Por Alberto Ferrando y Cristina de la Parra.
Directores de Solvencia II de BDO
Uno de los requisitos que exige el Regulador del mercado asegurador español, la Dirección General de Seguros y Fondos de Pensiones, en relación al sistema de Control Interno y la Gestión de Riesgos de las entidades aseguradoras, que regula en los arts. 110 y 110bis del Reglamento de Ordenación y Supervisión de los Seguros Privados (ROSSP), es el envío al Supervisor de un informe anual, firmado y por tanto bajo la responsabilidad de los miembros de su Consejo de Administración.
Analizamos a continuación los principales aspectos de los sistemas de Control Interno y de la Gestión de Riesgos, en relación al indicado informe anual, para seguir con unas indicaciones relativas a la elaboración de dicho informe y terminar con unas conclusiones.
El Control Interno y el Informe Anual
Dentro de los objetivos de la Supervisión, la eficacia de los mercados es el aspecto principal, junto con la protección de los asegurados.
Resulta que la eficacia en la gestión de los negocios aseguradores es el fin que se persigue con los sistemas de Control Interno.
Un modelo de Control Interno que cumpla con los requisitos que exige el ROSSP y esté bien implementado, será un sistema eficaz, que, a su vez, hará que el sistema de gestión de la Entidad sea eficaz:
– Directrices, apoyo e implicación directa del Consejo de Administración (art.110.1)
– Información suficiente sobre la evolución del negocio (art. 110.2)
– Control de las funciones externalizadas (art. 110.6)
– Segregación de tareas y conflicto de intereses (110.8)
– Estrategia de inversiones y su control (110bis)
– Gestión de los riesgos relevantes del negocio (110.3 y 5)
– Función de Revisión (110.3 y 4)
– Principio de proporcionalidad (110.9)
Una condición fundamental para que el sistema de Control Interno llegue a ser eficaz es que el Consejo de Administración se implique directamente en él:
De la misma manera que el Consejo de Administración es quien determina el proyecto de negocio de la Entidad, es quien debe determinar como hay que controlarlo.
La implicación del Consejo de Administración es imprescindible para que la Cultura de Control se extienda a toda la organización.
El Consejo debe requerir información periódica de los resultados del sistema de Control Interno y adoptar una actitud proactiva en su respuesta a dichos informes. (FUNCION DE CONTROL).
El Supervisor al exigir el informe anual quiere:
– Constatar la implicación del Consejo. De aquí que obligue a que sea suscrito por sus miembros. Es decir bajo su responsabilidad personal.
– Comprobar que el sistema es eficaz, que el sistema de Control existe y que la FUNCION DE CONTROL constata su evolución. De aquí que solo quiera conocer las debilidades, los principales riesgos y su mitigación para, año tras año, comprobar su evolución como prueba de su eficacia.
Para que un sistema de Control Interno pueda ser eficaz debe estar integrado en el sistema de gestión de la Entidad. Por tanto el Control Interno debe estar focalizado sobre los aspectos clave del Proyecto de Negocio que desarrolla la Entidad. En definitiva un sistema de Control Interno será eficaz en la medida que sea capaz de facilitar el cumplimiento de los Objetivos Estratégicos que tenga planteados la Entidad.
Vamos a ver un ejemplo con el Ratio Combinado, que constituye un factor clave para cualquier Proyecto de Negocio asegurador.
Como es sabido, el Ratio Combinado, es un indicador que mide la rentabilidad técnica de los seguros NO VIDA .
La formulación del Ratio Combinado es la siguiente:
Suma del ratio de siniestralidad y de gastos (internos y externos), calculados sobre primas imputadas.
Cuando el Ratio Combinado resulta desfavorable (< 100), lo que en la práctica no es tan infrecuente, la reacción intuitiva es………. “aumentar las primas”, lo que solo se puede conseguir por dos vías: Subir las tarifas, lo que nos puede “dejar fuera de mercado”
Aumentar la efectividad de nuestro sistema de distribución, lo que normalmente resulta muy difícil de conseguir.
También existe otra manera de mejorar el Ratio Combinado, sin contraindicaciones, que consiste en detectar y mitigar mediante un buen sistema de Control Interno, las deficiencias que tenga nuestro sistema de gestión, que si lo analizamos bien seguro que las tiene.
Además, la coyuntura económica actual (Decremento del PIB, Evolución negativa de los precios, Incremento de la morosidad, del fraude, Descenso de los tipos de interés, Etc.) afecta a nuestro ratio combinado y a nuestros resultados:
– Disminución en el ingreso por primas
– Incremento del fraude en siniestros,
– Incremento de la morosidad de mediadores, tomadores, reaseguradores,
– Disminución de los ingresos financieros.
– Etcétera.
La eficiencia que el mercado actualmente no nos permite deberemos encontrarla a través de nuestra gestión interna.
A través del Control Interno encontramos múltiples eventos negativos no deseados , que podemos mitigar gestionando bien los riesgos mejorando así nuestro Ratio Combinado, evitando vernos abocados a aumentar las primas, lo que en situación de crisis, como la actual, seria una medida con efectos muy negativos para nuestro Proyecto de Negocio
La Gestión de Riesgos y el Informe Anual
Desde el origen de los tiempos, la Gestión de Riesgos constituye la principal aportación de la función empresarial a todo Proyecto de Negocio. Para la Gestión de Riesgos el empresario simplemente aplicaba “sentido común” a sus conocimientos del negocio.
Actualmente, en la Sociedad de la Información, la gran cantidad de datos que el empresario tiene a su disposición permite estructurar una base más rica y sólida sobre la que aplicar dicho “sentido común”.
En tal sentido un sistema de Control Interno no es más que una metodología que permite utilizar la información relevante disponible, para gestionar los riesgos que puedan interferir el desarrollo del Proyecto de Negocio de la Entidad.
La Gestión de Riesgos no consiste pues en aplicar sofisticados métodos de cálculo, se trata simplemente de aplicar el tradicional “sentido común” a partir de una información más rica, fiable y estructurada.
Si el Control Interno ha de ser eficaz debe actuar sobre aspectos clave del Proyecto de Negocio de la Entidad. Son aspectos clave del negocio asegurador:
La cuenta técnica, el Ratio Combinado:…….Riesgo de Seguro
Los ingresos de la inversiones:………………Riesgo de Mercado
La solvencia de los deudores: ……………….Riesgo de Crédito
Existe otro aspecto clave que es la fiabilidad y la eficacia del sistema de gestión de la Entidad……………………………Riesgo Operacional (R.O.)
El R.O. impacta doblemente sobre el Proyecto de Negocio, de manera directa y a través de los otros tres.
La Gestión de Riesgos consiste en identificar, evaluar y controlar los riesgos a los que pueda estar expuesto el proyecto de negocio de la entidad.
Para “Controlar” hay que saber sobre qué elementos del sistema de gestión se puede actuar para mitigar los distintos riesgos. El punto de partida serán pues los Manuales de Procedimientos de los principales procesos del sistema de gestión de la Entidad.
La metodología para la Gestión de Riesgos es distinta del Riesgo Operacional (RO) que de los Riesgos No Operacionales (RNO).
Los RNO se hallan vinculados a los objetivos estratégicos que tenga planteados la Entidad. Para su valoración es pueden utilizar las fórmulas de cálculo de las pruebas de impacto cuantitativo de Solvencia II (QIS 4)
Con objeto de identificar los elementos sobre los que hay que actuar para mitigarlos, analizaremos los diagramas de los diferentes procesos del sistema de gestión de la Entidad. Una vez identificados dichos elementos valoraremos la medida en que la mitigación de estos riesgos es compatible con la estrategia
A partir de este punto se podrá fijar el Nivel de Tolerancia al Riesgo, que determinará el equilibrio entre estrategia y nivel de RNO y que se incluirá en el Informe Anual.
El RO no esta vinculado a la estrategia, no tiene más condicionante para su mitigación que la proporción coste/beneficio.
El sistema de gestión del RO se lleva a cabo a dos niveles:
Por Proceso:
Diagrama
Tipología
Identificación
Evaluación
Controles
Mapa de riesgos objetivo
Planes de mitigación
A nivel agregado:
Ponderación
Mapa de riesgos agregado
Objetivos
Informe Anual
Criterios para la elaboración del Informe Anual
El Informe Anual, deberá referirse a “las deficiencias significativas detectadas, sus implicaciones y las medidas para su subsanación”, para lo cual deberá analizar cuatro aspectos básicos:
Las deficiencias del propio sistema de Control Interno en el cumplimiento de los requisitos del ROSSP.
La medida en que la Dirección esta cumpliendo con el mandato que el Consejo estableció en su momento.
Los riesgos significativos detectados, su impacto y las medidas de mitigación previstas.
El nivel de éxito de las medidas de mitigación aplicadas con anterioridad.
En relación al Informe Anual hay una serie de errores típicos que habria que evitar a toda costa, y que resumimos a continuación:
Esforzarse para “salir bien en la foto”. Simplemente hay que pensar en reflejar la realidad de la Entidad y así tener recorrido de mejora de cara a los próximos informes anuales.
Tomar este informe como una continuación del antiguo MOD. 21 de las DEC que, entre otras cosas, tenía una trascendencia menor y menores consecuencias de los posibles errores para los miembros del Consejo de Administración.
Que los defectos no detectados, o no recogidos en el informe, sean identificados posteriormente por la Inspección de la DGSFP.
El informe debe recoger todos los riesgos que hayan tenido un impacto significativo en el pasado. Seria por tanto lamentable en este sentido que el informe se contradiga con las memorias o los informes de auditoria o actas de Inspección de un pasado reciente.
Repetir el mismo riesgo o el mismo nivel de riesgo en dos o más informes consecutivos. El informe debe servir sobretodo para solventar deficiencias detectadas.
Ausencia en el informe de la opinión del Consejo de Administración sobre la suficiencia y/o adecuación de la Función de Revisión (FR), tal como haya sido organizada y esté funcionando en la entidad: recursos asignados suficientes, independencia, efectividad, resultados, etc.
Que los riesgos que aparezcan en el informe sean simplemente anecdóticos. En muchos casos se nota que se ha puesto “por poner algo”. Hay que ir a los realmente importantes.
El informe anual para la DGSFP debe recoger las principales incidencias que hayan figurado en los informes periódicos, trimestrales o semestrales, que la FR habrá remitido al Consejo de Administración a lo largo del año, y que figurarán en las actas correspondientes. Hay que evitar que la participación del Consejo de Administración en estos temas se limite al informe anual, para cumplir con el art.110.7 del ROSSP.
Que, a través del informe, el sistema de Control Interno pueda aparecer como algo independiente y no integrado en el sistema de gestión de la Entidad. Es más, el sistema de Control Interno debe ser parte troncal, estar en la base, del sistema de gestión. De otra forma, entre otras cosas, no será posible hacerse aprobar un Modelo Interno, ya sea parcial o total.
Conclusiones
Implicación del Consejo y la Dirección: Evidencia material
Cultura de Control: Extendida a toda la organización de manera automática
Procedimientos de gestión documentados: Automáticamente actualizados
Eficacia del sistema de Control Interno:
– Incide sobre los Aspectos Clave del negocio
– Alinear el día a día de los principales procesos de gestión con los objetivos estratégicos
Función de Revisión: Informe Anual
Se estructura como Modelo Interno Parcial de RO de cara a Solvencia II: SCRop.