ICP 10:

Control Interno
Módulo Nivel Básico
A
Copyright © 2006 International Association of Insurance Supervisors (IAIS). Todos los
derechos reservados.

El material en este módulo está protegido por derechos de autor. Puede ser utilizado para
capacitación por organizaciones competentes que tengan autorización. Por favor contactar
a IAIS para solicitar autorización.

Este documento fue preparado por el Jean-Louis Bellando, quien es jefe retirado de la
autoridad de control de seguros de Francia.

Este módulo fue revisado por Pierre Couillard, Carlos Montalvo, y Helmut Müller. Pierre
Couillard es contador por profesión, con un certificado de contador general de la
Asociación General de contadores de Canadá . Ha trabajado durante 14 años con negocios
medianos y pequeños, como contador, contralor y director de finanzas y ha servido en el
sector público durante 16 años. Trabaja para Autorité des Marchés Financiers (AMF)
donde, desde 1997, ha estado investigando los temas de estándares y políticas. Carlos
Montalvo Rebuelta es supervisor de seguros que trabaja con la Dirección General de
Seguros y Fondos de Pensiones (DGSFP), con la Autoridad de Control de Seguros de
España, donde dirige el área Internacional del Departamento de Supervisión. Ha estado
involucrado en temas de seguros como supervisor desde 1995. Ha presidido el Committee
of European Insurance y Occupational Pensions Supervisors (CEIOPS) Grupo de Trabajo
sobre Control Interno (el Grupo de Madrid ) y ha estado además involucrado en trabajos
CEIOPS sobre asuntos de Solvencia II y además ha realizado inspecciones in situ de los
aseguradores en España. Helmut Müller tiene 35 años de experiencia en la autoridad de
control de seguros de Alemania y la Autoridad de Supervisión de Seguros de Alemania
(Bundesaufsichtsamt für das Versicherungswesen), los últimos cinco años como presidente.
Actualmente trabaja como experto con el fondo Monetario Internacional, la Unión Europea
y la International Association of Insurance Supervisors (IAIS).
Contenidos

Sobre el Currículo Básico....................................................................................................... 4

Nota al estudiante ................................................................................................................... 5
A. Introducción....................................................................................................................... 8
B. Objetivos del control interno ............................................................................................. 9
C. Organización del control interno ..................................................................................... 13
D. Control interno y procedimientos específicos para los seguros...................................... 23
E. El control interno y la autoridad de control interno ......................................................... 35
F. Conclusiones .................................................................................................................... 41
G. Referencias ...................................................................................................................... 43
Anexo I. ICP 10 ................................................................................................................... 44
Anexo II. Clave de respuestas .............................................................................................. 47
Sobre el Currículo Básico

Un sector de seguros financieramente fuerte contribuye al crecimiento económico y al

bienestar dando soporte a la administración del riesgo, a la asignación de recursos, y a la
movilización de ahorros a largo plazo. Los principios básicos de seguros (ICPs),
desarrollados por la Asociación Internacional de Supervisores de Seguros (IAIS), son
estándares internacionales claves para tener sistemas financieros fuertes. La
implementación efectiva de los ICPs requiere supervisores de seguros con conocimientos
y habilidades.

Concientes de esta necesidad, el Banco Mundial y la IAIS se asociaron en el año 2002

para desarrollar un “currículo básico” para supervisores de seguros. El Proyecto del
Currículo Básico, financiado y apoyado por varias fuentes, acelera el proceso de
aprendizaje tanto de los supervisores nuevos como de los que ya tienen experiencia. Los
ICPs suministran la estructura para el currículo básico, que consiste en un conjunto de
módulos que resumen los aspectos más relevantes de cada tema, enfocándose en la
aplicación práctica de los conceptos de supervisión y en la correlación con la literatura
existente.

El currículo básico está diseñado para ayudar a los estudiantes a:

• Reconocer los riesgos que surgen de las operaciones de seguros

• Conocer las técnicas y las herramientas utilizadas por profesionales del sector público y
privado
• Identificar, medir y administrar esos riesgos
• Operar efectivamente dentro de una organización de supervisión
• Entender los ICPs y otros principios, estándares y guías de IAIS
• Recomendar técnicas y herramientas para ayudar a una jurisdicción particular a observar
los ICPs y otros principios, estándares y guías IAIS
• Identificar las restricciones e identificar y priorizar las técnicas y las herramientas de
supervisión para administrar mejor los riesgos existentes a la luz de esas restricciones.

Nota al estudiante

Bienvenido al ICP 10: Módulo de Control Interno. Este es un módulo básico sobre control
interno en un asegurador que no requiere conocimiento específicos previos del tema. El
módulo debe ser útil para supervisores de seguros nuevos o experimentados que no hayan
tratado con el tema- o que simplemente están buscando refrescar y actualizar los
conocimientos.

Comience por revisar los objetivos, lo que le dará una idea de lo que aprenderá al estudiar
este módulo. Luego, siga con el estudio del módulo bien sea en forma independiente,
como auto estudio o en el contexto de un seminario o de un taller. El tiempo requerido
para estudiar el módulo sobre la base de auto estudio puede variar, pero es mejor hacerlo
en un período corto de tiempo, dividido en sesiones o en partes, si lo desea.

Para ayudarlo a entrar en el tema, hemos intercalado el módulo con varias actividades de
práctica para que usted las complete. Estos ejercicios están orientados a darle de vez en
cuando un control, de manera que usted pueda interiorizar y entender más fácilmente el
material y aplicarlo a sus circunstancias locales.

Usted debe realizar cada una de estas actividades antes de continuar con la siguiente
sección del módulo. El anexo II de clave de respuestas, establece algunos de los puntos que
usted podría considerar al hacer los ejercicios. Además encontrará preguntas que tienen que
ver con la situación local y prácticas relacionadas en su jurisdicción. Estas pretenden
ayudarle a aplicar el material en este módulo a sus circunstancias locales. Si usted está
trabajando con otros en este módulo, desarrolle las respuestas con métodos de discusión
cooperativa, como estas respuestas pueden variar entre jurisdicciones, la clave de
respuestas le sugiere donde buscarlas.

Como resultado del estudio de este material, usted podrá hacer lo siguiente
1. Explicar la naturaleza del control interno y su aplicación a las compañías de seguro.

2. Explicar cada uno de los siguientes objetivos de control interno:

a. El negocio de un asegurador se conduce de manera prudente, según las políticas y las

estrategias establecidas por la junta

b. Las transacciones solamente se harán con una autoridad apropiada

c. Los activos se protegen

d. Los registros de contabilidad y otros, ofrecen información completa, precisa y oportuna

e. La administración puede identificar, evaluar, administrar y controlar los riesgos del

negocio

3. Describir los principales elementos de control interno

4. Explicar los roles de cada una de las siguientes funciones de control:

a. Actuarial
b. Auditoría externa
c. Auditoría Interna
d. Cumplimiento.

5. Explicar cada una de las siguientes condiciones ambientales esenciales para el control
interno:

a. Sistematización
b. Documentación
c. Competencia e integridad
d. Recursos

6. Ilustrar cada una de las siguientes disciplinas sobre los controles internos de
contabilidad:

a. Segregación de obligaciones
b. Controles de custodia
c. Supervisión

7. Dado un objetivo particular de control, ilustrar las técnicas de control efectivo para ese
objetivo

8. Comparar los efectos de diferentes tipos de debilidades de control

9. Describir las pruebas apropiadas de cumplimiento, para cada categoría de controles
generales

10. Demostrar la necesidad de la aplicación de controles en los sistemas computarizados

11. Ilustrar los problemas que pueden surgir en conexión con la contratación de prestación
de servicios por terceros, las funciones y describir los controles efectivos para tratar con
esos problemas

12. Explicar el propósito de la auditoría interna, e ilustrar formas apropiadas e inapropiadas

de organizar la función de auditoría interna

13. Dada una transacción de seguros particular, en una situación de caso, hacerle el
seguimiento a la transacción a través de los procesos de contabilidad de la compañía de
seguros

14. Determinar la idoneidad de los procedimientos de control interno

15. Explicar cómo una evaluación de control interno facilita la supervisión

16. Explicar cada uno de los criterios esenciales establecidos en ICP 10.
ICP 10:
Control interno
Módulo Nivel Básico

A. Introducción

De acuerdo en el principio básico de seguros (ICP) 101 de la Asociación Internacional de

Supervisores de Seguros (IAIS),

“La autoridad de control requiere que los aseguradores tengan en funcionamiento

controles internos, que sean adecuados para la naturaleza y escala de su operación.
Los sistemas de vigilancia e informes permiten a la junta directiva y a los directivos
monitorear y controlar las operaciones...”

Los mismos requerimientos se encuentran en la legislación de la Comunidad Europea,

aunque las directivas europeas no definen específicamente el control interno:

“Las autoridades competentes del estado miembro local requerirán que cada asegurador
tenga procedimientos sólidos de administración y contabilidad y mecanismos adecuados de
control interno.”

Las definiciones de control interno, han evolucionado con los años y las asociaciones
internacionales y nacionales de contadores o de auditores los han propuesto en forma
exitosa. En 1977 , el Order of Certified Accountants in France definió control interno
como el “ conjunto de medidas de seguridad orientadas a administrar los riesgos del
negocio.” en 1981 el Federación Internacional de Contadores elaboró este concepto: “Un
sistema de control interno consiste de todas las políticas y procedimientos adoptados por la
administración de una entidad para lograr el objetivo de administración de garantizar en
cuanto sea práctico la conducta ordenada y eficiente de su negocio.”2 El Instituto
Canadiense de Contadores Colegiados repitió la sustancia de esta definición en 1986 y la
suplementó en 1992 haciendo referencia a “las instrucciones dadas por la alta gerencia de
una compañía para la toma de decisiones y medidas que se deben tomar” .Según estas
definiciones, el control interno aplica a todas las actividades de la compañía, aunque es
particularmente relevante a la contabilidad.

Este módulo utiliza los términos de control interno, procedimiento de control interno o
simplemente procedimiento. El papel de los procedimientos es indicar los pasos que se
deben seguir. El control interno no es un modelo de decisión. No responde la pregunta,
¿Que se debe hacer? Sino más bien ¿Quien hace qué? ¿Cuándo? ¿Con qué propósito?

1
Ver IAIS 2003a
2
Ver IFAC 2006 para estándares internacionales sobre auditoría, muchos de los cuales tienen que ver con asuntos de control interno.
El control interno es un sistema de organización que comprende una serie de estructuras,
métodos y procedimientos implementados por una compañía para conducir en forma
ordenada y efectiva sus actividades de negocios, particularmente:

• Cumplimiento con las leyes y regulaciones

• Implementación de las políticas generales definidas por la administración
• Control y administración de los riesgos del negocio
• Calidad de contabilidad e información financiera

Todos los empleados de la compañía deben estar involucrados en el control interno, cada
uno con sus propias responsabilidades y obligaciones.

Este módulo discute los objetivos, la organización, las especificidades del sector de seguros
y las relaciones con las autoridades de control orientadas a describir el control interno en
una compañía de seguros.

B. Objetivos del control interno

Según las notas explicativas de ICP 10,

“El propósito del control interno es verificar que la operación de un asegurador sea
manejada de una manera prudente, de acuerdo con las políticas y las estrategias
establecidas por la junta directiva (refiérase al ICP 9 sobre gobierno corporativo), las
transacciones son solamente realizadas con permiso apropiado, los activos están
salvaguardados (refiérase al ICP 21 sobre Inversiones), la contabilidad y otros registros
proporcionan información completa, precisa, verificable y oportuna. La administración
puede identificar, evaluar, administrar y controlar los riesgos del negocio y mantener el
capital suficiente para estos riesgos [referirse a ICP 18 sobre evaluación y administración
de riesgos e ICP 23 sobre lo adecuado del capital y solvencia].”

Además los controles internos deben verificar que los departamentos internos funcionan
según las leyes y regulaciones prevalentes de las jurisdicciones en que opera la compañía
(especialmente las normas para la protección individual y colectiva de los asegurados) así
como sus propios estatutos y políticas.

El control interno es una herramienta esencial de la junta directiva de la compañía que le

proporciona elementos claves para ayudarle a definir, implementar, y corregir sus políticas
(ver COSO 1994). La administración de los riesgos de la compañía es una prioridad para
los ejecutivos, y el control interno les ofrece a los administradores los medios para
identificar, evaluar, administrar, y controlar los riesgos involucrados en las actividades de
negocio de la compañía.

En una compañía de seguros, este objetivo está dividido en dos. Por un lado, el asegurador
cubre los riesgos de sus clientes. La junta directiva define estrategias de mercadeo, política
de precios, y los criterios generales para la selección de riesgos. El control interno verifica
si esas instrucciones se han seguido y mide su validez después del hecho. Por otro lado, la
compañía está expuesta a riesgos que amenazan su solidez financiera y ponen en peligro su
rentabilidad. Estos riesgos se analizarán en otra parte desde el punto de vista regulatorio y
prudencial. Están generalmente clasificados como:

• Riesgos Técnicos. Errores en los precios, fondos insuficientes, reaseguro inapropiado

• Riesgo de Inversión. Riesgos relacionados con las tasas, liquidez, tasa de cambio,
mercado, mora de una contraparte, y riesgos específicos para derivados
• Otros riesgos. Riesgos tales como mora de un socio clave (reasegurador, corredor),
presiones externas (membresía en un grupo financiero), y fallas en la administración.

Esta lista es indicativa, no exhaustiva. Estos riesgos también incluyen aquellos

específicamente relacionados con ciertos departamentos internos. Los sistemas de
administración de riesgo, por lo tanto incluyen procedimientos de control interno, uno de
cuyos principales objetivos es alertar a los administradores sobre el posible impacto de
estos riesgos en la situación de la compañía. (ver CEIOPS 2003 y COSO 2004).

La protección de los activos es un objetivo más específico pero se basa en el anterior. Sin
embargo restringirían el control interno, a una serie de procedimientos orientados a
proteger los activos de la compañía y a mejorar su desempeño. En general, la protección de
los activos incluye prevenir errores, fraude, y toma de riesgos desproporcionados a los
beneficios esperados. Mejorar el desempeño significa, integrar los procedimientos
correspondientes en un enfoque cualitativo. Con relación a una compañía de seguros, los
gerentes usan procedimientos de control interno para garantizar que:

• Las inversiones y desinversiones están justificadas y llevadas a cabo bajo las mejores
condiciones
• Las inversiones son adecuadas para los compromisos que cubre
• Las inversiones están valoradas apropiadamente y las depreciaciones potenciales
identificadas
• Las inversiones son protegidas contra riesgo financiero y también contra pérdidas
(incendio, inundaciones), y malversación y uso fraudulento.

Para reducir sus riesgos financieros, una compañía de seguros puede usas derivados. Estos
instrumentos bien sea que se usen para dar cobertura o para modificar la estructura de
rendimientos de un portafolio de inversión, están sujetos a riesgos específicos: efecto de
apalancamiento, manejo complejo, mora de una contraparte y otros. Los riesgos de
administración (control) de los derivados, es un problema de control interno. Es importante
que la Junta Directiva participe en el desarrollo de estrategias para su uso, esté bien
informada de las decisiones que se toman y comprenda su impacto. Esto se logra a través
de procedimientos de control interno.

Un objetivo básico del control interno es verificar que las políticas y estrategias definidas
por la Junta Directiva y las decisiones que se desprendan de allí sean aplicadas
correctamente (ver Committee of the Conference of Insurance Supervisory Authorities of
the Member States of the European Union 2002). Mientras más complejas sean las
estructuras de la compañía y más geográfica y técnicamente diversas sean sus actividades,
es más necesario tener información confiable—por ejemplo, en tasas, provisiones e
inversiones. Esto es especialmente cierto para contratos de servicios con terceros y para
actividades extranjeras. ¿Está el gerente de la sucursal siguiendo las reglas de la oficina
principal? O ¿Esta él usando circunstancias específicas locales para justificar su desviación
de las líneas generales de conducta? Se deben establecer procedimientos para prevenir o
limitar la extensión de iniciativas inapropiadas.

El presidente de la compañía, quien toma las decisiones, puede cometer errores: por
ejemplo,

Estimular precios erróneos, subvalorar ciertas obligaciones, reaseguro inadecuado, o una

inversión no exitosa. Las pérdidas resultantes agotarán los fondos propios de la compañía
en forma más o menos severa, dependiendo de la capacidad de los administradores para
detectar los errores, tomar medidas para corregirlas, hacen cumplir estas medidas, y
supervisar su eficacia. Los controles internos deben llamar la atención a las debilidades, así
como permitirles a los ejecutivos mejorar sus habilidades de gerencia.

Los controles internos deben también asegurar que las transacciones referentes a la
compañía han sido realizadas por las personas asignadas para negociarlas y para concluirlas
y acordes a las formas autorizadas por la junta directiva (delegación de firmas, segregación
de obligaciones, y control de procedimientos). La delegación de poderes, que es aún más
necesaria cuando la compañía tiene un campo de actividad extendido, es garantizada por la
segregación de obligaciones, asignación de las funciones de la toma de decisión (o
autorización de decisiones), la protección (salvaguardia) de activos, la contabilidad, y el
control a diversas personas.

La colusión entre el tesorero y el contable puede facilitar las actividades fraudulentas que
son difíciles de detectar en una auditoría interna rutinaria. La quiebra del banco de Barings
en 1995 fue el resultado de especulaciones fallidas hechas por un solo corredor en
Singapur, quien hizo y registró decisiones, usando su propio programa de computador, al
cual nadie más tenía acceso. Para ser eficaces, los controles internos deben incluir:

• Un organigrama de la compañía, enumerando las personas autorizadas a firmar por la

compañía (es decir, comprometer la responsabilidad de la compañía) y a las personas
autorizadas para aprobar una decisión.

• Un manual escrito que describe la segregación de obligaciones, de responsabilidades

(especialmente con respecto a la supervisión), y poderes (de la firma, entre otros). La
seguridad de los procedimientos requiere la implicación de muchos participantes en cada
operación, con el control interno supervisando su eficacia.

Los controles internos, finalmente, deben asegurar que la información registrada en las
cuentas y registros preparados por varios departamentos de la compañía sea completa,
ajustada y enviada oportunamente. Así mismo, los controles internos deben verificar la
seguridad de los sistemas de computador. En particular, los controles internos afectan la
contabilidad limitando el número de errores que podrían alterar la calidad de la
información, que distorsiona el punto de vista de la persona que toma decisiones respecto
a la situación financiera real de la compañía.

Así, los controles internos deben buscar las siguientes declaraciones erróneas:

• Registro de transacciones ficticias

• Transacciones reales no registradas
• Transacciones sin autorización, tales como una rebaja de tarifa convenida por un corredor
que excede los límites fijados por la junta directiva
• Errores de la asignación, tales como la asignación de siniestros en una clase de seguro a
otra clase, distorsionando el cálculo de tarifas
• Errores en la fecha de ingreso, llevando a aplazar para el siguiente año fiscal cargas
atribuibles al período financiero divulgado (siniestros no denunciados, por ejemplo)
• Errores de presentación, por ejemplo, en lo que se refiere a operaciones fuera de balance

La tecnología de los computadores también incurre en riesgos debido a la concentración

de datos, que pueden debilitar la seguridad de la información, y al uso de las aplicaciones
complejas, lo cual puede resultar en la repetición de problemas si el programa contiene
errores. Por lo tanto, los controles internos deben asegurar:

• La seguridad física y logística de las instalaciones y de los datos, incluyendo la protección

de archivos y del software y el uso posible de instalaciones alternativas

• La existencia de un rastro de auditoría, es decir, una serie de procedimientos escritos que

permiten reconstruir transacciones cronológicamente, justificar cualquier transacción
usando una fuente de texto original para seguir un rastro intacto hasta y desde el estado
financiero, y explicar los cambios en los balances a partir de un extracto de la cuenta a otra
demostrando qué transacciones se han realizado.

La lista de objetivos ilustra la importancia del control interno. Antes de que los gerentes y
economistas reconocieran y elaboraran el papel del control interno, las compañías ya
realizaban controles internos sin saberlo, puesto que el sentido común las llevó siempre a
buscar medios apropiados para manejar y controlar sus acciones.

En 1977 la Order of Certified Accountants en Francia señaló,

“El control interno no es en sí mismo un sistema o función separada de la compañía. Éste es

(idealmente) una preocupación:

El deseo del empresario que está organizando su compañía de proporcionar “medidas de

seguridad” en cada procedimiento de gestión que aseguren, tanto como sea posible, la
autorregulación y la auto-supervisión. Esto es la presencia de estas “medidas de seguridad”
en sistemas que demuestren el control interno de la compañía tanto técnica como
administrativamente hablando.”
Ejercicios

1. ¿Cuales son los cinco principales propósitos del control interno?

2. Resuma los requerimientos del control interno establecidos por la ley de compañías y
por las leyes de seguros en su jurisdicción. ¿Están estos de acuerdo explícitamente con los
cinco principales propósitos del control interno?

C. Organización del control interno

Los procedimientos de control interno establecidos por las compañías de seguros son cada
vez más complejos y sofisticados. Deben también ser adecuados. Desde un punto de vista
prudencial, cumplir este criterio es particularmente importante en ciertas áreas del negocio,
tales como contabilidad o informática, pero no sólo es importante en esos campos.

El control interno es tratado extensamente en regulaciones y normas de actividades

bancarias (véase al comité de Basilea Sobre el Control Bancario 1998). En el sector de los
seguros, el tema es abordado, dependiendo de la jurisdicción, por leyes y regulaciones, por
directivos y por autoridades de control, o por recomendaciones de asociaciones
profesionales. Las reglas son más o menos detalladas, y a menudo son similares para todos
los servicios financieros. Algunas veces se han elaborado para temas específicos como los
seguros.

En 1992 la Unión Europea definió una obligación, en principio, nada más:

“Las autoridades competentes de un estado miembro local exigirán a cada empresa de

seguros tener procedimientos administrativos y de contabilidad sólidos y mecanismos de
control interno adecuados.” ICP 10 repite este requerimiento, especificando que los
controles deben ser “adecuados para la naturaleza y el tamaño de los negocios.”

Así, la organización de control interno se debe adaptar a la actividad del sector de la

compañía – seguros generales, seguros de responsabilidad civil, reaseguros, vida y salud-
su tamaño, su estructura jerárquica, su diversificación geográfica, sus clientes (individuos,
compañías), la distribución de su capital, y su capacidad de tener acceso a mercados de
capitales.

La eficacia del control interno depende de un número de condiciones: respeto por los
principios básicos y las técnicas para su uso apropiado, la implicación de participantes
internos en todos los niveles, y la supervisión de la implementación de los procedimientos,
así como el seguimiento del cumplimiento de los objetivos buscados.
Principios Básicos y su aplicación

La compañía debe estar racionalmente organizada, lo que significa que sus estructuras
deben estar descritas en el organigrama y sus procedimientos escritos en forma de manual.

No existe una organización típica. Cada compañía está organizada sobre las bases de sus
objetivos, estrategia, tamaño y la diversidad de los negocios. En particular, el organigrama
debe especificar la personas autorizadas para firmar por la compañía—esto es,
comprometer la responsabilidad de la compañía y, potencialmente su responsabilidad penal.
En una forma más general, el organigrama debe mencionar las personas con poder para
tomar decisiones. El manual debe describir la delegación de poderes, la cual debe ser clara
para el beneficio de las personas calificadas para ejercer esos poderes. La delegación deberá
corresponder con las funciones reales de las personas a quienes se les otorga el poder. Los
procedimientos para la formalización deben ser aplicados sistemática y continuamente.

Calidad y disponibilidad de la información

Las redes de control interno deben recoger y usar la información que sea:

• Relevante, lo que significa adaptada a su uso

• Neutral, lo que significa libre de manipulación
• Utilizable, lo que significa permitir que cada usuario encuentre la información que él o
ella necesita, por ejemplo índices y tablas de personal
• Comprobable, incluyendo documentación en una forma clara y fácilmente comprensible
de modo que las transacciones y otros acontecimientos significativos estén registrados
oportunamente y listados en forma precisa.

El control interno eficaz requiere buenas técnicas de compilación de información. Uno de

los problemas en compañías grandes es que los altos directivos están rodeados por personas
que elogian más de lo que critican; esto puede hacer difícil obtener información que no
haya sido filtrada por los gerentes o por los intermediarios operativos y funcionales. De esta
forma, la junta directiva deberá quizás recibir cierta información directamente. En el sector
de los seguros, esto incluye los siniestros, pleitos, supervisión de operaciones fuera de
balance, inconsistencias entre primas suscritas y colectadas, discrepancias significativas
entre los pagos de los siniestros y las provisiones, y los índices de recuperación de
siniestros donde existe el recurso, judicial o amistoso o con la “subrogación”.

Competencia y honestidad del personal (prueba “idoneidad”)

De acuerdo con lo establecido por la Treadway Commission en 1992, “Los factores que
más influyen en la determinación de la eficacia del control interno son la actitud y el
comportamiento de los funcionarios sénior y de los directores, que dan el ejemplo para toda
la compañía.” 3 La competencia de los empleados se puede asegurar usando un sistema de
selección apropiado, con entrenamientos en cursos en institutos especializados y en el
trabajo, establecimiento de objetivos de motivación, e incentivos de carrera. La honradez
es una virtud, pero no es necesariamente eterna: un daño grave puede ser causado por
empleados dignos de confianza que se “salen repentinamente de los carriles” después de
exhibir un comportamiento irreprochable durante muchos años. La movilidad individual o
la transferencia de responsabilidades a todos los niveles de la jerarquía pueden ofrecer una
cierta protección contra las tentaciones que se presentan por rutina y hábito.

Incluso en un ambiente altamente automatizado, la fatiga o la distracción pueden causar

error humano y minar la eficacia del control interno. Por consiguiente, sin importar el nivel
de competencia y de integridad de los empleados, siempre es recomendable supervisar sus
operaciones, ya sea por medio de superiores inmediatos o por medio de los auditores del
departamento de auditoría interna.

Disponibilidad de suficientes recursos humanos y materiales

Los controles internos deben presentar la situación de la compañía y los riesgos a los que
está expuesta. Esto significa establecer una organización con personal y herramientas
adecuadas. Pero los gastos incurridos deben ser proporcionales a los resultados obtenidos,
según la norma de relación costo-beneficio. Si los procedimientos establecidos para
detectar un fraude de seguros en la presentación y pago de los siniestros son mucho más
costosos que los ahorros que traen, se deben desarrollar diferentes procedimientos que sean
más costo-efectivos. En forma más general, una clase de control interno capaz de prevenir
todos los controles y todos los fraudes sería obviamente efectivo pero estaría fuera de
discusión si los costos fueran prohibitivos y si aumentara las redundancias en detrimento de
la velocidad de procesamiento de información.

Segregación de obligaciones

Según ICP 10, criterio esencial b,

“El marco para el control interno del asegurador incluye los acuerdos para delegar la
autoridad y responsabilidad y la segregación de obligaciones.”

El control interno no es efectivo cuando la misma persona realiza dos funciones en la

misma operación que involucran simultáneamente toma de decisiones, preservación de
activos, registro y control. Según el enfoque tradicional, la función de toma de decisiones
involucra el logro de los objetivos del negocio. Cuando la decisión se delega a un
subordinado, la función de toma de decisiones está relacionada con la función de
autorización o aprobación. La preservación (protección o salvaguarda) de activos aplicada
a las unidades de procesamiento-computadores y redes y a los activos fijos y valores,
incluyendo efectivo en la caja fuerte. Su ejercicio adecuado requiere el uso de métodos
tales como cajas fuertes, carnés, o códigos de acceso, que limitan o prohíben acceso a los

3
National Commission on Fraudulent Financial Reporting (Estados Unidos), más comúnmente conocida bajo el nombre
de su presidente; ver también COSO 1994.
fondos y documentos. La expansión del comercio electrónico requiere establecer controles
de acceso para programas y archivos, que incluyen contraseñas, seguros, y software de
acceso. Esta labor ocasionalmente es llevada a cabo por tesoreros o personas autorizadas
para comerciar valores. La tarea de preservar los activos significa asegurar que los activos
estén cubiertos por una póliza de seguro adecuada. La tarea de registro o contabilidad
incluye verificación de transacciones antes de registrarlas, una tarea que es ocasionalmente
asignada a computadores mediante programación de procedimientos de control.

La experiencia ha mostrado la necesidad absoluta de segregar las funciones del contador y

el tesorero. El contador nunca debe manejar efectivo o cheques y la firma del contador
nunca debe estar autorizada en el banco. De lo contrario, el contador podría por ejemplo
registrar siniestros falsos y pagarlos inmediatamente, castigar primas que se deben y
robarse los cheques enviados por los asegurados o registrar una transferencia de activos por
menos de la cantidad real y guardarse la diferencia. Aún peor, si existe colusión entre el
contador y el tesorero, los dos están en una posición, de organizar sus malversaciones de tal
forma que engañen al control interno. El propósito de verificación (o control) es
monitorear las otras obligaciones a través de operaciones rutinarias, sistemáticas y
permanentes.

Pero este enfoque tradicional no es apropiado para el ambiente computarizado de las

compañías modernas grandes que operan en un sistema de contabilidad integrada. En la
contabilidad tradicional, aún con muchas tareas automatizadas, cada parte permanece
responsable de una función específica, mientras que en la contabilidad integrada, las tareas
dependen de procesamiento de datos, en el cual los pasos se siguen automáticamente uno
a uno después de que se ha hecho la entrada inicial. De esta forma ya no hay una
separación entre las tareas de toma de decisiones, preservación y contabilidad. La
segregación ocurre en otro nivel, entre la función de diseño y la función de usuario.

El usuarios del computador – contador, tesorero, administrador de activos- debe

únicamente poder realizar la secuencia de operaciones necesarias para su misión, y no
necesita una descripción exhaustiva de los procesos y de las verificaciones computarizadas
involucradas en estos procesos. El diseñador del sistema de computador, no debe tener
acceso a los sistemas operativos.

El principio de evitar la auto-supervisión— inseparable del principio de segregación de

obligaciones comprende una verificación cruzada de los datos y un control recíproco. La
verificación cruzada consiste en comparar información parecida contenida en diferentes
documentos o en verificar la información sobre la base de diferentes fuentes. El
procesamiento por computador multiplica las posibilidades de revisión cruzada automática.

Los controles recíprocos consisten en comparar los mismos datos registrados por dos
personas diferentes. Por ejemplo, el registro contable de primas y el registro del tesorero de
los cheques recibidos del asegurado. Como otro ejemplo, tenemos, la adquisición de un
edificio se registra en el servicio de administración técnica para propiedades inmobiliarias
(activos fijos) y en la oficina de contabilidad (registro de adquisiciones y ventas de bienes
inmuebles), y el control recíproco consiste en conciliar las dos cantidades.
También es necesario hacer una supervisión permanente de la cadena de mando para
cumplir con los objetivos de control interno, ésa supervisión se puede hacer a través de
procedimientos de programación, y los administradores deben verificar con regularidad que
éstos estén funcionando adecuadamente.

Participantes en el control interno

El control interno se establece a nivel de un departamento, una compañía un grupo de

compañías de seguros, o un conglomerado financiero. La unidad de referencia para la
siguiente discusión es la compañía.

Como herramienta esencial para la toma de decisiones de la compañía, el control interno no

es una función aislada diferente, y aún cuando involucra especialistas dentro o fuera de la
compañía, constituye un sistema integrado que cubre todos los departamentos y requiere la
contribución de todas las personas que establecen lo procedimientos, los administran, los
implementan, y hacen seguimiento a cualquier cambio y corrección que se considere
necesaria.

El diseño es responsabilidad de la Junta Directiva y posiblemente de los comités a los que

se les delegan ciertos poderes. La junta debe también exigir correcciones que parezcan
necesarias con base en la información recibida. La administración y la implementación son
responsabilidad del personal sobre la base de auto supervisión y supervisión realizada por
el jefe de mando. El diseño correcto y la operación apropiada del control interno, son
verificados por equipos de inspectores (auditores) o expertos (administradores de riesgo,
actuarios o contadores certificados) dentro y fuera de la compañía. La coordinación de los
controles, la lista de los defectos, y el seguimiento a las mejoras son asignados con mayor
frecuencia a un coordinador, conocido algunas veces como el oficial de cumplimiento.

Junta Directiva

De acuerdo a ICP 9, sobre gobierno corporativo,

“la Junta Directiva es el punto central en el sistema de gobierno corporativo. Debe rendir
cuentas y es la responsable final del desempeño y conducta de la compañía de seguros . El
hecho de que delegue autoridad sobre los comités de la junta o sobre la administración, de
ninguna manera mitiga o disipa el cumplimiento de las obligaciones y responsabilidades de
la Junta Directiva… la autoridad de control revisa los controles internos y verifica que sean
adecuados a la naturaleza y tamaño del negocio y exige que se fortalezcan estos controles
cuando sea necesario. La Junta Directiva es responsable de establecer y mantener un
sistema efectivo de control interno.”

La Junta Directiva es entonces quien diseña el sistema de control interno de la compañía y

su usuario final, como tal, la junta establece principios y lineamientos, define objetivos
estratégicos y organiza los medios para cumplirlos, incluyendo la segregación de
obligaciones y tareas, define los pasos a seguir para monitorear y evaluar su
implementación, analiza la información recogida, solicita información adicional cuando la
necesite, examina las recomendaciones recibidas con miras a mejorar la operación de la
compañía y exige que se hagan correcciones y ajustes, además de proporcionar las formas y
los medios para el seguimiento de su implantación.

En esta tarea, la Junta Directiva puede recibir ayuda de comités creados especialmente con
este fin. Entre más grande sea la compañía, más probabilidades tiene de tener comités. Pero
la delegación de poderes a estos comités que pueden incluir administradores y gerentes
entre sus miembros, no exime a la junta de sus obligaciones y responsabilidades.

Según ICP 9, criterio esencial d, “la Junta Directiva puede establecer comités con
responsabilidades específicas, tal como un comité de compensaciones, de auditoría o de
elecciones.” Estos comités pueden diferir considerablemente en composición, propósito y
poderes entre una compañía y otra.

El más común es un comité de auditoría con un amplio rango de responsabilidades:

preparación y organización de un código de conducta y de un manual de auditoría interna,
establecimiento de un programa anual de auditoría y seguimiento de los informes de
auditoría interna.

Los comités funcionales especializados también se establecen para tratar con problemas
como, administración de riesgo, inversiones, tecnología de la información y ética (la
información de los asegurados y su protección). El comité de administración de riesgos es
responsable de monitorear los riesgos que podrían exponer a pérdidas a la compañía de
seguros, incluyendo riesgos técnicos, riesgos de inversión, riesgos de administración. Sus
poderes que están relacionados con los procedimientos de control interno, incluyen además
riesgos de computador (pérdidas a las que está expuesta la compañía como resultado del
mal funcionamiento o uso inapropiado de los computadores, tales como fraude, piratería o
sabotaje) y riesgos operacionales (pérdidas que resultan de errores o fraude del personal).

Algunas veces al comité de cumplimiento se le confía la verificación del cumplimiento con

la ley de compañías y con las leyes y regulaciones existentes y con sus propios estatutos y
políticas. Este comité recoge toda la información disponible sobre el cumplimiento de los
estatutos y los manuales de procedimientos o de auditoría adoptados por la Junta Directiva.
Sobre la base de estos hallazgos, propone enmiendas a la Junta Directiva. Este papel es de
naturaleza más formal que operacional.

Un oficial de cumplimiento, que puede ser el secretario general del comité de cumplimiento
o cualquier otra persona nombrada para este fin, algunas veces actúa como punto de unión
entre los comités y los ejecutivos encargados de revisar los informes, haciendo un
inventario de las debilidades encontradas y seguimiento de las acciones correctivas.

Auditores

Los auditores son los las personas encargadas de medir el control interno. Su papel
específico está establecido en ICP 10, criterio esencial c:
“La auditoría interna y externa, las funciones actuariales y de cumplimiento son parte del
marco del control interno, y deberán probar su adherencia a los controles internos así como
a las leyes y regulaciones.”

La auditoría es un revisión crítica de la información que se encuentra en de toda la

compañía (o en terceros)4. Una auditoría financiera certifica la representación veraz de
las cuentas de la compañía. Una auditoría operacional inspecciona los detalles de las
actividades de la compañía con miras a mejorar su desempeño: esto incluye hacer
recomendaciones y algunas veces proponer procedimientos más efectivos, en especial en
relación con el control interno.

El auditor es la persona natural o legal (firma de auditoría) que realiza la auditoría. Puede
ser interna o externa.

El auditor externo puede ser legal (auditor estatutorio) o contractual, que ha recibido el
mandato de realizar una misión específica, tal como establecer los procedimientos de
control interno.

El auditor interno generalmente es un empleado pagado por la compañía que él o ella

audita. Según el Instituto de Auditores Internos, ésta es “una función independiente de
valoración establecida en una organización para examinar y evaluar sus actividades
como un servicio para la organización. El objetivo de las auditorías internas es ayudar a
los miembros de la organización en el cumplimiento efectivo de sus responsabilidades.
Para este fin, la auditoría interna les entrega análisis, valoraciones, recomendaciones,
asesoría e información concerniente a las actividades que revisa “.

Si el establecimiento de una función de auditoría interna es incompatible con la estructura

y tamaño de la compañía de seguros (en el caso de firmas pequeñas y medianas), la junta
directiva debe organizar procedimientos adicionales de supervisión o contratar ésta
función con terceros para proporcionar seguridad adecuada para el sistema de control
interno.

IAIS hace énfasis en la naturaleza específica y en la importancia de la función de la

auditoría interna en ICP 10, criterio esencial j:

La autoridad de control requiere que la función de auditoría interna:

Emplee una metodología que identifica los principales riesgos en los que incurre la
institución y asigna sus recursos de conformidad con ello (refiérase al PCS 18),

“Tiene acceso sin restricciones a todas las operaciones y ramos de seguros y a los
departamentos de soporte, evalúa las funciones que son contratadas con proveedores
externos. Tiene independencia , incluyendo línea directa para informar a la junta
directiva, tiene estatus dentro de la compañía para garantizar que la alta gerencia

4
La raíz de la palabra “auditoría” viene de la palabra griega “audire” (escuchar) ; sin embargo, el auditor no
solamente debe escuchar sino también ser escuchado!
 reacciona y actúa según sus recomendaciones , tiene suficientes recursos y personal
adecuadamente capacitado y con experiencia relevante para entender y evaluar el
negocio que auditan , emplea una metodología que identifica los riesgos claves en
que incurre la institución y asigna sus recursos de conformidad con ellos”.

Los auditores internos examinan la regularidad y seguridad, lo adecuado , y la efectividad

de los sistemas de control interno preparados por cada departamento en la compañía, en
unión con el comité de auditoría ( o tal vez con la junta directiva a través de la secretaría
general, si la junta le ha asignado a él o a ella el trabajo de coordinación ) .Ellos evalúan
si los sistemas son consistentes con las operaciones reales y proponen las soluciones
apropiadas para los problemas que detectan en los procedimientos de control interno.

Para cumplir con sus trabajos de análisis, los auditores internos deben ser:

• Competentes y con experiencia

• Suficientes en número y con el equipo adecuado
• Tener suficiente poder para exigir que los departamentos se sujeten a sus
investigaciones, presenten informes, documentos, otros materiales que sean necesarios
para su auditoría, y solicitarles a aquellos que estén siendo auditados que cooperen
• Independientes , lo que quiere decir que , dentro del alcance de su misión , sus poderes no
sean limitados , aunque ellos no pueden divulgar a nadie diferente de las partes interesadas
la información que recogen a menos que existan razones válidas para hacerlo
• Capaces, en términos generales, de realizar su misión de manera apropiada y efectiva,
justa e imparcial.

La función de la auditoría interna debe además ser universal, lo que significa que debe
cubrir todas las actividades de la compañía.

Existen varios tipos de auditorías internas que se usan más comúnmente: una auditoría
anual de cada departamento en la compañía , una auditoría sobre un tema particular que
cubre varios departamentos, y seguimiento a las auditorías hechas anteriormente para
verificar si las acciones correctivas tomadas por los administradores de los departamentos
son adecuadas , efectivas, y si se han implementado oportunamente .

El coordinador (comité de auditoría, secretario general, u oficial de cumplimiento) prepara

un programa anual de auditoría que luego es aprobado por la junta directiva. Este programa
define las políticas generales de la compañía con relación a las auditorías, describe los
requerimientos de prioridad para cumplir con los objetivos de la administración, y hace un
inventario de los programas de auditoría individual.

Los programas para auditorías internas individuales se preparan dentro del marco
establecido por el coordinador, que tiene en cuenta los diferentes tipos de riesgos y su
gravedad, así como la frecuencia, alcance y grado de profundidad del trabajo hecho con
anterioridad.
La aprobación de los programas individuales a veces se delega a la administración general
de la compañía. Un programa individual debe proporcionar información sobre los
objetivos de auditoría propuestos, la metodología que se debe seguir, las actividades que se
van a examinar, la programación, y el presupuesto.

Otros participantes en el control interno

Las misiones de auditoría contable y financiera son específicas para la auditoría , y su

propósito es verificar que los estados financieros expedidos por la compañía reflejan
correctamente su situación económica y su negocio. Para esto, la auditoría , que se
caracteriza por la regularidad con respecto a las normas contables y a la conformidad con
los datos financieros registrados , puede llamar contadores y auditores certificados a
quienes se les solicita que expresen sus opiniones sobre la confiabilidad de las cuentas, y
más generalmente , sobre la solidez de los sistemas de control interno tomados como un
todo.

Debido a las características específicas del seguro, se les concede un papel especial a los
administradores de riesgo y a los actuarios en la organización del control interno y su
evaluación cualitativa.

Según ICP 18, sobre evaluación y administración de riesgo,

• “La autoridad de control exige y vigila que los aseguradores tengan políticas
comprehensivas de administración de riesgo y sistemas capaces de identificar, medir,
reportar y controlar oportunamente sus riesgos (criterio a).
• Las políticas de administración de riesgo y los sistemas de control de riesgo sean
apropiadas para la complejidad, tamaño y naturaleza del negocio del asegurador (criterio
b).
• El sistema de administración de riesgo monitorea y controla todos los riesgos materiales
(criterio c).”

En la siguiente sección se dan algunos ejemplos de la aplicación de estos principios a las

compañías de seguros con relación a varios temas: protección de las inversiones,
administración de activos, instrumentos derivados, y tolerancia al riesgo, seguidos de la
identificación, análisis e investigación de agregaciones.

Los actuarios ocupan un lugar separado en la operación y control de las compañías de

seguros (ver IAIS 2003c). Como participantes del control interno en una compañía de
seguros de vida (y aún en compañías de no vida en algunas jurisdicciones), lógicamente se
citan en ICP 10, criterio esencial l:

“La autoridad de control requiere informes actuariales a la junta y a la administración,

cuando la legislación o la naturaleza de las operaciones del asegurador requieran la
designación de un actuario”.
El actuario es un profesional especializado que debe tener acceso directo a la junta
directiva.

Las firmas auditoras grandes pueden tener actuarios entre su personal, o llamar a actuarios
independientes, para evaluar las provisiones técnicas del asegurador, las tasas, y la
distribución de utilidades con los asegurados.

En varios países, la ley exige que las compañías de seguros escojan un actuario designado.
Este actuario debe garantizar que las primas y las provisiones técnicas de los seguros de
vida sean calculadas según las normas y principios actuariales generalmente aceptados.
Por lo tanto, el actuario debe tener acceso a toda la información que pueda ser útil. El
actuario reporta sus observaciones a la junta directiva, y por lo tanto es un agente
importante de control interno.

Informes y seguimiento

Al terminar su tarea, los auditores internos redactan un informe en borrador, que debe:

• Organizar la información recogida y analizar los resultados de ella

• Evaluar el trabajo hecho para que sea más fácil de usar por otros
• Contener una lista de las actividades auditadas, una descripción de qué tan fácil fue
cumplir con la misión, una lista de las entrevistas, observaciones, conclusiones, opiniones y
recomendaciones.

Las entrevistas y los informes, los comentarios del coordinación , y la notificación a

aquellos que fueron auditados son las etapas de un diálogo que debe provocar acciones y
reacciones de los directores de la compañía y de los administradores de departamento, que
finalmente conduzcan a los pasos para corregir errores detectados y mejorar los
procedimientos de control interno de acuerdo con las recomendaciones del auditor .

El coordinador transmite al director del departamento que está siendo auditado los
hallazgos de la auditoría, con sus propios comentarios, opiniones, instrucciones y
sugerencias. Se invita al jefe del departamento a que presente un plan para tomar acciones
correctivas. El informe del auditor se puede comunicar a otras personas en la compañía, a
solicitud del jefe del departamento, propuesta del coordinador, y autorización del director.
El coordinador prepara un informe completo para la Junta Directiva. Éste debe ser
estrictamente confidencial, dirigido a los jefes de departamento, y abierto a los auditores
externos. Este informe contiene una lista de los ítems estudiados, los problemas resueltos,
las observaciones y las recomendaciones.

Con la ayuda del coordinador, el jefe del departamento en cuestión debe tomar los pasos
necesarios para remediar los problemas descubiertos por el auditor o aún por la
administración superior. En un informe al coordinador, el jefe del departamento da un
detalle de las acciones que se tomaron , indica los resultados obtenidos , y anuncia las
nuevas iniciativas planeadas , al tiempo que proporciona evidencia de que se han seguido
las instrucciones. El coordinador entonces formaliza el monitoreo de las acciones
correctivas en una nueva auditoría regular, cuyo propósito es afirmar que se ha realizado
la auditoría y evaluar su efectividad.

Ejercicios

3. Explique la importancia de un organigrama para el control interno.

4. De tres ejemplos de las obligaciones que se deben segregar de otras dentro de un

asegurador y explique los problemas que podrían surgir si no existe esa segregación.

5. Haga una lista de por lo menos cuatro partes que podrían participar en el proceso de
control interno de un asegurador ¿Cuáles de éstas existen generalmente para los
aseguradores que operan en su jurisdicción?

D. Control interno y procedimientos específicos para los seguros

En general, el enfoque de una compañía de seguros para su control interno—sus objetivos,

principios, participantes, y algunos de sus procedimientos—no es diferente del de otras
compañías en el sector financiero. Sin embargo, este enfoque debe tener en cuenta
características especial del negocio de seguros:

• La naturaleza especial de las operaciones de seguros. Éstas incluyen precios basados en

una supuesta experiencia futura ( riesgo evaluación errónea del precio ), riesgo de
selección , y riesgos de largo plazo en suscripción (riesgo de falta de fondos ),correlación
entre los contratos de seguro de vida y las inversiones ( tasas, depreciación, o riesgos de
contraparte ), reaseguros ( riesgos específicos) , intermediación ( riesgos de
incumplimiento por parte de un socio) , y outsourcing .
• La necesidad de una mejor protección de los consumidores de seguros. El control interno
debe buscar medir la calidad de los servicios prestados a los asegurados, por ejemplo,
sobre la base de la información transaccional, tal como pago de valor de rescate (seguros de
vida) y arreglo de reclamos (seguros de no-vida).

Entre los ejemplos de las funciones importantes en una compañía de seguros para las que
se requiere control interno, están:
• Evaluación de riesgo (seguro de vida)
• Provisiones de siniestros (seguro no-vida)
• Protección de inversiones
• Administración de activos-pasivos
• Instrumentos derivados
• Sistemas de computador
• El uso de intermediarios
• Contratos de prestación de servicios con terceros
• Prácticas contra el lavado de dinero

Esta sección describe los riesgos específicos para actividad en cuestión, los objetivos que
se derivan del control interno, y el principal control interno implementado para cada uno
de estos procedimientos.

Evaluación de riesgo (seguros de vida)

El propósito de un contrato se seguro de vida es tener una garantía contra el riesgo. En los
seguros de vida, el riesgo está ligado a la esperanza de vida: el asegurado puede morir
demasiado pronto (beneficio por muerte) o dentro de mucho tiempo (anualidad de vida).
El asegurador debe calcular el riesgo para decidir si acepta el riesgo y para determinar la
cantidad correspondiente de prima.

En este contexto, los procedimientos de control que tiene el asegurador tienen que tratar
con:
• La solicitud de seguros. ¿Está diseñada para permitir una evaluación precisa? Se llenó
correctamente?
• Evaluación de acumulación de riesgo. Existen otros contratos en la compañía que cubren
a la misma parte asegurada?
• Selección médica (beneficio por muerte). ¿El cuestionario, y donde es aplicable, el
examen médico, constituyen una protección efectiva contra una selección adversa?
• Reaseguro de capital de garantía por una cantidad que excede la capacidad del
asegurador. ¿Está adaptado a los medios del asegurador? ¿Se aplica? El archivo del
contrato que contiene la información necesaria para la administración de riesgos, primas y
provisiones técnicas de debe ser amigable al usuario.

Los problemas para hacer seguimiento a las primas y a las provisiones técnicas requieren
un número de acciones, que incluye entre otras:
• Suscripción de primas. Los procedimientos de control interno deben proporcionar
garantía de que las tasas aplicadas están de acuerdo con los riesgos evaluados en el
momento en que se suscriben las pólizas. La sistematización del cálculo de las primas
generalmente alivia este problema.
• Cobro de primas. Los procedimientos contra la malversación o pérdida del pago y el
riesgo de mala asignación del pago son de naturaleza organizacional y los controles
internos deben velar porque esos pagos sean aplicados correctamente , incluyendo depósito
directo, segregación de obligaciones entre el recibo de los fondos , la asignación de los
fondos y el monitoreo de las cuentas bancarias.
• Correspondencia de cada prima con la provisión técnica. Por ejemplo, si el riesgo es que
una prima registrada como ingreso no tiene su contraparte en la provisión técnica
establecida en la póliza , el papel del control interno es hacer un análisis sistemático de
primas no devengadas y verificar que los archivos de las primas sean consistentes con los
archivos de la provisión técnica.
Con relación a los seguros de no vida, excepto cuando se refieren a la selección médica y
a las provisiones técnicas, el énfasis se deba hacer en las tasas. ¿Cómo se determina la tasa
aplicable? ¿Existe un procedimiento para verificar las tasas aplicadas? Si es así, ¿Cuál es?
En el caso de las tasas para excepciones, ¿Existe un procedimiento particular para
autorización a través de canales dependiendo del tamaño de las excepciones? Si es así,
¿Cuál es? Generalmente es responsabilidad de control interno mantener un balance justo
entre los objetivos del negocio de la compañía (tener utilidades) y los imperativos
técnicos (pago de primas suficientes).

Provisión de siniestros (seguros de no-vida)

Las provisiones técnicas deben ser adecuadas para cumplir con todos los compromisos que
la compañía tiene con sus asegurados. En una compañía de no-vida , la provisión de
siniestros pendientes pretende cubrir el pago total de todos los siniestros ( y los gastos
de administración y relacionados) que surjan antes de la fecha de notificación y que no se
hayan pagado en esa fecha . Esto incluye siniestros reportados y reclamaciones tardías
(siniestros incurridos pero no reportados).

La provisión de siniestros es el ítem más importante en la columna de pasivos de una

compañía de seguros de no-vida, pero es solo un estimado. Siempre es posible hacer una
mala estimación de los siniestros, distorsionado así la imagen de la posición financiera de
la compañía tal como se presenta en la hoja de balance. El control de las provisiones de
siniestros es entonces una prioridad para evaluar los riesgos incurridos por una compañía
de seguros , en especial la falta de fondos , que distorsionan el balance; el mal cálculo de
los precios que se oculta por mal cálculo de los costos; la mala administración de los
siniestros ; y el fraude o los pagos injustificados de siniestros reales o ficticios.

Los procedimientos de control interno deben medir la calidad de la administración de los

siniestros (ver OECD 2004) y lo apropiado de las cantidades que se mantienen como
provisiones. Por la naturaleza misma de sus obligaciones, los auditores internos parecen
ser las personas más idóneas para examinar en detalle las provisiones, y algunas veces
ellos invierten considerables cantidades de tiempo en esta tarea, si es necesario.

Una auditoría interna de siniestros cumple con dos objetivos primordiales: verificar las
cantidades en una fecha dada (por ejemplo, en el balance) y verificar los procedimientos
y los métodos de evaluación de la compañía. El primer tipo de verificación tiene que ver
con los niveles de provisiones. ¿Son legalmente correctas? ¿Son suficientes? El auditor
debe indicar la cantidad que parece adecuada. El segundo tipo de verificación se refiere a
los métodos y procedimientos. ¿Son aceptables bajo las regulaciones? ¿Son razonables?
¿Están implementados apropiadamente? ¿Están las provisiones libres de fraude? ¿Está la
segregación de obligaciones con relación a la evaluación de los archivos organizada de
tal manera que garantice control satisfactorio de las evaluaciones mismas?

El informe de auditoría interna debe además confirmar que los procedimientos de

contabilidad aplicados son precisos, indicar la influencia de esos procedimientos en las
estadísticas de siniestros y al análisis de las provisiones, y sugerir mejoras. ¿Existe alguna
conexión entre los pagos registrados en los archivos de siniestros y los pagos
contabilizados? ¿Existe un procedimiento más estricto para pagos que exceden el límite?
El informe debe además evaluar el sistema de tecnología de la información utilizado para
los siniestros a la luz del análisis de las provisiones, indicar el impacto de un defecto en el
sistema sobre las provisiones y hacer recomendaciones. Finalmente , debe proporcionar
una evaluación general de la administración de las provisiones en el departamento de
siniestros (evaluación inicial del archivo y revisión sistemática para cada evento nuevo),
evaluar las herramientas disponibles para los administradores (manual de evaluación y
administración de riesgo) y la actualización regular de esas herramientas, indicar el
impacto de los defectos hallados en las herramientas o en la administración sobre las
provisiones, y sugerir mejoras , con base en los análisis específicos de provisiones
insuficientes establecidas.

Por lo tanto, la auditoría de las provisiones expone problemas que van más allá de la
misión estricta del auditor de evaluar las provisiones de siniestros. Estos incluyen
revaloración de los precios y de la estrategia de negocio de la compañía, prácticas
contables disfuncionales, y cadenas de procesamiento de datos que funcionan mal. A
medida que surgen estos problemas, se necesitan auditorías adicionales.

Después, los auditores analizan las respuestas que dan aquellos que están siendo auditados
a las recomendaciones del informe y hacen seguimiento a la auditoría, para verificar las
reacciones suscitadas por cada recomendación.

Podría suceder que las provisiones de siniestros se estimen correctamente, pero los
procedimientos y los métodos usados por la compañía no sean satisfactorios. Por ejemplo,
en una compañía pequeña, el gerente general, debido al conocimiento del negocio y
experiencia que tiene, pueda ser particularmente hábil para evaluar las provisiones de los
siniestros en forma prudente y consciente y para incluir cantidades suficientes y
confiables en el balance. Sin embargo, aún cuando sus resultados sean correctos, ese
procedimiento es inaceptable bajo los principios de control interno y, especialmente, bajo
la norma de segregación de obligaciones.

Protección de inversiones

Las inversiones de una compañía de seguros respaldan sus obligaciones con los
asegurados. Éstas deben ofrecer seguridad y rendimientos. En la mayoría de los países,
éstas están reguladas. ICP 21, sobre inversiones, criterio esencial e establece los
estándares y hace énfasis en la importancia del control interno a este respecto:

“La autoridad de control verifica que los aseguradores tengan controles internos
adecuados para garantizar que los activos sean manejados en concordancia con la política
general de inversiones, así como también en cumplimiento con los requerimientos legales,
contables y regulatorios. Estos controles deben garantizar que los procedimientos de
inversión estén documentados y apropiadamente vigilados. Normalmente las funciones
responsables de medir, monitorear, establecer y controlar las transacciones de activos
están separadas de las funciones de front office. ”
Los propósitos del control interno son claros:

• Garantizar que la administración de activos cumple con las leyes y regulaciones

• Garantizar que la estrategia de inversión definida por escrito por la junta directiva (o por
el comité de inversiones o cualquier otra autoridad delegada para este fin) se aplica
correctamente. Según ICP 21, criterio esencial c, esta estrategia debe determinar , entre
otras cosas, el mix de activos sobre las principales categorías de inversión ,los límites de
inversión por tipo de activos , las contrapartes, administración contratada con terceros ,
mercado, moneda , y área geográfica , y objetivos de rentabilidad ajustados a los
rendimientos requeridos para cumplir con los compromisos ( prueba para correspondencia
de tasas y períodos de tiempo) .
• Evaluar los mecanismos de protección contra riesgos asociados con actividades de
inversión que podrían afectar el cubrimiento de las provisiones técnicas o los márgenes de
solvencia.

Según ICP 21, criterio esencial d, estos riesgos incluyen riesgos de mercado ( tales como
depreciación del mercado de valores) , riesgo de tasas de interés, riesgo de liquidez,
incumplimiento de la contraparte , destrucción material , malversación , y fraude.
• Controlar la integridad y confiabilidad de la información procesada y producida.
¿Están las inversiones, junto con las adquisiciones y transferencias relacionadas con ellas
y los ingresos correspondientes, registradas y asignadas apropiadamente?
• Garantizar la segregación de obligaciones. ¿Están justificadas las adquisiciones y las
transferencias? ¿Han sido realizadas bajo las mejores condiciones posibles? ¿Es correcta la
valoración de las inversiones en el balance?
• Sugerir mejoras cualitativas en la administración. En pocas palabras, los controles
internos deben proporcionar, a quien toma las decisiones, las herramientas necesarias para
tomar posiciones estratégicas (ver IAIS 2004 para mayor información sobre
administración de riesgo de inversión).

Se debe presentar a la junta directiva un informe sobre las políticas de inversiones por lo
menos una vez al año. Éste proporciona detalles sobre, entre otras cosas, los métodos
utilizados para evaluar y controlar las inversiones - en especial, para evaluar la calidad de
los activos , el mecanismo interno de control de inversiones , la segregación de
obligaciones , la delegación de poder, los procedimientos de control interno, la estructura
del portafolio de inversión, y los resultados por tipo de inversión .

Los procedimientos de control interno incluyen:

• Verificación de que las inversiones que se ingresan en el balance coinciden con las
inversiones existentes, con base en el monitoreo de las transacciones y el análisis de la
información proporcionada al contador
• Justificación de las operaciones y de los inventarios, incluyendo el control de
documentos que certifican propiedad o venta de activos fijos
• Monitoreo de las contrapartes por un sistema interno o externo de evaluación (agencia
calificadora)
• Establecimiento de un archivo especial de inversiones, que incluya balance, declaración
de ingresos, folletos publicados y notas de prensa
• Establecimiento de un mecanismo de control de administración para monitorear la
rentabilidad de las inversiones con base en indicadores de desempeño, análisis de series
de tiempo e índice de consistencia.

Según ICP 21, criterio esencial h, las auditorías regulares deben además identificar
debilidades en el control interno y deficiencias en la administración. En otras palabras, la
función del control interno es primero que todo preventiva; si esto no es posible, debe
permitir la detección oportuna de los riesgos que pudieran ser dañinos para la situación
financiera de la compañía.

Administración de activos-pasivos

Para una compañía de seguros de vida, el propósito de la administración de activos-pasivos

es construir suficientes activos apropiados para que correspondan con los compromisos
que constituyen sus pasivos.

La administración de activos- pasivos consiste en influenciar la composición de las

inversiones para optimizar los resultados, controlando al mismo tiempo los riesgos
financieros involucrados. Se aplica a dos niveles: a nivel de producto (por ejemplo, un
contrato atado a índice variable) y a todo el balance.

En el segundo nivel, ALM es una herramienta de análisis y de planeación global. La

administración activos-pasivos pretende alcanzar un compromiso óptimo entre la
naturaleza de los pasivos y los activos, buscando el producto que será más atractivo para
el cliente ( pasivo) o escogiendo los activos sobre la base de criterios de seguridad (
riesgo) y rentabilidad. La función de construcción de una administración activos-pasivos
debe estar basada en competencias disponibles en los diferentes departamentos de la
compañía, incluyendo técnica, administradores de producto, y administradores de activos.
Por lo tanto, la construcción de la función de administración de activos-pasivos debe
hacerse en el contexto del sistema de control interno. Una auditoría debe inventariar los
riesgos específicos de activos-pasivos, que se discuten en otra parte, junto con los
riesgos financieros. Estos pueden incluir:

• Riesgo de provisión de recursos sobre contratos tradicionales. Estos contratos conllevan

dos riesgos : riesgo de reinversión ( riesgo de que la tasa de retorno en inversiones futuras
sea más baja que las tasas garantizadas en los contratos de seguros) y riesgo de liquidación
( riesgo de que la compañía se vea forzada a transferir pasivos depreciados sin reembolso).
• Contratos atados a índice variable. Estos contratos conllevan el riesgo de iliquidez de
un contrato atado a un índice variable cuando se debe el pago de un beneficio a un
asegurado, el riesgo de insuficiencia activo-pasivo , cuando el asegurador se demora en
adquirir ( o vender) unidades de cuenta que corresponden a las variaciones en el volumen
de los compromisos , piso de garantía de riesgo.5

5
El piso de garantía de riesgo se puede considerar con que el riesgo de que el retorno sobre los activos
invertidos sea menor que la tasa garantizada como el mínimo retorno al asegurado bajo los términos del
contrato .
El comité de activos-pasivos ( o a falta de éste , el comité de inversiones ) es el organismo
de toma de decisiones que identifica los riesgos específicos para la compañía de seguros ,
define los objetivos de la compañía ( por ejemplo, respetar los índices estatutarios o
proteger las inversiones de anualidades contra la inflación a largo plazo ) y diseña una
estrategia financiera . La asignación de activos, que debe reflejar las restricciones
regulatorias, contables o fiscales, se orienta en forma diferente dependiendo de la prioridad
relativa atada los rendimientos y a la seguridad.

El comité debe además adoptar términos de referencia que contengan objetivos y

estrategia escritas , listas de transacciones financieras autorizadas y tipos aceptables de
inversiones , y que describan un procedimiento de excepción ( para evitar demoras que
podrían resultar de una administración financiera excesivamente rígida).

El administrador de activos-pasivos debe ser libre para tomar decisiones dentro de los
límites establecidos. El administrador debe presentar periódicamente un informe de
actividades al comité de activos-pasivos (al menos una vez al año). La administración
puede asignarse a una unidad interna especial que combine representantes de pasivos y
activos de la compañía. También se puede delegar a un tercero, con la inclusión de los
términos de referencia en el mandato de administración.

Los procedimientos de control interno están orientados, primero que todo, al cumplimiento
con los términos de referencia o las instrucciones dadas al administrador. El control de
cumplimiento con los términos de referencia o instrucciones se puede realizar a varios
niveles: por el comité de activos-pasivos , sobre la base del informe del auditor , por
auditoría interna , y por un procedimiento específico de control financiero, in situ y con
base en evidencia documental. El contralor también puede hacer comentarios sustantivos
sobre la política de activos-pasivos o puede aún conducir una auditoría completa de
riesgos de activos-pasivos.

Para monitorear el nivel de riesgos incurridos y su evolución, el contralor puede usar

modelos de balances, haciendo proyecciones futuras, de los resultados y la situación
financiera de la compañía usando escenarios predeterminados (ver IAIS 2003b para mayor
información sobre pruebas de estrés por aseguradores). Estos escenarios, o hipótesis, que
incluyen el clima económico y financiero, el proceso de producción de la compañía y el
comportamiento de los clientes, hacen posible construir indicadores de riesgo que
contienen umbrales de alerta.

Instrumentos derivados

Si una compañía de seguros entra en el mercado de los derivados está expuesta a riesgos
específicos, incluyendo los siguientes :
• La naturaleza fluida de los derivados , en la cual las transacciones se pueden hacer muy
rápido con base en órdenes verbales ( promesas) y en volúmenes que algunas veces son
considerables , que hace que sea difícil hacerles seguimiento
• Efecto considerable de apalancamiento, en el cual las pérdidas y las ganancias pueden
ser grandes comparadas con la inversión inicial
• Administración compleja, en la cual el personal que administra los derivados debe estar
particularmente bien calificado, lo mismo que los que diseñan las políticas en esta área
• Problema de liquidez
• Riesgo de contraparte Los derivados requieren supervisión, monitoreo de las posiciones,
y control interno estricto. Según ICP 22, sobre derivados y compromisos similares,

“La autoridad de control exige que los aseguradores cumplan con los estándares sobre el
uso de derivados y compromisos similares. Estos estándares tienen que ver con
restricciones en su uso y divulgación de requerimientos así como de controles internos y
monitoreo de las posiciones relacionadas .”

Específicamente, en el criterio esencial e,

“La autoridad de control exige que los aseguradores tengan sistemas de control de riesgos
establecidos , que cubran los riesgos de las actividades con derivados , para garantizar
que los riesgos que surjan de todas las transacciones con derivados realizadas por el
asegurador se puedan analizar y monitorear individualmente y en agregado [y ]
monitorear y administrar de manera integrada con riesgos similares que surgen de
actividades no derivadas de modo que las exposiciones se puedan evaluar regularmente
sobre una base consolidada.”

Según la Operación Francesa sobre Operaciones de Mercado de Acciones , “ La

administración de riesgos que surgen de los derivados es un problema de control interno”
de varias clases .

El primer tema de control interno es una descripción detallada de estrategias . La junta

directiva, la administración general, y otros miembros del personal de la alta gerencia
deben entender claramente las estrategias utilizadas por los traders y deben evaluar cada
objetivo perseguido y cada método de implementación .Los informes de control interno
deben proporcionar suficientes detalles que le permitan a la administración diseñar una lista
de estrategias autorizadas y aprobar o vetar cualquier estrategia nueva.

El segundo tema tiene que ver con los recursos. La compañía debe tener recursos
adecuados de computador, comunicaciones y administración para permitir que los traders
actúen rápido y en forma apropiada . La efectividad de los sistemas puede estar sujeta a
ciertas pruebas , tales como la medida de una posición dada o la construcción de una
prueba de estrés.

El tercer tema es el monitoreo de los activos líquidos . En una estrategia de inversión , la

compañía tiene que tener los activos líquidos necesarios para los contratos futuros de
compra de activos .¿ Dónde para la noción de activos líquidos? ¿Únicamente en los
activos disponibles en el banco? ¿ O es un concepto más amplio que incluye depósitos a
término y flujos de efectivo futuros , tales como intereses acumulados , valores
amortizados , o primas por cobrar? ¿Son los activos líquidos utilizados más de una vez para
propósitos diferentes?
Las políticas y procedimientos de control interno deben contestar estas preguntas. Otros
procedimientos deben buscar garantizar cumplimiento con los límites sobre el uso de los
derivados establecidos por la junta directiva —límites por tipo de estrategia, producto,
mercado y contraparte (transacción por mutuo acuerdo).

Sistemas de computador

La tecnología de computadores ha transformado las estructuras de las compañías de seguros

al permitirles, entre otras cosas, procesar rápidamente grandes volúmenes de datos sobre
contratos, primas, siniestros, provisiones técnicas, comisiones , e inversiones. Al mismo
tiempo, el computador se ha convertido en una nueva fuente de riesgos que están dentro
del alcance del control interno.

Los riesgos específicos conectados con los aspectos técnicos de cada tipo de sistema de
información, que esté centralizado o no o que involucre computadores personales
individuales o en red, no se discuten aquí. Pero todos los sistemas implican riesgos
compartidos , que son inherentes al uso de la tecnología de computadores :

• Riesgo de error . El uso de procesos complejos de computador involucra un número de

operaciones repetitivas y voluminosas, y por lo tanto ocurren anomalías si el software
contiene un error. Cada error tiene un carácter sistemático: si ya ha ocurrido , se debe
probablemente a un problema de diseño en el sistema y volverá a ocurrir cada vez que se
repitan las mismas condiciones .
• Riesgo de intento malintencionado o de fraude. La facilidad de uso ( a diferencia de las
herramientas tradicionales de contabilidad) permiten que una persona malintencionada
haga una entrada errónea . La concentración de información debilita su protección.
• Riesgo de negligencia . Entre más sofisticado sea el hardware que se usa , mayor es la
necesidad de un control estricto. Sin embargo, la confianza ciega que algunos operadores
depositan en estos recursos les hace perder su espíritu crítico y crea un clima psicológico
de optimismo y relajación que es especialmente susceptible a errores y a fraude. La
historia de la tecnología de los computadores está llena de eventos que ilustran este hecho.
• El riesgo de posibles contratiempos. Estos incluyen el colapso de un programa de
software por una interrupción accidental causada por una codificación que excede la
capacidad del archivo — por ejemplo, cuando una suma contiene más dígitos de los que
el medio de almacenamiento puede aceptar , o el uso de un medio de almacenamiento de
nueve dígitos para sumar provisiones de riesgo , evaluados archivo por archivo, elimina el
final de todas las cantidades que exceden un millón . El control interno debe monitorear la
confiabilidad del software , los datos que se ingresan al computador , el procesamiento de
los datos , la protección de los datos y la descripción de los procesos . Además, para
prevenir la destrucción del hardware y de los datos, y posiblemente para repararlos , los
procesos de control interno deben seguir un número de reglas elementales con relación a
los mecanismos de seguridad ( seguros, contraseñas) y la protección de los archivos y de
los programas .

La información se debe proteger contra ciber-depredación interna ( uso no autorizado,

perdida de datos) y externa ( competidores , piratas), el equipo debe ser protegido contra
fenómenos naturales ( tormentas , fallas eléctricas , polvo) y, en el caso de apagones , las
operaciones deben depender de instalaciones externas de computador . El control interno
verifica que la compañía sea capaz de superar los efectos de una crisis de tecnología de
los computadores (riesgo de sobre dependencia en tecnologías de información).

El uso de intermediarios

Los agentes y los corredores juegan un papel importante en el negocio de seguros, ya que
ellos constituyen su fuerza principal de ventas. Además, algunas veces se les delegan las
siguientes tareas operacionales: Expedición de pólizas , cobro de primas , y conciliación de
siniestros.

Esa delegación genera riesgos específicos:

• Riesgo de suscripción , en el cual el intermediario puede aceptar un riesgo malo o aún

comprometer al asegurador más allá de sus límites
• Riesgo de fraude a través de la venta de pólizas ficticias o el pago de beneficios que no
se merecen
• Riesgo de malversación de fondos recibidos de los asegurados o de los aseguradores
• Riesgo financiero relacionado con la transferencia tardía de los fondos recogidos

Para protegerse contra estos riesgos, las compañías de seguros establecen procedimientos
de control interno para lograr lo siguiente:

• Control de la integridad de los intermediarios

• Segregación de obligaciones entre los intermediarios y los departamentos encargados de
establecer los precios y expedir las pólizas
• Monitoreo regular de la posición de los intermediarios sobre la base de los índices del
balance
• Conducción de auditorías internas, con miras a garantizar que el intermediario no paga
beneficios inmerecidos, remite regularmente a la compañía todas las primas recogidas, y
no compromete a la compañía más allá de los techos establecidos

Contratos con proveedores externos ( Outsourcing)

Cada vez más las compañías están buscando los servicios de proveedores externos esto es,
contratar algunas de sus funciones esenciales con terceros. Varios de los ICPs se refieren
al outsourcing, incluyendo :

• ICP 6, sobre licenciamiento, criterio esencial b: “Un criterio claro, objetivo y público de
licenciamiento requiere…la información sobre contratos con afiliados y acuerdos con
proveedores externos.”
• ICP 13, sobre inspección in situ , criterio esencial f: “La autoridad de control puede
extender la inspección in situ para obtener información de intermediarios y compañías
que han aceptado funciones contratadas con proveedores externos por la autoridad
supervisada .”
• ICP 10, sobre control interno , criterios esenciales h y j: “La autoridad de control exige
vigilancia y rendición de cuentas claras para todas las funciones contratadas con
proveedores externos , como si esas funciones fueran realizadas internamente y sujetas a
los estándares normales de controles internos .”
• ICP 10, criterio esencial j: “La autoridad de control exige que una función de auditoría
interna… evaluar las funciones contratadas con proveedores externos .”

El rango de funciones que los aseguradores han contratado con proveedores externos es
muy amplio. Incluye expedición de pólizas, arreglos de siniestros , cálculo de provisiones
técnicas , establecimiento de tasas , tareas actuariales, administración de computadores ,
administración de portafolios de activos , informes prudenciales , auditorías internas, y más.
La contratación con terceros puede tener ciertas ventajas . Puede reducir costos , debido a
las economías de escala en la prestación de servicios , y beneficios derivados de la
experticia de un especialista externo. Sin embargo, también implica riesgos que el
asegurador debe administrar, incluyendo:

• Riesgo legal . La falta de cumplimiento de los proveedores con requerimientos legales

(especialmente cuando ellos no son aseguradores)
• Riesgo operacional . Riesgo de pérdida de control sobre las actividades contratadas con
terceros , riesgo de pérdida de competencia de la compañía para administrar las actividades
contratadas por terceros , y riesgo de conflicto de intereses si el proveedor trabaja para
varias compañías de seguros
• Riesgos generales . Riesgo de incompetencia del proveedor , deterioro de la calidad del
servicio prestado, costo excesivo que conduce a primas más altas para el asegurado

El control interno está orientado a prevenir riesgos y a tratar de limitar sus efectos. Los
propósitos de los controles sobre servicios contratados con terceros incluye verificar que:
el contrato no mine los intereses de los asegurados; la junta directiva de la compañía
sienta que todavía tiene que responder por todas las actividades contratadas con terceros
y se comporte de conformidad en la definición y monitoreo de estas actividades; los
lineamientos preparados por la junta se describan claramente en el contrato de prestación
de servicios con terceros y el proveedor los cumpla; los recursos de la compañía para
analizar los riesgos asociados con la contratación de servicios con terceros sean adecuados
y efectivos; existan soluciones alternativas si los proveedores tienen problemas
operacionales; y la compañía de seguros tenga poder para terminar el contrato en
cualquier momento si surgen dificultades que afecten negativamente su reputación ,
política de negocios o situación financiera .

Anti- lavado de dinero

En muchos países, las leyes exigen que las instituciones financieras conozcan a sus
clientes, incluyendo los verdaderos beneficiarios de cualquier contrato en el que los
representantes no actúan en su propio nombre. La obligación de vigilancia especial aplica
a las transacciones grandes que son inusualmente complejas y que no parecen tener
ninguna justificación económica o propósito legal. Especialmente afecta a los seguros de
vida , pero otras clases de seguros tampoco escapan al riesgo que puede afectar la
reputación de la compañía , y que finalmente termina afectando su solidez financiera.

IAIS ha expedido una recomendación básicamente dirigida a las autoridades de control

pero ilustrando además el papel del control interno . Según ICP 28, anti-lavado de dinero,

“La autoridad de control exige a los aseguradores e intemediarios que tomen medidas
efectivas para disuadir, detectar y reportar el lavado de dinero y la financiacion del
terrorismo.”

El criterio f trata específicamente de: el monitoreo y el reporte de transacciones

sospechosas,

“La autoridad de control exige que los supervisores e intemediarios cooperen con las
autoridades competentes, garanticen transparencia del flujo de dinero, en particular
monitoreen transacciones complejas e inusualmente grandes o patrones inusuales de
transacciones que no tengan un propósito económico o legal aparente, informen
oportunamente a la autoridad competente cualquier actividad sospechosa, tal como una
transacción donde los dineros podrían venir de una actividad criminal o estar asociada o
relacionada con, o se van a usar para, financiar terrorismo, estén alerta sobre cambios
inexplicables significativos e inesperados en las cuentas de los asegurados, verifiquen
recursos de reaseguro o retrocesión para garantizar que los dineros se pagan a las entidades
de reaseguros legítimas [y] en caso de que surja una sospecha del lavado de dinero o
financiación del terrorismo, se abstengan de alertar a los clientes cuando la información
relacionada con ellos se envía a las autoridades competentes”.

Por lo tanto, las compañías de seguros deben tener procedimientos de control interno para
aumentar la conciencia del personal, y la de los intermediarios encargados de suscribir o de
recoger fondos, para identificar la suscripción de un contrato, y mantener un registro de la
transacción por el tiempo que la ley lo requiera.

En caso de duda, la compañía de seguros debe escribir un “informe de transacción

sospechosa” y enviarlo a las autoridades encargadas de detectar lavado de dinero y a las
entidades regulatorias de seguros, cuando sea necesario.
Ejercicio

6. Esta sección del módulo presentó los siguientes ejemplos de funciones importantes de
un asegurador para las que se requieren controles internos sólidos: evaluación de riesgos
(seguro de vida); provisiones de siniestros (seguro de no vida); protección de inversiones;
administración de activo-pasivo; instrumentos derivados; sistemas de computador; el uso
de intermediarios; contratos con terceros; y anti-lavado de dinero. Dé un ejemplo de un
asegurador en su jurisdicción para quien la debilidad en el control interno de una o más de
estas funciones contribuyó a la necesidad de intervención de supervisión. Describa la
naturaleza de las debilidades y los pasos que se tomaron para resolverlas.

E. El control interno y la autoridad de control interno

El control interno cumple una función prudencial. Está por tanto sujeto, por una parte al
escrutinio de auditores externos (o estatutorios) y por otra a la vigilancia por parte de los
supervisores de seguros, especialmente relacionada con la solidez financiera y las
condiciones operativas de las compañías. El auditor externo debe expresar una opinión
sobre la legalidad, honestidad y precisión de los estados anuales de la compañía que están
siendo auditados.

El auditor externo también describe, en un informe especial para la Junta Directiva los
documentos de contabilidad a los que se les debe hacer cambios, agregando cualquier
comentario útil, en relación con los métodos utilizados para preparar estos documentos,
cualquier irregularidad o error identificado y cualquier conclusión en relación con las
cuentas de la compañía. Esta descripción incluye debilidades de control interno,
descubiertas por el auditor externo, riesgos que se desprenden de éstas, y recomendaciones
para rectificarlas.

Por su parte, la autoridad de control monitorea la confiabilidad y efectividad del control

interno y usa los hallazgos del control interno para evaluar la solidez financiera y las
condiciones operativas de la compañía.

Esta sección discute los poderes y responsabilidades de la autoridad de control y la

evaluación del supervisor y el uso del control interno.

Poderes y responsabilidades de la autoridad de control

Estos poderes y responsabilidades se describen con precisión en algunos de los principios

básicos de seguros: ICP 10 trata específicamente de control interno, mientras que ICPs 9,
13, 17, 18, 21, y 22 se refieren a él. Estos ICPs establecen principios y criterios de
evaluación aplicables a diferentes funciones esenciales de una compañía de seguros.
Según ICP 10,

“la autoridad de control exige que los aseguradores tengan controles internos. La
responsabilidad por el establecimiento, monitoreo, y operación efectiva de estos controles
recae sobre la Junta Directiva, que debe establecer sistemas para organizar la forma de
compartir información confiable entre los diferentes niveles de administración y en
particular, verificar la efectividad de esos sistemas.”

El supervisor exige que la compañía de seguros, y en particular su junta directiva cumpla

con todos los estándares aplicables de gobierno corporativo recomendados por ICP 9. Los
aseguradores deben tener una función permanente de auditoría (ICP 10, criterios esenciales
h, i, y j). las inspecciones in situ deben incluir evaluación de los sistemas de control interno.
(ICP 13, nota explicativa 13.3).

Según ICP 17, criterio esencial d, “como mínimo, la supervisión a todo el grupo de
aseguradores que son parte de grupos de seguros o de conglomerados financieros, incluye
además de la supervisión única, a nivel de grupo, y a nivel de intermediario según las
políticas adecuadas sobre vigilancia de supervisión de … mecanismos de control interno y
procesos de administración de riesgos, incluyendo líneas de reportes y una prueba
apropiada e idónea de la alta gerencia”

Las políticas y sistemas de administración de riesgos deben poder identificar, medir,

describir, y controlar rápidamente los riesgos que enfrenta una compañía de seguros (ICP
18, criterio esencial a), la administración y la protección de activos (ICP 21, criterio
esencial e), y el uso de derivados (ICP 22). En otras palabras, los objetivos y las
responsabilidades de la autoridad de control son:

• Imponer sobre los administradores y la alta gerencia de las compañías de seguros, el

establecimiento de estándares y controles internos, que cubran todos los aspectos de la
administración de la compañía y que verifiquen que las obligaciones y responsabilidades de
cada uno están claramente definidas, con una segregación y separación de funciones claves.

• Verificar que la función de auditoría tiene los medios necesarios para llevar a cabo sus
responsabilidades en forma efectiva, incluyendo acceso a todos los departamentos y
sectores de la compañía, independencia de la alta gerencia y de los administradores,
suficientes recursos materiales y humanos, (habilidades y experiencia), y metodología
apropiada.

• Verificar que la información de la junta directiva esté organizada apropiadamente y que

las recomendaciones de la auditoría se tomen en serio. Exigir, si es necesario, el
fortalecimiento de los controles internos.

• Para la evaluación de los sistemas de control interno que existen en una compañía, el
supervisor trabaja por etapas. El procedimiento que se describe aquí es un ejemplo, no un
modelo único. La primera tarea es entender el sistema. Para entender las redes de
administración de información, desde el principio de la transacción hasta su entrada a las
cuentas de la compañía, el supervisor habla con los funcionarios y participantes de los
departamentos, estudia el manual de control interno y revisa los informes de los auditores
internos (ver IAIS 1998).

Esto es seguido por la preparación de una descripción del sistema para mantener un registro
escrito de la información recogida. Esta descripción no se limita a un enfoque contable.
Además cubre información adicional procesada por la compañía, como estadísticas de
negocios nuevos, riesgos compartidos en grupos homogéneos, y siniestros por segmento de
costos.

Después es importante verificar la existencia de un sistema (para validar o invalidar) la

relevancia de la información preparada y revisar los procesos y verificaciones
implementadas por la compañía. Para garantizar que los sistemas están diseñados para
eliminar (o al menos reducir en forma significativa) los riesgos, o los errores y las
pérdidas. De la misma forma, el supervisor usa cuestionarios preestablecidos para cada
función en la compañía y para cada objetivo de control interno. ¿Cómo se puede encontrar
evidencia, sobre la base de las entradas de contabilidad? ¿Por medio de qué
procedimientos, las personas autorizadas para firmar cheques verifican que una transacción
– por ejemplo, el pago de un siniestro o la verificación de un balance de seguros – es
justificada?

La siguiente tarea es verificar el funcionamiento efectivo de los procedimientos escritos.

¿Realmente se usan? ¿Se usan todo el tiempo? Para responder estas preguntas, el supervisor
puede repetir el procesamiento o control realizado por el personal o por el computador de la
compañía. La prueba entonces consiste en ingresar datos preparados por el supervisor en
los programas de computador utilizados por la compañía para verificar que los
procesamientos y los controles utilizados por la compañía están implementados en forma
efectiva. Sigue una evaluación final en la cual el supervisor determina el grado de su
confianza en el sistema de control interno de la compañía, haciendo una evaluación del
diseño y de los procedimientos y los resultados de las pruebas llevadas a cabo para medir su
funcionamiento.

La evaluación del control interno tiene un doble propósito. El supervisor que está
convencido de la confiabilidad de los procedimientos realizará solo unas pocas pruebas,
pero el número de las pruebas de validación, aumentará si se descubren procedimientos no
confiables. Si se encuentra que los procedimientos no son efectivos, el supervisor sugerirá
mejoras.

Las conclusiones del supervisor, son revalidadas, revisando los informes de auditoría
interna: el supervisor tiene acceso a todos los informes de auditoría interna, y al revisarlos
puede revalidar los hallazgos de la supervisión. A su turno, el supervisor evalúa la calidad
de los informes de auditoría, verificando la exactitud de los datos y la relevancia de los
análisis. Con frecuencia esta tarea es difícil, porque no existe una estandarización del
formato y contenido de los informes de auditoría que con frecuencia están tan llenos de
información detallada, son preparados únicamente para uso interno y no son certificados.
Enfrentado a esa situación, el supervisor puede recomendar que la compañía establezca un
marco de control para los informes de auditoría con el fin de racionalizar su estructura y
resaltar la información importante que contienen.
Finalmente, el supervisor analiza los defectos y las debilidades identificadas por los
auditores, y les pide a los jefes de departamento y a la alta gerencia de la compañía que
hagan seguimiento a los comentarios del auditor. El supervisor es una clase de “súper”
auditor externo, cuyos poderes, objetivos y acciones son considerablemente diferentes de
aquellos de los auditores internos. Primero, el alcance de la autoridad del supervisor es
universal, y le permite obtener una imagen consolidada del control interno de la compañía.
El trabajo del auditor interno está generalmente restringido a un departamento. Segundo, las
acciones de supervisión se realizan con discreción, selectivamente, y con el grado de
profundidad ajustado sobre la base de la comprensión que el supervisor tiene de la
compañía. Al auditor interno, se le asigna la preparación de inventarios más completos de
temas posibles para responder preguntas a la alta gerencia, al oficial de cumplimiento o a
la junta directiva. Tercero, las conclusiones del supervisor están dirigidas a la Junta
Directiva y las recomendaciones son vinculantes para la compañía, que debe tomar las
medidas correctivas requeridas. Los comentarios del auditor interno son solamente el
primer paso en un diálogo que puede producir retroalimentación en el futuro.

Uso del control interno por el supervisor

El supervisor usa observaciones y hallazgos sobre el control interno más o menos en su

totalidad, dependiendo de su opinión en relación con la confiabilidad y efectividad de los
procedimientos implementados por la compañía. Pero cualquiera que sea el grado de su
confianza en el sistema de control interno, la autoridad de control no puede dejar de hacer
sus propias investigaciones, especialmente en las inspecciones in situ que son la única
forma capaz de confirmar que la calidad del control interno es duradera y de recoger datos
sobre las condiciones operativas y solidez financiera (generalmente el área principal de
preocupación) necesarios para formarse un juicio externo e independiente. Algunas
autoridades de control han establecido criterios detallados para la evaluación de las
funciones de control interno. (por ejemplo, ver OSFI 2002).

EL supervisor usa con más frecuencia los hallazgos de control interno para evaluar
operaciones tales como el uso de derivados, política de suscripción, estrategia de
reaseguros, y decisión de inversiones, haciendo énfasis particular en los contratos de
servicios con terceros, y algunas veces para hacer una proyección hacia el futuro, de las
tendencias en la situación financiera de la compañía.

El supervisor puede solicitar los hallazgos de control interno, para evaluar la calidad de los
servicios prestados al asegurado. La efectividad de la administración de riesgo, el
cumplimiento de las transacciones de la compañía con las leyes y normas vigentes, y lo
adecuado de la función de auditoría interna. A continuación damos unos ejemplos.

Protección del asegurado y calidad de los servicios prestados (Seguros de vida)

El supervisor usa los análisis y hallazgos de control interno para evaluar la administración
de la compañía, en puntos claves muy precisos:
• Participación de los asegurados en las utilidades, su distribución entre los varios tipos de
contratos y la justificación de esas cantidades, en comparación con los modelos de flujos de
caja futuros de la compañía.

• El procesamiento de contratos cancelados, de moras en pago de valores de cesión, cálculo

de provisiones relacionadas, pólizas de primas reducidas.

• Información preparada para los asegurados, la calidad de los folletos que se les envían y la
confiabilidad de los call centers

• Seguimiento de las quejas presentadas por los asegurados que aseguran que fueron mal
informados sobre las características de sus contratos (indexados, valores de cesión)

Algunas veces, la información suministrada por los procedimientos de control interno no es

suficientemente específica para que le ayude al supervisor a hacer un juicio confiable sobre
el nivel de las provisiones técnicas. El supervisor puede solicitar razonablemente al actuario
de la compañía una evaluación prospectiva de los compromisos de la compañía sobre la
base de los datos económicos más recientes. (Tabla de esperanza de vida, tasa de interés,
honorarios de administración).

Sistema de Administración de Riesgo

El supervisor analiza el sistema de administración de riesgo establecido por la compañía, el

cual, si es relevante, le ayuda al supervisor a juzgar las solidez financiera de la compañía.
El supervisor puede entonces adaptar los índices prudenciales a las situaciones específicas
que aparecen en el inventario de riesgos. Las preguntas cruciales para incluir son:

• ¿Son los datos recogidos por la compañía para calcular las provisiones técnicas,
suficientes relevantes y bien utilizados?
• ¿Los contratos de reaseguros protegen efectivamente a la compañía contra eventos
catastróficos y una frecuencia anormal de siniestros? ¿Se han evaluado en forma precisa, la
calidad y la solvencia de los socios de reaseguros?
• ¿Están los archivos de préstamos suficientemente bien documentados para alertar a la
compañía de los riesgos de incumplimiento del prestatario?
• ¿Se ha realizado un análisis prospectivo de los riesgos de liquidez, incluyendo un análisis
de flujo de caja, y si es así, está basado en supuestos apropiados?

Cumplimiento con las leyes y regulaciones

El cumplimiento incluye, no solamente las regulaciones legales aplicables a todas las

compañías en la misma jurisdicción, sino también las regulaciones internas adoptadas para
cada compañía. Las compañías deben tener controles internos para garantizar su
cumplimiento con las leyes y las regulaciones internas. El supervisor debe evaluar si estos
controles son efectivos para mantener cumplimiento con las leyes y regulaciones legales,
por ejemplo, determinar si los índices prudenciales se están cumpliendo y si las estructuras
administrativas son adecuadas. El supervisor además examina si las regulaciones internas
son relevantes y están bien ejecutadas:

• ¿Está la Junta Directiva debidamente informada, especialmente en relación con la firma

de contratos importantes, pago de siniestros grandes, o pasos que han tomado los
departamentos en respuesta a los hallazgos de auditoría interna?

• ¿Están claramente definidas las funciones y los métodos de trabajo (roles, tareas,
responsabilidades) de los comités a los que se les ha delegado poder?

• ¿Es el papel del oficial de cumplimiento únicamente nominal con tareas,

responsabilidades y poderes definidos en forma vaga?

• ¿Está la revisión del manual de auditoría y revisiones internas programada para hacer
correcciones a los defectos e inconsistencias en forma periódica?

A su turno, los auditores internos deben informar a la Junta Directiva de todos los defectos
identificados durante sus revisiones. Es igualmente importante que ellos construyan
modelos de las tendencias en los índices prudenciales, particularmente de la capacidad de la
compañía para absorber pérdidas potenciales.

Idoneidad de la auditoría interna

El supervisor debe señalar los defectos de las capacidades y procesos de auditoría interna,
incluyendo:

• Falta de know-how de la auditoría de ciertas funciones técnicas

• Identificación inexacta de ciertos riesgos
• Criterios imprecisos para reportar a la junta directiva
• Insuficiente seguimiento, por parte de los departamentos involucrados, de los puntos
tratados en las observaciones y recomendaciones de los auditores

En resumen, el control interno ayuda a los supervisores a evaluar la situación financiera, las
condiciones operativas y la administración operativa y comercial de una compañía de
seguros.

En algunos países, las regulaciones ordenan sanciones en el caso de ausencia, defectos, o

debilidades del control interno. Los reportes de control interno también deben servir como
una base para aplicar sanciones, si éstos revelan cualquier infracción de las regulaciones.
En la mayoría de las jurisdicciones, incluyendo Francia, un informe que sigue a la
inspección in situ debe confirmar la realidad de estas infracciones.
Ejercicios

7. Describa tres formas en las cuales la evaluación de los controles internos de un

asegurador por parte de la autoridad de control difiere de la evaluación del auditor interno
del asegurador.

8. Haga una lista de inspecciones in situ y fuera del sitio realizadas por su autoridad de
control para verificar la idoneidad de los controles internos de un asegurador

F. Conclusiones

Una compañía, incluyendo una compañía de seguros, no puede considerarse en buena salud
financiera en el largo plazo, si no tiene un sistema adecuado y efectivo de control interno.
En la actualidad, los supervisores están tan convencidos de este hecho que tienden a poner
sus requerimientos al mismo nivel de cumplimiento de los índices prudenciales. Esto no
siempre ha sido cierto, aunque las compañías bien administradas, no esperan las
regulaciones y recomendaciones expertas para establecer procedimientos efectivos que
permitan a sus administradores controlar los principales riesgos a los que están expuestas.

El volumen grande de contratos que administran, el gran volumen de inversiones, la

diversificación de actividades técnicas ampliamente distribuidas geográficamente y la
creciente sofisticación del procesamiento de datos han contribuido a aumentar la conciencia
entre los administradores y los contadores, dentro y fuera de las compañías, de la
importancia de contar con controles internos fuertes para garantizar el funcionamiento
adecuado de firmas y el éxito de sus operaciones.

En el sector asegurador, los controles internos deben cubrir todas las actividades de la
compañía, no solamente aquellas relacionadas con la contabilidad, aunque ésta es
particularmente relevante en ciertos dominios operacionales, tales como la aceptación de
riegos de seguros, administración de activo-pasivo, derivados y contratos de servicios con
terceros.

Los procedimientos de control interno están reflejados en comentarios y recomendaciones

en los informes orientados principalmente a las personas que toman las decisiones en la
compañía, principalmente la junta directiva, pero también a la alta gerencia, al comité de
auditorías, y a otros comités. Al mismo tiempo, estos informes están disponibles para los
auditores externos, “o estatutorios” y para los supervisores – en forma sistemática, a su
solicitud o durante las inspecciones in situ.

Los auditores externos deben presentar una opinión por escrito sobre la confiabilidad del
sistema de control interno. El supervisor tiene las siguientes responsabilidades dentro del
marco de la evaluación de una compañía:
• Evaluar regularmente sus procedimientos de control interno
• Garantizar que los auditores internos sean independientes de la administración de la
compañía y, verificar que se hace seguimientos a sus observaciones y que cualquier defecto
se soluciona tan pronto como es posible.

Pero el control interno, aunque sea excelente no puede relevar a la autoridad de control de
sus responsabilidades para realizar investigaciones, incluyendo inspecciones in situ, que
son la única forma para:

• Confirmar la permanencia de su excelencia

• Hacer una evaluación consolidada, externa, e independiente de la compañía.

En su trabajo, IAIS ha hecho énfasis en la necesidad y la importancia del control interno.

ICP 10 esta dedicado a él. Existen algunos otros principios básicos, que le otorgan un sitio
significativo en la lista de criterios esenciales que describen los desafíos, soluciones
propuestas y acciones recomendadas que debe tomar el supervisor. Este módulo ha
demostrado la relevancia de estos principios y criterios, que no deben ser rígidos sino que
deben evolucionar a través del tiempo, teniendo en cuenta las necesidades de la compañía.
G. Referencias
Basel Committee on Banking Supervisión. 1998. Framework for Internal Control Systems
in Banking Organizations. Basel, September. Available at www.bis.org. Published
in a variety of languages.
Committee of the Conference of Insurance Supervisory Services of the Member States
of the European Union. 2002. Prudential Supervision of Insurance Undertakings.
Known as the London Group Report or the Sharma Report. London, December.
Available at www.ceiops.org.
CEIOPS (Committee of European Insurance and Occupational Pensions Supervisors).
2003. Internal Control for Insurance Undertakings. Known as the Madrid Working
Group Report. Madrid, December. Available at www.ceiops.org.
COSO (The Committee of Sponsoring Organizations of the Treadway Commission).
1994. Internal Control—Integrated Framework. Jersey City. Executive summary
available at www.coso.org and full report available for purchase at www.cpa2biz.
com.
———. 2004. Enterprise Risk Management—Integrated Framework. Jersey City,
September.
Executive summary available at www.coso.org and full report available for
purchase at www.cpa2biz.com.
IAIS (International Association of Insurance Supervisors). 1998. Supervisory Standard
on On-site Inspections. Basel, October. Available at www.iaisweb.org.
———. 2003a. Insurance Core Principles and Methodology. Basel, October. Available at
www.iaisweb.org.
———. 2003b. Guidance Paper on Stress Testing by Insurers. Basel, October. Available at
www.iaisweb.org.
———. 2003c. Guidance Paper on the Use of Actuaries as Part of a Supervisory Model.
Basel, October. Available at www.iaisweb.org.
———. 2004. Guidance Paper on Investment Risk Management. Basel, October. Available
at www.iaisweb.org.
IFAC (International Federation of Accountants). 2006. Handbook of International
Auditing,
Assurance, and Ethics Pronouncements, 2006 Edition. New York, January.
Available for purchase in hard copy or for downloading free of charge at http:///
www.ifac.org.
OECD (Organisation for Economic Co-operation and Development). 2004. OECD
Guidelines for Good Practice for Insurance Claim Management. Paris, November.
Available at http://www.oecd.org/dataoecd/43/44/33964905.pdf. Also published
in French.
OSFI (Office of the Superintendent of Financial Institutions Canada). 2002. Assessment
Criteria (multiple documents). Ottawa, August. Available at http://www.osfi-bsif.
gc.ca/osfi/index_e.aspx?DetailID=294. Also published in French.
Anexo I. ICP 10

ICP Nº 10: Control Interno: La autoridad de control requiere que los aseguradores
tengan en funcionamiento controles internos, que sean adecuados para la naturaleza
y escala de su operación. Los sistemas de vigilancia e informes permiten a la Junta
Directiva y a los directivos monitorear y controlar las operaciones

Notas explicativas
10.1. El propósito del control interno es verificar que:
• La operación de una compañía de seguros sea manejada de una manera prudente, de
acuerdo con las políticas y las estrategias establecidas por la Junta Directiva
(referirse a ICP 9).
• Las transacciones son solamente realizadas con permiso apropiado
• Los activos están salvaguardados (referirse a ICP 21)
• La contabilidad y otros registros proporcionan información completa, precisa,
verificable y oportuna
• La administración puede identificar, evaluar, administrar y controlar los riesgos del
negocio y mantener el capital suficiente para estos riesgos (referirse 18 y 23)
10.2. Un sistema de control interno es crítico para la efectiva administración de riesgos y
un fundamento para la operación sana y sólida de un asegurador. Proporciona un
acercamiento sistemático y disciplinado para evaluar y mejorar la efectividad de la
operación y garantizar el cumplimiento con las leyes y la regulación. Es
responsabilidad de la Junta Directiva desarrollar una fuerte cultura de control interno
dentro de su organización, cuya característica central es el establecimiento de
sistemas para la comunicación adecuada de información entre los diferentes niveles
de la administración.
10.3. Un elemento esencial de un sistema de control interno es que la Junta Directiva reciba
informes de manera regular sobre la efectividad del control interno. Cualquier
debilidad identificada debe ser reportada a la Junta Directiva tan pronto como sea
posible, de manera que se pueda tomar la acción apropiada).

Criterios esenciales

a La autoridad de control revisa los controles internos y verifica que sean adecuados para
la naturaleza y la escala de la operación y requiere el fortalecimiento de dichos controles
cuando sea necesario. La Junta Directiva es la responsable en última instancia de establecer
y mantener un sistema de control interno efectivo.

b. El marco para el control interno del asegurador incluye los acuerdos para delegar la
autoridad y responsabilidad y la segregación de obligaciones. Los controles internos
abordan asuntos de revisión y balance; por ejemplo, revisión cruzada, control dual de
activos, firmas dobles (referirse 9 EC b).

c. La auditoría interna y externa, las funciones actuariales y de cumplimiento son parte del
marco del control interno, y deberán probar su adherencia a los controles internos así como
a las leyes y regulaciones aplicables.

d. La Junta Directiva debe proporcionar una vigilancia prudente e implantar un sistema de

administración de riesgos que incluya el establecimiento y monitoreo de políticas, de
manera que todos los riesgos mayores sean identificados, medidos, monitoreados y
controlados sobre la operación en marcha. Los sistemas de administración de riesgos, las
estrategias y las políticas son aprobadas y periódicamente revisadas por la Junta Directiva
(referirse al ICP 18).

e. La junta proporciona una supervisión adecuada de las actividades de conducta del

mercado.

f. La Junta Directiva debe recibir con regularidad informes relativos a la efectividad de los
controles internos. Las deficiencias en los controles internos, ya sean identificados por la
administración, el personal, auditoría interna u otro personal de control, son reportados
oportunamente y abordados a la brevedad.

g. La autoridad de control requiere que los controles internos aborden procedimientos de

contabilidad, conciliación de cuentas, listas de control e información para la
administración.

h. La autoridad de control requiere vigilancia y una clara rendición de cuentas para todas
las funciones contratadas con terceros, como si dichas funciones fueran realizadas
internamente y sujetas a los estándares normales de control interno.

i. La autoridad de control requiere que el asegurador tenga funciones de auditoría interna en

marcha, de naturaleza y alcance apropiados para el negocio. Esto incluye garantizar el
cumplimiento de todas las políticas y procedimientos aplicables, así como la revisión de
si las políticas, prácticas y controles del asegurador siguen siendo suficientes y
apropiadas para su operación.

j .La autoridad de control requiere que la función de auditoría interna:

• Tenga acceso no restringido a todas las operaciones y ramos de seguros y a los

departamentos de soporte.
• Evalué las funciones que son contratadas con proveedores externos.
• Tengan el nivel de independencia, incluyendo las líneas de información a la Junta
Directiva
 • Tengan el estatus dentro del asegurador para garantizar que la alta gerencia reacciona
y actúa en concordancia con sus recomendaciones.
• Cuenten con los recursos suficientes y personal, entrenados apropiadamente y con la
experiencia necesaria para entender y evaluar el negocio que están auditando
• Emplee una metodología que identifica los principales riesgos en los que incurre la
institución y asigna sus recursos de conformidad con ello (refiérase al ICP 18)

k. La autoridad de control tiene acceso a los informes de la función de auditoría interna.

l. La autoridad de control requiere informes actuariales a la Junta Directiva y a la

administración, donde la legislación o la naturaleza de las operaciones de la aseguradora
requieran la designación de un actuario.