiento con la ley de compañías y con las leyes y regulaciones existentes y con sus propios estatutos y políticas. Este comité recoge toda la información disponible sobre el cumplimiento de los estatutos y los manuales de procedimientos o de auditoría adoptados por la Junta Directiva. Sobre la base de estos hallazgos, propone enmiendas a la Junta Directiva. Este papel es de naturaleza más formal que operacional. Un oficial de cumplimiento, que puede ser el secretario general del comité de cumplimiento o cualquier otra persona nombrada para este fin, algunas veces actúa como punto de unión entre los comités y los ejecutivos encargados de revisar los informes, haciendo un inventario de las debilidades encontradas y seguimiento de las acciones correctivas. Auditores Los auditores son los las personas encargadas de medir el control interno. Su papel específico está establecido en ICP 10, criterio esencial c:

“La auditoría interna y externa, las funciones actuariales y de cumplimiento son parte del marco del control interno, y deberán probar su adherencia a los controles internos así como a las leyes y regulaciones.” La auditoría es un revisión crítica de la información que se encuentra en de toda la compañía (o en terceros)4. Una auditoría financiera certifica la representación veraz de las cuentas de la compañía. Una auditoría operacional inspecciona los detalles de las actividades de la compañía con miras a mejorar su desempeño: esto incluye hacer recomendaciones y algunas veces proponer procedimientos más efectivos, en especial en relación con el control interno. El auditor es la persona natural o legal (firma de auditoría) que realiza la auditoría. Puede ser interna o externa. El auditor externo puede ser legal (auditor estatutorio) o contractual, que ha recibido el mandato de realizar una misión específica, tal como establecer los procedimientos de control interno. El auditor interno generalmente es un empleado pagado por la compañía que él o ella audita. Según el Instituto de Auditores Internos, ésta es “una función independiente de valoración establecida en una organización para examinar y evaluar sus actividades como un servicio para la organización. El objetivo de las auditorías internas es ayudar a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades. Para este fin, la auditoría interna les entrega análisis, valoraciones, recomendaciones, asesoría e información concerniente a las actividades que revisa “. Si el establecimiento de una función de auditoría interna es incompatible con la estructura y tamaño de la compañía de seguros (en el caso de firmas pequeñas y medianas), la junta directiva debe organizar procedimientos adicionales de supervisión o contratar ésta función con terceros para proporcionar seguridad adecuada para el sistema de control interno. IAIS hace énfasis en la naturaleza específica y en la importancia de la función de la auditoría interna en ICP 10, criterio esencial j: La autoridad de control requiere que la función de auditoría interna: Emplee una metodología que identifica los principales riesgos en los que incurre la institución y asigna sus recursos de conformidad con ello (refiérase al PCS 18),

“Tiene acceso sin restricciones a todas las operaciones y ramos de seguros y a los departamentos de soporte, evalúa las funciones que son contratadas con proveedores externos. Tiene independencia , incluyendo línea directa para informar a la junta directiva, tiene estatus dentro de la compañía para garantizar que la alta gerencia

4 La raíz de la palabra “auditoría” viene de la palabra griega “audire” (escuchar) ; sin embargo, el auditor no solamente debe escuchar sino también ser escuchado!

reacciona y actúa según sus recomendaciones , tiene suficientes recursos y personal adecuadamente capacitado y con experiencia relevante para entender y evaluar el negocio que auditan , emplea una metodología que identifica los riesgos claves en que incurre la institución y asigna sus recursos de conformidad con ellos”.

Los auditores internos examinan la regularidad y seguridad, lo adecuado , y la efectividad de los sistemas de control interno preparados por cada departamento en la compañía, en unión con el comité de auditoría ( o tal vez con la junta directiva a través de la secretaría general, si la junta le ha asignado a él o a ella el trabajo de coordinación ) .Ellos evalúan si los sistemas son consistentes con las operaciones reales y proponen las soluciones apropiadas para los problemas que detectan en los procedimientos de control interno. Para cumplir con sus trabajos de análisis, los auditores internos deben ser: • Competentes y con experiencia • Suficientes en número y con el equipo adecuado • Tener suficiente poder para exigir que los departamentos se sujeten a sus investigaciones, presenten informes, documentos, otros materiales que sean necesarios para su auditoría, y solicitarles a aquellos que estén siendo auditados que cooperen • Independientes , lo que quiere decir que , dentro del alcance de su misión , sus poderes no sean limitados , aunque ellos no pueden divulgar a nadie diferente de las partes interesadas la información que recogen a menos que existan razones válidas para hacerlo • Capaces, en términos generales, de realizar su misión de manera apropiada y efectiva, justa e imparcial. La función de la auditoría interna debe además ser universal, lo que significa que debe cubrir todas las actividades de la compañía. Existen varios tipos de auditorías internas que se usan más comúnmente: una auditoría anual de cada departamento en la compañía , una auditoría sobre un tema particular que cubre varios departamentos, y seguimiento a las auditorías hechas anteriormente para verificar si las acciones correctivas tomadas por los administradores de los departamentos son adecuadas , efectivas, y si se han implementado oportunamente . El coordinador (comité de auditoría, secretario general, u oficial de cumplimiento) prepara un programa anual de auditoría que luego es aprobado por la junta directiva. Este programa define las políticas generales de la compañía con relación a las auditorías, describe los requerimientos de prioridad para cumplir con los objetivos de la administración, y hace un inventario de los programas de auditoría individual. Los programas para auditorías internas individuales se preparan dentro del marco establecido por el coordinador, que tiene en cuenta los diferentes tipos de riesgos y su gravedad, así como la frecuencia, alcance y grado de profundidad del trabajo hecho con anterioridad.

La aprobación de los programas individuales a veces se delega a la administración general de la compañía. Un programa individual debe proporcionar información sobre los objetivos de auditoría propuestos, la metodología que se debe seguir, las actividades que se van a examinar, la programación, y el presupuesto. Otros participantes en el control interno Las misiones de auditoría contable y financiera son específicas para la auditoría , y su propósito es verificar que los estados financieros expedidos por la compañía reflejan correctamente su situación económica y su negocio. Para esto, la auditoría , que se caracteriza por la regularidad con respecto a las normas contables y a la conformidad con los datos financieros registrados , puede llamar contadores y auditores certificados a quienes se les solicita que expresen sus opiniones sobre la confiabilidad de las cuentas, y más generalmente , sobre la solidez de los sistemas de control interno tomados como un todo. Debido a las características específicas del seguro, se les concede un papel especial a los administradores de riesgo y a los actuarios en la organización del control interno y su evaluación cualitativa. Según ICP 18, sobre evaluación y administración de riesgo, • “La autoridad de control exige y vigila que los aseguradores tengan políticas comprehensivas de administración de riesgo y sistemas capaces de identificar, medir, reportar y controlar oportunamente sus riesgos (criterio a). • Las políticas de administración de riesgo y los sistemas de control de riesgo sean apropiadas para la complejidad, tamaño y naturaleza del negocio del asegurador (criterio b). • El sistema de administración de riesgo monitorea y controla todos los riesgos materiales (criterio c).” En la siguiente sección se dan algunos ejemplos de la aplicación de estos principios a las compañías de seguros con relación a varios temas: protección de las inversiones, administración de activos, instrumentos derivados, y tolerancia al riesgo, seguidos de la identificación, análisis e investigación de agregaciones. Los actuarios ocupan un lugar separado en la operación y control de las compañías de seguros (ver IAIS 2003c). Como participantes del control interno en una compañía de seguros de vida (y aún en compañías de no vida en algunas jurisdicciones), lógicamente se citan en ICP 10, criterio esencial l: “La autoridad de control requiere informes actuariales a la junta y a la administración, cuando la legislación o la naturaleza de las operaciones del asegurador requieran la designación de un actuario”.

El actuario es un profesional especializado que debe tener acceso directo a la junta directiva. Las firmas auditoras grandes pueden tener actuarios entre su personal, o llamar a actuarios independientes, para evaluar las provisiones técnicas del asegurador, las tasas, y la distribución de utilidades con los asegurados. En varios países, la ley exige que las compañías de seguros escojan un actuario designado. Este actuario debe garantizar que las primas y las provisiones técnicas de los seguros de vida sean calculadas según las normas y principios actuariales generalmente aceptados. Por lo tanto, el actuario debe tener acceso a toda la información que pueda ser útil. El actuario reporta sus observaciones a la junta directiva, y por lo tanto es un agente importante de control interno. Informes y seguimiento Al terminar su tarea, los auditores internos redactan un informe en borrador, que debe: • Organizar la información recogida y analizar los resultados de ella • Evaluar el trabajo hecho para que sea más fácil de usar por otros • Contener una lista de las actividades auditadas, una descripción de qué tan fácil fue cumplir con la misión, una lista de las entrevistas, observaciones, conclusiones, opiniones y recomendaciones. Las entrevistas y los informes, los comentarios del coordinación , y la notificación a aquellos que fueron auditados son las etapas de un diálogo que debe provocar acciones y reacciones de los directores de la compañía y de los administradores de departamento, que finalmente conduzcan a los pasos para corregir errores detectados y mejorar los procedimientos de control interno de acuerdo con las recomendaciones del auditor . El coordinador transmite al director del departamento que está siendo auditado los hallazgos de la auditoría, con sus propios comentarios, opiniones, instrucciones y sugerencias. Se invita al jefe del departamento a que presente un plan para tomar acciones correctivas. El informe del auditor se puede comunicar a otras personas en la compañía, a solicitud del jefe del departamento, propuesta del coordinador, y autorización del director. El coordinador prepara un informe completo para la Junta Directiva. Éste debe ser estrictamente confidencial, dirigido a los jefes de departamento, y abierto a los auditores externos. Este informe contiene una lista de los ítems estudiados, los problemas resueltos, las observaciones y las recomendaciones. Con la ayuda del coordinador, el jefe del departamento en cuestión debe tomar los pasos necesarios para remediar los problemas descubiertos por el auditor o aún por la administración superior. En un informe al coordinador, el jefe del departamento da un detalle de las acciones que se tomaron , indica los resultados obtenidos , y anuncia las nuevas iniciativas planeadas , al tiempo que proporciona evidencia de que se han seguido las instrucciones. El coordinador entonces formaliza el monitoreo de las acciones

correctivas en una nueva auditoría regular, cuyo propósito es afirmar que se ha realizado la auditoría y evaluar su efectividad. Ejercicios 3. Explique la importancia de un organigrama para el control interno. 4. De tres ejemplos de las obligaciones que se deben segregar de otras dentro de un asegurador y explique los problemas que podrían surgir si no existe esa segregación. 5. Haga una lista de por lo menos cuatro partes que podrían participar en el proceso de control interno de un asegurador ¿Cuáles de éstas existen generalmente para los aseguradores que operan en su jurisdicción?

D. Control interno y procedimientos específicos para los seguros En general, el enfoque de una compañía de seguros para su control interno—sus objetivos, principios, participantes, y algunos de sus procedimientos—no es diferente del de otras compañías en el sector financiero. Sin embargo, este enfoque debe tener en cuenta características especial del negocio de seguros: • La naturaleza especial de las operaciones de seguros. Éstas incluyen precios basados en una supuesta experiencia futura ( riesgo evaluación errónea del precio ), riesgo de selección , y riesgos de largo plazo en suscripción (riesgo de falta de fondos ),correlación entre los contratos de seguro de vida y las inversiones ( tasas, depreciación, o riesgos de contraparte ), reaseguros ( riesgos específicos) , intermediación ( riesgos de incumplimiento por parte de un socio) , y outsourcing . • La necesidad de una mejor protección de los consumidores de seguros. El control interno debe buscar medir la calidad de los servicios prestados a los asegurados, por ejemplo, sobre la base de la información transaccional, tal como pago de valor de rescate (seguros de vida) y arreglo de reclamos (seguros de no-vida). Entre los ejemplos de las funciones importantes en una compañía de seguros para las que se requiere control interno, están: • Evaluación de riesgo (seguro de vida) • Provisiones de siniestros (seguro no-vida) • Protección de inversiones • Administración de activos-pasivos • Instrumentos derivados

• Sistemas de computador • El uso de intermediarios • Contratos de prestación de servicios con terceros • Prácticas contra el lavado de dinero Esta sección describe los riesgos específicos para actividad en cuestión, los objetivos que se derivan del control interno, y el principal control interno implementado para cada uno de estos procedimientos. Evaluación de riesgo (seguros de vida) El propósito de un contrato se seguro de vida es tener una garantía contra el riesgo. En los seguros de vida, el riesgo está ligado a la esperanza de vida: el asegurado puede morir demasiado pronto (beneficio por muerte) o dentro de mucho tiempo (anualidad de vida). El asegurador debe calcular el riesgo para decidir si acepta el riesgo y para determinar la cantidad correspondiente de prima. En este contexto, los procedimientos de control que tiene el asegurador tienen que tratar con: • La solicitud de seguros. ¿Está diseñada para permitir una evaluación precisa? Se llenó correctamente? • Evaluación de acumulación de riesgo. Existen otros contratos en la compañía que cubren a la misma parte asegurada? • Selección médica (beneficio por muerte). ¿El cuestionario, y donde es aplicable, el examen médico, constituyen una protección efectiva contra una selección adversa? • Reaseguro de capital de garantía por una cantidad que excede la capacidad del asegurador. ¿Está adaptado a los medios del asegurador? ¿Se aplica? El archivo del contrato que contiene la información necesaria para la administración de riesgos, primas y provisiones técnicas de debe ser amigable al usuario. Los problemas para hacer seguimiento a las primas y a las provisiones técnicas requieren un número de acciones, que incluye entre otras: • Suscripción de primas. Los procedimientos de control interno deben proporcionar garantía de que las tasas aplicadas están de acuerdo con los riesgos evaluados en el momento en que se suscriben las pólizas. La sistematización del cálculo de las primas generalmente alivia este problema. • Cobro de primas. Los procedimientos contra la malversación o pérdida del pago y el riesgo de mala asignación del pago son de naturaleza organizacional y los controles internos deben velar porque esos pagos sean aplicados correctamente , incluyendo depósito directo, segregación de obligaciones entre el recibo de los fondos , la asignación de los fondos y el monitoreo de las cuentas bancarias. • Correspondencia de cada prima con la provisión técnica. Por ejemplo, si el riesgo es que una prima registrada como ingreso no tiene su contraparte en la provisión técnica establecida en la póliza , el papel del control interno es hacer un análisis sistemático de primas no devengadas y verificar que los archivos de las primas sean consistentes con los archivos de la provisión técnica.

Con relación a los seguros de no vida, excepto cuando se refieren a la selección médica y a las provisiones técnicas, el énfasis se deba hacer en las tasas. ¿Cómo se determina la tasa aplicable? ¿Existe un procedimiento para verificar las tasas aplicadas? Si es así, ¿Cuál es? En el caso de las tasas para excepciones, ¿Existe un procedimiento particular para autorización a través de canales dependiendo del tamaño de las excepciones? Si es así, ¿Cuál es? Generalmente es responsabilidad de control interno mantener un balance justo entre los objetivos del negocio de la compañía (tener utilidades) y los imperativos técnicos (pago de primas suficientes). Provisión de siniestros (seguros de no-vida) Las provisiones técnicas deben ser adecuadas para cumplir con todos los compromisos que la compañía tiene con sus asegurados. En una compañía de no-vida , la provisión de siniestros pendientes pretende cubrir el pago total de todos los siniestros ( y los gastos de administración y relacionados) que surjan antes de la fecha de notificación y que no se hayan pagado en esa fecha . Esto incluye siniestros reportados y reclamaciones tardías (siniestros incurridos pero no reportados). La provisión de siniestros es el ítem más importante en la columna de pasivos de una compañía de seguros de no-vida, pero es solo un estimado. Siempre es posible hacer una mala estimación de los siniestros, distorsionado así la imagen de la posición financiera de la compañía tal como se presenta en la hoja de balance. El control de las provisiones de siniestros es entonces una prioridad para evaluar los riesgos incurridos por una compañía de seguros , en especial la falta de fondos , que distorsionan el balance; el mal cálculo de los precios que se oculta por mal cálculo de los costos; la mala administración de los siniestros ; y el fraude o los pagos injustificados de siniestros reales o ficticios. Los procedimientos de control interno deben medir la calidad de la administración de los siniestros (ver OECD 2004) y lo apropiado de las cantidades que se mantienen como provisiones. Por la naturaleza misma de sus obligaciones, los auditores internos parecen ser las personas más idóneas para examinar en detalle las provisiones, y algunas veces ellos invierten considerables cantidades de tiempo en esta tarea, si es necesario. Una auditoría interna de siniestros cumple con dos objetivos primordiales: verificar las cantidades en una fecha dada (por ejemplo, en el balance) y verificar los procedimientos y los métodos de evaluación de la compañía. El primer tipo de verificación tiene que ver con los niveles de provisiones. ¿Son legalmente correctas? ¿Son suficientes? El auditor debe indicar la cantidad que parece adecuada. El segundo tipo de verificación se refiere a los métodos y procedimientos. ¿Son aceptables bajo las regulaciones? ¿Son razonables? ¿Están implementados apropiadamente? ¿Están las provisiones libres de fraude? ¿Está la segregación de obligaciones con relación a la evaluación de los archivos organizada de tal manera que garantice control satisfactorio de las evaluaciones mismas? El informe de auditoría interna debe además confirmar que los procedimientos de contabilidad aplicados son precisos, indicar la influencia de esos procedimientos en las estadísticas de siniestros y al análisis de las provisiones, y sugerir mejoras. ¿Existe alguna

conexión entre los pagos registrados en los archivos de siniestros y los pagos contabilizados? ¿Existe un procedimiento más estricto para pagos que exceden el límite? El informe debe además evaluar el sistema de tecnología de la información utilizado para los siniestros a la luz del análisis de las provisiones, indicar el impacto de un defecto en el sistema sobre las provisiones y hacer recomendaciones. Finalmente , debe proporcionar una evaluación general de la administración de las provisiones en el departamento de siniestros (evaluación inicial del archivo y revisión sistemática para cada evento nuevo), evaluar las herramientas disponibles para los administradores (manual de evaluación y administración de riesgo) y la actualización regular de esas herramientas, indicar el impacto de los defectos hallados en las herramientas o en la administración sobre las provisiones, y sugerir mejoras , con base en los análisis específicos de provisiones insuficientes establecidas. Por lo tanto, la auditoría de las provisiones expone problemas que van más allá de la misión estricta del auditor de evaluar las provisiones de siniestros. Estos incluyen revaloración de los precios y de la estrategia de negocio de la compañía, prácticas contables disfuncionales, y cadenas de procesamiento de datos que funcionan mal. A medida que surgen estos problemas, se necesitan auditorías adicionales. Después, los auditores analizan las respuestas que dan aquellos que están siendo auditados a las recomendaciones del informe y hacen seguimiento a la auditoría, para verificar las reacciones suscitadas por cada recomendación. Podría suceder que las provisiones de siniestros se estimen correctamente, pero los procedimientos y los métodos usados por la compañía no sean satisfactorios. Por ejemplo, en una compañía pequeña, el gerente general, debido al conocimiento del negocio y experiencia que tiene, pueda ser particularmente hábil para evaluar las provisiones de los siniestros en forma prudente y consciente y para incluir cantidades suficientes y confiables en el balance. Sin embargo, aún cuando sus resultados sean correctos, ese procedimiento es inaceptable bajo los principios de control interno y, especialmente, bajo la norma de segregación de obligaciones. Protección de inversiones Las inversiones de una compañía de seguros respaldan sus obligaciones con los asegurados. Éstas deben ofrecer seguridad y rendimientos. En la mayoría de los países, éstas están reguladas. ICP 21, sobre inversiones, criterio esencial e establece los estándares y hace énfasis en la importancia del control interno a este respecto: “La autoridad de control verifica que los aseguradores tengan controles internos adecuados para garantizar que los activos sean manejados en concordancia con la política general de inversiones, así como también en cumplimiento con los requerimientos legales, contables y regulatorios. Estos controles deben garantizar que los procedimientos de inversión estén documentados y apropiadamente vigilados. Normalmente las funciones responsables de medir, monitorear, establecer y controlar las transacciones de activos están separadas de las funciones de front office. ”

Los propósitos del control interno son claros: • Garantizar que la administración de activos cumple con las leyes y regulaciones • Garantizar que la estrategia de inversión definida por escrito por la junta directiva (o por el comité de inversiones o cualquier otra autoridad delegada para este fin) se aplica correctamente. Según ICP 21, criterio esencial c, esta estrategia debe determinar , entre otras cosas, el mix de activos sobre las principales categorías de inversión ,los límites de inversión por tipo de activos , las contrapartes, administración contratada con terceros , mercado, moneda , y área geográfica , y objetivos de rentabilidad ajustados a los rendimientos requeridos para cumplir con los compromisos ( prueba para correspondencia de tasas y períodos de tiempo) . • Evaluar los mecanismos de protección contra riesgos asociados con actividades de inversión que podrían afectar el cubrimiento de las provisiones técnicas o los márgenes de solvencia. Según ICP 21, criterio esencial d, estos riesgos incluyen riesgos de mercado ( tales como depreciación del mercado de valores) , riesgo de tasas de interés, riesgo de liquidez, incumplimiento de la contraparte , destrucción material , malversación , y fraude. • Controlar la integridad y confiabilidad de la información procesada y producida. ¿Están las inversiones, junto con las adquisiciones y transferencias relacionadas con ellas y los ingresos correspondientes, registradas y asignadas apropiadamente? • Garantizar la segregación de obligaciones. ¿Están justificadas las adquisiciones y las transferencias? ¿Han sido realizadas bajo las mejores condiciones posibles? ¿Es correcta la valoración de las inversiones en el balance? • Sugerir mejoras cualitativas en la administración. En pocas palabras, los controles internos deben proporcionar, a quien toma las decisiones, las herramientas necesarias para tomar posiciones estratégicas (ver IAIS 2004 para mayor información sobre administración de riesgo de inversión). Se debe presentar a la junta directiva un informe sobre las políticas de inversiones por lo menos una vez al año. Éste proporciona detalles sobre, entre otras cosas, los métodos utilizados para evaluar y controlar las inversiones - en especial, para evaluar la calidad de los activos , el mecanismo interno de control de inversiones , la segregación de obligaciones , la delegación de poder, los procedimientos de control interno, la estructura del portafolio de inversión, y los resultados por tipo de inversión . Los procedimientos de control interno incluyen: • Verificación de que las inversiones que se ingresan en el balance coinciden con las inversiones existentes, con base en el monitoreo de las transacciones y el análisis de la información proporcionada al contador • Justificación de las operaciones y de los inventarios, incluyendo el control de documentos que certifican propiedad o venta de activos fijos • Monitoreo de las contrapartes por un sistema interno o externo de evaluación (agencia calificadora) • Establecimiento de un archivo especial de inversiones, que incluya balance, declaración de ingresos, folletos publicados y notas de prensa

• Establecimiento de un mecanismo de control de administración para monitorear la rentabilidad de las inversiones con base en indicadores de desempeño, análisis de series de tiempo e índice de consistencia. Según ICP 21, criterio esencial h, las auditorías regulares deben además identificar debilidades en el control interno y deficiencias en la administración. En otras palabras, la función del control interno es primero que todo preventiva; si esto no es posible, debe permitir la detección oportuna de los riesgos que pudieran ser dañinos para la situación financiera de la compañía. Administración de activos-pasivos Para una compañía de seguros de vida, el propósito de la administración de activos-pasivos es construir suficientes activos apropiados para que correspondan con los compromisos que constituyen sus pasivos. La administración de activos- pasivos consiste en influenciar la composición de las inversiones para optimizar los resultados, controlando al mismo tiempo los riesgos financieros involucrados. Se aplica a dos niveles: a nivel de producto (por ejemplo, un contrato atado a índice variable) y a todo el balance. En el segundo nivel, ALM es una herramienta de análisis y de planeación global. La administración activos-pasivos pretende alcanzar un compromiso óptimo entre la naturaleza de los pasivos y los activos, buscando el producto que será más atractivo para el cliente ( pasivo) o escogiendo los activos sobre la base de criterios de seguridad ( riesgo) y rentabilidad. La función de construcción de una administración activos-pasivos debe estar basada en competencias disponibles en los diferentes departamentos de la compañía, incluyendo técnica, administradores de producto, y administradores de activos. Por lo tanto, la construcción de la función de administración de activos-pasivos debe hacerse en el contexto del sistema de control interno. Una auditoría debe inventariar los riesgos específicos de activos-pasivos, que se discuten en otra parte, junto con los riesgos financieros. Estos pueden incluir: • Riesgo de provisión de recursos sobre contratos tradicionales. Estos contratos conllevan dos riesgos : riesgo de reinversión ( riesgo de que la tasa de retorno en inversiones futuras sea más baja que las tasas garantizadas en los contratos de seguros) y riesgo de liquidación ( riesgo de que la compañía se vea forzada a transferir pasivos depreciados sin reembolso). • Contratos atados a índice variable. Estos contratos conllevan el riesgo de iliquidez de un contrato atado a un índice variable cuando se debe el pago de un beneficio a un asegurado, el riesgo de insuficiencia activo-pasivo , cuando el asegurador se demora en adquirir ( o vender) unidades de cuenta que corresponden a las variaciones en el volumen de los compromisos , piso de garantía de riesgo.5

5 El piso de garantía de riesgo se puede considerar con que el riesgo de que el retorno sobre los activos invertidos sea menor que la tasa garantizada como el mínimo retorno al asegurado bajo los términos del contrato .

El comité de activos-pasivos ( o a falta de éste , el comité de inversiones ) es el organismo de toma de decisiones que identifica los riesgos específicos para la compañía de seguros , define los objetivos de la compañía ( por ejemplo, respetar los índices estatutarios o proteger las inversiones de anualidades contra la inflación a largo plazo ) y diseña una estrategia financiera . La asignación de activos, que debe reflejar las restricciones regulatorias, contables o fiscales, se orienta en forma diferente dependiendo de la prioridad relativa atada los rendimientos y a la seguridad. El comité debe además adoptar términos de referencia que contengan objetivos y estrategia escritas , listas de transacciones financieras autorizadas y tipos aceptables de inversiones , y que describan un procedimiento de excepción ( para evitar demoras que podrían resultar de una administración financiera excesivamente rígida). El administrador de activos-pasivos debe ser libre para tomar decisiones dentro de los límites establecidos. El administrador debe presentar periódicamente un informe de actividades al comité de activos-pasivos (al menos una vez al año). La administración puede asignarse a una unidad interna especial que combine representantes de pasivos y activos de la compañía. También se puede delegar a un tercero, con la inclusión de los términos de referencia en el mandato de administración. Los procedimientos de control interno están orientados, primero que todo, al cumplimiento con los términos de referencia o las instrucciones dadas al administrador. El control de cumplimiento con los términos de referencia o instrucciones se puede realizar a varios niveles: por el comité de activos-pasivos , sobre la base del informe del auditor , por auditoría interna , y por un procedimiento específico de control financiero, in situ y con base en evidencia documental. El contralor también puede hacer comentarios sustantivos sobre la política de activos-pasivos o puede aún conducir una auditoría completa de riesgos de activos-pasivos. Para monitorear el nivel de riesgos incurridos y su evolución, el contralor puede usar modelos de balances, haciendo proyecciones futuras, de los resultados y la situación financiera de la compañía usando escenarios predeterminados (ver IAIS 2003b para mayor información sobre pruebas de estrés por aseguradores). Estos escenarios, o hipótesis, que incluyen el clima económico y financiero, el proceso de producción de la compañía y el comportamiento de los clientes, hacen posible construir indicadores de riesgo que contienen umbrales de alerta. Instrumentos derivados Si una compañía de seguros entra en el mercado de los derivados está expuesta a riesgos específicos, incluyendo los siguientes : • La naturaleza fluida de los derivados , en la cual las transacciones se pueden hacer muy rápido con base en órdenes verbales ( promesas) y en volúmenes que algunas veces son considerables , que hace que sea difícil hacerles seguimiento

• Efecto considerable de apalancamiento, en el cual las pérdidas y las ganancias pueden ser grandes comparadas con la inversión inicial • Administración compleja, en la cual el personal que administra los derivados debe estar particularmente bien calificado, lo mismo que los que diseñan las políticas en esta área • Problema de liquidez • Riesgo de contraparte Los derivados requieren supervisión, monitoreo de las posiciones, y control interno estricto. Según ICP 22, sobre derivados y compromisos similares, “La autoridad de control exige que los aseguradores cumplan con los estándares sobre el uso de derivados y compromisos similares. Estos estándares tienen que ver con restricciones en su uso y divulgación de requerimientos así como de controles internos y monitoreo de las posiciones relacionadas .” Específicamente, en el criterio esencial e, “La autoridad de control exige que los aseguradores tengan sistemas de control de riesgos establecidos , que cubran los riesgos de las actividades con derivados , para garantizar que los riesgos que surjan de todas las transacciones con derivados realizadas por el asegurador se puedan analizar y monitorear individualmente y en agregado [y ] monitorear y administrar de manera integrada con riesgos similares que surgen de actividades no derivadas de modo que las exposiciones se puedan evaluar regularmente sobre una base consolidada.”

Según la Operación Francesa sobre Operaciones de Mercado de Acciones , “ La administración de riesgos que surgen de los derivados es un problema de control interno” de varias clases . El primer tema de control interno es una descripción detallada de estrategias . La junta directiva, la administración general, y otros miembros del personal de la alta gerencia deben entender claramente las estrategias utilizadas por los traders y deben evaluar cada objetivo perseguido y cada método de implementación .Los informes de control interno deben proporcionar suficientes detalles que le permitan a la administración diseñar una lista de estrategias autorizadas y aprobar o vetar cualquier estrategia nueva. El segundo tema tiene que ver con los recursos. La compañía debe tener recursos adecuados de computador, comunicaciones y administración para permitir que los traders actúen rápido y en forma apropiada . La efectividad de los sistemas puede estar sujeta a ciertas pruebas , tales como la medida de una posición dada o la construcción de una prueba de estrés. El tercer tema es el monitoreo de los activos líquidos . En una estrategia de inversión , la compañía tiene que tener los activos líquidos necesarios para los contratos futuros de compra de activos .¿ Dónde para la noción de activos líquidos? ¿Únicamente en los activos disponibles en el banco? ¿ O es un concepto más amplio que incluye depósitos a término y flujos de efectivo futuros , tales como intereses acumulados , valores amortizados , o primas por cobrar? ¿Son los activos líquidos utilizados más de una vez para propósitos diferentes?

Las políticas y procedimientos de control interno deben contestar estas preguntas. Otros procedimientos deben buscar garantizar cumplimiento con los límites sobre el uso de los derivados establecidos por la junta directiva —límites por tipo de estrategia, producto, mercado y contraparte (transacción por mutuo acuerdo). Sistemas de computador La tecnología de computadores ha transformado las estructuras de las compañías de seguros al permitirles, entre otras cosas, procesar rápidamente grandes volúmenes de datos sobre contratos, primas, siniestros, provisiones técnicas, comisiones , e inversiones. Al mismo tiempo, el computador se ha convertido en una nueva fuente de riesgos que están dentro del alcance del control interno. Los riesgos específicos conectados con los aspectos técnicos de cada tipo de sistema de información, que esté centralizado o no o que involucre computadores personales individuales o en red, no se discuten aquí. Pero todos los sistemas implican riesgos compartidos , que son inherentes al uso de la tecnología de computadores : • Riesgo de error . El uso de procesos complejos de computador involucra un número de operaciones repetitivas y voluminosas, y por lo tanto ocurren anomalías si el software contiene un error. Cada error tiene un carácter sistemático: si ya ha ocurrido , se debe probablemente a un problema de diseño en el sistema y volverá a ocurrir cada vez que se repitan las mismas condiciones . • Riesgo de intento malintencionado o de fraude. La facilidad de uso ( a diferencia de las herramientas tradicionales de contabilidad) permiten que una persona malintencionada haga una entrada errónea . La concentración de información debilita su protección. • Riesgo de negligencia . Entre más sofisticado sea el hardware que se usa , mayor es la necesidad de un control estricto. Sin embargo, la confianza ciega que algunos operadores depositan en estos recursos les hace perder su espíritu crítico y crea un clima psicológico de optimismo y relajación que es especialmente susceptible a errores y a fraude. La historia de la tecnología de los computadores está llena de eventos que ilustran este hecho. • El riesgo de posibles contratiempos. Estos incluyen el colapso de un programa de software por una interrupción accidental causada por una codificación que excede la capacidad del archivo — por ejemplo, cuando una suma contiene más dígitos de los que el medio de almacenamiento puede aceptar , o el uso de un medio de almacenamiento de nueve dígitos para sumar provisiones de riesgo , evaluados archivo por archivo, elimina el final de todas las cantidades que exceden un millón . El control interno debe monitorear la confiabilidad del software , los datos que se ingresan al computador , el procesamiento de los datos , la protección de los datos y la descripción de los procesos . Además, para prevenir la destrucción del hardware y de los datos, y posiblemente para repararlos , los procesos de control interno deben seguir un número de reglas elementales con relación a los mecanismos de seguridad ( seguros, contraseñas) y la protección de los archivos y de los programas . La información se debe proteger contra ciber-depredación interna ( uso no autorizado, perdida de datos) y externa ( competidores , piratas), el equipo debe ser protegido contra

fenómenos naturales ( tormentas , fallas eléctricas , polvo) y, en el caso de apagones , las operaciones deben depender de instalaciones externas de computador . El control interno verifica que la compañía sea capaz de superar los efectos de una crisis de tecnología de los computadores (riesgo de sobre dependencia en tecnologías de información). El uso de intermediarios Los agentes y los corredores juegan un papel importante en el negocio de seguros, ya que ellos constituyen su fuerza principal de ventas. Además, algunas veces se les delegan las siguientes tareas operacionales: Expedición de pólizas , cobro de primas , y conciliación de siniestros. Esa delegación genera riesgos específicos: • Riesgo de suscripción , en el cual el intermediario puede aceptar un riesgo malo o aún comprometer al asegurador más allá de sus límites • Riesgo de fraude a través de la venta de pólizas ficticias o el pago de beneficios que no se merecen • Riesgo de malversación de fondos recibidos de los asegurados o de los aseguradores • Riesgo financiero relacionado con la transferencia tardía de los fondos recogidos Para protegerse contra estos riesgos, las compañías de seguros establecen procedimientos de control interno para lograr lo siguiente: • Control de la integridad de los intermediarios • Segregación de obligaciones entre los intermediarios y los departamentos encargados de establecer los precios y expedir las pólizas • Monitoreo regular de la posición de los intermediarios sobre la base de los índices del balance • Conducción de auditorías internas, con miras a garantizar que el intermediario no paga beneficios inmerecidos, remite regularmente a la compañía todas las primas recogidas, y no compromete a la compañía más allá de los techos establecidos Contratos con proveedores externos ( Outsourcing) Cada vez más las compañías están buscando los servicios de proveedores externos esto es, contratar algunas de sus funciones esenciales con terceros. Varios de los ICPs se refieren al outsourcing, incluyendo : • ICP 6, sobre licenciamiento, criterio esencial b: “Un criterio claro, objetivo y público de licenciamiento requiere…la información sobre contratos con afiliados y acuerdos con proveedores externos.” • ICP 13, sobre inspección in situ , criterio esencial f: “La autoridad de control puede extender la inspección in situ para obtener información de intermediarios y compañías

que han aceptado funciones contratadas con proveedores externos por la autoridad supervisada .” • ICP 10, sobre control interno , criterios esenciales h y j: “La autoridad de control exige vigilancia y rendición de cuentas claras para todas las funciones contratadas con proveedores externos , como si esas funciones fueran realizadas internamente y sujetas a los estándares normales de controles internos .” • ICP 10, criterio esencial j: “La autoridad de control exige que una función de auditoría interna… evaluar las funciones contratadas con proveedores externos .” El rango de funciones que los aseguradores han contratado con proveedores externos es muy amplio. Incluye expedición de pólizas, arreglos de siniestros , cálculo de provisiones técnicas , establecimiento de tasas , tareas actuariales, administración de computadores , administración de portafolios de activos , informes prudenciales , auditorías internas, y más. La contratación con terceros puede tener ciertas ventajas . Puede reducir costos , debido a las economías de escala en la prestación de servicios , y beneficios derivados de la experticia de un especialista externo. Sin embargo, también implica riesgos que el asegurador debe administrar, incluyendo: • Riesgo legal . La falta de cumplimiento de los proveedores con requerimientos legales (especialmente cuando ellos no son aseguradores) • Riesgo operacional . Riesgo de pérdida de control sobre las actividades contratadas con terceros , riesgo de pérdida de competencia de la compañía para administrar las actividades contratadas por terceros , y riesgo de conflicto de intereses si el proveedor trabaja para varias compañías de seguros • Riesgos generales . Riesgo de incompetencia del proveedor , deterioro de la calidad del servicio prestado, costo excesivo que conduce a primas más altas para el asegurado El control interno está orientado a prevenir riesgos y a tratar de limitar sus efectos. Los propósitos de los controles sobre servicios contratados con terceros incluye verificar que: el contrato no mine los intereses de los asegurados; la junta directiva de la compañía sienta que todavía tiene que responder por todas las actividades contratadas con terceros y se comporte de conformidad en la definición y monitoreo de estas actividades; los lineamientos preparados por la junta se describan claramente en el contrato de prestación de servicios con terceros y el proveedor los cumpla; los recursos de la compañía para analizar los riesgos asociados con la contratación de servicios con terceros sean adecuados y efectivos; existan soluciones alternativas si los proveedores tienen problemas operacionales; y la compañía de seguros tenga poder para terminar el contrato en cualquier momento si surgen dificultades que afecten negativamente su reputación , política de negocios o situación financiera . Anti- lavado de dinero En muchos países, las leyes exigen que las instituciones financieras conozcan a sus clientes, incluyendo los verdaderos beneficiarios de cualquier contrato en el que los representantes no actúan en su propio nombre. La obligación de vigilancia especial aplica a las transacciones grandes que son inusualmente complejas y que no parecen tener

ninguna justificación económica o propósito legal. Especialmente afecta a los seguros de vida , pero otras clases de seguros tampoco escapan al riesgo que puede afectar la reputación de la compañía , y que finalmente termina afectando su solidez financiera. IAIS ha expedido una recomendación básicamente dirigida a las autoridades de control pero ilustrando además el papel del control interno . Según ICP 28, anti-lavado de dinero, “La autoridad de control exige a los aseguradores e intemediarios que tomen medidas efectivas para disuadir, detectar y reportar el lavado de dinero y la financiacion del terrorismo.” El criterio f trata específicamente de: el monitoreo y el reporte de transacciones sospechosas, “La autoridad de control exige que los supervisores e intemediarios cooperen con las autoridades competentes, garanticen transparencia del flujo de dinero, en particular monitoreen transacciones complejas e inusualmente grandes o patrones inusuales de transacciones que no tengan un propósito económico o legal aparente, informen oportunamente a la autoridad competente cualquier actividad sospechosa, tal como una transacción donde los dineros podrían venir de una actividad criminal o estar asociada o relacionada con, o se van a usar para, financiar terrorismo, estén alerta sobre cambios inexplicables significativos e inesperados en las cuentas de los asegurados, verifiquen recursos de reaseguro o retrocesión para garantizar que los dineros se pagan a las entidades de reaseguros legítimas [y] en caso de que surja una sospecha del lavado de dinero o financiación del terrorismo, se abstengan de alertar a los clientes cuando la información relacionada con ellos se envía a las autoridades competentes”. Por lo tanto, las compañías de seguros deben tener procedimientos de control interno para aumentar la conciencia del personal, y la de los intermediarios encargados de suscribir o de recoger fondos, para identificar la suscripción de un contrato, y mantener un registro de la transacción por el tiempo que la ley lo requiera. En caso de duda, la compañía de seguros debe escribir un “informe de transacción sospechosa” y enviarlo a las autoridades encargadas de detectar lavado de dinero y a las entidades regulatorias de seguros, cuando sea necesario.

Ejercicio 6. Esta sección del módulo presentó los siguientes ejemplos de funciones importantes de un asegurador para las que se requieren controles internos sólidos: evaluación de riesgos (seguro de vida); provisiones de siniestros (seguro de no vida); protección de inversiones; administración de activo-pasivo; instrumentos derivados; sistemas de computador; el uso de intermediarios; contratos con terceros; y anti-lavado de dinero. Dé un ejemplo de un asegurador en su jurisdicción para quien la debilidad en el control interno de una o más de estas funciones contribuyó a la necesidad de intervención de supervisión. Describa la naturaleza de las debilidades y los pasos que se tomaron para resolverlas.

E. El control interno y la autoridad de control interno El control interno cumple una función prudencial. Está por tanto sujeto, por una parte al escrutinio de auditores externos (o estatutorios) y por otra a la vigilancia por parte de los supervisores de seguros, especialmente relacionada con la solidez financiera y las condiciones operativas de las compañías. El auditor externo debe expresar una opinión sobre la legalidad, honestidad y precisión de los estados anuales de la compañía que están siendo auditados. El auditor externo también describe, en un informe especial para la Junta Directiva los documentos de contabilidad a los que se les debe hacer cambios, agregando cualquier comentario útil, en relación con los métodos utilizados para preparar estos documentos, cualquier irregularidad o error identificado y cualquier conclusión en relación con las cuentas de la compañía. Esta descripción incluye debilidades de control interno, descubiertas por el auditor externo, riesgos que se desprenden de éstas, y recomendaciones para rectificarlas. Por su parte, la autoridad de control monitorea la confiabilidad y efectividad del control interno y usa los hallazgos del control interno para evaluar la solidez financiera y las condiciones operativas de la compañía. Esta sección discute los poderes y responsabilidades de la autoridad de control y la evaluación del supervisor y el uso del control interno. Poderes y responsabilidades de la autoridad de control Estos poderes y responsabilidades se describen con precisión en algunos de los principios básicos de seguros: ICP 10 trata específicamente de control interno, mientras que ICPs 9, 13, 17, 18, 21, y 22 se refieren a él. Estos ICPs establecen principios y criterios de evaluación aplicables a diferentes funciones esenciales de una compañía de seguros.

Según ICP 10, “la autoridad de control exige que los aseguradores tengan controles internos. La responsabilidad por el establecimiento, monitoreo, y operación efectiva de estos controles recae sobre la Junta Directiva, que debe establecer sistemas para organizar la forma de compartir información confiable entre los diferentes niveles de administración y en particular, verificar la efectividad de esos sistemas.” El supervisor exige que la compañía de seguros, y en particular su junta directiva cumpla con todos los estándares aplicables de gobierno corporativo recomendados por ICP 9. Los aseguradores deben tener una función permanente de auditoría (ICP 10, criterios esenciales h, i, y j). las inspecciones in situ deben incluir evaluación de los sistemas de control interno. (ICP 13, nota explicativa 13.3). Según ICP 17, criterio esencial d, “como mínimo, la supervisión a todo el grupo de aseguradores que son parte de grupos de seguros o de conglomerados financieros, incluye además de la supervisión única, a nivel de grupo, y a nivel de intermediario según las políticas adecuadas sobre vigilancia de supervisión de … mecanismos de control interno y procesos de administración de riesgos, incluyendo líneas de reportes y una prueba apropiada e idónea de la alta gerencia” Las políticas y sistemas de administración de riesgos deben poder identificar, medir, describir, y controlar rápidamente los riesgos que enfrenta una compañía de seguros (ICP 18, criterio esencial a), la administración y la protección de activos (ICP 21, criterio esencial e), y el uso de derivados (ICP 22). En otras palabras, los objetivos y las responsabilidades de la autoridad de control son: • Imponer sobre los administradores y la alta gerencia de las compañías de seguros, el establecimiento de estándares y controles internos, que cubran todos los aspectos de la administración de la compañía y que verifiquen que las obligaciones y responsabilidades de cada uno están claramente definidas, con una segregación y separación de funciones claves. • Verificar que la función de auditoría tiene los medios necesarios para llevar a cabo sus responsabilidades en forma efectiva, incluyendo acceso a todos los departamentos y sectores de la compañía, independencia de la alta gerencia y de los administradores, suficientes recursos materiales y humanos, (habilidades y experiencia), y metodología apropiada. • Verificar que la información de la junta directiva esté organizada apropiadamente y que las recomendaciones de la auditoría se tomen en serio. Exigir, si es necesario, el fortalecimiento de los controles internos. • Para la evaluación de los sistemas de control interno que existen en una compañía, el supervisor trabaja por etapas. El procedimiento que se describe aquí es un ejemplo, no un modelo único. La primera tarea es entender el sistema. Para entender las redes de administración de información, desde el principio de la transacción hasta su entrada a las cuentas de la compañía, el supervisor habla con los funcionarios y participantes de los

departamentos, estudia el manual de control interno y revisa los informes de los auditores internos (ver IAIS 1998). Esto es seguido por la preparación de una descripción del sistema para mantener un registro escrito de la información recogida. Esta descripción no se limita a un enfoque contable. Además cubre información adicional procesada por la compañía, como estadísticas de negocios nuevos, riesgos compartidos en grupos homogéneos, y siniestros por segmento de costos. Después es importante verificar la existencia de un sistema (para validar o invalidar) la relevancia de la información preparada y revisar los procesos y verificaciones implementadas por la compañía. Para garantizar que los sistemas están diseñados para eliminar (o al menos reducir en forma significativa) los riesgos, o los errores y las pérdidas. De la misma forma, el supervisor usa cuestionarios preestablecidos para cada función en la compañía y para cada objetivo de control interno. ¿Cómo se puede encontrar evidencia, sobre la base de las entradas de contabilidad? ¿Por medio de qué procedimientos, las personas autorizadas para firmar cheques verifican que una transacción – por ejemplo, el pago de un siniestro o la verificación de un balance de seguros – es justificada? La siguiente tarea es verificar el funcionamiento efectivo de los procedimientos escritos. ¿Realmente se usan? ¿Se usan todo el tiempo? Para responder estas preguntas, el supervisor puede repetir el procesamiento o control realizado por el personal o por el computador de la compañía. La prueba entonces consiste en ingresar datos preparados por el supervisor en los programas de computador utilizados por la compañía para verificar que los procesamientos y los controles utilizados por la compañía están implementados en forma efectiva. Sigue una evaluación final en la cual el supervisor determina el grado de su confianza en el sistema de control interno de la compañía, haciendo una evaluación del diseño y de los procedimientos y los resultados de las pruebas llevadas a cabo para medir su funcionamiento. La evaluación del control interno tiene un doble propósito. El supervisor que está convencido de la confiabilidad de los procedimientos realizará solo unas pocas pruebas, pero el número de las pruebas de validación, aumentará si se descubren procedimientos no confiables. Si se encuentra que los procedimientos no son efectivos, el supervisor sugerirá mejoras. Las conclusiones del supervisor, son revalidadas, revisando los informes de auditoría interna: el supervisor tiene acceso a todos los informes de auditoría interna, y al revisarlos puede revalidar los hallazgos de la supervisión. A su turno, el supervisor evalúa la calidad de los informes de auditoría, verificando la exactitud de los datos y la relevancia de los análisis. Con frecuencia esta tarea es difícil, porque no existe una estandarización del formato y contenido de los informes de auditoría que con frecuencia están tan llenos de información detallada, son preparados únicamente para uso interno y no son certificados. Enfrentado a esa situación, el supervisor puede recomendar que la compañía establezca un marco de control para los informes de auditoría con el fin de racionalizar su estructura y resaltar la información importante que contienen.

Finalmente, el supervisor analiza los defectos y las debilidades identificadas por los auditores, y les pide a los jefes de departamento y a la alta gerencia de la compañía que hagan seguimiento a los comentarios del auditor. El supervisor es una clase de “súper” auditor externo, cuyos poderes, objetivos y acciones son considerablemente diferentes de aquellos de los auditores internos. Primero, el alcance de la autoridad del supervisor es universal, y le permite obtener una imagen consolidada del control interno de la compañía. El trabajo del auditor interno está generalmente restringido a un departamento. Segundo, las acciones de supervisión se realizan con discreción, selectivamente, y con el grado de profundidad ajustado sobre la base de la comprensión que el supervisor tiene de la compañía. Al auditor interno, se le asigna la preparación de inventarios más completos de temas posibles para responder preguntas a la alta gerencia, al oficial de cumplimiento o a la junta directiva. Tercero, las conclusiones del supervisor están dirigidas a la Junta Directiva y las recomendaciones son vinculantes para la compañía, que debe tomar las medidas correctivas requeridas. Los comentarios del auditor interno son solamente el primer paso en un diálogo que puede producir retroalimentación en el futuro. Uso del control interno por el supervisor El supervisor usa observaciones y hallazgos sobre el control interno más o menos en su totalidad, dependiendo de su opinión en relación con la confiabilidad y efectividad de los procedimientos implementados por la compañía. Pero cualquiera que sea el grado de su confianza en el sistema de control interno, la autoridad de control no puede dejar de hacer sus propias investigaciones, especialmente en las inspecciones in situ que son la única forma capaz de confirmar que la calidad del control interno es duradera y de recoger datos sobre las condiciones operativas y solidez financiera (generalmente el área principal de preocupación) necesarios para formarse un juicio externo e independiente. Algunas autoridades de control han establecido criterios detallados para la evaluación de las funciones de control interno. (por ejemplo, ver OSFI 2002). EL supervisor usa con más frecuencia los hallazgos de control interno para evaluar operaciones tales como el uso de derivados, política de suscripción, estrategia de reaseguros, y decisión de inversiones, haciendo énfasis particular en los contratos de servicios con terceros, y algunas veces para hacer una proyección hacia el futuro, de las tendencias en la situación financiera de la compañía. El supervisor puede solicitar los hallazgos de control interno, para evaluar la calidad de los servicios prestados al asegurado. La efectividad de la administración de riesgo, el cumplimiento de las transacciones de la compañía con las leyes y normas vigentes, y lo adecuado de la función de auditoría interna. A continuación damos unos ejemplos. Protección del asegurado y calidad de los servicios prestados (Seguros de vida) El supervisor usa los análisis y hallazgos de control interno para evaluar la administración de la compañía, en puntos claves muy precisos:

• Participación de los asegurados en las utilidades, su distribución entre los varios tipos de contratos y la justificación de esas cantidades, en comparación con los modelos de flujos de caja futuros de la compañía. • El procesamiento de contratos cancelados, de moras en pago de valores de cesión, cálculo de provisiones relacionadas, pólizas de primas reducidas. • Información preparada para los asegurados, la calidad de los folletos que se les envían y la confiabilidad de los call centers • Seguimiento de las quejas presentadas por los asegurados que aseguran que fueron mal informados sobre las características de sus contratos (indexados, valores de cesión) Algunas veces, la información suministrada por los procedimientos de control interno no es suficientemente específica para que le ayude al supervisor a hacer un juicio confiable sobre el nivel de las provisiones técnicas. El supervisor puede solicitar razonablemente al actuario de la compañía una evaluación prospectiva de los compromisos de la compañía sobre la base de los datos económicos más recientes. (Tabla de esperanza de vida, tasa de interés, honorarios de administración). Sistema de Administración de Riesgo El supervisor analiza el sistema de administración de riesgo establecido por la compañía, el cual, si es relevante, le ayuda al supervisor a juzgar las solidez financiera de la compañía. El supervisor puede entonces adaptar los índices prudenciales a las situaciones específicas que aparecen en el inventario de riesgos. Las preguntas cruciales para incluir son: • ¿Son los datos recogidos por la compañía para calcular las provisiones técnicas, suficientes relevantes y bien utilizados? • ¿Los contratos de reaseguros protegen efectivamente a la compañía contra eventos catastróficos y una frecuencia anormal de siniestros? ¿Se han evaluado en forma precisa, la calidad y la solvencia de los socios de reaseguros? • ¿Están los archivos de préstamos suficientemente bien documentados para alertar a la compañía de los riesgos de incumplimiento del prestatario? • ¿Se ha realizado un análisis prospectivo de los riesgos de liquidez, incluyendo un análisis de flujo de caja, y si es así, está basado en supuestos apropiados? Cumplimiento con las leyes y regulaciones El cumplimiento incluye, no solamente las regulaciones legales aplicables a todas las compañías en la misma jurisdicción, sino también las regulaciones internas adoptadas para cada compañía. Las compañías deben tener controles internos para garantizar su cumplimiento con las leyes y las regulaciones internas. El supervisor debe evaluar si estos controles son efectivos para mantener cumplimiento con las leyes y regulaciones legales, por ejemplo, determinar si los índices prudenciales se están cumpliendo y si las estructuras

administrativas son adecuadas. El supervisor además examina si las regulaciones internas son relevantes y están bien ejecutadas: • ¿Está la Junta Directiva debidamente informada, especialmente en relación con la firma de contratos importantes, pago de siniestros grandes, o pasos que han tomado los departamentos en respuesta a los hallazgos de auditoría interna? • ¿Están claramente definidas las funciones y los métodos de trabajo (roles, tareas, responsabilidades) de los comités a los que se les ha delegado poder? • ¿Es el papel del oficial de cumplimiento únicamente nominal con tareas, responsabilidades y poderes definidos en forma vaga? • ¿Está la revisión del manual de auditoría y revisiones internas programada para hacer correcciones a los defectos e inconsistencias en forma periódica? A su turno, los auditores internos deben informar a la Junta Directiva de todos los defectos identificados durante sus revisiones. Es igualmente importante que ellos construyan modelos de las tendencias en los índices prudenciales, particularmente de la capacidad de la compañía para absorber pérdidas potenciales. Idoneidad de la auditoría interna El supervisor debe señalar los defectos de las capacidades y procesos de auditoría interna, incluyendo: • Falta de know-how de la auditoría de ciertas funciones técnicas • Identificación inexacta de ciertos riesgos • Criterios imprecisos para reportar a la junta directiva • Insuficiente seguimiento, por parte de los departamentos involucrados, de los puntos tratados en las observaciones y recomendaciones de los auditores En resumen, el control interno ayuda a los supervisores a evaluar la situación financiera, las condiciones operativas y la administración operativa y comercial de una compañía de seguros. En algunos países, las regulaciones ordenan sanciones en el caso de ausencia, defectos, o debilidades del control interno. Los reportes de control interno también deben servir como una base para aplicar sanciones, si éstos revelan cualquier infracción de las regulaciones. En la mayoría de las jurisdicciones, incluyendo Francia, un informe que sigue a la inspección in situ debe confirmar la realidad de estas infracciones.

Ejercicios 7. Describa tres formas en las cuales la evaluación de los controles internos de un asegurador por parte de la autoridad de control difiere de la evaluación del auditor interno del asegurador. 8. Haga una lista de inspecciones in situ y fuera del sitio realizadas por su autoridad de control para verificar la idoneidad de los controles internos de un asegurador

F. Conclusiones Una compañía, incluyendo una compañía de seguros, no puede considerarse en buena salud financiera en el largo plazo, si no tiene un sistema adecuado y efectivo de control interno. En la actualidad, los supervisores están tan convencidos de este hecho que tienden a poner sus requerimientos al mismo nivel de cumplimiento de los índices prudenciales. Esto no siempre ha sido cierto, aunque las compañías bien administradas, no esperan las regulaciones y recomendaciones expertas para establecer procedimientos efectivos que permitan a sus administradores controlar los principales riesgos a los que están expuestas. El volumen grande de contratos que administran, el gran volumen de inversiones, la diversificación de actividades técnicas ampliamente distribuidas geográficamente y la creciente sofisticación del procesamiento de datos han contribuido a aumentar la conciencia entre los administradores y los contadores, dentro y fuera de las compañías, de la importancia de contar con controles internos fuertes para garantizar el funcionamiento adecuado de firmas y el éxito de sus operaciones. En el sector asegurador, los controles internos deben cubrir todas las actividades de la compañía, no solamente aquellas relacionadas con la contabilidad, aunque ésta es particularmente relevante en ciertos dominios operacionales, tales como la aceptación de riegos de seguros, administración de activo-pasivo, derivados y contratos de servicios con terceros. Los procedimientos de control interno están reflejados en comentarios y recomendaciones en los informes orientados principalmente a las personas que toman las decisiones en la compañía, principalmente la junta directiva, pero también a la alta gerencia, al comité de auditorías, y a otros comités. Al mismo tiempo, estos informes están disponibles para los

auditores externos, “o estatutorios” y para los supervisores – en forma sistemática, a su solicitud o durante las inspecciones in situ. Los auditores externos deben presentar una opinión por escrito sobre la confiabilidad del sistema de control interno. El supervisor tiene las siguientes responsabilidades dentro del marco de la evaluación de una compañía: • Evaluar regularmente sus procedimientos de control interno • Garantizar que los auditores internos sean independientes de la administración de la compañía y, verificar que se hace seguimientos a sus observaciones y que cualquier defecto se soluciona tan pronto como es posible. Pero el control interno, aunque sea excelente no puede relevar a la autoridad de control de sus responsabilidades para realizar investigaciones, incluyendo inspecciones in situ, que son la única forma para: • Confirmar la permanencia de su excelencia • Hacer una evaluación consolidada, externa, e independiente de la compañía. En su trabajo, IAIS ha hecho énfasis en la necesidad y la importancia del control interno. ICP 10 esta dedicado a él. Existen algunos otros principios básicos, que le otorgan un sitio significativo en la lista de criterios esenciales que describen los desafíos, soluciones propuestas y acciones recomendadas que debe tomar el supervisor. Este módulo ha demostrado la relevancia de estos principios y criterios, que no deben ser rígidos sino que deben evolucionar a través del tiempo, teniendo en cuenta las necesidades de la compañía.

G. Referencias Basel Committee on Banking Supervisión. 1998. Framework for Internal Control Systems in Banking Organizations. Basel, September. Available at www.bis.org. Published in a variety of languages. Committee of the Conference of Insurance Supervisory Services of the Member States of the European Union. 2002. Prudential Supervision of Insurance Undertakings. Known as the London Group Report or the Sharma Report. London, December. Available at www.ceiops.org. CEIOPS (Committee of European Insurance and Occupational Pensions Supervisors). 2003. Internal Control for Insurance Undertakings. Known as the Madrid Working Group Report. Madrid, December. Available at www.ceiops.org. COSO (The Committee of Sponsoring Organizations of the Treadway Commission). 1994. Internal Control—Integrated Framework. Jersey City. Executive summary available at www.coso.org and full report available for purchase at www.cpa2biz. com. ———. 2004. Enterprise Risk Management—Integrated Framework. Jersey City, September. Executive summary available at www.coso.org and full report available for purchase at www.cpa2biz.com. IAIS (International Association of Insurance Supervisors). 1998. Supervisory Standard on On-site Inspections. Basel, October. Available at www.iaisweb.org. ———. 2003a. Insurance Core Principles and Methodology. Basel, October. Available at www.iaisweb.org. ———. 2003b. Guidance Paper on Stress Testing by Insurers. Basel, October. Available at www.iaisweb.org. ———. 2003c. Guidance Paper on the Use of Actuaries as Part of a Supervisory Model. Basel, October. Available at www.iaisweb.org. ———. 2004. Guidance Paper on Investment Risk Management. Basel, October. Available at www.iaisweb.org. IFAC (International Federation of Accountants). 2006. Handbook of International Auditing, Assurance, and Ethics Pronouncements, 2006 Edition. New York, January. Available for purchase in hard copy or for downloading free of charge at http:/// www.ifac.org. OECD (Organisation for Economic Co-operation and Development). 2004. OECD Guidelines for Good Practice for Insurance Claim Management. Paris, November. Available at http://www.oecd.org/dataoecd/43/44/33964905.pdf. Also published in French. OSFI (Office of the Superintendent of Financial Institutions Canada). 2002. Assessment Criteria (multiple documents). Ottawa, August. Available at http://www.osfi-bsif. gc.ca/osfi/index_e.aspx?DetailID=294. Also published in French.

Anexo I. ICP 10 ICP Nº 10: Control Interno: La autoridad de control requiere que los aseguradores tengan en funcionamiento controles internos, que sean adecuados para la naturaleza y escala de su operación. Los sistemas de vigilancia e informes permiten a la Junta Directiva y a los directivos monitorear y controlar las operaciones Notas explicativas 10.1. El propósito del control interno es verificar que:

• La operación de una compañía de seguros sea manejada de una manera prudente, de acuerdo con las políticas y las estrategias establecidas por la Junta Directiva (referirse a ICP 9).

• Las transacciones son solamente realizadas con permiso apropiado

• Los activos están salvaguardados (referirse a ICP 21)

• La contabilidad y otros registros proporcionan información completa, precisa, verificable y oportuna

• La administración puede identificar, evaluar, administrar y controlar los riesgos del negocio y mantener el capital suficiente para estos riesgos (referirse 18 y 23)

10.2. Un sistema de control interno es crítico para la efectiva administración de riesgos y un fundamento para la operación sana y sólida de un asegurador. Proporciona un acercamiento sistemático y disciplinado para evaluar y mejorar la efectividad de la operación y garantizar el cumplimiento con las leyes y la regulación. Es responsabilidad de la Junta Directiva desarrollar una fuerte cultura de control interno dentro de su organización, cuya característica central es el establecimiento de sistemas para la comunicación adecuada de información entre los diferentes niveles de la administración.

10.3. Un elemento esencial de un sistema de control interno es que la Junta Directiva reciba informes de manera regular sobre la efectividad del control interno. Cualquier debilidad identificada debe ser reportada a la Junta Directiva tan pronto como sea posible, de manera que se pueda tomar la acción apropiada).

Criterios esenciales a La autoridad de control revisa los controles internos y verifica que sean adecuados para la naturaleza y la escala de la operación y requiere el fortalecimiento de dichos controles cuando sea necesario. La Junta Directiva es la responsable en última instancia de establecer y mantener un sistema de control interno efectivo. b. El marco para el control interno del asegurador incluye los acuerdos para delegar la autoridad y responsabilidad y la segregación de obligaciones. Los controles internos

abordan asuntos de revisión y balance; por ejemplo, revisión cruzada, control dual de activos, firmas dobles (referirse 9 EC b). c. La auditoría interna y externa, las funciones actuariales y de cumplimiento son parte del marco del control interno, y deberán probar su adherencia a los controles internos así como a las leyes y regulaciones aplicables. d. La Junta Directiva debe proporcionar una vigilancia prudente e implantar un sistema de administración de riesgos que incluya el establecimiento y monitoreo de políticas, de manera que todos los riesgos mayores sean identificados, medidos, monitoreados y controlados sobre la operación en marcha. Los sistemas de administración de riesgos, las estrategias y las políticas son aprobadas y periódicamente revisadas por la Junta Directiva (referirse al ICP 18). e. La junta proporciona una supervisión adecuada de las actividades de conducta del

mercado. f. La Junta Directiva debe recibir con regularidad informes relativos a la efectividad de los controles internos. Las deficiencias en los controles internos, ya sean identificados por la administración, el personal, auditoría interna u otro personal de control, son reportados oportunamente y abordados a la brevedad. g. La autoridad de control requiere que los controles internos aborden procedimientos de

contabilidad, conciliación de cuentas, listas de control e información para la administración.

h. La autoridad de control requiere vigilancia y una clara rendición de cuentas para todas

las funciones contratadas con terceros, como si dichas funciones fueran realizadas internamente y sujetas a los estándares normales de control interno.

i. La autoridad de control requiere que el asegurador tenga funciones de auditoría interna en

marcha, de naturaleza y alcance apropiados para el negocio. Esto incluye garantizar el cumplimiento de todas las políticas y procedimientos aplicables, así como la revisión de si las políticas, prácticas y controles del asegurador siguen siendo suficientes y apropiadas para su operación.

j .La autoridad de control requiere que la función de auditoría interna:

• Tenga acceso no restringido a todas las operaciones y ramos de seguros y a los departamentos de soporte.

• Evalué las funciones que son contratadas con proveedores externos.

• Tengan el nivel de independencia, incluyendo las líneas de información a la Junta Directiva

• Tengan el estatus dentro del asegurador para garantizar que la alta gerencia reacciona y actúa en concordancia con sus recomendaciones.

• Cuenten con los recursos suficientes y personal, entrenados apropiadamente y con la experiencia necesaria para entender y evaluar el negocio que están auditando

• Emplee una metodología que identifica los principales riesgos en los que incurre la institución y asigna sus recursos de conformidad con ello (refiérase al ICP 18)

k. La autoridad de control tiene acceso a los informes de la función de auditoría interna. l. La autoridad de control requiere informes actuariales a la Junta Directiva y a la administración, donde la legislación o la naturaleza de las operaciones de la aseguradora requieran la designación de un actuario.