Las aseguradoras desempeñamos un fundamental en la sostenibilidad. En este artículo se profundiza en nuestro rol de inversores, en cómo se están integrando los criterios ambientales, sociales y de gobernanza (ASG) en las estrategias de inversión para promover la sostenibilidad y gestionar a largo plazo.

Contexto

Los eventos climáticos extremos, como huracanes, incendios forestales y olas de calor se están produciendo con mayor frecuencia y severidad, lo que subraya la urgencia de abordar el cambio climático de manera efectiva. En respuesta a esta crisis, los gobiernos de todo el mundo han asumido compromisos globales para la transición hacia una economía más sostenible.

En la última cumbre sobre cambio climático (COP28), más de 200 países acordaron por primera vez dejar atrás las energías fósiles y acelerar la transición hacia sistemas energéticos de emisiones netas cero para 2050. Este acuerdo histórico refleja un consenso global sobre la necesidad de una acción urgente y coordinada para limitar el aumento de la temperatura global a 1.5ºC por encima de los niveles preindustriales. La decisión también incluye objetivos intermedios, como triplicar la energía renovable y duplicar la eficiencia energética a nivel mundial para 2030, así como conservar, proteger y restaurar la naturaleza y los ecosistemas.

Estos compromisos gubernamentales tienen un impacto significativo en el sector financiero en general y en el asegurador en particular, que se posiciona como uno de los actores clave en esta transición hacia una economía más sostenibles.

Cada vez más, los inversores estamos tomando en consideración los riesgos medioambientales, basados en la ciencia y se están integrando en las decisiones de inversión a largo plazo, como tenedores de activos y como parte de nuestra responsabilidad fiduciaria. Estos esfuerzos incluyen establecer objetivos de inversión sostenibles, elaborar planes de acción climática y colaborar con las compañías en las que invertimos para apoyar sus planes de transición hacia la sostenibilidad. Sin embargo, los inversores no podemos actuar de forma aislada, necesitamos que los gobiernos adopten medidas efectivas para crear un entorno propicio para la inversión del sector privado, con condiciones legales, políticas y regulatorias adecuadas.

Atendiendo a proyecciones de Bloomberg, el mercado de ASG podría superar los $40 billones para 2030 (vs $140 billones de activos gestionados), a pesar de un crecimiento más lento y un sentimiento polarizado. La supervisión regulatoria es crucial para abordar el greenwashing, lo que mejorará la madurez y credibilidad del mercado, aunque limitará la creación de nuevos productos. Europa seguirá siendo el mayor contribuyente, mientras que EE.UU. podría estancarse debido a las elecciones y la reacción contra la ASG.

En adelante, desarrollaremos cómo lo estamos abordando en VidaCaixa desde la perspectiva inversora de una compañía de seguros de vida y gestora de planes de pensiones. Es una trayectoria que iniciamos hace más de 20 años, inicialmente con una orientación muy centrada en gobernanza y foco en aspectos sociales y que, con los años y al igual que el resto de la industria, ha evolucionado hacia la integración de riesgos ASG en general, con desarrollos cada vez más tecnificados en la parte medioambiental.

Nuestro rol como inversor

En el marco de VidaCaixa como entidad aseguradora, las inversiones se gestionan teniendo en consideración el cumplimiento de la regulación actual, principalmente Solvencia II e IFRS, cuyos objetivos son aumentar la protección de los asegurados, mejorar la transparencia y la comparabilidad de los estados financieros de las aseguradoras.

En base a esta regulación, las inversiones de las aseguradoras pueden variar así mismo en función del negocio (foco en vida o en no vida) y del propio perfil de riesgo. De todos modos, un rasgo común en el sector asegurador español (y también europeo) es el importante peso que tiene el activo renta fija en las carteras. Esto es así porque los bonos permiten tener una buena visibilidad de los flujos de caja futuros, lo cual es una ventaja para cubrir los compromisos de pago que la aseguradora ha asumido con sus asegurados. Las carteras no están referenciadas a la rentabilidad de un índice de mercado al que haya que batir, sino que se trata de adecuar el perfil de las inversiones a los compromisos financieros adquiridos con los clientes.  Además, la renta fija suele ser menos volátil y consume menos capital regulatorio que otros activos. En general, las aseguradoras suelen tener entre el 75% y el 100% de su activo invertido en renta fija, pudiendo invertir el resto en renta variable, inmuebles o activos alternativos.

En el universo de la renta fija, las aseguradoras invierten tanto en bonos emitidos por estados (deuda pública o gubernamental) como en bonos emitidos por entidades privadas (renta fija privada o crédito, con emisiones de entidades corporativas o financieras).

En VidaCaixa, intentamos que una parte importante de estos activos de renta fija privada estén emitidos por compañías que pertenezcan a negocios estratégicos y con alta visibilidad de resultados financieros. Igualmente, se pone el acento en que adopten buenas prácticas de gobernanza y sociales. Hay que destacar que, en muchos casos, estas compañías (utilities, energía, financieros, infraestructuras, etc.) se enfrentan a retos importantes en materia medioambiental, por lo que nos obliga a ser especialmente vigilantes y entender bien sus planes de transición.

Proceso de integración

En VidaCaixa integramos factores ASG en todas las decisiones de inversión a través de un proceso de exclusión, integración, monitorización y diálogo.

Iniciamos el proceso verificando que el tipo de actividad de la compañía esté alineado con la Política de sostenibilidad. Esto incluye la posibilidad de excluir compañías que participen en actividades tales como armamento controvertido (minas antipersona, armas biológicas y nucleares, entre otras) o que vulneren de forma manifiesta los derechos humanos (principios OCDE y de la OIT) o medioambientales (extracción de carbón térmico, generación de electricidad a partir de carbón térmico, arenas bituminosas, y petróleo y gas en el Ártico, bajo ciertos umbrales).

En el caso de las inversiones del balance de VidaCaixa incorporamos criterios ASG específicos como la adhesión a la Net Zero Asset Owner Alliance, con compromisos de reducciones del 50% a 2030 de las emisiones de CO₂ de nuestras inversiones, en base al protocolo técnico que establece la alianza.

Otro de los procesos implementados, es el establecimiento de mecanismos de diálogo con las compañías en las que invertimos que puedan presentar áreas de mejora en materia ASG, para acompañarlas y constatar que su estrategia de sostenibilidad está alineada con nuestras políticas y los compromisos adquiridos. Esta capacidad de poder orientar las inversiones a largo plazo es un punto muy relevante y que hace diferencial al sector asegurador respecto a otros actores del sector de la gestión de activos.

Por último, en términos ASG, diferenciamos la renta fija privada, donde se dispone de mecanismos cada vez más sólidos y una hoja de ruta clara, de la deuda pública, donde su reemplazo no siempre es posible, sus características ASG son muy estructurales y actualmente no hay un posicionamiento regulatorio que respalde su tratamiento.

En conclusión, la implementación de un proceso de integración ASG requiere de una estructura significativa, con equipos especializaos, proveedores, sistemas de gestión adaptados y con una coordinación transversal dentro de nuestras organizaciones.

Alianzas y colaboración entre inversores

La integración de los criterios ASG ha evolucionado principalmente a través de la aplicación de mejores prácticas de mercado. Su desarrollo ha sido posible gracias fundamentalmente a la colaboración multidisciplinar de muchos actores a través de alianzas internacionales, destacando las promovidas por Naciones Unidas. Estas alianzas han contribuido a establecer un marco común de entendimiento, de coordinación y de difusión de la sostenibilidad.

En VidaCaixa nos hemos adherido a estas alianzas y colaboraciones, como parte de nuestro compromiso con la sostenibilidad, contribuyendo en este debate global y asegurando la aplicación de mejores prácticas. En este sentido, cabe destacar las adhesiones y participaciones en:

• Principios de Inversión Responsable (PRI): Adhesión en 2009, primera aseguradora de vida en España. Desde 2018, se tiene la máxima calificación de los PRI en la categoría de estrategia y gobernanza.

• Net Zero Asset Owner Alliance: Adhesión en 2022 con el compromiso de reducir las emisiones de gases de efecto invernadero (alcance 1 y 2) de las inversiones corporativas de la actividad aseguradora.

Atender a estos compromisos requiere gestionar las carteras de inversión. En este sentido, por ejemplo, en la cartera de bonos corporativos de la aseguradora se ha reducido su exposición al sector utilities y ha permitido reducir la huella de carbono un 22% en 2023.

• Climate Action 100+: Adhesión en 2018, colaboración entre inversores para dialogar con las compañías con mayores emisores corporativos de gases de efecto invernadero a nivel mundial, con el objetivo de reducir emisiones.
• Advance: adhesión en 2022, colaboración entre inversores para dialogar con las compañías para reforzar la implementación de los derechos humanos.

Rentabilidad - Riesgo con la incorporación de criterios ASG

Mas allá de las cuestiones de alineación con los valores corporativos, así como las preferencias de sostenibilidad de los clientes, se ha debatido y analizado mucho cuál es el impacto que la integración ASG puede tener en el binomio Rentabilidad - Riesgo. Estos análisis concluyen mayoritariamente que la integración de los criterios ASG mantienen el nivel de rentabilidad y reducen el riesgo.

Sobre la cuestión anterior, en base a nuestra experiencia, incorporamos algunas consideraciones:

• En la medida que delimitamos mucho nuestro universo de inversión a través de exclusiones muy exigentes, perdemos la oportunidad de diversificar y por lo tanto afectamos negativamente al binomio Rentabilidad - Riesgo. Por este motivo, abogamos por el diálogo frente a la exclusión. Esto es especialmente relevante en compromisos como el Net Zero Asset Owner Alliance, donde actualmente un porcentaje reducido de compañías están preparadas ante un escenario 1,5 ºC.
• Por otro lado, los conceptos ASG complementan la información que hasta la fecha teníamos con los estados financieros. En la medida que tomamos decisiones de inversión más informadas, podemos tener un mejor control de los riesgos.
• Adicionalmente, los inversores hemos estado dispuestos a pagar una sobreprima por emisiones con etiqueta verde de entre 5-10 pb anuales. Este greenium, que fluctúa en función de la oferta y la demanda, ha tendido a desaparecer en la medida que cada vez hay más oferta de emisiones verdes cotizadas, y una moderación en el incremento de la demanda. Para los firmantes de compromisos Net Zero son emisiones importantes con las que debemos contar para la construcción de las carteras de inversión.
• Por último, las inversiones consideradas de impacto actualmente están muy sesgadas a las temáticas de salud, educación o energías renovables. No descartamos que estas pueden ser buenas temáticas de inversión; sin embargo, dejamos de lado muchas otras inversiones y por lo tanto reducimos nuestra capacidad de diversificación.

Conclusiones

La sostenibilidad requiere de una coordinación global y ya estamos viendo que esto no es sencillo. No hay crecimiento económico sin energía. La transición desde una economía basada en energías fósiles a renovables supone evolucionar hacia un nuevo orden con nuevos actores y esto genera tensiones geopolíticas con intereses contrapuestos.

La sociedad está tomando conciencia de la necesidad de hacer un uso responsable de los recursos naturales y de los riesgos de no hacerlo. Las energías renovables han reducido sus costes de modo que económicamente ya suponen una alternativa viable a los combustibles fósiles en muchas actividades.

La UE se ha propuesto liderar la transición a un continente cero emisiones en 2055 y mediante una regulación acuciante nos está exigiendo un mayor grado de compromiso a todos los actores. En particular, al sector financiero se nos pide una mejora en los procesos de integración de riesgos de sostenibilidad, transparencia en el reporting y financiar la transición.

Por supuesto, también los factores de gobernanza y sociales son imprescindibles en la toma de decisiones de inversión, especialmente para inversores institucionales que actuamos por cuenta propia y de nuestros clientes, y que invertimos en compañías con vocación de permanencia

Las compañías aseguradoras somos inversores naturales en deudas públicas, por lo que es importante que los países que las emiten adopten buenas prácticas en materia social y de gobernanza, y atiendan a sus compromisos climáticos. Así mismo, vemos importante que la UE avance para incorporarlas en la regulación de sostenibilidad.

Con todos estos ingredientes, las compañías de seguros, en nuestro rol de inversores a largo plazo, debemos ser capaces de integrar estas cuestiones en nuestros sistemas de gestión. Esto nos obliga a estar preparados técnica y organizativamente para realizarlo de una manera efectiva.

Un panorama marcado por los ciberataques

El día a día nos viene marcado por un entorno sujeto a ciberataques. Va a oleadas, a días a semanas, pero de forma continua durante todo el año y de forma incremental todos los años, vamos recibiendo noticias de ciberataques a compañías de primer nivel, públicas o privadas, grandes o no tan grandes, de todo los sectores y ámbitos, y con diferentes grados de afectación y consecuencias. Antes de verano, vimos uno de estos ejemplos, donde en pocos días tuvimos noticias de ciberataques a Teléfonica, Banco Santander, Iberdrola, Ticketmaster, Decathlon, la misma Dirección General de Tráfico (DGT) o al partido político de Esquerra Republicana de Catalunya.  Aquí tenemos el mejor ejemplo de la situación actual, el ambiente en el que convivimos, marcado por ciberataques y donde todos estamos sujetos a este riesgo.

Además, cuando hablamos de ciberataques, no hay una tipología única y no nos debemos proteger contra un tipo de ataque concreto; hay múltiples variantes y tipologías (DDos, Phising, Malware, Ransomware ...). Aquí ya vemos que los vectores de ataque a los que estamos expuestos son muy, muy amplios.

La lista de efectos que puede provocar un ciberataque son muy variados, y entre otros abarcan:

• Fugas de información. Información que puede o podría ser muy valiosa para la competencia u otros participantes del mercado.
• Vulneración de la privacidad de los datos. Dependiendo de qué datos han sido accedidos, éstos pueden ser datos personales, con las consecuencias asociadas.
• Afectación operativa. Cuando las entidades tienen dificultades para operar o tienen que paralizar algunos o parte de sus procesos de negocio.
• Elevadas sanciones por parte de las Autoridades de Control. Hablando de privacidad, el RGPD considera hasta 20M o el 4% Facturación Global, o el nuevo Reglamento de Inteligencia Artificial que llega a 35M o 7% volumen de negocio global año anterior.
• Efectos en diferido. En muchas ocasiones, las consecuencias para los afectados no son inmediatas. En ocasiones, los datos expuestos son datos básicos, no sensibles, y a priori parece que no podría revestir implicación grave, pero los volúmenes pueden llegar a ser muy grandes, y las tramas criminales muchas veces tienen fines como vender los datos o irse nutriendo de estos para preparar estafas a gran escala, con campañas de mensajes de correo electrónico o SMS a partir de información de las víctimas y buscando que éstas realicen otras acciones o pagos indebidos. Acciones que llegan con meses de diferencia, cuando las victimas ya no tenemos en mente el ataque o el posible mal uso de esos datos.

Atacar es fácil y defenderse, muy difícil

En este escenario, hay muchos factores que juegan a favor de los “malos”:

• Recursos. Solamente con ver las empresas de ejemplo, ya podemos imaginar que estas empresas dedican recursos a ciberseguridad. No obstante, no son suficientes. Los recursos del cibercrimen son muy amplios.
• Evolución constante de las tecnologías y consecuentemente de las amenazas. Se requiere de mucho tiempo para formarse en relación con las nuevas tecnologías y al estado de la materia.
• La superficie de ataque es enorme. No solamente hay una aplicación concreta, un punto concreto. El alcance en las entidades es muy amplio y es muy difícil de proteger.
• Un solo caso de éxito ya es suficiente. Podemos parar miles de ataques, pero si consiguen entrar en una sola ocasión, ya probablemente tengamos el problema encima la mesa.

Para finalizar esta foto y tener una referencia de lo que hablamos, solamente dos datos muy ilustrativos:

• Por una parte, el cibercrimen ha alcanzado un valor global cercano al 1,5% del PIB mundial, muy por encima de los temas estrella en el ámbito criminal los negocios de drogas, armas, trata de blancas, …
• Teniendo en cuenta el daño causado, el país imaginario del cibercrimen se convertiría en la tercera economía del mundo solamente por detrás de Estados Unidos y la China.

Ante este panorama, ¿Qué podemos hacer?  ¿Se puede hacer algo?

Ya hemos visto la realidad de hoy en día, y la de los próximos tiempos sin ninguna duda.

La respuesta a la pregunta es claramente un sí. Algo debemos y podemos hacer. Debemos focalizar esfuerzos en tres objetivos:

• Hemos de asumir que nos van a atacar, pero, podemos disminuir la probabilidad de sufrir un ataque. Podemos implementar medidas de seguridad preventivas (medidas de concienciación, firewalls, antivirus, …), y con estas medidas vamos a ponérselo un poco más difícil.
• Por otro lado, si sufrimos un ataque, hemos de poder minimizar el impacto. Hemos de tener implementadas medidas de seguridad reactivas (respuesta a incidentes, securización en redes, …). Éstas nos permitirán reaccionar lo más rápido posible para limitar el daño y contener el ataque.
• Y a la par con la minimización del impacto, hemos de reducir el tiempo de recuperación (copias de seguridad, contingencia, continuidad …). En caso de haber sido víctimas de un ataque, el objetivo es tener recursos y medidas que permitan recuperarnos con el menor tiempo posible.

El marco normativo nos ha de ayudar a estar más protegidos

A día de hoy tenemos un marco normativo muy extenso, en algunos sectores aún más, y en los próximos años irá en aumento. Uno de los objetivos que se persigue con dichas normativas es proteger los datos y la información que manejan las empresas, tanto desde el punto de vista de privacidad como de seguridad (en sus diferentes dimensiones de disponibilidad, autenticidad, integridad, trazabilidad y confidencialidad).

El listado de normativas es extensísimo. Solo para enumerar algunas de las principales normativas que nos pueden ayudar en esta misión son:

• Reglamento General de Protección de Datos (RGPD y LOPD-GDD). Son las normativas principales del ámbito de privacidad. Normativa a nivel europeo (y de referencia a nivel mundial) y su trasposición a nivel español.
• ISO 27001. Normativa de referencia en el ámbito de seguridad para muchas entidades. Es de las más antiguas y extendidas. Tanto si las empresas se han certificado para tener estas garantías ante terceros, como si han seguido como “Best Practices”, han ayudado a las entidades a mejorar en el ámbito de la seguridad.
• Esquema Nacional de Seguridad (ENS). Orientado a sector público y a todas aquellas empresas que trabajan para éste. Enfocado a proteger los datos de los ciudadanos. Marco normativo muy completo.
• Digital Operational Resilience Act (DORA). Reglamento de Resiliencia Operativa Digital focalizado en entorno financiero.
• Normativa europea enfocado a ciertos sectores “críticos” y en la misma línea que otras normativas enfocado a dotar de un entorno de ciberseguridad más seguro.
• Reglamento de Inteligencia Artificial (RIA). Reglamento de reciente llegada (agosto 2024) con el objetivo de regular la IA. Enfoque igualmente de riesgo y aplicación de medidas de seguridad asociadas.

Todas las anteriores normativas, de los ámbitos de la Seguridad y la Privacidad, a un primer nivel nos aportan unos principios, procedimientos y medidas de seguridad, que incluyen las directrices y metodologías de cómo proceder y medidas concretas para dotarnos de mayor protección en las empresas y en los datos y la información que manejamos.

Las diferentes normativas, se solapan, se complementan, y es este conjunto de Principios, Procedimientos y Medidas de Seguridad, los que hemos de coger y aprovechar. Aparte de cumplir con las normativas que estamos obligados, nos ha de servir para minimizar nuestro riesgo en Ciberseguridad.

Vamos a ver cómo podemos utilizar las normativas en privacidad y seguridad, aprovechando los diferentes aspectos clave y medidas de seguridad de las mismas, para que, si los aplicamos en el día a día de nuestras organizaciones, estemos minimizando el riesgo de ataque y disminuyendo el tiempo de reacción y alcance de un impacto en caso de ataque.

Reducción del riesgo en el ámbito de la Privacidad

Evolucionando la normativa anterior en privacidad que teníamos en España, el RGPD se trata de una normativa abierta, sin un marco de medidas de seguridad cerrado, que aporta una flexibilidad y adaptabilidad que antes no teníamos y con dos conceptos/principios base muy interesantes:  su enfoque a riesgos y el principio de accountability.

La filosofía se basa en que las entidades deben analizar e inventariar qué datos de carácter personal tienen, hacer un análisis de riesgos para valorar que riesgo supone llevar a cabo el tratamiento y consecuentemente aplicar las medidas de seguridad necesarias en función del riesgo que suponga.

La tostada cae del lado de las empresas. Cada entidad decide, y bajo el principio de accountability, en cualquier momento deberá poder justificar que se ha analizado, y poder justificar las medidas de seguridad que haya aplicado.

Aparte, evidentemente, cuando hablamos de la normativa de privacidad, incluye toda una serie de obligaciones específicas en el marco de privacidad como tener un RAT, Análisis de riesgos, PIAs, Marco Normativo, DPO, Cláusulas, Contratos, Cumplimiento de principios y derechos, etc. que debemos tener en consideración en su ámbito particular.

Esto que acabamos de ver en privacidad, en realidad es extrapolable al ámbito de seguridad, y de hecho, la mayoría de normativas de seguridad (ISO 27001, ENS, DORA, NIS, etc.) parten de la misma base, o incluyen la realización de Análisis de riesgo para analizar a qué riesgos está sujeta la entidad y sobre aquellos riesgos aplicar medidas de seguridad para bajar ese riesgo hasta un umbral que nos haga sentir más confortables. Como decíamos, no vamos a eliminar el riesgo, pero se pueden minimizar los efectos, y aquí es donde hemos de enfocarnos.

Reducción del riesgo en el ámbito de la Seguridad

En primer lugar, hay unas directrices principales que debemos tener todos presentes:

• Compromiso de la Dirección. La Dirección debe liderar los aspectos de Privacidad y Seguridad, mostrando su compromiso, dotando de recursos e incorporando dichas materias como un elemento estratégico de la organización.
• Marco normativo que dé soporte a estos ámbitos y personal capacitado en estos ámbitos para su gestión diaria.
• Formación y concienciación. Es conocido que el personal es el eslabón débil en la estructura empresarial, y desde las entidades se deben poner los medios razonables para hacer llegar a los empleados las pautas y normas a seguir, y muy importante, tener evidencias de impartición y entendimiento/aceptación por parte de éstos.

Finalmente, y en relación a medidas de seguridad concretas, la práctica totalidad de normativas, vienen acompañadas de un catálogo más o menos extenso y con medidas más o menos concretas que se agrupan por las conocidas dimensiones de Seguridad lógica, Seguridad física, Gestión de terceros, Adquisición y desarrollo, Copias de seguridad y Continuidad de negocio, Incidentes de seguridad, Monitorización o Seguridad en las operaciones, por destacar las principales.

Sin entrar en detalle, en estos ámbitos comentados, proponemos unas medidas a alto nivel, las cuales las podemos encontrar en la mayoría de las normativas y que nos conducen a reforzar los tres objetivos de minimización de riesgo de ataque y minimización del impacto y del tiempo de reacción en caso de haberlo sufrido. Todas ellas se pueden ampliar, profundizar y complementar con un abanico mucho más amplio. No obstante, el objetivo es lanzar algunas de ellas y con una traslación directa en los objetivos perseguidos:

• Seguridad lógica: Debemos disponer de mecanismos de identificación y autenticación fuertes, que incluyan procedimientos claros de gestión de usuarios, con usuarios individualizados, revisiones de los mismos y políticas de autenticación fuertes con autenticación multifactor incluido.
• Gestión de terceros: Debemos tener un control de los proveedores. En muchos de los ataques, éstos no se producen directamente en la propia empresa sino en la cadena de proveedores. Por este motivo debemos disponer de un procedimiento de homologación de proveedores fuerte, un inventario completo de éstos, debemos asegurar la incorporación de las dimensiones de seguridad y privacidad en los contratos y llevar un seguimiento y control de las garantías de terceros.
• Copias de seguridad y continuidad de negocio: Hemos de disponer de una estructura fuerte y probada de copias de seguridad, para que, en caso de pérdida de datos, dispongamos de un backup seguro, válido y lo más reciente posible alineado con los requerimientos de negocio, conjuntamente con un Plan de continuidad de negocio y un Plan de recuperación de desastres, que permita la más rápida recuperación en caso de necesidad. Importante disponer de una póliza de ciberseguro.
• Gestión de incidentes: La entidad debe disponer de todos aquellos procedimientos necesarios para gestionar de forma rápida y eficiente una incidencia, los cuales deben incluir los procesos de notificación con entidades externas y organismos, ya que algunas normativas te obligan a ello en periodos temporales muy cortos. Muy importante también incluir a los proveedores.
• Adquisición y desarrollo: Debemos disponer de metodologías de desarrollo seguro y procedimientos de adquisición que contemplen la seguridad por defecto para hacer menos vulnerables las aplicaciones y disponer de elementos hardware y software seguros.
• Seguridad en las operaciones: Hemos de implementar medidas técnicas concretas para securizar el entorno de trabajo (redes segmentadas, VPNs, procedimientos de gestión de cambios, parches y actualizaciones de seguridad, bastionado, cifrado de datos, ...).
• Monitorización: Debemos disponer de sistemas de monitorización y alertas para detección temprana de eventos y anticipación de situaciones adversas, con logs y pistas de auditoría seguras y revisadas, y diferentes procesos de revisión y auditoría en los diferentes ámbitos de seguridad.

Vamos a aprovechar todas estas herramientas que nos propone el marco normativo existente, y con ello, alcanzar los tres objetivos de minimizar el riesgo de ataque y minimizar el impacto y tiempo de reacción en caso de haberlo sufrido. Las normativas ya las tenemos. Aprovechémoslas para alcanzar este objetivo y estar mañana en una mejor posición que hoy.

1. ¿Qué es la Declaración de prestación de pensiones?

El pasado 1 de julio entró en vigor la Circular de 19 de febrero de 2024 de la Dirección General de Seguros y Fondos de Pensiones (DGSFP)  por la que se establecen las normas para calcular las previsiones de pensión basadas en la edad de jubilación, que deben recogerse en la “Declaración de las Prestaciones de Pensión” (DPP), documento que las entidades gestoras de fondos de pensiones de empleo deberán suministrar individualmente a los partícipes, con una periodicidad al menos anual, teniendo que proporcionarse la primera de ellas en la información anual de 2024.

De acuerdo al artículo 34.2 del Reglamento de Planes y Fondos de Pensiones (RPFP), la DPP incluirá como mínimo la siguiente información, pudiendo, en su caso, incorporar información adicional que la entidad gestora de fondos de pensiones de empleo considere de interés para el partícipe:

1. Los datos personales del partícipe, con una indicación clara de la edad de jubilación.
2. El nombre del fondo de pensiones de empleo, su dirección de contacto y la identificación del plan de pensiones del partícipe.
3. Cuando corresponda, la información relativa a garantías totales o parciales previstas en el plan de pensiones.
4. Información sobre las previsiones de prestaciones de pensión basadas en la edad de jubilación, y una limitación de responsabilidad en el sentido de que estas previsiones pueden diferir del valor final de las prestaciones recibidas. Estas previsiones constituyen una estimación de las prestaciones de jubilación que percibiría el partícipe del plan de pensiones de empleo de mantenerse en el mismo hasta el momento en el que alcance la edad de jubilación.
5. Información sobre las contribuciones empresariales y las aportaciones de los partícipes durante los doce meses anteriores a la fecha a la que se refiere la información.
6. Información sobre los derechos consolidados.
7. Un desglose de los costes deducidos por el fondo de pensiones de empleo durante los últimos doce meses, como mínimo.
8. Información sobre el nivel de financiación del plan de pensiones en su conjunto.
9. Fecha exacta a que se refiere la información.

La DPP se facilitará a los partícipes, de forma gratuita por medios electrónicos, incluido en un soporte duradero o un sitio web. A solicitud expresa del partícipe, la DPP podrá entregarse en papel.

La información relativa a las previsiones de las prestaciones de pensión objeto de cálculo deberán tener una presentación que permita su fácil lectura, debiéndose redactar con claridad y utilizando un lenguaje comprensible, evitando el uso de términos técnicos cuando puedan emplearse en su lugar palabras de uso cotidiano.

2. Normas de cálculo para las previsiones de prestaciones de pensión basadas en la edad de jubilación

La Circular proporciona las reglas básicas de cálculo de las previsiones de las prestaciones de pensiones por jubilación contenidas en la DPP, que son de aplicación para los planes de aportación definida y los planes mixtos. En los planes de prestación definida, las previsiones de se realizarán según lo previsto en las especificaciones y en la formulación actuarial contenida en la base técnica del plan de pensiones. A continuación, explicamos cuáles son estos criterios de cálculo:

• La forma de cálculo y de presentación de la cuantía de las previsiones de las prestaciones de pensión tendrá en cuenta lo siguiente:

✔ Los cálculos de las previsiones de prestaciones de pensión deberán realizarse de acuerdo con la forma de cobro de las prestaciones que prevean las especificaciones y las bases técnicas del plan de pensiones.

✔ Con carácter general, los cálculos de las previsiones de prestaciones de pensión deberán realizarse considerando que la prestación estimada consiste en un capital pagable a la fecha de jubilación.

✔ Adicionalmente a los partícipes de 52 o más años deberá informarse de una renta actuarial vitalicia, constante mensual de 12 pagas y sin reversión, siempre que el importe mensual de la renta supere los 100 euros mensuales.

✔ Se entenderá que es una cuantía en términos nominales de carácter bruto.

✔ Las previsiones de prestaciones de pensión deberán proporcionarse al partícipe tanto en precios corrientes como constantes.

• La edad de jubilación del partícipe se establecerá según el artículo 205.1 de la LGSS, sin considerar periodos transitorios de la edad de jubilación, ni el periodo de cotización acumulado por el partícipe a efectos de su determinación (67 años).
• Se tomará como tasa anual de rendimiento nominal de las inversiones la tasa de rentabilidad anual media histórica del fondo durante los últimos 10 años. En su cálculo, se utilizarán las rentabilidades diarias continuas.

De no disponer de esta información, se utilizará la rentabilidad media de la categoría de inversión a la que pertenece el fondo donde está inscrito el plan, y de acuerdo con la clasificación fijada por la DGSFP.

Excepcionalmente, en aquellos casos en los que un plan se encuentre adscrito a varios fondos de pensiones, podrán aplicarse tasas anuales de rendimiento distintas.

• De tener que emplear tablas de supervivencia, se deberán aplicar aquellas tablas que el plan tenga recogida en su base técnica, y en su defecto, se utilizarán las tablas PER2020_Col_1er. Orden.
• A efectos de la estimación de las aportaciones futuras del partícipe hasta su jubilación, se considerarán las contribuciones ordinarias realizadas por el promotor y las aportaciones del partícipe también de carácter ordinario, vinculadas al compromiso asumido de jubilación y realizadas durante los 12 últimos meses.

Estas cuantías serán incrementadas anualmente conforme a la evolución prevista de los parámetros y variables de contenido económico que puedan afectar a la cuantificación de las aportaciones o prestaciones contenidas en el plan de pensiones de empleo, recogidas en las especificaciones y la base técnica del mismo, como la tasa de inflación anual y la tendencia de los salarios futuros. Estos incrementos no tendrán lugar si no se prevén en las especificaciones ni en las bases técnicas.

• Modelización del cálculo de las previsiones de las prestaciones de pensiones. La Circular prevé 3 escenarios de rentabilidades posibles: un escenario central, uno favorable y otro desfavorable.

✔ La tasa anual de rentabilidad del escenario central, que denotaremos como Ic= µ, se corresponderá con la tasa anual de rendimiento nominal, que se obtendrá como media aritmética de las rentabilidades diarias en el periodo de 10 años. Esta rentabilidad diaria se calculará de forma continua, como logaritmo neperiano del cociente entre el valor liquidativo diario a una fecha y el valor liquidativo de la misma fecha del año inmediatamente anterior.

✔ Las tasas anuales de rentabilidad de los escenarios favorable y desfavorable se establecerá a través de la metodología del Valor en Riesgo (VaR).

El VaR es una técnica de análisis de riesgo desarrollada en los años 90, muy utilizada en el análisis carteras de valores (Martínez, F. (2014), Hsing, Y., Powell, R. (2012), Jorion, P (2009), Martín, J.L. (1999), Riskmetric de JP Morgan & Reuters (1996)). Concretamente, el VaR estima la pérdida máxima potencial que una cartera podría sufrir en un determinado período de tiempo, bajo condiciones normales de mercado y con un cierto nivel de confianza. Un ejemplo, en una cartera de valores, un VaR mensual del -2% y al 95% de confianza, indica que la rentabilidad mensual de la cartera será superior al -2% con un 95% de probabilidad.

Destacan 3 métodos de cálculo del VaR. El primero de ellos, el VaR Paramétrico, asume que los rendimientos financieros se ajustan a una distribución normal y utiliza los datos históricos para calcular rentabilidades y volatilidades. El VaR histórico utiliza los valores observados para calcular y ordenar las rentabilidades pasadas y a partir de las mismas obtener los percentiles correspondientes al nivel de confianza deseado. Y por último, el VaR de Montecarlo, que asume distribuciones de probabilidad más realistas que la distribución normal, pero más complejas de implementar, que además se simulan en el tiempo.  A nivel calculístico, el método paramétrico es el más sencillo y, el método de Montecarlo es el método que requiere de un mayor soporte computacional. El VaR histórico es recomendable cuando la información pasada sea representativa del riesgo actual de la cartera.

 La Circular establece que las tasas anuales de rentabilidad de los escenarios favorable y desfavorable resultarán de la aplicación de un impacto al alza, en el primer supuesto, o a la baja, en el segundo, sobre la tasa anual de rentabilidad del escenario central, a través del cálculo del VaR, con un horizonte temporal, para cada partícipe, igual al número de años que le resten hasta la fecha de jubilación, considerando un nivel de confianza del 75%. Además, se establece que la determinación de este VaR podrá realizarse mediante la aproximación del modelo de Black-Sholes (Álvarez, T., Martínez, L. y Vicente, E. (2024), Jorion, P. (2009)), alternativamente, podría utilizarse una modelización distinta, siempre que se justifique su mejor adecuación al comportamiento del plan.

El modelo de Black-Sholes se describe a partir de la siguiente expresión, siendo S el valor liquidativo del fondo de pensiones actual, σ la volatilidad anual, el horizonte temporal y un término aleatorio que responde a una distribución normal estandarizada.

En este caso, considerando un horizonte temporal t. mediante la utilización de un VaR paramétrico, se obtienen Id e Ic que representan las tasas anuales de rendimiento en el escenario desfavorable y favorable respectivamente:

La determinación de los escenarios mediante el VaR de Montecarlo requiere de la ejecución de múltiples iteraciones, cada una de las cuales simula una evolución según la expresión de ∆S. Para ello, deben generarse números aleatorios según una distribución uniforme que varíe entre 0 y 1, con su correspondiente asociación a la distribución normal estandarizada inversa (Jorion, P. (2009)).

3. Aplicación práctica

Vamos a llevar a cabo una aplicación práctica del modelo de previsión de prestaciones de pensión mediante la aproximación paramétrica del modelo de Black-Sholes. Para ello, hemos dispuesto de los valores liquidativos reales de un fondo de pensiones de empleo entre 31/12/2013 y 31/12/2023 cuya evolución mostramos, a continuación.

Figura 1. Evolución del Valor liquidativo

De acuerdo a la norma, a partir de los datos anteriores, calculamos las rentabilidades logarítmicas, diariamente desde el 31/12/2014, abarcando cada una de ellas un año, y posteriormente las representamos gráficamente.

Figura 2. . Evolución de las rentabilidades logarítmicas

Figura 2. Frecuencias absolutas de las rentabilidades logarítmicas,

A partir de la media aritmética de las rentabilidades logarítmicas, obtenemos la tasa anual de rentabilidad del escenario central, que es el 3,25% y la volatilidad que es del 6,39%. Las tasas anuales de rentabilidad de los escenarios desfavorable y favorable resultan de las expresiones analíticas antes referidas. Seguidamente mostramos sus valores, observándose como conforme aumenta el horizonte temporal, los escenarios favorable y desfavorable tienden a aproximarse al central.

Tabla 1. Tasas de rentabilidad para los escenarios desfavorable, central y favorable

Figura 2. . Frecuencias absolutas de las rentabilidades logarítmicas,

A fin de obtener unas previsiones de prestaciones de pensión en la edad de jubilación, hemos asumido las tasas de rentabilidades obtenidas para los escenarios desfavorable, central y favorable antes calculadas, la tabla de mortalidad PER 2020_Col_1er. Orden y una tasa de inflación del 2% y, además, hemos definido 4 perfiles teóricos de partícipes con estas características.

Asimismo, hemos supuesto dos tipos prestaciones: un capital acumulado a la jubilación y una renta actuarial, vitalicia, constante, mensual de 12 pagas y sin reversión, obteniendo, para cada uno de los partícipes definidos, las siguientes previsiones, expresadas en precios corrientes y constantes

Tabla 3. Previsión de prestaciones de pensión en precios corrientes.

Tabla 4. Previsión de prestaciones de pensión en precios constantes.

Bibliografía

• Álvarez, T., Martínez, L. y Vicente, E. (2024). Declaración de prestaciones de pensión. ¿Nueva obligación? Webinar CAC de 11 de junio.
• CIRCULAR de la DGSFP, de 19 de febrero (2024), por la que se establecen las normas para calcular las previsiones de prestaciones de pensión, a efectos de la información que se suministra a los partícipes de los planes de pensiones de empleo en la declaración de las prestaciones de pensión.
• Hsing, y., Powell, R. (2012). Anybody can do value at risk: a teaching study using parametric computation and Montecarlo simulation. Australasian Accounting Business and Finance Journal, volume 6, nº 5.

• Jorion, P. (2009), Financial Risk manager handbook. GARP. Risk Management library.

• Martín, J.L. (1999). Valor en riesgo de una cartera de renta variable. IX Jornadas hispano-lusas de gestión científica.
• Martínez, F. (2014). Las diferentes metodologías para medir el VAR: ¿qué es y cómo utilizarlo?

• RPFP (2004). RD 304/2004, de 20 de febrero, por el que se aprueba el Reglamento de planes y fondos de pensiones.
• Riskmetric de JP Morgan & Reuters (1996). RiskMetrics-Technical Document. Morgan Guaranty Trust Company.

Longevidad es un término generalmente acuñado por los seguros del ramo de vida, pero su presencia y repercusión es mucho más amplia, constituyendo uno de los factores de riesgo más relevantes y complejos dentro de la disciplina actuarial.

Desde el enfoque de la gestión de los riesgos, la longevidad, como contingencia, se define como el potencial perjuicio económico que acaece como consecuencia de una infraestimación del momento de terminación de la de vida de los asegurados. Nótese que no nos referimos a infraestimación del tiempo de vida medio de los asegurados, pues no debemos confundir longevidad con esperanza de vida. Si bien son términos relacionados, estos no evolucionan necesariamente a la par. Y es que podríamos llegar a observar un incremento en la esperanza de vida de una población debido únicamente a una reducción de la tasa de mortalidad infantil, permaneciendo la edad de fallecimiento máxima, esto es, la longevidad, inalterada. Por ello, la mejora que durante las últimas décadas se ha producido en términos de esperanza de vida no puede asociarse exclusivamente a una mayor perennidad de la población, pues implícitamente también coexiste en ella un aumento relevante de la supervivencia infantil. En cifras, desde el 1975 hasta la actualidad, la esperanza de vida al nacer de un español ha incrementado en aproximadamente 10 años. Si nos adentramos en los registros históricos, podemos observar cómo, dentro de ese mismo intervalo temporal, la tasa de mortalidad de individuos recién nacidos se ha reducido en un 86 por 100 y la correspondiente a población con edades comprendidas entre los 80 y los 90 años en un 52 por 100.

Longevidad proviene del término latín longaevitas y significa “cualidad de vivir por mucho tiempo”. Fíjese como la etimología también contribuye a ayudarnos a diferenciar longevidad de esperanza de vida, pues este último término es una media que incorpora en su ecuación tanto a los individuos con la cualidad de vivir por mucho tiempo como a aquellos otros con la desdicha de fallecer a temprana edad y que, por tanto, no pueden atesorar el adjetivo de longevos.

Definida la longevidad, es el momento de transitar hacía la práctica aseguradora. La estimación precisa y consistente de la vida residual de un conjunto de individuos ocupa gran parte de la labor de los equipos técnicos actuariales de vida. De ello depende la suficiencia de primas y reservas y, por ende, de la cuenta de resultados de una compañía aseguradora. Si bien, el factor de riesgo “longevidad” extiende su impacto más allá de coberturas de vida, tales como las tradicionales rentas vitalicias. De hecho, la elongación de la existencia de los asegurados puede afectar perniciosamente sobre la frecuencia y severidad de otros riesgos, tales como la morbilidad. Sabemos que, generalmente, a medida que una persona adulta cumple años, incrementa la probabilidad de que ésta enferme o se accidente. Esta relación directamente proporcional entre la longevidad y la morbilidad – a partir de edades adultas – deviene en un reto para las compañías aceptantes de riesgos de enfermedad – seguros de salud – dado el actual contexto de envejecimiento poblacional[1].

[1] En 1975, el 1 por 100 de la población española superaba los 85 años. En 2022, ese porcentaje se ha triplicado.

Actuarialmente, y sin atender al sentido económico y social que atesora el seguro, la problemática es inexistente, pues un asegurado de extensa longevidad debe satisfacer en cada momento una prima de cuantía equivalente a la esperanza matemática del riesgo cedido a una compañía aseguradora. Lo que sucede, es que mientras que la edad de una persona crece constantemente de forma aritmética, su riesgo, a partir de edades avanzadas, lo hace de forma exponencial. Además, el inicio de dicha progresión exponencial del riesgo de morbilidad coincide con una etapa vital de las personas de cese de su actividad profesional y constancia en la percepción de ingresos – en términos reales –. Por ello, simplificar el ejercicio de tarificación de un seguro de enfermedad en un proceso puramente técnico puede conllevar la fijación de primas muy elevadas y cada vez más relevantes en comparación con los ingresos percibidos por los individuos o unidades familiares, ocasionando un efecto expulsión de los asegurados más longevos en el momento en el que más requieren de los servicios asistenciales cubiertos por su póliza. El previsible perjuicio ocasionado por el anteriormente citado efecto expulsión es doble, pues puede incidir tanto en la capacidad de generación de nuevo negocio de las aseguradoras de salud – aceptantes de riesgos de enfermedad – como en la repercusión e incidencia que tiene el sector asegurador en la sociedad.

Con el objetivo de profundizar en el primero de los perjuicios citados, aquel que relacionamos con una merma en la capacidad competitiva de una entidad aseguradora, nos apoyamos en la Real Academia Española, organismo que nos aporta los siguientes sinónimos para el término “seguro”: “eficaz”, “íntegro” y “confiable”. Así pues, el seguro debe ser eficaz, en la medida en la que debe disponer de la capacidad y de los medios suficientes para lograr el efecto reparador necesario. Además, el seguro debe de ser íntegro, en la medida en la que dicha reparación resulte completa e integral dado el perjuicio acaecido. Por último, el seguro debe resultar confiable y, para ello, el historial de una compañía aseguradora debe de ser notorio y honorable. La fiabilidad o confianza es la característica más importante de entre todas las que se le exigen a un buen seguro. Sin confianza, difícilmente se logra la suscripción de una póliza, y sin ella, no existe nada más, importando poco la posterior calidad asistencial o eficacia en la tramitación y resolución de siniestros.

En una sociedad hiperconectada, como la actual, parece lógico pensar que un hipotético efecto expulsión de los asegurados más longevos pueda ser rápidamente conocido por sus familiares, posiblemente también asegurados en la misma compañía y, con no mucha más demora, por el resto de las personas con las que los anteriores conviven en su día a día. Por ello, se considera que un efecto expulsión puede provocar una rápida pérdida de reputación difícilmente reparable, suceso con impacto directo sobre la renovación y contratación de pólizas. Además, se considera que este impacto lesivo de la competitividad puede resultar superior en seguros de salud en relación con otras tipologías de cobertura, pues en su adquisición subyace un mayor componente de reflexión. Los seguros de enfermedad no se adquieren de forma acrítica o compulsiva, motivo por el cual una reputación mermada puede desplazar a una entidad aseguradora fuera de las principales candidatas a la suscripción, pese a ofrecer un mejor servicio asistencial y/o un precio más competitivo.

En segundo lugar, el efecto expulsión que puede sobrevenir por simplificar el ejercicio de tarificación de un seguro de enfermedad en un proceso puramente numérico, tiene un impacto perjuicioso sobre la sociedad. El seguro no es un producto más de la cesta de la compra, sino que constituye uno de los pilares fundamentales de la economia familiar, como garante de seguridad y estabilidad.

Por ese motivo, las entidades aseguradoras cuentan con una gran responsabilidad social y como tal, sus acciones no deben emanar únicamente de una toma de decisiones basada en la tecnocracia, sino que tras ellas debe coexistir la técnica junto con la sostenibilidad. Lograr que los seguros de salud sean sostenibles desde un punto de vista social, dentro de un entorno de creciente longevidad, pasa por garantizar la existencia y el mantenimiento de conjunto de características: el acompañamiento, la racionalización y la suficiencia.

Entendemos por acompañamiento a la capacidad que tiene una entidad aseguradora para ofrecer pólizas que protejan al asegurado a lo largo de toda su vida, ofreciendo coberturas a primas asumibles en todas y cada una de las etapas vitales. Para ello, se considera que la ecuación técnica de determinación de la tarifa debe disponer de un mecanismo solidario de ajuste intergeneracional, que permita nivelar – parcialmente – la estructura de recaudación de una compañía, evitando así el crecimiento exponencial de primas en edades avanzadas, momento en el que los individuos carecen de margen de maniobra en lo que a la gestión de sus ingresos se refiere. Evidentemente, la reducción de la pendiente exponencial de la prima de riesgo de aquellos más longevos pasa por incrementar las tarifas de los asegurados más jóvenes, y esto, a corto plazo, resta competitividad. La pérdida de competitividad se origina, en estos casos, debido a que gran parte de las entidades aseguradoras de salud tarifican sin atender a dicha nivelación – total o parcialmente –, ofreciendo primas cuasi totalmente relacionadas con el riesgo transferido por los asegurados.  Si bien, se insiste en que este cortoplacismo genera expulsión y es percibido por los asegurados como un signo de poca responsabilidad social, pudiendo ocasionar una desconfianza que acabe mermando la competitividad de las entidades a medio plazo, pero no de forma puntual, sino sostenida en el tiempo.

Junto con la propiedad del acompañamiento, que permite disponer de una estructura de precios con un crecimiento sostenible en edades avanzadas, a costa, eso sí, de una mayor prima en tramos de edad tempranos, debe coexistir la racionalización en el uso de los servicios reconocidos en póliza. Para ello, una entidad aseguradora debe disponer de un conjunto de medidas, procesos y controles, que garanticen un uso responsable de los servicios asistenciales puestos a disposición de los asegurados.

Múltiples son las opciones utilizadas por el sector; copagos, cuadros asistenciales específicos, programas de atención sanitaria ad-hoc, exclusiones, etc.

Por último, bajo el acompañamiento y la racionalización, debe subyacer necesariamente un componente de suficiencia. Para lograr dicha suficiencia, la tasa de solidaridad intergeneracional media aplicada – ponderada – a un colectivo debe ser igual a cero, pues la tarifa actuarial promedio de un conjunto de asegurados debe permanecer inalterada, pese a los ajustes a nivel de edad realizados.

A modo de conclusión, se pone de manifiesto la preocupación al observar que la mayoría de las entidades aseguradoras de salud están optando por la tecnocracia como herramienta para la gestión del riesgo de longevidad, pese al efecto expulsión que esta genera y la consecuente pérdida de reputación de las entidades que así actúan, afectando indirectamente a todo el sector asegurador de salud. Existe por tanto otro modo de enfrentarnos a la longevidad, garantizando la suficiencia de las tarifas y, al mismo tiempo, actuando de forma responsable para con nuestros mayores. La aplicación estricta de la técnica actuarial nos puede llevar a asimilar al número con la persona, pero los números no tienen alma. Es responsabilidad de las entidades aseguradoras el ofrecimiento de coberturas a precios asumibles en todo momento a aquellos que durante tantos años han estado vinculados a seguros privados de enfermedad. Permitir el efecto expulsión, o no poner los medios para evitarlo, como vía para el ofrecimiento de primas a precios atractivos para individuos jóvenes, genera una perversidad que indudablemente acabará mermando la reputación de un sector tan útil y redistribuidor de la riqueza como el nuestro.

Entre la antiguamente utilizada prima nivelada y el desequilibrio actual en primas, existe un punto medio bajo el cual subyace la estabilidad y la sostenibilidad de nuestro ramo, el ramo de los seguros de enfermedad. Se concluye constatando la existencia de este proceder moderado y socialmente responsable en nuestro sector y destacando su éxito; pasado, presente y, muy probablemente, creciente en un futuro no muy lejano.

DORA: la solvencia de la tecnología

Introducción

El próximo 17 de enero de 2025 será de aplicación la nueva normativa DORA (Digital Operations Resilience Act) proveniente de la Unión Europea, que no ha necesitado de trasposición local y lleva vigente desde hace dos años.

La nueva normativa afecta a un gran número de compañías en el sector financiero y asegurador, incluyendo sectores hasta ahora poco regulados como son las compañías proveedoras de servicios de Criptoactivos. En el caso del sector asegurador se ven afectadas la mayoría las compañías salvo excepciones por tamaño en ingresos por primas, en el caso de la intermediación por facturación o número de empleados o en el caso de fondos de pensiones de empleo por número de partícipes

DORA hace referencia a la gestión del riesgo asociado a la tecnología y dado que hoy en día la tecnología soporta todos los procesos de negocio esta normativa afectará a la relación que existe entre negocio y tecnología en cada uno de los ámbitos de la entidad. En este artículo trataremos de desgranar como afecta DORA a las entidades, que puntos deberán revisar y propondremos una metodología para la adopción de esta normativa.

¿Como afecta DORA a las compañías?

A la pregunta de ¿Dónde afecta DORA a las compañías?, le respuesta es sencilla, en casi todo. Hoy en día no existe casi ningún proceso de negocio que no esté soportado por la tecnología y esto hace que sea muy difícil para los responsables de la implantación de esta nueva norma compartimentar y organizar el trabajo, por otro lado, dada la magnitud de la normativa se hace imposible abordar la implantación como un todo necesitando crear grupos de actividades a la hora asignar responsables, plazos y recursos.

Para ayudar en esta tarea y revisar como afecta DORA a las compañías en el Sector Asegurador vamos a revisar cinco grandes grupos de actividades: Gobernanza, Auditoría, Continuidad, Ciberseguridad y Proveedores.

Gobernanza interna de las TICs

Aunque el sector asegurador está acostumbrado a trabajar en la Gobernanza de la compañía, su negocio y los riesgos asociados el área de tecnología ha quedado al margen de estos modelos de gobierno produciendo que en algunos casos la tecnología haya quedado fuera de la gestión de los riesgos asociados y de los órganos de decisión de la entidad. DORA obliga a las entidades a realizar una gestión del riesgo asociado a las TICs y a incluir dentro de sus procedimientos y órganos de gestión el riesgo asociado al mero hecho de utilizar la tecnología para soportar los procesos de negocio.

Los Modelos de Gobierno de la tecnología van a ser necesarios para regular la relación con el negocio, el servicio que prestan y los acuerdos sobre niveles de servicio con los diferentes departamentos. Estos modelos deberán incluir modelos de relación entre los diferentes departamentos y el departamento de tecnología especificando quién se relaciona con quién y en que foros y como se van a medir y reportar los servicios entregados.

Una práctica habitual dentro de las compañías ha sido comunicar un problema o petición relacionada con la tecnología al primer empleado de este departamento que se cruzaba en nuestro camino sin documentación, evidencia de tal comunicación o análisis previo en el caso de que la petición tenga un impacto económico. Estás prácticas quedarán reguladas obligando a la gestión de incidencias con o sin herramientas específicas, pero siempre con el mantenimiento de registros y actualizaciones a los usuarios

Auditoría TIC

Las compañías pertenecientes al Sector Asegurador están acostumbradas a las auditorías tanto externas como internas sobre los diferentes elementos de su negocio, pero hasta la fecha no era obligatorio la creación de la función de Auditoría TIC. DORA hace necesaria esta función especificando que el resultado de las auditorias debe ser conocido y aprobado por la Dirección.

La norma hace especial referencia al marco de gestión de riesgos mencionando los procedimientos, estrategias, protocolos, procedimientos y herramientas para la gestión de este riesgo.

En cuanto a terceros que soportan procesos de negocio críticos o esenciales, DORA especifica la necesidad de incluir los derechos ilimitados de auditoría, acceso e inspección, así como la necesidad de auditar los servicios prestados periódicamente.

Continuidad del Negocio

Aunque muchas de las entidades aseguradoras ya tienen un Plan de Continuidad del Negocio, DORA hace referencia a la necesidad de que estos planes estén coordinados con los requerimientos del negocio, estén actualizados, incluyan a los proveedores de tecnología que soporten procesos críticos estén aprobados por todas las unidades de negocio afectadas, se prueben periódicamente y se adopten las medidas correctivas necesarias para adecuar estos planes a los cambios. Con la llegada de DORA se hace necesaria la aparición de un presupuesto destinado a Continuidad y su gestión y conocimiento de este por parte de la Dirección.

Esta gestión de los Planes de Continuidad también redundará en beneficio de la compañía. Siempre se ha dicho que la Continuidad cuesta dinero, si gestiona por debajo del servicio necesario se asumen riesgos que pueden afectar gravemente al negocio, si se gestiona por exceso se están empleando recursos para cubrir servicios ante eventos que el Negocio no necesita ni reclama. En consecuencia, DORA pondrá las bases para que la gestión de estos servicios sea la óptima en cuanto a costes y cobertura.

Los Planes de Continuidad deberán estar coordinados con los planes de continuidad globales de la compañía, deberá incluir la creación de comités de crisis, gestionar la documentación sobre las actividades realizadas durante las crisis y mantener informada a la Dirección de los resultados de las pruebas, puntos de mejora y recomendaciones. También deben contener un plan de comunicación a las partes interesadas e incluir a los proveedores TIC que dan soporte a funciones críticas en estos planes.

Ciberseguridad y comunicación de incidentes a los reguladores

El Centro Criptológico Nacional, sólo en España, gestionó durante 2023, 49.685 incidentes suponiendo un aumento del 380% con respecto al año anterior, durante el año en curso de media se detecta un ataque cada 32 segundos y la gravedad de los ataques también está creciendo. Con este entorno es normal que los reguladores se preocupen por los eventos que puedan sufrir las entidades que pongan en riesgos los datos de sus clientes o el servicio que prestan a estos.

DORA exige que se mida el riesgo de ciber ataques, se mitiguen esos riesgos y se realicen pruebas periódicas de la seguridad perimetral con test de penetración que deben ser llevados a cabo, al menos en ocasiones marcadas por proveedores externos de reconocido prestigio. También exige que se asegure contractualmente la buena gestión de los resultados y la inclusión en estas pruebas de los proveedores TIC que den soporte a proceso críticos de negocio.

DORA también demanda que la información sobre los ciberataques sea comunicada a los reguladores, a los foros que será necesario crear en los diferentes sectores y en algunos casos a los clientes, con lo que se hace necesario crear una política de comunicación de estos.

Gestión de proveedores

Aunque es el último punto de nuestra lista, es posiblemente uno de los más importantes para DORA y que más afectas a las entidades dado que organiza el modelo de relación con los proveedores TIC. DORA exige la existencia de una política de externalización de servicios TIC que debe estar aprobada por la Dirección, donde se especifiquen la necesidad de evaluar los riesgos asociados a un proveedor antes de la contratación y los riesgos asociados a la externalización del servicio.

Se establece también la necesidad de informar a los reguladores de la externalización de servicios TIC que den soporte a procesos críticos para la entidad y de asegurarse que los proveedores cumplen con los estándares de seguridad de la información. También se deberán evaluar la concentración de contratos en proveedores y su riesgo asociado, la solvencia de los proveedores, el riesgo asociado a la cadena de subcontratación y el riesgo asociado a la localización de los proveedores

A nivel contractual DORA establece la necesidad de incluir cláusulas de salida del contrato y planes de devolución del servicio con el fin de evitar que el servicio al cliente final se vea afectado, herramientas para medir los niveles del servicio entregado, la obligatoriedad de prestar soporte ante incidentes que afecten al servicio, derechos en caso de terminación ,los planes de continuidad del servicio prestado, la obligatoriedad de participar en los test de ciberseguridad y garantizar el acceso de los reguladores a los datos.

Como abordar un proyecto de implantación DORA

DORA afecta a la mayoría las áreas de la tecnología de forma transversal dado que el principal objetivo de la norma es gestionar y controlar el riesgo inherente al uso de la tecnología y por tanto en mayor o menor medida se verán afectados aquellos departamentos del negocio de la entidad que utilicen la tecnología para soportar sus procesos. Es decir, hoy en día casi todos los departamentos.

Para poder abordar un proyecto de implantación de esta norma con garantías de éxito se hace necesaria la utilización de una metodología que tenga en cuenta la extensión de la normativa y la gran variedad de afectaciones que pueden surgir dentro la operativa normal del negocio.

La norma se compone de 64 artículos de los cuales las compañías afectadas deben atender especialmente a 24 de ellos. Para hacer accesible esta normativa y su aplicación, en AREA XXI hemos creado una metodología dividiendo la normativa en y 5 grandes grupos de revisión y 11 áreas de trabajo que coinciden con funciones identificables dentro de las organizaciones de tal forma que sea más sencilla la organización del trabajo. Nuestra metodología se basa en las siguientes fases:

• Gap analysis
• Recomendaciones
• Documentación

Gap Analysis

Siguiendo esta metodología de la normativa se extraen 150 puntos de revisión para cumplir con DORA. Se realiza una revisión conjunta con los departamentos de tecnología y en algunos casos con los responsables de los departamentos de negocio afectados.

Los resultados de la revisión de estos 150 puntos es lo que denominamos el “Gap Analysis” y da una idea a la Dirección de la compañía de cómo se encuentra la entidad frente a la normativa, Por lo que estamos viendo en nuestros clientes la media de cumplimiento se encuentra entre el 25% y el 40%. Datos que indican el esfuerzo a realizar durante los próximos meses en las entidades Aseguradoras y Financieras.

Recomendaciones

De los resultados obtenidos en la fase de “Gap Analysis” se desprenden una serie de recomendaciones encaminadas a crear o modificar procedimientos, políticas, protocolos y herramientas para que se adapten a DORA.

Generalmente y por la experiencia en nuestros clientes, surgen entre 80 y 100 acciones referentes a procedimientos, herramientas, políticas y documentación que serán agrupadas en proyectos asignadas a las 11 áreas de trabajo mencionadas anteriormente.

Documentación

Una de las exigencias de DORA es la documentación de los riesgos e impactos, procesos, políticas y protocolos asociados a la tecnología, para ello se revisan o se crean entre 20 y 25 documentos que deben reflejar las directrices que marca DORA y que deberán ser mantenidos periódicamente. Entre otros documentos se deberán generar y mantener análisis de impacto, planes de continuidad, políticas de gestión del riesgo TIC, políticas de externalización, procedimientos de alerta temprana, etc.

Conclusión

DORA es una normativa que va a revolucionar la manera en que se relaciona el negocio y la tecnología en las compañías financieras y aseguradoras. Su principal objetivo es la gestión del riesgo asociado a la tecnología y su implantación conlleva la implicación, no sólo del departamento de tecnología, si no de otras áreas del negocio y dada la magnitud del proyecto se hace necesaria la aplicación de una metodología específica. Durante los próximos meses las compañías afectadas tendrán elaborar y ejecutar proyectos de actualización e implantación y actualizar sus procedimientos para mantener en el tiempo los resultados de estos proyectos.

Cambios normativos y novedades en materia de seguros de vida y pensiones

Como viene sucediendo en los últimos años, 2024 está siendo un ejercicio de alta intensidad normativa en el que, tanto a nivel europeo como nacional, se están produciendo desarrollos regulatorios de gran calado en materia de seguros de vida y pensiones.

Ámbito europeo

Por lo que respecta al ámbito europeo, cabe destacar la revisión de la Directiva de Solvencia II, la Estrategia de la UE para los inversores minoristas y el nuevo paquete de normas contra el blanqueo de capitales.

Solvencia II

La Directiva por la que se modificará la Directiva de Solvencia II se publicará previsiblemente en noviembre o diciembre de 2024. Únicamente falta su adopción formal por parte del Consejo como paso previo a su publicación en el Diario Oficial de la Unión Europea.

La modificación de la Directiva de Solvencia II debe transponerse al ordenamiento nacional, a más tardar, 24 meses después de la entrada en vigor de la Directiva, por lo que se estima que su aplicación se producirá a finales de 2026 (todavía no se ha concretado la fecha definitiva de aplicación).

Los acuerdos alcanzados en la modificación de la Directiva de Solvencia II supondrán, en líneas generales, una reducción en los requerimientos de capital, lo que sin duda merece una valoración positiva.

Entre los aspectos positivos más destacados para nuestro mercado de esta modificación se incluye la revisión del margen de riesgo, que vendrá a establecer una reducción de la tasa de coste de capital del 6% al 4,75%; y una modificación de la regulación del ajuste por casamiento (matching adjustment) que permitirá la total diversificación entre las carteras que aplican este ajuste y el resto de carteras de la entidad, eliminando las restricciones a los beneficios de diversificación que contempla la normativa vigente en la actualidad.

En lo relativo al ajuste por volatilidad (volatility adjustment), la reforma también introducirá cambios de calado, que podrán afectar de manera diferente a cada entidad (positiva o negativamente), dado que se pasará de un ajuste idéntico para todas las entidades de la zona euro a un ajuste específico para cada entidad, que tendrá en cuenta sus propias características.

Las principales modificaciones que se introducirán en el ajuste por volatilidad serán las siguientes:

• La cartera de referencia únicamente estará compuesta por activos de renta fija.
• Se incrementará la ratio de aplicación general del 65% al 85%.
• Se reformará el componente nacional del ajuste por volatilidad (macroeconomic VA) de forma que se mejore su mecanismo de activación y se eviten los efectos de salto que se producen en la fórmula de cálculo actual.
• Se introducirá una ratio específica de cada entidad, denominada Credit Spread Sensitivity Ratio (CSSR), que tendrá en cuenta el ajuste de duraciones entre activos y pasivos (reducirá el ajuste por volatilidad cuando la sensibilidad de los activos a las variaciones de los spread de crédito sea inferior a la sensibilidad de las provisiones técnicas a las variaciones de los tipos de interés).
• Se modificará el diferencial corregido según el riesgo (risk-corrected spread) para hacerlo más sensible a las variaciones de los spread de crédito.

Finalmente, y por lo que se refiere a la extrapolación de la curva libre de riesgo, aunque se mantiene el punto de entrada a la extrapolación para el euro (first smoothing point) en 20 años, se introduce una nueva metodología para su cálculo que generará una curva de descuento más baja a partir de dicho punto de entrada. Esta nueva metodología se introducirá gradualmente, a través de una medida transitoria.

Los trabajos sobre la revisión de Solvencia II se trasladarán a partir de ahora al reglamento delegado y a sus respectivas normas técnicas y directrices, donde se concretarán algunos aspectos acordados en la Directiva. Por lo tanto, no será posible hacer una valoración final de la reforma del marco prudencial europeo hasta que concluya la revisión de los niveles 2 y 3, que ya ha dado comienzo y que se desarrollará desde ahora hasta el ejercicio 2026.

Estrategia de la UE para los inversores minoristas

Otra de las iniciativas normativas europeas que más pasiones ha despertado durante su tramitación, por las implicaciones que podría tener para la comercialización de productos de inversión minorista basados en seguros, ha sido la Estrategia de la UE para los inversores minoristas (Retail Investment Strategy).

La Comisión Europea publicó en mayo de 2023 su propuesta de Paquete de Inversión Minorista, que propone introducir modificaciones, entre otras, en las Directivas MIFID II, en la Directiva de Distribución de Seguros (IDD) y en la Directiva de Solvencia II.

Esta propuesta se complementa con una propuesta de modificación del Reglamento sobre los documentos de datos fundamentales relativos a los productos de inversión minorista empaquetados y los productos de inversión basados en seguros (Reglamento PRIIP).

Tras la propuesta de la Comisión en 2023, el Parlamento Europeo (abril 2024) y el Consejo (junio 2024) acordaron sus respectivas posiciones.

La propuesta inicial de la Comisión incluía importantes restricciones y prohibiciones parciales e introducía una mayor complejidad en el proceso de distribución de los productos de inversión basados en seguros (IBIPs), entre las que cabe destacar:

• Incentivos:
  • Prohibición de incentivos en las ventas con asesoramiento independiente.
  • Prohibición de incentivos en las ventas en sólo ejecución y en las ventas sin asesoramiento.
  • Introducción de restricciones para el cobro de incentivos en las ventas con asesoramiento dependiente: solo se permiten cuando los distribuidores actúen en el "mejor interés para el cliente" (best interest test), lo que se concreta en el cumplimiento de los siguientes requisitos:
    • prestar asesoramiento en base a la evaluación de una gama adecuada de productos.
    • Recomendar el producto que sea más eficiente en términos de coste para el cliente.
    • Ofrecer, dentro de la gama de productos IBIPs que sean adecuados para el cliente, al menos un producto sin características adicionales que conlleven mayores costes.
    • Asegurar que el producto es coherente con las exigencias y necesidades del cliente.
• Value for money:
  • para garantizar la relación calidad-precio (value for money) de los productos IBIPs, los productores y distribuidores de IBIPs deben seguir un proceso de fijación de precios, debidamente documentado, en el que:
    • los productores tendrían que reportar información sobre costes y rentabilidades de sus productos a las autoridades de supervisión nacionales, que luego serían recopilados por EIOPA.
    • EIOPA publicará índices de referencia (benchmarks) sobre costes y rentabilidades. Los productores no podrán poner en el mercado productos que se desvíen de tales referencias, a menos que lo justifiquen.

El acuerdo alcanzado en abril de 2024 por el Parlamento Europeo introdujo importantes modificaciones a la propuesta inicial de la Comisión Europea, entre las que cabe destacar:

• Incentivos:
  • Se mantiene la prohibición de incentivos en las ventas con asesoramiento independiente, pero se aclara que el asesoramiento independiente no está necesariamente vinculado a la naturaleza jurídica del mediador.
  • Se elimina la prohibición de incentivos en solo ejecución y en las ventas sin asesoramiento.
  • Por lo que respecta a las ventas con asesoramiento dependiente, sólo se permiten los incentivos cuando los distribuidores actúen en el "mejor interés para el cliente”, si bien se flexibilizan algunos de los requisitos propuestos por la Comisión:
    • Se aclara que, en el caso de los distribuidores exclusivos, la gama adecuada de productos puede ser de una sola entidad.
    • Se suprime la obligación de ofrecer al menos un producto sin características adicionales que conlleven mayores costes.
• Value for money:
  • Se prevé la utilización de índices de referencia (benchmarks) con fines de supervisión, para identificar valores extremos (outliers) y llevar a cabo una supervisión basada en riesgo. La evaluación deberá tener en cuenta aspectos cuantitativos y cualitativos.

Finalmente, el acuerdo general del Consejo alcanzado en junio de 2024 incluyó como aspectos destacables los siguientes:

• Incentivos:
  • Se mantiene la prohibición de incentivos en las ventas con asesoramiento independiente, pero se aclara que el asesoramiento independiente no está necesariamente vinculado a la naturaleza jurídica del mediador.
  • Se elimina la prohibición de incentivos en solo ejecución y en las ventas sin asesoramiento.
  • Por lo que respecta a las ventas con asesoramiento dependiente, sólo se permiten los incentivos cuando los distribuidores actúen en el "mejor interés para el cliente", si bien se flexibilizan algunos de los requisitos propuestos por la Comisión (texto similar al del Parlamento).
  • Cuando se diseñen e implementen esquemas de remuneración en la distribución de IBIPs, se deberán cumplir, de forma continuada, una serie de principios generales (overarching principles).
  • Junto a los mencionados principios generales, se incrementan las obligaciones de transparencia y se establecen una serie de requisitos adicionales en materia de comisiones (inducement test).

• Value for money:
  • Se refuerza el proceso de gobernanza estableciendo la obligación para los fabricantes de llevar a cabo un análisis sobre la aportación de valor al cliente de cada producto, llevando a cabo una comparación con otros productos de características similares (peer groups).
  • En el caso de que el IBIP se distancie de la media del grupo homólogo, la relación calidad-precio deberá justificarse mediante pruebas adicionales y en su caso, el fabricante deberá adoptar medidas adicionales.
  • Se prevé que EIOPA desarrolle y haga públicos a nivel de la Unión Europea índices de referencia (benchmarks) por grupos de productos que presenten características similares.
  • Se prevé que los Estados miembros den la opción a los fabricantes de comparar sus productos con los índices de referencia (benchmarks) que publique EIOPA, en lugar de con los peer groups.

Habrá que estar muy atentos a las negociaciones que tienen que producirse entre Comisión, Parlamento y Consejo (denominadas trílogos) para llegar a un acuerdo sobre el texto definitivo, que está previsto que se inicien antes de que finalice el ejercicio 2024.

Prevención del blanqueo de capitales y de la financiación del terrorismo

El 30 de mayo de 2024, el Consejo de la Unión Europea aprobó el nuevo paquete de normas contra el blanqueo de capitales, tras la aprobación del Parlamento Europeo. Este paquete incluye la siguiente legislación:

• Reglamento relativo a la prevención de la utilización del sistema financiero para el blanqueo de capitales o para la financiación del terrorismo (Reglamento AMLR). Sus disposiciones se aplicarán en 2027 (3 años después de la entrada en vigor).
• Reglamento por el que se crea la Autoridad Europea de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (Reglamento AMLA). Se aplicará a partir del 1 de julio de 2025, salvo la supervisión directa de las entidades obligadas seleccionadas que comenzará en 2028.
• Directiva relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o para la financiación del terrorismo (Directiva AMLD6). Los Estados miembros adoptarán las disposiciones necesarias para cumplir la Directiva a más tardar 3 años después de su entrada en vigor, es decir, en 2028 (salvo determinadas excepciones).

Todavía está pendiente su publicación en el Diario Oficial de la Unión Europea (DOUE).

Ámbito nacional

En el ámbito nacional, cabe destacar la Resolución de la DGSFP por la que se requieren los datos biométricos del colectivo asegurado y se establece el procedimiento para su remisión por parte de las entidades aseguradoras obligadas y el Proyecto de Ley por la que se crea la Autoridad Administrativa Independiente de Defensa del Cliente Financiero.

Tablas actuariales

En julio de 2024 se publicó en la página web de la DGSFP la Resolución por la que se requieren los datos biométricos del colectivo asegurado y se establece el procedimiento para su remisión por parte de las entidades aseguradoras obligadas.

Las entidades obligadas a suministrar estos datos incluyen entidades aseguradoras de vida, entidades aseguradoras de no vida que operen el ramo de decesos, entidades aseguradoras mixtas y entidades gestoras de fondos de pensiones de empleo que integren planes de pensiones de prestación definida no asegurados.

La resolución requiere a las entidades obligadas la remisión de la base de datos del colectivo asegurado antes del 1 de enero de 2025.

El objeto del requerimiento de información, el cual se prevé que sea anual, es analizar de forma continuada la adecuación de las tablas biométricas a la evolución real de las tasas de mortalidad, supervivencia, invalidez y morbilidad.

Proyecto de Ley por la que se crea la Autoridad Administrativa Independiente de Defensa del Cliente Financiero

En abril de 2024 se publicó en el Boletín Oficial de las Cortes Generales el Proyecto de Ley por la que se crea la Autoridad Administrativa Independiente de Defensa del Cliente Financiero para la resolución extrajudicial de conflictos entre las entidades financieras y sus clientes.

El proyecto de ley se encuentra actualmente en plazo de presentación de enmiendas en el Congreso de los Diputados.

El proyecto de ley prevé la creación de la Autoridad Administrativa Independiente de Defensa del Cliente Financiero y el establecimiento de un sistema de solución extrajudicial de conflictos entre las entidades financieras (incluidas las entidades aseguradoras) y sus clientes. Se trata de una vía alternativa a la jurisdicción civil, voluntaria para los clientes, pero obligatoria para las entidades financieras.

Como principal novedad, finalizarán con resolución vinculante las reclamaciones que versen sobre incumplimientos en materia de normativa de conducta y en materia de cláusulas abusivas cuando el importe reclamado sea inferior a 20.000 euros.

Contra las resoluciones vinculantes de la Autoridad (que ponen fin a la vía administrativa y no son susceptibles de recurso de reposición), tanto el cliente financiero como la entidad financiera podrán interponer demanda ante la jurisdicción civil.

Finalizarán con resolución no vinculante (i) las reclamaciones que versen sobre la normativa de conducta y en materia de cláusulas abusivas, cuando el importe reclamado sea igual o superior a 20.000 euros, (ii) las que versen sobre buenas prácticas y usos financieros en todo caso y (iii) las reclamaciones sin contenido económico.

La Autoridad de Defensa del Cliente Financiero integrará las funciones de los actuales servicios de reclamaciones de los organismos supervisores (Banco de España, CNMV y DGSFP).

Para la financiación de la nueva Autoridad, se exigirá una tasa anual a las entidades financieras, que se calculará en función del número de reclamaciones resueltas y de las resoluciones favorables al reclamante frente a cada entidad.