v. la funciÓn de auditorÍa interna

V.1. AUDITORÍA INTERNA EN EL MARCODE SOLVENCIA II

La Directiva conocida como Solvencia II va a pro-ducir cambios significativos en la gestión de lasempresas aseguradoras y también en la funciónde Auditoría Interna. La Sección 2 del capítuloIV de la citada Directiva, se dedica al Sistema deGobierno de las entidades Aseguradoras.

Entre los requisitos generales de Gobierno, enel artículo 41 se destacan los siguientes:

1. Los Estados miembros exigirán que todaslas empresas de seguros y de reasegurosdispongan de un Sistema eficaz deGobierno que garantice una gestión pru-dente de la actividad aseguradora y rea-seguradora.El citado sistema comprenderá, comomínimo, una estructura organizativatransparente y apropiada, con una claradistribución y una adecuada separaciónde funciones, y un sistema eficaz paragarantizar la transmisión de la informa-ción.El Sistema de Gobierno estará sujeto auna revisión interna periódica.

2. El Sistema de Gobierno será proporcionala la naturaleza, la envergadura y la com-plejidad de las operaciones de la empresade seguros o de reaseguros.

3. Las empresas de seguros y de reaseguroscontarán con una política escrita referida,al menos, a la Gestión de Riesgos, el Con-trol Interno y la Auditoría Interna, y en su

caso, la política de externalización dealguno de estos servicios.Las citadas políticas escritas se revisarán,al menos, anualmente. Estarán supedita-das a la aprobación previa del Órgano deAdministración o Dirección y se adapta-rán en función de cualquier cambio signi-ficativo en el sistema o área correspon-diente.

4. Las empresas de seguros y de reasegurosadoptarán las medidas necesarias paragarantizar la continuidad de las activida-des, incluida la elaboración de Planes deContingencia. Para conseguir tal objetivolas empresas aseguradoras y reasegurado-ras emplearán sistemas, recursos y proce-dimientos adecuados y proporcionados altamaño y complejidad de su estructuraorganizativa.

5. Las Autoridades de Supervisión contaráncon los medios, métodos y poderes opor-tunos para verificar el Sistema de Gobier-no de las empresas de seguros y de rease-guros y evaluar los riesgos emergentesidentificados por dichas empresas quepuedan afectar a su solidez financiera.

Por otra parte, el documento del Commit-tee of European Insurance and OccupationalPensions (en adelante CEIOPS) «Advice forLevel 2 Implementing Measures on Solvency II:System of Governance» (anterior ConsultationPaper nº 33), establece que el Sistema deGobierno de las empresas de seguros y de rea-seguros deberá:

131

V. LA FUNCIÓN DE AUDITORÍA INTERNA

José Manuel Muries, Director General Auditoría Interna de MAPFRE S.A.Presidente del Instituto de Auditores Internos de España

• Establecer, implementar y mantener unefectivo sistema de reporting interno ycomunicación de la información entodos los niveles relevantes de la organi-zación.

• Disponer de una estructura organizativabien definida, clara y con las líneas de res-ponsabilidad documentadas en toda laorganización.

• Asegurar que todos los miembros de laDirección y Consejos de Administracióntienen cualificación profesional adecua-da, conocimiento y experiencia en lasáreas relevantes del negocio, con la finali-dad de dar una adecuada seguridad deque colectivamente son capaces de pro-porcionar a la compañía una direcciónprudente.

• Asegurar que sus empleados tienen ladestreza, el conocimiento y la experiencianecesarios para ejercer adecuadamentelas responsabilidades que les han sidoencomendadas.

• Asegurar que todo el personal es cons-ciente de los procedimientos para llevar acabo sus responsabilidades de forma ade-cuada.

• Establecer, implementar y mantener pro-cedimientos para la toma de decisiones.

• Establecer sistemas de información quegeneren información suficiente, fiable,consistente, relevante y oportuna, relacio-nada con las líneas de negocio, los com-promisos adquiridos y los riesgos a losque la compañía está expuesta.

• Mantener una adecuada y ordenadadocumentación de sus negocios y organi-zación interna.

• Garantizar la seguridad, integridad yconfidencialidad de la información,teniendo en consideración la naturalezade la información en cuestión.

• Establecer claras líneas de reporting queaseguren la rápida transferencia de infor-mación a todas las personas que la nece-

sitan y de una forma que les permita reco-nocer su importancia.

• Establecer y mantener las funciones clavede gobierno de forma adecuada.

Asimismo, establece que las compañías deseguros y de reaseguros deberán:

• Asegurarse de que cualquier potencialconflicto de interés es identificado y queexisten los procedimientos adecuadospara resolverlos.

• Asegurarse de que las funciones clave tie-nen una apropiada posición en la estruc-tura organizativa y que los responsablesde las mismas tienen acceso directo a laAlta Dirección y al Consejo de Adminis-tración.

• Establecer con claridad los principalesobjetivos, responsabilidades, procesos yprocedimientos de reporting que seránde aplicación, los cuales deberán estar ali-neados con los Planes Estratégicos de lacompañía, en lo referente a las políticasde riesgos, Control Interno, AuditoríaInterna y, en aquellas organizaciones quesea relevante, la política de externaliza-ción.

• Identificar de forma regular los riesgospara los que es necesario tener en cuentalos planes de contingencias de aquellasáreas que puedan ser consideradas espe-cialmente vulnerables.

En este punto, es necesario resaltar que eldocumento de CEIOPS «Advice for Level 2 Imple-menting Measures on Solvency II: System of Gover-nance», al igual que el capítulo IV, sección 2 de laDirectiva de Solvencia II, establece que las fun-ciones clave consideradas críticas o relevantes enel Sistema de Gobierno son, al menos, lassiguientes:

• Gestión de Riesgos.• Cumplimiento.• Actuarial.• Auditoría Interna.

Las mencionadas funciones son, por lo tanto,consideradas esenciales, y todas las personas que

132

ESTUDIO SOBRE EL SECTOR ASEGURADOR EN ESPAÑA 2010...

sean responsables de las mismas deben ser com-petentes e idóneas y están sujetas a los requisitosde notificación al Órgano Supervisor.

Asimismo, establece que, excepto en lo que serefiere a la función de Auditoría Interna, enempresas pequeñas y de menor complejidad esposible confiar varias funciones clave de gobier-no a una única unidad organizativa. De esta afir-mación, basada en el principio de proporcionali-dad, se desprende que la función de AuditoríaInterna, con independencia del tamaño y com-plejidad de la organización, debe ser indepen-diente de las tareas de gestión y se puede afirmarque en este caso función es equivalente a depar-tamento.

Si analizamos detenidamente los requisitosgenerales del Sistema de Gobierno se observaque éste estará sujeto a una revisión internaperiódica; si la función de Auditoría Interna estácorrectamente implantada en la organización, esel departamento que reúne las característicasóptimas para realizar dicha revisión.

En relación con Auditoría Interna el artículo47 de la Directiva establece lo siguiente:

1. Las empresas de seguros y de reaseguroscontarán con una función eficaz de Audi-toría Interna.

2. La función de Auditoría Interna abarcarála comprobación de la adecuación y efica-cia del Sistema de Control Interno y deotros elementos del Sistema de Gobierno.

3. La función de Auditoría Interna deberáser objetiva e independiente de las fun-ciones operativas.

4. Las constataciones y recomendaciones deAuditoría Interna se notificarán al Órga-no de Administración o Dirección, quedeterminará qué acciones habrán deadoptarse con respecto a cada una de lasconstataciones y recomendaciones deAuditoría Interna y garantizará quedichas acciones se lleven a cabo.

En relación con las recomendaciones de Audi-toría Interna referidas en el punto anterior, pare-ce más razonable que sea la propia área auditadaquien establezca las acciones que habrán de

adoptarse, quién es el responsable de las mismasy la fecha límite de implantación; es difícil que,en la mayoría de los casos, el Órgano de Admi-nistración pueda determinar las acciones concre-tas para implantar una recomendación de Audi-toría Interna. Es preferible, y más práctico, quetras cada informe de Auditoría Interna se emitaun documento denominado Plan de Accióncorrespondiente a dicha auditoría en el que elárea auditada establezca:

• Las acciones a adoptar para subsanar lasincidencias puestas de manifiesto porAuditoría Interna.

• Quién es el responsable de su implanta-ción.

• La fecha límite en la que la recomenda-ción esté implantada.

En la elaboración de este Plan de Acción,Auditoría Interna puede aportar también suexperiencia y conocimiento, sin embargo, dadoel carácter no ejecutivo de la función, será el áreaauditada la que determine finalmente las medi-das a implementar.

Auditoría Interna debe hacer un seguimientode cada Plan de Acción e informar al Órgano deAdministración y al Comité de Auditoría, si exis-tiese.

El mencionado documento de CEIOPS «Advi-ce for Level 2 Implementing Measures on Solvency II:System of Governance», establece lo siguiente conrespecto a la función de Auditoría Interna:

• Es una función independiente en la orga-nización que examina y evalúa el funcio-namiento de los controles internos y detodos los demás elementos del Sistema deGobierno, así como la adecuación de lasactividades a las estrategias, políticas,procesos y procedimientos de reporting.

• Necesita ser independiente de las activi-dades auditadas y llevar a cabo su trabajocon imparcialidad. El principio de inde-pendencia implica que la función deAuditoría Interna debe ser supervisadaúnicamente por el Consejo de Adminis-tración o el Comité de Auditoría comoórgano delegado del mismo. Al mismo


133

tiempo, debe asegurarse que la funciónde Auditoría Interna no se vea sometida ainstrucciones del Órgano de Administra-ción o Dirección durante el transcurso delos trabajos de auditoría y cuando estáevaluando y reportando los resultados delos mismos.

• Debe contar con los suficientes recursospara que pueda ser efectiva.

• Debe poder ejercer su función sin ningúntipo de limitación y para este propósitodebe tener comunicación directa contodos los miembros de la organización.Debe tener libertad para expresar su opi-nión y revelar los hechos observados yevaluaciones a la Dirección, Alta Direc-ción y Consejo de Administración.

• Su posición y estatus en la organizacióndeben establecerse en un documento for-mal que debe ser aprobado por el Conse-jo de Administración («Estatuto de Audi-toría Interna»).

• Necesita disponer de un completo e ili-mitado acceso a la información necesariapara realizar su trabajo, incluidas actas delos Órganos de Gobierno. Ello suponeque se le proporcione de forma oportunatoda la información necesaria y quepueda revisar todas las actividades y pro-cesos de la compañía que sean relevantespara el ejercicio de sus responsabilidades.

• Todas las Unidades de negocio tendrán laobligación de informar a Auditoría Internacuando conozcan deficiencias en los contro-les internos, se produzcan pérdidas o exis-tan sospechas fundadas relacionadas conirregularidades. La función de AuditoríaInterna debe definir los parámetros ade-cuados para cumplir con esta obligación.

• Teniendo en cuenta el principio de pro-porcionalidad, CEIOPS aconseja que engrandes compañías y con perfiles de ries-go complejo se establezca un Comité deAuditoría.

• Debe preparar un Plan Anual de Audito-ría basado en un análisis de riesgos,

teniendo en cuenta todas las actividades yel Sistema de Gobierno completo, asícomo los desarrollos previstos de activi-dades e innovaciones. Basado en esteanálisis de riesgos debe establecerse unplan plurianual dependiendo de la com-plejidad de las actividades.

• El Plan de Auditoría debe asegurar quetodas las actividades (procesos de nego-cio) importantes y significativas (universode auditoría) se revisan en un periodorazonable de tiempo (ciclo de auditoría).

• El Plan de Auditoría debe ser realista ydetallar los recursos necesarios tanto eco-nómicos como de personas y debe remi-tirse para su aprobación al Consejo deAdministración y/o Comité de Auditoría.

• Las actividades de auditoría deben sercomplementadas por un adecuado segui-miento de las recomendaciones propues-tas al objeto de mantener un registro delas acciones adoptadas por la Direcciónpara subsanar las deficiencias observadas.

• Las Buenas Prácticas sugieren que la fun-ción de Auditoría Interna debería emitirinformes escritos y transmitirlos oportu-namente a los responsables de las áreasauditadas con independencia de si se hanencontrado deficiencias materiales. Entodo caso, los informes se deberán emitirsi se detectan debilidades en un áreaauditada y, si las mismas son significati-vas, se deberán informar al Órgano deAdministración o Dirección.

• Debe elaborar, al menos anualmente, uninforme por escrito con los principaleshechos observados y remitirlo al Conse-jo/Comité de Auditoría.

• Debe informar al Consejo/Comité deAuditoría sobre el cumplimiento de losobjetivos de su función, en particular delcumplimiento del Plan de Auditoría.Como parte de esta tarea de supervisiónel Consejo/Comité de Auditoría debedebatir con regularidad la organización,el plan de auditoría, los recursos, los

134


reportes de actividad y el seguimiento delas recomendaciones.

Es fácil reconocer que las pautas que se estánmarcando para establecer una función eficaz deAuditoría Interna recogen las mejores prácticasen la materia pero, como no podía ser de otraforma, no descienden al detalle de su implanta-ción. Por otra parte, hay que reconocer que laDirectiva de Solvencia II realza el rol del audi-tor interno en la organización y al mismo tiem-po aumenta de forma considerable las respon-sabilidades que Auditoría Interna tendrá queasumir.

En España el Código Unificado de BuenGobierno de las entidades cotizadas, publicadopor la Comisión Nacional del Mercado de Valo-res (CNMV) en mayo de 2006, marca una posi-ción muy clara y refuerza el valor de AuditoríaInterna al incluir al auditor interno (se entiendeque al responsable de la función) entre losmiembros de la Alta Dirección.

«Alta Dirección: Aquellos Directivos que ten-gan dependencia directa del Consejo de Admi-nistración o del primer ejecutivo de la compañíay, en todo caso, el auditor interno»

V.2. FACTORES FUNDAMENTALES PARAIMPLANTAR UNA EFICAZ FUNCIÓNDE AUDITORÍA INTERNA

Para implantar una función eficaz de AuditoríaInterna es necesario cumplir con los aspectos for-males y legales que las normas impongan a lascompañías aseguradoras pero en muchos casosello no es suficiente. La implantación de unaAuditoría Interna eficaz y de alto rendimiento,como textualmente dice la Directiva Marco deSolvencia II, requiere que la organización en sutotalidad, no solo el Consejo de Administración,el Comité de Auditoría o la Alta Dirección, com-prenda y valore la función de Auditoría Interna,la cual estará eficazmente implantada si la orga-nización percibe que agrega valor. Sin embargo,alcanzar este hito requiere de tiempo, que sueleser proporcional a la complejidad de la organiza-

ción empresarial, y de habilidades de liderazgodel Director de Auditoría.

Para implantar una eficaz función de Audito-ría Interna es necesario definir y disponer de:

• Estatuto de Auditoría Interna.• Políticas de Auditoría Interna.• Plan Anual de Auditoría Interna.• Plan Estratégico de Auditoría Interna.También puede consultarse el Marco Interna-

cional para la Práctica Profesional de la AuditoríaInterna, desarrollado por el Instituto de Audito-res Internos.

V.2.1. ESTATUTO DE AUDITORÍAINTERNA

Este importante documento debe ser conocidopor todos los directivos y empleados de la Orga-nización y es obligación del máximo responsablede Auditoría Interna garantizar su adecuadadifusión.

Debe ser aprobado por el Consejo de Admi-nistración y por el Comité de Auditoría y en él, almenos, se debe establecer:

• La misión, funciones y atribuciones delÁrea de Auditoría Interna.

• La estructura organizativa de AuditoríaInterna.

• El marco de relaciones entre el Área deAuditoría Interna, el Comité de Audito-ría, la Alta Dirección, la Dirección y elAuditor Externo.

• Las referencias clave en las que se funda-menta la actuación de Auditoría Interna,como pueden ser, a título de ejemplo, elCódigo de Buen Gobierno de la compa-ñía o Grupo empresarial, los PlanesEstratégicos, las normas promulgadas porlos Órganos Reguladores y Supervisores yel Código de Ética del Instituto de Audi-tores Internos.

• El alcance, definiendo con precisión elámbito de aplicación del Estatuto deAuditoría Interna.


135

• Los derechos y obligaciones del Área deAuditoría Interna.

Aunque todos los aspectos mencionados ante-riormente son importantes, hay que destacar dosde ellos:

a) La misión del Área de Auditoría Interna.b) Los derechos y obligaciones.En cuanto a la misión se debería empezar

definiendo qué se entiende por Auditoría Inter-na y una buena definición puede ser la acuñadapor el Institute of Internal Auditors (IIA).

«La Auditoría Interna es una actividad indepen-diente y objetiva de aseguramiento y consulta,concebida para agregar valor y mejorar las ope-raciones de la organización. Ayuda a la Organi-zación a cumplir sus objetivos aportando un enfo-que sistemático y disciplinado para evaluar ymejorar la eficacia de los procesos de Gestión deRiesgos, Control Interno y gobierno corporativo».

Se entiende por aseguramiento todos aquellostrabajos sobre los que se provee una evaluaciónindependiente de los procesos de Gestión deRiesgos, Control Interno y Gobierno de la orga-nización.

Por consulta se entiende todas aquellas activi-dades de asesoramiento y servicios relacionadoscuya naturaleza y alcance se acuerda con losmiembros de la organización, dirigidas a añadirvalor y mejorar los procesos de negocios.

Para continuar definiendo con claridad lasprincipales funciones de Auditoría Interna y alamparo de la Directiva Marco de Solvencia II,destacan las siguientes:

• Supervisar y evaluar la eficacia del Siste-ma de Control Interno y del Sistema deGobierno de la Organización.

• Cumplir con el Plan Anual de AuditoríaInterna, detallando en cada informe lasdeficiencias que hayan sido detectadas yrecomendando la forma de resolverlas.Realizar un seguimiento de dichas reco-mendaciones.

• Evaluar la fiabilidad e integridad de lainformación contable y financiera tantoindividual como, si procede, consolidada.

• Coordinar eficazmente la comunicaciónde la información entre el Consejo deAdministración, a través del Comité deAuditoría, y los auditores internos yexternos.

• Apoyar a la organización en el cumpli-miento de sus objetivos aportando profe-sionales en materias en las que pudierarequerir una opinión independiente oapoyo para su desarrollo.

• Coordinar el trabajo de los AuditoresExternos y el análisis de sus conclusionesantes de que se eleven a definitivas.

• Recabar la información que sea precisapara apoyar al Comité de Auditoría.

En relación con los derechos y obligacionesque se deberían definir y establecer sobresalenlos siguientes:

Derechos:

• Auditoría Interna podrá acceder a cual-quier tipo de documentación, informa-ción y/o sistema de información que con-sidere necesario para el cumplimiento desus funciones.

• Auditoría Interna dispondrá de la informa-ción de gestión, presupuestaria, financiero-patrimonial, dossieres de los Consejos deAdministración, etc., que con cualquierperiodicidad produzca la organización.

• Auditoría Interna podrá recibir o solicitarla colaboración de cualquier directivo oempleado de la organización.

• Auditoría Interna podrá utilizar los servi-cios de externalización para realizaraquellos trabajos relacionados con su fun-ción que considere oportunos.

Obligaciones:

• Los auditores internos deberán cumplir elCódigo de Buen Gobierno de la compañía,el Reglamento Interno de Conducta del

136


Mercado de Valores, si la sociedad cotizaen Bolsa, el Código de Ética del Institutode Auditores Internos y cualquier otranorma ética que vincule a los empleados.

• Los auditores internos deberán actuarcon independencia de criterios y deacción respecto al resto de la organiza-ción.

• Los auditores internos deberán ejecutarsu trabajo con la debida diligencia y com-petencia profesional.

• Los auditores internos deberán guardarla más estricta confidencialidad con res-

pecto a la información manejada y a lasconclusiones de sus trabajos.

V.2.2. POLÍTICAS DE AUDITORÍA INTERNA

Es muy aconsejable que Auditoría Interna defi-na políticas que deberían ser aprobadas por elConsejo de Administración y el Comité deAuditoría, en su caso. Estas políticas hacen hin-capié en el activo más relevante de AuditoríaInterna, que son sus recursos humanos, y seríanlas siguientes:


137

• Selección.• Formación.• Plan de Carrera.• Retribución.• Evaluación.• Retención del Talento.• Inversión.

Política de Selección

Debe quedar por escrito qué requisitos se debencumplir para poder ser auditor interno con lafinalidad de definir claramente las necesidadesdel Area. Cada organización debe establecer suspropios criterios pero es muy importante que elÁrea de Auditoría defina el perfil de auditorinterno que quiere tener para poder afrontar congarantía los grandes retos que se le plantean alsector y a la función. En este sentido, es reco-mendable que la formación académica exigida alauditor no se limite exclusivamente a titulacionesen económicas o empresariales, sino que abarqueotras disciplinas como pueden ser ingenieríainformática, estadística, econometría, cienciasactuariales, etc., ya que el ámbito de actuación dela Auditoría Interna excede lo estrictamente eco-

nómico. Por otro lado, para que el proceso deselección sea objetivo, entre otros requisitos, sedebería solicitar un informe de un Gabinete Psi-cológico que verifique que el candidato cumplelas características personales definidas en el per-fil del auditor interno. Disponer de una buenapolítica de selección que sea objetiva y ejecutadapor el Área de Recursos Humanos es una garan-tía para disponer de profesionales preparados.

Política de Formación

Para que los informes de Auditoría Interna seansolventes y de calidad es imprescindible que elÁrea de Auditoría disponga de una política de for-mación a corto y largo plazo. Esta política debeincluir un Plan de Formación adecuado a la cate-

goría profesional de los auditores internos y con-templará formación interna y externa en propor-ciones que pueden variar según las circunstancias.De hecho, con los continuos cambios regulatoriosque se están produciendo y se van a producir en elsector asegurador, Solvencia II es uno de ellos, elPlan de Formación es una de las piezas clave quedebe sustentar a la función de Auditoría Interna.Un ratio razonable de horas promedio por audi-tor y año dedicado a formación podría ser 140horas, que aproximadamente supone el 8% de lashoras laborales disponibles.

Política sobre Plan de Carrera

Los auditores internos deben ser clasificados porcategorías, las cuales deben estar muy vinculadasa sus conocimientos y responsabilidades. Paraque los auditores internos tengan «certeza en sucarrera» deben conocer cuáles son los criteriosque Auditoría Interna tiene establecidos paraque un auditor promocione.

Por otra parte, también se deben detallar loscriterios para que un auditor pueda salir deAuditoría Interna y promocionar a otras Áreas–normalmente de gestión– de la Organización,política que debe relacionarse con la política deRetención del Talento.

Según se definan las políticas de Selección, deCarrera y de Retención del Talento, AuditoríaInterna puede ser un semillero de futuros direc-tivos de otras Áreas de la Organización, perotambién se podría definir una política de selec-ción que primase e hiciese atractiva la incorpora-ción a Auditoría Interna de empleados conmucha experiencia en determinadas Áreas. Cadaorganización tendrá sus necesidades y éstas seplasmarán en su política de Selección y de Carre-

ra pero es muy aconsejable que dicha políticaexista y además se recoja por escrito.

Política de Retribución

Muy relacionada con la anterior, la política deRetribución podría ser una parte del Plan deCarrera. Esta política es consecuencia de la dis-tribución de los auditores internos en diferentescategorías profesionales. Debe quedar documen-tado cual es la retribución del auditor en sus dife-rentes categorías. Implantar esta política requie-re de las habilidades de liderazgo del Director deAuditoría Interna para convencer a la Organiza-ción de la bondad y necesidad de la misma, sien-do deseable disponer de estudios de benchmar-king sobre este asunto.

Política de Evaluación

La función de Auditoría Interna evalúa activida-des, procedimientos, procesos, controles, siste-mas de gobierno, etc., pero también se debesometer a la evaluación de los demás. En estesentido, es recomendable que se disponga de unaPolítica de Evaluación que abarque a la actividadde Auditoría Interna en su conjunto, y en con-creto:

• Los Informes de Auditoría.• Los Auditores Internos.• Los Directores de Auditoría.En relación con los informes de Auditoría

Interna es una buena práctica que los auditadosvaloren el trabajo hecho por el equipo de Audi-toría Interna.

Un cuestionario de evaluación podría ser elsiguiente:

138


Los auditores internos también deben ser eva-luados por sus superiores pues esta evaluaciónserá el soporte fundamental para las promocio-nes en la escala de categorías definidas en el Plande Carrera. Para poder evaluar correctamente alauditor interno se deben valorar, al menos, lossiguientes aspectos:

• La capacidad de relación• Los conocimientos específicos• Habilidades• Iniciativa• Perfil personaltal y como se muestra en el siguiente cuestio-nario a modo de ejemplo:


139

CUESTIONARIO EVALUACIÓN DE INFORMES DE AUDITORÍA INTERNA

Aspectos a valorar Valoración(De 0 a 5)

1. ¿Cree que el informe de auditoría, en función del alcancedefinido, refleja adecuadamente la situación de su Entidad/Área?

2. ¿Cree que el trabajo realizado ha cumplido las expectativasprevistas?

3. ¿Cree que la auditoría ha sido de utilidad y ayuda para suEntidad/Área?

4. ¿Cree que la auditoría se ha centrado en los aspectos másimportantes de su Entidad/Área?

5. ¿Cuál es la opinión sobre la actitud del personal de AuditoríaInterna que ha llevado a cabo la auditoría de su Entidad/Área?

6. ¿Cuál es su opinión sobre la cualificación del personal de AuditoríaInterna que ha llevado a cabo la auditoría de su Entidad/Área?

7. ¿Cuál es la valoración global sobre el trabajo de AuditoríaInterna realizado?

CUESTIONARIO EVALUACIÓN AUDITORES INTERNOS


1. Capacidad de Relación:• Sentido Pedagógico• Liderazgo• Colaboración• Empatía• Trabajo en equipo

2. Conocimientos específicos sobre:• El sector asegurador• La normativa relativa al puesto• Tecnología• Idiomas

Y por último los Directores de Auditoría tam-bién deben ser evaluados por sus subordinados.Los aspectos que deben ser valorados en unDirector de Auditoría podrían ser los siguientes:

140


3. Habilidades sobre:• Papeles de trabajo• Redacción de Informes• Capacidad para sintetizar y analizar• Facilidad para comunicarse• Organización

4. Iniciativa:• Afán de superación• Aporta sugerencias

5. Perfil Personal• Responsable. Es consciente de sus deberes. Responde• Se adapta con facilidad a los cambios• Autonomía en el desempeño de su trabajo• Constante• Discreto. Sigilo profesional

CUESTIONARIO EVALUACIÓN DIRECTOR DE AUDITORÍA


1. Capacidad de Liderazgo y de Motivación

2. Habilidades de Comunicación

3. Empatía

4. Formación Técnica

5. Organizado y Metódico

6. Criterios para recompensar económicamente el esfuerzo individual

7. Sensibilización por la calidad en los desplazamientos

8. Sensibilización por las promociones internas

9. Sentido pedagógico.

10. Trabajo en equipo

En definitiva, una política de evaluación siem-pre es saludable y ayuda a mejorar el trabajo delauditor interno sin olvidar que el Comité deAuditoría tiene encomendada en la legislaciónespañola la supervisión de la función de Audito-ría Interna.

Por último, es necesario indicar que este siste-ma de valoración interna se podría complemen-tar con la realización de un Quality Assessment(QA) del Área de Auditoría Interna. Este procesoconsiste en la revisión externa del cumplimientopor parte de la función de Auditoría Interna delos estándares definidos en las Normas para laPráctica Profesional de la Auditoría Interna, asícomo de otras regulaciones que afectan a la pro-fesión. Dicho servicio es ofrecido por el Institutode Auditores Internos y supone un análisisexhaustivo de todo el proceso de Auditoría Inter-na, desde las relaciones al máximo nivel (Comitéde Auditoría, Presidencia, Alta Dirección,…),ubicación del Área en el organigrama y jerarquíade la misma, hasta aspectos más operativos (for-mato de informes, papeles de trabajo,…). Entrelas ventajas que supone esta revisión se encuen-tran la obtención de un certificado de calidadreconocido a nivel internacional y la identifica-ción de puntos fuertes y débiles detectados, asícomo la emisión de recomendaciones sobre pro-cedimientos o políticas y sobre el funcionamien-to de los profesionales de Auditoría Interna.

Política de Retención del Talento

Auditoría Interna es un Área a la que se sueledemandar internamente profesionales paradesempeñar responsabilidades en Áreas de Ges-tión. La formación generalista y la visión globalque proporciona Auditoría Interna son factoresmuy valorados. Pero para no descapitalizar lafunción se debe tener una política de Retencióndel Talento, de tal forma que no haya desequili-brios en el periodo de rotación de los auditoresinternos. Esta política debe, al menos, definir:

• Períodos mínimos de permanencia enAuditoría Interna para que el auditoralcance una madurez y experiencia profe-

sional mínima que necesitará en el desarro-llo de las nuevas funciones y responsabili-dades que vaya a asumir.

• Análisis de los puestos de trabajo quemejor podría desempeñar un auditorinterno al dejar Auditoría Interna.

Política de Inversiones

El Área de Auditoría Interna debe tener una polí-tica de Inversiones para estar a la vanguardia entecnología, software especializado y en herra-mientas para acercar la función de AuditoríaInterna al auditado. Asimismo, la política deinversiones, además de las adquisiciones tecnoló-gicas, debe llevar asociada la formación de losauditores en estas nuevas herramientas informá-ticas, así como en todas las novedades normativasy financieras que afecten a la entidad y al merca-do en el que se mueve, tema ya comentado en elapartado de la política de formación.

V.2.3. PLAN ANUAL DE AUDITORÍA INTERNA

Tal como se ha descrito en las páginas anterioresel Plan Anual de Auditoría debe ser realista ydetallar los recursos necesarios tanto económicoscomo de personas y para cumplir con los objeti-vos de Auditoría Interna debe remitirse para suaprobación al Consejo de Administración y alComité de Auditoría. Además, este Plan debeestar basado en un análisis de riesgos de la Enti-dad.

Este es otro de los documentos importantesde Auditoría Interna y del que, al menos, se debehacer un seguimiento trimestral e informar alComité de Auditoría, si existiese, y al Consejo deAdministración.

Un Plan Anual de Auditoría debería incluir:• Una Memoria de Actividades del ejercicio

anterior en la que se detallase:El grado del cumplimento del Plan.Las recomendaciones efectuadas porAuditoría Interna y el grado de


141

implantación de las mismas.Las evaluaciones que Auditoría Inter-na hubiera realizado sobre el Sistemade Control Interno y el Sistema deGobierno de la Entidad.Una liquidación del presupuesto delaño.El detalle de la composición de laplantilla y su evolución durante el añocomparada con el presupuesto apro-bado.

• Una relación detallada de los Objetivosde Auditoría Interna para el año en cursoen la que se detallen:

Las Directrices Generales establecidaspara la elaboración del Plan Anual, asícomo la metodología utilizada paraelaborar el plan o, la parte del planbasada en riesgos.Los recursos necesarios para cumplirel Plan, es decir, presupuesto económi-co y plantilla.Planes de Formación para la plantillade auditores internos.Planes de Colaboración con otrasÁreas de la Organización o con Audi-tores Externos, tanto en la fase preli-minar como en la final de la Auditoríade Cuentas Anuales.Un cuadro de distribución de tiemposen el que se detallen las horas dedica-das a:

Auditorías, clasificadas por tipo deauditoría y distinguiendo tambiénlos trabajos de aseguramiento yconsultoría.Colaboraciones.Formación.Seguimiento de Recomendaciones.Coordinación y Supervisión.Otras Actividades.

Este cuadro de distribución de tiem-pos es de gran utilidad para mejorar laproductividad de Auditoría Interna.

• Unos ratios que midan la actividad deAuditoría Interna. Estos ratios deben serpocos y muy sencillos de calcular.Así, por ejemplo, algunos ratios podríanser los siguientes:

1. Coste Total de Auditoría / IngresosTotales

2. Coste de Auditoría / Gastos Totales3. Coste de Personal Auditoría / Coste Per-

sonal Empresa4. Coste por auditor (en valores absolutos)5. Nº de auditores / Nº total de empleados6. Antigüedad Media en Auditoría7. Horas de Formación promedio por

auditor8. Coste hora Auditoría InternaEstá extendida la idea de que un Plan Anual

de Auditoría hay que confeccionarlo en funciónde los riesgos de la Entidad. Esto quiere decirque deben tener prioridad para ser auditadosaquellos procesos o subprocesos de negocio quetengan más riesgo o que sean estratégicos para laorganización. Siendo cierto lo anterior, es nece-sario determinar quién debe identificar los ries-gos. Existen al respecto diferentes modelos quedependen del tipo de organización de la compa-ñía, y sobre todo de la cultura de la empresa.

Un primer modelo puede ser aquel en el queAuditoría Interna identifique los riesgos. Tiene laventaja de la rapidez pero muchos inconvenien-tes, entre los que destacan que los gestores noparticipan en ese proceso de identificación, sien-do realmente ellos quienes mejor conocen losriesgos.

El otro modelo, que parece más razonable, esaquel en el que existen varias fuentes o canalesidentificadores de riesgos. Estos canales puedenser los siguientes:

1. El Consejo de Administración y el Comi-té de Auditoría

2. La Alta Dirección y Direcciones3. Área de Gestión de Riesgos4. Auditoría Interna

142


Este modelo funcionará adecuadamente si lacultura de control o el ambiente de control sonfuertes en la organización, ya que el principiosobre el que se sustenta es el siguiente:

Los gestores de las Áreas, Unidades o Compañíasson los más interesados en identificar los riesgosque pueden afectar al cumplimiento de sus obje-tivos y obligaciones y, por lo tanto, los más fielesidentificadores de riesgos.

Si, por el contrario, la cultura empresarial decontrol no es fuerte, los gestores pueden no sersinceros en la identificación de riesgos y equivo-

car a Auditoría Interna en la elaboración del PlanAnual.

Para controlar la bondad de este modelo, Audi-toría Interna debe contrastarlo con las peticionesde auditorías que le hace la Organización. No cabela menor duda de que si este modelo funciona esel mejor ya que los gestores/auditados se sientenpartícipes de él. Una representación gráfica de estemodelo podría ser una pirámide dividida en Áreasque representan los canales de identificación deriesgos, y el porcentaje incluido en cada trozo de lapirámide nos indica la aportación de objetivos alPlan Anual de Auditoría.


143

Si la organización no cuenta con un modeloeficaz de gestión de riesgos, Auditoría Internadebe impulsar su creación, preservando siempresu independencia y objetividad.

V.2.4. PLAN ESTRATÉGICO DE AUDITORÍAINTERNA

El Área de Auditoría Interna debe tener un PlanEstratégico, como el resto de Unidades o Áreas

de Negocio. El Plan Estratégico debe tener unhorizonte temporal de, al menos, tres años,periodo para el que se marcarán los objetivos deAuditoría Interna, así como las medidas necesa-rias para alcanzarlos. La extensión de este Plandependerá del tamaño y complejidad de la orga-nización pero como su propio nombre indicadebe abarcar aspectos estratégicos para AuditoríaInterna. Hay muchas actividades estratégicaspara Auditoría Interna, desde la formación yacomentada hasta la Auditoría Informática, la tec-

nología y las inversiones necesarias. De este PlanEstratégico se debe hacer un seguimiento, almenos, trimestral, e informar de él al Consejo deAdministración y, en su caso, al Comité de Audi-toría.

En cualquier caso, este documento debeincorporar las proyecciones de gastos, de ingre-sos si los hubiere, y de inversiones. El Área deAuditoría Interna, como se ha comentado ante-riormente, debe tener una política de inversionespara estar a la vanguardia en tecnología y ensoftware especializado.

En este punto es necesario indicar que laimplantación de una Auditoría Interna eficaz yeficiente requerirá disponer de herramientasinformáticas de gestión integral de la funciónde Auditoría, que abarquen aspectos de realiza-ción de las propias auditorías y papeles de tra-bajo de forma automatizada, así como cuestio-nes de organización de departamento, gestiónde recursos humanos, seguimiento de recomen-daciones, etc.

Asimismo, la búsqueda de la eficiencia acon-seja la utilización de herramientas que acerquenla función de Auditoría Interna al auditado, detal forma que directamente pueda acceder a tra-vés de ella a las comunicaciones y requerimientosde auditoría, informes, seguimiento de recomen-daciones, etc.

V.2.5. OTROS ASPECTOS A CONSIDERAR

Todo lo comentado hasta ahora (Estatuto, Políti-cas, Plan Anual y Plan Estratégico) es necesariopara implantar una eficaz función de AuditoríaInterna y que sea de alto rendimiento. Pero ade-más, el equipo de directivos de Auditoría Interna

con su máximo responsable a la cabeza debe ven-der la función en la organización. Esto implicaque las técnicas de marketing no deben ser aje-nas a Auditoría Interna para vender tanto la fun-ción como su producto estrella que es el Informede Auditoría Interna. Este perfil comercial esmuy necesario en los equipos de Auditoría Inter-na modernos. Es muy recomendable explicarinternamente la función de una forma muy sen-cilla; los consejos de Nicholas Bate en sus múlti-ples libros o en su blog Business of Life plus Life ofBusiness son una excelente fuente de informaciónque deberían analizar los Directores de AuditoríaInterna y que en uno de sus recientes posts «Lossiete pecados capitales de las Corporaciones»resume lo que no se debe hacer en una estrategiade venta «Hacer lo simple complejo». Como ejemplopara iniciar este proceso se podría utilizar undocumento sencillo que se podría titular Objetivode Auditoría Interna, Ocho certezas y un compromiso.

144


Pero el hito principal se alcanza cuando elmáximo responsable de Auditoría Interna de unaorganización tiene la certeza de que AuditoríaInterna está correctamente implantada, valoraday agrega valor a la organización a la que sirve. Yesta certeza solo se puede obtener preguntando.Una empresa del sector realizó una encuestaentre más de 500 receptores diferentes de infor-mes de Auditoría Interna con la finalidad deconocer qué percepción de Auditoría Internatenían los auditados, encuesta que fue organiza-da por un departamento ajeno a Auditoría Inter-na. Los resultados se pueden ver en el cuadrosiguiente:


145

También se puede percibir que la función deAuditoría Interna tiene buena aceptación cuandola demanda de trabajos supera la capacidad deproducción del equipo de Auditoría Interna.

Por la alta responsabilidad que el Área deAuditoría Interna asume –y la propia Directivade Solvencia II corrobora– los equipos de audito-ría deben estar formados por personas muy cua-lificadas y en número suficiente para poder cum-plir correctamente con la misión encomendada,aspecto que se traduce en costes y que el entornoeconómico actual no favorece.

El asunto de los costes siempre es de grantrascendencia en las organizaciones empresaria-les. Por este motivo se deben establecer unosparámetros que han de servir de referencia aAuditoría Interna para elaborar su presupuesto yplantilla. Estos parámetros deben ser aprobadospor el Comité de Auditoría y el Consejo deAdministración, y podrían ser los siguientes:

A. Un porcentaje límite del Coste Total deAuditoría Interna sobre los Ingresos Tota-les del Grupo Empresarial o Empresa.

Coste Total de Auditoría InternaIngresos Totales

B. Un porcentaje límite del número de audi-tores internos sobre el número total deempleados del Grupo Empresarial oEmpresa

Número de Auditores InternosNúmero Total de empleados

Lamentablemente, no se dispone de ratios dereferencia globales o sectoriales; cada sociedad ogrupo empresarial debe hacer su análisis y fijarlos límites mencionados. Es responsabilidad delDirector de Auditoría realizar estos estudios con

rigor y seriedad y por lo tanto justificarlos. Si elanálisis es razonable y razonado, el Consejo deAdministración y el Comité de Auditoría losharán suyos. Aunque fijar estos límites parezcauna tarea difícil, y lo es, establecidos éstos el Áreade Auditoría Interna alcanzará una estabilidadque repercutirá en la calidad y productividad desu trabajo.

Sin que sirva como criterio general los ratiosanteriores se pueden situar en el 0,1% de losingresos consolidados y en el 0,5% de la plantillatotal de empleados, siempre que Auditoría Inter-na cuente con la tecnología adecuada.

Otro de los aspectos que suelen ser fuente dediscusión en las organizaciones es responder a lapregunta

¿De quién dependen los auditores internos?Las respuestas a la pregunta anterior pueden

ser múltiples y variadas, pero las más utilizadasson las siguientes:

• Doble dependencia, jerárquica y funcio-nal, es decir, respectivamente del máximoejecutivo de la Compañía y del Consejode Administración o por delegación deéste, del Comité de Auditoría y del Direc-tor de Auditoría.

• Exclusivamente del Comité de Auditoría,a través del Director de Auditoría.

En función de la complejidad de las organiza-ciones, las dependencias anteriormente indicadaspueden ser objeto de numerosas matizaciones. Noobstante, el espíritu que debe prevalecer siemprees que la función de Auditoría Interna debedepender de un nivel jerárquico que le permitacumplir con sus responsabilidades, tal y como seestablece en la norma internacional 1110 para elejercicio profesional de la Auditoría Interna.

No obstante, la pregunta no debería ser laenunciada anteriormente, sino la siguiente:

¿Quién debe garantizar que las Áreas de Audi-toría tengan equipos suficientes, formados porprofesionales competentes y con independenciade criterio?

La respuesta es que quien debe garantizar quelas Áreas de Auditoría tengan equipos suficientes

146


con profesionales competentes y con independen-cia de criterio es el Consejo de Administración, através del Comité de Auditoría como órgano dele-gado del mismo, y la Dirección de Auditoría con lafinalidad de dar el mejor servicio a sus clientes. Las

Áreas de Gestión pueden ser parte interesada y,por lo tanto, no deberían decidir cuál es el núme-ro de auditores internos necesarios, así como tam-poco su cualificación profesional. El siguiente dia-grama ilustra este aspecto:


147

Se introducen dos nuevos conceptos, servicioy cliente.

El Área de Auditoría presta un servicio a laorganización y este debe ser de alta calidad. Porconsiguiente, la organización debe preocuparsemás por la calidad del servicio que de la depen-dencia de los auditores, si partimos del principiode que las Áreas de Negocio deben disponer deun adecuado y correcto Sistema de Control Inter-no y requieren que alguien –Auditoría Interna-les informe de aquellas posibles deficiencias odebilidades que pudieran afectar al cumplimien-to de los Planes Estratégicos.

Y el otro concepto es el de cliente o clientes.No se debe olvidar que Auditoría Interna vendeun producto, el Informe, y se tiene que establecerquiénes son los clientes de Auditoría Interna.

Existen varios modelos. Hay organizaciones enlas que Auditoría Interna tiene un solo cliente: elConsejo de Administración y el Comité de Audi-toría. Este modelo debe de ser minoritario y noresponde a las expectativas de una AuditoríaInterna moderna. Puede ser una mejor opciónque Auditoría Interna defina múltiples clientes.

Un cliente es el auditado, pero también sonclientes la Alta Dirección y Dirección de las Socie-dades, las Comisiones Ejecutivas y obviamente elComité de Auditoría y el Consejo de Administra-ción. Todos estos clientes tienen el derecho y laobligación de valorar –mediante el proceso deevaluación comentado anteriormente– la calidaddel servicio prestado por Auditoría Interna. En elesquema siguiente se puede ver una relación depotenciales clientes de Auditoría Interna.

V.3. LOS SISTEMAS DE TECNOLOGÍADE LA INFORMACIÓN Y AUDITORÍAINTERNA

Suele haber coincidencia, entre las personas quehan analizado los posibles impactos de SolvenciaII en las compañías aseguradoras y reasegurado-ras, que éstos son múltiples y que afectan, almenos, al:

Consejo de Administración al aumen-tar su responsabilidad.Área de inversionesSistema de GobiernoÁrea de RiesgosÁrea de Recursos Humanos

Sin embargo la unanimidad es total al consi-derar que el mayor impacto se va a experimentaren el Área de Tecnología de la Información, Sis-temas y Datos y así lo ponen de manifiesto dife-rentes encuestas realizadas al sector en las queuna de las principales preocupaciones radica enlos Sistemas de Información.

La Auditoría Interna de los Sistemas de Tec-nología de la Información ya es imprescindible

en el actual mundo tecnológico, con indepen-dencia del marco normativo de Solvencia II y seobserva la tendencia de los Órganos Superviso-res, tanto en el ámbito nacional como en el inter-nacional, a emitir normas que requieren a lasEntidades a aumentar los controles y supervisiónde sus Sistemas de Tecnología de la Información.

Solvencia II hace hincapié en la importanciade la información para ser utilizada en la gestióndel negocio y en la determinación de la solvenciade la Entidad como fuente de identificación yconocimiento de los riesgos, y exigirá a las com-pañías que revisen el diseño, la arquitectura, cap-tura y almacenamiento de datos y la exactitud,integridad, auditabilidad, accesibilidad, confi-dencialidad y diseño de la información. En estesentido la evaluación continua y el aumento de laautomatización de pruebas de auditoría se pre-vén de gran ayuda para satisfacer estos requeri-mientos. Del mismo modo, el uso de nuevasherramientas para la prevención y detección defraude ayudarán sin duda a proporcionar unainformación más completa sobre la fiabilidad denuestros sistemas de información. Se precisaráadquirir destreza en el uso de herramientas para

148


el tratamiento masivo de datos con el fin de rea-lizar auditorías especializadas en este campo.

Cobra especial importancia el establecimientode un conjunto integral de controles que abar-quen las mejores prácticas para la administraciónde la seguridad de la información y que asegurenla continua disponibilidad de los sistemas deinformación y la integridad de la informaciónalmacenada en los mismos que preserven la con-fidencialidad de los datos y que finalmente ase-guren el cumplimiento de leyes, regulaciones,estándares y normas aplicables.

Aunque no existiesen las normas y tendenciasdescritas anteriormente sería poco prudente quelas compañías aseguradoras descuidaran la Audi-toría Interna de sus Sistemas de Tecnología de laInformación. Es cierto que entidades de tamañopequeño probablemente no dispongan de losrecursos suficientes para implantar su propiaAuditoría Interna Informática, y en este supues-to, tendrán que subcontratar el servicio median-te fórmulas de externalización.

En un reciente estudio de la firma Deloitte yde The Economist Intelligence Unit («Solvency II– Survey 2010. Counting down to the Directive») parael Reino Unido, para el 74% de las firmas encues-tadas la infraestructura y calidad de los datos esuna de sus primeras preocupaciones.

Adicionalmente, según puede observarse enla prensa o en determinadas webs especializadascomo, por ejemplo, la de la firma KPMG en el«2009 Data Loss Barometer», se está produciendoun importante aumento de incidencias, fraudes,errores, etc. causados por falta de adecuados con-troles en el ámbito de las Tecnologías de la Infor-mación; la misma firma, en su estudio «KPMG2009 IT Internal Audit Survey. The Status of ITAudit in Europe, The Middle East and África», seña-la que la Auditoría Interna de TI juega un papelo rol integral en el mantenimiento de la discipli-na y el rigor en toda la organización. En lostiempos actuales, no se puede entender unaAuditoría Interna moderna sin una Auditoría deSistemas de la Información potente que sea con-siderada como una parte esencial de la actividadde Auditoría Interna. Sirva como ejemplo la eva-

luación del Sistema de Control Interno de unaorganización que no se puede hacer con rigor yseriedad si no hay una evaluación previa de loscontroles internos asociados a TI.

La siguiente cuestión que se puede plantear esla siguiente:

¿Cuántos auditores de Sistemas de la Informa-ción necesita un departamento de auditoría?

Como en situaciones anteriores, la respuestapuede ser variada dependiendo del tamaño de laorganización, su complejidad y el sector, perouna referencia válida puede ser un 20% de laplantilla de auditores con las matizacionescomentadas.

¿Qué habilidades deberán tener los auditores desistemas?

No cabe duda que los cambios tecnológicosimpactan en los negocios en general y en la fun-ción de Auditoría Interna en particular. Dichoscambios requerirán conocimientos de TI de losauditores internos, así como herramientas y apli-caciones más sofisticadas, para entender y audi-tar los riesgos tecnológicos. La comprensión delos riesgos asociados a los distintos procesos deTI será fundamental para generar un Plan deAuditoría Interna basado en todos los riesgos dela entidad, incluidos los tecnológicos.

Según un estudio publicado por PriceWater-HouseCoopers «Internal Audit 2012» se prevé quehabrá seis capacidades/habilidades de TI queadquirirán gran importancia en los próximosaños:

• Riesgos relacionados con la privacidad.• Operaciones tecnológicas exteriores.• Controles automáticos.• Sistemas Enterprise Resource Planning.• Penetraciones en las redes.• Controles de almacenamiento de datos.No debemos olvidar, que los auditores de sis-

temas también deben tener conocimientosamplios sobre el negocio.

Los auditores de sistemas deberían llevar acabo auditorías sobre los procesos de TI, paraello requerirán de conocimientos en los princi-pales estándares tales como Information Techno-


149

logy Infrastructure Library (ITIL), CapabilityMaturity Model Integration (CMMI) y normati-vas de certificación como la ISO20000.

Para poder integrar la Auditoría de Sistemasde la Información en las organizaciones, será fun-damental trasmitir a los directivos el valor de lamisma y para ello será importante el lenguaje uti-lizado en los informes. Sin dejar de lado la preci-sión, será necesario elaborar los informes utilizan-do un lenguaje comprensible para las áreas denegocio, donde se refleje ante todo el riesgo quesupone el hecho observado para el área auditada.

Por ello adquiere cada vez mayor importancia laauditoría integrada entre los auditores de nego-cio y de TI. El resultado final proporciona unavisión completa de todo el proceso de negocioque desciende al análisis de las bases de datos, lainfraestructura y las comunicaciones que lo sus-tentan.

¿Qué tipo de trabajos de Auditoría de Sistemasde la Información se desarrollarán?

La tipología de trabajos que previsiblementedebería acometer el área de Auditoría de Sistemasde la información se recoge en el siguiente cuadro:

150


En resumen, las organizaciones deberán estarpreparadas para afrontar los requerimientos deSolvencia II, para lo cual los auditores internostendrán que mejorar su formación técnica con elfin de poder afrontar los retos que se aproximan.

Inclusive en la creación y valoración de unamatriz de riesgos, ésta tiene que tener una doblevisión, tanto de negocio como de TI, con el obje-tivo de ser lo más realista posible y contemplarlas principales variables y riesgos de una compa-ñía, cuya información es valiosa en el momentode priorizar los trabajos de auditoría.

Solvencia II va a requerir cambios importan-tes en los sistemas de información y en el Sistema

de Gobierno de las Tecnologías de la Informa-ción y de forma especial y particular en la gestiónde los riesgos de TI y en sus controles asociados.

Un tema que no se puede descuidar es laconstante formación y reciclaje de los equipos deAuditoría Interna en aspectos relacionados conTI, tanto de los auditores más especializados enauditorías de Sistemas de la Información comotambién de los orientados a otras actividades. Sinembargo, por la diversidad de tecnología queexiste hoy o por la que pueda existir concreta-mente en las entidades auditadas, es importantepriorizar y estar en línea con la dirección tecno-lógica de las compañías, de manera que la inver-sión en formación sea lo más rentable posible.

V.4. AUDITORIA INTERNA, RIESGOSY CONTROL INTERNO. EL COMITÉDE AUDITORÍA

El apartado 1 del artículo 47 de la Directiva,artículo dedicado a Auditoría Interna dice tex-tualmente:

«La función de Auditoría Interna abarcará lacomprobación de la adecuación y eficacia delSistema de Control Interno y otros elementos delSistema de Gobierno»

Previamente el artículo 46 dedicado a ControlInterno establece que:

1. Las empresas de seguros y de reasegurosestablecerán un sistema eficaz de ControlInterno. Dicho sistema contará, comomínimo, de procedimientos administrati-vos y contables, de un marco de ControlInterno, de mecanismos adecuados deinformación a todos los niveles de laempresa y de una función de comproba-ción de la conformidad (Cumplimiento).

2. Dicha función consistirá en asesorar alÓrgano de Administración o Direcciónacerca del cumplimiento de las disposicio-nes legales reglamentarias y administrati-vas adoptadas de conformidad con la pre-sente Directiva. Comportará, asimismo, laevaluación de las posibles repercusiones decualquier modificación del entorno legalen las operaciones de la empresa y la deter-minación y evaluación del riesgo legal.

Desde la publicación en el año 2004 del Infor-me COSO II (Committee of Sponsoring Organi-zations of the Treadway Commission), «EnterpriseRisk Management. Integrated Framework», el Con-trol Interno forma parte de la Gestión de Ries-gos, aunque la Directiva de Solvencia II trata elsistema de Control Interno en un artículo inde-pendiente a los referidos a la Gestión y Autoeva-luación de Riesgos. De la atenta lectura de esteartículo se desprende la importancia que laDirectiva está dando al Control Interno.

COSO es el marco de referencia de mayoraceptación sobre Control Interno y define elControl Interno así.

«Proceso efectuado por el Consejo de Adminis-tración, la Dirección y los demás empleados de laorganización diseñado para proporcionar segu-ridad razonable en cuanto a la consecución deobjetivos dentro de las siguientes categorías:• Eficacia y eficiencia de las Operaciones.• Fiabilidad de la Información Financiera.• Cumplimiento de normas aplicables a la

entidad.• Salvaguarda de activos».

En España, la modificación del artículo 110del Reglamento de Ordenación y Supervisión delos Seguros Privados y la creación del artículo110 bis sobre el Control de la Política de Inver-siones ha dado un impulso importante al objeti-vo de establecer, documentar y mantener en todomomento procedimientos de Control Internoadecuados a la organización de las compañíasaseguradoras y reaseguradoras.

Por otra parte, UNESPA, patronal españoladel sector asegurador, también ha contribuido ala mejora del Control Interno y el Gobierno Cor-porativo con la publicación de Guías de BuenasPrácticas sobre estas materias que han tenido ungrado de adhesión muy alto en el sector.

Asimismo, la Comisión Nacional del Mercadode Valores (CNMV) ha emitido recientemente undocumento sobre Control Interno sobre la Infor-mación Financiera en las sociedades cotizadas,cuyas recomendaciones pueden ser de utilidadpara cualquier compañía, con independencia delsector y del tamaño.

Como ya se ha mencionado anteriormente,Auditoría Interna tendrá que revisar el ControlInterno y el Sistema de Gobierno, pero la Direc-tiva de Solvencia II también establece en su artí-culo 45 dedicado a la Autoevaluación de Riesgosy Solvencia (Own Risk and Solvency Assessment,en adelante el ORSA), que dentro de sus sistemasde Gestión de Riesgos, todas las empresas deseguros y reaseguros realizarán una autoevalua-ción de riesgos y de solvencia.

El artículo 45 describe el ORSA como unaparte o herramienta de la Gestión de Riesgos enla que las compañías de seguros y reaseguros eva-


151

luarán sus riesgos en el corto y largo plazo y lacantidad de fondos necesarios para cubrirlos. Almismo tiempo el ORSA representa una impor-tante fuente de información para la AutoridadSupervisora y la compañía aseguradora está obli-gada a describir los procesos que contempla elORSA. Sin entrar en otras muchas consideracio-nes que afectan tanto a sociedades individualescomo a grupos, las compañías aseguradoras yreaseguradoras deberán tener en consideraciónlos siguientes principios para implantar el ORSAde una forma adecuada:

1. El ORSA es responsabilidad de la compa-ñía aseguradora y debe ser revisadoperiódicamente y aprobado por el Conse-jo de Administración.

2. El ORSA debe abarcar toda clase de ries-gos que puedan tener un impacto en elcumplimiento de las obligaciones de lacompañía con los asegurados.

3. El ORSA se debe fundamentar en un ade-cuado proceso de medida y evaluación que,a su vez, forme parte del proceso integralde toma de decisiones de la compañía.

4. El ORSA debe ser prospectivo y tomar enconsideración los Planes Estratégicos deNegocio y las proyecciones económicas yfinancieras.

5. El proceso de ORSA y su resultado debeestar suficientemente documentado y serevaluado internamente de forma periódi-ca por alguien independiente (AuditoríaInterna).

Se puede apreciar el significativo cambio queel ORSA y Solvencia II introducen en la Gestiónde Riesgos: históricamente la Gestión de Riesgosha tenido una visión retrospectiva mientras queSolvencia II introduce una visión prospectiva enla evaluación de los riesgos.

El ORSA constituye un poderoso componentedel Pilar II de Solvencia II que enfatiza la Gestión

de Riesgos como un procedimiento mediante elcual el Consejo de Administración pueda com-probar si dispone de un proceso de gestión delriesgo asociado a su plan estratégico y si este pro-ceso funciona correctamente. Dicho procesodebe comenzar con una definida y explícitaestrategia que identifique el riesgo asumido porla compañía, estrategia que debe permeabilizaren toda la organización.

En definitiva, el ORSA debe poseer una pers-pectiva de la compañía que debe soportar yacompañar el Plan Estratégico de la misma.

Las compañías necesitan entender apropiada-mente los riesgos incluidos en su Plan Estratégi-co y establecer los Comités adecuados para cum-plir con los roles establecidos en la estructura degobierno.

Así pues, el ORSA desempeñará un rol impor-tante en el Sistema de Gobierno y en el procesode toma de decisiones de las compañías asegura-doras y reaseguradoras. Este rol debería recono-cer los grandes desafíos existentes para integrarla Gestión de Riesgos y sus modelos correspon-dientes en el marco del ORSA.

Esta autoevaluación afectará a diferentes ynumerosos departamentos y funciones en laorganización, lo que requerirá de un amplio con-senso para identificar qué es lo mínimo requeri-do para llevarla a cabo. No obstante, el ORSAproporciona una visión del capital económicoque se le requiere a la compañía para que sunegocio funcione conforme a un nivel de riesgoaceptado previamente.

En la figura siguiente obtenida del IssuesPaper de CEIOPS de Mayo de 2008 («Own Riskand Solvency Assessment») y del documento ela-borado en 2009 por Ernst & Young «Unlockingthe Mistery of the Risk Framework around ORSA»,se puede ver la complejidad del ORSA y losgrandes desafíos y retos que supondrá, paraAuditoría Interna, evaluar el ORSA de unacompañía:

152


Para poder emitir el informe de revisión inde-pendiente sobre el procedimiento ORSA, Audito-ría Interna tendrá que evaluar:

1. La descripción del proceso de gobiernoen torno al ORSA que haya establecido lacompañía.

2. La estructura legal y organizativa de lacompañía y de su actividad principal asícomo el ambiente del mercado o merca-dos en los que opera la compañía.

3. La estrategia de Gestión de Riesgos comoapoyo al negocio.

4. La política de riesgos así como el Sistemade Gobierno de esta actividad y el univer-so de riesgos.

5. Los procedimientos y procesos de la com-pañía para identificar, valorar, controlar ypriorizar los riesgos.

6. La posición de capital y de solvencia.7. Capital previsto y posición de solvencia

respecto al periodo de planificaciónempresarial.

8. Tests de Stress y escenarios.9. Planes de capital y liquidez según los

Tests de Stress y escenarios.10. Explicación de los Tests de Uso o des-

cripción de cómo la actividad de Gestiónde Riesgos y de capital está integrada enla actividad.

11. Posicionamiento del ORSA durante elperiodo. Descripción de la valoracióndurante el periodo impulsado por cam-bios materiales o indicadores de riesgo.

La Gestión de Riesgos, incluido el ControlInterno, es una actividad en la que AuditoríaInterna debe focalizar sus esfuerzos, tanto en el


153

proceso de autoevaluación de riesgo como en larevisión de los modelos internos, en su caso.

Es muy conveniente delimitar qué puede yqué no debe hacer Auditoría Interna en estamateria para guardar el principio de indepen-dencia.

El Institute of Internal Auditors (IIA) en elaño 2004 publicó un documento «El Rol de laAuditoría Interna en relación con la Gestión de Ries-gos» que puede ser muy instructivo en esta mate-

ria. En el gráfico siguiente se detallan, en dife-rentes colores, los principales roles de AuditoríaInterna relacionados con la Gestión de Riesgos(color verde); roles legítimos de Auditoría Inter-na en relación con los riesgos pero que se debenejercer con limitaciones y siempre con la autori-zación del Consejo de Administración y, en sucaso, del Comité de Auditoría (color azul); yaquellos roles que Auditoría Interna no debedesempeñar (color morado).

154


Tras analizar los retos que se presentan paraAuditoría Interna en la evaluación de la Ges-tión de Riesgos, es obvio concluir que AuditoríaInterna debe nutrirse de profesionales muycualificados en materias tales como riesgos,estadística, econometría y actuariales y debedefinir una política de retención del talento yde rotación de equipos para no descapitalizar lafunción de Auditoría Interna; en caso contrarioel Área de Auditoría no podrá cumplir con lasaltas responsabilidades que asumirá bajo elmarco de Solvencia II.

Otro tema que hay que analizar es el rol quedeben desempeñar los Comités en el Sistema deGobierno, y de forma particular el Comité deAuditoría. El propio CEIOPS en el ConsultationPaper nº 33 establece que:

«Teniendo en cuenta el principio de proporcio-nalidad, CEIOPS considera que en grandescompañías y con perfiles de riesgo complejo elestablecimiento de un Comité de Auditoría serála solución adecuada».

Por otra parte, entre las Buenas Prácticas deGobierno Corporativo se recomienda el estable-

cimiento de Comités de Auditoría. Así, por ejem-plo, la Ley 12/2010, de 30 de junio, en su Dispo-sición Final Cuarta modifica el apartado 4 de laLey del Mercado de Valores relativa a las compe-tencias mínimas del Comité de Auditoría quequedan de la siguiente forma:

1. Informar a la Junta General de Accionistas.2. Supervisar la eficacia del Control Interno

de la sociedad, la Auditoría Interna y losSistemas de Gestión de Riesgos.

3. Supervisar el proceso de elaboración ypresentación de la información financieraregulada.

4. Proponer el nombramiento de los audito-res de cuentas.

5. Establecer relaciones con los auditores decuentas para recibir información sobreaquellas cuestiones que pongan en riesgola independencia. Deberán recibir anual-mente de los auditores de cuentas la con-firmación escrita de su independencia, asícomo información de los servicios adicio-nales prestados.

6. Emitir anualmente un informe en el quese expresará una opinión sobre la inde-pendencia de los auditores de cuentas.

Entre estas competencias sobresale la número2 de la relación anterior:

«Supervisar la eficacia del Control Interno de lasociedad, la Auditoría Interna y los Sistemas deGestión de Riesgos».

Del mismo modo, los miembros del Comitéde Auditoría deben cumplir un rol activo apo-yando la independencia de Auditoría Interna yasegurando que ésta cuenta con los recursosnecesarios que le permitan proporcionar un ade-cuado nivel y calidad en sus trabajos.

V.5. CONCLUSIONES

1. En el marco de Solvencia II, AuditoríaInterna es una función clave de Gobier-no. Sus responsabilidades y su relacióntanto con los Órganos Supervisores como

con los Auditores Externos, aumentan deforma considerable.

2. Los estados miembros exigirán que todaslas empresas de seguros y de reasegurosdispongan de un Sistema eficaz deGobierno que garantice una gestión pru-dente de la actividad aseguradora y rea-seguradora. El Sistema de Gobierno esta-rá sujeto a una revisión interna periódica.Esta revisión debe recaer en AuditoríaInterna con lo que esta afirmación signi-fica en cuanto a:• Preparación técnica y gerencial de los

equipos de auditoría. El perfil delauditor interno se debe ampliar a per-sonas con titulaciones en ingenieríainformática, econometría, estadísticay ciencias actuariales para poder cum-plir con éxito con las nuevas exigen-cias y responsabilidades.

• La formación permanente debe seruna exigencia para Auditoría Interna.No se emitirán buenos informes deauditoría sin una plantilla excelente-mente formada.

• El auditor interno debe tener unenfoque y visión gerencial de su tra-bajo.

3. La propia Directiva de Solvencia II dicetextualmente que las empresas de segurosy de reaseguros contarán con una funciónefectiva de Auditoría Interna.Las empresas aseguradoras deben serconscientes, también los Directores deAuditoría Interna, de que para implantaruna función de Auditoría Interna efectivaes necesario cumplir con los aspectos for-males, tales como aprobación por el Con-sejo y/o Comité de Auditoría del Estatutode Auditoría, situación en el Organigra-ma, dependencia, etc., pero no es sufi-ciente. Para que la implantación de unafunción de Auditoría Interna tenga éxitoes imprescindible que dicha función seaaceptada adecuadamente en la organiza-ción.


155

Esto requiere de tiempo y dependiendodel tamaño de la organización, a veces,mucho. La función de Auditoría Internase tiene que ganar una posición en laOrganización.

4. Con independencia de los requisitos queestablece Solvencia II hoy día no seentiende una función de Auditoría Inter-na que no disponga de los recursos nece-sarios y suficientes para auditar los siste-mas y aplicaciones informáticas. Es prác-ticamente imposible opinar sobre el Con-trol Interno de una compañía si no setiene conocimiento y evidencia de estetipo de controles. La automatización depruebas de Auditoría Interna son un ele-mento de gran ayuda para desarrollar laAuditora Interna de Sistemas de la Infor-mación. Adicionalmente, el artículo 47 dela Directiva dice que la función de Audi-toría Interna abarca la comprobación dela adecuación y eficacia del Sistema deControl Interno y de otros elementos delSistema de Gobierno.Aquellas organizaciones que todavía no lohubieran hecho tendrán que desarrollarla Auditoría Interna de Sistemas de laInformación bien contratando auditoresinternos con este perfil o bien recurrien-do a la externalización.

5. Otro de los aspectos que se deducen de laDirectiva es que la función de AuditoríaInterna es la única de las cuatro funcionesde gobierno en la que coincide la funcióny departamento. Para las otras funciones,la Directiva permite que en empresaspequeñas y de menor complejidad seaposible confiar varias funciones degobierno a una única Unidad Organizati-va. Auditoría Interna es la excepcióndebido a la necesaria independencia conrespecto a las áreas auditadas y a laimparcialidad con que debe llevar a cabosu trabajo.

6. En definitiva, como consecuencia de todolo anterior, será necesario desarrollar, de

forma práctica, entre otros, aspectos talescomo:• El Estatuto de Auditoría.• El equipo humano de Auditoría Inter-

na: perfiles necesarios en la actuali-dad para afrontar con garantía losretos de Solvencia II.

• Las políticas que un departamento deauditoría debe implantar: selección,formación, retribución, plan de carre-ra, evaluación, retención del talento einversión.

• El Plan Anual y el Plan Estratégico deAuditoría Interna

• El universo y ciclo de Auditoría Inter-na.

• El soporte que Auditoría Interna debedar al Consejo de Administración y alComité de Auditoría.

• La Revisión del Control Interno y lanecesidad de contar con auditoresinformáticos para realizar con éxitoesta difícil tarea.

• El plan de implantación de una Audi-toría Interna de Sistemas de la Infor-mación eficaz.

• Cómo auditar el Sistema de Gobierno.• Clarificar la Independencia de Audi-

toría Interna y la dependencia de losauditores internos.

• Las recomendaciones para AuditoríaInterna del Código Unificado deBuen Gobierno de la C.N.M.V.

7. Pero además de todos los aspectos a des-arrollar comentados anteriormente, elequipo de directivos de Auditoría Inter-na, con su máximo responsable a la cabe-za, debe vender la función en la organiza-ción. Esto implica que las técnicas demarketing no deben ser ajenas a Audito-ría Interna para comercializar tanto lafunción como su producto estrella que esel Informe de Auditoría Interna.

8. Entre las funciones de auditoría interna,se introducen dos nuevos conceptos, ser-

156


vicio y cliente. El Área de Auditoría pres-ta un servicio a la organización y estedebe ser de alta calidad. Por consiguien-te, la organización debe preocuparse máspor la calidad del servicio que de ladependencia de los auditores; por suparte, Auditoría Interna debe de sercapaz de prestar el mejor servicio con unagestión eficiente de sus costes.

9. La Directiva de Solvencia II tambiénestablece en su artículo 45 dedicado a laAutoevaluación de Riesgos y Solvencia(ORSA), que dentro de sus sistemas deGestión de Riesgos, todas las empresasde seguros y reaseguros realizarán unaautoevaluación de riesgos y de solven-cia. Sin lugar a dudas, el papel de Audi-toría Interna en el ORSA es uno de losaspectos de Solvencia II más complejos

para las compañías, los Supervisores yAuditoría Interna.

10. Como consecuencia de lo anterior, no hayque esperar a que la Directiva de SolvenciaII entre en vigor para adecuar –en el casode que no lo estuviera– Auditoría Internaa las nuevas exigencias regulatorias. En elsiguiente cuadro se mencionan las diezexigencias que se consideran más signifi-cativas para Auditoría Interna, así comouna primera aproximación de la dificultadque puede suponer acometerlas:

Con el alto desarrollo de la Auditoría Interna enEspaña y la gran profesionalidad y cualificación delos auditores internos del sector asegurador espa-ñol, el gran reto al que las Unidades o Áreas deAuditoría Interna de las compañías de seguros sevan a enfrentar se culminará con éxito.


157

REFERENCIAS

Control Interno sobre la Información Financierade las Sociedades Cotizadas. CNMV. Junio de2010.

BOE. Ley 12/2010, de 30 de Junio. Ley de Audi-toría de Cuentas.

CEIOPS’ Advice for level 2 Implementing Mea-sures on Solvency II: System of Governance.Consultation Paper nº 33.

UNESPA. Comments on Consultation 33 DraftL2 Implementing Measures on Solvency II:System of Governance.

Directiva 2009/26/CE del Parlamento Europeo.Solvencia II.

CEIOPS’. Consultation Paper nº 66.Insurance Risk Management: The path to Sol-

vency II. Financial Services Authority (FSA)2009.

Solvency II. Road Map. Irish Insurance Federa-tion. 2009.

Solvency II. Unlocking the mistery of risk frame-work around ORSA. Ernst & Young. 2009.

KPMG’s 2009 IT Internal Audit Survey. The sta-tus of IT Audit in Europe, the Middle Eastand Africa.

Pricewaterhousecoopers. Estudio 2010 sobre elEstado de la profesión de Auditoría Interna.

Internal Audit 2012. Pricewaterhousecoopers.Solvency II. Survey 2010. Counting Down to the

Directive. Deloitte.12 Myths about starting your business. Nicholas

Bate. 2010.The Audit Committee. Internal Audit Oversight.

The Institute of Internal Auditors. 2009.

The Value of Internal Auditing for Stakeholders.The Institute of Internal Auditors. 2010.

20 Questions Directors Should Ask about Inter-nal Audit. John Fraser, Hugh Lindsay. TheCanadian Institute of Chartered Accounts.2004.

Declaración de Principios del IIA. Consideracionesa tener en cuenta para evaluar el externaliza-ción. The Institute of Internal Auditors. 2010.

El Rol de Auditoría Interna en relación con laGestión de Riesgos. The Institute of InternalAuditors. 2004.

Marco internacional para la práctica profesionalde la Auditoría Interna. Instituto de AuditoresInternos de España. 2009.

Strengthening Enterprise Risk Management forStrategic Advantage. COSO. (The Committeeof Sponsoring Organizations of the TreadwayCommission).

Control Interno – Marco Integrado. Guía para laSupervisión del Sistema de Control Interno.Instituto de Auditores Internos. 2009.

Consultation Paper nº 82. The methodology forequivalence assessments by CEIOPS underSolvency II. CEIOPS-CP-82/10. 27 September2010.

Consultation Paper nº 56. Draft CEIOPS Advicefor Level 2 Implementing Measures on Sol-vency II. Articles 118 to 124. Tests and Stan-dards for internal Model Approval. CEIOPS-CP-56/09. 2 July 2009.

Public Statement of Consultation Practices.CEIOPS-DOC-01/05. February 2005.

The High-Level group on Financial Supervisionin the EU. Chaired by Jacques de Larosière.Report. Brussels, 25 February 2009.

158


v. la funciÓn de auditorÍa interna

Documents