VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS Pablo Wesolowski Ventosa Rosario de Velasco Marín DAVIES ARNOLD COOPER Abogados...
0 downloads 0 Views 363KB Size
VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS Pablo Wesolowski Ventosa Rosario de Velasco Marín DAVIES ARNOLD COOPER Abogados

VII.1. INTRODUCCIÓN

sido comunes a todas ellas y se han fijado en función de la naturaleza del negocio que desarrollan, estableciéndose unos márgenes de solvencia que, en principio, no reflejan los riesgos verdaderamente asumidos por las Entidades aseguradoras. A partir de Solvencia II, los recursos propios de las Aseguradoras deberán ser fiel reflejo del elenco de riesgos de todo tipo que tiene una Entidad de este tipo y deberán evolucionar en la medida en que aquéllos lo hacen. • Pilar 2: Contiene requisitos relativos al control interno y la gestión de riesgos, así como a la supervisión cautelar o preventiva. El sistema de gestión de riesgos de las Entidades aseguradoras comprenderá las estrategias y los procedimientos de información necesarios para identificar, vigilar y gestionar los riesgos a los que, a nivel individual y agregado, están o puedan estar expuestas, y sus interdependencias. La evaluación interna de los riesgos y de la solvencia formará parte integrante de la estrategia comercial y se tendrá en cuenta en las decisiones estratégicas de las empresas. • Pilar 3: Comprende lo relativo a la divulgación de información y transparencia. Los tres pilares mencionados se pueden resumir gráficamente del siguiente modo:

Para entender lo que suponen las obligaciones de control interno de las Entidades aseguradoras, es imprescindible enmarcarlas dentro de la Directiva 2009/138/CE («Solvencia II») que supone tanto una profunda revisión de los planteamientos de supervisión e inspección de las Entidades aseguradoras, como una importante modificación de los criterios de gestión empresarial, rescatando de la retaguardia y situando en vanguardia tanto el control de riesgos como la transparencia informativa, y todo ello sobre la base del autocontrol y la supervisión preventiva. Solvencia II se apoya en los mismos tres Pilares que Basilea II: • Pilar 1: Se refiere, fundamentalmente, a las exigencias de provisiones técnicas y de capital, y aplica técnicas y métodos compatibles con las IAS (International Accounting Standars - Normas Internacionales de Contabilidad). En este ámbito, el objetivo es garantizar un nivel de capital que permita a las Aseguradoras afrontar grandes pérdidas imprevistas, garantizando así la protección de los asegurados. Con este fin, se establece un capital mínimo y, por encima de éste, un capital que refleja el nivel real de riesgo asumido por la Entidad en función de las operaciones realizadas. Hasta Solvencia II, los requisitos de capitalización de las Entidades aseguradoras, han 169

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

tión de los riesgos a los que se enfrenta toda actividad humana. El riesgo no deja de ser un concepto abstracto e intangible cuya existencia únicamente se constata en el mismo instante de su defunción: cuando el riesgo se materializa y se hace visible, deja de ser riesgo y se convierte en algo tangible, en un evento que puede tener consecuencias desastrosas. En efecto, parece que la persona que controla el riesgo, controla el futuro, controla el tiempo y, de alguna forma, se asemeja a la divinidad. El control del riesgo consiste en encapsular el futuro en el presente para privarle de su perverso y dañino aguijón. Sólo quien controla el futuro, está en condiciones de asegurar el presente. En definitiva, el control interno se centra en la prevención, es decir, trata de anticiparse al futuro y evitar los efectos negativos de los riesgos que afectan a las empresas.

En este contexto, centraremos nuestra exposición en el segundo pilar y, más concretamente en los principios de control interno, su definición y las áreas a las que se extiende, sus implicaciones y la forma en que afecta a la supervisión y al control de las Entidades aseguradoras.

VII.2. ¿QUÉ ES EL CONTROL INTERNO? El control interno está suponiendo, como ahora veremos, una verdadera revolución en la forma de dirigir y gobernar las empresas. La base sobre la que se asienta el control interno es la prevención y gestión del riesgo; y no nos referimos aquí solo al riesgo asegurable sino a cualquier riesgo que pueda comprometer el resultado de la actividad empresarial. Entre los ideólogos que han dado fundamento teórico a la gestión de riesgos, es digno de mención el americano PETER BERSTEIN, autor de un libro publicado en 1996 bajo el título «Against the Gods: the Remarkable Story of Risk» quien coloca la gestión del riesgo en la cima del progreso. Dice BERSTEIN que «la idea revolucionaria que define la frontera entre la era moderna y el pasado es el dominio del riesgo». El control interno pivota, por tanto, en torno a la idea de la identificación, prevención y ges-

VII.2.1. DEFINICIÓN DEL CONTROL INTERNO EN LAS ENTIDADES ASEGURADORAS En Diciembre de 2003, el Grupo de Trabajo de Madrid del Comité Europeo de Seguros y Fondos de Pensiones (CEIOPS, Committee of European Insurance and Occupational Pension Supervisors), 170

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

publicó un documento de acuerdo con el cual, en el contexto de las Entidades aseguradoras, se entiende por «control interno» el conjunto de procesos, continuos en el tiempo, efectuados por la Dirección y el resto de personal, y establecidos por el Consejo de Administración, para obtener una seguridad razonable sobre: • La efectividad y eficiencia de las operaciones. • La fiabilidad e integridad de la información financiera y no financiera. • El control y gestión prudente de los riesgos de acuerdo con los objetivos estratégicos de la compañía. • El cumplimiento de las leyes y de las políticas y procedimientos internos aplicables. Así pues, el control interno debe fortalecer el entorno operativo interno de la Entidad, aumentando así su capacidad para afrontar eventos externos e internos e identificar fugas y deficiencias en los procesos y las estructuras.

bles errores o deficiencias significativas en los procesos y estructuras de la Entidad; • asegurarse de que los procesos internos de la Entidad respetan las exigencias impuestas por la normativa aplicable. Para poder lograr tales objetivos el control interno deberá cumplir una serie de requisitos, a saber: • El control debe estar diseñado de forma que sea capaz de responder rápidamente a los riesgos de cualquier tipo que puedan surgir (por ejemplo, riesgos operacionales, de liquidez, etc.). • El coste de las actividades de control debe ser proporcionado, es decir, estar en relación con los beneficios derivados de su establecimiento. • Los sistemas de control deben incluir procedimientos para informar inmediatamente (al nivel apropiado de la Dirección) de cualquier fallo significativo o debilidad identificada, junto con la proposición de las medidas necesarias para corregirlo. • El sistema de control debe estar integrado dentro de las operaciones normales de la empresa y formar parte de su cultura, de forma que todo el personal se involucre.

VII.2.2. OBJETIVOS Y REQUISITOS DEL SISTEMA DE CONTROL INTERNO En línea con lo señalado en el apartado anterior, un sistema de control interno debe abarcar las políticas, procedimientos, tareas, conductas y otros aspectos de una Entidad que, considerados en su conjunto, facilitan un funcionamiento efectivo y eficiente y ayudan a asegurar la calidad de los informes internos y externos y el cumplimiento de la normativa reguladora del sector. Los principales objetivos del control interno son los siguientes: • Potenciar la operativa interna de la Entidad, facilitando un funcionamiento eficaz y eficiente; • incrementar la capacidad de la Entidad para gestionar las diversas situaciones internas y externas que pudieran presentarse; • identificar y ayudar a orientar los planes de acción precisos para solucionar posi-

VII.3. REGULACIÓN VII.3.1. LAS DIRECTIVAS SOLVENCIA I Y SOLVENCIA II En 2002, el Parlamento europeo y el Consejo adoptaron una reforma limitada de las denominadas «Directivas de seguros de tercera generación», conocida como «Solvencia I» y constituida, entre otras, por la Directiva 2002/13/CE del Parlamento Europeo y del Consejo, de 5 de marzo de 2002, sobre seguros distintos del seguro de vida y por la Directiva 2002/83/CE del Parlamento Europeo y del Consejo, de 5 de noviembre de 2002, sobre el seguro de vida. El artículo 10 de 171

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

Por su parte, el Reglamento de Ordenación y Supervisión de los Seguros Privados, aprobado por el Real Decreto 2486/1998, de 20 noviembre (en adelante, «ROSSP») enumera las obligaciones relativas al control interno de las Entidades aseguradoras (artículo 110 ROSSP) y al control de la política de inversiones (artículo 110 bis ROSSP). Los citados preceptos obligan a las Entidades, entre otras cosas, a recopilar la información suficiente para que la Dirección tenga un conocimiento actualizado sobre la evolución de sus actividades, y exige al grupo consolidable desarrollar procedimientos de control interno y Gestión de Riesgos. En materia de infracciones de la normativa de ordenación, el artículo 40 TRLOSSP señala que las deficiencias en los procedimientos de control interno, incluidos los relativos a la Gestión de los Riesgos constituyen infracciones que, según los casos, pueden ser: muy graves, cuando tales deficiencias pongan en peligro la solvencia o viabilidad de la Entidad aseguradora o la del grupo consolidable o conglomerado financiero al que pertenezca, o graves, una vez haya transcurrido el plazo concedido al efecto para la subsanación por las autoridades competentes, y siempre que ello no constituya infracción muy grave.

esta última norma obligaba a las empresas de seguros a disponer de una buena organización administrativa y contable y de procedimientos de control interno adecuados. En la misma línea, la Directiva 2009/138/CE, «Solvencia II», que modifica y refunde, entre otras, las Directivas 73/239/CEE, 2002/83/CE y 2005/68/CE, y que deberá ser transpuesta por los Estados Miembros antes del 31 de octubre de 2012, señala en su artículo 46 que las empresas de seguros y reaseguros deberán establecer un sistema eficaz de control interno que constará, como mínimo, de: • procedimientos administrativos y contables; • mecanismos adecuados de información a todos los niveles de la empresa; • una función de verificación del cumplimiento. Dicha función de cumplimiento consistirá en asesorar al órgano de administración acerca del cumplimiento de las disposiciones legales y reglamentarias que afecten a la Entidad. Comportará, asimismo, la evaluación de las posibles repercusiones de cualquier modificación del entorno legal en las operaciones de la Entidad y la determinación y evaluación del riesgo legal.

VII.3.3. AUTORREGULACIÓN: LA GUÍA DE BUENAS PRÁCTICAS DE CONTROL INTERNO DE UNESPA

VII.3.2. EL TRLOSSP Y EL ROSSP

Tras la última modificación del texto de los artículos 110 y 110 bis ROSSP, la UNESPA (Asociación Empresarial del Seguro) actualizó, en 2007, su Guía de buenas prácticas en materia de control interno, que tiene como fin orientar las acciones que, en esta materia, pudieran adoptarse individualmente por las Entidades aseguradoras que operan en el mercado de seguros español, si así lo considerasen de forma libre y voluntaria. Esta Guía contiene una serie de principios aplicables al sistema de control interno (proporcionalidad; valoración y tratamiento del riesgo; información y comunicación; integridad; etc.), las bases de dicho sistema (segregación de funciones; autorización de operaciones; tecnologías de la información y comunicación; servicios subcontratados;

A nivel nacional, de conformidad con el artículo 71.3 del Texto Refundido de la Ley de Ordenación y Supervisión de los Seguros Privados, aprobado por el Real Decreto Legislativo 6/2004, de 29 de octubre (en adelante, «TRLOSSP»), el Ministerio de Economía y Hacienda exigirá que las Entidades aseguradoras sometidas a su control dispongan de una buena organización administrativa y contable y de procedimientos de control interno y de gestión de los riesgos adecuados. Además, la misma norma señala que cuando el programa de actividades de una Entidad carezca de procedimientos de control interno adecuados se le denegará la autorización solicitada (artículo 5 TRLOSSP). 172

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

control de sucursales; cumplimiento normativo; etc.) e incluye un anexo en el que se recoge un modelo de informe anual sobre la efectividad de los procedimientos de control interno.

gestión de las operaciones intragrupo y la concentración de riesgo. VII.4. IMPLEMENTACIÓN DE PROCEDIMIENTOS DE CONTROL INTERNO: AFECTADOS Y RESPONSABLES

VII3.4. EL CONTROL INTERNO EN EL BORRADOR DE ANTEPROYECTO DE LEY DE SUPERVISIÓN DE SEGUROS PRIVADOS

VII.4.1. ¿A QUIÉN AFECTA EL CONTROL INTERNO?

La futura Ley de Supervisión de Seguros Privados tiene por objeto la regulación del acceso a las actividades de seguro y reaseguro privado, las condiciones y supervisión de su ejercicio, y el régimen de saneamiento y liquidación de las Entidades aseguradoras y reaseguradoras, con la finalidad principal de tutelar los derechos de los tomadores, asegurados y beneficiarios y de facilitar la transparencia del mercado de seguros y el desarrollo de la actividad aseguradora privada. En materia de control interno, el borrador de Anteproyecto no introduce ninguna modificación importante con respecto a la regulación en vigor. Se limita prácticamente a transponer el artículo 46 de la Directiva Solvencia II disponiendo que las Entidades aseguradoras y reaseguradoras establecerán, documentarán y mantendrán en todo momento un sistema de control interno adecuado a su organización. La Ley también regula la supervisión de los grupos de Entidades, señalando que los sistemas de gestión de riesgos y de control interno y los procedimientos de información se implantarán coherentemente en todas las Entidades que formen parte de un grupo, de modo que esos sistemas y procedimientos de información puedan ser objeto de supervisión a nivel de grupo. El sistema de control interno del grupo comprenderá, al menos, lo siguiente: a) Mecanismos apropiados, con respecto a la solvencia del grupo, que permitan identificar y medir todos los riesgos significativos existentes, y cubrir adecuadamente esos riesgos con fondos propios admisibles. b) Procedimientos de información y de contabilidad fiables de cara a la vigilancia y

Dentro de una Entidad aseguradora, el control interno supone un cambio radical de cultura, que implica tanto a los administradores, como a los gestores, ejecutivos y empleados de la misma. El control interno actúa de forma vertical y horizontal, y afecta a todos los elementos de la actividad de la Entidad, a todos y cada uno de sus departamentos y a todos los niveles. Toda persona que trabaje en una Entidad tendrá, pues, su propia responsabilidad en la rueda del control interno, si bien, como veremos más adelante, corresponde al Órgano de Administración la función de establecer, mantener y mejorar los sistemas de control interno. Por otra parte, aunque se acepta que el control interno nunca será capaz de controlar, absorber y neutralizar todos los riesgos en su integridad, sí se pretende garantizar un nivel de confianza razonable en función de la naturaleza y extensión de dichos riesgos. En el terreno práctico, esto último implica la necesidad de crear nuevas estructuras diseñadas desde la pura perspectiva del control interno, crear los canales de transmisión de información adecuados para llegar a todos los rincones de la actividad, empapar al personal de la cultura del control y redactar códigos de conducta a efectos de hacer efectivo el sistema de control interno. VII.4.2. ¿QUIÉNES SON LOS RESPONSABLES DEL CONTROL INTERNO? Según el artículo 110.1 ROSSP, las Entidades aseguradoras deben establecer, documentar y 173

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

mantener en todo momento procedimientos de control interno adecuados a su organización. El Consejo de Administración de la Entidad obligada a presentar la documentación estadístico contable consolidada o el de la obligada a presentar la documentación estadístico contable individual será el responsable último de establecer, mantener y mejorar tales procedimientos de control interno. Por su parte, la Dirección de la Entidad será responsable de la implementación de los procedimientos de control interno, en línea con las directrices establecidas por el Consejo de Administración.

den tenerse debidamente en cuenta a través de exigencias en materia de gobierno y no a través de los requisitos cuantitativos que se reflejan en el capital de solvencia obligatorio. Resulta, pues, esencial establecer un sistema de gobierno eficaz para la correcta gestión de la compañía de seguros y para el sistema de control. Dicho sistema incluye, como veremos más adelante, las funciones de gestión del riesgo, verificación del cumplimiento y auditoría interna y la función actuarial. Dado que la tarea principal de una empresa es alcanzar sus objetivos y que, al mismo tiempo, la empresa debe respetar ciertos límites, es decir, atenerse a las normas propias, a la regulación general y específica del sector, y a las políticas y expectativas relevantes, en el seno de la empresa se crea una estructura diseñada para conseguir sus objetivos y que debe velar también por que no se rebasen los límites establecidos. Dicha estructura básica es la siguiente:

VII.4.2.1. Gobierno corporativo y control interno El gobierno corporativo se define como el sistema por medio del cual se gestionan y controlan las empresas. La Directiva Solvencia II señala, en sus considerandos 29 y 30, que algunos riesgos solo pue-

En efecto, las Entidades aseguradoras actúan en el mercado con el fin de cumplir sus objetivos, para lo cual crean una Dirección y un Consejo de Administración que deberá supervisar, entre otras cosas, que la actuación de la Entidad se ajusta a una regulación integrada por: a) Normas generales (legislación laboral, de consumo, salud, seguridad, etc.). b) Normas específicas (Directivas de la UE; TRLOSSP, ROSSP, etc.).

c)

Normativa sobre cuentas anuales e informes de gestión.

d)

Normas éticas propias de las empresas.

e)

Régimen de responsabilidad social.

Dentro de la mencionada estructura, el Consejo de Administración tiene la obligación de informar a las Entidades de Supervisión sobre sus normas para el gobierno corporativo, y, tanto a nivel interno como externo, los consejeros son 174

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

responsables de garantizar que la empresa cumple con sus obligaciones legales y, en general normativas, incluidas las de carácter ético. En conclusión, la gobernabilidad corporativa aporta a las Entidades una estructura para el control y para la comunicación de la información. Gobernabilidad, gestión de riesgos y control interno forman un sistema completo que debe garantizar el cumplimiento efectivo de las normas y la asunción de responsabilidad frente a los accionistas.

trol, podrá promover programas de formación «ad hoc» para el personal de la organización sobre aquellos aspectos críticos del sistema de control interno implementado.

VII.4.2.3. El Consejo de Administración El artículo 110.1 ROSSP establece que el Consejo de Administración de la Entidad obligada a presentar la documentación estadístico contable consolidada o el de la obligada a presentar la documentación estadístico contable individual será el responsable último de establecer, mantener y mejorar los procedimientos de control interno. Es decir, las Entidades aseguradoras deberán establecer, documentar y mantener, en todo momento, procedimientos de control interno adecuados a su organización, siendo el Consejo de Administración el responsable último de su establecimiento, actualización periódica y, en su caso, mejora. Dicha responsabilidad, siguiendo la Guía de buenas prácticas en materia de control interno de UNESPA, comprende, al menos, las siguientes funciones: a) Aprobar una estructura general de riesgos asumibles, así como el conjunto de medidas y políticas generales necesarias para implantar y desarrollar sistemas internos de control, seguimiento y evaluación continuada de riesgos, adecuados al tamaño, estructura y diversidad de los negocios de la Entidad y el grupo consolidado. b) Promover, dentro de la organización la revisión del razonable funcionamiento del sistema de control interno establecido. c) Establecer las diversas responsabilidades sobre el sistema de control interno dentro de la estructura jerárquica. d) Eludir el conflicto de intereses en el diseño, implantación y supervisión del control interno, mediante una segregación de tareas que permita la objetividad e independencia entre quien diseña o ejer-

VII.4.2.2. Cultura de control De conformidad con lo dispuesto en el artículo 110.1 ROSSP y lo dispuesto en la Guía de Buenas Prácticas de UNESPA, el Consejo de Administración ha de establecer una cultura en todos los niveles de la Entidad que acentúe la importancia del control interno. La Dirección es responsable de la implantación de esa cultura y todos los empleados deben conocerla y estar involucrados en ella, dado que una buena cultura de control interno contribuirá a mitigar el riesgo de reputación corporativa. Por lo tanto, como ya hemos visto anteriormente, para lograr sistemas de control interno adecuados, todos los niveles de la organización de la Entidad deberán ser conscientes de su importancia. Esto se logra cuando el Consejo de Administración promueve un entorno adecuado donde todo el personal conoce su papel en el proceso de control interno y se compromete plenamente con el mismo. Así pues, para reforzar la integridad del control interno, es aconsejable que las compañías aseguradoras fomenten las políticas y prácticas adecuadas que contribuyan a potenciar la cultura de control. Por último, con el fin de que todo el personal se involucre de forma activa en el proceso de acuerdo con sus responsabilidades y tareas específicas, se documentarán de modo apropiado las principales responsabilidades, obligaciones, procedimientos y canales informativos relevantes. Adicionalmente, la Dirección, en cumplimiento de su obligación de divulgar la cultura de con175

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

c)

Garantizar que la auditoría interna se realiza de acuerdo con las normas profesionales, el plan y la estrategia de la auditoría. d) Analizar y valorar la idoneidad y eficacia de los sistemas de control interno. e) Garantizar que en la empresa existe un sistema efectivo de gestión de riesgos. f) Garantizar el cumplimiento de las leyes, de los códigos éticos y los procedimientos de la empresa. g) Garantizar que existe una buena documentación y comunicación de la información financiera, tanto a la Junta General como al Consejo de Administración, como a terceros, en su caso. h) Investigar fraudes, y en su caso, proponer sanciones. Por último, el Consejo de Administración tiene que reflejar las debilidades del control ocurridas durante el periodo de referencia y el efecto que las debilidades han tenido o podrían haber tenido en los resultados o en la situación de la Entidad. Por este motivo, el Consejo de Administración debe ser consciente en todo momento de los fallos o debilidades del control interno, determinar cómo surgen las mismas y reconsiderar la efectividad del diseño, funcionamiento y revisión del sistema de control interno.

ce el control y quien evalúa el diseño y la calidad de ejecución del sistema de control interno. e) Asegurar que se cuente con los medios y recursos necesarios en la organización para la consecución de los objetivos del control interno. f) Aprobar los programas, procedimientos y controles internos necesarios para combatir el blanqueo de capitales y/o la financiación de actividades terroristas, en aquellas Entidades legalmente obligadas a ello. Para verificar que el Consejo de Administración cumple adecuadamente sus funciones, los factores a considerar son los siguientes: • Celebración de reuniones con regularidad. • Definición de tareas y contenido de las mismas. • Proceso de selección e independencia de los consejeros; potestades, incompatibilidades, duración del cargo y retribuciones. • Relación con auditores y reguladores. • Adecuado funcionamiento del Comité de Auditoría. El Comité de Auditoría es un subcomité del Consejo de Administración. Su constitución no es obligatoria salvo en el caso de Entidades emisoras de valores admitidos a negociación en mercados secundarios (Disposición Adicional18ª de la Ley 24/1988, de 28 de julio, del Mercado de Valores). El objetivo de este Comité es supervisar el funcionamiento del control interno dentro de la Entidad de manera independiente de la gestión, asegurando la correcta aplicación de las directrices de control interno dictadas por el Consejo de Administración. Al Comité de Auditoría le corresponden las siguientes funciones: a) Proponer el nombramiento de auditores externos y supervisar los servicios prestados por éstos. b) Examinar las cuentas anuales de la empresa.

VII.4.2.4. La Dirección De acuerdo con el artículo 110.1 ROSSP, la Dirección de la Entidad será responsable de la implementación de los procedimientos de control interno, en línea con las directrices establecidas por el Consejo de Administración y, por supuesto, respetando lo establecido en la normativa de supervisión. En concreto, con objeto de desarrollar los procedimientos de control interno, la Dirección se encargará de lo siguiente: a) La puesta en práctica de las políticas y medidas acordadas por el Consejo de Administración, incluidas las estrategias y 176

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

Además, según ha indicado el CEIOPS, la actuación de la Dirección deberá ajustarse a los siguientes principios: • Definir y revisar una estructura organizativa que constituya un marco adecuado para el control interno. Dentro de esta estructura, se establecerá una segregación de tareas y se asignarán claramente responsabilidades (en particular, las del Consejo de Administración); existirán niveles de delegación de autoridad apropiados y relaciones informativas adecuadas. • Garantizar que los empleados cuenten con la formación y experiencia necesarias. • Garantizar la identificación de cualquier área donde puedan surgir conflictos de intereses. • Establecer canales de información claros, garantizando una comunicación eficaz a través de toda la organización. • Desarrollar y mantener una documentación amplia que defina claramente las responsabilidades, la delegación de autoridad y relaciones dentro de la organización de la Entidad. • Establecer y documentar políticas y procedimientos de control interno apropiados en todas las unidades de negocio y garantizar su efectividad. • Asegurar el cumplimiento de las políticas de exteriorización definidas por el Consejo e implantar los controles específicos de las funciones exteriorizadas. • Asegurar un grado eficaz de control por la dirección a todos los niveles de la compañía y sus diversas actividades. • Implantar un mecanismo para verificar regularmente el cumplimiento de políticas y procedimientos de control. • Solicitar informes regularmente sobre actividades de control interno. • Informar periódicamente al Consejo de Administración sobre la eficacia y adecuación del sistema de control interno.

normativas, con el fin de implantar un sistema de control interno eficaz. b) La valoración de la eficacia con que los controles actúan sobre la organización y los procedimientos de la empresa. c) La transmisión de información actualizada a su Consejo de Administración, así como de la eficacia y adecuación del sistema de control interno. d) La identificación previa de las áreas en las que puedan surgir conflictos de intereses y el seguimiento correspondiente de los que surgiesen. e) La divulgación de la cultura de control dentro de la organización. f) La adecuada documentación, en cumplimiento de los requerimientos normativos vigentes, de los procedimientos de control interno y de gestión de riesgos implementados en la Entidad. g) El desarrollo de los programas, procedimientos y controles internos necesarios para combatir el blanqueo de capitales y/o la financiación de actividades terroristas, cuando la Entidad esté legalmente obligada a ello. Para asegurarse que dicho desarrollo se produce de acuerdo con las Directrices del Consejo, el ROSSP le atribuye un papel vigilante, responsabilizándole también del mantenimiento y mejora de los procedimientos de control interno. De ahí, surgirá la necesidad de una revisión permanente e «independiente» del control interno y de una valoración de la efectividad de los procedimientos. En resumen, en cumplimiento de su función de ejecución de las directrices del Consejo de Administración, al equipo directivo corresponde la implantación de estrategias y políticas y el establecimiento de un sistema de control interno eficaz, para lo cual asume la responsabilidad de la eficacia de los controles sobre la organización y los procedimientos de la Entidad, y también la obligación de mantener informado al Consejo de Administración sobre la eficacia y adecuación normativa del sistema de control interno. 177

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...



Implantar rápidamente las recomendaciones hechas por el Consejo de Administración sobre la mejora del sistema de control interno.



Procesos para revisar la efectividad del sistema de control interno.

VII.5.1. SISTEMAS DE IDENTIFICACIÓN, VALORACIÓN Y GESTIÓN DE RIESGOS

VII.5. ¿A QUÉ SE EXTIENDE EL CONTROL INTERNO?

Hemos visto que el control interno se extiende, en primer lugar, a la identificación y valoración continua de los riesgos, internos y externos, de la Entidad en sus causas, probabilidad y consecuencias. El control interno es tentacular, es decir, la Entidad debe intentar identificar el mayor número de riesgos posible y prestar especial atención a los riesgos «significativos» que son aquéllos cuyas consecuencias pueden obstaculizar, no sólo los objetivos de la Entidad sino también los de los supervisores y los tomadores de seguro o asegurados. El control se extenderá tanto a los riesgos voluntariamente asumidos (por ejemplo, la suscripción), como a los riesgos asociados a toda actividad (por ejemplo, los riesgos que puedan amenazar la continuidad del negocio, riesgos del gobierno corporativo, riesgos de empleo, riesgos reputacionales, riesgos macroeconómicos, riesgos catastróficos, etc.). En este proceso, la Entidad debe entender la naturaleza de los riesgos a los que se enfrenta, su gestación, sus posibilidades de control, sus potenciales efectos en la cuenta de resultados y cómo los riesgos pueden interrelacionarse entre sí. Todo lo anterior se fundamenta en el artículo 110.5 ROSSP, según el cual, las Entidades aseguradoras establecerán sistemas de gestión de riesgos, adecuados a su organización, que les permitan identificar y evaluar, con regularidad, los riesgos internos y externos a los que están expuestas. Para ello, establecerán estrategias respecto de los mismos, adecuadas a la naturaleza e incidencia de tales riesgos, incorporando procesos que permitan una medición de los riesgos identificados, incluyendo su probabilidad de ocurrencia e impacto en el perfil de riesgo de la

Según el artículo 110.3 ROSSP, los procedimientos de control interno comprenderán, en todo caso, el desarrollo de una adecuada función de revisión y el establecimiento de sistemas de gestión de riesgos. Además, el apartado 6 del mismo artículo señala que los procedimientos de control interno se extenderán, en aquellas Entidades que externalicen cualquiera de sus funciones o actuaciones, a las actividades externalizadas. En relación con esto último, en ningún supuesto la externalización de funciones implicará que la Entidad transfiera o deje de asumir las responsabilidades derivadas de tales funciones. En esta misma materia, el artículo 46 de la Directiva Solvencia II dispone que el sistema de control interno constará, como mínimo, de procedimientos administrativos y contables, de un marco de control interno, de mecanismos adecuados de información a todos los niveles de la Entidad, y de una función de cumplimiento. Por lo tanto, por imperativo legal, y además, para ser eficaz y efectivo, el sistema de control interno contará con los siguientes elementos: • Ambiente de control: es la base de los demás componentes del control interno, y sirve para proporcionar disciplina y estructura. • Identificación y evaluación de los riesgos y los objetivos de control. • Actividades de control: son las políticas y procedimientos que ayudan a asegurarse que las instrucciones de la Dirección se están llevando acabo. • Procedimientos de información y comunicación: la información relevante debe ser identificada y comunicada en la forma y tiempo apropiado. 178

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

Entidad. Asimismo, las Entidades deberán tener establecidos planes de contingencia que permitan anticipar situaciones adversas que puedan poner en peligro su viabilidad. Así pues, el sistema de gestión de riesgos cubrirá, al menos, las siguientes áreas: • La suscripción y constitución de reservas; • la gestión de activos y pasivos; • la inversión, en particular, en instrumentos derivados y compromisos similares; • la gestión del riesgo de liquidez y de concentración; • la gestión del riesgo operacional; • el reaseguro y otras técnicas de reducción del riesgo.

política de riesgos en un documento marco. Esta política debe describir los riesgos, su modo de gestión y los objetivos del proceso; además, hará referencia a los requerimientos normativos y describirá el proceso de gestión y su integración en la Entidad, las funciones de los distintos sujetos implicados, la estructura organizativa y el sistema de comunicación de información. Además, la gestión del riesgo debe ser integrada, es decir, formar parte del proceso de planificación estratégica de la compañía e integrarse en el sistema de medición del cumplimiento de los objetivos. La gestión integrada aspira a una visión global de los riesgos, de forma que se tengan en cuenta en toda la empresa y de forma conjunta. En este proceso, básicamente, se desarrolla en las siguientes etapas: 1. Análisis y registro de los riesgos en las distintas unidades. 2. Informes agregados por departamentos con evaluación de los riesgos y su impacto económico, identificación del responsable y de la acción requerida. 3. Integración de la política de gestión de riesgos en la política de la Entidad estableciendo las respuestas que deben darse ante la exposición al riesgo identificada. El sistema de gestión del riesgo, que debe ser adecuado a la organización de la Entidad, consiste en lo siguiente: • Identificación, análisis y evaluación de los riesgos (internos y externos). Se trata, en primer lugar, de recoger regularmente toda la información relativa a los riesgos que han sido identificados en cada proceso, (tipo, impacto, probabilidad) y, en segundo lugar, de establecer su importancia. También se verifica que los riesgos se analizan y gestionan en la empresa de manera efectiva y dinámica. Para la evaluación de los riesgos pueden utilizarse distintas técnicas: cuestionarios, entrevistas, evaluaciones por consultores externos, talleres de trabajo, etc. • Establecimiento de estrategias adecuadas a los distintos riesgos. Una vez eva-

VII.5.1.1. La gestión de riesgos La gestión de riesgos, según S. DURÁN DOMÍNGUEZ (2010), es un proceso dinámico que tiene un doble objetivo: primero, conocer los riesgos que afectan a los objetivos de la Entidad y, segundo, enfrentarse a ellos. Se trata de una herramienta más para la gestión y supone realizar una elección entre diferentes alternativas. Así, una vez conocidos los riesgos, puede optarse por aplicar medidas de control, transferir el riesgo, adoptar planes de contingencia, asumir más riesgo, comunicarlo a los accionistas para que decidan, tolerar el riesgo, investigarlo o revisarlo. La elección de la respuesta estará basada en la combinación de impacto y probabilidad. El riesgo aceptado es el riesgo residual que va a ser gestionado con una estrategia adecuada. La dificultad está en determinar el nivel (tolerancia) del riesgo aceptado. El Consejo de Administración debe ser el punto de partida del análisis de los riesgos más importantes; su estrategia es la base para establecer la tolerancia al riesgo en el la Entidad. La gestión del riesgo no debe ser vista como un mero ejercicio para dar cumplimiento a la exigencia normativa. Para ello, es esencial el papel del Consejo de Administración, que definirá la 179

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

luados los riesgos, se identifican las medidas de control aplicables (estrategia y persona responsable). • Planes de contingencia: son planes especiales que contienen las medidas necesarias para la continuidad del negocio y de la actividad de la Entidad ante las situaciones adversas que puedan poner en peligro la organización y sus objetivos. Estos análisis prospectivos se refieren a las distintas áreas críticas de la Entidad, incluida la tecnológica; deben partir de un análisis de impacto en el negocio y contemplar medidas preventivas, de reacción y de recuperación de la amenaza sufrida. Se incluirán además los recursos materiales y personales necesarios, las distintas responsabilidades y los protocolos de actuación. Por último, convendrá realizar pruebas del plan, para verificar si es completo, evaluar el desempeño del personal que interviene y la coordinación con los proveedores externos que prestan servicios durante la contingencia. • Indicadores de riesgos: son herramientas destinadas a detectar o valorar posibles riesgos. Los informes sobre riesgos deben centrarse en estos indicadores y proporcionar a la Dirección la información necesaria sobre los tipos de riesgos que pueden afectar a cada línea de negocio, las alarmas establecidas, los avances en el control y el mantenimiento del riesgo en un nivel aceptable. • Información suficiente y adecuada para el Consejo de Administración y la Dirección. Finalmente, los aspectos esenciales para comprobar si la gestión de riesgos se ha integrado en la empresa son: a) Asegurarse que los riesgos se han comprendido, identificado y gestionado. b) Asegurarse que se ha emprendido una evaluación de riesgo de las áreas importantes de la empresa.

c)

d)

e)

f)

Todos los esfuerzos dedicados a los riesgos y los controles deben ser la base del informe anual de control interno. La empresa debe informar a los accionistas de lo que realiza para la gestión de riesgos. La gestión de riesgos no se debe implantar simplemente para un cumplimiento normativo sino con un objetivo de gestión de la Entidad, desde el convencimiento de su utilidad. La gestión de riesgos se debe integrar en los procesos de la empresa y en su cultura.

VII.5.1.2. Clases de riesgos, mecanismos y actividades de control El CEIOPS ha clasificado los riesgos que afectan a las compañías de seguros y reaseguros en las siguientes categorías: a) Riesgo de seguro, que puede ser de vida o no vida, y comprende la previsión de obligaciones futuras y el cálculo de las provisiones. b) Riesgo de mercado: es el riesgo de pérdida en el valor de las inversiones, derivado de variaciones en el nivel de los precios de los activos, pasivos e instrumentos financieros, como consecuencia de cambios en los factores de riesgo de mercado. c) Riesgo de crédito: es el riesgo de pérdida debido al incumplimiento de la contraparte en un contrato. d) Riesgo de liquidez: es la posibilidad de que las Entidades no sean capaces de realizar sus activos en el momento preciso para afrontar sus compromisos financieros en fecha. e) Riesgo operacional: es el riesgo de pérdidas derivado de procesos internos inadecuados o fallos en los mismos, errores de personas o sistemas, o de eventos externos. Incluirá los riesgos legales, pero no los riesgos derivados de 180

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

Las actividades de control se definen como aquellas políticas y procedimientos que contribuyen a garantizar la aplicación de las instrucciones de la Dirección. Un sistema de control interno apropiado requiere la implantación de actividades de control, eficaces y eficientes, en todos los niveles de la Entidad, de forma que se impliquen el Consejo de Administración, la Dirección y el personal de la compañía. En la práctica, las actividades de control en las Entidades aseguradoras consisten en lo siguiente: • Control de las políticas de suscripción para asegurar que los productos diseñados están respaldados por los correspondientes análisis técnicos del perfil del riesgo y para asegurar el correcto establecimiento de la prima. • Control de los canales de distribución para asegurar no sólo que los mediadores cumplen con las políticas de la Entidad y observan las obligaciones contractualmente contraídas, sino también que las comisiones que se pagan son las adecuadas y las primas se cobran puntualmente. • Control de la gestión de siniestros para asegurar que los siniestros son debidamente procesados, tramitados y documentados, estableciéndose límites monetarios de tramitación en función de la experiencia y competencia del tramitador. • Control del establecimiento de las provisiones técnicas para asegurar que están debidamente calculadas, documentadas y basadas en técnica actuarial. • Control de las políticas de inversión para establecer la máxima exposición al riesgo y garantizar que no se sobrepasa, implantando la debida independencia entre los responsables de inversión y los de control financiero. • Control del cumplimiento de los márgenes de solvencia para garantizar que existen recursos económicos suficientes para absorber pérdidas técnicas o de otro tipo.

decisiones estratégicas ni los riesgos de reputación. f) Otros riesgos: estratégico, de concentración y reputacional, que se puede identificar con la pérdida de confianza en una compañía como consecuencia del daño en su imagen pública. Los mecanismos de control, tal como ha indicado S. DURÁN DOMÍNGUEZ (2010), son todas las disposiciones y procedimientos que se ponen en funcionamiento para garantizar que se van a conseguir los objetivos de la empresa. Teniendo en cuenta que los controles, según su objeto, se clasifican en directivos (para asegurar una determinada forma de actuación), preventivos (para garantizar el funcionamiento adecuado de procedimientos/sistemas), detectivos (para captar errores) o correctivos (para corregir las desviaciones detectadas), los mecanismos de control adoptados en la Entidad pueden ser los siguientes: • La autorización. • Las limitaciones de acceso (contraseñas, controles de accesos, aéreas no permitidas, etc.). • La supervisión. • La verificación de la conformidad. • Los manuales de procedimiento. • La contratación y las normas destinadas al desarrollo de la plantilla. • La separación de funciones: que siempre actúe más de una persona durante cualquiera de las operaciones de la empresa. • La organización. • La comunicación de la información a los superiores. • La numeración secuencial de los documentos y de los escritos controlados. • Las conciliaciones. • La seguridad de las tecnologías de la información. • La gestión del cumplimiento. • Las garantías que acompañan a las operaciones de inversión. 181

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...









• •







Control de las políticas contables para garantizar que la contabilidad refleja la imagen fiel de los activos y pasivos de la Entidad, su posición financiera y la observancia de la legalidad vigente. Control de la protección de los asegurados, del servicio de atención al cliente y de la protección de datos personales. Control de los programas de reaseguro y otros instrumentos de transferencia de riesgos, para disminuir de forma efectiva la exposición al riesgo de la Entidad. Control de los sistemas de información para garantizar que se facilita información correcta de manera puntual. Control de las políticas de prevención del blanqueo de capitales. Control de los sistemas de Información y Tecnología de la Comunicación para garantizar que se utilizan sistemas informáticos adecuados para el desarrollo de la actividad así como sistemas de seguridad y control de los riesgos inherentes a la informática para neutralizar su vulnerabilidad especialmente cuando se contrata a través de internet. Control de los sistemas de monitorización y seguimiento de los propios controles internos. Control sobre el cumplimiento de la legalidad vigente (compliance) en todos sus ámbitos (fiscal, laboral, societario, regulatorio, contractual, penal, etc.). Control de las actividades externalizadas para garantizar que son debidamente ejecutadas.

En este sentido, el artículo 110.3 ROSSP establece que los procedimientos de control interno comprenderán el desarrollo de una adecuada función de revisión y el establecimiento de sistemas de gestión de riesgos. La revisión del sistema de control interno puede realizarse de dos formas: • Revisiones permanentes: Están integradas en las actividades operativas normales de la Entidad. La revisión se lleva a cabo en tiempo real, reacciona de modo dinámico a las condiciones cambiantes y está integrada en los procesos de la Entidad, lo que puede darle un alto grado de eficacia. Por ejemplo, son revisiones permanentes las que realizan los directivos al estudiar los informes operativos, usados para gestionar las operaciones de modo permanente, pudiendo detectar inexactitudes relativas a los resultados esperados, o los reguladores, que se comunican con la Dirección en temas de cumplimiento u otros que reflejan el funcionamiento de la gestión de riesgos corporativos. • Evaluaciones independientes: Consisten en revisiones centradas en la eficacia del control interno. Las evaluaciones varían en alcance y frecuencia en función de la significación de los riesgos y la importancia de las respuestas a ellos, así como de los correspondientes controles disponibles para gestionarlos. Las áreas de riesgo de alta prioridad y sus respuestas tienden a evaluarse más a menudo. La evaluación de la totalidad del control interno de una Entidad puede suscitarse por diversas razones: cambios importantes en la estrategia o gestión, adquisiciones o enajenaciones, cambios en las condiciones económicas o políticas o en las operaciones o los métodos de procesamiento de datos. Además, el artículo 110.4 ROSSP establece que la función de revisión será realizada por personal con suficiente conocimiento y experiencia, que garantice plena independencia respecto a las distintas áreas de la Entidad, correspondiendo al

VII.5.2. REVISIÓN DEL SISTEMA DE CONTROL DE RIESGOS Un elemento esencial para el adecuado funcionamiento del control interno es la comprobación de que el sistema funciona de manera adecuada y de si es necesario adaptarlo a nuevos riesgos o cambios en las circunstancias existentes. 182

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

Consejo de Administración garantizar los recursos precisos para el adecuado cumplimiento de las funciones. En relación con el personal que lleva a cabo la revisión, en las autoevaluaciones, los responsables de una determinada unidad o función establecerán la eficacia de la gestión de riesgos en sus actividades. A continuación, la Dirección examinará las evaluaciones de cada una de las divisiones de la empresa. Además, los auditores internos realizan normalmente evaluaciones como parte de sus funciones normales o a petición de la Dirección. Además, los directivos de la Entidad pueden utilizar la información de los auditores externos para valorar la eficacia de la gestión de los riesgos corporativos. Por último, cabe añadir que, lógicamente, la revisión deberá centrarse en las deficiencias detectadas, ya sean reales o potenciales, y ser facilitada al responsable adecuado, para que éste pueda actuar en consecuencia.



coordinar el cálculo de las provisiones técnicas; • cerciorarse de la adecuación de las metodologías y los modelos de base utilizados, así como de las hipótesis empleadas en el cálculo de las provisiones técnicas; • evaluar la suficiencia y la calidad de los datos utilizados en el cálculo de las provisiones técnicas; • cotejar las mejores estimaciones con la experiencia anterior; • informar al órgano de administración, dirección o supervisión sobre la fiabilidad y la adecuación del cálculo de las provisiones técnicas y supervisar dicho cálculo; • pronunciarse sobre la política general de suscripción y sobre la adecuación de los acuerdos de reaseguro; • contribuir a la aplicación efectiva del sistema de gestión de riesgos. En este contexto, la Directiva Solvencia II señala que la definición de una función actuarial determinada no obsta para que la empresa decida libremente la manera de organizar dicha función en la práctica. Por lo tanto, la definición no debe traducirse en requisitos excesivamente gravosos, ya que deben tenerse en cuenta la naturaleza, el volumen y la complejidad de las operaciones de la empresa. Por último, estas funciones deben poder encomendarse al propio personal de la empresa, o bien realizarse bajo el asesoramiento de expertos externos, o externalizarse a expertos, dentro de los límites fijados en la Directiva.

VII.5.3. AUDITORÍA INTERNA Las empresas de seguros y de reaseguros contarán con una función eficaz de auditoría interna. Esta función abarcará la comprobación de la adecuación y eficacia del sistema de control interno y de otros elementos del sistema de gobierno y deberá ser objetiva e independiente de las funciones operativas. Las conclusiones y recomendaciones derivadas de la auditoría interna se notificarán al órgano de administración, dirección o supervisión, que determinará qué acciones habrán de adoptarse con respecto a cada una de ellas y garantizará que dichas acciones se lleven a cabo.

VII.6. EL INFORME ANUAL SOBRE EFECTIVIDAD DE LOS PROCEDIMIENTOS DE CONTROL INTERNO

VII.5.4. FUNCIÓN ACTUARIAL

Como hemos visto anteriormente, el Consejo de Administración es responsable último de establecer, mantener y mejorar los procedimientos de control interno de la Entidad. Dentro de esa función, se encuentra la necesidad de realizar la revi-

Siguiendo el estudio realizado por Área XXI, las empresas de seguros y de reaseguros contarán con una función actuarial eficaz para: 183

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

sión permanente a la que alude el artículo 110.7 ROSSP, el cual, en la redacción dada por el Real Decreto 239/2007, obliga a las Entidades aseguradoras a elaborar un informe anual sobre la efectividad de sus procedimientos de control interno, incidiendo en las deficiencias significativas detectadas y sus implicaciones y proponiendo, en su caso, las medidas que se consideren adecuadas para su subsanación. Tal y como han señalado C. DE LA PARRA y A. FERRANDO (2009), el Supervisor, al exigir el informe anual quiere: – Constatar la implicación del Consejo; de aquí que obligue a que sea suscrito por sus miembros. Es decir bajo su responsabilidad personal. – Comprobar que el sistema es eficaz, que el sistema de control existe y que la función de control constata su evolución; de ahí que solo quiera conocer las debilidades, los principales riesgos y su mitigación para, año tras año, comprobar su evolución como prueba de su eficacia. En este contexto, el Consejo de Administración deberá recibir regularmente y revisar los informes parciales de control interno, realizar un ejercicio anual de evaluación, definir el procedimiento y los criterios que adoptará para la revisión de la efectividad del control interno y asegurarse de que dispone de un adecuado soporte documental para el informe, además de verificar que se han tenido en cuenta todos los aspectos significativos del control interno de la Entidad en el período de referencia. El informe anual debe ser suscrito por el Consejo de Administración de la Entidad y remitido a la DGSFP, junto con la documentación estadístico contable anual, en los plazos a los que se refiere el artículo 66 del Reglamento. En este punto, la DGSFP, en su Instrucción de Inspección 1/2009, facilita una serie de elementos esenciales que habrá que tener en cuenta en relación con el contenido y elaboración del informe anual: a) El informe tiene que estar firmado por todos los miembros Consejo de Adminis-

tración, pudiéndose sustituir la firma de cada consejero por un certificado firmado por el secretario del Consejo haciendo referencia al acta del Consejo en la que se acordó la aprobación del informe de control interno y si tal aprobación fue o no por unanimidad. b) El informe debe recoger las deficiencias significativas detectadas, qué efectos tienen y qué medidas se van a adoptar para subsanarlas. También puede indicarse, en su caso, que no existen deficiencias significativas. Una deficiencia es significativa cuando pueda afectar a la valoración de que el sistema de control interno está funcionando de manera efectiva. c) Debe tratarse de un informe de valoración de la efectividad del sistema de control interno y gestión de riesgos y no de un informe descriptivo de dicho sistema. d) En caso de un grupo consolidable el informe lo debe elaborar el Consejo de Administración de la Entidad obligada a presentar la documentación estadístico contable consolidada. Finalmente, el artículo 51 de la Directiva Solvencia II, relativo al Informe sobre la situación financiera y de solvencia, señala que dicho informe contendrá la información que se indica a continuación: a) Descripción de la actividad y los resultados de la empresa. b) Descripción del sistema de gobierno y evaluación de su adecuación con respecto al perfil de riesgo de la empresa. c) Descripción, por separado para cada categoría de riesgo, de la exposición al riesgo, la concentración de riesgo, la reducción del riesgo y la sensibilidad al riesgo. d) Descripción, por separado para los activos, las provisiones técnicas y otros pasivos, de las bases y los métodos empleados para su valoración, junto con una explicación de las diferencias significativas existentes, en su caso, en las bases y los méto184

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

e)

dos para la valoración de los mismos en los estados financieros. Descripción de la gestión del capital, que incluirá lo siguiente: la estructura e importe de los fondos propios, así como la calidad de los mismos; el importe del capital de solvencia obligatorio y del capital mínimo obligatorio; la opción contemplada en el artículo 304 utilizada para el cálculo del capital de solvencia obligatorio; información que permita entender convenientemente las principales diferencias entre las hipótesis de base de la fórmula estándar y las del modelo interno utilizado, en su caso, por la empresa para calcular su capital de solvencia obligatorio; el importe de todo posible déficit con respecto al capital mínimo obligatorio o de cualquier déficit significativo con respecto al capital de solvencia obligatorio durante el período de referencia, aun cuando se haya corregido posteriormente, junto con una explicación de su origen y sus consecuencias y las posibles medidas correctoras adoptadas.

dentro del mismo órgano, la DGSFP, la competencia reguladora y la competencia supervisora. La supervisión se basará en un planteamiento prospectivo y orientado al riesgo y consistirá, en particular, en la comprobación, para el conjunto de actividades de las empresas de seguros y de reaseguros, de una serie de elementos. Así, de acuerdo con lo dispuesto en la Directiva Solvencia II, la autoridad de supervisión revisará y evaluará la observancia de: a) Los requisitos relativos al sistema de gobierno, incluida la evaluación interna de los riesgos y de la solvencia; b) Los requisitos relativos a las provisiones técnicas; c) Los requisitos de capital; d) Las normas de inversión; e) Los requisitos relativos a la cantidad y a la calidad de los fondos propios; f) Cuando la empresa de seguros o de reaseguros utilice un modelo interno completo o parcial, el cumplimiento continuo de los requisitos aplicados a los modelos internos completos y parciales. Actualmente, el procedimiento de supervisión por inspección que se realiza por la DGSFP está delimitado en tres fases temporales diferentes, que coinciden con los tres departamentos en que se estructura la Subdirección General de Inspección: • Área de análisis de balances: Es el área estadístico contable del órgano de supervisión. Le corresponde la preparación, distribución, recepción y depuración de la documentación estadístico-contable de las Entidades aseguradoras. Se encarga de realizar publicaciones estadísticas y de elaborar índices y ratios (que se conocen como «sistema de alerta temprana») con el fin de llevar a cabo análisis sectoriales e individuales, que sitúan a cada una de las Entidades dentro de un rango de exigencia en la intensidad de la supervisión requerida. Tras la realización de los análisis podrá procederse a la elaboración de

VII.7. LA SUPERVISIÓN DE LAS ENTIDADES ASEGURADORAS POR LA DGSFP La Dirección General de Seguros y Fondos de Pensiones (en adelante, «DGSFP»), dependiente de la Secretaría de Estado de Economía, adscrita al Ministerio de Economía y Hacienda, es la autoridad encargada en nuestro país de la supervisión prudencial y de la inspección del ejercicio de la actividad de las Entidades aseguradoras, reaseguradoras y mediadores. En concreto, el Real Decreto 1127/2008, de 4 de julio, que regula la estructura de la DGSFP, dispone que, tras el acceso a la actividad, corresponderá a la Subdirección General de Inspección el control del ejercicio de la actividad de las compañías. En este punto, cabe señalar que España es el único país de nuestro entorno, que mantiene 185

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...





propuestas de inspección o incluso a proponer la apertura de procedimiento de medidas de control especial. Área de inspección in situ: A partir de la propuesta realizada tras el análisis de la documentación estadístico-contable, se realiza la planificación del trabajo de los equipos de inspección. Los inspectores se asignan a diferentes grupos que se delimitan en función del tipo de negocio (grupo de vida; de automóviles, multirriesgos y responsabilidad civil; de asistencia y decesos; de planes de pensiones). El resultado de las actuaciones inspectoras se materializa en un acta de inspección, que recoge un resumen de las comprobaciones realizadas y unas conclusiones sobre la situación legal, técnica, económico-financiera o sobre todas ellas. Tras las alegaciones del sujeto inspeccionado, la DGSFP emite una resolución, que dispone las situaciones que deben ser corregidas, pudiendo, en su caso, proceder a la apertura de un expediente de medidas de control especial o a la apertura de un expediente sancionador. Área de seguimiento de actas, medidas de control especial y régimen sancionador: Esta área tiene encomendado la verificación del cumplimiento de las resoluciones de las actas de inspección y la tramitación de procedimientos cautelares, distinguiendo si se trata de procedimientos de medidas de control especial (traba de bienes, autorizaciones de pagos, etc.); de procedimientos de medidas de garantía de solvencia futura (seguimiento de los planes de recuperación, informe para la aprobación por la DGSFP de los citados planes y determinación de la cuantía complementaria del margen de solvencia exigible en cada caso) o de procedimientos de disolución (inicio del expediente, seguimiento de las medidas adoptadas por la Entidad para la remoción de la causa de disolución y, en caso de ausencia o deficiencia de las mismas, realizar la

propuesta de Orden Ministerial de disolución administrativa). El conjunto de los procedimientos de supervisión aplicados por cada uno de los departamentos, áreas y unidades de la Subdirección General de Inspección está encaminado a la valoración del nivel de riesgo que presenta cada una de las aseguradoras objeto de supervisión. Para ello, es necesario contar con toda la información que proporcionan las herramientas informáticas, más las valoraciones que efectúan los inspectores en sus distintas funciones. A partir de esta información, tal y como han indicado J.P. OLMO y C. CHOCLÁN CAMPAÑA (2006), es factible agrupar, a las Entidades en los siguientes niveles de riesgo: Nivel I. Entidad con solidez financiera: – No requiere actuación supervisora especial. – Sus indicadores pueden servir de referencia para otras Entidades. – No debe descartarse la práctica de una inspección in situ sobre aspectos concretos. Nivel II. Entidad sensible a escenarios adversos: – Algunos ejemplos podrían ser Entidades que en el ramo de vida tienen altos tipos de interés garantizado; elevado nivel de renta variable entre sus inversiones financieras, etc. En estos casos: – Hay un seguimiento especial de las variables más sensibles a variaciones negativas del entorno. – Se requiere un plan de actuaciones del Consejo de Administración de la Entidad para neutralizar los efectos negativos derivados de escenarios adversos. Nivel III. Entidad con desequilibrios técnicofinancieros: – Es un nivel donde se detecta peligro de la solvencia futura o amenaza de los derechos de los asegurados. 186

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

Implica: – La Entidad queda incursa en un procedimiento de supervisión continuada al que se aludirá posteriormente. – Posibilidad de exigencia de un plan de recuperación financiera a tres años (medidas de garantía de la solvencia futura) para corregir los desequilibrios (suscripción, siniestralidad, suficiencia de las provisiones, gastos, rendimientos de las inversiones, política de reaseguro, etcétera). – Posibilidad de exigencia de un margen de solvencia superior (revisión a la baja de elementos del patrimonio propio y reducción del factor de reaseguro cedido).

medios necesarios para ampliar sus funciones y responsabilidades a la evaluación del control interno de las aseguradoras y poder así adoptar medidas administrativas desde el mismo momento en que se detecten situaciones que determinen un incremento de los perfiles del riesgo no respaldados con el nivel de solvencia existente en cada momento. Se pretende así desterrar la vieja visión del supervisor como controlador estático para construir su nuevo rol como controlador dinámico y a la vez dinamizante del mercado, conocedor de la realidad empresarial, capaz de anticiparse al futuro mediante el diagnóstico de situaciones y de evaluar las soluciones empresariales aportadas. Este giro de funciones y responsabilidades, según el Director General, hará mucho más complejo el desempeño del trabajo del supervisor y va a determinar la exigencia de un nuevo perfil o habilidades en los profesionales que presten sus servicios en dichos órganos. En relación con algunas de las medidas de control especial impuestas, la DGSFP alegó, entre las causas fundamentales de su adopción, «un deficiente control interno». Tal fue el caso de AMA, donde, por cierto, el TSJ de Madrid, en su sentencia núm. 447/2010, de 22 de abril, señaló que la debilidad del control interno alegada por la DGSFP era bastante irrelevante y sin incidencia en el volumen de negocio de AMA, dando lugar a la anulación de tales medidas; de Agrupación Mutua y de Seguros La Corona donde la DGSFP alegó «deficiencias significativas de control interno», y de Centro Asegurador, donde la DGSFP alegó «deficiencias en los procedimientos de control interno». De todo lo anterior podemos concluir que, hasta ahora, la supervisión se ha basado fundamentalmente en el análisis de carácter retrospectivo, donde el examen de cuentas tiene un papel primordial, verificándose la posible existencia de incumplimientos en el nivel de solvencia exigible al cierre de cada ejercicio, en cuyo caso, desde el órgano supervisor se impulsarán medidas correctoras de la situación.

Nivel IV. Entidad con problemas de solvencia: En estos casos, además de las medidas comentadas para el nivel anterior, se puede proceder a: – Adoptar medidas de control especial: exigencia de un plan de financiación, modificación de la política de inversiones, auditorías de siniestros, etc. – Adoptar medidas de protección del patrimonio en caso de deterioro de la situación (prohibición de disposición de bienes). Nivel V. Entidad con viabilidad comprometida: En estos casos la supervisión continuada de la Entidad puede ir acompañada de las siguientes medidas: – Prohibición de disposición de bienes. – Suspensión de operaciones. – Suspensión de administradores. – Intervención de la Entidad. – Apertura, en su caso de expediente de disolución de la Entidad. En particular, en materia de control interno, en una reciente conferencia, el Director General de Seguros, Ricardo Lozano, habló, entre otras cuestiones, sobre el efecto de Solvencia II en las competencias y capacidades del supervisor, de forma que cuenten con el marco normativo y los 187

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

El nuevo marco, «Solvencia II» supondrá poner en marcha nuevos sistemas para determinar el nivel de solvencia, enfocados a la supervisión más de prevención que de corrección, no sólo en un momento determinado, sino anticipando la posible evolución de la Entidad aseguradora, pasando de analizar resultados finales a analizar procedimientos. Los modelos de control interno y la verificación y validación de los mismos por el órgano supervisor serán la base fundamental de la comprobación, y el papel de los auditores internos adquiere especial importancia. Esto no debe llevar a pensar que con el cambio de enfoque, y confiando en los adecuados métodos de control interno implantados por las Entidades, las labores del órgano de supervisión serán más sencillas. Al contrario, la labor del supervisor será más complicada y supondrá asumir, si cabe, mayor grado de responsabilidad, en la medida en que ya no se tratará de valorar los resultados derivados de unos métodos de aplicación general establecidos en la norma, sino que el órgano de supervisión tendrá que entrar a valorar cada uno de los modelos de gestión de riesgos y de control interno que cada compañía haya decidido establecer dada su estructura de riesgos, para posteriormente adoptar las medidas que estime convenientes en aras a corregir las deficiencias detectadas. El supervisor habrá de plantearse una adaptación permanente a los diferentes escenarios de riesgos en los que pueda estar trabajando cada uno de los sujetos supervisados. Ante este nuevo reto, el órgano de supervisión tendrá que dotarse de nuevos y mayores medios, tanto humanos como materiales, que permitan la aplicación de eficaces medidas preventivas y de diagnóstico.

efectividad de las operaciones, la fiabilidad e integridad de la información financiera y no financiera, la gestión prudente de los riesgos de acuerdo con los objetivos estratégicos de la compañía y el cumplimiento de las leyes y de las políticas y procedimientos internos aplicables. El control interno tiene como último objetivo la protección de los tomadores y asegurados; comprende, como mínimo, el establecimiento de sistemas de gestión de riesgos y de una adecuada función de revisión o verificación del cumplimiento y se llevará a cabo de acuerdo con los principios de proporcionalidad, segregación de tareas, seguridad de la información y cumplimiento normativo. El Consejo de Administración de la Entidad es el responsable último de establecer, mantener y mejorar los procedimientos de control interno. Por su parte, la Dirección se ocupa de la implementación de tales procedimientos, en línea con las directrices establecidas por el Consejo de Administración. Por último, para que el sistema de control interno sea eficaz, todo el personal de la Entidad debe conocerlo e implicarse en el mismo. Para que un sistema de control interno sea eficaz deberá estar integrado en el sistema de gestión de la Entidad. Además, el control interno debe centrarse en los aspectos clave del proyecto de negocio que desarrolla la Entidad. En definitiva, un sistema de control interno será eficaz en la medida que sea capaz de facilitar el cumplimiento de los objetivos estratégicos que tenga planteados la Entidad. En relación con todo lo anterior, no puede obviarse que, a pesar de que sucesivas normas, tanto a nivel europeo como nacional, han impuesto el control interno en las Aseguradoras, éste constituye un instrumento oneroso para los directivos y el personal de la Entidad, que suele conllevar una duplicidad en el ejercicio de las funciones y, lo más peligroso, que puede conducir a la imposición de sanciones por parte de la DGSFP aun cuando la falta material no se haya producido, es decir, que este tipo de sanciones, fundamentadas en la prevención, suponen una

VII.8. CONCLUSIONES Los artículos 71.3 TRLOSSP y 46 de la Directiva Solvencia II obligan a las empresas de seguros y de reaseguros a establecer un sistema de control interno, el cual puede definirse como el conjunto de procesos realizados en la Entidad para obtener una seguridad razonable sobre la 188

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

vulneración de los principios básicos del Derecho Penal. A modo de conclusión, vamos a planear cuatro preguntas y un ejemplo en relación con el control interno de las Entidades aseguradoras. Avanzamos nuestras respuestas, que sometemos a la consideración de todos los interesados, con el fin de que contribuyan, durante los próximos meses, al análisis y al que tenemos por conveniente debate en la materia.

poderes públicos va a dar lugar a una descomunal burocratización de las empresas, que tendrán que destinar ingentes recursos no para remar mar a dentro por las aguas del logro empresarial, sino para controlar a los que reman, a los que supervisan a éstos y a los que supervisan a los supervisores, tareas éstas que aunque quizá contribuyan a que el buque mantenga el rumbo, ralentiza enormemente la navegación. Y puesto que todos los sistemas de control han de estar debidamente documentados habrá que habilitar departamentos enteros para la generación, gestión y archivo de estos documentos.

– ¿Quién paga el coste de implantación de la cultura del control?

– ¿Se está tratando de imponer un sistema de penalización por omisión aun cuando no se haya producido un daño?

Es indudable que la inversión de las Entidades aseguradoras en la implantación de la cultura de control para anticipar el futuro y dinamitar sus efectos adversos va a ser cuantiosa. Los supervisores sostienen que todo el norte de la cultura del control es la protección del asegurado, pero parece probable que sea éste también el que tenga que soportar, en última instancia, el gigantesco coste de implantación en términos de recursos humanos y técnicos.

Algunos consideran desorbitada la facultad de los reguladores para adoptar subjetivos juicios de valor entorno a la implantación de la cultura del control e imponer sanciones a Entidades que a juicio del regulador no tienen implantados los sistemas de control, o estos son insuficientes, o inadecuados o no abarcan todas las áreas que al regulador se le antoje. Teniendo en cuenta que el control interno tiende al infinito y es, de suyo, inabarcable, pues siempre se puede controlar más, resulta preocupante la ampliación de facultades del órgano supervisor que puede sancionar a una Entidad por un débil sistema de control interno, sin que llegue a producirse perjuicio real o potencial alguna. AMA viene a ser un buen ejemplo.

– ¿Estamos ante otra ingerencia intervensionista por parte de los poderes públicos? Parece razonable sostener que las políticas de gestión de riesgos, su previsión, absorción o neutralización tiene muchos efectos positivos, lo que no está tan claro para algunos es que los poderes públicos se abroguen el derecho de imponer tales políticas en el ámbito de la esfera privada, máxime si tenemos en cuenta la trayectoria de nuestro sector, donde ha sido muy escaso el número de Entidades a las que se le han impuesto medidas cautelares y más escaso todavía el volumen de primas afectadas.

– Delegación de las obligaciones de supervisión en la Entidad controlada En efecto, parece que el papel del Supervisor se va a ceñir a controlar que las Entidades aseguradoras tienen instalados sus propios sistemas no solo de autocontrol, sino también de control de las Entidades que con ellas se relacionan. Pongamos un ejemplo real: la DGSFP en una Resolución que puso fin a la labor inspectora, requirió a una Entidad aseguradora para que

– ¿Se está imponiendo un modelo de burocratización de la empresa por parte de los poderes públicos? No faltan quienes consideran que la implantación de la cultura del control a instancias de los 189

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

«justifique los procedimientos específicos de control de las actuaciones de sus mediadores, en especial de los corredores y operadores de banca seguros». Este requerimiento fue objeto de recurso, alegando la aseguradora, entre otros argumentos, que el control de la actuación de corredores y operadores de banca seguros, corresponde, por imperativo legal, a la propia DGSFP. En la Resolución del recurso la DGSFP no sólo reiteró que el artículo 110 del ROSSP obliga a las Entidades al control de sus redes de distribución sino que, además, añadió que el control a que se requiere a la Entidad «guarda relación con el asesoramiento que los mediadores están prestando a los asegurados». Es decir, corresponde a las Entidades aseguradoras controlar si los corredores y operadores de banca-seguros, están asesorando convenientemente a sus clientes, ello sin perjuicio de las funciones de inspección que la ley atribuye a la propia DGSFP. A esta misma Entidad, se le requirió para que modificase su estructura de control interno a la medida de los deseos de la DGSFP prohibiendo que los distintos comités de control reportaran al Comité de Dirección y exigiendo que lo hicieran directamente al Consejo de Administración. Además, la DGSFP consideró insuficientes los controles de documentación del Servicio de Atención al Cliente, control de recepción de pólizas firmados, control de documentación entregada a los asegurados, control de calidad de comercialización de seguros por teléfono, control sobre Unit Links, control de plan de formación de mediadores, etc. Añadiremos, que la aseguradora a la que nos referimos está entre las 5 primeras del mercado.

CEIOPS: «Internal Control for Insurance Undertakings». Diciembre 2003. https://www.ceiops.eu/fileadmin/tx_dam/files/pub lications/reports/0312_madrid.pdf DE LA PARRA, Cristina, y FERRRANDO, Alberto: «El informe anual del control interno en el sector asegurador». Diario Jurídico.com. 21 de Julio de 2009. DELOITTE. Servicios Financieros. «Impacto cuantitativo de Solvencia II en el mercado español de seguros no vida». Marzo 2007. DURÁN DOMÍNGUEZ, Santiago: «Control interno de Entidades aseguradoras». Mayo 2010. LOZANO ARAGÜÉS, Ricardo: «Suficiencia de capital y solvencia de las instituciones de seguros». DGSFP. Noviembre 2005. LOZANO ARAGÜÉS, Ricardo: «Perspectivas regulatorias en el análisis de riesgos y el control interno». DGSFP. LOZANO ARAGÜÉS, Ricardo: «Disciplina y supervisión de Entidades aseguradoras bajo Solvencia II». DGSFP. 28 septiembre 2007. http://www.camaraseg.org/archivos/evento/Solvencia_II_(Modo_de_compatibilidad).pdf OLMO, Juan Pablo: «Control interno en las Entidades aseguradoras». Subdirección General de Inspección de la DGSFP. http://prueba-isis.actuaris.org/index2.php? option=com_docman&task=doc_view&gid= 141&Itemid=47 OLMO, Juan Pablo, y CHOCLÁN CAMPAÑA, Carmen: «La supervisión en el sector asegurador». ICE. El Sector Asegurador y de los Planes y Fondos de Pensiones, NoviembreDiciembre 2006, nº 833. http://www.revistasice.com/cmsrevistasICE/pdfs/I CE_833_131-138__CED577D476AED8562 997EC7E074A8974.pdf SOLÁ FERNÁNDEZ, D. Francisco. Artículo: «La futura normativa europea sobre Solvencia II». Ministerio de Economía y Hacienda. Información Internacional. Enero de 2006. Subdirección General de Informes sobre Asuntos Fiscales y Presupuestarios y Relaciones Inter-

REFERENCIAS BIBLIOGRÁFICAS ALONSO, Alberto A. Estudio: «Solvencia II para aseguradores no-vida». Fundación Mapfre. Nº 102 Septiembre-Diciembre 2008. ÁREA XXI: «Solvencia II. Comentarios a la Directiva Europea». Diciembre 2009. http://www.area-xxi.com/prensa/Comentarios.pdf 190

VII. LAS OBLIGACIONES DE CONTROL INTERNO DE LAS ENTIDADES ASEGURADORAS

nacionales. Ministerio de Economía y Hacienda. «La futura normativa europea sobre Solvencia II», enero de 2006. TERRENOS CEVALLOS, GONZALO: «El Comité de Auditoría y sus funciones». Documentos de trabajo del Departamento de Derecho Mercantil. Enero 2008.

UNESPA: «Autorregulación: «Guía de buenas prácticas en materia de control interno». (Actualización 2007). http://www.unespa.es/adjuntos/fichero_2490_ 20071211.pdf

191

Suggest Documents