La pandemia por la COVID-19 ha sido un catalizador para el sector asegurador y ha motivado la rápida adopción de cambios que estaban previstos a más largo plazo. Los nuevos riesgos asociados a las diferentes formas de entender el trabajo y el funcionamiento de las empresas han generado una serie de retos para la Auditoría Interna de estas entidades.
El último informe realizado por Deloitte para el sector ha centrado su mirada en la Auditoría Interna y, sobre todo, en los componentes normativos, tecnológicos, sociales y sostenibles.
La Directiva UE 2009/138 establece que el sistema de gobierno de una entidad aseguradora debe ser eficaz para lograr una correcta gestión de la empresa y, para ello, debe estar sujeto a supervisión. Dentro del sistema de gobernanza está incluida la función de gestión del riesgo, en donde la Auditoría Interna debe destacar al:
Todo lo anterior está recogido en el plan de finanzas sostenibles de la Unión Europea que establece las recomendaciones para promover un sector financiero más sostenible.
No obstante, se observó que faltaba una armonización eficaz de los parámetros para presentar los indicadores de sostenibilidad del sector. Por lo cual, en el Reglamento UE 2019/ 2088 sobre la divulgación de información relativa a la sostenibilidad en el sector de servicios financieros, en su acción número siete, se establecieron normas para armonizar la información que se entrega a inversores institucionales y gestores de activos.
Con estas recomendaciones, se busca:
En materia de cambio climático, la reglamentación también ha tenido avances. En 2018 la UE publicó una hoja de ruta conocida como Plan de Acción: Financiar el crecimiento sostenible, orientado a la creación de un sistema de clasificación de actividades sostenibles, de modo que se cree una taxonomía que defina la sostenibilidad en Europa- Ambiciosa y transparente.
En este sentido, la Auditoría Interna debería poner foco en la verificación de la incorporación de los factores ambientales, sociales y de buen gobierno (ASG) en los análisis y decisiones de inversión.
En materia financiera, la Auditoría Interna enfrenta dos retos claves: la valoración de provisiones técnicas y la normativa NIIF 17.
El primero de estos puntos claves, la valoración de las provisiones técnicas, sigue siendo un área de riesgo para la autoridad supervisora en el sector asegurador, por lo cual es fundamental tener un sistema de gobierno sólido para garantizar que no se incurra en prácticas que puedan suponer una evaluación errónea.
Por lo anterior, la Auditoría Interna debe tener la capacidad de actuación suficiente y de información en de cada nivel de decisión de la entidad.
En este sentido, la Resolución de 17 de diciembre de 2020 de la Dirección General de Seguros y Fondos de Pensiones incluye una guía técnica sobre los criterios de supervisión con tablas para la valoración de provisiones técnicas.
Desde Deloitte, creemos que, en materia financiera, la Auditoría Interna debería poner el foco en:
En lo referente a la NIIF 17, esta normativa relativa a los contratos de seguros implicará un cambio fundamental en la contabilidad de las provisiones técnicas para las compañías aseguradoras. Su implementación se realizará, oficialmente, a partir de enero de 2023, pero los equipos de Auditoría Interna deberían estar listos cuanto antes.
La normativa NIIF 17 supone un punto de inflexión para el sector asegurador. Con ella se establecerán los principios de registro, valoración, presentación y desglose de los contratos de seguros, de modo que la entidad ofrezca información de calidad y comparable entre compañías aseguradoras.
En este sentido, los equipos de Auditoría Interna deberán:
El sector asegurador, como casi todo el mercado, está adaptando nuevas tecnologías para mejorar el desempeño de su negocio. La Auditoría Interna, dentro del sector, no es ajena a esta tendencia, y pone el foco en la inteligencia artificial y la ciberseguridad.
Integrar soluciones basadas en inteligencia artificial o machine learning supone retos para la auditoría en seguros, como su complejidad de aplicación, la confiabilidad de los sistemas que se integran o los estándares de confianza, transparencia y diversidad que se construyen alrededor de estas tecnologías.
Ante esto, la Comisión Europea ya ha publicado una Propuesta de Reglamento sobre la IA que define un escenario acorde para el buen funcionamiento de esta tecnología en el mercado. El rol de la Auditoría Interna en este sentido cobra valor para gestionar y dar respuesta de forma holística e integrada a la implementación de estas soluciones.
En materia de ciberseguridad, la Auditoría Interna en el sector asegurador debe enfocarse en verificar procesos y responsabilidades de la Alta Dirección en ciberseguridad, establecer un programa de auditorías sobre los activos críticos de la organización y hacer pruebas de vulnerabilidad basadas en las posibles amenazas cibernéticas.
Las conductas de mercado dentro del sector asegurador están muy acotadas, la protección de los clientes y de los inversores está muy reglamentada, y esto debe verse reflejado en los servicios de Auditoría Interna.
El rol que cumplen los auditores internos en materia de conductas operativas dentro del mercado se materializa al revisar la implementación de los requerimientos del Real Decreto-ley 3/2020 del 4 de febrero de medidas urgentes en el que se incorporan al ordenamiento jurídico español las directivas de la Unión Europeas, entre ellas la de distribución de productos de seguros.
Adicionalmente, deben revisar tanto el proceso y los procedimientos asociados al lanzamiento de nuevos productos, derivados del mismo Real Decreto-ley citado anteriormente, como el grado de cumplimiento de buenas prácticas de la Unión Española de Entidades Aseguradoras y Reaseguradoras (UNESPA).
También hay que tener en cuenta la revisión de la actuación de los mediadores, en particular, de los agentes de seguros con los que la entidad aseguradora tiene acuerdos.
Obtener datos de calidad, protegerlos de posibles amenazas y gestionarlos de manera adecuada para obtener información relevante, son algunas de las prioridades que, dentro de la Auditoría Interna, cobran relevancia en los últimos años.
En materia de gobierno y calidad de los datos, el rol del equipo de Auditoría Interna debe orientarse a asegurar que las entidades disponen de un modelo de gobierno efectivo sobre los datos que recopilan.
Además, deben revisar que existen marcos de control y calidad a lo largo de la vida del dato y realizar pruebas de verificación de los mismos durante diferentes procesos dentro de la compañía.
Pero no solo debe cuidarse la calidad del dato, las aseguradoras y sus equipos de auditoría deben acatar las resoluciones dictadas por la Agencia Española de Protección de Datos (AEPD), con lo cual, el trabajo de auditoría cobra más valor, pues debe comprobar las políticas y procedimientos de privacidad en el tratamiento de datos personales.
Al mismo tiempo, debe corroborar que la trazabilidad de los consentimientos es la adecuada y que las cláusulas contienen la información adecuada.
Aunque los procesos internos de auditoría ofrezcan un blindaje sobre los datos que se usan dentro de las entidades aseguradoras, hay otro tipo de datos que llegan de terceros y precisan de una gestión del riesgo diferente, más asociada normalmente a las nuevas tecnologías.
Para profundizar en este tema hay dos guías publicadas por la European Insurance and Occupational Pensions Authority (EIOPA) que establecen los criterios para la gestión de riesgos derivados del uso de datos de terceros.
Realizar las operaciones anteriores genera un escenario óptimo para que la continuidad de negocio no se vea afectada. No obstante, la pandemia y su efecto sobre el trabajo en las compañías ha motivado la creación de estrategias de resiliencia operativa, que se reflejan en la última publicación del Digital Operational Resilience Act (DORA) de la Comisión Europea, que establece criterios con el objetivo de dar respuesta rápida a cualquier perturbación del negocio.
La Auditoría Interna destaca en este punto por su papel de verificación y ayuda en la creación de un plan de continuidad que garantice las funciones, los procesos y continuidad del negocio.
Aunque este nivel de auditoría se centre en el interior de las entidades, no debe descuidarse el escenario externo. Este es el caso del descenso del rendimiento de los instrumentos de deuda en los últimos años. La necesidad de nuevas fuentes de rentabilidad y liquidez hace que las entidades aseguradoras refuercen desde su auditoría, la verificación de la suficiencia de flujos de activos, el margen financiero ante escenarios complejos, así como la incorporación de medidas de sensibilidad dentro del Risk Apetite Statement.
Y aunque la tecnología sea el punto de mira más relevante de cara al futuro, siempre habrá talento humano gestionando los procesos. La transformación del trabajo generada por la pandemia también impacta en la Auditoría Interna, que debe buscar posicionarse en el mercado e integrarse en los procesos de capital humano para agregar valor en la gestión de este.
De cara a plantear una estrategia de Auditoría Interna teniendo en cuenta las prioridades anteriormente citadas, desde Deloitte creemos que el rol del equipo auditor debe comprender:
Contactos:
Jordi Montalbo, socio responsable del Sector Seguros
Ignacio Ortíz del Río, socio de Deloitte Legal
Miguel Ángel Miranda, socio de Human Capital
Juan Miguel Monjo, socio de Risk Advisory
Marta García, socia de Risk Advisory
Elisa de Hevia, socia de Risk Advisory
Daniel Hernández, director de Risk Advisory