ICP 10: Control Interno Módulo Nivel Básico

Transcripción

1 ICP 10: Control Interno Módulo Nivel Básico

2 A Copyright 2006 International Association of Insurance Supervisors (IAIS). Todos los derechos reservados. El material en este módulo está protegido por derechos de autor. Puede ser utilizado para capacitación por organizaciones competentes que tengan autorización. Por favor contactar a IAIS para solicitar autorización. Este documento fue preparado por el Jean-Louis Bellando, quien es jefe retirado de la autoridad de control de seguros de Francia. Este módulo fue revisado por Pierre Couillard, Carlos Montalvo, y Helmut Müller. Pierre Couillard es contador por profesión, con un certificado de contador general de la Asociación General de contadores de Canadá. Ha trabajado durante 14 años con negocios medianos y pequeños, como contador, contralor y director de finanzas y ha servido en el sector público durante 16 años. Trabaja para Autorité des Marchés Financiers (AMF) donde, desde 1997, ha estado investigando los temas de estándares y políticas. Carlos Montalvo Rebuelta es supervisor de seguros que trabaja con la Dirección General de Seguros y Fondos de Pensiones (DGSFP), con la Autoridad de Control de Seguros de España, donde dirige el área Internacional del Departamento de Supervisión. Ha estado involucrado en temas de seguros como supervisor desde Ha presidido el Committee of European Insurance y Occupational Pensions Supervisors (CEIOPS) Grupo de Trabajo sobre Control Interno (el Grupo de Madrid ) y ha estado además involucrado en trabajos CEIOPS sobre asuntos de Solvencia II y además ha realizado inspecciones in situ de los aseguradores en España. Helmut Müller tiene 35 años de experiencia en la autoridad de control de seguros de Alemania y la Autoridad de Supervisión de Seguros de Alemania (Bundesaufsichtsamt für das Versicherungswesen), los últimos cinco años como presidente. Actualmente trabaja como experto con el fondo Monetario Internacional, la Unión Europea y la International Association of Insurance Supervisors (IAIS).

3 Contenidos Sobre el Currículo Básico...4 Nota al estudiante...5 A. Introducción...8 B. Objetivos del control interno...9 C. Organización del control interno...13 D. Control interno y procedimientos específicos para los seguros...23 E. El control interno y la autoridad de control interno...35 F. Conclusiones...41 G. Referencias...43 Anexo I. ICP Anexo II. Clave de respuestas...47

4 Sobre el Currículo Básico Un sector de seguros financieramente fuerte contribuye al crecimiento económico y al bienestar dando soporte a la administración del riesgo, a la asignación de recursos, y a la movilización de ahorros a largo plazo. Los principios básicos de seguros (ICPs), desarrollados por la Asociación Internacional de Supervisores de Seguros (IAIS), son estándares internacionales claves para tener sistemas financieros fuertes. La implementación efectiva de los ICPs requiere supervisores de seguros con conocimientos y habilidades. Concientes de esta necesidad, el Banco Mundial y la IAIS se asociaron en el año 2002 para desarrollar un currículo básico para supervisores de seguros. El Proyecto del Currículo Básico, financiado y apoyado por varias fuentes, acelera el proceso de aprendizaje tanto de los supervisores nuevos como de los que ya tienen experiencia. Los ICPs suministran la estructura para el currículo básico, que consiste en un conjunto de módulos que resumen los aspectos más relevantes de cada tema, enfocándose en la

5 aplicación práctica de los conceptos de supervisión y en la correlación con la literatura existente. El currículo básico está diseñado para ayudar a los estudiantes a: Reconocer los riesgos que surgen de las operaciones de seguros Conocer las técnicas y las herramientas utilizadas por profesionales del sector público y privado Identificar, medir y administrar esos riesgos Operar efectivamente dentro de una organización de supervisión Entender los ICPs y otros principios, estándares y guías de IAIS Recomendar técnicas y herramientas para ayudar a una jurisdicción particular a observar los ICPs y otros principios, estándares y guías IAIS Identificar las restricciones e identificar y priorizar las técnicas y las herramientas de supervisión para administrar mejor los riesgos existentes a la luz de esas restricciones. Nota al estudiante Bienvenido al ICP 10: Módulo de Control Interno. Este es un módulo básico sobre control interno en un asegurador que no requiere conocimiento específicos previos del tema. El módulo debe ser útil para supervisores de seguros nuevos o experimentados que no hayan tratado con el tema- o que simplemente están buscando refrescar y actualizar los conocimientos. Comience por revisar los objetivos, lo que le dará una idea de lo que aprenderá al estudiar este módulo. Luego, siga con el estudio del módulo bien sea en forma independiente, como auto estudio o en el contexto de un seminario o de un taller. El tiempo requerido para estudiar el módulo sobre la base de auto estudio puede variar, pero es mejor hacerlo en un período corto de tiempo, dividido en sesiones o en partes, si lo desea. Para ayudarlo a entrar en el tema, hemos intercalado el módulo con varias actividades de práctica para que usted las complete. Estos ejercicios están orientados a darle de vez en cuando un control, de manera que usted pueda interiorizar y entender más fácilmente el material y aplicarlo a sus circunstancias locales. Usted debe realizar cada una de estas actividades antes de continuar con la siguiente sección del módulo. El anexo II de clave de respuestas, establece algunos de los puntos que usted podría considerar al hacer los ejercicios. Además encontrará preguntas que tienen que ver con la situación local y prácticas relacionadas en su jurisdicción. Estas pretenden ayudarle a aplicar el material en este módulo a sus circunstancias locales. Si usted está trabajando con otros en este módulo, desarrolle las respuestas con métodos de discusión cooperativa, como estas respuestas pueden variar entre jurisdicciones, la clave de respuestas le sugiere donde buscarlas. Como resultado del estudio de este material, usted podrá hacer lo siguiente

6 1. Explicar la naturaleza del control interno y su aplicación a las compañías de seguro. 2. Explicar cada uno de los siguientes objetivos de control interno: a. El negocio de un asegurador se conduce de manera prudente, según las políticas y las estrategias establecidas por la junta b. Las transacciones solamente se harán con una autoridad apropiada c. Los activos se protegen d. Los registros de contabilidad y otros, ofrecen información completa, precisa y oportuna e. La administración puede identificar, evaluar, administrar y controlar los riesgos del negocio 3. Describir los principales elementos de control interno 4. Explicar los roles de cada una de las siguientes funciones de control: a. Actuarial b. Auditoría externa c. Auditoría Interna d. Cumplimiento. 5. Explicar cada una de las siguientes condiciones ambientales esenciales para el control interno: a. Sistematización b. Documentación c. Competencia e integridad d. Recursos 6. Ilustrar cada una de las siguientes disciplinas sobre los controles internos de contabilidad: a. Segregación de obligaciones b. Controles de custodia c. Supervisión 7. Dado un objetivo particular de control, ilustrar las técnicas de control efectivo para ese objetivo 8. Comparar los efectos de diferentes tipos de debilidades de control

7 9. Describir las pruebas apropiadas de cumplimiento, para cada categoría de controles generales 10. Demostrar la necesidad de la aplicación de controles en los sistemas computarizados 11. Ilustrar los problemas que pueden surgir en conexión con la contratación de prestación de servicios por terceros, las funciones y describir los controles efectivos para tratar con esos problemas 12. Explicar el propósito de la auditoría interna, e ilustrar formas apropiadas e inapropiadas de organizar la función de auditoría interna 13. Dada una transacción de seguros particular, en una situación de caso, hacerle el seguimiento a la transacción a través de los procesos de contabilidad de la compañía de seguros 14. Determinar la idoneidad de los procedimientos de control interno 15. Explicar cómo una evaluación de control interno facilita la supervisión 16. Explicar cada uno de los criterios esenciales establecidos en ICP 10.

8 ICP 10: Control interno Módulo Nivel Básico A. Introducción De acuerdo en el principio básico de seguros (ICP) 10 1 de la Asociación Internacional de Supervisores de Seguros (IAIS), La autoridad de control requiere que los aseguradores tengan en funcionamiento controles internos, que sean adecuados para la naturaleza y escala de su operación. Los sistemas de vigilancia e informes permiten a la junta directiva y a los directivos monitorear y controlar las operaciones... Los mismos requerimientos se encuentran en la legislación de la Comunidad Europea, aunque las directivas europeas no definen específicamente el control interno: Las autoridades competentes del estado miembro local requerirán que cada asegurador tenga procedimientos sólidos de administración y contabilidad y mecanismos adecuados de control interno. Las definiciones de control interno, han evolucionado con los años y las asociaciones internacionales y nacionales de contadores o de auditores los han propuesto en forma exitosa. En 1977, el Order of Certified Accountants in France definió control interno como el conjunto de medidas de seguridad orientadas a administrar los riesgos del negocio. en 1981 el Federación Internacional de Contadores elaboró este concepto: Un sistema de control interno consiste de todas las políticas y procedimientos adoptados por la administración de una entidad para lograr el objetivo de administración de garantizar en cuanto sea práctico la conducta ordenada y eficiente de su negocio. 2 El Instituto Canadiense de Contadores Colegiados repitió la sustancia de esta definición en 1986 y la suplementó en 1992 haciendo referencia a las instrucciones dadas por la alta gerencia de una compañía para la toma de decisiones y medidas que se deben tomar.según estas definiciones, el control interno aplica a todas las actividades de la compañía, aunque es particularmente relevante a la contabilidad. Este módulo utiliza los términos de control interno, procedimiento de control interno o simplemente procedimiento. El papel de los procedimientos es indicar los pasos que se deben seguir. El control interno no es un modelo de decisión. No responde la pregunta, Que se debe hacer? Sino más bien Quien hace qué? Cuándo? Con qué propósito? 1 Ver IAIS 2003a 2 Ver IFAC 2006 para estándares internacionales sobre auditoría, muchos de los cuales tienen que ver con asuntos de control interno.

9 El control interno es un sistema de organización que comprende una serie de estructuras, métodos y procedimientos implementados por una compañía para conducir en forma ordenada y efectiva sus actividades de negocios, particularmente: Cumplimiento con las leyes y regulaciones Implementación de las políticas generales definidas por la administración Control y administración de los riesgos del negocio Calidad de contabilidad e información financiera Todos los empleados de la compañía deben estar involucrados en el control interno, cada uno con sus propias responsabilidades y obligaciones. Este módulo discute los objetivos, la organización, las especificidades del sector de seguros y las relaciones con las autoridades de control orientadas a describir el control interno en una compañía de seguros. B. Objetivos del control interno Según las notas explicativas de ICP 10, El propósito del control interno es verificar que la operación de un asegurador sea manejada de una manera prudente, de acuerdo con las políticas y las estrategias establecidas por la junta directiva (refiérase al ICP 9 sobre gobierno corporativo), las transacciones son solamente realizadas con permiso apropiado, los activos están salvaguardados (refiérase al ICP 21 sobre Inversiones), la contabilidad y otros registros proporcionan información completa, precisa, verificable y oportuna. La administración puede identificar, evaluar, administrar y controlar los riesgos del negocio y mantener el capital suficiente para estos riesgos [referirse a ICP 18 sobre evaluación y administración de riesgos e ICP 23 sobre lo adecuado del capital y solvencia]. Además los controles internos deben verificar que los departamentos internos funcionan según las leyes y regulaciones prevalentes de las jurisdicciones en que opera la compañía (especialmente las normas para la protección individual y colectiva de los asegurados) así como sus propios estatutos y políticas. El control interno es una herramienta esencial de la junta directiva de la compañía que le proporciona elementos claves para ayudarle a definir, implementar, y corregir sus políticas (ver COSO 1994). La administración de los riesgos de la compañía es una prioridad para los ejecutivos, y el control interno les ofrece a los administradores los medios para identificar, evaluar, administrar, y controlar los riesgos involucrados en las actividades de negocio de la compañía. En una compañía de seguros, este objetivo está dividido en dos. Por un lado, el asegurador cubre los riesgos de sus clientes. La junta directiva define estrategias de mercadeo, política de precios, y los criterios generales para la selección de riesgos. El control interno verifica

10 si esas instrucciones se han seguido y mide su validez después del hecho. Por otro lado, la compañía está expuesta a riesgos que amenazan su solidez financiera y ponen en peligro su rentabilidad. Estos riesgos se analizarán en otra parte desde el punto de vista regulatorio y prudencial. Están generalmente clasificados como: Riesgos Técnicos. Errores en los precios, fondos insuficientes, reaseguro inapropiado Riesgo de Inversión. Riesgos relacionados con las tasas, liquidez, tasa de cambio, mercado, mora de una contraparte, y riesgos específicos para derivados Otros riesgos. Riesgos tales como mora de un socio clave (reasegurador, corredor), presiones externas (membresía en un grupo financiero), y fallas en la administración. Esta lista es indicativa, no exhaustiva. Estos riesgos también incluyen aquellos específicamente relacionados con ciertos departamentos internos. Los sistemas de administración de riesgo, por lo tanto incluyen procedimientos de control interno, uno de cuyos principales objetivos es alertar a los administradores sobre el posible impacto de estos riesgos en la situación de la compañía. (ver CEIOPS 2003 y COSO 2004). La protección de los activos es un objetivo más específico pero se basa en el anterior. Sin embargo restringirían el control interno, a una serie de procedimientos orientados a proteger los activos de la compañía y a mejorar su desempeño. En general, la protección de los activos incluye prevenir errores, fraude, y toma de riesgos desproporcionados a los beneficios esperados. Mejorar el desempeño significa, integrar los procedimientos correspondientes en un enfoque cualitativo. Con relación a una compañía de seguros, los gerentes usan procedimientos de control interno para garantizar que: Las inversiones y desinversiones están justificadas y llevadas a cabo bajo las mejores condiciones Las inversiones son adecuadas para los compromisos que cubre Las inversiones están valoradas apropiadamente y las depreciaciones potenciales identificadas Las inversiones son protegidas contra riesgo financiero y también contra pérdidas (incendio, inundaciones), y malversación y uso fraudulento. Para reducir sus riesgos financieros, una compañía de seguros puede usas derivados. Estos instrumentos bien sea que se usen para dar cobertura o para modificar la estructura de rendimientos de un portafolio de inversión, están sujetos a riesgos específicos: efecto de apalancamiento, manejo complejo, mora de una contraparte y otros. Los riesgos de administración (control) de los derivados, es un problema de control interno. Es importante que la Junta Directiva participe en el desarrollo de estrategias para su uso, esté bien informada de las decisiones que se toman y comprenda su impacto. Esto se logra a través de procedimientos de control interno. Un objetivo básico del control interno es verificar que las políticas y estrategias definidas por la Junta Directiva y las decisiones que se desprendan de allí sean aplicadas correctamente (ver Committee of the Conference of Insurance Supervisory Authorities of the Member States of the European Union 2002). Mientras más complejas sean las estructuras de la compañía y más geográfica y técnicamente diversas sean sus actividades,

11 es más necesario tener información confiable por ejemplo, en tasas, provisiones e inversiones. Esto es especialmente cierto para contratos de servicios con terceros y para actividades extranjeras. Está el gerente de la sucursal siguiendo las reglas de la oficina principal? O Esta él usando circunstancias específicas locales para justificar su desviación de las líneas generales de conducta? Se deben establecer procedimientos para prevenir o limitar la extensión de iniciativas inapropiadas. El presidente de la compañía, quien toma las decisiones, puede cometer errores: por ejemplo, Estimular precios erróneos, subvalorar ciertas obligaciones, reaseguro inadecuado, o una inversión no exitosa. Las pérdidas resultantes agotarán los fondos propios de la compañía en forma más o menos severa, dependiendo de la capacidad de los administradores para detectar los errores, tomar medidas para corregirlas, hacen cumplir estas medidas, y supervisar su eficacia. Los controles internos deben llamar la atención a las debilidades, así como permitirles a los ejecutivos mejorar sus habilidades de gerencia. Los controles internos deben también asegurar que las transacciones referentes a la compañía han sido realizadas por las personas asignadas para negociarlas y para concluirlas y acordes a las formas autorizadas por la junta directiva (delegación de firmas, segregación de obligaciones, y control de procedimientos). La delegación de poderes, que es aún más necesaria cuando la compañía tiene un campo de actividad extendido, es garantizada por la segregación de obligaciones, asignación de las funciones de la toma de decisión (o autorización de decisiones), la protección (salvaguardia) de activos, la contabilidad, y el control a diversas personas. La colusión entre el tesorero y el contable puede facilitar las actividades fraudulentas que son difíciles de detectar en una auditoría interna rutinaria. La quiebra del banco de Barings en 1995 fue el resultado de especulaciones fallidas hechas por un solo corredor en Singapur, quien hizo y registró decisiones, usando su propio programa de computador, al cual nadie más tenía acceso. Para ser eficaces, los controles internos deben incluir: Un organigrama de la compañía, enumerando las personas autorizadas a firmar por la compañía (es decir, comprometer la responsabilidad de la compañía) y a las personas autorizadas para aprobar una decisión. Un manual escrito que describe la segregación de obligaciones, de responsabilidades (especialmente con respecto a la supervisión), y poderes (de la firma, entre otros). La seguridad de los procedimientos requiere la implicación de muchos participantes en cada operación, con el control interno supervisando su eficacia. Los controles internos, finalmente, deben asegurar que la información registrada en las cuentas y registros preparados por varios departamentos de la compañía sea completa, ajustada y enviada oportunamente. Así mismo, los controles internos deben verificar la seguridad de los sistemas de computador. En particular, los controles internos afectan la

12 contabilidad limitando el número de errores que podrían alterar la calidad de la información, que distorsiona el punto de vista de la persona que toma decisiones respecto a la situación financiera real de la compañía. Así, los controles internos deben buscar las siguientes declaraciones erróneas: Registro de transacciones ficticias Transacciones reales no registradas Transacciones sin autorización, tales como una rebaja de tarifa convenida por un corredor que excede los límites fijados por la junta directiva Errores de la asignación, tales como la asignación de siniestros en una clase de seguro a otra clase, distorsionando el cálculo de tarifas Errores en la fecha de ingreso, llevando a aplazar para el siguiente año fiscal cargas atribuibles al período financiero divulgado (siniestros no denunciados, por ejemplo) Errores de presentación, por ejemplo, en lo que se refiere a operaciones fuera de balance La tecnología de los computadores también incurre en riesgos debido a la concentración de datos, que pueden debilitar la seguridad de la información, y al uso de las aplicaciones complejas, lo cual puede resultar en la repetición de problemas si el programa contiene errores. Por lo tanto, los controles internos deben asegurar: La seguridad física y logística de las instalaciones y de los datos, incluyendo la protección de archivos y del software y el uso posible de instalaciones alternativas La existencia de un rastro de auditoría, es decir, una serie de procedimientos escritos que permiten reconstruir transacciones cronológicamente, justificar cualquier transacción usando una fuente de texto original para seguir un rastro intacto hasta y desde el estado financiero, y explicar los cambios en los balances a partir de un extracto de la cuenta a otra demostrando qué transacciones se han realizado. La lista de objetivos ilustra la importancia del control interno. Antes de que los gerentes y economistas reconocieran y elaboraran el papel del control interno, las compañías ya realizaban controles internos sin saberlo, puesto que el sentido común las llevó siempre a buscar medios apropiados para manejar y controlar sus acciones. En 1977 la Order of Certified Accountants en Francia señaló, El control interno no es en sí mismo un sistema o función separada de la compañía. Éste es (idealmente) una preocupación: El deseo del empresario que está organizando su compañía de proporcionar medidas de seguridad en cada procedimiento de gestión que aseguren, tanto como sea posible, la autorregulación y la auto-supervisión. Esto es la presencia de estas medidas de seguridad en sistemas que demuestren el control interno de la compañía tanto técnica como administrativamente hablando.

13 Ejercicios 1. Cuales son los cinco principales propósitos del control interno? 2. Resuma los requerimientos del control interno establecidos por la ley de compañías y por las leyes de seguros en su jurisdicción. Están estos de acuerdo explícitamente con los cinco principales propósitos del control interno? C. Organización del control interno Los procedimientos de control interno establecidos por las compañías de seguros son cada vez más complejos y sofisticados. Deben también ser adecuados. Desde un punto de vista prudencial, cumplir este criterio es particularmente importante en ciertas áreas del negocio, tales como contabilidad o informática, pero no sólo es importante en esos campos. El control interno es tratado extensamente en regulaciones y normas de actividades bancarias (véase al comité de Basilea Sobre el Control Bancario 1998). En el sector de los seguros, el tema es abordado, dependiendo de la jurisdicción, por leyes y regulaciones, por directivos y por autoridades de control, o por recomendaciones de asociaciones profesionales. Las reglas son más o menos detalladas, y a menudo son similares para todos los servicios financieros. Algunas veces se han elaborado para temas específicos como los seguros. En 1992 la Unión Europea definió una obligación, en principio, nada más: Las autoridades competentes de un estado miembro local exigirán a cada empresa de seguros tener procedimientos administrativos y de contabilidad sólidos y mecanismos de control interno adecuados. ICP 10 repite este requerimiento, especificando que los controles deben ser adecuados para la naturaleza y el tamaño de los negocios. Así, la organización de control interno se debe adaptar a la actividad del sector de la compañía seguros generales, seguros de responsabilidad civil, reaseguros, vida y saludsu tamaño, su estructura jerárquica, su diversificación geográfica, sus clientes (individuos, compañías), la distribución de su capital, y su capacidad de tener acceso a mercados de capitales. La eficacia del control interno depende de un número de condiciones: respeto por los principios básicos y las técnicas para su uso apropiado, la implicación de participantes internos en todos los niveles, y la supervisión de la implementación de los procedimientos, así como el seguimiento del cumplimiento de los objetivos buscados.

14 Principios Básicos y su aplicación La compañía debe estar racionalmente organizada, lo que significa que sus estructuras deben estar descritas en el organigrama y sus procedimientos escritos en forma de manual. No existe una organización típica. Cada compañía está organizada sobre las bases de sus objetivos, estrategia, tamaño y la diversidad de los negocios. En particular, el organigrama debe especificar la personas autorizadas para firmar por la compañía esto es, comprometer la responsabilidad de la compañía y, potencialmente su responsabilidad penal. En una forma más general, el organigrama debe mencionar las personas con poder para tomar decisiones. El manual debe describir la delegación de poderes, la cual debe ser clara para el beneficio de las personas calificadas para ejercer esos poderes. La delegación deberá corresponder con las funciones reales de las personas a quienes se les otorga el poder. Los procedimientos para la formalización deben ser aplicados sistemática y continuamente. Calidad y disponibilidad de la información Las redes de control interno deben recoger y usar la información que sea: Relevante, lo que significa adaptada a su uso Neutral, lo que significa libre de manipulación Utilizable, lo que significa permitir que cada usuario encuentre la información que él o ella necesita, por ejemplo índices y tablas de personal Comprobable, incluyendo documentación en una forma clara y fácilmente comprensible de modo que las transacciones y otros acontecimientos significativos estén registrados oportunamente y listados en forma precisa. El control interno eficaz requiere buenas técnicas de compilación de información. Uno de los problemas en compañías grandes es que los altos directivos están rodeados por personas que elogian más de lo que critican; esto puede hacer difícil obtener información que no haya sido filtrada por los gerentes o por los intermediarios operativos y funcionales. De esta forma, la junta directiva deberá quizás recibir cierta información directamente. En el sector de los seguros, esto incluye los siniestros, pleitos, supervisión de operaciones fuera de balance, inconsistencias entre primas suscritas y colectadas, discrepancias significativas entre los pagos de los siniestros y las provisiones, y los índices de recuperación de siniestros donde existe el recurso, judicial o amistoso o con la subrogación. Competencia y honestidad del personal (prueba idoneidad ) De acuerdo con lo establecido por la Treadway Commission en 1992, Los factores que más influyen en la determinación de la eficacia del control interno son la actitud y el comportamiento de los funcionarios sénior y de los directores, que dan el ejemplo para toda

15 la compañía. 3 La competencia de los empleados se puede asegurar usando un sistema de selección apropiado, con entrenamientos en cursos en institutos especializados y en el trabajo, establecimiento de objetivos de motivación, e incentivos de carrera. La honradez es una virtud, pero no es necesariamente eterna: un daño grave puede ser causado por empleados dignos de confianza que se salen repentinamente de los carriles después de exhibir un comportamiento irreprochable durante muchos años. La movilidad individual o la transferencia de responsabilidades a todos los niveles de la jerarquía pueden ofrecer una cierta protección contra las tentaciones que se presentan por rutina y hábito. Incluso en un ambiente altamente automatizado, la fatiga o la distracción pueden causar error humano y minar la eficacia del control interno. Por consiguiente, sin importar el nivel de competencia y de integridad de los empleados, siempre es recomendable supervisar sus operaciones, ya sea por medio de superiores inmediatos o por medio de los auditores del departamento de auditoría interna. Disponibilidad de suficientes recursos humanos y materiales Los controles internos deben presentar la situación de la compañía y los riesgos a los que está expuesta. Esto significa establecer una organización con personal y herramientas adecuadas. Pero los gastos incurridos deben ser proporcionales a los resultados obtenidos, según la norma de relación costo-beneficio. Si los procedimientos establecidos para detectar un fraude de seguros en la presentación y pago de los siniestros son mucho más costosos que los ahorros que traen, se deben desarrollar diferentes procedimientos que sean más costo-efectivos. En forma más general, una clase de control interno capaz de prevenir todos los controles y todos los fraudes sería obviamente efectivo pero estaría fuera de discusión si los costos fueran prohibitivos y si aumentara las redundancias en detrimento de la velocidad de procesamiento de información. Segregación de obligaciones Según ICP 10, criterio esencial b, El marco para el control interno del asegurador incluye los acuerdos para delegar la autoridad y responsabilidad y la segregación de obligaciones. El control interno no es efectivo cuando la misma persona realiza dos funciones en la misma operación que involucran simultáneamente toma de decisiones, preservación de activos, registro y control. Según el enfoque tradicional, la función de toma de decisiones involucra el logro de los objetivos del negocio. Cuando la decisión se delega a un subordinado, la función de toma de decisiones está relacionada con la función de autorización o aprobación. La preservación (protección o salvaguarda) de activos aplicada a las unidades de procesamiento-computadores y redes y a los activos fijos y valores, incluyendo efectivo en la caja fuerte. Su ejercicio adecuado requiere el uso de métodos tales como cajas fuertes, carnés, o códigos de acceso, que limitan o prohíben acceso a los 3 National Commission on Fraudulent Financial Reporting (Estados Unidos), más comúnmente conocida bajo el nombre de su presidente; ver también COSO 1994.

16 fondos y documentos. La expansión del comercio electrónico requiere establecer controles de acceso para programas y archivos, que incluyen contraseñas, seguros, y software de acceso. Esta labor ocasionalmente es llevada a cabo por tesoreros o personas autorizadas para comerciar valores. La tarea de preservar los activos significa asegurar que los activos estén cubiertos por una póliza de seguro adecuada. La tarea de registro o contabilidad incluye verificación de transacciones antes de registrarlas, una tarea que es ocasionalmente asignada a computadores mediante programación de procedimientos de control. La experiencia ha mostrado la necesidad absoluta de segregar las funciones del contador y el tesorero. El contador nunca debe manejar efectivo o cheques y la firma del contador nunca debe estar autorizada en el banco. De lo contrario, el contador podría por ejemplo registrar siniestros falsos y pagarlos inmediatamente, castigar primas que se deben y robarse los cheques enviados por los asegurados o registrar una transferencia de activos por menos de la cantidad real y guardarse la diferencia. Aún peor, si existe colusión entre el contador y el tesorero, los dos están en una posición, de organizar sus malversaciones de tal forma que engañen al control interno. El propósito de verificación (o control) es monitorear las otras obligaciones a través de operaciones rutinarias, sistemáticas y permanentes. Pero este enfoque tradicional no es apropiado para el ambiente computarizado de las compañías modernas grandes que operan en un sistema de contabilidad integrada. En la contabilidad tradicional, aún con muchas tareas automatizadas, cada parte permanece responsable de una función específica, mientras que en la contabilidad integrada, las tareas dependen de procesamiento de datos, en el cual los pasos se siguen automáticamente uno a uno después de que se ha hecho la entrada inicial. De esta forma ya no hay una separación entre las tareas de toma de decisiones, preservación y contabilidad. La segregación ocurre en otro nivel, entre la función de diseño y la función de usuario. El usuarios del computador contador, tesorero, administrador de activos- debe únicamente poder realizar la secuencia de operaciones necesarias para su misión, y no necesita una descripción exhaustiva de los procesos y de las verificaciones computarizadas involucradas en estos procesos. El diseñador del sistema de computador, no debe tener acceso a los sistemas operativos. El principio de evitar la auto-supervisión inseparable del principio de segregación de obligaciones comprende una verificación cruzada de los datos y un control recíproco. La verificación cruzada consiste en comparar información parecida contenida en diferentes documentos o en verificar la información sobre la base de diferentes fuentes. El procesamiento por computador multiplica las posibilidades de revisión cruzada automática. Los controles recíprocos consisten en comparar los mismos datos registrados por dos personas diferentes. Por ejemplo, el registro contable de primas y el registro del tesorero de los cheques recibidos del asegurado. Como otro ejemplo, tenemos, la adquisición de un edificio se registra en el servicio de administración técnica para propiedades inmobiliarias (activos fijos) y en la oficina de contabilidad (registro de adquisiciones y ventas de bienes inmuebles), y el control recíproco consiste en conciliar las dos cantidades.

17 También es necesario hacer una supervisión permanente de la cadena de mando para cumplir con los objetivos de control interno, ésa supervisión se puede hacer a través de procedimientos de programación, y los administradores deben verificar con regularidad que éstos estén funcionando adecuadamente. Participantes en el control interno El control interno se establece a nivel de un departamento, una compañía un grupo de compañías de seguros, o un conglomerado financiero. La unidad de referencia para la siguiente discusión es la compañía. Como herramienta esencial para la toma de decisiones de la compañía, el control interno no es una función aislada diferente, y aún cuando involucra especialistas dentro o fuera de la compañía, constituye un sistema integrado que cubre todos los departamentos y requiere la contribución de todas las personas que establecen lo procedimientos, los administran, los implementan, y hacen seguimiento a cualquier cambio y corrección que se considere necesaria. El diseño es responsabilidad de la Junta Directiva y posiblemente de los comités a los que se les delegan ciertos poderes. La junta debe también exigir correcciones que parezcan necesarias con base en la información recibida. La administración y la implementación son responsabilidad del personal sobre la base de auto supervisión y supervisión realizada por el jefe de mando. El diseño correcto y la operación apropiada del control interno, son verificados por equipos de inspectores (auditores) o expertos (administradores de riesgo, actuarios o contadores certificados) dentro y fuera de la compañía. La coordinación de los controles, la lista de los defectos, y el seguimiento a las mejoras son asignados con mayor frecuencia a un coordinador, conocido algunas veces como el oficial de cumplimiento. Junta Directiva De acuerdo a ICP 9, sobre gobierno corporativo, la Junta Directiva es el punto central en el sistema de gobierno corporativo. Debe rendir cuentas y es la responsable final del desempeño y conducta de la compañía de seguros. El hecho de que delegue autoridad sobre los comités de la junta o sobre la administración, de ninguna manera mitiga o disipa el cumplimiento de las obligaciones y responsabilidades de la Junta Directiva la autoridad de control revisa los controles internos y verifica que sean adecuados a la naturaleza y tamaño del negocio y exige que se fortalezcan estos controles cuando sea necesario. La Junta Directiva es responsable de establecer y mantener un sistema efectivo de control interno. La Junta Directiva es entonces quien diseña el sistema de control interno de la compañía y su usuario final, como tal, la junta establece principios y lineamientos, define objetivos estratégicos y organiza los medios para cumplirlos, incluyendo la segregación de obligaciones y tareas, define los pasos a seguir para monitorear y evaluar su

18 implementación, analiza la información recogida, solicita información adicional cuando la necesite, examina las recomendaciones recibidas con miras a mejorar la operación de la compañía y exige que se hagan correcciones y ajustes, además de proporcionar las formas y los medios para el seguimiento de su implantación. En esta tarea, la Junta Directiva puede recibir ayuda de comités creados especialmente con este fin. Entre más grande sea la compañía, más probabilidades tiene de tener comités. Pero la delegación de poderes a estos comités que pueden incluir administradores y gerentes entre sus miembros, no exime a la junta de sus obligaciones y responsabilidades. Según ICP 9, criterio esencial d, la Junta Directiva puede establecer comités con responsabilidades específicas, tal como un comité de compensaciones, de auditoría o de elecciones. Estos comités pueden diferir considerablemente en composición, propósito y poderes entre una compañía y otra. El más común es un comité de auditoría con un amplio rango de responsabilidades: preparación y organización de un código de conducta y de un manual de auditoría interna, establecimiento de un programa anual de auditoría y seguimiento de los informes de auditoría interna. Los comités funcionales especializados también se establecen para tratar con problemas como, administración de riesgo, inversiones, tecnología de la información y ética (la información de los asegurados y su protección). El comité de administración de riesgos es responsable de monitorear los riesgos que podrían exponer a pérdidas a la compañía de seguros, incluyendo riesgos técnicos, riesgos de inversión, riesgos de administración. Sus poderes que están relacionados con los procedimientos de control interno, incluyen además riesgos de computador (pérdidas a las que está expuesta la compañía como resultado del mal funcionamiento o uso inapropiado de los computadores, tales como fraude, piratería o sabotaje) y riesgos operacionales (pérdidas que resultan de errores o fraude del personal). Algunas veces al comité de cumplimiento se le confía la verificación del cumplimiento con la ley de compañías y con las leyes y regulaciones existentes y con sus propios estatutos y políticas. Este comité recoge toda la información disponible sobre el cumplimiento de los estatutos y los manuales de procedimientos o de auditoría adoptados por la Junta Directiva. Sobre la base de estos hallazgos, propone enmiendas a la Junta Directiva. Este papel es de naturaleza más formal que operacional. Un oficial de cumplimiento, que puede ser el secretario general del comité de cumplimiento o cualquier otra persona nombrada para este fin, algunas veces actúa como punto de unión entre los comités y los ejecutivos encargados de revisar los informes, haciendo un inventario de las debilidades encontradas y seguimiento de las acciones correctivas. Auditores Los auditores son los las personas encargadas de medir el control interno. Su papel específico está establecido en ICP 10, criterio esencial c:

19 La auditoría interna y externa, las funciones actuariales y de cumplimiento son parte del marco del control interno, y deberán probar su adherencia a los controles internos así como a las leyes y regulaciones. La auditoría es un revisión crítica de la información que se encuentra en de toda la compañía (o en terceros) 4. Una auditoría financiera certifica la representación veraz de las cuentas de la compañía. Una auditoría operacional inspecciona los detalles de las actividades de la compañía con miras a mejorar su desempeño: esto incluye hacer recomendaciones y algunas veces proponer procedimientos más efectivos, en especial en relación con el control interno. El auditor es la persona natural o legal (firma de auditoría) que realiza la auditoría. Puede ser interna o externa. El auditor externo puede ser legal (auditor estatutorio) o contractual, que ha recibido el mandato de realizar una misión específica, tal como establecer los procedimientos de control interno. El auditor interno generalmente es un empleado pagado por la compañía que él o ella audita. Según el Instituto de Auditores Internos, ésta es una función independiente de valoración establecida en una organización para examinar y evaluar sus actividades como un servicio para la organización. El objetivo de las auditorías internas es ayudar a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades. Para este fin, la auditoría interna les entrega análisis, valoraciones, recomendaciones, asesoría e información concerniente a las actividades que revisa. Si el establecimiento de una función de auditoría interna es incompatible con la estructura y tamaño de la compañía de seguros (en el caso de firmas pequeñas y medianas), la junta directiva debe organizar procedimientos adicionales de supervisión o contratar ésta función con terceros para proporcionar seguridad adecuada para el sistema de control interno. IAIS hace énfasis en la naturaleza específica y en la importancia de la función de la auditoría interna en ICP 10, criterio esencial j: La autoridad de control requiere que la función de auditoría interna: Emplee una metodología que identifica los principales riesgos en los que incurre la institución y asigna sus recursos de conformidad con ello (refiérase al PCS 18), Tiene acceso sin restricciones a todas las operaciones y ramos de seguros y a los departamentos de soporte, evalúa las funciones que son contratadas con proveedores externos. Tiene independencia, incluyendo línea directa para informar a la junta directiva, tiene estatus dentro de la compañía para garantizar que la alta gerencia 4 La raíz de la palabra auditoría viene de la palabra griega audire (escuchar) ; sin embargo, el auditor no solamente debe escuchar sino también ser escuchado!

20 reacciona y actúa según sus recomendaciones, tiene suficientes recursos y personal adecuadamente capacitado y con experiencia relevante para entender y evaluar el negocio que auditan, emplea una metodología que identifica los riesgos claves en que incurre la institución y asigna sus recursos de conformidad con ellos. Los auditores internos examinan la regularidad y seguridad, lo adecuado, y la efectividad de los sistemas de control interno preparados por cada departamento en la compañía, en unión con el comité de auditoría ( o tal vez con la junta directiva a través de la secretaría general, si la junta le ha asignado a él o a ella el trabajo de coordinación ).Ellos evalúan si los sistemas son consistentes con las operaciones reales y proponen las soluciones apropiadas para los problemas que detectan en los procedimientos de control interno. Para cumplir con sus trabajos de análisis, los auditores internos deben ser: Competentes y con experiencia Suficientes en número y con el equipo adecuado Tener suficiente poder para exigir que los departamentos se sujeten a sus investigaciones, presenten informes, documentos, otros materiales que sean necesarios para su auditoría, y solicitarles a aquellos que estén siendo auditados que cooperen Independientes, lo que quiere decir que, dentro del alcance de su misión, sus poderes no sean limitados, aunque ellos no pueden divulgar a nadie diferente de las partes interesadas la información que recogen a menos que existan razones válidas para hacerlo Capaces, en términos generales, de realizar su misión de manera apropiada y efectiva, justa e imparcial. La función de la auditoría interna debe además ser universal, lo que significa que debe cubrir todas las actividades de la compañía. Existen varios tipos de auditorías internas que se usan más comúnmente: una auditoría anual de cada departamento en la compañía, una auditoría sobre un tema particular que cubre varios departamentos, y seguimiento a las auditorías hechas anteriormente para verificar si las acciones correctivas tomadas por los administradores de los departamentos son adecuadas, efectivas, y si se han implementado oportunamente. El coordinador (comité de auditoría, secretario general, u oficial de cumplimiento) prepara un programa anual de auditoría que luego es aprobado por la junta directiva. Este programa define las políticas generales de la compañía con relación a las auditorías, describe los requerimientos de prioridad para cumplir con los objetivos de la administración, y hace un inventario de los programas de auditoría individual. Los programas para auditorías internas individuales se preparan dentro del marco establecido por el coordinador, que tiene en cuenta los diferentes tipos de riesgos y su gravedad, así como la frecuencia, alcance y grado de profundidad del trabajo hecho con anterioridad.

21 La aprobación de los programas individuales a veces se delega a la administración general de la compañía. Un programa individual debe proporcionar información sobre los objetivos de auditoría propuestos, la metodología que se debe seguir, las actividades que se van a examinar, la programación, y el presupuesto. Otros participantes en el control interno Las misiones de auditoría contable y financiera son específicas para la auditoría, y su propósito es verificar que los estados financieros expedidos por la compañía reflejan correctamente su situación económica y su negocio. Para esto, la auditoría, que se caracteriza por la regularidad con respecto a las normas contables y a la conformidad con los datos financieros registrados, puede llamar contadores y auditores certificados a quienes se les solicita que expresen sus opiniones sobre la confiabilidad de las cuentas, y más generalmente, sobre la solidez de los sistemas de control interno tomados como un todo. Debido a las características específicas del seguro, se les concede un papel especial a los administradores de riesgo y a los actuarios en la organización del control interno y su evaluación cualitativa. Según ICP 18, sobre evaluación y administración de riesgo, La autoridad de control exige y vigila que los aseguradores tengan políticas comprehensivas de administración de riesgo y sistemas capaces de identificar, medir, reportar y controlar oportunamente sus riesgos (criterio a). Las políticas de administración de riesgo y los sistemas de control de riesgo sean apropiadas para la complejidad, tamaño y naturaleza del negocio del asegurador (criterio b). El sistema de administración de riesgo monitorea y controla todos los riesgos materiales (criterio c). En la siguiente sección se dan algunos ejemplos de la aplicación de estos principios a las compañías de seguros con relación a varios temas: protección de las inversiones, administración de activos, instrumentos derivados, y tolerancia al riesgo, seguidos de la identificación, análisis e investigación de agregaciones. Los actuarios ocupan un lugar separado en la operación y control de las compañías de seguros (ver IAIS 2003c). Como participantes del control interno en una compañía de seguros de vida (y aún en compañías de no vida en algunas jurisdicciones), lógicamente se citan en ICP 10, criterio esencial l: La autoridad de control requiere informes actuariales a la junta y a la administración, cuando la legislación o la naturaleza de las operaciones del asegurador requieran la designación de un actuario.

22 El actuario es un profesional especializado que debe tener acceso directo a la junta directiva. Las firmas auditoras grandes pueden tener actuarios entre su personal, o llamar a actuarios independientes, para evaluar las provisiones técnicas del asegurador, las tasas, y la distribución de utilidades con los asegurados. En varios países, la ley exige que las compañías de seguros escojan un actuario designado. Este actuario debe garantizar que las primas y las provisiones técnicas de los seguros de vida sean calculadas según las normas y principios actuariales generalmente aceptados. Por lo tanto, el actuario debe tener acceso a toda la información que pueda ser útil. El actuario reporta sus observaciones a la junta directiva, y por lo tanto es un agente importante de control interno. Informes y seguimiento Al terminar su tarea, los auditores internos redactan un informe en borrador, que debe: Organizar la información recogida y analizar los resultados de ella Evaluar el trabajo hecho para que sea más fácil de usar por otros Contener una lista de las actividades auditadas, una descripción de qué tan fácil fue cumplir con la misión, una lista de las entrevistas, observaciones, conclusiones, opiniones y recomendaciones. Las entrevistas y los informes, los comentarios del coordinación, y la notificación a aquellos que fueron auditados son las etapas de un diálogo que debe provocar acciones y reacciones de los directores de la compañía y de los administradores de departamento, que finalmente conduzcan a los pasos para corregir errores detectados y mejorar los procedimientos de control interno de acuerdo con las recomendaciones del auditor. El coordinador transmite al director del departamento que está siendo auditado los hallazgos de la auditoría, con sus propios comentarios, opiniones, instrucciones y sugerencias. Se invita al jefe del departamento a que presente un plan para tomar acciones correctivas. El informe del auditor se puede comunicar a otras personas en la compañía, a solicitud del jefe del departamento, propuesta del coordinador, y autorización del director. El coordinador prepara un informe completo para la Junta Directiva. Éste debe ser estrictamente confidencial, dirigido a los jefes de departamento, y abierto a los auditores externos. Este informe contiene una lista de los ítems estudiados, los problemas resueltos, las observaciones y las recomendaciones. Con la ayuda del coordinador, el jefe del departamento en cuestión debe tomar los pasos necesarios para remediar los problemas descubiertos por el auditor o aún por la administración superior. En un informe al coordinador, el jefe del departamento da un detalle de las acciones que se tomaron, indica los resultados obtenidos, y anuncia las nuevas iniciativas planeadas, al tiempo que proporciona evidencia de que se han seguido las instrucciones. El coordinador entonces formaliza el monitoreo de las acciones