V. LA FUNCIÓN DE AUDITORÍA INTERNA José Manuel Muries, Director General Auditoría Interna de MAPFRE S.A. Presidente del Instituto de Auditores Internos de España V.1. AUDITORÍA INTERNA EN EL MARCO DE SOLVENCIA II caso, la política de externalización de alguno de estos servicios. Las citadas políticas escritas se revisarán, al menos, anualmente. Estarán supeditadas a la aprobación previa del Órgano de Administración o Dirección y se adaptarán en función de cualquier cambio significativo en el sistema o área correspondiente. 4. Las empresas de seguros y de reaseguros adoptarán las medidas necesarias para garantizar la continuidad de las actividades, incluida la elaboración de Planes de Contingencia. Para conseguir tal objetivo las empresas aseguradoras y reaseguradoras emplearán sistemas, recursos y procedimientos adecuados y proporcionados al tamaño y complejidad de su estructura organizativa. 5. Las Autoridades de Supervisión contarán con los medios, métodos y poderes oportunos para verificar el Sistema de Gobierno de las empresas de seguros y de reaseguros y evaluar los riesgos emergentes identificados por dichas empresas que puedan afectar a su solidez financiera. Por otra parte, el documento del Committee of European Insurance and Occupational Pensions (en adelante CEIOPS) «Advice for Level 2 Implementing Measures on Solvency II: System of Governance» (anterior Consultation Paper nº 33), establece que el Sistema de Gobierno de las empresas de seguros y de reaseguros deberá: La Directiva conocida como Solvencia II va a producir cambios significativos en la gestión de las empresas aseguradoras y también en la función de Auditoría Interna. La Sección 2 del capítulo IV de la citada Directiva, se dedica al Sistema de Gobierno de las entidades Aseguradoras. Entre los requisitos generales de Gobierno, en el artículo 41 se destacan los siguientes: 1. Los Estados miembros exigirán que todas las empresas de seguros y de reaseguros dispongan de un Sistema eficaz de Gobierno que garantice una gestión prudente de la actividad aseguradora y reaseguradora. El citado sistema comprenderá, como mínimo, una estructura organizativa transparente y apropiada, con una clara distribución y una adecuada separación de funciones, y un sistema eficaz para garantizar la transmisión de la información. El Sistema de Gobierno estará sujeto a una revisión interna periódica. 2. El Sistema de Gobierno será proporcional a la naturaleza, la envergadura y la complejidad de las operaciones de la empresa de seguros o de reaseguros. 3. Las empresas de seguros y de reaseguros contarán con una política escrita referida, al menos, a la Gestión de Riesgos, el Control Interno y la Auditoría Interna, y en su 131 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... • • • • • • • • • • Establecer, implementar y mantener un efectivo sistema de reporting interno y comunicación de la información en todos los niveles relevantes de la organización. Disponer de una estructura organizativa bien definida, clara y con las líneas de responsabilidad documentadas en toda la organización. Asegurar que todos los miembros de la Dirección y Consejos de Administración tienen cualificación profesional adecuada, conocimiento y experiencia en las áreas relevantes del negocio, con la finalidad de dar una adecuada seguridad de que colectivamente son capaces de proporcionar a la compañía una dirección prudente. Asegurar que sus empleados tienen la destreza, el conocimiento y la experiencia necesarios para ejercer adecuadamente las responsabilidades que les han sido encomendadas. Asegurar que todo el personal es consciente de los procedimientos para llevar a cabo sus responsabilidades de forma adecuada. Establecer, implementar y mantener procedimientos para la toma de decisiones. Establecer sistemas de información que generen información suficiente, fiable, consistente, relevante y oportuna, relacionada con las líneas de negocio, los compromisos adquiridos y los riesgos a los que la compañía está expuesta. Mantener una adecuada y ordenada documentación de sus negocios y organización interna. Garantizar la seguridad, integridad y confidencialidad de la información, teniendo en consideración la naturaleza de la información en cuestión. Establecer claras líneas de reporting que aseguren la rápida transferencia de información a todas las personas que la nece- sitan y de una forma que les permita reconocer su importancia. • Establecer y mantener las funciones clave de gobierno de forma adecuada. Asimismo, establece que las compañías de seguros y de reaseguros deberán: • Asegurarse de que cualquier potencial conflicto de interés es identificado y que existen los procedimientos adecuados para resolverlos. • Asegurarse de que las funciones clave tienen una apropiada posición en la estructura organizativa y que los responsables de las mismas tienen acceso directo a la Alta Dirección y al Consejo de Administración. • Establecer con claridad los principales objetivos, responsabilidades, procesos y procedimientos de reporting que serán de aplicación, los cuales deberán estar alineados con los Planes Estratégicos de la compañía, en lo referente a las políticas de riesgos, Control Interno, Auditoría Interna y, en aquellas organizaciones que sea relevante, la política de externalización. • Identificar de forma regular los riesgos para los que es necesario tener en cuenta los planes de contingencias de aquellas áreas que puedan ser consideradas especialmente vulnerables. En este punto, es necesario resaltar que el documento de CEIOPS «Advice for Level 2 Implementing Measures on Solvency II: System of Governance», al igual que el capítulo IV, sección 2 de la Directiva de Solvencia II, establece que las funciones clave consideradas críticas o relevantes en el Sistema de Gobierno son, al menos, las siguientes: • Gestión de Riesgos. • Cumplimiento. • Actuarial. • Auditoría Interna. Las mencionadas funciones son, por lo tanto, consideradas esenciales, y todas las personas que 132 V. LA FUNCIÓN DE AUDITORÍA INTERNA sean responsables de las mismas deben ser competentes e idóneas y están sujetas a los requisitos de notificación al Órgano Supervisor. Asimismo, establece que, excepto en lo que se refiere a la función de Auditoría Interna, en empresas pequeñas y de menor complejidad es posible confiar varias funciones clave de gobierno a una única unidad organizativa. De esta afirmación, basada en el principio de proporcionalidad, se desprende que la función de Auditoría Interna, con independencia del tamaño y complejidad de la organización, debe ser independiente de las tareas de gestión y se puede afirmar que en este caso función es equivalente a departamento. Si analizamos detenidamente los requisitos generales del Sistema de Gobierno se observa que éste estará sujeto a una revisión interna periódica; si la función de Auditoría Interna está correctamente implantada en la organización, es el departamento que reúne las características óptimas para realizar dicha revisión. En relación con Auditoría Interna el artículo 47 de la Directiva establece lo siguiente: 1. Las empresas de seguros y de reaseguros contarán con una función eficaz de Auditoría Interna. 2. La función de Auditoría Interna abarcará la comprobación de la adecuación y eficacia del Sistema de Control Interno y de otros elementos del Sistema de Gobierno. 3. La función de Auditoría Interna deberá ser objetiva e independiente de las funciones operativas. 4. Las constataciones y recomendaciones de Auditoría Interna se notificarán al Órgano de Administración o Dirección, que determinará qué acciones habrán de adoptarse con respecto a cada una de las constataciones y recomendaciones de Auditoría Interna y garantizará que dichas acciones se lleven a cabo. En relación con las recomendaciones de Auditoría Interna referidas en el punto anterior, parece más razonable que sea la propia área auditada quien establezca las acciones que habrán de adoptarse, quién es el responsable de las mismas y la fecha límite de implantación; es difícil que, en la mayoría de los casos, el Órgano de Administración pueda determinar las acciones concretas para implantar una recomendación de Auditoría Interna. Es preferible, y más práctico, que tras cada informe de Auditoría Interna se emita un documento denominado Plan de Acción correspondiente a dicha auditoría en el que el área auditada establezca: • Las acciones a adoptar para subsanar las incidencias puestas de manifiesto por Auditoría Interna. • Quién es el responsable de su implantación. • La fecha límite en la que la recomendación esté implantada. En la elaboración de este Plan de Acción, Auditoría Interna puede aportar también su experiencia y conocimiento, sin embargo, dado el carácter no ejecutivo de la función, será el área auditada la que determine finalmente las medidas a implementar. Auditoría Interna debe hacer un seguimiento de cada Plan de Acción e informar al Órgano de Administración y al Comité de Auditoría, si existiese. El mencionado documento de CEIOPS «Advice for Level 2 Implementing Measures on Solvency II: System of Governance», establece lo siguiente con respecto a la función de Auditoría Interna: • Es una función independiente en la organización que examina y evalúa el funcionamiento de los controles internos y de todos los demás elementos del Sistema de Gobierno, así como la adecuación de las actividades a las estrategias, políticas, procesos y procedimientos de reporting. • Necesita ser independiente de las actividades auditadas y llevar a cabo su trabajo con imparcialidad. El principio de independencia implica que la función de Auditoría Interna debe ser supervisada únicamente por el Consejo de Administración o el Comité de Auditoría como órgano delegado del mismo. Al mismo 133 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... • • • • • • • tiempo, debe asegurarse que la función de Auditoría Interna no se vea sometida a instrucciones del Órgano de Administración o Dirección durante el transcurso de los trabajos de auditoría y cuando está evaluando y reportando los resultados de los mismos. Debe contar con los suficientes recursos para que pueda ser efectiva. Debe poder ejercer su función sin ningún tipo de limitación y para este propósito debe tener comunicación directa con todos los miembros de la organización. Debe tener libertad para expresar su opinión y revelar los hechos observados y evaluaciones a la Dirección, Alta Dirección y Consejo de Administración. Su posición y estatus en la organización deben establecerse en un documento formal que debe ser aprobado por el Consejo de Administración («Estatuto de Auditoría Interna»). Necesita disponer de un completo e ilimitado acceso a la información necesaria para realizar su trabajo, incluidas actas de los Órganos de Gobierno. Ello supone que se le proporcione de forma oportuna toda la información necesaria y que pueda revisar todas las actividades y procesos de la compañía que sean relevantes para el ejercicio de sus responsabilidades. Todas las Unidades de negocio tendrán la obligación de informar a Auditoría Interna cuando conozcan deficiencias en los controles internos, se produzcan pérdidas o existan sospechas fundadas relacionadas con irregularidades. La función de Auditoría Interna debe definir los parámetros adecuados para cumplir con esta obligación. Teniendo en cuenta el principio de proporcionalidad, CEIOPS aconseja que en grandes compañías y con perfiles de riesgo complejo se establezca un Comité de Auditoría. Debe preparar un Plan Anual de Auditoría basado en un análisis de riesgos, • • • • • • 134 teniendo en cuenta todas las actividades y el Sistema de Gobierno completo, así como los desarrollos previstos de actividades e innovaciones. Basado en este análisis de riesgos debe establecerse un plan plurianual dependiendo de la complejidad de las actividades. El Plan de Auditoría debe asegurar que todas las actividades (procesos de negocio) importantes y significativas (universo de auditoría) se revisan en un periodo razonable de tiempo (ciclo de auditoría). El Plan de Auditoría debe ser realista y detallar los recursos necesarios tanto económicos como de personas y debe remitirse para su aprobación al Consejo de Administración y/o Comité de Auditoría. Las actividades de auditoría deben ser complementadas por un adecuado seguimiento de las recomendaciones propuestas al objeto de mantener un registro de las acciones adoptadas por la Dirección para subsanar las deficiencias observadas. Las Buenas Prácticas sugieren que la función de Auditoría Interna debería emitir informes escritos y transmitirlos oportunamente a los responsables de las áreas auditadas con independencia de si se han encontrado deficiencias materiales. En todo caso, los informes se deberán emitir si se detectan debilidades en un área auditada y, si las mismas son significativas, se deberán informar al Órgano de Administración o Dirección. Debe elaborar, al menos anualmente, un informe por escrito con los principales hechos observados y remitirlo al Consejo/Comité de Auditoría. Debe informar al Consejo/Comité de Auditoría sobre el cumplimiento de los objetivos de su función, en particular del cumplimiento del Plan de Auditoría. Como parte de esta tarea de supervisión el Consejo/Comité de Auditoría debe debatir con regularidad la organización, el plan de auditoría, los recursos, los V. LA FUNCIÓN DE AUDITORÍA INTERNA reportes de actividad y el seguimiento de las recomendaciones. Es fácil reconocer que las pautas que se están marcando para establecer una función eficaz de Auditoría Interna recogen las mejores prácticas en la materia pero, como no podía ser de otra forma, no descienden al detalle de su implantación. Por otra parte, hay que reconocer que la Directiva de Solvencia II realza el rol del auditor interno en la organización y al mismo tiempo aumenta de forma considerable las responsabilidades que Auditoría Interna tendrá que asumir. En España el Código Unificado de Buen Gobierno de las entidades cotizadas, publicado por la Comisión Nacional del Mercado de Valores (CNMV) en mayo de 2006, marca una posición muy clara y refuerza el valor de Auditoría Interna al incluir al auditor interno (se entiende que al responsable de la función) entre los miembros de la Alta Dirección. «Alta Dirección: Aquellos Directivos que tengan dependencia directa del Consejo de Administración o del primer ejecutivo de la compañía y, en todo caso, el auditor interno» ción empresarial, y de habilidades de liderazgo del Director de Auditoría. Para implantar una eficaz función de Auditoría Interna es necesario definir y disponer de: • Estatuto de Auditoría Interna. • Políticas de Auditoría Interna. • Plan Anual de Auditoría Interna. • Plan Estratégico de Auditoría Interna. También puede consultarse el Marco Internacional para la Práctica Profesional de la Auditoría Interna, desarrollado por el Instituto de Auditores Internos. V.2.1. ESTATUTO DE AUDITORÍA INTERNA Este importante documento debe ser conocido por todos los directivos y empleados de la Organización y es obligación del máximo responsable de Auditoría Interna garantizar su adecuada difusión. Debe ser aprobado por el Consejo de Administración y por el Comité de Auditoría y en él, al menos, se debe establecer: • La misión, funciones y atribuciones del Área de Auditoría Interna. • La estructura organizativa de Auditoría Interna. • El marco de relaciones entre el Área de Auditoría Interna, el Comité de Auditoría, la Alta Dirección, la Dirección y el Auditor Externo. • Las referencias clave en las que se fundamenta la actuación de Auditoría Interna, como pueden ser, a título de ejemplo, el Código de Buen Gobierno de la compañía o Grupo empresarial, los Planes Estratégicos, las normas promulgadas por los Órganos Reguladores y Supervisores y el Código de Ética del Instituto de Auditores Internos. • El alcance, definiendo con precisión el ámbito de aplicación del Estatuto de Auditoría Interna. V.2. FACTORES FUNDAMENTALES PARA IMPLANTAR UNA EFICAZ FUNCIÓN DE AUDITORÍA INTERNA Para implantar una función eficaz de Auditoría Interna es necesario cumplir con los aspectos formales y legales que las normas impongan a las compañías aseguradoras pero en muchos casos ello no es suficiente. La implantación de una Auditoría Interna eficaz y de alto rendimiento, como textualmente dice la Directiva Marco de Solvencia II, requiere que la organización en su totalidad, no solo el Consejo de Administración, el Comité de Auditoría o la Alta Dirección, comprenda y valore la función de Auditoría Interna, la cual estará eficazmente implantada si la organización percibe que agrega valor. Sin embargo, alcanzar este hito requiere de tiempo, que suele ser proporcional a la complejidad de la organiza135 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... • Coordinar eficazmente la comunicación de la información entre el Consejo de Administración, a través del Comité de Auditoría, y los auditores internos y externos. • Apoyar a la organización en el cumplimiento de sus objetivos aportando profesionales en materias en las que pudiera requerir una opinión independiente o apoyo para su desarrollo. • Coordinar el trabajo de los Auditores Externos y el análisis de sus conclusiones antes de que se eleven a definitivas. • Recabar la información que sea precisa para apoyar al Comité de Auditoría. En relación con los derechos y obligaciones que se deberían definir y establecer sobresalen los siguientes: • Los derechos y obligaciones del Área de Auditoría Interna. Aunque todos los aspectos mencionados anteriormente son importantes, hay que destacar dos de ellos: a) La misión del Área de Auditoría Interna. b) Los derechos y obligaciones. En cuanto a la misión se debería empezar definiendo qué se entiende por Auditoría Interna y una buena definición puede ser la acuñada por el Institute of Internal Auditors (IIA). «La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de la organización. Ayuda a la Organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de Gestión de Riesgos, Control Interno y gobierno corporativo». Se entiende por aseguramiento todos aquellos trabajos sobre los que se provee una evaluación independiente de los procesos de Gestión de Riesgos, Control Interno y Gobierno de la organización. Por consulta se entiende todas aquellas actividades de asesoramiento y servicios relacionados cuya naturaleza y alcance se acuerda con los miembros de la organización, dirigidas a añadir valor y mejorar los procesos de negocios. Para continuar definiendo con claridad las principales funciones de Auditoría Interna y al amparo de la Directiva Marco de Solvencia II, destacan las siguientes: • Supervisar y evaluar la eficacia del Sistema de Control Interno y del Sistema de Gobierno de la Organización. • Cumplir con el Plan Anual de Auditoría Interna, detallando en cada informe las deficiencias que hayan sido detectadas y recomendando la forma de resolverlas. Realizar un seguimiento de dichas recomendaciones. • Evaluar la fiabilidad e integridad de la información contable y financiera tanto individual como, si procede, consolidada. Derechos: • • • • Auditoría Interna podrá acceder a cualquier tipo de documentación, información y/o sistema de información que considere necesario para el cumplimiento de sus funciones. Auditoría Interna dispondrá de la información de gestión, presupuestaria, financieropatrimonial, dossieres de los Consejos de Administración, etc., que con cualquier periodicidad produzca la organización. Auditoría Interna podrá recibir o solicitar la colaboración de cualquier directivo o empleado de la organización. Auditoría Interna podrá utilizar los servicios de externalización para realizar aquellos trabajos relacionados con su función que considere oportunos. Obligaciones: • 136 Los auditores internos deberán cumplir el Código de Buen Gobierno de la compañía, el Reglamento Interno de Conducta del V. LA FUNCIÓN DE AUDITORÍA INTERNA • • • Mercado de Valores, si la sociedad cotiza en Bolsa, el Código de Ética del Instituto de Auditores Internos y cualquier otra norma ética que vincule a los empleados. Los auditores internos deberán actuar con independencia de criterios y de acción respecto al resto de la organización. Los auditores internos deberán ejecutar su trabajo con la debida diligencia y competencia profesional. Los auditores internos deberán guardar la más estricta confidencialidad con res- • • • • • • • pecto a la información manejada y a las conclusiones de sus trabajos. V.2.2. POLÍTICAS DE AUDITORÍA INTERNA Es muy aconsejable que Auditoría Interna defina políticas que deberían ser aprobadas por el Consejo de Administración y el Comité de Auditoría, en su caso. Estas políticas hacen hincapié en el activo más relevante de Auditoría Interna, que son sus recursos humanos, y serían las siguientes: Selección. Formación. Plan de Carrera. Retribución. Evaluación. Retención del Talento. Inversión. nómico. Por otro lado, para que el proceso de selección sea objetivo, entre otros requisitos, se debería solicitar un informe de un Gabinete Psicológico que verifique que el candidato cumple las características personales definidas en el perfil del auditor interno. Disponer de una buena política de selección que sea objetiva y ejecutada por el Área de Recursos Humanos es una garantía para disponer de profesionales preparados. Política de Selección Debe quedar por escrito qué requisitos se deben cumplir para poder ser auditor interno con la finalidad de definir claramente las necesidades del Area. Cada organización debe establecer sus propios criterios pero es muy importante que el Área de Auditoría defina el perfil de auditor interno que quiere tener para poder afrontar con garantía los grandes retos que se le plantean al sector y a la función. En este sentido, es recomendable que la formación académica exigida al auditor no se limite exclusivamente a titulaciones en económicas o empresariales, sino que abarque otras disciplinas como pueden ser ingeniería informática, estadística, econometría, ciencias actuariales, etc., ya que el ámbito de actuación de la Auditoría Interna excede lo estrictamente eco- Política de Formación Para que los informes de Auditoría Interna sean solventes y de calidad es imprescindible que el Área de Auditoría disponga de una política de formación a corto y largo plazo. Esta política debe incluir un Plan de Formación adecuado a la cate137 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... goría profesional de los auditores internos y contemplará formación interna y externa en proporciones que pueden variar según las circunstancias. De hecho, con los continuos cambios regulatorios que se están produciendo y se van a producir en el sector asegurador, Solvencia II es uno de ellos, el Plan de Formación es una de las piezas clave que debe sustentar a la función de Auditoría Interna. Un ratio razonable de horas promedio por auditor y año dedicado a formación podría ser 140 horas, que aproximadamente supone el 8% de las horas laborales disponibles. ra pero es muy aconsejable que dicha política exista y además se recoja por escrito. Política de Retribución Muy relacionada con la anterior, la política de Retribución podría ser una parte del Plan de Carrera. Esta política es consecuencia de la distribución de los auditores internos en diferentes categorías profesionales. Debe quedar documentado cual es la retribución del auditor en sus diferentes categorías. Implantar esta política requiere de las habilidades de liderazgo del Director de Auditoría Interna para convencer a la Organización de la bondad y necesidad de la misma, siendo deseable disponer de estudios de benchmarking sobre este asunto. Política sobre Plan de Carrera Los auditores internos deben ser clasificados por categorías, las cuales deben estar muy vinculadas a sus conocimientos y responsabilidades. Para que los auditores internos tengan «certeza en su carrera» deben conocer cuáles son los criterios que Auditoría Interna tiene establecidos para que un auditor promocione. Por otra parte, también se deben detallar los criterios para que un auditor pueda salir de Auditoría Interna y promocionar a otras Áreas –normalmente de gestión– de la Organización, política que debe relacionarse con la política de Retención del Talento. Según se definan las políticas de Selección, de Carrera y de Retención del Talento, Auditoría Interna puede ser un semillero de futuros directivos de otras Áreas de la Organización, pero también se podría definir una política de selección que primase e hiciese atractiva la incorporación a Auditoría Interna de empleados con mucha experiencia en determinadas Áreas. Cada organización tendrá sus necesidades y éstas se plasmarán en su política de Selección y de Carre- Política de Evaluación La función de Auditoría Interna evalúa actividades, procedimientos, procesos, controles, sistemas de gobierno, etc., pero también se debe someter a la evaluación de los demás. En este sentido, es recomendable que se disponga de una Política de Evaluación que abarque a la actividad de Auditoría Interna en su conjunto, y en concreto: • Los Informes de Auditoría. • Los Auditores Internos. • Los Directores de Auditoría. En relación con los informes de Auditoría Interna es una buena práctica que los auditados valoren el trabajo hecho por el equipo de Auditoría Interna. Un cuestionario de evaluación podría ser el siguiente: 138 V. LA FUNCIÓN DE AUDITORÍA INTERNA CUESTIONARIO EVALUACIÓN DE INFORMES DE AUDITORÍA INTERNA Aspectos a valorar Valoración (De 0 a 5) 1. ¿Cree que el informe de auditoría, en función del alcance definido, refleja adecuadamente la situación de su Entidad/ Área? 2. ¿Cree que el trabajo realizado ha cumplido las expectativas previstas? 3. ¿Cree que la auditoría ha sido de utilidad y ayuda para su Entidad/Área? 4. ¿Cree que la auditoría se ha centrado en los aspectos más importantes de su Entidad/Área? 5. ¿Cuál es la opinión sobre la actitud del personal de Auditoría Interna que ha llevado a cabo la auditoría de su Entidad/Área? 6. ¿Cuál es su opinión sobre la cualificación del personal de Auditoría Interna que ha llevado a cabo la auditoría de su Entidad/Área? 7. ¿Cuál es la valoración global sobre el trabajo de Auditoría Interna realizado? • La capacidad de relación • Los conocimientos específicos • Habilidades • Iniciativa • Perfil personal tal y como se muestra en el siguiente cuestionario a modo de ejemplo: Los auditores internos también deben ser evaluados por sus superiores pues esta evaluación será el soporte fundamental para las promociones en la escala de categorías definidas en el Plan de Carrera. Para poder evaluar correctamente al auditor interno se deben valorar, al menos, los siguientes aspectos: CUESTIONARIO EVALUACIÓN AUDITORES INTERNOS Aspectos a valorar 1. Capacidad de Relación: • Sentido Pedagógico • Liderazgo • Colaboración • Empatía • Trabajo en equipo 2. Conocimientos específicos sobre: • El sector asegurador • La normativa relativa al puesto • Tecnología • Idiomas Valoración (De 0 a 5) 139 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... 3. Habilidades sobre: • Papeles de trabajo • Redacción de Informes • Capacidad para sintetizar y analizar • Facilidad para comunicarse • Organización 4. Iniciativa: • Afán de superación • Aporta sugerencias 5. Perfil Personal • Responsable. Es consciente de sus deberes. Responde • Se adapta con facilidad a los cambios • Autonomía en el desempeño de su trabajo • Constante • Discreto. Sigilo profesional Y por último los Directores de Auditoría también deben ser evaluados por sus subordinados. Los aspectos que deben ser valorados en un Director de Auditoría podrían ser los siguientes: CUESTIONARIO EVALUACIÓN DIRECTOR DE AUDITORÍA Aspectos a valorar Valoración (De 0 a 5) 1. Capacidad de Liderazgo y de Motivación 2. Habilidades de Comunicación 3. Empatía 4. Formación Técnica 5. Organizado y Metódico 6. Criterios para recompensar económicamente el esfuerzo individual 7. Sensibilización por la calidad en los desplazamientos 8. Sensibilización por las promociones internas 9. Sentido pedagógico. 10. Trabajo en equipo 140 V. LA FUNCIÓN DE AUDITORÍA INTERNA En definitiva, una política de evaluación siempre es saludable y ayuda a mejorar el trabajo del auditor interno sin olvidar que el Comité de Auditoría tiene encomendada en la legislación española la supervisión de la función de Auditoría Interna. Por último, es necesario indicar que este sistema de valoración interna se podría complementar con la realización de un Quality Assessment (QA) del Área de Auditoría Interna. Este proceso consiste en la revisión externa del cumplimiento por parte de la función de Auditoría Interna de los estándares definidos en las Normas para la Práctica Profesional de la Auditoría Interna, así como de otras regulaciones que afectan a la profesión. Dicho servicio es ofrecido por el Instituto de Auditores Internos y supone un análisis exhaustivo de todo el proceso de Auditoría Interna, desde las relaciones al máximo nivel (Comité de Auditoría, Presidencia, Alta Dirección,…), ubicación del Área en el organigrama y jerarquía de la misma, hasta aspectos más operativos (formato de informes, papeles de trabajo,…). Entre las ventajas que supone esta revisión se encuentran la obtención de un certificado de calidad reconocido a nivel internacional y la identificación de puntos fuertes y débiles detectados, así como la emisión de recomendaciones sobre procedimientos o políticas y sobre el funcionamiento de los profesionales de Auditoría Interna. • sional mínima que necesitará en el desarrollo de las nuevas funciones y responsabilidades que vaya a asumir. Análisis de los puestos de trabajo que mejor podría desempeñar un auditor interno al dejar Auditoría Interna. Política de Inversiones El Área de Auditoría Interna debe tener una política de Inversiones para estar a la vanguardia en tecnología, software especializado y en herramientas para acercar la función de Auditoría Interna al auditado. Asimismo, la política de inversiones, además de las adquisiciones tecnológicas, debe llevar asociada la formación de los auditores en estas nuevas herramientas informáticas, así como en todas las novedades normativas y financieras que afecten a la entidad y al mercado en el que se mueve, tema ya comentado en el apartado de la política de formación. V.2.3. PLAN ANUAL DE AUDITORÍA INTERNA Tal como se ha descrito en las páginas anteriores el Plan Anual de Auditoría debe ser realista y detallar los recursos necesarios tanto económicos como de personas y para cumplir con los objetivos de Auditoría Interna debe remitirse para su aprobación al Consejo de Administración y al Comité de Auditoría. Además, este Plan debe estar basado en un análisis de riesgos de la Entidad. Este es otro de los documentos importantes de Auditoría Interna y del que, al menos, se debe hacer un seguimiento trimestral e informar al Comité de Auditoría, si existiese, y al Consejo de Administración. Un Plan Anual de Auditoría debería incluir: • Una Memoria de Actividades del ejercicio anterior en la que se detallase: El grado del cumplimento del Plan. Las recomendaciones efectuadas por Auditoría Interna y el grado de Política de Retención del Talento Auditoría Interna es un Área a la que se suele demandar internamente profesionales para desempeñar responsabilidades en Áreas de Gestión. La formación generalista y la visión global que proporciona Auditoría Interna son factores muy valorados. Pero para no descapitalizar la función se debe tener una política de Retención del Talento, de tal forma que no haya desequilibrios en el periodo de rotación de los auditores internos. Esta política debe, al menos, definir: • Períodos mínimos de permanencia en Auditoría Interna para que el auditor alcance una madurez y experiencia profe141 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... • • implantación de las mismas. Las evaluaciones que Auditoría Interna hubiera realizado sobre el Sistema de Control Interno y el Sistema de Gobierno de la Entidad. Una liquidación del presupuesto del año. El detalle de la composición de la plantilla y su evolución durante el año comparada con el presupuesto aprobado. Una relación detallada de los Objetivos de Auditoría Interna para el año en curso en la que se detallen: Las Directrices Generales establecidas para la elaboración del Plan Anual, así como la metodología utilizada para elaborar el plan o, la parte del plan basada en riesgos. Los recursos necesarios para cumplir el Plan, es decir, presupuesto económico y plantilla. Planes de Formación para la plantilla de auditores internos. Planes de Colaboración con otras Áreas de la Organización o con Auditores Externos, tanto en la fase preliminar como en la final de la Auditoría de Cuentas Anuales. Un cuadro de distribución de tiempos en el que se detallen las horas dedicadas a: Auditorías, clasificadas por tipo de auditoría y distinguiendo también los trabajos de aseguramiento y consultoría. Colaboraciones. Formación. Seguimiento de Recomendaciones. Coordinación y Supervisión. Otras Actividades. Este cuadro de distribución de tiempos es de gran utilidad para mejorar la productividad de Auditoría Interna. Unos ratios que midan la actividad de Auditoría Interna. Estos ratios deben ser pocos y muy sencillos de calcular. Así, por ejemplo, algunos ratios podrían ser los siguientes: 1. Coste Total de Auditoría / Ingresos Totales 2. Coste de Auditoría / Gastos Totales 3. Coste de Personal Auditoría / Coste Personal Empresa 4. Coste por auditor (en valores absolutos) 5. Nº de auditores / Nº total de empleados 6. Antigüedad Media en Auditoría 7. Horas de Formación promedio por auditor 8. Coste hora Auditoría Interna Está extendida la idea de que un Plan Anual de Auditoría hay que confeccionarlo en función de los riesgos de la Entidad. Esto quiere decir que deben tener prioridad para ser auditados aquellos procesos o subprocesos de negocio que tengan más riesgo o que sean estratégicos para la organización. Siendo cierto lo anterior, es necesario determinar quién debe identificar los riesgos. Existen al respecto diferentes modelos que dependen del tipo de organización de la compañía, y sobre todo de la cultura de la empresa. Un primer modelo puede ser aquel en el que Auditoría Interna identifique los riesgos. Tiene la ventaja de la rapidez pero muchos inconvenientes, entre los que destacan que los gestores no participan en ese proceso de identificación, siendo realmente ellos quienes mejor conocen los riesgos. El otro modelo, que parece más razonable, es aquel en el que existen varias fuentes o canales identificadores de riesgos. Estos canales pueden ser los siguientes: 142 1. El Consejo de Administración y el Comité de Auditoría 2. La Alta Dirección y Direcciones 3. Área de Gestión de Riesgos 4. Auditoría Interna V. LA FUNCIÓN DE AUDITORÍA INTERNA Este modelo funcionará adecuadamente si la cultura de control o el ambiente de control son fuertes en la organización, ya que el principio sobre el que se sustenta es el siguiente: car a Auditoría Interna en la elaboración del Plan Anual. Para controlar la bondad de este modelo, Auditoría Interna debe contrastarlo con las peticiones de auditorías que le hace la Organización. No cabe la menor duda de que si este modelo funciona es el mejor ya que los gestores/auditados se sienten partícipes de él. Una representación gráfica de este modelo podría ser una pirámide dividida en Áreas que representan los canales de identificación de riesgos, y el porcentaje incluido en cada trozo de la pirámide nos indica la aportación de objetivos al Plan Anual de Auditoría. Los gestores de las Áreas, Unidades o Compañías son los más interesados en identificar los riesgos que pueden afectar al cumplimiento de sus objetivos y obligaciones y, por lo tanto, los más fieles identificadores de riesgos. Si, por el contrario, la cultura empresarial de control no es fuerte, los gestores pueden no ser sinceros en la identificación de riesgos y equivo- de Negocio. El Plan Estratégico debe tener un horizonte temporal de, al menos, tres años, periodo para el que se marcarán los objetivos de Auditoría Interna, así como las medidas necesarias para alcanzarlos. La extensión de este Plan dependerá del tamaño y complejidad de la organización pero como su propio nombre indica debe abarcar aspectos estratégicos para Auditoría Interna. Hay muchas actividades estratégicas para Auditoría Interna, desde la formación ya comentada hasta la Auditoría Informática, la tec- Si la organización no cuenta con un modelo eficaz de gestión de riesgos, Auditoría Interna debe impulsar su creación, preservando siempre su independencia y objetividad. V.2.4. PLAN ESTRATÉGICO DE AUDITORÍA INTERNA El Área de Auditoría Interna debe tener un Plan Estratégico, como el resto de Unidades o Áreas 143 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... nología y las inversiones necesarias. De este Plan Estratégico se debe hacer un seguimiento, al menos, trimestral, e informar de él al Consejo de Administración y, en su caso, al Comité de Auditoría. En cualquier caso, este documento debe incorporar las proyecciones de gastos, de ingresos si los hubiere, y de inversiones. El Área de Auditoría Interna, como se ha comentado anteriormente, debe tener una política de inversiones para estar a la vanguardia en tecnología y en software especializado. En este punto es necesario indicar que la implantación de una Auditoría Interna eficaz y eficiente requerirá disponer de herramientas informáticas de gestión integral de la función de Auditoría, que abarquen aspectos de realización de las propias auditorías y papeles de trabajo de forma automatizada, así como cuestiones de organización de departamento, gestión de recursos humanos, seguimiento de recomendaciones, etc. Asimismo, la búsqueda de la eficiencia aconseja la utilización de herramientas que acerquen la función de Auditoría Interna al auditado, de tal forma que directamente pueda acceder a través de ella a las comunicaciones y requerimientos de auditoría, informes, seguimiento de recomendaciones, etc. con su máximo responsable a la cabeza debe vender la función en la organización. Esto implica que las técnicas de marketing no deben ser ajenas a Auditoría Interna para vender tanto la función como su producto estrella que es el Informe de Auditoría Interna. Este perfil comercial es muy necesario en los equipos de Auditoría Interna modernos. Es muy recomendable explicar internamente la función de una forma muy sencilla; los consejos de Nicholas Bate en sus múltiples libros o en su blog Business of Life plus Life of Business son una excelente fuente de información que deberían analizar los Directores de Auditoría Interna y que en uno de sus recientes posts «Los siete pecados capitales de las Corporaciones» resume lo que no se debe hacer en una estrategia de venta «Hacer lo simple complejo». Como ejemplo para iniciar este proceso se podría utilizar un documento sencillo que se podría titular Objetivo de Auditoría Interna, Ocho certezas y un compromiso. V.2.5. OTROS ASPECTOS A CONSIDERAR Todo lo comentado hasta ahora (Estatuto, Políticas, Plan Anual y Plan Estratégico) es necesario para implantar una eficaz función de Auditoría Interna y que sea de alto rendimiento. Pero además, el equipo de directivos de Auditoría Interna 144 V. LA FUNCIÓN DE AUDITORÍA INTERNA Pero el hito principal se alcanza cuando el máximo responsable de Auditoría Interna de una organización tiene la certeza de que Auditoría Interna está correctamente implantada, valorada y agrega valor a la organización a la que sirve. Y esta certeza solo se puede obtener preguntando. Una empresa del sector realizó una encuesta entre más de 500 receptores diferentes de informes de Auditoría Interna con la finalidad de conocer qué percepción de Auditoría Interna tenían los auditados, encuesta que fue organizada por un departamento ajeno a Auditoría Interna. Los resultados se pueden ver en el cuadro siguiente: 145 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... rigor y seriedad y por lo tanto justificarlos. Si el análisis es razonable y razonado, el Consejo de Administración y el Comité de Auditoría los harán suyos. Aunque fijar estos límites parezca una tarea difícil, y lo es, establecidos éstos el Área de Auditoría Interna alcanzará una estabilidad que repercutirá en la calidad y productividad de su trabajo. Sin que sirva como criterio general los ratios anteriores se pueden situar en el 0,1% de los ingresos consolidados y en el 0,5% de la plantilla total de empleados, siempre que Auditoría Interna cuente con la tecnología adecuada. Otro de los aspectos que suelen ser fuente de discusión en las organizaciones es responder a la pregunta ¿De quién dependen los auditores internos? Las respuestas a la pregunta anterior pueden ser múltiples y variadas, pero las más utilizadas son las siguientes: • Doble dependencia, jerárquica y funcional, es decir, respectivamente del máximo ejecutivo de la Compañía y del Consejo de Administración o por delegación de éste, del Comité de Auditoría y del Director de Auditoría. • Exclusivamente del Comité de Auditoría, a través del Director de Auditoría. En función de la complejidad de las organizaciones, las dependencias anteriormente indicadas pueden ser objeto de numerosas matizaciones. No obstante, el espíritu que debe prevalecer siempre es que la función de Auditoría Interna debe depender de un nivel jerárquico que le permita cumplir con sus responsabilidades, tal y como se establece en la norma internacional 1110 para el ejercicio profesional de la Auditoría Interna. No obstante, la pregunta no debería ser la enunciada anteriormente, sino la siguiente: ¿Quién debe garantizar que las Áreas de Auditoría tengan equipos suficientes, formados por profesionales competentes y con independencia de criterio? La respuesta es que quien debe garantizar que las Áreas de Auditoría tengan equipos suficientes También se puede percibir que la función de Auditoría Interna tiene buena aceptación cuando la demanda de trabajos supera la capacidad de producción del equipo de Auditoría Interna. Por la alta responsabilidad que el Área de Auditoría Interna asume –y la propia Directiva de Solvencia II corrobora– los equipos de auditoría deben estar formados por personas muy cualificadas y en número suficiente para poder cumplir correctamente con la misión encomendada, aspecto que se traduce en costes y que el entorno económico actual no favorece. El asunto de los costes siempre es de gran trascendencia en las organizaciones empresariales. Por este motivo se deben establecer unos parámetros que han de servir de referencia a Auditoría Interna para elaborar su presupuesto y plantilla. Estos parámetros deben ser aprobados por el Comité de Auditoría y el Consejo de Administración, y podrían ser los siguientes: A. Un porcentaje límite del Coste Total de Auditoría Interna sobre los Ingresos Totales del Grupo Empresarial o Empresa. Coste Total de Auditoría Interna Ingresos Totales B. Un porcentaje límite del número de auditores internos sobre el número total de empleados del Grupo Empresarial o Empresa Número de Auditores Internos Número Total de empleados Lamentablemente, no se dispone de ratios de referencia globales o sectoriales; cada sociedad o grupo empresarial debe hacer su análisis y fijar los límites mencionados. Es responsabilidad del Director de Auditoría realizar estos estudios con 146 V. LA FUNCIÓN DE AUDITORÍA INTERNA con profesionales competentes y con independencia de criterio es el Consejo de Administración, a través del Comité de Auditoría como órgano delegado del mismo, y la Dirección de Auditoría con la finalidad de dar el mejor servicio a sus clientes. Las Áreas de Gestión pueden ser parte interesada y, por lo tanto, no deberían decidir cuál es el número de auditores internos necesarios, así como tampoco su cualificación profesional. El siguiente diagrama ilustra este aspecto: Se introducen dos nuevos conceptos, servicio y cliente. El Área de Auditoría presta un servicio a la organización y este debe ser de alta calidad. Por consiguiente, la organización debe preocuparse más por la calidad del servicio que de la dependencia de los auditores, si partimos del principio de que las Áreas de Negocio deben disponer de un adecuado y correcto Sistema de Control Interno y requieren que alguien –Auditoría Internales informe de aquellas posibles deficiencias o debilidades que pudieran afectar al cumplimiento de los Planes Estratégicos. Y el otro concepto es el de cliente o clientes. No se debe olvidar que Auditoría Interna vende un producto, el Informe, y se tiene que establecer quiénes son los clientes de Auditoría Interna. Existen varios modelos. Hay organizaciones en las que Auditoría Interna tiene un solo cliente: el Consejo de Administración y el Comité de Auditoría. Este modelo debe de ser minoritario y no responde a las expectativas de una Auditoría Interna moderna. Puede ser una mejor opción que Auditoría Interna defina múltiples clientes. Un cliente es el auditado, pero también son clientes la Alta Dirección y Dirección de las Sociedades, las Comisiones Ejecutivas y obviamente el Comité de Auditoría y el Consejo de Administración. Todos estos clientes tienen el derecho y la obligación de valorar –mediante el proceso de evaluación comentado anteriormente– la calidad del servicio prestado por Auditoría Interna. En el esquema siguiente se puede ver una relación de potenciales clientes de Auditoría Interna. 147 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... V.3. LOS SISTEMAS DE TECNOLOGÍA DE LA INFORMACIÓN Y AUDITORÍA INTERNA en el actual mundo tecnológico, con independencia del marco normativo de Solvencia II y se observa la tendencia de los Órganos Supervisores, tanto en el ámbito nacional como en el internacional, a emitir normas que requieren a las Entidades a aumentar los controles y supervisión de sus Sistemas de Tecnología de la Información. Solvencia II hace hincapié en la importancia de la información para ser utilizada en la gestión del negocio y en la determinación de la solvencia de la Entidad como fuente de identificación y conocimiento de los riesgos, y exigirá a las compañías que revisen el diseño, la arquitectura, captura y almacenamiento de datos y la exactitud, integridad, auditabilidad, accesibilidad, confidencialidad y diseño de la información. En este sentido la evaluación continua y el aumento de la automatización de pruebas de auditoría se prevén de gran ayuda para satisfacer estos requerimientos. Del mismo modo, el uso de nuevas herramientas para la prevención y detección de fraude ayudarán sin duda a proporcionar una información más completa sobre la fiabilidad de nuestros sistemas de información. Se precisará adquirir destreza en el uso de herramientas para Suele haber coincidencia, entre las personas que han analizado los posibles impactos de Solvencia II en las compañías aseguradoras y reaseguradoras, que éstos son múltiples y que afectan, al menos, al: Consejo de Administración al aumentar su responsabilidad. Área de inversiones Sistema de Gobierno Área de Riesgos Área de Recursos Humanos Sin embargo la unanimidad es total al considerar que el mayor impacto se va a experimentar en el Área de Tecnología de la Información, Sistemas y Datos y así lo ponen de manifiesto diferentes encuestas realizadas al sector en las que una de las principales preocupaciones radica en los Sistemas de Información. La Auditoría Interna de los Sistemas de Tecnología de la Información ya es imprescindible 148 V. LA FUNCIÓN DE AUDITORÍA INTERNA el tratamiento masivo de datos con el fin de realizar auditorías especializadas en este campo. Cobra especial importancia el establecimiento de un conjunto integral de controles que abarquen las mejores prácticas para la administración de la seguridad de la información y que aseguren la continua disponibilidad de los sistemas de información y la integridad de la información almacenada en los mismos que preserven la confidencialidad de los datos y que finalmente aseguren el cumplimiento de leyes, regulaciones, estándares y normas aplicables. Aunque no existiesen las normas y tendencias descritas anteriormente sería poco prudente que las compañías aseguradoras descuidaran la Auditoría Interna de sus Sistemas de Tecnología de la Información. Es cierto que entidades de tamaño pequeño probablemente no dispongan de los recursos suficientes para implantar su propia Auditoría Interna Informática, y en este supuesto, tendrán que subcontratar el servicio mediante fórmulas de externalización. En un reciente estudio de la firma Deloitte y de The Economist Intelligence Unit («Solvency II – Survey 2010. Counting down to the Directive») para el Reino Unido, para el 74% de las firmas encuestadas la infraestructura y calidad de los datos es una de sus primeras preocupaciones. Adicionalmente, según puede observarse en la prensa o en determinadas webs especializadas como, por ejemplo, la de la firma KPMG en el «2009 Data Loss Barometer», se está produciendo un importante aumento de incidencias, fraudes, errores, etc. causados por falta de adecuados controles en el ámbito de las Tecnologías de la Información; la misma firma, en su estudio «KPMG 2009 IT Internal Audit Survey. The Status of IT Audit in Europe, The Middle East and África», señala que la Auditoría Interna de TI juega un papel o rol integral en el mantenimiento de la disciplina y el rigor en toda la organización. En los tiempos actuales, no se puede entender una Auditoría Interna moderna sin una Auditoría de Sistemas de la Información potente que sea considerada como una parte esencial de la actividad de Auditoría Interna. Sirva como ejemplo la eva- luación del Sistema de Control Interno de una organización que no se puede hacer con rigor y seriedad si no hay una evaluación previa de los controles internos asociados a TI. La siguiente cuestión que se puede plantear es la siguiente: ¿Cuántos auditores de Sistemas de la Información necesita un departamento de auditoría? Como en situaciones anteriores, la respuesta puede ser variada dependiendo del tamaño de la organización, su complejidad y el sector, pero una referencia válida puede ser un 20% de la plantilla de auditores con las matizaciones comentadas. ¿Qué habilidades deberán tener los auditores de sistemas? No cabe duda que los cambios tecnológicos impactan en los negocios en general y en la función de Auditoría Interna en particular. Dichos cambios requerirán conocimientos de TI de los auditores internos, así como herramientas y aplicaciones más sofisticadas, para entender y auditar los riesgos tecnológicos. La comprensión de los riesgos asociados a los distintos procesos de TI será fundamental para generar un Plan de Auditoría Interna basado en todos los riesgos de la entidad, incluidos los tecnológicos. Según un estudio publicado por PriceWaterHouseCoopers «Internal Audit 2012» se prevé que habrá seis capacidades/habilidades de TI que adquirirán gran importancia en los próximos años: • Riesgos relacionados con la privacidad. • Operaciones tecnológicas exteriores. • Controles automáticos. • Sistemas Enterprise Resource Planning. • Penetraciones en las redes. • Controles de almacenamiento de datos. No debemos olvidar, que los auditores de sistemas también deben tener conocimientos amplios sobre el negocio. Los auditores de sistemas deberían llevar a cabo auditorías sobre los procesos de TI, para ello requerirán de conocimientos en los principales estándares tales como Information Techno149 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... logy Infrastructure Library (ITIL), Capability Maturity Model Integration (CMMI) y normativas de certificación como la ISO20000. Para poder integrar la Auditoría de Sistemas de la Información en las organizaciones, será fundamental trasmitir a los directivos el valor de la misma y para ello será importante el lenguaje utilizado en los informes. Sin dejar de lado la precisión, será necesario elaborar los informes utilizando un lenguaje comprensible para las áreas de negocio, donde se refleje ante todo el riesgo que supone el hecho observado para el área auditada. Por ello adquiere cada vez mayor importancia la auditoría integrada entre los auditores de negocio y de TI. El resultado final proporciona una visión completa de todo el proceso de negocio que desciende al análisis de las bases de datos, la infraestructura y las comunicaciones que lo sustentan. ¿Qué tipo de trabajos de Auditoría de Sistemas de la Información se desarrollarán? La tipología de trabajos que previsiblemente debería acometer el área de Auditoría de Sistemas de la información se recoge en el siguiente cuadro: En resumen, las organizaciones deberán estar preparadas para afrontar los requerimientos de Solvencia II, para lo cual los auditores internos tendrán que mejorar su formación técnica con el fin de poder afrontar los retos que se aproximan. de Gobierno de las Tecnologías de la Información y de forma especial y particular en la gestión de los riesgos de TI y en sus controles asociados. Un tema que no se puede descuidar es la constante formación y reciclaje de los equipos de Auditoría Interna en aspectos relacionados con TI, tanto de los auditores más especializados en auditorías de Sistemas de la Información como también de los orientados a otras actividades. Sin embargo, por la diversidad de tecnología que existe hoy o por la que pueda existir concretamente en las entidades auditadas, es importante priorizar y estar en línea con la dirección tecnológica de las compañías, de manera que la inversión en formación sea lo más rentable posible. Inclusive en la creación y valoración de una matriz de riesgos, ésta tiene que tener una doble visión, tanto de negocio como de TI, con el objetivo de ser lo más realista posible y contemplar las principales variables y riesgos de una compañía, cuya información es valiosa en el momento de priorizar los trabajos de auditoría. Solvencia II va a requerir cambios importantes en los sistemas de información y en el Sistema 150 V. LA FUNCIÓN DE AUDITORÍA INTERNA V.4. AUDITORIA INTERNA, RIESGOS Y CONTROL INTERNO. EL COMITÉ DE AUDITORÍA «Proceso efectuado por el Consejo de Administración, la Dirección y los demás empleados de la organización diseñado para proporcionar seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: • Eficacia y eficiencia de las Operaciones. • Fiabilidad de la Información Financiera. • Cumplimiento de normas aplicables a la entidad. • Salvaguarda de activos». En España, la modificación del artículo 110 del Reglamento de Ordenación y Supervisión de los Seguros Privados y la creación del artículo 110 bis sobre el Control de la Política de Inversiones ha dado un impulso importante al objetivo de establecer, documentar y mantener en todo momento procedimientos de Control Interno adecuados a la organización de las compañías aseguradoras y reaseguradoras. Por otra parte, UNESPA, patronal española del sector asegurador, también ha contribuido a la mejora del Control Interno y el Gobierno Corporativo con la publicación de Guías de Buenas Prácticas sobre estas materias que han tenido un grado de adhesión muy alto en el sector. Asimismo, la Comisión Nacional del Mercado de Valores (CNMV) ha emitido recientemente un documento sobre Control Interno sobre la Información Financiera en las sociedades cotizadas, cuyas recomendaciones pueden ser de utilidad para cualquier compañía, con independencia del sector y del tamaño. Como ya se ha mencionado anteriormente, Auditoría Interna tendrá que revisar el Control Interno y el Sistema de Gobierno, pero la Directiva de Solvencia II también establece en su artículo 45 dedicado a la Autoevaluación de Riesgos y Solvencia (Own Risk and Solvency Assessment, en adelante el ORSA), que dentro de sus sistemas de Gestión de Riesgos, todas las empresas de seguros y reaseguros realizarán una autoevaluación de riesgos y de solvencia. El artículo 45 describe el ORSA como una parte o herramienta de la Gestión de Riesgos en la que las compañías de seguros y reaseguros eva- El apartado 1 del artículo 47 de la Directiva, artículo dedicado a Auditoría Interna dice textualmente: «La función de Auditoría Interna abarcará la comprobación de la adecuación y eficacia del Sistema de Control Interno y otros elementos del Sistema de Gobierno» Previamente el artículo 46 dedicado a Control Interno establece que: 1. Las empresas de seguros y de reaseguros establecerán un sistema eficaz de Control Interno. Dicho sistema contará, como mínimo, de procedimientos administrativos y contables, de un marco de Control Interno, de mecanismos adecuados de información a todos los niveles de la empresa y de una función de comprobación de la conformidad (Cumplimiento). 2. Dicha función consistirá en asesorar al Órgano de Administración o Dirección acerca del cumplimiento de las disposiciones legales reglamentarias y administrativas adoptadas de conformidad con la presente Directiva. Comportará, asimismo, la evaluación de las posibles repercusiones de cualquier modificación del entorno legal en las operaciones de la empresa y la determinación y evaluación del riesgo legal. Desde la publicación en el año 2004 del Informe COSO II (Committee of Sponsoring Organizations of the Treadway Commission), «Enterprise Risk Management. Integrated Framework», el Control Interno forma parte de la Gestión de Riesgos, aunque la Directiva de Solvencia II trata el sistema de Control Interno en un artículo independiente a los referidos a la Gestión y Autoevaluación de Riesgos. De la atenta lectura de este artículo se desprende la importancia que la Directiva está dando al Control Interno. COSO es el marco de referencia de mayor aceptación sobre Control Interno y define el Control Interno así. 151 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... luarán sus riesgos en el corto y largo plazo y la cantidad de fondos necesarios para cubrirlos. Al mismo tiempo el ORSA representa una importante fuente de información para la Autoridad Supervisora y la compañía aseguradora está obligada a describir los procesos que contempla el ORSA. Sin entrar en otras muchas consideraciones que afectan tanto a sociedades individuales como a grupos, las compañías aseguradoras y reaseguradoras deberán tener en consideración los siguientes principios para implantar el ORSA de una forma adecuada: 1. El ORSA es responsabilidad de la compañía aseguradora y debe ser revisado periódicamente y aprobado por el Consejo de Administración. 2. El ORSA debe abarcar toda clase de riesgos que puedan tener un impacto en el cumplimiento de las obligaciones de la compañía con los asegurados. 3. El ORSA se debe fundamentar en un adecuado proceso de medida y evaluación que, a su vez, forme parte del proceso integral de toma de decisiones de la compañía. 4. El ORSA debe ser prospectivo y tomar en consideración los Planes Estratégicos de Negocio y las proyecciones económicas y financieras. 5. El proceso de ORSA y su resultado debe estar suficientemente documentado y ser evaluado internamente de forma periódica por alguien independiente (Auditoría Interna). Se puede apreciar el significativo cambio que el ORSA y Solvencia II introducen en la Gestión de Riesgos: históricamente la Gestión de Riesgos ha tenido una visión retrospectiva mientras que Solvencia II introduce una visión prospectiva en la evaluación de los riesgos. El ORSA constituye un poderoso componente del Pilar II de Solvencia II que enfatiza la Gestión de Riesgos como un procedimiento mediante el cual el Consejo de Administración pueda comprobar si dispone de un proceso de gestión del riesgo asociado a su plan estratégico y si este proceso funciona correctamente. Dicho proceso debe comenzar con una definida y explícita estrategia que identifique el riesgo asumido por la compañía, estrategia que debe permeabilizar en toda la organización. En definitiva, el ORSA debe poseer una perspectiva de la compañía que debe soportar y acompañar el Plan Estratégico de la misma. Las compañías necesitan entender apropiadamente los riesgos incluidos en su Plan Estratégico y establecer los Comités adecuados para cumplir con los roles establecidos en la estructura de gobierno. Así pues, el ORSA desempeñará un rol importante en el Sistema de Gobierno y en el proceso de toma de decisiones de las compañías aseguradoras y reaseguradoras. Este rol debería reconocer los grandes desafíos existentes para integrar la Gestión de Riesgos y sus modelos correspondientes en el marco del ORSA. Esta autoevaluación afectará a diferentes y numerosos departamentos y funciones en la organización, lo que requerirá de un amplio consenso para identificar qué es lo mínimo requerido para llevarla a cabo. No obstante, el ORSA proporciona una visión del capital económico que se le requiere a la compañía para que su negocio funcione conforme a un nivel de riesgo aceptado previamente. En la figura siguiente obtenida del Issues Paper de CEIOPS de Mayo de 2008 («Own Risk and Solvency Assessment») y del documento elaborado en 2009 por Ernst & Young «Unlocking the Mistery of the Risk Framework around ORSA», se puede ver la complejidad del ORSA y los grandes desafíos y retos que supondrá, para Auditoría Interna, evaluar el ORSA de una compañía: 152 V. LA FUNCIÓN DE AUDITORÍA INTERNA 6. 7. La posición de capital y de solvencia. Capital previsto y posición de solvencia respecto al periodo de planificación empresarial. 8. Tests de Stress y escenarios. 9. Planes de capital y liquidez según los Tests de Stress y escenarios. 10. Explicación de los Tests de Uso o descripción de cómo la actividad de Gestión de Riesgos y de capital está integrada en la actividad. 11. Posicionamiento del ORSA durante el periodo. Descripción de la valoración durante el periodo impulsado por cambios materiales o indicadores de riesgo. La Gestión de Riesgos, incluido el Control Interno, es una actividad en la que Auditoría Interna debe focalizar sus esfuerzos, tanto en el Para poder emitir el informe de revisión independiente sobre el procedimiento ORSA, Auditoría Interna tendrá que evaluar: 1. La descripción del proceso de gobierno en torno al ORSA que haya establecido la compañía. 2. La estructura legal y organizativa de la compañía y de su actividad principal así como el ambiente del mercado o mercados en los que opera la compañía. 3. La estrategia de Gestión de Riesgos como apoyo al negocio. 4. La política de riesgos así como el Sistema de Gobierno de esta actividad y el universo de riesgos. 5. Los procedimientos y procesos de la compañía para identificar, valorar, controlar y priorizar los riesgos. 153 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... proceso de autoevaluación de riesgo como en la revisión de los modelos internos, en su caso. Es muy conveniente delimitar qué puede y qué no debe hacer Auditoría Interna en esta materia para guardar el principio de independencia. El Institute of Internal Auditors (IIA) en el año 2004 publicó un documento «El Rol de la Auditoría Interna en relación con la Gestión de Riesgos» que puede ser muy instructivo en esta mate- ria. En el gráfico siguiente se detallan, en diferentes colores, los principales roles de Auditoría Interna relacionados con la Gestión de Riesgos (color verde); roles legítimos de Auditoría Interna en relación con los riesgos pero que se deben ejercer con limitaciones y siempre con la autorización del Consejo de Administración y, en su caso, del Comité de Auditoría (color azul); y aquellos roles que Auditoría Interna no debe desempeñar (color morado). Tras analizar los retos que se presentan para Auditoría Interna en la evaluación de la Gestión de Riesgos, es obvio concluir que Auditoría Interna debe nutrirse de profesionales muy cualificados en materias tales como riesgos, estadística, econometría y actuariales y debe definir una política de retención del talento y de rotación de equipos para no descapitalizar la función de Auditoría Interna; en caso contrario el Área de Auditoría no podrá cumplir con las altas responsabilidades que asumirá bajo el marco de Solvencia II. Otro tema que hay que analizar es el rol que deben desempeñar los Comités en el Sistema de Gobierno, y de forma particular el Comité de Auditoría. El propio CEIOPS en el Consultation Paper nº 33 establece que: «Teniendo en cuenta el principio de proporcionalidad, CEIOPS considera que en grandes compañías y con perfiles de riesgo complejo el establecimiento de un Comité de Auditoría será la solución adecuada». Por otra parte, entre las Buenas Prácticas de Gobierno Corporativo se recomienda el estable154 V. LA FUNCIÓN DE AUDITORÍA INTERNA cimiento de Comités de Auditoría. Así, por ejemplo, la Ley 12/2010, de 30 de junio, en su Disposición Final Cuarta modifica el apartado 4 de la Ley del Mercado de Valores relativa a las competencias mínimas del Comité de Auditoría que quedan de la siguiente forma: 1. Informar a la Junta General de Accionistas. 2. Supervisar la eficacia del Control Interno de la sociedad, la Auditoría Interna y los Sistemas de Gestión de Riesgos. 3. Supervisar el proceso de elaboración y presentación de la información financiera regulada. 4. Proponer el nombramiento de los auditores de cuentas. 5. Establecer relaciones con los auditores de cuentas para recibir información sobre aquellas cuestiones que pongan en riesgo la independencia. Deberán recibir anualmente de los auditores de cuentas la confirmación escrita de su independencia, así como información de los servicios adicionales prestados. 6. Emitir anualmente un informe en el que se expresará una opinión sobre la independencia de los auditores de cuentas. Entre estas competencias sobresale la número 2 de la relación anterior: «Supervisar la eficacia del Control Interno de la sociedad, la Auditoría Interna y los Sistemas de Gestión de Riesgos». Del mismo modo, los miembros del Comité de Auditoría deben cumplir un rol activo apoyando la independencia de Auditoría Interna y asegurando que ésta cuenta con los recursos necesarios que le permitan proporcionar un adecuado nivel y calidad en sus trabajos. 2. 3. V.5. CONCLUSIONES 1. En el marco de Solvencia II, Auditoría Interna es una función clave de Gobierno. Sus responsabilidades y su relación tanto con los Órganos Supervisores como 155 con los Auditores Externos, aumentan de forma considerable. Los estados miembros exigirán que todas las empresas de seguros y de reaseguros dispongan de un Sistema eficaz de Gobierno que garantice una gestión prudente de la actividad aseguradora y reaseguradora. El Sistema de Gobierno estará sujeto a una revisión interna periódica. Esta revisión debe recaer en Auditoría Interna con lo que esta afirmación significa en cuanto a: • Preparación técnica y gerencial de los equipos de auditoría. El perfil del auditor interno se debe ampliar a personas con titulaciones en ingeniería informática, econometría, estadística y ciencias actuariales para poder cumplir con éxito con las nuevas exigencias y responsabilidades. • La formación permanente debe ser una exigencia para Auditoría Interna. No se emitirán buenos informes de auditoría sin una plantilla excelentemente formada. • El auditor interno debe tener un enfoque y visión gerencial de su trabajo. La propia Directiva de Solvencia II dice textualmente que las empresas de seguros y de reaseguros contarán con una función efectiva de Auditoría Interna. Las empresas aseguradoras deben ser conscientes, también los Directores de Auditoría Interna, de que para implantar una función de Auditoría Interna efectiva es necesario cumplir con los aspectos formales, tales como aprobación por el Consejo y/o Comité de Auditoría del Estatuto de Auditoría, situación en el Organigrama, dependencia, etc., pero no es suficiente. Para que la implantación de una función de Auditoría Interna tenga éxito es imprescindible que dicha función sea aceptada adecuadamente en la organización. ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... 4. 5. 6. Esto requiere de tiempo y dependiendo del tamaño de la organización, a veces, mucho. La función de Auditoría Interna se tiene que ganar una posición en la Organización. Con independencia de los requisitos que establece Solvencia II hoy día no se entiende una función de Auditoría Interna que no disponga de los recursos necesarios y suficientes para auditar los sistemas y aplicaciones informáticas. Es prácticamente imposible opinar sobre el Control Interno de una compañía si no se tiene conocimiento y evidencia de este tipo de controles. La automatización de pruebas de Auditoría Interna son un elemento de gran ayuda para desarrollar la Auditora Interna de Sistemas de la Información. Adicionalmente, el artículo 47 de la Directiva dice que la función de Auditoría Interna abarca la comprobación de la adecuación y eficacia del Sistema de Control Interno y de otros elementos del Sistema de Gobierno. Aquellas organizaciones que todavía no lo hubieran hecho tendrán que desarrollar la Auditoría Interna de Sistemas de la Información bien contratando auditores internos con este perfil o bien recurriendo a la externalización. Otro de los aspectos que se deducen de la Directiva es que la función de Auditoría Interna es la única de las cuatro funciones de gobierno en la que coincide la función y departamento. Para las otras funciones, la Directiva permite que en empresas pequeñas y de menor complejidad sea posible confiar varias funciones de gobierno a una única Unidad Organizativa. Auditoría Interna es la excepción debido a la necesaria independencia con respecto a las áreas auditadas y a la imparcialidad con que debe llevar a cabo su trabajo. En definitiva, como consecuencia de todo lo anterior, será necesario desarrollar, de 7. 8. 156 forma práctica, entre otros, aspectos tales como: • El Estatuto de Auditoría. • El equipo humano de Auditoría Interna: perfiles necesarios en la actualidad para afrontar con garantía los retos de Solvencia II. • Las políticas que un departamento de auditoría debe implantar: selección, formación, retribución, plan de carrera, evaluación, retención del talento e inversión. • El Plan Anual y el Plan Estratégico de Auditoría Interna • El universo y ciclo de Auditoría Interna. • El soporte que Auditoría Interna debe dar al Consejo de Administración y al Comité de Auditoría. • La Revisión del Control Interno y la necesidad de contar con auditores informáticos para realizar con éxito esta difícil tarea. • El plan de implantación de una Auditoría Interna de Sistemas de la Información eficaz. • Cómo auditar el Sistema de Gobierno. • Clarificar la Independencia de Auditoría Interna y la dependencia de los auditores internos. • Las recomendaciones para Auditoría Interna del Código Unificado de Buen Gobierno de la C.N.M.V. Pero además de todos los aspectos a desarrollar comentados anteriormente, el equipo de directivos de Auditoría Interna, con su máximo responsable a la cabeza, debe vender la función en la organización. Esto implica que las técnicas de marketing no deben ser ajenas a Auditoría Interna para comercializar tanto la función como su producto estrella que es el Informe de Auditoría Interna. Entre las funciones de auditoría interna, se introducen dos nuevos conceptos, ser- V. LA FUNCIÓN DE AUDITORÍA INTERNA 9. vicio y cliente. El Área de Auditoría presta un servicio a la organización y este debe ser de alta calidad. Por consiguiente, la organización debe preocuparse más por la calidad del servicio que de la dependencia de los auditores; por su parte, Auditoría Interna debe de ser capaz de prestar el mejor servicio con una gestión eficiente de sus costes. La Directiva de Solvencia II también establece en su artículo 45 dedicado a la Autoevaluación de Riesgos y Solvencia (ORSA), que dentro de sus sistemas de Gestión de Riesgos, todas las empresas de seguros y reaseguros realizarán una autoevaluación de riesgos y de solvencia. Sin lugar a dudas, el papel de Auditoría Interna en el ORSA es uno de los aspectos de Solvencia II más complejos para las compañías, los Supervisores y Auditoría Interna. 10. Como consecuencia de lo anterior, no hay que esperar a que la Directiva de Solvencia II entre en vigor para adecuar –en el caso de que no lo estuviera– Auditoría Interna a las nuevas exigencias regulatorias. En el siguiente cuadro se mencionan las diez exigencias que se consideran más significativas para Auditoría Interna, así como una primera aproximación de la dificultad que puede suponer acometerlas: Con el alto desarrollo de la Auditoría Interna en España y la gran profesionalidad y cualificación de los auditores internos del sector asegurador español, el gran reto al que las Unidades o Áreas de Auditoría Interna de las compañías de seguros se van a enfrentar se culminará con éxito. 157 ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010... REFERENCIAS The Value of Internal Auditing for Stakeholders. The Institute of Internal Auditors. 2010. 20 Questions Directors Should Ask about Internal Audit. John Fraser, Hugh Lindsay. The Canadian Institute of Chartered Accounts. 2004. Declaración de Principios del IIA. Consideraciones a tener en cuenta para evaluar el externalización. The Institute of Internal Auditors. 2010. El Rol de Auditoría Interna en relación con la Gestión de Riesgos. The Institute of Internal Auditors. 2004. Marco internacional para la práctica profesional de la Auditoría Interna. Instituto de Auditores Internos de España. 2009. Strengthening Enterprise Risk Management for Strategic Advantage. COSO. (The Committee of Sponsoring Organizations of the Treadway Commission). Control Interno – Marco Integrado. Guía para la Supervisión del Sistema de Control Interno. Instituto de Auditores Internos. 2009. Consultation Paper nº 82. The methodology for equivalence assessments by CEIOPS under Solvency II. CEIOPS-CP-82/10. 27 September 2010. Consultation Paper nº 56. Draft CEIOPS Advice for Level 2 Implementing Measures on Solvency II. Articles 118 to 124. Tests and Standards for internal Model Approval. CEIOPSCP-56/09. 2 July 2009. Public Statement of Consultation Practices. CEIOPS-DOC-01/05. February 2005. The High-Level group on Financial Supervision in the EU. Chaired by Jacques de Larosière. Report. Brussels, 25 February 2009. Control Interno sobre la Información Financiera de las Sociedades Cotizadas. CNMV. Junio de 2010. BOE. Ley 12/2010, de 30 de Junio. Ley de Auditoría de Cuentas. CEIOPS’ Advice for level 2 Implementing Measures on Solvency II: System of Governance. Consultation Paper nº 33. UNESPA. Comments on Consultation 33 Draft L2 Implementing Measures on Solvency II: System of Governance. Directiva 2009/26/CE del Parlamento Europeo. Solvencia II. CEIOPS’. Consultation Paper nº 66. Insurance Risk Management: The path to Solvency II. Financial Services Authority (FSA) 2009. Solvency II. Road Map. Irish Insurance Federation. 2009. Solvency II. Unlocking the mistery of risk framework around ORSA. Ernst & Young. 2009. KPMG’s 2009 IT Internal Audit Survey. The status of IT Audit in Europe, the Middle East and Africa. Pricewaterhousecoopers. Estudio 2010 sobre el Estado de la profesión de Auditoría Interna. Internal Audit 2012. Pricewaterhousecoopers. Solvency II. Survey 2010. Counting Down to the Directive. Deloitte. 12 Myths about starting your business. Nicholas Bate. 2010. The Audit Committee. Internal Audit Oversight. The Institute of Internal Auditors. 2009. 158