Servicios de Consultoría Promoviendo el desarrollo de … · El gobierno y la gestión de riesgos,...

Promoviendo el desarrollo de una cultura de prevención |

Promoviendoel desarrollode una culturade prevención

Abril 2017

Estudio de gobierno, gestión de riesgos y auditoría interna

Servicios de Consultoría

| Promoviendo el desarrollo de una cultura de prevención

Contenido


I Gobierno de riesgos1 El rol del Directorio 8

2 Atributos del Directorio 9

II Gestión de riesgos1 Marco de referencia de la gestión de riesgos 18

2 Los quince riesgos más críticos 25

3 ¿Cómo gestionan las empresas sus riesgos? 30

4 Herramientas de gestión de riesgos 37

5 Oportunidades de mejora para fortalecer la gestión de riesgos 39

6 Ambiente de control 40

7 Plan de contingencias, crisis y continuidad 46

8 Función de cumplimiento 47

III Auditoría interna1 Conformación de la función de auditoría interna 52

2 Atributos de la función de auditoría interna 56

3 Enfoque en riesgos 65

4 Plan de auditoría basado en riesgos 67

5 Presupuesto de la función de auditoría interna 68

6 Herramientas de soporte 69

IV Resumen ejecutivo 72

V Ficha técnica 80

BienvenidaEl gobierno y la gestión de riesgos, así como los controles y el ejercicio de la función de auditoría interna, cobran significativa relevancia en un entorno de intensos cambios y condiciones adversas por las que atraviesan las organizaciones hoy en día, tanto en el Perú como a nivel internacional.

En EY no podemos ser indiferentes a esta necesidad, y buscamos compartir con nuestros clientes y amigos, así como con la comunidad empresarial peruana, nuestros conocimientos y experiencias para impulsar el desarrollo de una cultura de gobierno, gestión de riesgos y auditoría interna. En este contexto, hemos realizado en nuestro país un primer Estudio de Gobierno, Gestión de Riesgos y Auditoría Interna, el cual busca compartir las tendencias en dicha materia, compararlas sectorialmente y promover buenas prácticas que fomenten el control y fortalezcan el gobierno corporativo de las empresas peruanas, a fin de colaborar con el desarrollo de un ambiente de trabajo sostenible y alerta ante los eventos de riesgo.

Deseamos agradecer a aquellos que participaron en nuestro estudio y realmente valoramos el tiempo que se tomaron en compartir sus experiencias. Esperamos que esta información sea de mucha utilidad en la gestión de riesgos y control interno de sus compañías.

En EY nos encontramos a su disposición para atenderlos en lo que ustedes pudiesen requerir para desarrollar sus prácticas de gestión de riesgos, control interno y auditoría interna, así como para fortalecer sus operaciones y ampliar su crecimiento.

Jorge AcostaSocio líder de Consultoría EY Perú

4

El riesgo es un factor inherente al negocio. Es la incertidumbre sobre la vulnerabilidad, exposición de los procesos y sobre las amenazas externas que podrían obstaculizar el cumplimiento de los objetivos estratégicos. Su apropiada identificación, gestión y control debe contribuir a la consecución de esos objetivos, a optimizar los márgenes y a mejorar el relacionamiento con los grupos de interés. La forma como las organizaciones gestionan sus riesgos cobra significativa relevancia en un entorno complejo, diverso y de creciente velocidad de cambio, como el que atraviesan las organizaciones hoy en día en el Perú.

La manera como las empresas gobiernan y gestionan sus riesgos en la práctica puede diferir sustancialmente. Los modelos o sistemas de gestión de riesgos dependen de factores como el tamaño de la organización, la cultura empresarial, el nivel de supervisión, el nivel de madurez, la composición accionaria, entre otros. Si bien existen diversos marcos y códigos de gobierno con buenas prácticas sugeridas de gestión de riesgos y auditoría, no existe un modelo o estructura única que satisfaga todas las necesidades y se adapte perfectamente a todo tipo de empresa. El mejor modelo de gestión de riesgos es aquel que se diseña específicamente para atender las necesidades evolutivas de la empresa y de sus accionistas.

En EY Perú tenemos el firme compromiso de ayudar a impulsar el desarrollo empresarial mediante el estudio y difusión de buenas prácticas de gestión de riesgos, con la finalidad de fomentar una cultura de prevención y control en las empresas, que contribuya a un mejor ambiente de negocios en nuestra comunidad. En este sentido, les presentamos nuestro primer Estudio de Gobierno, Gestión de Riesgos y Auditoría Interna de empresas peruanas, desarrollado para difundir en nuestra comunidad empresarial, las principales tendencias y prácticas de gobierno, gestión de riesgos y auditoría interna de un grupo representativo de grandes empresas peruanas, con la finalidad de promover su fortalecimiento y colaborar con el desarrollo de un ambiente de negocios saludable.

El presente estudio se realizó entre setiembre de 2016 y enero de 2017 mediante entrevistas a ejecutivos de 133 empresas peruanas. Las entrevistas fueron realizadas principalmente con miembros del Directorio, Gerentes Generales y otros directivos clave de las empresas participantes, a fin de obtener una mejor representación de la percepción real de la alta dirección en relación a la estructura de gobierno y sistemas de riesgos, control y auditoría.

Introducción

Los resultados de nuestro estudio se presentan en las siguientes tres secciones:

I. Gobierno de riesgos: Recoge las principales prácticas de gobierno corporativo en materia de gestión de riesgos y control interno. Incluye aspectos tales como las estructuras del gobierno de riesgos, conformación de comités especializados, independencia del Directorio, entre otros;

II. Gestión de riesgos: Presenta un análisis de los riesgos más críticos según la percepción de los ejecutivos entrevistados, la forma en que los gestionan, las herramientas utilizadas y el ambiente de control para darles una respuesta apropiada; y

III. Auditoría Interna: Damos a conocer cuán alineadas están las empresas participantes a los estándares internacionales de la auditoría interna, su conformación y diversidad de profesionales, herramientas de soporte, uso de servicios especializados de terceros, entre otros.

Agradecemos a todas las empresas y ejecutivos entrevistados que hicieron posible el desarrollo de este estudio y esperamos poder contribuir y promover buenas prácticas empresariales de gobierno, gestión de riesgos y auditoría interna en nuestra comunidad empresarial.

Renato UrdanetaDirector líder de Riesgos EY Perú

Fabiola JuscamaitaDirectora de RiesgosEY Perú

6 | Promoviendo el desarrollo de una cultura de prevención

IGobierno de riesgos

7

I Gobierno de riesgos


Estudios recientes muestran que mitigar los riesgos que amenazan el logro de objetivos, generalmente se expresan

en función de los ingresos y la rentabilidad esperada. En consecuencia, el fortalecimiento de las prácticas de gobierno

corporativo, es una iniciativa prioritaria para el Directorio y los altos ejecutivos.

El principio de gobierno más importante de una organización es, sin duda, la definición del plan estratégico y su

supervisión. Por otra parte, la gestión de riesgos es un elemento consubstancial de la función de planeamiento

estratégico, pues permite identificar las principales amenazas que enfrenta una organización para el logro de sus objetivos

y darles un tratamiento adecuado. Por esa razón, el gobierno de riesgos, cuya responsabilidad máxima es atribuible al

Directorio, es un elemento siempre abordado en la bibliografía académica, en los códigos de buen gobierno corporativo y

está cada vez más presente en la regulación societaria de los países económicamente más desarrollados.

Este capítulo analiza cómo cierto grupo de empresas peruanas organizan y estructuran el gobierno de sus riesgos.

Para ello, el estudio evaluó los atributos más relevantes que caracterizan a sus Directorios para ejercer su labor. Los aspectos que se abordan en esta sección incluyen,

principalmente: la cantidad de miembros que los conforman, su independencia y especialización.


"

"

1.El rol del DirectorioEl Directorio es el máximo ente de gobierno en una organización, es elegido por la Junta General de Accionistas y tiene la labor de guiar el rumbo de la empresa. Está constituido por personas naturales y tiene la condición de órgano colegiado; por esa razón, los acuerdos adoptados por él expresan su posición unitaria sobre los asuntos que atañen a su competencia.

Es considerado el núcleo del gobierno corporativo de una empresa. En la Guía práctica de Gobierno Corporativo, la Corporación Financiera Internacional (IFC por sus siglas en inglés) lo define como el órgano que da forma y moldea al resto de estructuras dentro de la empresa y quien es –además- el responsable de implementar las buenas prácticas de gobierno corporativo, así como de supervisar su efectivo cumplimiento.

Lo anterior nos da una idea de la complejidad y amplitud de sus funciones y nos ayuda a entender el porqué de la necesidad que tienen las organizaciones de conformar Directorios capaces de cumplir con éxito su labor. El Banco de Desarrollo de América Latina (CAF), en sus lineamientos para un código latinoamericano de gobierno corporativo, señala que la profesionalización del Directorio agrega valor al capital de la empresa, maximiza el rendimiento de las inversiones y permite la alineación de intereses de los accionistas.

Responsabilidad del Directorio en el gobierno de riesgos

Las prácticas líderes de gobierno corporativo coinciden en que la tarea más importante del Directorio es la designación del Gerente General, y que sus principales responsabilidades incluyen también la aprobación de la estrategia y la supervisión de la gestión del negocio.

La estrategia del negocio incluye, de manera consubstancial, la gestión de los riesgos capaces de comprometer el logro de los objetivos de la empresa. Ser el máximo ente de gobierno de la organización y, por consiguiente, el responsable de la definición de la estrategia, hace del Directorio, de manera inherente, también el órgano responsable de supervisar la gestión de riesgos, cuya labor recae en la Gerencia.

Los Directores independientes pueden contribuir significativamente a las decisiones corporativas importantes, especialmente en lo relativo a evaluar el desempeño y determinar la remuneración de la alta Gerencia y miembros del Directorio, revisar estados financieros y manejar situaciones sensibles a los conflictos de interés. La presencia de Directores independientes genera mayor confianza en la imparcialidad de las decisiones del Directorio.

Jorge Acosta,Socio líder de consultoría

de EY Perú

9



"

"

2.Atributos del DirectorioEn esta sección nos ocupamos de tres atributos considerados clave en la conformación del Directorio para facilitar su labor de supervisión de la gestión de riesgos del negocio; estos son: la independencia de sus miembros, la cantidad de directores y la especialización, con la finalidad de hacer un uso eficiente y organizado de la diversidad de perfiles de quienes lo conforman.

Independencia del Directorio

La independencia es entendida como un atributo fundamental con el que debe contar el Directorio para poder ejercer de forma objetiva sus responsabilidades, que incluyen -principalmente y por encima de todas las cosas- actuar siempre de buena fe en beneficio de la empresa y de sus accionistas en conjunto, y no de un grupo en particular. Por esa razón, una práctica generalmente considerada líder en materia de gobierno corporativo es la inclusión de directores que sean realmente independientes, tanto de la Gerencia, como de los accionistas.

Inclusión de miembros independientes

En nuestro estudio, el 64% de las empresas participantes incorporan en su Directorio, al menos, a un miembro independiente.

En adición, los tres sectores que incluyen una mayor proporción de independientes en la composición de sus Directorios son: transportes y comunicaciones, servicios y energía y electricidad.

Proporción de miembros independientes

En el Perú no existe una ley que requiera la inclusión de miembros independientes en los Directorios de las empresas, como ya existen en otros países de la región. Sin embargo, en los códigos representativos de gobierno corporativo se establece este criterio como una práctica fundamental.

Sector

No incluye independientes

7%36%

Sí incluye independientes64%

17%20%

23%

44%33%

48%62%63%

93%83%

80%77%

56%67%

52%38%38%

Transportes y comunicacionesServiciosEnergía y electricidadComercio y consumo masivoManufacturaMineríaConstrucciónAgropecuario y pescaHidrocarburos

El Directorio debe ser capaz de pronunciarse con objetividad sobre los asuntos de la empresa […]. Para cumplir su deber de controlar el desempeño de la dirección, evitar los conflictos de intereses y lograr un equilibrio entre las exigencias contrapuestas que se dan en la empresa, es fundamental que el Consejo pueda realizar juicios de valor objetivos. En primer lugar, ello exige independencia y objetividad respecto de la dirección, con importantes consecuencias para la composición y la estructura del Consejo. En estas circunstancias, esta independencia requiere, por lo general, que un número suficiente de consejeros sea ajeno a la dirección.

Principios de Gobierno Corporativo - Organización para la Cooperación y el Desarrollo Económico (OECD)


Proporción de miembros independientes del Directorio

la proporción de independientes excede a la mitad del Directorio.

26%

56% de las empresas tiene miembros independientes en una proporción menor a un tercio de su Directorio.

18% la proporción de independientes excede a un tercio,

pero es menor a la mitad del Directorio.

El código de buen gobierno corporativo para las sociedades peruanas de la Superintendencia del Mercado de Valores (SMV), es de cumplimiento voluntario, pero de reporte obligatorio para las empresas listadas en la Bolsa de Valores de Lima (BVL), ésta promueve que las empresas incorporen una proporción mayor de miembros independientes en su Directorio.

Como antes indicamos, de acuerdo con los resultados de nuestro estudio, las empresas participantes que tienen miembros independientes en la composición de sus Directorios representan el 64% de muestra analizada. Esta proporción se compone de la siguiente manera:

Proporción de miembros independientes

Número de miembros del Directorio

La Junta General de Accionistas define el número óptimo de miembros para su Directorio, en función a la complejidad de su labor y a las responsabilidades a las que este órgano de gobierno debe hacer frente.

A continuación se muestra la distribución del número de directores en las empresas que participaron de nuestro estudio. Se observa que el número de directores más frecuente es siete, y que en el 77% de casos, éste fluctúa entre cinco y diez miembros.

11



de las empresas tienen Directorios cuyo número de miembros fluctúa entre cinco y diez directores.

de las empresas tienen Directorios cuyo número de miembros fluctua entre siete y nueve.

En el grupo de grandes empresas listadas, el 78% de estas cuentan con un Directorio cuyo número de miembros fluctúa entre siete y once.

De acuerdo con el IFC, sobre la base de un estudio comparativo de 30 documentos y códigos de gobierno corporativo de 22 países, sólo dos documentos de referencia indican que el número ideal de miembros del Directorio es entre cinco y diez.

La CAF establece que “... el tamaño óptimo dependerá de la dimensión de la propia compañía, lo que en una buena parte de los casos justificaría que se fijara un número de siete o nueve miembros.”

Asimismo, “en el caso de grandes empresas listadas, este número podría ser elevado hasta once.”

77% 39%

Distribución del número de miembros de los Directorios

Cantidad de directores

3 4 5 6 7 8 9 10 11 12 13 14 15

5%

10

20

30

12%

24%

27%

6% 4%

8% 8%

3% 2% 0% 0% 1%

Media 6.63

Media 7.74

% de empresas

Total de empresas evaluadas

Grandes empresas listadas (ingresos > S/2 mil millones)

De acuerdo con nuestro estudio:

" "

El número de miembros del Directorio debe ser definido por cada empresa de acuerdo a sus circunstancias y éste no debe ser excesivo ni insuficiente ya que en ambos casos obstaculizarían la eficiencia y eficacia de los procesos de decisión.

Renato Urdaneta,Director líder de riesgos de

EY Perú


No existe una definición precisa de cuál es el número óptimo de miembros que un Directorio debe tener. Las prácticas y principios líderes de gobierno corporativo establecen que el número de directores es un elemento clave en la efectividad de su gestión, y que éste debe definirse en función de la complejidad del negocio y de las responsabilidades a las que el Directorio debe hacer frente.

De esta premisa se desprende que cuanto mayor es la complejidad y el tamaño de una empresa, mayor debe ser el número de miembros de su Directorio; sin embargo, también hay que tener en cuenta que diversos estudios demuestran que Directorios cuyo tamaño excede el nivel óptimo que demanda el ejercicio de sus responsabilidades, tienden a ser ineficientes y restan valor a la organización.

En el gráfico siguiente se muestra que existe una correlación positiva entre el nivel de ingresos de las empresas que participaron en el estudio (el nivel de ingresos puede ser entendido como un indicador del nivel de complejidad de su negocio) y el tamaño de su Directorio; es decir, cuanto mayores son los ingresos de una empresa, más miembros tiene su Directorio.

Relación entre el nivel de ingresos de una empresa y el número de miembros de su Directorio

En adición, el segundo gráfico muestra los tamaños medios de los Directorios por sector. En él se observa que el sector que cuenta con Directorios de mayor tamaño es construcción (tamaño promedio: 8.14), mientras que los Directorios con menor cantidad de miembros se encuentran en los sectores agropecuario y pesca (tamaño promedio: 5.00) y energía y electricidad (tamaño promedio: 5.33)

Los negocios más complejos requieren de Directoriosmás grandes.

Cuanto mayores son los ingresos de las compañías, más miembros tienen sus Directorios.

Promedio de cantidad de directores

10 8 6 4 2 0 IngresosS/ (Millones)

Industria

5.85

S/500 - S/2,000

7.50

Más de S/2,000

7.69

5.00 5.33

6.006.20

6.60

6.256.40

8.008.14

Agropecuario y pescaEnergía y electricidadComercio y consumo masivoTransportes y comunicacionesServiciosHidrocarburosManufacturaMineríaConstrucción

S/0 – S/500

"

"

Un Directorio efectivo tiene varios elementos relevantes, como su número de miembros y experiencia, su conocimiento, especialidad y habilidad, su capacidad de cuestionar de forma imparcial a la Gerencia y dar asesoría estratégica para la conducción de la empresa.

Fabiola Juscamaita,Directora de riesgos de EY Perú

13



Condición de impar

De acuerdo con los principios líderes de buen gobierno corporativo, para facilitar el proceso de toma de decisiones, la cantidad de miembros que conforman el Directorio debe ser impar. Los resultados de nuestro estudio muestran que el 68% de las empresas participantes tienen un Directorio cuyo número de miembros es impar. Asimismo, como se puede apreciar en el siguiente gráfico, cuanto mayor es la cantidad de miembros del Directorio, mayor es la proporción de Directorios que cuentan con un número de miembros impar.

Condición de impar

En muchas empresas, el quórum del Directorio se obtiene con la mitad más uno de sus miembros. La imparidad del numero de Directores en ocasiones facilita la toma de decisiones al no permitir el empate.

Especialización

En la conformación de un Directorio no sólo se debe tener en cuenta el tamaño correcto, sino además contar con una adecuada diversidad de perfiles entre sus miembros, con la finalidad de optimizar el desarrollo de sus dinámicas y desarrollar eficazmente su labor.

Como se ha analizado previamente, conforme se incrementa la complejidad del negocio, tiende a incrementarse también el tamaño de los Directorios, y con él, la diversidad de sus miembros. Por esa razón, la conformación de comités especializados del Directorio es comúnmente aceptada como una buena práctica de gobierno corporativo porque promueve la optimización en el uso de sus recursos; es decir, la eficiencia.

Cantidadde miembros

Par32%

Impar 68%

Menos de 5

Entre 5 y 10

Más de 10

29%

77%

71%

71%

23%

29%

17%

77%

6%

" "

Sería recomendable que el número de directores fuera impar, para evitar la formación de posibles empates.

Lineamientos para un Código Latinoamericano de Gobierno

Corporativo – Banco de Desarrollo de América Latina (CAF)

"

"

La especialización permite al Directorio abordar eficientemente un mayor número de asuntos complejos, logrando que los especialistas se centren en temas específicos y ofrezcan un análisis detallado al Directorio.

Guía Práctica de Gobierno Corporativo - Corporación Financiera Internacional

(IFC 2010)


Comités especializados

Como resultado de este estudio se observó que el 67% de las empresas participantes manifestaron haber constituido comités especializados. En adición, estas empresas manifestaron que sus comités sesionan, en promedio, cuatro veces al año.

En el siguiente gráfico se puede apreciar que el comité comúnmente conformado es el comité de auditoría. Este porcentaje se respalda con el estudio realizado por la voz de la empresa1, según el cual, el 90% de las empresas que conforman el Índice de Buen Gobierno Corporativo de la Bolsa de Valores de Lima (IBGC) cuentan con este comité.

Conformación de comités especializados

Comités de auditoría y frecuencia de sesión

El rol del comité de auditoría es crucial, pues tiene el encargo de vigilar las labores de auditoría financiera y revisar el control interno en la organización.

Nuestro estudio muestra cómo están organizados los comités de auditoría de las empresas participantes. Según los resultados obtenidos, el 64% de las empresas que participaron de nuestro estudio manifestó haber conformado un comité de auditoría. De este grupo, 62% cuenta con un comité conformado localmente, 24% con un comité corporativo y 14% con ambos. Por otro lado, el 66% de comités de auditoría conformados cuenta, al menos, con un director independiente.

Auditoría Compensaciones Riesgos Gob. Corporativo Nominaciones Otros

No Sí

95%

32%

19%

17%

14%

11%

5%

68%

81%

83%

86%

89%

No33%

Sí 67%

1Publicación que incluye un análisis de los reportes de cumplimiento de los principios de Buen Gobierno Corporativo presentados por los emisores más líquidos a la SMV - 2015.

" "

"

"

Los comités contribuyen a mejorar la eficacia del Directorio, permitiendo la supervisión y un análisis pormenorizado de determinados sectores.

Lineamientos para un código latinoamericano de Gobierno


El principal cometido del Comité de Auditoría será asistir al Directorio en sus funciones de vigilancia mediante la evaluación de los procedimientos contables, el relacionamiento con el Auditor externo y la revisión de la arquitectura de control de la sociedad.

Lineamientos para un código latinoamericano de Gobierno


15



Finalmente, se observó que en el 96% de los casos, las empresas que tienen un comité de auditoría están siendo auditadas por una de las cuatro firmas de auditoría globales más grandes, conocidas como las “big four1”.

Conformación de un comité de auditoría

De acuerdo con nuestro estudio, el 70% de las empresas que declararon haber constituido un comité de auditoría señaló que este comité sesiona al menos trimestralmente; es decir, cuatro o más veces al año.

A continuación se resumen los resultados obtenidos:

14%

Local

Ambos

62%Corporativo 24%

Los comités de auditoría de las empresas están conformados según los siguientes niveles:

• Corporativo: tiene un alcance sobre el grupo empresarial.

• Local: su gestión alcanza unicamente a la empresa.

Ubicación del comité

de auditoría

No34%

Sí 66% El comité de auditoría está conformado, en el

66% de los casos, por al menos un director independiente.

Cuenta al menos con un

director independiente

en su conformación

Otros

4 %

Big four 96%

El 96% de las empresas participantes son auditadas por las big four.

Proporción de firmas auditoras

No36%

Sí 64%

25%

45%

20%

5%

5%

4+

4

3

2

1

Veces que sesiona en un año

%0 10 20 30 40 50

de los comités evaluados sesionan cuatro o más veces al año.

70%

1Big Four: Las firmas auditoras más influyentes del mundo.


IIGestión de riesgos

17



Una adecuada gestión integral de riesgos permite a las empresas obtener mejores resultados económicos y operativos, siempre y

cuando esté alineada a la estrategia del negocio y esté inmersa en la cultura y en el ADN de la organización. Estos son dos factores

críticos que facilitan el proceso de identificación y evaluación de riesgos y contribuyen a la determinación de la estrategia del

negocio y a la definición de la estructura de control necesaria para reducir la exposición de los mismos.

Este capítulo presenta cómo gestionan actualmente sus riesgos las empresas que participaron del estudio. Los principales

aspectos que se abordan en esta sección incluyen: el análisis de los riesgos más críticos según la percepción los ejecutivos

entrevistados, los tipos de riesgos que gestionan las empresas, la forma en la que lo hacen y las herramientas en las que se basan

para realizar esta labor.


1.Marco de referencia de la gestión de riesgosEl marco de referencia de gestión de riesgos más utilizado por las empresas peruanas es el Marco Integrado de Gestión de Riesgos Empresariales, denominado “COSO ERM - Enterprise Risk Management”. Este marco de referencia de riesgos y control interno fue publicado por la Comisión COSO (Committee of Sponsoring Organizations of the Treadway Commision) en el año 2004 y reúne prácticas líderes relacionadas con el diseño, la implementación, el desarrollo y monitoreo de riesgos empresariales. Según COSO ERM, la Gestión de riesgos es un proceso que desarrolla el Directorio, el Gerente General y la Alta Gerencia de una compañía, y debe decantarse al resto de colaboradores de la organización.

El diseño e implementación de una gestión de riesgos y de un sistema de control interno efectivo representa un desafío cada vez más grande para las organizaciones que buscan lograr mayor eficiencia y efectividad en sus operaciones. Los nuevos modelos de negocio, el cambio acelerado de éstos, el mayor uso y dependencia de la tecnología, el aumento de los requisitos regulatorios y el mayor análisis que ello supone, exigen que el sistema de gestión de riesgos y control interno sea ágil y flexible a la hora de adaptarse a los cambios que se produzcan en el entorno del negocio.

Una gestión de riesgos y un sistema de control interno efectivo requieren el compromiso y el convencimiento de la alta dirección acerca del valor que genera la función, así como un constante entrenamiento de los niveles intermedios y operativos. El Directorio y la Alta Gerencia deben utilizar su criterio profesional para determinar los niveles de apetito al riesgo que la empresa esta dispuesta a tolerar.

Las características fundamentales de la gestión de riesgos son:

• Debe estar orientada al logro de los objetivos estratégicos, operacionales, de información y de cumplimiento.

• Debe decantar en tareas y actividades continuas alineadas a la estrategia.

• Debe ser un proceso continuo efectuado por personas. Es decir, no se trata solamente de la definición de manuales, políticas, sistemas y formularios, sino de acciones ejecutadas por el personal de cada nivel de la organización para llevar a cabo actividades de control que mitiguen riesgos de negocio.

19

II Gestión de riesgos


• Debe ser capaz de proporcionar una seguridad razonable al Directorio y a la alta Gerencia sobre el logro de objetivos, al tener identificados y gestionados los principales riesgos que enfrenta la organización.

• Debe ser adaptable a la estructura de la entidad y aplicable a los diversos niveles que ésta tenga, así como a las regiones geográficas donde opera (entidad en general, división, unidad operativa o proceso de negocio en particular).

Componentes del Marco COSO ERM

El Marco COSO ERM considera ocho componentes de control interno para la gestión de riesgos.

Objetivos del negocio

Niveles dela organización

Componentes de control interno

Estratégico

Operacional

Informació

n

Cumplimiento

Monitoreo

Subsidiaria

Unidad de negocio

División

NIvel de entidad

Ambiente de control

Definición de objetivos

Identificación de eventos de riesgo

Respuesta a los riesgos

Monitoreo

Información y comunicación

Actividades de control

Evaluación de riesgos

Es de conocimiento público que en el segundo trimestre de 2017 será publicada la versión

actualizada de este marco de referencia.


1. Ambiente de control

El ambiente de control es la base filosófica y conjunto de normas, procesos y estructuras sobre la que se construye la gestión de riesgos y el sistema de control interno en la entidad. El Directorio y la alta dirección son quienes marcan el “Tone at the Top” con respecto a la importancia de la gestión de riesgos y control interno, así como los estándares de conducta esperados dentro de la entidad. La alta Gerencia refuerza las expectativas sobre la gestión de riesgos y control interno en los distintos niveles de la organización.

El ambiente de control incluye la integridad y los valores éticos de la organización; los parámetros que permiten al Directorio llevar a cabo sus responsabilidades de supervisión del gobierno corporativo; la estructura organizacional y la asignación de autoridad y responsabilidad; el proceso de atraer, desarrollar y retener a profesionales competentes; y el rigor aplicado a las medidas de evaluación del desempeño, así como los esquemas de compensación para incentivar la responsabilidad por los resultados del desempeño. El ambiente de control de una organización tiene una influencia muy relevante en el resto de componentes de la gestión de riesgos y control interno.

2. Definición de objetivos

Es el proceso por el cual se establecen los objetivos estratégicos, operacionales, de información y de cumplimiento, con suficiente claridad y detalle para permitir la identificación, evaluación y respuesta de los riesgos con impacto potencial en dichos objetivos.

3. Identificación de eventos de riesgo

Cada entidad se enfrenta a una gama diferente de riesgos procedentes de fuentes externas e internas. El riesgo se define como la posibilidad de que un acontecimiento ocurra y afecte negativamente al logro de los objetivos.

Identificar riesgos implica relevar y documentar el inventario de riesgos que puedan afectar el logro de los objetivos estratégicos, operacionales, de información y de cumplimiento de la entidad. La identificación consiste en examinar las posibles fuentes de riesgos determinando cuáles son aquellos hechos, acciones u omisiones que podrían afectar adversamente al negocio, debido a factores

21



externos o internos. Los factores externos incluyen factores económicos, medioambientales, políticos, sociales y tecnológicos. Los factores internos reflejan las selecciones que realiza la entidad e incluyen la infraestructura, personal, procesos y tecnología.

4. Evaluación de riesgos

La evaluación de riesgos implica un proceso dinámico e iterativo para analizar y valorar los riesgos respecto de la consecución de los objetivos. De este modo, la evaluación de riesgos constituye la base para determinar cómo se gestionarán.

Los riesgos se evalúan de acuerdo con el apetito de riesgos definido por la alta Gerencia. Usualmente se emplean dos criterios de valoración: probabilidad de ocurrencia e impacto de la posible materialización de los eventos de riesgo.

• Probabilidad de ocurrencia: Grado de posibilidad de que ocurra el evento de riesgo en un período de tiempo determinado, o conocer cuántas veces históricamente ha ocurrido, o qué posibilidad existe de que ocurra en el futuro.

• Impacto: Nivel de exposición de la compañía ante un riesgo, o cuantía de la pérdida financiera o no financiera que se pudiera generar si ocurriera el evento de riesgo.

5. Respuesta a los riesgos

Es el proceso de selección de una estrategia de tratamiento o gestión de los riesgos, a fin de minimizar su impacto o probabilidad de ocurrencia. Las estrategias de respuesta a los riesgos se deberán seleccionar de acuerdo al nivel o severidad del riesgo, así como al apetito y/o tolerancia al riesgo que ha definido la alta Gerencia.

Entre las estrategias de respuesta a los riesgos se encuentran las siguientes:

• Mitigar: Establecer controles, o fortalecer los existentes, para disminuir el impacto del riesgo.

• Reducir: Establecer controles, o fortalecer los existentes, para disminuir la probabilidad de ocurrencia del riesgo.


• Transferir: Transferir a un tercero la administración del riesgo.

• Retener: Conservar el riesgo sin tomar ninguna acción adicional más que su adecuado monitoreo.

• Explotar: Aceptar niveles de riesgo altos para aprovechar oportunidades.

• Evitar: Dejar de realizar la actividad que genera el riesgo.

6. Actividades de control

Son actividades que contribuyen a garantizar que se lleven a cabo las instrucciones de la Gerencia para mitigar los riesgos con impacto potencial en los objetivos. Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas de los procesos de negocio y en el entorno tecnológico.

Según el momento de ocurrencia, las actividades de control pudiesen ser detectivas (por ejemplo autorizaciones, verificaciones, conciliaciones y revisiones del desempeño) o preventivas (por ejemplo: entrenamiento, difusión de políticas y procedimientos); y según el grado de automatización, pudiesen ser manuales, automáticos o dependientes de sistemas de tecnología de información.

La segregación de funciones forma parte de las actividades de control que implica mantener separadas las actividades potencialmente conflictivas entre sí. En aquellas áreas en las que no es posible una adecuada segregación de funciones, la Gerencia debe desarrollar actividades de control compensatorias.

7. Información y comunicación

La información es necesaria para que la entidad pueda llevar a cabo sus responsabilidades de gestión de riesgos y control interno, y dar soporte al logro de sus objetivos. La Dirección necesita información relevante y de calidad, tanto de fuentes internas como externas, para apoyar el funcionamiento de los otros componentes de la gestión de riesgos y control interno. La comunicación es el proceso continuo de proporcionar, compartir y obtener la información necesaria.

23



La comunicación interna es el medio por el cual la información se difunde a través de toda la organización, que fluye en sentido ascendente, descendente y a todos los niveles de la entidad. Esto hace posible que el personal pueda recibir de la alta Gerencia un mensaje claro de que las responsabilidades de control deben ser tomadas seriamente.

La comunicación externa persigue dos finalidades: comunicar, de fuera hacia el interior de la organización, información externa relevante y proporcionar información interna relevante de dentro hacia fuera, en respuesta a las necesidades y expectativas de grupos de interés externos.

8. Monitoreo

Son actividades orientadas a la supervisión de la gestión de riesgos y el sistema de control interno, a través de evaluaciones continuas, a manera de autoevaluación por parte de los dueños de procesos; evaluaciones independientes, a cargo de auditoría interna, contraloría, auditores externos, entre otras; o una combinación de ambas, a fin de determinar si cada uno de los componentes de la gestión de riesgos y control interno, están presentes y funcionan adecuadamente.

Las evaluaciones continuas, que están integradas en los procesos de negocio en los diferentes niveles de la entidad, suministran información oportuna. Las evaluaciones independientes, que se ejecutan periódicamente, pueden variar en alcance y frecuencia dependiendo de la evaluación de riesgos, la efectividad de las evaluaciones continuas y otras consideraciones de la dirección. Los resultados se evalúan comparándolos con los criterios establecidos por los reguladores o prácticas líderes, y las deficiencias se comunican al Directorio o Gerencia, según corresponda.


Preservar el patrimonio de los accionistas

Enfocar más la estrategia

Mayor confianza en los inversionistas y resto de stakeholders

Identificar y/o prevenir riesgos de integridad y de fraude

Mejorar la eficiencia y automatización de procesos

Mejorar los sistemas de administración y gobierno

Fortalecer el control interno y sus líneas de defensa

1

2

3

4

56

8

9

7

Beneficios de la gestión integral

de riesgos

Dar cumplimiento a las leyes y normas aplicables

Buscar oportunidades de optimización de costos y ahorros

A través de la identificación de oportunidades de control que ayuden a mitigar los riesgos de pérdida económicas u operativas

Al identificar oportunidades de mejora que están directamente relacionadas a la mitigación de re-procesos

Al contar con procesos robustos y riesgos mitigados, la gerencia puede focalizarse más en el desarrollo de su estrategia

Al establecer mecanismos de control preventivos y correctivos sobre la información financiera y no financiera, así como los planes de continuidad del negocio

A través del análisis y establecimiento de controles para dar cumplimiento a la regulación externa, así como a los códigos, políticas y normas internas

A través de un análisis de los riesgos relacionados con la oportunidad, racionalización y presión para el logro de objetivos

Plantea y difunde prácticas líderes y brinda oportunidades de sensibilización sobre la importancia de la gestión integral de riesgos

A través del involucramiento oportuno y proactivo en la identificación de sobrecostos

Verifica que los recursos de la compañía se empleen de manera efectiva y estén protegidos de apropiaciones indebidas

Ventajas de la gestión de riesgos

Son múltiples las ventajas de tener implementada una gestión de riesgos existosa, las cuales se resumen en contar con un sano equilibrio entre el control de las amenazas que pudiese afectar el logro de los objetivos del negocio y el incremento de la rentabilidad y productividad. Con este equilibrio, la Gerencia estaría en mejores condiciones de enfocarse en el desarrollo de la estrategia y en mejorar los sistemas de gobierno.

25



2.Los quince riesgos más críticosComo parte del estudio se consultó a los principales ejecutivos de las empresas que participaron acerca de los riesgos que más preocupan a la alta dirección.

Los resultados fueron agrupados en función de la clasificación estándar propuesta por el marco de referencia integrado COSO1, que define cuatro categorías de riesgos: estratégicos, operacionales, de información y de cumplimiento.

A continuación se presentan los quince riesgos más críticos según la percepción de los altos ejecutivos de las empresas participantes. Estos se muestran gráficamente en el siguiente radar, cuyo punto central representa los mayores desafíos, y con ellos, los riesgos más críticos.

Radar de los quince riesgos más críticos

213

11

12

3

10

14

65

8

9

15

Cumplimiento

1. Eficiencia y productividad

3. Seguridad ysalud

7. Gestión humana10. Continuidad11. Abastecimiento12. Tecnologías de la

información

2. Contingencias legales

14. Fraude

Operacionales Estratégicos

1

Menor criticidad Mayor criticidad

+4 7

4. Mercado5. Selección y ejecución de la estrategia6. Condiciones político - económicas8. Marca y reputación

15. Competencia

9. Liquidez13. Crédito

Información

1Committee of Sponsoring Organizations of the Treadway Commission (COSO), quien provee lineamientos y guías para la gestión de riesgos, control interno y disuasión de fraude.

"

"

Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, alineado a la estrategia y aplicado a lo largo de la organización, diseñado para identificar eventos potenciales de riesgos, de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable respecto al logro de los objetivos de la organización.

COSO ERM


Riesgos críticos por sector

Estos quince riesgos han sido clasificados por sector, y priorizados en función de su nivel de criticidad, el cual fue determinado de acuerdo a la cantidad de menciones recibidas por parte de los ejecutivos entrevistados.

Listado de los quince riesgos más críticos

RiesgosNivel de criticidad de riesgo de acuerdo a cada sector

Agropecuarioy Pesca

Comercio y Consumo Masivo Construcción Energía y

Electricidad Hidrocarburos Manufactura Minería ServiciosTransportes y

Comunicaciones

1. Eficiencia y productividad ● ● ● ● ● ● ● ● ●

2. Contingencias legales ● ● ● ● ● ● ● ● ●3. Seguridad y salud ● ● ● ● ● ● ● ● ●4. Mercado ● ● ● ● ● ● ● ● ●5. Selección y ejecución de

la estrategia ● ● ● ● ● ● ● ● ●6. Condición político -

económicas ● ● ● ● ● ● ● ● ●7. Gestión humana ● ● ● ● ● ● ● ● ●8. Marca y reputación ● ● ● ● ● ● ● ● ●9. Liquidez ● ● ● ● ● ● ● ● ●

10. Continuidad del negocio ● ● ● ● ● ● ● ● ●11. Abastecimiento de

materias primas y suministros

● ● ● ● ● ● ● ● ●12. Tecnologías de la

información ● ● ● ● ● ● ● ● ●13. Crédito ● ● ● ● ● ● ● ● ●14. Fraude ● ● ● ● ● ● ● ● ●15. Competencia ● ● ● ● ● ● ● ● ●

27



Riesgos críticos por sector

Estos quince riesgos han sido clasificados por sector, y priorizados en función de su nivel de criticidad, el cual fue determinado de acuerdo a la cantidad de menciones recibidas por parte de los ejecutivos entrevistados.

Listado de los quince riesgos más críticos

RiesgosNivel de criticidad de riesgo de acuerdo a cada sector

Agropecuarioy Pesca

Comercio y Consumo Masivo Construcción Energía y

Electricidad Hidrocarburos Manufactura Minería ServiciosTransportes y

Comunicaciones

1. Eficiencia y productividad ● ● ● ● ● ● ● ● ●

2. Contingencias legales ● ● ● ● ● ● ● ● ●3. Seguridad y salud ● ● ● ● ● ● ● ● ●4. Mercado ● ● ● ● ● ● ● ● ●5. Selección y ejecución de

la estrategia ● ● ● ● ● ● ● ● ●6. Condición político -

económicas ● ● ● ● ● ● ● ● ●7. Gestión humana ● ● ● ● ● ● ● ● ●8. Marca y reputación ● ● ● ● ● ● ● ● ●9. Liquidez ● ● ● ● ● ● ● ● ●

10. Continuidad del negocio ● ● ● ● ● ● ● ● ●11. Abastecimiento de

materias primas y suministros

● ● ● ● ● ● ● ● ●12. Tecnologías de la

información ● ● ● ● ● ● ● ● ●13. Crédito ● ● ● ● ● ● ● ● ●14. Fraude ● ● ● ● ● ● ● ● ●15. Competencia ● ● ● ● ● ● ● ● ●

Criticidad

● Alta● Media● Baja


• Agropecuario y pesca

1: Mercado2: Exigencias sanitarias3: Eficiencia y productividad4: Gestión humana 5: Medioambiental

• Comercio y consumo masivo

1: Selección y ejecución de la estrategia2: Gestión humana3: Contingencias legales4: Eficiencia y productividad5: Condiciones político - económicas

• Construcción

1: Seguridad y salud2: Contingencias legales3: Mercado4: Eficiencia y productividad5: Tecnologías de la información

• Energía y electricidad

1: Contingencias legales2: Condiciones político-económicas3: Selección y ejecución de la estrategia4: Gestión humana5: Eficiencia y productividad

• Hidrocarburos

1: Seguridad y salud2: Marca y reputación3: Eficiencia y productividad4: Continuidad5: Contingencias legales

E O

I C

R1

R2

R4

R5

R3

E O

I C

R1 R2R4R5

R3

E O

I C

R1

R2

R4R5

R3

E O

I C

R1

R2R4

R5

R3

E O

I C

R1R2

R4

R5

R3

Cincos riesgos principales por sector

29



E O

I C

R1 R2

R4R5R3

E O

I C

R1R2

R4R5

R3

E O

I C

R1

R2

R4

R5

R3

E O

I C

R1R2R4

R5

R3

• Manufactura

1: Condiciones político - económicas 2: Tecnologías de la información3: Contingencias legales 4: Contingencias tributarias 5: Liquidez

• Minería

1: Conflictos sociales y relación con comunidades

2: Continuidad3: Contingencias legales4: Condiciones político - económicas5: Mercado

• Servicios

1: Gestión humana 2: Contingencias legales3: Marca y reputación 4: Tecnologías de la información 5: Fraude

• Transportes y comunicaciones

1: Seguridad y salud 2: Estrategia3: Corrupción4: Mercado5: Marca y reputación

E: EstratégicoO: OperacionalI: Información

C: Cumplimiento


3.¿Cómo gestionan las empresas sus riesgos?Riesgos gestionados

El estudio muestra qué proporción de las empresas participantes gestionan los tipos de riesgos clasificados en las categorías definidas por el marco de referencia integrado COSO: estratégico, operacional, de información y de cumplimiento.

De acuerdo a nuestro estudio, los riesgos de tipo operacional son los que más gestionan las Gerencias de las empresas participantes (68% de empresas). Sólo el 51% de las empresas participantes gestionan los riesgos de tipo estratégico.

% de empresas que gestionan cada tipo de riesgo

Formalización de la gestión de riesgos

Con el propósito de tener formalizada la gestión de riesgos, y dependiendo del tamaño y complejidad de la organización, resulta conveniente: (i) contar con un área formalizada que se encargue de desplegar la metodología de gestión de riesgos -de manera uniforme- al resto de la organización, consolidar los resultados y reportarlos a las instancias pertinentes para dar una apropiada respuesta a los riesgos más críticos; o (ii) asignar el rol de gestión de riesgos a alguna de las áreas ya existentes o a algún funcionario existente, con el mismo propósito del área formalizada. En cualquiera de los dos casos, esta función debería recaer en la Gerencia, pues es la responsable de supervisar las operaciones del día a día del negocio y, en ese intervalo, enfrentan riesgos; por lo tanto, son los dueños de tales riesgos y responsables de que sean apropiadamente gestionados.

Usualmente, el primer caso (contar con un área formalizada) se presenta en grupos económicos o conglomerados, que tienen diversas unidades de negocio o divisiones, presencia geográfica dispersa y estructuras organizacionales y operaciones complejas.

51% 59% 68% 64%Estratégicos Información Operacionales Cumplimiento

31



Asimismo, dicho caso también podría presentarse en organizaciones que, si bien no son tan complejas en estructura y tamaño, cuentan con una gestión de riesgos y control interno más madura que otras organizaciones.

El segundo caso (designar el rol a un área o funcionario existente) se presenta en organizaciones de estructura y operaciones más simples, o de incipiente nivel de madurez en términos de gestión de riesgos y control interno.

Nuestro estudio identificó que el 49% de empresas cuenta con un área formalizada de gestión de riesgos, perteneciente a la Gerencia y distinta al área de auditoría interna.

Porcentaje de empresas que tienen un área encargada de coordinar la gestión de riesgos

Por nivel de ingresosen millones de Soles

Más de S/2,000

S/0 – S/500

Sí42%

No58%

Sí 49%

No 51%

S/500 – S/2,000No

42%

Sí58%

Sí 59%

No 41%

Como resultado de nuestro estudio se pudo apreciar que cuanto mayor es el nivel de ingresos de las empresas, una

mayor proporción de estas tiende a tener un área encargada de coordinar formalmente la gestión de riesgos.


Descentralización de la gestión de riesgos

La definición de una estrategia que permita alinear las prácticas de gestión, los procesos y las personas a la consecución de los objetivos del negocio es el componente base de un sistema de gestión de riesgos. Tal como se indicó anteriormente, el contar o no con un área formal de gestión de riesgos o de asignar el rol de gestión de riesgos a un área existente, dependerá del tamaño, complejidad y nivel de madurez de las empresas. Cualquiera sea el caso, para facilitar la efectividad de la gestión de riesgos, es recomendable que se realice de manera descentralizada, a través de las diversas áreas de la compañía (es decir, que los responsables de los procesos de negocio sean también los responsables de la gestión de los riesgos que dichos procesos enfrentan) y que éstas sean soportadas por una función – ya sea un área formalmente creada o un rol designado a un área existente- que facilite el proceso, a través de la aplicación estandarizada de una política que establezca lineamientos claros, fundamentos metodológicos, segregación de funciones y reportes periódicos a la Gerencia y al Directorio.

¿De qué forma se gestionan los riesgos?

El 66% de las empresas que participaron en el estudio indicó que gestionan sus riesgos de manera descentralizada, a través de sus distintas Gerencias.

Descentralizada66%

Centralizada34%

33



Sin embargo, se observó que en ciertos casos, esta gestión descentralizada no siempre se lleva a cabo de manera integral y formal . Es decir, no cuentan necesariamente con una metodología o un proceso estandarizado y formal de identificación, evaluación y respuesta a riesgos, y no siempre tienen definida una periodicidad de reporte a los entes de gobierno.

Esto último se corrobora con la respuesta que dieron las empresas participantes, donde se identificó que el 49% contaba con un área encargada de la coordinación de la gestión de riesgos.

Si segregamos dicha respuesta por sector, encontramos que el sector que lidera la existencia de un área de gestión de riesgos es el de construcción (71%), seguido por el de minería (57%) y energía y electricidad (53%), tal como se muestra a continuación:

¿Existe una área encargada de coordinar la gestión de riesgos?

¿A quién se reporta la gestión de riesgos?

El Directorio debe ser el último responsable de supervisar el sistema de gestión de riesgos de la empresa, así como de velar por la integridad de los sistemas de información.

Sector

29%43%

47%48%

75%61%

84%87%

92%

71%57%

53%52%

25%39%

16%13%8%

ConstrucciónMineríaEnergía y electricidadHidrocarburosTransportes y comunicacionesServiciosManufacturaComercio y consumo masivoAgropecuario y pesca

No51%

Sí49%


A continuación se muestra la instancia ante la cual se reportan los resultados de la gestión de riesgos en las empresas participantes:

Reporte de la gestión de riesgos

Como se puede apreciar, la mayoría de las empresas participantes reporta su gestión de riesgos a la Gerencia (60%) vs. aquellas que lo hacen a l Directorio (40’%). Por otro lado, al analizar la descentralización de la función de gestión de riesgos, observamos que en el grupo de empresas que reportan su gestión de riesgos al Directorio, la proporción de ellas que tiene una función descentralizada (75%) es mayor a la que se observa en el resto de empresas (60%).

Frecuencia de reporte de la gestión de riesgos

El gráfico que se presenta a continuación muestra que el 54% de empresas que cuenta con una función de gestión de riesgos, reportan sus resultados con una periodicidad mensual o trimestral.

Frecuencia del reporte

25% 75%

40% 60%

Gestión de riesgos

Reporta a: Centralizada

34%Descentralizada66%

Directorio

Gerencia

40%

60%

57% 43% 54%

58% 42%

45% 55%

82% 18%

71% 29%

A quién se reporta

Gerencia60%

Directorio40% Frecuencia

Trimestral

Mensual 23%

31%

Semestral 18%

Anual 18%

> Anual 11%

35



Supervisión de la gestión de riesgos

Tal como se ha indicado, una adecuada gestión de riesgos involucra al Directorio, a la alta Gerencia y a todo el personal de la organización que intervenga en la determinación y ejecución de la estrategia.

A continuación se muestran las principales funciones en torno a la gestión de riesgos, alineada con principios de gobierno corporativo generalmente considerados líderes:

AccionistasJunta General de Accionistas

Otros empleados de la organización

CEO

Gestor de riesgos y control

Gestor de cumplimiento

Comités especializados

Comité de auditoría

Comité de riesgos

Directorio

Alta Gerencia

Stake holders

Auditor financiero

Auditor interno

Auditor financiero

Auditor interno

Gerente General• Máximo responsable de la gestión

de riesgos en la organización.• Organiza la función de gestión de

riesgos.

Gerencia• Responsable de identificar, priorizar,

evaluar y gestionar los riesgos de la organización.

Directorio• Aprueba el apetito y tolerancia al riesgo que la empresa está dispuesta a aceptar. • Supervisa la gestión de riesgos a cargo de la gerencia. • Supervisa la función de auditoría independiente.

Auditoría Interna• Evalúa de manera independiente y objetiva el proceso de gobierno, gestión de riesgos y

la efectividad del sistema de control interno.• Basa su plan de auditoría en los riesgos que enfrenta a la organización.

Área de gestión de riesgos• Establece los fundamentos

metodológicos.• Coordina la aplicación de una

metodología estandarizada y uniforme de gestión de riesgos con las gerencias del negocio.

• Supervisa el proceso de gestion de riesgos.

• Consolida y reporta al Directorio.


5

4

3

2

1

0

De 0a 500

De 500 a 2000

Mayores a 2000

6.5 7.1

Ratio (Ingresos (S/MM) /#empleados)

Ingresos en S/ (Millones)

Sí cuentan con una gestión de riesgos

No cuentan con una gestión de riesgos

Beneficios de la gestión de riesgos

Bajo el entendido de que riesgos son todos aquellos eventos que, en caso de materializarse, podrían comprometer el logro de los objetivos, la gestión de riesgos consiste entonces en la prevención, detección y tratamiento de estas situaciones, con la finalidad de reducir así su probabilidad de ocurrencia y mitigar su impacto. Dicho esto, una adecuada gestión de riesgos debería tener un impacto observable en el logro de los objetivos de las empresas, que típicamente se expresan en función de sus resultados.

Con el objetivo de evaluar esta situación, el siguiente gráfico analiza el ratio (ingresos/cantidad de empleados), que para efectos de nuestro análisis funciona como un indicador comparativo del nivel de ingresos de las compañías. De acuerdo con los resultados de nuestro estudio, para cada nivel de ingresos de las empresas evaluadas, aquellas que manifestaron contar con una gestión de riesgos mostraron un ratio con un valor promedio superior al de las empresas que no lo hacen.

Ratio ingresos/cantidad de empleados según nivel de ingresos

Las empresas que gestionan sus riesgos tienen, en promedio, niveles de ingresos por empleado superiores a las que no lo hacen.

37



A pesar de la variedad de herramientas y sistemas de control existentes en el mercado, y de la gran importancia que se le atribuye a su uso para llevar un manejo adecuado de la gestión de riesgos en la empresa, sólo el 32% de las empresas participantes del estudio cuentan con alguna herramienta de soporte para la gestión de riesgos.

4.Herramientas de gestiónde riesgosLas herramientas y los sistemas de control interno son elementos clave, de los cuales depende la Gerencia para facilitar la gestión de sus riesgos y el Directorio para supervisarlos.

Existe una gran variedad de herramientas para la gestión de riesgos. Estas pueden ser manuales o soportarse en sistemas de información, y su nivel de efectividad puede variar en función de los requerimientos del negocio, su complejidad y los niveles de apetito y tolerancia al riesgo definidos por la alta dirección.

¿Cuenta con herramientas para la gestión de riesgos?

SectorNo

55%

68%Sí32%

61%66%

70%

75%71%

80%80%

85%

45%39%

34%30%

25%29%

20%20%

15%

MineríaEnergía y electricidadHidrocarburosComercio y consumo masivoAgropecuario y pescaTransportes y comunicacionesManufacturaConstrucciónServicios

Sí32%

No68%

A continuación se muestra la proporción de las empresas por sector que cuentan con alguna herramienta informática que de soporte a la gestión de riesgos:

"

"

El uso de herramientas y sistemas de control son fundamentales para un manejo efectivo de riesgo en la empresa, pero a la vez, las técnicas de manejo de riesgo son las que determinan cuales son las herramientas y sistemas de control adecuados para la misma.

COSO ERM


No35%

Sí65%

Mapas de riesgos

Como parte del estudio, se indagó acerca de la utilización de mapas de calor y matrices de riesgos formales como soporte a la gestión de riesgos de la empresas participantes. Específicamente se buscó identificar el número de empresas que efectivamente vienen utilizando mapas y matrices de riesgos como parte del reporte periódico del resultado de la gestión.

Al respecto, una alta proporción de ellas (65%) indicó contar con mapas de calor y matrices de riesgos, sin embargo en gran parte de los casos, éstos son elaborados por el área de auditoría interna como parte del plan anual de auditoría basado en riesgos.

¿Se cuenta con mapas de riesgos?

39



5.Oportunidades de mejora para fortalecer la gestión de riesgos¿En qué aspectos considera que existen oportunidades de mejora para fortalecer la gestión de riesgos en su organización?

El 58% de las empresas participantes consideraron como la principal oportunidad de mejora la necesidad de fortalecer la cultura de control dentro de su organización. Esta preocupación es el reflejo de que muchas empresas fracasan en la búsqueda de elevar sus estándares en la gestión de riesgos, al destinar altos niveles de gasto, tiempo y esfuerzo en iniciativas enfocadas en aspectos puramente teóricos del control interno y dejan de lado un aspecto fundamental: el desarrollo de una cultura de control.

En adición, el gráfico nos muestra que el 54% de las empresas consideraron que requieren optimizar sus procesos, reflejando así la prioridad e interés por la búsqueda de la eficiencia y reducción de costos en las actividades de la organización. El exceso de actividades de control puede elevar significativamente los costos de operación y volver poco ágil a la empresa.

Finalmente, tanto las políticas y procedimientos (considerando la documentación, actualización y difusión), como el soporte en sistemas, son percibidas por el 40% de las empresas participantes como aspectos que reflejan oportunidades de mejora en su organización.

58% 54%

40% 40%

36% 21%

19% 17%

13% 3%

Cultura de controlOptimización de procesos

Soporte en sistemasPolíticas y procedimientosCompetencias de personal

Gestión de reportesOrganización y funcionesSegregación de funciones

Implementación de sistemas de prevención de fraudesOtros

" "

La cultura se basa en valores y principios compartidos y guía el comportamiento de las personas ante la ausencia de reglas formales y procesos de supervisión.

Renato Urdaneta, Director líder de riesgos de

EY Perú


6.Ambiente de controlCódigo de conducta

El código de conducta es la definición formal de las normas que guían la conducta de los miembros de una organización en el ejercicio de sus funciones, de acuerdo con los principios y valores de la compañía.

En el marco de la gestión de riesgos de una organización, el código de conducta es una herramienta de apoyo fundamental, pues sobre ella se basa la determinación de las conductas esperadas alineadas con los valores éticos y de comportamiento de la organización.

De acuerdo con el Código de Gobierno Corporativo para las sociedades peruanas de la SMV (Superintendencia del Mercado de Valores), las empresas deben designar a un responsable para el seguimiento del cumplimiento del código de conducta. Esta persona debe llevar un registro ordenado de los incumplimientos de las disposiciones establecidas en dicho código y reportar al Gerente General.

¿Su compañía tiene un código de conducta?

El 79% de las empresas que participaron en este estudio señaló que sí cuenta con un código de conducta. Cuando se analizó este ratio en función de si las empresas son públicas o privadas, se obtuvo un hallazgo importante: en el grupo que cotiza sus valores en los mercados bursátiles, la proporción de empresas que cuenta con un código de conducta es ampliamente superior al de las otras empresas:

Empresas no listadas

Empresas listadas

General

30%

11%

Sí79%

No21%

70%

89%

Por tipo de empresa

No21%

Sí79%

"

"

Regirse por valores éticos estrictos beneficia de manera duradera a la empresa, pues le otorga credibilidad y fiabilidad tanto en las operaciones diarias como en los compromisos a largo plazo.

Principios de Gobierno Corporativo - Organización para la Cooperación y el Desarrollo Económico (OECD)

41



Difusión del código de conducta

El 97% de las empresas que cuentan con un código de conducta, el cual le proporcionan al trabajador al momento de su incorporación.Asimismo, el 67% de las empresas manifestó que el contenido del código de conducta forma parte del proceso de inducción del trabajador.

Finalmente, como parte de un adecuado sistema de prevención y con la finalidad de demostrar debida diligencia, es recomendable que las empresas cuenten con un proceso de adherencia obligatoria y periódica (por ejemplo: anual). Al respecto, solo el 39% de las empresas indicó que cuenta con esta práctica.

Canal de denuncias

Un canal de denuncias es un instrumento usado por las empresas para promover el reporte de actos o conductas cuestionables de los miembros de la organización o de los entes vinculados a ellos en la gestión del negocio, que atenten contra el código de conducta, los valores corporativos, la normativa interna y externa y las buenas prácticas en los negocios que promueve la organización.

Un estudio reciente de la ACFE1, realizado sobre más de dos mil casos de fraude a nivel mundial, revela que las empresas pierden, en promedio, 5% de sus ventas anuales por la materialización de eventos de fraudes. Este estudio muestra además que en el 47% de casos analizados, estos fraudes fueron descubiertos a través de las líneas confidenciales de denuncias. Por otro lado, solo en el 28% de casos, los fraudes son identificables para las empresas que no cuentan con esta herramienta.

No Sí

97%

67%

39%

3%

33%

61%

Entrega en la incorporación

Proceso de inducción

Adherencia periódica

1Asociación de Examinadores de Fraude Certificados

"

"

"

"

La cultura es el reflejo de lo que se hace y no de lo que se dice que se hace. Una cultura compartida, producto de vivir los valores y el código de ética de la organización, es un elemento fundamental en el gobierno y desempeño de una organización, pues contribuye a no tolerar lo incorrecto, mejorar los resultados y lograr la sostenibilidad del negocio.

Fabiola JuscamaitaDirectora de riesgos de EY Perú

Para las empresas listadas y entidades financieras, un aspecto de especial relevancia es la conveniencia de que existan líneas internas de denuncias anónimas o “whistleblowers”, que permitan a los empleados poder comunicar de forma anónima comportamientos antiéticos o que puedan contravenir la cultura de administración de riesgos y controles en la empresa.




El éxito de un canal de denuncias depende de diversos factores, pero -fundamentalmente- de los siguientes cuatro:

• Reglas claras

• Adecuada difusión y entrenamiento

• Accesibilidad

• Protección del anonimato del denunciante y cuidado de este frente a posibles represalias

• Respuesta pronta y eficaz

¿Su compañía cuenta con un canal de denuncias?

Nuestro estudio muestra que, en promedio, el 54% de las empresas evaluadas manifestó contar con canales de denuncias. En adición, como se aprecia en el segmento de empresas listadas, la proporción de empresas que cuentan con canales de denuncias es superior a la que se aprecia en el segmento de empresas no listadas.

Cobertura a terceros

Es una buena práctica que el alcance de esta herramienta no se limite a los miembros de la propia organización, sino que este cubra -además- a los terceros vinculados a ella. En el Perú, la ley que atribuye responsabilidad administrativa a la persona jurídica establece que uno de los componentes de un modelo de prevención que podría eximirla de responsabilidad es la implementación exitosa de un canal de denuncias que aplique sobre su propio personal y también sobre terceros.

General

No46%

Sí54%

Empresas no listadas

Empresas listadas

56%

35%

Sí54%

No46%

44%

65%

Por tipo de empresa

"

"

Parte de las competencias que el Comité de Auditoría debería asumir […] es monitorear regularmente el grado de cumplimiento del Código de Ética y la eficacia del sistema de denuncias anónimas o “whistleblowers”, evaluando las actuaciones anti éticas que se presenten y el contenido de las denuncias presentadas, haciendo al Directorio las recomendaciones pertinentes.



43



8% 13% 25% 17%

23% 50%

39% 25% 25%

67% 58% 67%

62%

50%

100%

44% 75%

25%

20% 17% 17% 8%

17%

50%

0%

20%

40%

60%

80%

100%

Serv

icio

s

Cons

truc

ción

Man

ufac

tura

Min

ería

Hid

roca

rbur

os

Buzón Correo electrónico Teléfono Página web

Tran

spor

tes

y co

mun

icac

ione

s

Com

erci

o y

cons

umo

mas

ivo

Agr

opec

uari

o y

pesc

a

Ener

gía

y el

ectr

icid

ad

Cobertura del canal de denuncias

35%

65%

Colaboradores

Colaboradores y terceros

Como resultado de este estudio se observó que el 65% de empresas que han implementado sistemas de denuncias, incluyen en su cobertura no sólo a su personal, sino también a terceros: proveedores, clientes y asociados.

Tipos de canales de denuncias

Los canales de denuncias pueden ser de distintos tipos. Le corresponde a cada entidad definir cuál es el que mejor se acomoda a su organización, con la finalidad de procurar el éxito de la herramienta, que se mide en función del objetivo que busca su implementación.

A continuación se muestran los tipos de canales usados por las empresas que participaron del estudio, clasificados de acuerdo con la industria a la que estas pertenecen:

Canales de denuncias


Difusión y entrenamiento

Proveer de una adecuada difusión y entrenamiento al personal usuario del canal de denuncias es un elemento fundamental para el éxito de su implementación. A continuación se muestra el resultado de nuestra observación sobre la práctica en las empresas evaluadas.

Capacitaciones sobre el uso de la línea de denuncias

Sí 87%

No 13%

SectorNo

0%

13%Sí87%

0%0%0%

13%0%

33%50%50%

100%100%100%100%

87%100%

67%50%50%

Comercio y consumo masivoServiciosConstrucciónAgropecuario y pescaHidrocarburosMineríaTransportes y comunicacionesEnergía y electricidadManufactura

¿Su compañía brinda capacitaciones con relación al uso del canal de denuncias?

45



Sí91%

No9%

Sector

No cuentan con un protocolo

0%

9%

Sí cuentan con un protocolo 91%

0%0%0%

13%

0%0%

50%

100%100%100%100%

88%

100%100%

67%50%

Comercio y consumo masivoServiciosConstrucciónAgropecuario y pescaHidrocarburosMineríaTransportes y comunicacionesEnergía y electricidadManufactura

¿Su compañía tiene un protocolo para el registro y atención de denuncias?

33%

Protocolos de gestión de denuncias

La definición de un protocolo o estándar para el tratamiento de las denuncias es un elemento muy importante, no solo porque facilita la gestión del canal de denuncias, sino además porque el ejercicio de estandarización promueve la predictibilidad del proceso y, junto con esta, la confianza del público usuario en la herramienta, que redundará en el éxito de su implementación.

A continuación se muestran los resultados obtenidos de la indagación acerca de la existencia de estos estándares en las empresas evaluadas.

Protocolos en el uso de la línea de denuncias


7.Plan de contingencias, crisisy continuidadLa gestión de la continuidad del negocio es el proceso interno implementado en una compañía para reducir los efectos potenciales de algún evento externo que pueda interrumpir las operaciones del negocio.

Las empresas necesitan estar preparadas para que, ante cualquier evento de interrupción, estas continúen con sus operaciones sin afectar las transacciones más críticas y la imagen de la compañía, o que el restablecimiento de las operaciones se dé dentro de los tiempos máximos tolerables.

Como se muestra a continuación, sólo el 48% de las empresas evaluadas manifestó contar con un plan de contingencias, crisis y continuidad. Gran parte de estas empresas, sin embargo, no cuenta con un plan integral sino que dichos planes están orientados a un área o riesgo específico de la organización.

Plan de contingencia, crisis y continuidad por sector

¿La compañía cuenta con un plan de contingencia, crisis, continuidad o similar?

Sí 48%

No 52%

Sector

26%15%15%

10%

8%

10%

6%5%

3%

Comercio y consumo masivoConstrucciónMineríaServiciosManufacturaTransportes y comunicacionesEnergía y electricidadHidrocarburosAgropecuario y pesca

"

"

Es necesario desarrollar planes de acción ante eventos de crisis e implementar un modelo de respuesta flexible y escalable a toda la organización. En consecuencia, es recomendable que las empresas desarrollen dos tipos de planes: planes de gestión de crisis y planes de continuidad del negocio, los cuales deben ser constantemente actualizados y mejorados para asegurar su aplicación y efectividad.

Jorge Acosta,Socio líder de consultoría

de EY Perú

47



8.Función de cumplimientoLa gestión de riesgos de cumplimiento responde a una necesidad fundamental de toda empresa, pues tiene como objetivo identificar las normas, sean éstas internas (definidas por la propia empresa) o externas (aquellas a las que se somete de manera obligatoria por la fuerza de la ley o de los compromisos adquiridos con terceros), cuyo incumplimiento podría exponer a la compañía a situaciones que pueden poner en peligro su operación.

Como hemos analizado en secciones anteriores de esta publicación, la gestión de riesgos tiene el propósito de acercar a una compañía al logro de sus objetivos, que típicamente se expresan en función del éxito del negocio (por ejemplo: mayor participación de mercado, mayores ingresos, mejor rentabilidad, etc.). Si esto es así, se podría sostener que la gestión de riesgos ayuda a conseguir el éxito, y la gestión de riesgos de cumplimiento a hacer que tal éxito sea sostenible.

Generalmente, las compañías de pequeña y mediana envergadura no requieren de una estructura organizacional compleja para gestionar sus riesgos; sin embargo, conforme éstas crecen y el volumen de sus operaciones aumenta, junto con la complejidad de sus negocios, su exposición a los riesgos de cumplimiento se hace cada vez mayor. Esta situación fuerza a las empresas a organizar la gestión de sus riesgos en una función de cumplimiento normativo formalmente definida, diseñada para proveer a la Gerencia de un soporte metodológico y una coordinación centralizada sobre la gestión de este tipo de riesgos, de manera que le permita a la alta dirección tener la seguridad de que éstos se encuentran razonablemente mitigados y de manera estandarizada en toda la organización.

Un sistema efectivo de gestión de riesgos de cumplimiento debe contar con los siguientes elementos:

• Compromiso de la alta dirección

• Un órgano responsable con un adecuado nivel de empoderamiento y reporte al Directorio

• Estándares, políticas y procedimientos para la gestión de riesgos de cumplimiento

• Programa de capacitación y entrenamiento


• Herramientas de prevención, identificación y respuesta

• Monitoreo y supervisión independiente

• Planes de acción oportunos y efectivos

De acuerdo con los principios de gobierno corporativo generalmente considerados líderes, entre los beneficios de contar con una adecuada función de cumplimiento normativo podemos encontrar los siguientes:

• Facilita el alineamiento de la compañía a las necesidades de sus stakeholders y las reglas del mercado.

• Protege y fortalece la reputación de la compañía.

• Proporciona una supervisión independiente que incrementa la fiabilidad de los resultados de las revisiones de cumplimiento normativo.

• Minimiza las pérdidas financieras por contingencias, tales como: sanciones administrativas, civiles, legales y penales.

Estándar ISO 19600

Actualmente, existen diversas normas internacionales que proporcionan lineamientos y estándares sobre los sistemas de gestión de riesgos y de cumplimiento. Uno de los más difundidos es el estándar ISO 19600, que fue emitido en diciembre de 2014.

Este estándar fue elaborado sobre la base de las iniciativas de cumplimiento de reconocidas organizaciones internacionales y los combina con los estándares de los otros estándares ISO sobre sistemas de gestión. Además, se basa en los principios de gobierno efectivo, proporcionalidad, transparencia y sostenibilidad, y está diseñado para proveer lineamientos para la implementación, evaluación, mantenimiento y mejora de un sistema de cumplimiento a diferentes tipos de organizaciones, independientemente del tamaño, la industria, la exposición al riesgo y el alcance geográfico de sus operaciones.

49



Grado de dedicación

¿Tiene un responsable en el que recae la función de cumplimiento?

Nivel de reporte Proporción

Oficial de cumplimiento

Gerente legal

Otras gerencias

31%

30%

39% No22%

Sí78%

Parcial71%

Exclusiva 29%

Tal como se muestra en el gráfico siguiente, el 78% de las empresas participantes tiene un responsable sobre el cual recae la función de cumplimiento. De este porcentaje el 31% de empresas indicó que esta función la designan al oficial de cumplimiento; mientras que el 39%, a otras Gerencias. Además, el 29% de empresas respondió que el tiempo dedicado para esta función es exclusiva para realizar las labores correspondientes.


IIIAuditoría interna

51



De acuerdo con el Instituto de Auditores Internos (IIA, por sus siglas en inglés) la auditoría interna es una actividad independiente y objetiva, de aseguramiento y consulta,

concebida para agregar valor a las organizaciones y contribuir con el logro de sus objetivos, aportando un enfoque sistemático

y disciplinado para evaluar la efectividad de los procesos de gestión de riesgos, control y gobierno, y mejorarlos.

La gestión de riesgos y el control interno son responsabilidades inherentes de la Gerencia, vinculadas estrechamente con

la gestión de la estrategia. La función de auditoría interna, en cambio, tiene la responsabilidad de evaluar la labor de la

Gerencia en esas funciones. Por esa razón, con la finalidad de estar en mejor capacidad para realizar una labor objetiva, esta función debe ser independiente y reportar al Directorio, ya sea

de manera directa o a través de un comité de auditoría.

Esta relación explica la importancia de la función de auditoría interna y ayuda a entender por qué las organizaciones con

prácticas robustas de gobierno corporativo tienen funciones de auditoría interna sólidas y otorgan a ellas un rol preponderante

en el gobierno de la gestión de riesgos y, en general, en la supervisión de la estrategia.

Este capítulo evalúa los atributos más relevantes que caracterizan a la función de auditoría interna en las empresas

que participaron en el estudio. Entre los aspectos que se abordan se encuentran: la independencia de la función, su conformación a través de recursos propios o terceros, la diversidad de perfiles

en su composición, el uso de herramientas, el proceso de planificación del trabajo y el soporte de sus actividades a través

de la contratación de servicios especializados.


1.Conformación de la función de auditoría internaLa auditoría interna (AI) es una función, independiente por definición, que constituyen las organizaciones para supervisar la labor de la Gerencia y para velar por el cumplimiento de los objetivos del negocio. Esta función debe ser flexible a fin de poder adaptarse al entorno en el que se desempeñan la empresas. Las organizaciones difieren en tamaño, objetivos, estructuras y responden a distintas leyes y prácticas empresariales; la función de auditoría interna debe adaptarse para responder a las necesidades y requisitos particulares de cada empresa.

El 83% de las empresas participantes en nuestro estudio manifestó contar con una función de auditoría interna. Cuando se consultó al 17% restante sobre las razones por las cuales no contaban con dicha función, se recibieron distintas respuestas, de las cuales, la más frecuente fue la percepción de que existe un adecuado ambiente de control en su organización, por lo que sería innecesario contar con una función de auditoría interna.

Conformación de una función de auditoría interna

50%

11%

6%27%

6%

Razones

0 10 20 30 40 6050

¿Su empresa cuenta con una función de AI?

Percepción de adecuado controlBajo volumen de operaciones

Bajo presupuestoPercepción de poco valor

Otros

Por nivel de ingresos en millones de Soles

Sí 83%

No 17%

Más de S/2,000

Sí 93%

No7%

S/500 - S/2,000

Sí 85%

No15%

S/0 – S/500

Sí 73%

No27%

De acuerdo con el Instituto de Auditores Internos, la misión de la función de auditoría interna (a la que, en adelante, nos referiremos como “AI”) es mejorar y proteger el valor de las organizaciones, proporcionando un aseguramiento objetivo, asesoría y conocimiento basado en riesgos.

III Auditoría interna

53Promoviendo el desarrollo de una cultura de prevención |

Conforme mayor es el nivel de ingresos, mayor es la proporción de empresas que tienden a conformar una función de auditoría interna.

Naturaleza de la función de auditoría interna: propia o tercerizada

Al establecer su función de auditoría interna, una organización puede optar por hacerlo enteramente con recursos propios o contar con el apoyo (parcial o completa) de una empresa especializada.

Corresponde a cada empresa determinar el tipo de estructura que se acomoda más a sus necesidades, en función de la evaluación conjunta de diversos criterios, entre los que destacan: el tamaño de la organización, el nivel de madurez de sus prácticas de gobierno corporativo, el presupuesto, los recursos de los que dispone, entre otras.

De las empresas participantes que cuentan con una función de auditoría interna, el 18% indicó que ésta es tercerizada o parcialmente tercerizada. Según lo señalado por este grupo, el principal motivo para contar con apoyo externo es poder acceder a personal calificado y especializado.

¿Cuál es la naturaleza de su función de AI?

Planes para la incorporación de la función deauditoría interna

Según el Instituto de Auditores Internos, una actividad de auditoría interna dedicada, independiente y eficaz, ayuda tanto a la Gerencia, como al cuerpo de supervisión (por ejemplo, el comité de dirección o el comité de auditoría) a cumplir sus responsabilidades aportando un

39%

29%

5%2%

20%

2%2%

0 10 20 30 40

Razones por las cuales las compañías tercerizan su función de AI

Contar con personal calificado y especializadoObtener mayor independencia

Acceder a prácticas líderesAhorro

Mayor profundidad en la revisión de un procesoFocalizarse en el core del negocio

Imagen

Propia82%

Tercerizada18%


enfoque sistemático y disciplinado para evaluar la eficacia del diseño y la ejecución del sistema de control interno y los procesos de gestión de riesgos.

La evaluación objetiva del control interno y de los procesos de gestión de riesgos por parte de la actividad de auditoría interna proporciona a la Gerencia, al cuerpo de supervisión y a las terceras partes interesadas, aseguramiento independiente de que los riesgos de la organización han sido apropiadamente mitigados.

A continuación se analizan los planes de incorporar una función de auditoría interna de las empresas participantes que actualmente no cuentan con una.

¿Planea incorporar una función de auditoría interna?

Como se puede apreciar, los resultados de nuestro estudio muestran que una proporción mayor de las empresas tiene planes de incluir funciones de auditoría interna en un futuro cercano.

En adición, se observa que existe una tendencia creciente a contar con funciones de auditoría interna tercerizadas o parcialmente tercerizadas.

60%

40%

20%

0%

56% 44%

¿Qué tipo de función pretende incorporar?

Plazo estimado para su incorporación

Cort

o pl

azo

(1 a

ño o

men

os)

Med

iano

pla

zo(d

e 2

a 3

años

)

Sí53%

No47%

Tercerizada39% 61%

Propia

"

"

Una lección fundamental aprendida de las quiebras y colapsos financieros de numerosas organizaciones es que contar con gobierno, gestión de riesgos y control interno de buena calidad son elementos esenciales para lograr el éxito y la continuidad de las organizaciones. Dadas su perspectiva única y objetiva, su conocimiento profundo de la organización, y su aplicación de principios sólidos de auditoría y consultoría, una actividad de auditoría interna independiente que funcione adecuadamente y con los recursos suficientes está bien posicionada para proporcionar apoyo y aseguramiento valiosos a la organización y a sus entes de supervisión.

Instituto de Auditores Internos (IIA 2016)



El rol estratégico de la función de auditoría interna

Las empresas con prácticas robustas de gobierno corporativo tienen funciones de auditoría interna sólidas y les otorgan un rol estratégico en la organización. La labor más importante de la función de auditoría interna es evaluar que el sistema de control interno mitigue apropiadamente los riesgos críticos. Como parte de su función, la auditoría interna debe identificar también los riesgos emergentes. En el curso de su trabajo, la auditoría interna puede ayudar a convertir los riesgos en oportunidades, mediante la identificación de mejoras en los procesos de negocios, así como prácticas líderes que se pueden compartir y aplicar en el negocio; por ello, es clave para la adopción y mantenimiento continuo de prácticas líderes en gestión de riesgos.

Como parte de este estudio, se evaluó la percepción que tienen los altos ejecutivos de las empresas participantes sobre el rol que cumplen sus funciones de auditoría interna.

Percepción del rol que ocupa la función de auditoría interna

El resultado de nuestro estudio muestra que el 52% de las empresas participantes considera que esta función ocupa un rol estratégico en su organización.

Asimismo, se observa que las empresas con funciones de auditoría tercerizadas o parcialmente tercerizadas tienen una mejor percepción sobre el rol estratégico que éstas ocupan en su organización.

¿Considera que su función de AI ocupa un rol estratégico?

Naturaleza No Sí

Propia

Tercerizada

48% 52%

50% 50%

64%36%


2.Atributos de la función de auditoría internaEn esta sección abordamos los atributos más relevantes con los que debe contar una función de auditoría interna, de acuerdo con el Instituto de Auditores Internos:

• Propósito, autoridad y responsabilidad de la función

• Independencia y objetividad

• Aptitud y cuidado profesional

• Programa de aseguramiento y mejora de la calidad

Propósito, autoridad y responsabilidad

De acuerdo con prácticas generalmente consideradas líderes, para facilitar la labor de la función de auditoría interna, ésta debe estar definida formalmente en un estatuto que tenga nivel de política corporativa, que establezca, entre otras cosas: (i) el propósito y responsabilidad de la función de auditoría interna, (ii) su posición en la estructura jerárquica de la empresa, (iii) línea de reporte al Directorio y (iv) empoderamiento apropiado que le permita acceso a la información, a los activos y al personal, con la finalidad de facilitar su labor.

Formalización de la función de auditoría interna

El gráfico que se presenta a continuación muestra la proporción en la cual la función de auditoría interna se encuentra formalizada en las empresas participantes:

" "

El propósito, la autoridad y la responsabilidad de la actividad de Auditoría Interna deben estar formalmente definidos en un estatuto.

Marco Internacional para la práctica profesional de la AI 2013 - Instituto

de Auditores Internos (IIA)



¿Se ha definido formalmente el propósito, autoridad y responsabilidad de su función de AI?

Como resultado de nuestro estudio se observó que el 69% de las empresas que cuentan con una función de auditoría interna han desarrollado una definición formal de su propósito, autoridad y responsabilidad. En adición, se observó que esta definición se realiza, en mayor proporción, en el grupo de empresas que terceriza su función de AI.

Independencia y objetividad

Con el objetivo de que la función de auditoría interna tenga la capacidad de ejercer efectivamente su labor, ésta debe ser independiente de la Gerencia, quien es su objeto auditado; es decir, libre de conflictos de intereses y de condiciones que puedan limitar la capacidad para llevar a cabo su actividad de manera imparcial y objetiva.

Percepción de independencia de la función de auditoría interna

Como parte de nuestro estudio, se evaluó la percepción que tienen los ejecutivos de las empresas que cuentan con una función de auditoría interna, sobre la independencia que tiene ésta con respecto a la Gerencia.

Naturaleza de la función

No Sí

Propia

Tercerizada

31% 69%

33% 67%

79%21%

"

"

Conflicto de interés: relación que vaya o pueda ir en contra del mejor interés de la organización, afectando la capacidad de una persona para que pueda cumplir con sus obligaciones y responsabilidades objetivamente.




¿Considera que la función de AI es independiente?

Como resultado de nuestro estudio se observó que en todas las empresas que cuentan con una función de auditoría interna tercerizada existe la percepción de que ésta es independiente; mientras que en el resto de empresas, este ratio es de sólo el 55%.

Línea de reporte de la función de auditoría interna

Una condición necesaria para cumplir con el principio de independencia de la función de auditoría interna es que esta no dependa jerárquicamente de la Gerencia ni reporte a ella. Su línea de reporte debe ser al Directorio. Esto implica que el auditor interno debe asistir regularmente a las sesiones del Directorio o del Comité de Auditoría, y en ellas reportar regularmente los resultados de su gestión.

El siguiente gráfico muestra la línea de reporte de las funciones de AI de las empresas participantes, clasificadas en función de su naturaleza: propia y tercerizada. Los resultados muestran que una alta proporción de las empresas participantes reportan al Directorio.

NaturalezaNo Sí

Propia

Tercerizada

42% 58%

45% 55%

100%0%

" "

La Independencia dentro de la organización se alcanza de forma efectiva cuando el Director de auditoría interna depende funcionalmente del Directorio.





Línea de reporte de la función de AI

Es necesario precisar que la independencia de la función de auditoría interna es un asunto complejo. Si bien el reporte al Directorio es una condición necesaria, ésta no es suficiente para determinar que existe independencia. En adición, hay que tener en cuenta otros factores, como por ejemplo: la no participación de la función de auditoría interna en actividades que serán objeto de auditoría, la no participación en actividades Gerenciales y la no subordinación a la Gerencia bajo ningún modo.

55%

45%

74%26%

En función de su naturaleza

0 10 20 30 40 6050 70 9080 100%

¿A quién reporta la auditoría interna?

Propia

Tercerizada


62%

38%

S/0 – S/500

40%

60%

S/500 - S/2,000

85%

15%

Más de S/2,000

93%

7%

Directorio Gerencia

Cuanto mayor es el nivel de ingresos de las compañías, es más frecuente que la función de

auditoría interna reporte al Directorio.


Independencia: percepción vs. realidad

De acuerdo con las normas internacionales para el ejercicio profesional de la auditoría interna del IIA, para garantizar la independencia, se considera que el Director de auditoría interna debe reportar a dos niveles:

• A nivel funcional: al Directorio o Comité de Auditoría, sobre actividades directamente relacionadas a su función.

• A nivel administrativo: a la Gerencia General, sobre temas relacionados a presupuestos, recursos humanos y comunicación y flujos internos de información.

A continuación se presenta un análisis comparativo entre la percepción de independencia que las empresas participantes tienen sobre su función de auditoría interna y la independencia “real” que se puede apreciar sobre estas, evaluada en función de un criterio objetivo observable, como lo es su línea de reporte al Directorio.

Independencia de la función de AI: percepción vs. realidad

Como se puede apreciar, la percepción que tienen las empresas sobre la independencia de sus funciones de AI es, por lo general, superior a la que se puede apreciar de manera práctica, basándose en su línea de reporte funcional.

En adición, el estudio muestra que las empresas que tienen funciones de auditoría interna tercerizadas tienen una mayor percepción de independencia y, en la práctica, reportan con mayor frecuencia al Directorio.

100

80

60

40

20

0

% Función propia Función tercerizada 100%

83% 77%

84%

Perc

epci

ón d

e in

depe

nden

cia

Repo

rte

al

Dire

ctor

io

Perc

epci

ón d

e in

depe

nden

cia

Repo

rte

al

Dire

ctor

io

"

"

Uno de los beneficios más relevantes de la tercerización de función de auditoría interna es el incremento de la percepción de independencia, debido a que las actividades son llevadas a cabo por personal ajeno a la organización, que conoce la normativa profesional y está calificado para la ejecución de las labores planificadas dentro del alcance de sus servicios.

Declaración de posición sobre alternativas de obtención de

recursos para la función de auditoría Interna - Instituto de Auditores

Internos (IIA)



Aptitud y cuidado profesional

El marco internacional para la práctica profesional de la auditoría interna indica que las labores de AI deben ser llevadas a cabo con diligencia. Para ello, la función de auditoría interna debe estar adecuadamente constituida; es decir, debe contar con un tamaño óptimo, perfiles idóneos en el equipo, así como un adecuado mix de conocimientos, aptitudes y competencias necesarias para cumplir apropiadamente con sus responsabilidades.

Tamaño del equipo de auditoría interna

En el gráfico que se presenta a continuación se aprecian los resultados de nuestro estudio en torno al tamaño de los equipos de auditoría interna de las empresas participantes. En él se puede advertir que existe una correlación positiva entre el nivel de ingresos de las empresas que participaron en el estudio y el tamaño de su equipo de AI; es decir, cuanto mayores son los ingresos de una empresa, mayor es el tamaño de su equipo de AI.

Tamaño del equipo de auditoría interna

10

8

6

4

2

0

Cantidadde trabajadores

IngresosS/ (Millones)

5.8

9.6

4.9

De S/0 a S/500

De S/500a S/2,000

Más de S/2,000


Perfiles profesionales con los que cuentan los equipos de auditoría interna

El gráfico que se presenta a continuación muestra los perfiles profesionales con los que cuentan los equipos de auditoría de las empresas participantes en el estudio.

Perfiles disciplinarios del equipo de auditoría interna propia

Relación entre la evaluación de conocimientos, habilidades y competencias del equipo de auditoría interna y la subcontratación de servicios

El gráfico que se presenta a continuación muestra la proporción de las empresas participantes que manifestaron solicitar servicios especializados de terceros para ejecutar parte de las labores de auditoría interna. Asimismo, se desglosan los tipo de servicios que típicamente estas empresas contratan.

Subcontratación de servicios

Como se puede apreciar, una alta proporción de empresas participantes subcontratan servicios especializados, siendo los más recurrentes los servicios relacionados aspectos de fraude y forense, tecnología de la información y el co-sourcing de auditoría interna.

100%41%

10%7%

38%

4%3%

0 40 20 60 80 100

Perfil profesional

%

ContableSistema de información

OperacionalesFraudes/peritos

LaboralTributarios

Otros

¿Subcontrata servicios?

65% Sí No

35% Tipos de servicios subcontratados

Fraude/forense 35%Tecnología de Información 35%Otras 16%Co-sourcing 14%

"

"

El Director de auditoría interna debe obtener asesoramiento y asistencia competentes en caso de que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del trabajo.





Programas de aseguramiento y mejora de la calidad

Las funciones de auditoría interna deben implementar un programa integral de aseguramiento y mejora de la calidad. Este debe ser desarrollado por el Director de Auditoría Interna, con la finalidad de dar cumplimiento a las normas internacionales para la práctica de la auditoría interna y contribuir con el saludable ejercicio de la mejora continua.

Evaluación de calidad de la funcion de auditoría interna

De acuerdo con las normas internacionales para el ejercicio profesional de la auditoría Interna, las empresas deben realizar, al menos una vez cada cinco años, evaluaciones externas e independientes sobre la calidad de su función de auditoría interna.

El siguiente gráfico muestra que tan sólo el 6% de las empresas participantes realizan evaluaciones externas sobre la calidad de su función de auditoría interna; en adición, se observa que la proporción de empresas que las realizan es mayor entre las empresas con niveles de ingresos más altos.

Empresas que realizan evaluación de su función de AI


Sí6%

No94%

S/0 – S/500

Sí 1%

No99%

S/500 - S/2,000

Sí 6%

No91%

Más de S/2,000

Sí 17%

No83%

Las compañías con niveles de ingresos superiores tienen una mayor tendencia a someter a sus funciones

de AI a evaluaciones de calidad independientes.

"

"

El Director de auditoría interna debe desarrollar y mantener un programa de aseguramiento y mejora de la calidad que cubra todos los aspectos de la actividad de auditoría interna.




Nivel de satisfacción de la alta dirección sobre la función de auditoría interna

Como parte de este estudio se indagó acerca del nivel de satisfacción de la Alta Dirección de las empresas que participaron sobre sus respectivas funciones de auditoría interna, medida en función de la percepción del valor que esta agrega a la organización.

Percepción de la Gerencia sobre el valor que aporta la función de AI

Como se puede apreciar, la amplia mayoría de ejecutivos que participaron del estudio manifestó que su función de auditoría interna satisface o excede sus expectativas.

8%

33%6%

21%

38%

0 10 20 30 40 60 %50

Muy por encima de las expectativas

Por encima de las expectativas

Dentro de las expectativas

Por debajo de las expectativas



3.Enfoque en riesgosResponsabilidad de la identificación de riesgos

De acuerdo con prácticas líderes, los riesgos del negocio deben ser identificados, evaluados y gestionados por la Gerencia, y le corresponde a la función de auditoría interna evaluar –de manera independiente y objetiva- cada etapa de este proceso.

En organizaciones que no cuentan con un proceso formal de gestión de riesgos, el Gerente General debe discutir con las Gerencias y con el Directorio las obligaciones relacionadas con la administración y monitoreo de los riesgos de la organización y la necesidad de establecer procedimientos apropiados de mitigación de riesgos clave y cómo estos son administrados y monitoreados.

El siguiente gráfico muestra sobre quién recae la responsabilidad de identificación de riesgos en las empresas que participaron del estudio.

Responsabilidad de la identificación de riesgos

Para el 56% de las empresas de participantes, la responsabilidad de identificación de riesgos recae sobre la función de auditoría. En la gran mayoría de estos casos, los riesgos identificados son sometidos a validaciones por parte de las áreas funcionales correspondientes, pero es iniciativa de la función de auditoría interna la realización de este procedimiento.

Responsabilidad de identificación de riesgosen función de los ingresos

Nuestro estudio revela que conforme se incrementa el nivel de ingresos de las empresas participantes, la labor de identificación de riesgos deja de estar en manos de la función de auditoría interna y pasa a estar en manos de la Gerencia, como metodológicamente lo establecen los principios de gestión de riesgos generalmente considerados líderes.

Responsables % Empresas

56%

44%

Auditoría interna

Gerencias


Relación entre la responsabilidad en la identificación de riesgosy el nivel de ingresos

Focalización en riesgos críticos

El logro de los objetivos de las áreas, y por ende de los objetivos de la empresa, pueden verse afectados por la materialización de los riesgos. Es por esta razón que las prácticas líderes señalan que la función de auditoría interna debe basar sus actividades en la cobertura de los riesgos críticos, tanto inherentes como residuales.

¿Su función de auditoría interna se focaliza en riesgos críticos?

La mayoría de los ejecutivos entrevistados manifestó que su función de auditoría interna se focalizan en los riesgos críticos del negocio.

0-100 100-250 250-500 500-1,000Más de 2,000

100

80

60

40

20

0

%

Ingresos promedio S/(MM)

A cargo de la Gerencia

A cargo de la Función de AI


Sí 80%

No20%

S/0 – S/500

Sí 72%

No28%

S/500 - S/2,000

Sí 79%

No21%

Más de S/2,000

Sí 85%

No15%

Cuanto mayores son los ingresos de las empresas participantes, mayor es su enfoque en los riesgos críticos de su negocio.

"

"

El estatuto de auditoría interna requiere normalmente que la actividad de Auditoría Interna se centre en áreas de alto riesgo, incluyendo los riesgos residuales e inherentes.





4.Plan de auditoría basadoen riesgosLa labor principal de la función de auditoría interna es brindar un adecuado aseguramiento sobre la efectividad de las actividades de control orientadas a mitigar los riesgos más críticos de la organización. Esto se logra a través de un plan de auditoría basado en riesgos, que permita priorizar el uso de sus recursos y alinear sus actividades con los objetivos de la organización.

Para elaborar un plan de auditoría interna basado en riesgos se debe tener conocimiento de la situación actual del sistema de gestión de riesgos y del sistema de control interno de la organización, partiendo de un inventario de procesos que sirva para identificar adecuadamente los riesgos clave del negocio.

¿Cuenta con un plan de auditoría basado en riesgos?

No39%

Sí61%

Promedio de ingresos en

millones de S/

0%

5%

10%

15%

20%

25%

30%

Menos de S/. 100 MM

S/. 100 MM S/.200MM

S/. 200 MM S/.500MM

S/. 500 MM S/. 1000 MM

Más de S/. 1000 MM

30 20 10

0

%

Promedio de ingresos en millones de S/

Men

os d

e S/

100M

M

S/10

0MM

S/

200M

M

S/20

0MM

S/

500M

M

S/50

0MM

S/

1,00

0MM

Más

de

S/1,

000

MM

El 61% de las empresas que cuentan con una función de auditoría interna afirmó que ésta cuenta con un plan de auditoría basado en riesgos.

Plan de auditoría en función de los ingresos

Nuestro estudio muestra que conforme se incrementa el nivel de ingresos de las empresas, sus funciones de auditoría interna tienden a contar con planes de auditoría basados en riesgos.

Plan de auditoría basado en riesgos

"

"

El director de auditoría interna debe establecer un plan basado en riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dicho plan deberá ser consistente con las metas de la organización.




5.Presupuesto de la función de auditoría internaLa función de auditoría interna debe tener un presupuesto propio, el cual debe ser aprobado, en conjunto con el plan de auditoría, anualmente por el Directorio.

El siguiente gráfico muestra de manera resumida la distribución de las empresas participantes en función de su presupuesto para la función de AI.

Como se puede apreciar, conforme se incrementa el nivel de ingresos de las empresas, mayor es el presupuesto asignado a la función de auditoría interna.

Presupuesto de auditoría interna

S/531 mil

S/789 mil S/829 mil

1

0.5

0IngresosS/ (Millones)

De S/0 a S/1,000

De S/1,000a S/2,000

Más de S/2,000

S/ Millones(Presupuesto promedio)

"

"

El Director de auditoría interna enviará anualmente a la alta dirección y al Directorio, para su revisión y aprobación, un resumen del plan anual de auditoría interna, del calendario de trabajos, del plan de personal y del presupuesto financiero correspondientes a la actividad de auditoría interna.





6.Herramientas de soporteExisten herramientas tecnológicas que permiten automatizar las funciones de auditoría interna. Entre ellos se encuentran los softwares de auditoría, generadores de datos de prueba, programas de auditoría computarizados y elementos de auditoría de especialización.

¿Su función de AI utiliza alguna herramienta de soporte para realizar sus labores?

El 45% de empresas participantes que contestó no utilizar herramientas que soporte para las labores de la función de auditoría interna. De esta proporción, el 63% de empresas considera evaluar la adquisición de una herramienta que colabore eficazmente en la ejecución y monitoreo de las actividades de la función.

¿Consideraría evaluar la adquisición de una herramienta para soportar la labor de su función de AI?

0%

16%

32%4%

48%

Criterios Proporción

Muy insatisfechoInsatisfecho

Ni insatisfecho, ni satisfechoSatisfecho

Muy satisfecho

Nivel de satisfacción sobre la herramienta

Sí 55%

No45%

Sí63%

No37%


IVResumen ejecutivo

71

IV Resumen ejecutivo


Tal como hemos podido apreciar a lo largo del estudio, enfrentamos eventos de riesgo día a día en el desarrollo de las operaciones del

negocio. Si bien el gobierno, la gestión de los riesgos y el ejercicio de la función de auditoría interna dependen de diversos factores para su implementación efectiva (por ejemplo: composición e independencia

del Directorio, tamaño de la organización, cultura empresarial, nivel de supervisión, nivel de madurez, exposición a riesgos del sector donde

operan las empresas, entre otros), las prácticas líderes se orientan a la formalización, independencia y monitoreo continuo. Estas condiciones

las hemos podido apreciar en empresas de distintos sectores, niveles de ingresos y de madurez.


1. Gobierno de riesgos

Las empresas participantes entienden que el Directorio es el máximo ente de gobierno de la organización y que la independencia de sus miembros es un atributo fundamental con el que debe contar para ejercer de forma objetiva sus responsabilidades, orientadas a actuar de buena fe en beneficio de la empresa y de sus accionistas. Una conclusión importante es que el 64% de las empresas participantes incorporan en su Directorio, al menos, un miembro independiente, siendo los sectores de transportes y comunicaciones, servicios y energía y electricidad, los tres sectores que mayoritariamente cumplen con dicho atributo.

En cuanto al número de miembros del Directorio, no sorprende encontrar que cuanto más ingresos percibe la compañía, más cantidad de miembros integran su Directorio. Lo anterior es corroborado al comparar a aquellas empresas con ingresos anuales inferiores a S/500 millones, que cuentan con 5 directores en promedio, vs. las empresas con ingresos anuales superiores a S/2,000 millones, que cuentan con casi 8 directores en promedio.

Respecto al nivel de especialización o diversidad de perfiles entre los miembros del Directorio, ha resultado interesante conocer que el 67% de las empresas participantes manifestó haber constituido comités especializados.

Asimismo, el 64% de las empresas que participaron indicó haber conformado un Comité de Auditoría. De este grupo, el 62% cuenta con un comité constituido localmente, el 24% con un comité corporativo y el 14% con ambos. A su vez, el 70% de este mismo grupo, señaló que el Comité de Auditoría sesiona -al menos- trimestralmente. Finalmente, el 66% de Comités de Auditoría conformados cuenta, al menos, con un director independiente.

Lo anterior muestra de que los Comités de Auditoría están ganando mucho más importancia en su rol de supervisión del control interno y vigilancia de las labores de auditoría financiera y operativa.

73



2. Gestión de riesgos

En un entorno de creciente competencia, velocidad y de constante exposición a eventos externos adversos, las organizaciones necesitan mejorar continuamente sus prácticas de gestión de riesgos, mediante la construcción de una base sólida de prevención y protección, focalizada en los factores de riesgo que impactan la toma de decisiones estratégicas y el desempeño del negocio. Alineado a ello resulta interesante concluir que los riesgos que -en su mayoría- son gestionados por las empresas participantes son los riesgos operacionales, seguidos por los riesgos de cumplimiento, luego, por los riesgos de información y, finalmente, por los riesgos estratégicos.

Es así como los 5 principales riesgos de las empresas participantes son los siguientes:

1. Eficiencia y productividad

2. Contingencias legales

3. Seguridad y salud

4. Mercado

5. Selección y ejecución de la estrategia

La priorización antes indicada varía entre las empresas participantes –principalmente- en función del sector donde operan, el contexto específico por el que atraviesan y el nivel de formalización y madurez de la funciones de riesgos y control.

Respecto de la formalización de la gestión de riesgos, resulta interesante conocer que el 44% de las empresas participantes cuenta con un área encargada de coordinar la gestión de riesgos. Esta coordinación se da, ya sea: (i) Al contar con un área formalizada que se encargue de desplegar la metodología de gestión de riesgos al resto de la organización, consolidar los resultados y reportarlos a las instancias pertinentes para dar una apropiada respuesta a los riesgos más críticos; o (ii) Al asignar el rol de gestión de riesgos a alguna de las áreas ya existentes o a algún funcionario existente. Este último caso constituye cerca del 70% de la realidad de las empresas participantes. De lo anterior se puede concluir que si bien, cerca de la mitad de las empresas participantes gestionan sus riesgos, esta gestión no está del todo


formalizada, pues no cuentan con un proceso estandarizado de identificación, evaluación y respuesta a riesgos, y no siempre tienen definida una periodicidad de reporte a los entes de gobierno.

También mostramos que el 66% de las empresas participantes gestionan sus riesgos de manera descentralizada, a través de sus distintas Gerencias. Esto reafirma que las Gerencias, en el desarrollo de sus operaciones, tienen presente los riesgos a los que se enfrentan, pero no siguen un proceso formal ni estandarizado, ni los resultados se consolidan de manera integral y escalan a los órganos de gobierno pertinentes.

Respecto a las oportunidades de mejora en materia de gestión de riesgos y control interno, más del 50% de las empresas participantes indicó que la principal necesidad que enfrentan es la de fortalecer la cultura de control en sus organizaciones, así como la optimización de sus procesos. Esta preocupación es reflejo de que muchas empresas fracasan en la búsqueda de elevar sus estándares en la gestión de riesgos y aspectos de control interno, sin el desarrollo de la cultura de control. La cultura es el reflejo de lo que se hace y no de lo que se dice que se hace. Una cultura compartida, producto de vivir los valores y el código de ética de la organización, es un elemento fundamental en el gobierno y desempeño de una organización, pues contribuye a no tolerar lo incorrecto y a lograr la sostenibilidad del negocio.

Con relación a la existencia de un código de conducta, resulta importante resaltar que el 79% de las empresas participantes señaló que cuenta con uno. Cuando se analizó este ratio en función a las empresas públicas o privadas, se obtuvo un hallazgo importante: en el grupo que cotiza sus valores en los mercados bursátiles, la proporción de empresas que cuenta con un código de conducta es superior (89%) al de las otras empresas.

Asimismo, en el 97% de las empresas que cuentan con un código de conducta lo proporcionan al trabajador al momento de su incorporación; sin embargo, no han implementado un proceso de adherencia obligatoria y periódica (por ejemplo: anual), luego de la incorporación.

75



Respecto a la existencia de un canal de denuncias para reportar de manera anónima las irregularidades, riesgos de integridad o potenciales violaciones al código de conducta, se identificó que el 54% de las empresas participantes cuenta con uno, siendo la vía telefónica el canal mayoritariamente puesto a disposición para que se reporten tales denuncias. Resulta relevante destacar que el 87% de las empresas participantes realizan capacitaciones o campañas de difusión sobre sus canales.

Referente a la existencia de un plan de contingencia, crisis y continuidad del negocio, se ha identificado que el 48% de las empresas participantes indicó contar con este plan. Al ahondar más sobre el tipo del plan y riesgos que cubre, identificamos que se tratan principalmente de planes orientados a mantener la operación de los sistemas de información y de generar copias de respaldo (back-ups) para evitar la pérdida de información. Con esto, se puede concluir que los planes de contingencia, de gestión de crisis, de recuperación de desastres y de continuidad del negocio con los que cuentan las empresas no cubren de manera integral los riesgos de continuidad, tan sólo riesgos que impactan en áreas específicas (sistemas de información).

Con relación a la función de cumplimiento normativo, el 78% de las empresas participantes señaló contar con un líder de dicha función, siendo en casi el 60% el Oficial de Cumplimiento o el Asesor Legal el responsable de la misma. Lo anterior responde a la preocupación que tienen las empresas respecto de las contingencias legales a las que están expuestas y a la exigencia regulatoria, cada vez más creciente e intensa. Recordemos que este riesgo representó la segunda prioridad del ranking de los 5 principales riesgos que enfrentan las empresas participantes del estudio.


3. Auditoría interna

En el presente estudio se refuerza que la función de auditoría interna es una actividad independiente y objetiva, de aseguramiento y consulta, que evalúa y supervisa la efectividad de las funciones de gestión de riesgos, control interno y gobierno.

Resulta interesante conocer que el 83% de las empresas participantes manifestó contar con una función de auditoría interna. Cuando se consultó al 17% restante sobre las razones por las cuales no contaban con dicha función, afirmaron que perciben un adecuado ambiente de control en su organización, por lo que sería innecesario contar con esta función.

De las empresas participantes que cuentan con una función de auditoría interna, el 18% indicó que ésta es tercerizada o parcialmente tercerizada. Según lo señalado por este grupo, los principales motivos para contar con apoyo externo es poder acceder a personal calificado y especializado, obtener mayor independencia y acceder a prácticas líderes. De acuerdo a los últimos estudios realizados por nuestra firma a nivel global, la tendencia es tercerizar está función con empresas calificadas, para permitir a las compañías focalizar su atención y esfuerzos en el desarrollo de su estrategia y en sus procesos de negocio.

Aquellas organizaciones que no cuentan con una función de auditoría interna tienen planes para incorporarla en el corto y mediano plazo. Esto denota que las empresas peruanas, poco a poco, van siendo más conscientes del importante rol que tiene esta función y los beneficios que trae. Lo anterior explica que el 52% de las empresas participantes indicó que la función de auditoría interna ocupa un rol estratégico en su organización.

Respecto de los principales atributos de la función de auditoría interna, el 69% de las empresas participantes señaló haber definido formalmente el propósito, autoridad y responsabilidad de la función; el 58%, que la percibe como función independiente; y que el 62%, reporta al Directorio. Resulta interesante comentar que cuando se compara la percepción de independencia que las empresas tienen sobre su función de auditoría interna y la independencia “real”, evaluada en función su línea de reporte al Directorio, identificamos que la percepción es un 20% superior a la independencia “real”.

77



Con relación a la aptitud y cuidado profesional para el desarrollo de la función de auditoría interna, no sorprende encontrar que cuanto más ingresos percibe la compañía, más cantidad de miembros integran su función de auditoría interna. Por otro lado, las especializaciones de los miembros que integran dicha función son -en su mayoría- de contabilidad, sistemas de información y conocimiento operacional.

Es válido también indicar que ante el caso de que los auditores internos carezcan de los conocimientos, las aptitudes u otras competencias necesarias para llevar a cabo la función, es deber del Director de Auditoría Interna obtener asesoramiento y asistencia. Nuestro estudio reveló que el 70% de las asesorías subcontratadas son las de fraude y estudio forense, así como las de sistemas de información.

Referente a la ejecución de los programas de aseguramiento y mejora de la calidad de la función de auditoría interna, sólo el 6% de las empresas participantes realizan evaluaciones externas de calidad de la función, y son las que cuentan con los niveles de ingresos más altos. Esto es un resultado esperado, ya que en el Perú sólo para las empresas del sector financiero es exigible someter a la función de auditoría interna a evaluaciones externas de calidad cada 5 años; y dado que en nuestro estudio hemos excluido este sector, no sorprende que las empresas participantes aún no hayan efectuado este tipo de evaluaciones.

De acuerdo con las prácticas líderes de gestión de riesgos, los riesgos del negocio deben ser identificados, evaluados y gestionados por la Gerencia, y le corresponde a la Función de Auditoría Interna evaluar –de manera independiente y objetiva- cada etapa de este proceso. En relación a esto, resulta relevante indicar que el 66% de las empresas participantes señaló que el área de auditoría interna es quien identifica y evalúa los riesgos, en vez de que lo realice la Gerencia. Esto denota que aún la gestión de riesgos está en proceso de cobrar relevancia como parte de la gestión del negocio; es decir, del día a día de las operaciones, realizada por los miembros de la Gerencia.


Con relación a la focalización en los riesgos críticos por parte de la función de auditoría interna, resulta gratificante conocer que el 80% de las empresas participantes afirmó que esta función se focaliza en estos riesgos. A su vez, resulta satisfactorio conocer que el 79% considera que la función de auditoría interna está dentro o supera las expectativas.

En cuanto a la elaboración del plan de auditoría interna, el 61% de las empresas participantes afirmó que cuenta con uno basado en riesgos, y que conforme se incrementa el nivel de ingresos de las empresas, sus funciones de auditoría interna tienden a contar con planes basados en riesgos y en percibir un mayor presupuesto para la ejecución de su función.

Finalmente, nuestro estudio identificó que existe la necesidad de contar con herramientas tecnológicas que permitan automatizar la función de auditoría interna. De acuerdo a lo señalado por el 64% de las empresas participantes que cuenta con una herramienta de soporte, se sienten insatisfechos o les resulta indistinto contar o no con dicha herramienta.

Esperamos que este estudio contribuya a sus conocimientos sobre prácticas de gobierno, gestión de riesgos y auditoría interna y sea un instrumento de referencia para promover y fortalecer las prácticas de riesgos y control, bajo una dimensión más proactiva, participativa, formalizada y alineada a la estrategia del negocio.

79



VFicha técnica


19%21%

35%25%

0 10 20 30 40

DirectoresGerentes Generales

CFO y Gerentes CentralesDirectores de Auditoría

EmpleadosIngresos

IngresosS/ (millones)

%

55%23%

22%

0 10 20 50 70

De 0 a 500De 501 a 2,000

Más de 2,000

40 6030

Cantidad de empleados

%

57%35%

8%

0 10 20 50 70

De 0 a 1,000De 1,001 a 5,000

Más de 5,000

40 6030

133Ejecutivos entrevistados

133Empresas participantes 3%

6%7%

8%11%

12%14%

17%22%

0 5 10 15 20 25

Energía y electricidadServicios

HidrocarburosManufactura

Agropecuario y pescaTransportes y telecomunicaciones

MineríaConstrucción

Comercio y consumo masivo

9Industrias

Distribución

Empresas yejecutivos entrevistados

A continuación se presenta la composición de las empresas y ejecutivos entrevistados que formaron parte del presente estudio:

81

V Ficha técnica


19%21%

35%25%

0 10 20 30 40

DirectoresGerentes Generales

CFO y Gerentes CentralesDirectores de Auditoría

EmpleadosIngresos

IngresosS/ (millones)

%

55%23%

22%

0 10 20 50 70

De 0 a 500De 501 a 2,000

Más de 2,000

40 6030

Cantidad de empleados

%

57%35%

8%

0 10 20 50 70

De 0 a 1,000De 1,001 a 5,000

Más de 5,000

40 6030

133Ejecutivos entrevistados

133Empresas participantes 3%

6%7%

8%11%

12%14%

17%22%

0 5 10 15 20 25

Energía y electricidadServicios

HidrocarburosManufactura

Agropecuario y pescaTransportes y telecomunicaciones

MineríaConstrucción

Comercio y consumo masivo

9Industrias

Distribución


Contactos

Paulo PantigosoCountry Managing [email protected]

Jorge AcostaSocio líder de Consultorí[email protected]

Elder [email protected] Giuliana [email protected]

Fabiola [email protected] Víctor [email protected] Geraldine [email protected] Cecilia [email protected] Renato [email protected]

Raúl Vá[email protected]

EY Perú

LimaAv. Víctor Andrés Belaúnde 171,

San Isidro – LimaTelf.: +51 1 411 4444

Arequipa

Av. Bolognesi 407,Yanahuara – ArequipaTelf.: +51 54 484 470

Chiclayo

Av. Federico Villarreal 115, Salón Cinto,Chiclayo – LambayequeTelf.: +51 74 227 424

Trujillo

Av. El Golf 591, Urb. Del Golf III Etapa.Víctor Larco Herrera 13009, Sala Puémape,

Trujillo – La LibertadTelf.: +51 44 608 830


Agradecimientos

Declaración

Esta publicación contiene información en forma resumida y está pensada solamente como una guía general de referencia y de facilitación de acceso a información. Este documento, de ninguna manera, pretende sustituir cualquier investigación exhaustiva o la aplicación del criterio y conocimiento profesional. Asimismo, la constante dinámica de los mercados y su información resultante puede ocasionar la necesidad de una actualización de la información incluida en este documento. EY no se hace responsable por los resultados económicos que alguna persona, empresa o negocio pretenda atribuir a la consulta de esta publicación. Para cualquier tema de negocios y asesoría en particular, le recomendamos contactarnos.

En esta edición colaboraron:

Jorge AcostaGiovanni AlvaradoChristian AraucoAndrés ArizmendiWillie ArrascueCarlos Aspiros (diseño y diagramación)Pierina BroncanoJulio CamonesLisbeth CasafrancaEthealy ChumbimuneNathalie GambiniJorge GarridoMarcela GutiérrezFabiola JuscamaitaMaría KoechlinWinlon LuDaniela MaúrtuaÓscar MeléndezMiya MishimaValentina PeñalozaSofía PérezSandra RamosLisseth RojasLúcia RojasAlex SalazarCristián TejadaRenato UrdanetaZoila Vásquez


EY | Advisory | Assurance | Transactions | Tax

Acerca de EYEY es el líder global en servicios de auditoría, impuestos, transacciones y consultoría. La calidad de servicio y conocimientos que aportamos ayudan a brindar confianza en los mercados de capitales y en las economías del mundo. Desarrollamos líderes excepcionales que trabajan en equipo para cumplir nuestro compromiso con nuestros stakeholders. Así, jugamos un rol fundamental en la construcción de un mundo mejor para nuestra gente, nuestros clientes y nuestras comunidades.

Para más información visite www.ey.com

© 2017 EYAll Rights Reserved.

Descargar nuestras publicaciones y guías en: ey.com/PE/EYPeruLibrary

/company/ernstandyoung

ey.com/pe

/EYPeru

@EYPeru

EYPeru

perspectivasperu.ey.com

Servicios de Consultoría Promoviendo el desarrollo de … · El gobierno y la gestión de riesgos,...

Documents

Transcript of Servicios de Consultoría Promoviendo el desarrollo de … · El gobierno y la gestión de riesgos,...