Sin riesgo no hay recompensa - EY - United · PDF fileinversiones de tiempo y esfuerzo ... de...

Sin riesgo no hay recompensaEncuesta sobre Gobierno, Riesgo y Cumplimiento 2015

ContenidoPresentación 1

Enfrentando riesgos de una forma diferente 2

Construyendo una organización “consciente” de los riesgos 4

Paso 1. Avanzar: pensamiento estratégico para mejorar la creación de valor 6

Paso 2. Optimizar: funciones y procesos para ejecutar de manera efectiva la estrategia de riesgos 12

Paso 3. Implementar: soluciones para responder proactivamente a los riesgos y mejorar el desempeño 18

Una sólida organización “consciente” de los riesgos 24

Una estrategia de negocio: tres diferentesrespuestas a los riesgos 28

Las mayores preocupaciones actuales de negocios necesitan nuevas respuestas al riesgo 30

Hallazgos de la Encuesta 35

Otros hallazgos en Perú 44

Metodología aplicada en la encuesta 50

Sin riesgo no hay recompensa — Encuesta GRC 2015 | 1

Presentación

Los riesgos son mucho más agresivos de lo que solían ser. Nuevos riesgos surgen cada día a medida que los mercados cambian, la inestabilidad política interrumpe las cadenas de suministro y las nuevas tecnologías empujan las límites de los escenarios de riesgos. Sin embargo, mientras que muchas organizaciones ven el riesgo como algo negativo, una apropiada gestión del riesgo puede ayudar a las compañías a ir más rápido en el logro de sus objetivos.

Las organizaciones que identifican y gestionan sus riesgos de manera correcta están en mejores condiciones de crecer y mantener su éxito. Por ello, ponemos a su disposición nuestra publicación Sin riesgo no hay recompensa – Encuesta sobre Gobierno, Riesgo y Cumplimiento 2015 (en adelante Encuesta GRC 2015), mediante la cual buscamos proveer a las empresas peruanas de una herramienta que consolide las tendencias y prácticas en lo relacionado a la gestión de riesgos y Auditoría Interna.

En la encuesta del presente año, preguntamos a representantes de casi 1,200 empresas, incluyendo a 33 representantes de entidades peruanas, cuán bien están gestionando sus riesgos y qué requieren para gestionarlos mejor e impulsar su desempeño. Hemos observado que las organizaciones globales y peruanas están demostrando progresos en la gestión de sus riesgos, en respuesta a escenarios cambiantes. Sin embargo, también se observa que aún existen oportunidades de mejora que se deben aprovechar. Esto requiere que las empresas mejoren en su forma de trabajar y que sean organizaciones más conscientes de los riesgos que enfrentan. Este informe recoge las perspectivas de EY sobre cómo las empresas deberían realizarlo.

Deseamos agradecer a aquellos que participaron en nuestra encuesta y realmente valoramos el tiempo que se tomaron en compartir sus experiencias. Esperamos que esta información les sea de mucha utilidad en la gestión de riesgos de sus compañías.

Toda organización enfrenta riesgos, compartimos juntos la manera más apropiada de enfrentarlos.

Sin riesgo no hay recompensa: ¿puede el riesgo ser algo bueno?

“ Todo reto y oportunidad al que se enfrenta hoy cualquier organización demanda cambios, y con esos cambios surgen riesgos. Ayudamos a nuestros clientes a ver los diferentes lados del riesgo: a encontrar las oportunidades del riesgo, a protegerse del riesgo y a identificar los riesgos que aún no se conocen.”

Paul van Kessel, Líder Global de Riesgos de EY

Jorge AcostaSocio Líder de Advisory Servicesde EY Perú [email protected]

2 | Sin riesgo no hay recompensa — Encuesta GRC 2015

Enfrentando riesgos de una forma diferenteHistóricamente, los riesgos se han clasificado de varias maneras distintas. Independientemente de la forma en la que se organizan y clasifican, hay que considerar los riesgos en el contexto de su negocio para enfrentarlos de la mejor manera posible.Al clasificar los riesgos en función a su impacto, sea positivo o negativo para el negocio, las organizaciones son capaces de cambiar su enfoque con respecto a cómo pueden identificar y responder a los riesgos, tanto internos como externos, de una mejor manera.

Hasta ahora numerosas organizaciones se han focalizado en riesgos que pueden ser gestionados a través de la implementación de controles ofreciendo poco o ningún beneficio adicional. Con el aumento de las demandas y expectativas de los stakeholders o grupos de interés de las empresas y en un contexto de negocios en constante evolución, las organizaciones líderes están realizando mayores inversiones de tiempo y esfuerzo en la gestión de los riesgos con impacto en la creación de valor.

Adopción de los usuarios Ratio de adopción de nuevas plataformas y redes sociales y móviles por los consumidores.

Cumplimiento de normativas Adherencia a nuevas leyes y regulaciones.

Rentabilidad de los activosRelación del rendimiento versus sus costos de activos.

Participación de mercadoRetorno de la Inversión (ROI, por sus siglas en inglés) para lograr una mayor penetración en los mercados.

Gestión del talentoAlcanzar los beneficios esperados al gestionar el impacto en las personas, procesos y tecnología.

Fraude de empleadosEsfuerzos deliberados para usar de manera inadecuada el puesto de trabajo para beneficio personal.

Seguridad de la informaciónActividades no autorizadas que afectan los sistemas de información e infraestructura de la empresa.

Integración financieraIntegración de los diferentes sistemas.

Riesgos estratégicos

Riesgos prevenibles


1. Robert Kaplan y Annette Mikes, “Gestión de Riesgos: un nuevo marco”, Harvard Business Review

Riesgos que ofrecen beneficios Riesgos que impactan en la capacidad de la organización para ejecutar sus estrategias de negocio y alcanzar sus objetivos: los riesgos estratégicos se centran en las oportunidades del riesgo. Eliminar o transferir estos riesgos, por lo tanto, no es una opción. Se debe buscar un equilibrio entre el riesgo versus su recompensa.

Riesgos que generan impactos negativos Las organizaciones se centran en eliminar, evitar, mitigar o transferir con un costo eficiente este tipo de riesgos, ya que no ofrecen beneficios estratégicos. Estos riesgos suelen provocar un impacto negativo cuando se produce un evento y pueden ser gestionados con efectividad a través de un enfoque basado en controles.

Riesgos que ofrecen beneficios positivos o negativos Riesgos que están fuera del control de la organización. Estos riesgos pueden ser impredecibles, ya que se originan fuera de la organización y por lo general tienen una baja tasa de ocurrencia. Las organizaciones deben tomar acciones para reducir a un nivel de costo eficiente la probabilidad de ocurrencia y limitar los efectos negativos de estos riesgos.

Cambios en los competidoresAcciones de la competencia para bloquear una mayor penetración en el mercado.

GeopolíticosCambios políticos, geográficos, demográficos y económicos que influyen en un país u organización.

Desastres naturalesHechos de la naturaleza cuyos impactos suelen ser significativos y provocan un efecto inmediato en la organización.

TributariosCumplimiento de nuevas normas tributarias.

Riesgos externos

En términos generales, los riesgos se pueden gestionar siguiendo las siguientes categorías1:

• Riesgos estratégicos, que ofrecen beneficios positivos por lo que deben ser aceptados.

• Riesgos prevenibles, que deben evitarse o mitigarse, ya que generan impactos negativos.

• Riesgos externos, que no pueden ser controlados, y ofrecen impactos negativos y/o beneficios positivos.

LeyendaExpansión a mercados emergentes

Adquisición o enajenación

Desarrollo de plataformas sociales y móviles

Transformación de la función financiera


Construyendo una organización “consciente” de los riesgos

Identificar, gestionar y responder a los riesgos debe ser una parte integral y central de las actividades diarias de una organización. Esto puede lograrse mediante la gestión efectiva de las tres categorías de riesgo: estratégicos, prevenibles y externos.

Nuestra Encuesta GRC 2015 nos muestra que las organizaciones están buscando un enfoque más amplio, coordinado e innovador para gestionar exitosamente las oportunidades y retos que generan los riesgos. Esto requiere una transformación en la manera en la que la organización gestiona sus riesgos, a lo cual llamaremos construyendo una organización “consciente” de los riesgos.


Los riesgos representan un reto permanente y cada día se encuentran nuevos riesgos; por ello, se requiere un enfoque escalonado para la gestión de los mismos:

Los tres pasos se explican en las siguientes páginas.

• Paso 1. Avanzar: pensamiento estratégico El primer paso desafía la manera en que las organizaciones clasifican, gestionan y responden a sus riesgos. Se debe pensar en los riesgos dentro del contexto del negocio y se deben diseñar planes de respuesta para enfrentar adecuadamente los riesgos identificados.

• Paso 2. Optimizar: funciones y procesos El segundo paso se centra en lo que las organizaciones realizan para alinear sus funciones de forma óptima, mediante la asignación de responsables y el diseño de procesos de gestión de riesgos. Los planes de respuesta a los riesgos deben ser ejecutados con eficiencia y efectividad en cada una de las líneas de defensa (ver página 14).

• Paso 3. Implementar: soluciones sostenibles El tercer paso resalta la importancia de la integración de soluciones sostenibles en la organización para prevenir, equilibrar o limitar el riesgo.

Avanzar

• Identificar y evaluar los riesgos que impactan la estrategia de negocio.

• Diseñar la respuesta al riesgo, a fin de reducir desventajas y aprovechar el potencial de beneficio.

• Alinear las funciones a fin de ejecutar los planes y estrategias de respuesta a los riesgos.

• Desarrollar procesos para facilitar una mejor coordinación, comunicación y reporte.

Optimizar

• Diseñar soluciones integrales que prevengan, equilibren o limiten el riesgo.

• Implementar tecnologías para ejecutar y dar sostenibilidad a las soluciones de manera efectiva.

Implementar

Avanzar

Implementar Optimizar

pensamientoestratégico

soluciones sostenibles funciones y

procesos

1. Avanzar

pensamiento estratégico


1. Avanzar: pensamiento estratégico para mejorar la creación de valor

Las organizaciones no son creadas para gestionar riesgos, son creadas para generar valor como parte de su visión y misión empresarial. Por lo tanto, tienen que focalizarse en los riesgos que afectan directamente sus estrategias y objetivos de negocio.

Las organizaciones que metódicamente identifican, evalúan y responden a los riesgos que afectan a su estrategia de negocio, están mejor preparadas para definir respuestas que reduzcan el impacto negativo de los riesgos y aumenten al máximo su potencial positivo. Estas organizaciones piensan estratégicamente sobre los riesgos.

1. Identificación y evaluación de los riesgos que afectan al negocio

Las organizaciones necesitan evaluar continuamente sus estrategias de negocio y determinar el nivel de exposición al riesgo que están dispuestos a aceptar para generar valor, lo cual es conocido como apetito al riesgo. Este enfoque permite a las organizaciones identificar y evaluar mejor sus escenarios de riesgos en el contexto de su negocio y de manera efectiva y metódica. En la Encuesta GRC 2015, el 77% de los encuestados evalúa el perfil de riesgo de su organización en forma anual, limitando su capacidad para ajustar sus estrategias de negocios frente a cambios más frecuentes.

Organizaciones que muestran un pensamiento estratégico avanzado:

1. Identifican y evalúan los riesgos que impactan a su negocio.

2. Diseñan planes de respuesta a los riesgos.

77%de los encuestados, a nivel global y en Perú, evalúa el perfil de riesgo de su organización en forma anual, limitando su capacidad para ajustar su estrategia de negocios frente a cambios más frecuentes.


Avanzar| Optimizar | Implementar

Estrategias de negocio

Riesgos estratégicos Riesgos prevenibles Riesgos externos

Expansión a mercados nuevos o emergentes

Menor ROI en los nuevos canales de venta y distribución

Incumplimiento de nuevos requisitos legales y regulatorios

Acciones gubernamentales que pueden limitar la expansión a nuevos mercados

Adquisiciones o negocios conjuntos

Activos adquiridos con bajo rendimiento

Errores o irregularidades contables o financieras no identificadas

Regulaciones y/o reformas que bloquean las adquisiciones y/o fusiones

Desarrollo de plataformas sociales o móviles

Baja utilización de plataformas digitales por los consumidores

Interrupción de las interfaces y transacciones con los clientes

Desastres naturales que impactan en la infraestructura de TI

Transformación de las funciones financieras y contables

Interrupción de operaciones de los procesos de soporte ante los clientes

Cambios en los riesgos existentes y entorno de control

Cambios económicos adversos que generan recortes de inversiones

En la tabla que se presenta a continuación, se describen algunos riesgos potenciales para cada estrategia de negocio, asociados a las tres categorías de riesgo: estratégicos, prevenibles y externos. Cada estrategia de negocio requiere tomar un riesgo estratégico en la búsqueda de una mayor recompensa (por ejemplo, un mayor ROI). También se muestran los riesgos prevenibles que deben ser gestionados y los riesgos externos que podrían afectar negativamente sus estrategias.



“Las compañías que piensan en el riesgo, en el contexto de sus decisiones de negocio, están mejor posicionadas para gestionar los riesgos que afectan su desempeño”

Avanzar: pensamiento estratégico

Objetivo Estrategiade negocios

Apetito de riesgo

Fuerzas disruptivas que crean riesgo y causan cambios

¿Qué riesgos impactan nuestro negocio? Identificar riesgos

¿Qué hacer al respecto? Plan de respuesta al riesgo

¿Son relevantes? Evaluar riesgos

Riesgos

Sociales Políticos

Ambientales Tecnológicos

Legales Económicos

Riesgos prevenibles


Riesgos externos

Jorge Acosta Socio Líder de Avisory Services de EY Perú



Una organización debe evaluar la probabilidad de ocurrencia, impacto potencial y plazo estimado de concreción de cada uno de sus riesgos. La probabilidad de que ocurra un desastre natural (riesgo externo) que podría afectar negativamente la infraestructura crítica de TI puede ser baja; pero el impacto potencial para una organización que está lanzando nuevas plataformas de TI para sus clientes podría ser catastrófico.

Asimismo, la probabilidad e impacto de la interrupción de los procesos de negocio y atención al cliente, como parte de un programa de transformación (riesgo estratégico) puede ser relativamente alto; pero los beneficios asociados con programas de este tipo también son significativos.

Para realizar evaluaciones de riesgo adecuadas, las organizaciones requieren abordarlas en sus discusiones de planificación estratégica y de negocios. También necesitan evaluar frecuentemente su perfil de riesgo y su impacto en la estrategia de negocio, para facilitar la identificación de los nuevos riesgos y adoptarlos en su estrategia.

Conseguir que las organizaciones piensen de manera diferente sobre los riesgos mediante la aplicación estratégica de las tres categorías de riesgo, les permite distingir riesgos que no se hubiesen identificado de otra manera. Las organizaciones son capaces de reconocer sus riesgos clave que no sólo generan consecuencias negativas, sino que también generan valor, permitiendo una relación directa entre el riesgo y el desempeño del negocio. Es alentador que el 85% de los encuestados indicó que existe la oportunidad de mejorar aún más la relación entre el riesgo y el desempeño del negocio.

2. Diseño de planes de respuesta al riesgoSi la organización ha identificado y evaluado sus riesgos clave, está en condiciones de gestionarlos mediante planes de respuesta efectivos y a un costo eficiente, basado en su apetito al riesgo y en las categorías de riesgo: estratégicos, prevenibles y externos.

Por ejemplo, el riesgo que una organización está dispuesta a aceptar como parte de un programa de transformación puede ser bajo, pero las interrupciones en los procesos de negocio y de soporte al cliente podrían afectar negativamente su reputación, marca y retorno de la inversión. Como resultado, la organización debe emplear una gestión de riesgos eficiente en costos para equilibrar la mitigación de los riesgos con los beneficios esperados del programa.

Global

85%de los encuestados indicó que existe la oportunidad de mejorar aún más la relación entre el riesgo y el desempeño del negocio.



El pensamiento estratégico avanzado permite a las organizaciones gestionar los riesgos que afectan directamente a su estrategia de negocio y desempeño. Este enfoque estratégico facilita la coordinación de sus funciones, alinear el talento y diseñar procesos que den soporte a su estrategia integral de riesgos.

Del mismo modo, una organización puede estar dispuesta a aceptar un mayor nivel de riesgo en el cumplimiento de los nuevos requisitos legales o regulatorios, si el costo de incumplimiento es relativamente bajo, o se puede mitigar/evitar por completo. Una organización que desarrolla plataformas digitales para interactuar mejor con sus clientes puede aprovechar el potencial del riesgo, no sólo en el diseño de respuestas para monitorear la publicidad negativa que podría perjudicar su reputación, sino también en el diseño de respuestas que monitorean la publicidad positiva que puede capturar participación de mercado y hacer que ésta destaque en el mismo.

Global

90%de los encuestados indicó que el perfil de riesgo de su empresa influye ligeramente o significativamente en sus asignaciones de inversión.

Perú

91%de los encuestados indicó que el perfil de riesgo de su empresa influye ligeramente o significativamente a sus asignaciones de inversión.

2. Optimizar



Luego de diseñar sus planes y estrategias para enfrentar los riesgos del negocio, las organizaciones deben alinear de manera óptima sus funciones, asignar recursos y diseñar procesos de gestión de riesgos, para ejecutar con eficiencia y eficacia los referidos planes y estrategias.Históricamente, se ha dispersado la responsabilidad de la gestión de riesgos a diversas funciones específicas dentro de la organización. Esto ha generado silos, impactos negativos en la efectividad de las actividades de gestión de riesgos, generando que la información crítica no llegue a la Alta Gerencia o Comité de Auditoría. Si no se tiene un modelo operativo y los procesos no se encuentran bien diseñados, la comunicación no fluye de manera efectiva a través de la organización.

1. Establecimiento de un modelo operativo bien diseñado y coordinado

En la Encuesta GRC 2015, se observa que el 67% de los encuestados a nivel global y el 58% en Perú, indicó que esperan que su modelo operativo y actividades estén bien coordinadas dentro de los tres próximos años.

En este sentido, las organizaciones deben asignar claramente las responsabilidades sobre las actividades de gestión de riesgo, para permitir una mejor coordinación, comunicación y reporte. La Gerencia es responsable de la identificación, gestión y monitoreo de los riesgos de la organización. La Gerencia establece el “tono” apropiado, fomenta una adecuada cultura/consciencia frente a los riesgos y define la estrategia de gestión de riesgos en la organización.

2. Optimizar: funciones y procesos para ejecutar de manera efectiva la estrategia de riesgos

En la Encuesta GRC 2015 se observa que las principales oportunidades para mejorar la gestión del riesgo son:

1. Alinear mejor los objetivos de riesgos con los objetivos del negocio.

2. Mejorar la asignación de responsabilidad en la gestión de riesgos y en el modelo operativo.

3. Mejorar la capacidad de proporcionar una visión integral del riesgo.

4. Diseñar un proceso de comunicación del riesgo más estructurado y frecuente a la Alta Gerencia y stakeholders de la organización.

5. Utilizar de forma efectiva la tecnología para gestionar de manera más eficiente el riesgo.

Las organizaciones líderes optimizan sus funciones y procesos a través de:

1. Establecimiento de un modelo operativo bien diseñado y coordinado.

2. Alineamiento del talento y habilidades apropiadas.

3. Diseño de políticas y procesos de gestión de riesgos.


Avanzar | Optimizar | Implementar

Optimizar: funciones y procesos

Líneas de defensa

Operaciones y unidades de

negocio

Gerencia

Directorio y Alta Gerencia

Comunicación, coordinación y reporte

Revisión independiente

Modelo operativo Personas Procesos

“ Tener en operación una estructura correcta, así como mecanismos apropiados y adaptados a sus necesidades, es fundamental para mejorar la eficiencia y efectividad de las actividades de gestión de riesgos en la organización”

Michael O’Leary Líder Global de Auditoría Interna de EY

Las “tres líneas de defensa” deben ser identificadas y desplegadas como parte de la estrategia de riesgos en la organización. Sin embargo, las líneas de defensa no deben trabajar de manera aislada. Deben trabajar en equipo. EY considera las siguientes tres líneas de defensa:

• Primera línea: Operaciones y unidades de negocio La conforman las Gerencias de línea operativa y de negocio; y son responsables de identificar y gestionar directamente los riesgos (diseño y operación de controles). Esta línea considera la gestión del riesgo como un elemento crucial de su trabajo diario.

• Segunda línea: Gerencia La conforman las Gerencias que cubren la gestión de riesgos, los controles internos, SOX, los aspectos legales, de cumplimiento, entre otros; y son responsables de la revisión y monitoreo continuo del diseño y operación de los controles de la primera línea de defensa, así como de asesorar y facilitar las actividades de gestión de riesgos.

1 2 3

Global

67%de los encuestados, a nivel global, esperan que las actividades de riesgo estén bien coordinadas dentro de tres años.

Perú

58%de los encuestados, en Perú, esperan que las actividades de riesgo estén bien coordinadas dentro de tres años.



Global

56%de las organizaciones encuestadas a nivel global han creado un Jefe de Riesgos para la supervisión de las actividades de gestión de riesgos.

Definición de una cultura de riesgos La cultura de riesgos se refleja en los comportamientos y acciones de las personas. Este es el sistema o conjunto de valores dentro de una organización que incorpora el riesgo como parte integral del negocio y soporta el logro de los objetivos de la organización. Los reguladores abordan la cultura de riesgo a través de factores que afectan el comportamiento de asunción de riesgo, tales como el apetito al riesgo, el gobierno y la compensación.

Para tener una cultura de riesgos adecuada, diversos mecanismos deben ser eficaces y puestos en práctica. Al ser eficaces y estar implementados, los mecanismos contribuyen a brindar resultados de comportamientos deseados.

Atributos de una cultura de riesgos apropiada:

• Liderazgo: el comportamiento de los mandos medios (“el tono”) debe estar alineado con el de la Alta Gerencia para establecer comportamientos deseados en toda la organización sobre los riesgos.

• Organización: el gobierno y los modelos de negocio deben facilitar comportamientos deseados para fortalecer la responsabilidad en la gestión de riesgos y enfrentar retos de forma efectiva.

• Marco de gestión del riesgo: el marco de gestión integrado para administrar apropiadamente los riesgos y permitir enfrentarlos efectivamente frente a ellos.

• Incentivos: el ciclo de vida de los empleados y los incentivos facilitan comportamientos de gestión de riesgo deseados.

• Tercera línea: Revisión independiente La conforman las revisiones de Auditoría Interna, los auditores externos y los reguladores de la organización. Son responsables de la supervisión y revisión independiente de las actividades de gestión de riesgo de la organización.

El Directorio y Gerencia de la compañía son responsables de mapear y asignar la responsabilidad sobre la respuesta a los riesgos, a través de las tres líneas de defensa. Esto incluye establecer una estructura apropiada para facilitar la coordinación, comunicación y reporte; así como validar la cobertura de riesgos para fomentar una cultura apropiada, en la que todas las partes entiendan su papel en la ejecución de la estrategia de riesgos de la compañía.

Los encuestados reconocen la necesidad de las tres líneas de defensa para el trabajo conjunto de gestión del riesgo



“La optimización de las funciones y los procesos ayudan a las organizaciones a establecer una estructura adecuada para ejecutar las estrategias de gestión de riesgos de manera efectiva y eficiente. El modelo operativo, el talento, las habilidades y las políticas y procesos de la gestión de riesgos permiten un buen desarrollo de las actividades de respuesta al riesgo, facilitando la implementación de soluciones como parte de la estructura de la organización”

2. Alineamiento del talento y habilidades apropiadas

Una vez que la organización ha asignado claramente la responsabilidad sobre las actividades de respuesta al riesgo, es necesario el alineamiento del talento y las habilidades necesarias para ejecutar estas actividades. Esto suele ser menos complejo en la primera línea de defensa, que en la segunda y tercera línea.

Las organizaciones líderes requieren personas con conocimiento profundo del negocio y de la industria, así como con competencias apropiadas en las tres categorías de riesgos: estratégicos, prevenibles y externos. Siendo conscientes del potencial beneficio de los riesgos estratégicos y la necesidad de limitar el impacto potencial de los riesgos externos, las organizaciones buscan desarrollar y alinear el talento con las habilidades requeridas, a través de las tres líneas de defensa, para mejorar la eficacia y efectividad de las mismas, permitiendo a la organización ejecutar sus estrategias de riesgos.

Los encuestados identificaron las siguientes habilidades o experiencias, como las más importantes para mejorar sus funciones de riesgo:

1. Gestión de riesgos2. Estrategia de negocio3. Pensamiento crítico/analítico4. Cumplimiento de normativas5. Mejora de procesos

A modo de ejemplo, las personas con experiencia en la gestión de planes de continuidad de negocios o recuperación de desastres han estado habitualmente en la primera línea de defensa. Ahora, las organizaciones líderes están solicitando recursos con experiencias similares en la primera y segunda línea de defensa, para facilitar y controlar la respuesta a los riesgos externos. Del mismo modo, el lanzamiento de una nueva plataforma de medios sociales requiere de recursos con experiencia digital en cada línea de defensa; lo cual permite a cada línea comprender mejor los riesgos estratégicos asociados y equilibrar apropiadamente las actividades de mitigación de riesgos con sus beneficios.

Numa ArellanoSocio de Avisory Services de EY Perú



3. Diseño de políticas y procesos apropiados de gestión de riesgos

Una organización debe diseñar políticas y procesos apropiados que permitan la ejecución de sus planes y estrategias de respuesta a los riesgos. Las políticas y procesos son esenciales para influir en los comportamientos, coordinar actividades, establecer protocolos de comunicación y facilitar el reporte. Ellos establecen qué, por qué y cuándo hacerlo.

Como ejemplo, una organización que enfrenta riesgos externos derivados de cambios estratégicos de sus competidores, podría diseñar procesos para facilitar ejercicios “de guerra” a través de las tres líneas de defensa, a fin de evaluar el posible impacto de estos cambios en la estrategia de negocio de la compañía. Estos procesos ayudan a definir nuevos roles y responsabilidades de cada función, la frecuencia con las que se deben realizar los ejercicios, los resultados esperados y la comunicación oportuna a la Alta Gerencia.

Global

65%de los encuestados, a nivel global, no genera un reporte de riesgos, o sólo elabora un reporte anual de gestión integral de riesgos.

Perú

76%de los encuestados, en Perú, no genera un reporte de riesgos, o sólo elabora un reporte anual de gestión integral de riesgos.

3.Implementar



3. Implementar: soluciones para responder proactivamente a los riesgos y mejorar el desempeño

Estas organizaciones ejecutan sus planes de respuesta a los riesgos de manera más efectiva y están más preparadas para prevenir, adaptar y anticipar riesgos que, de otro modo, afectarían sus estrategias de negocio. No se trata de adoptar soluciones únicas, sino de incorporar soluciones sostenibles que permitan seguir teniendo éxito.

Las organizaciones que piensan estratégicamente sobre el riesgo; y que han optimizado sus funciones y procesos son capaces de implementar y dar sostenibilidad a las soluciones de una manera más fácil, a través de las tres líneas de defensa. Estas soluciones se basan en los planes de respuesta a los riesgos de la organización y se alinean con los objetivos de cada categoría de riesgo: estratégico, prevenible y externo.

Riesgos preveniblesManténgalo simple: implemente soluciones que busquen prevenir o eliminar los riesgos de manera conjunta. Se debe diseñar un marco de gestión de riesgos y controles que ayude a prevenir, monitorear y probar riesgos y controles de manera eficiente.

Las organizaciones que implementan nuevas plataformas financieras deben diseñar aplicativos de seguridad alineados a los requisitos de cumplimiento regulatorio; así mismo, deben alinear estas plataformas a su modelo de negocio; eliminar los riesgos potenciales de segregación de funciones o excesivas autorizaciones de accesos. Aprovechando las tecnologías de GRC, las organizaciones deben implementar medidas de control adicionales para monitorear posibles conflictos en la segregación de funciones. En este caso, la segunda y tercera línea de defensa juegan un papel importante, para verificar

Respuesta a los riesgos

Las organizaciones que implementan soluciones sostenibles, como una parte integral de su negocio, pueden responder proactivamente al riesgo y mejorar su desempeño.

Categorías de riesgos: estratégicos, prevenibles y externos

Riesgos externos

Riesgos prevenibles


Global

49%de los encuestados, a nivel global, utilizan una o más tecnologías de GRC para ejecutar actividades de gestión de riesgos.

Perú

33%de los encuestados, en Perú, utilizan una o más tecnologías de GRC para ejecutar actividades de gestión de riesgos.



que los requisitos de cumplimiento se aborden adecuadamente, así como para evaluar el diseño y la efectividad operativa de los controles.

Las organizaciones líderes se centran en la optimización de sus marcos de control interno para evitar la duplicidad de controles, aumentar la automatización de los mismos, así como para mejorar la capacidad de la segunda y tercera línea de defensa en el monitoreo continuo del entorno general de control interno. En la Encuesta GRC 2015, se observa que el 75% de los encuestados realiza monitoreo continuo sobre detección de fraudes, transacciones inusuales y la supervisión del desempeño.

Como resultado, este tipo de soluciones permiten que la organización focalice sus esfuerzos en la gestión de los riesgos estratégicos y externos.

Riesgos EstratégicosBalancear “la toma” de riesgos versus el mitigar los riesgos: implementar soluciones que reduzcan los riesgos para alcanzar la estrategia de negocio y permitan adaptarse a los nuevos riesgos.

Las organizaciones aceptan cierto grado de riesgo con el fin de impulsar el desempeño de su negocio. Por ejemplo, una organización de servicios financieros que ofrece nuevos productos y servicios tiene que aceptar determinados niveles de riesgos asociados a clientes potenciales de alto riesgo. Las organizaciones equilibran y gestionan este tipo de riesgo a través de modelamientos y análisis de riesgos. Esto les permite controlar su exposición y ajustar su estrategia de negocio, en este caso, sus criterios para la aceptación de nuevos clientes, focalizándose de esta manera, en sus clientes objetivos.

La segunda y tercera línea de defensa retan los supuestos y datos incluidos en los modelos de riesgos, y ayudan a facilitar y monitorear la efectividad de los modelos y análisis de riesgos. Como se ofrecen nuevos productos y servicios, los criterios de evaluación de clientes se actualizan oportunamente, lo que reduce el riesgo, mientras que se obtienen los beneficios esperados para la compañía.

Las organizaciones líderes preparan tableros de control, cuadros de mando y otras formas de reporte - incluyendo el monitoreo de indicadores clave de riesgo (KRI) e indicadores clave de desempeño (KPI) – para el Directorio y la Alta Gerencia.

“La función de auditoría y cumplimiento, los controles de seguridad y de procesos, así como la gestión integral de riesgos son vistos como las capacidades más importantes de las tecnologías de GRC de hoy”

Jorge Acosta Socio Líder de Avisory Services de EY Perú



En la Encuesta GRC 2015 a nivel global se identificaron las siguientes actividades como las más usadas para el monitoreo continuo:1. Monitoreo y prueba de

controles2. Detección de fraude3. Monitoreo de seguridad4. Análisis de transacciones5. Monitoreo de

cumplimiento

Facilitador

Implementar: soluciones sostenibles

Tecnología

Soluciones Soluciones Soluciones

Seguridad de las aplicaciones

Procesos y controles

Monitoreo continuo

Análisis y modelamiento

de riesgos

Tableros de control sobre

KRIs y reportes

Análisis del portafolio de

proyectos

Pruebas de estrés

Ejercicios y talleres

Recuperaciónde desastres

Objetivo Objetivo Objetivo

Equilibrar Prevenir Limitar


Riesgos externos

Riesgos prevenibles

Esto proporciona visibilidad a los riesgos que afectan las estrategias de negocio y cómo pueden afectar a la organización. No obstante, sólo el 78% de los encuestados, a nivel global, indicó que preparan tableros de control de manera anual o trimestral, manifestando que existe oportunidad para brindar mayor información y con mayor frecuencia al Directorio y Alta Gerencia.



Global

63%de los encuestados, a nivel global, indicó haber definido KPIs o KRIs, pero no ambos. El 50% indicó que monitorea KPIs, KRIs o ambos mediante el aprovechamiento de la tecnología.

Riesgos externosPrepararse para lo peor, es esperar lo mejor: se deben implementar soluciones que anticipen y limiten el impacto de los riesgos externos.

Estas estrategias permiten a las organizaciones identificar regularmente sus riesgos potenciales, evaluar su impacto, determinar cómo limitarlos y ayudar a volver a la organización a su estado normal.

Las pruebas de estrés, la planificación de escenarios, los ejercicios y talleres permiten a las organizaciones evaluar el impacto de los factores externos en su estrategia de negocio. Por ejemplo, una organización puede realizar una planificación de escenarios para los próximos 5 o 10 años al incluir en su planificación la evaluación de los impactos de los factores externos, tales como posibles crisis geopolíticas, cambios tecnológicos, cambios en la regulación o volatilidad de la economía. La segunda línea de defensa facilita estos ejercicios, junto con los participantes de la primera línea de defensa, para evaluar cómo la organización se desempeñaría bajo diferentes escenarios. La tercera línea de defensa participa en los ejercicios en

Caso de estudioUna organización que transforma su función financiera en un modelo de servicios compartidos para mejorar su cuenta de resultados, acepta los riesgos asociados a los cambios en los procesos, la organización y sistemas.

Se requiere de los cambios para obtener los beneficios esperados, pero éstos enfrentan riesgos potenciales que pueden impactar en el ROI global. El análisis predictivo de proyectos o el monitoreo de beneficios pueden ayudar a gestionar con eficacia y equilibrar los riesgos asociados de este tipo de transformación. La segunda línea de defensa, que trabaja con la primera línea, debe ayudar en la evaluación de la gestión y ejecución general del programa para anticipar y adaptarse a los riesgos que puedan surgir, equilibrando el riesgo con el ROI. La tercera línea de defensa debe integrar a expertos dentro del programa para identificar y monitorear la mitigación de las zonas de alto riesgo de manera proactiva.

Global

78%de los encuestados, a nivel global, indicó que preparan tableros de control de manera anual o trimestral, manifestando que existe oportunidad para brindar con mayor frecuencia información a la Alta Gerencia sobre los indicadores de riesgo.



Global

61%de los encuestados, a nivel global, con KPIs y KRIs definidos, indicó que aplicaban actividades de monitoreo para identificar tendencias o riesgos que puedan impactar su estrategia de negocio.

su rol de asesor, proporcionando retroalimentación independiente y retando los supuestos de los participantes. Esto permite a la organización anticipar de manera oportuna sus riesgos potenciales y ajustar su estrategia de negocio.

Las organizaciones deben evaluar de manera rutinaria el impacto potencial de los desastres naturales en sus operaciones e infraestructura, actualizando sus planes de recuperación de desastres según sea necesario. Mientras que la primera línea de defensa es responsable de la ejecución de los planes de recuperación, la segunda línea facilita las evaluaciones de riesgo periódicas, y la tercera línea evalúa la efectividad de las pruebas de recuperación. Esto ayuda a verificar que los riesgos potenciales sean revisados de manera apropiada y que la organización esté preparada ante ocurrencia de catástrofes.

Tal como se puede apreciar en cada ejemplo antes presentado, se eliminan los prejuicios debido a la participación de las diferentes líneas de defensa, lo que permite anticipar y limitar el impacto de los riesgos potenciales de manera eficiente y efectiva.


¿Dónde se encuentran las organizaciones ahora?En los últimos cinco años, las organizaciones han mejorado el modo en que identifican, gestionan y responden a los riesgos. Éstas han creado roles a nivel ejecutivo de supervisión a los riesgos, han establecido funciones para hacer frente a los cada vez más complejos requisitos legales y regulatorios, y han implementado tecnologías para soportar estos procesos. Como reacción al aumento de la volatilidad del mercado y de los cambios regulatorios, las organizaciones renovaron esfuerzos para mejorar sus controles internos. Si bien las organizaciones han demostrado avances, aún existe oportunidad para gestionar mejor los riesgos e impulsar el desempeño. Sin riesgo, no hay recompensa.

El riesgo es un aspecto clave del planeamiento estratégico y es lo primero que está en la mente de muchos Directores; sin embargo, para mejorar la capacidad de supervisión del Directorio, se debe realizar evaluaciones más frecuentes del perfil de riesgo de la organización.

Una sólida organización “consciente” de los riesgos

88%de los encuestados, a nivel global, indicó que el Directorio, o algún Comité del Directorio, proporciona supervisión a las actividades de gestión de riesgos.

70%de los encuestados, en Perú, indicó que el Directorio, o algún Comité del Directorio, proporciona supervisión a las actividades de gestión de riesgos.


Global Perú


83%de los encuestados indicó que identifican, evalúan y desarrollan planes para gestionar los riesgos de las iniciativas clave. (43% ), o identifican y discuten los riesgos (40%).

45%de los encuestados indicó que identifican, evalúan y desarrollan planes para gestionar los riesgos de las iniciativas clave. ( 24%), o identifican y discuten los riesgos (21%).

77%de los encuestados evaluó el perfil de riesgo de su organización en forma anual, limitando su capacidad para ajustar su estrategia de negocio frente a los cambios.

Global

Global

Perú


“ Cuando ayudamos a nuestros clientes a adoptar esta forma de gestionar los riesgos, se facilita que establezcan metas más retadoras con mejores resultados.”

Paul van Kessel Socio Líder de Riesgos de EY Global

Midiendo la oportunidad Las organizaciones existen para cumplir un propósito. Ese propósito se logra por medio de una serie de decisiones de negocio que enfrenta riesgos, los cuales impactan el desempeño del negocio. La identificación, gestión y respuesta a los riesgos debe ser una parte integral de las actividades de la organización.

Para impulsar el desempeño, las organizaciones deben avanzar en su pensamiento estratégico. Se requiere identificar y evaluar los riesgos que impactan la estrategia de las organizaciones. Además, también requieren responder a esos riesgos aplicando las tres categorías: riesgos estratégicos, prevenibles y externos. De este modo, las organizaciones son capaces de cambiar su enfoque de riesgos: de los que puede controlar a los que no puede controlar, o qué necesita equilibrar para impulsar un mejor desempeño.

Para responder a los riesgos de forma eficiente y efectiva, las organizaciones deben optimizar sus funciones y procesos. Se requiere que definan un modelo operativo con una clara asignación y responsabilidad, y que alineen el talento y conjunto de habilidades a dicho modelo, así como diseñar procesos para la ejecución de las actividades de riesgos. Esto establece la estructura y mecanismos para facilitar la coordinación, comunicación y reporte en la organización.

Una vez que las funciones y procesos, sostenibles e integrados, han sido puestos en práctica, las organizaciones pueden implementar y ejecutar soluciones que ayuden a responder y gestionar el riesgo como un aspecto central de su negocio. Estas soluciones, diseñadas en función de las tres categorías de riesgos, permiten que la organización pueda prevenir, balancear o limitar el impacto de los riesgos. Aprovechando facilitadores, tales como la tecnología, las organizaciones pueden apoyar y dar sostenibilidad a estas soluciones.

EY puede asistir a las organizaciones a “pensar diferente” frente a los riesgos, para que así puedan gestionar los riesgos que impulsan el desempeño y el éxito.


Opt

imiz

arIm

plem

enta

rA

vanz

ar

Avanzar: pensamiento estratégico

Objetivo Estrategiade negocios Apetito de riesgo

Fuerzas disruptivas que crean riesgo y causan cambios

¿Qué riesgos impactan nuestro negocio? — Identificar riesgos

¿Qué hacer al respecto? — Plan de respuesta al riesgo

¿Son relevantes? — Evaluar riesgos

RiesgosSociales Políticos

Ambientales Tecnológicos

Legales Económicos

Riesgosestratégicos

Riesgosexternos

Optimizar: funciones y procesos

Líneas de defensa

Operaciones y unidades de

negocioGerencia

Directorio y Alta Gerencia

Revisión independiente

Modelo operativo Personas Procesos

Objetivos

Implementar: soluciones sostenibles

Equilibrar

FacilitadorTecnología

Prevenir Limitar

Riesgosprevenibles

1 2 3


Una estrategia de negocio: tres diferentes respuestas a los riesgosUna gran compañía de la industria de consumo masivo planea realizar inversiones significativas en plataformas sociales, móviles y digitales para mejorar sus canales de marketing y ventas, así como su habilidad de brindar sus productos con mayor rapidez al mercado. Reconociendo la importancia de la tecnología digital para su crecimiento y sostenimiento de su marca, la Gerencia está dispuesta a aceptar un nivel moderado de riesgo. Como parte del desarrollo de sus planes de negocio, la Gerencia identificó una gran variedad de riesgos que podrían impactar su inversión en tecnología digital y desarrolló tres diferentes respuestas a esos riesgos.

Estratégico Prevenible ExternoEl ROI depende en gran medida en que las plataformas lleguen al mercado de manera rápida para incrementar la participación en el mercado y mejorar el posicionamiento e imagen de la marca.

Los requisitos legales y regulatorios que norman el marketing digital y los canales de venta necesitan ser atendidos, para evitar incurrir en multas o someterse a fiscalizaciones regulatorias, especialmente si se busca mejorar el posicionamiento e imagen de la marca.

Los competidores están explorando plataformas y caminos digitales similares, que podrían obstaculizar severamente los esfuerzos de la compañía para entrar en el mercado.

Avanzar • La Gerencia debe actuar rápidamente, pero no tiene la intención de comprometer calidad o costo, por lo que desarrolla un plan para revisar el proyecto a fin de que el ROI y beneficios esperados sean alcanzados.

• La Gerencia debe implementar controles para dar cumplimiento a los nuevos requerimientos legales y regulatorios.

• La Gerencia requiere entender el impacto potencial de las acciones de los competidores y definir mejor la forma de limitarlos, por lo que desarrolla una estrategia para realizar “juegos de guerra”: una serie de ejercicios y talleres, para evaluar y responder sus posibles acciones.

Optimizar • La Gerencia encarga a la segunda y tercera línea de defensa la revisión del proyecto desde el inicio.

• La Gerencia identifica e integra a expertos dentro de las líneas de defensa para identificar riesgos potenciales antes de empezar el proyecto.

• La segunda y tercera línea de defensa trabajarán con la primera línea para entender la estructura del proyecto, gobierno y plan de ejecución. Además, la segunda línea trabaja con la tercera línea para realizar evaluaciones periódicas y monitorear los resultados y logros.

• La Gerencia encarga a la segunda y tercera línea de defensa actividades de consultoría y de evaluación de los cambios en los controles internos de la compañía, efectuados por la primera línea de defensa.

• Al no tener el talento y conocimiento necesario sobre los riesgos potenciales en esta área, la compañía contrata recursos con experiencia en plataformas digitales dentro de ambas líneas de defensa para proveer experiencia y orientación.

• La Gerencia encarga a la segunda línea de defensa la tarea de facilitar los ejercicios y talleres en la primera línea.

• La tercera línea es responsable de proveer retroalimentación independiente, y de retar los escenarios desarrollados.

• Los recursos deben poseer experiencia en marketing y tecnología. Deben dividirse en equipos para desarrollar escenarios viables de los competidores e informar a la Gerencia.

Implementar • La segunda línea de defensa realiza entrevistas con el equipo del proyecto y aprovecha el análisis predictivo para identificar riesgos potenciales. Una gran variedad de riesgos son identificados durante la ejecución del proyecto y en la estructura de gobernanza, los cuales impactarían en el logro de los hitos clave.

• La segunda línea trabaja con la primera línea para tomar medidas de remediación.

• Más adelante, la segunda y tercera línea identifican riesgos, antes de que éstos se materialicen, ayudando a la compañía a lograr sus beneficios esperados dentro del tiempo deseado.

• La segunda línea de defensa trabaja directamente con la primera línea para para atender los nuevos riesgos y optimizar los controles al aprovechar los controles automatizados, preventivos, o controles que ya existen.

• La tercera línea ayuda a evaluar el diseño y efectividad operativa de los controles antes de que estén implementados. El ambiente de control interno es actualizado para atender los nuevos requerimientos, y es optimizado para prevenir otros riesgos relacionados.

• Los equipos se reúnen cada trimestre y realizan los ejercicios y talleres, identificando las acciones potenciales de los competidores. Cada acción es revisada, y las más realistas son compiladas por la segunda línea de defensa y compartidas al Directorio y Alta Gerencia.

• La Gerencia revisa los hallazgos de los equipos, adaptando su estrategia y nivel de inversión, orientado a maximizar su ROI.


Este ejemplo representa las acciones que aplicaría una empresa que “piensa diferente” con respecto a los riesgos. La respuesta, impacto y eventos se basan en experiencias reales con nuestros clientes.

Estratégico Prevenible ExternoEl ROI depende en gran medida en que las plataformas lleguen al mercado de manera rápida para incrementar la participación en el mercado y mejorar el posicionamiento e imagen de la marca.

Los requisitos legales y regulatorios que norman el marketing digital y los canales de venta necesitan ser atendidos, para evitar incurrir en multas o someterse a fiscalizaciones regulatorias, especialmente si se busca mejorar el posicionamiento e imagen de la marca.

Los competidores están explorando plataformas y caminos digitales similares, que podrían obstaculizar severamente los esfuerzos de la compañía para entrar en el mercado.

Avanzar • La Gerencia debe actuar rápidamente, pero no tiene la intención de comprometer calidad o costo, por lo que desarrolla un plan para revisar el proyecto a fin de que el ROI y beneficios esperados sean alcanzados.

• La Gerencia debe implementar controles para dar cumplimiento a los nuevos requerimientos legales y regulatorios.

• La Gerencia requiere entender el impacto potencial de las acciones de los competidores y definir mejor la forma de limitarlos, por lo que desarrolla una estrategia para realizar “juegos de guerra”: una serie de ejercicios y talleres, para evaluar y responder sus posibles acciones.

Optimizar • La Gerencia encarga a la segunda y tercera línea de defensa la revisión del proyecto desde el inicio.

• La Gerencia identifica e integra a expertos dentro de las líneas de defensa para identificar riesgos potenciales antes de empezar el proyecto.

• La segunda y tercera línea de defensa trabajarán con la primera línea para entender la estructura del proyecto, gobierno y plan de ejecución. Además, la segunda línea trabaja con la tercera línea para realizar evaluaciones periódicas y monitorear los resultados y logros.

• La Gerencia encarga a la segunda y tercera línea de defensa actividades de consultoría y de evaluación de los cambios en los controles internos de la compañía, efectuados por la primera línea de defensa.

• Al no tener el talento y conocimiento necesario sobre los riesgos potenciales en esta área, la compañía contrata recursos con experiencia en plataformas digitales dentro de ambas líneas de defensa para proveer experiencia y orientación.

• La Gerencia encarga a la segunda línea de defensa la tarea de facilitar los ejercicios y talleres en la primera línea.

• La tercera línea es responsable de proveer retroalimentación independiente, y de retar los escenarios desarrollados.

• Los recursos deben poseer experiencia en marketing y tecnología. Deben dividirse en equipos para desarrollar escenarios viables de los competidores e informar a la Gerencia.

Implementar • La segunda línea de defensa realiza entrevistas con el equipo del proyecto y aprovecha el análisis predictivo para identificar riesgos potenciales. Una gran variedad de riesgos son identificados durante la ejecución del proyecto y en la estructura de gobernanza, los cuales impactarían en el logro de los hitos clave.

• La segunda línea trabaja con la primera línea para tomar medidas de remediación.

• Más adelante, la segunda y tercera línea identifican riesgos, antes de que éstos se materialicen, ayudando a la compañía a lograr sus beneficios esperados dentro del tiempo deseado.

• La segunda línea de defensa trabaja directamente con la primera línea para para atender los nuevos riesgos y optimizar los controles al aprovechar los controles automatizados, preventivos, o controles que ya existen.

• La tercera línea ayuda a evaluar el diseño y efectividad operativa de los controles antes de que estén implementados. El ambiente de control interno es actualizado para atender los nuevos requerimientos, y es optimizado para prevenir otros riesgos relacionados.

• Los equipos se reúnen cada trimestre y realizan los ejercicios y talleres, identificando las acciones potenciales de los competidores. Cada acción es revisada, y las más realistas son compiladas por la segunda línea de defensa y compartidas al Directorio y Alta Gerencia.

• La Gerencia revisa los hallazgos de los equipos, adaptando su estrategia y nivel de inversión, orientado a maximizar su ROI.


Transformación para un objetivoLas compañías declaran su objetivo a través de diversos mecanismos, tales como material promocional, propuestas de clientes y en foros públicos. Con estas declaraciones, las empresas establecen expectativas con el público, en la que representan valores, normas de funcionamiento y calidad de servicio, entre otros. El incumplimiento de estas expectativas plantea un riesgo significativo para la marca y la reputación de la compañía.

Desde una perspectiva de gestión de riesgos, la capacidad de una empresa para identificar, medir y controlar el riesgo estratégico, es el vínculo más directo con su objetivo declarado. La mitigación adecuada de estos riesgos estratégicos es el mejor medio de lograr el propósito final.

Una Transformación Guiada por Objetivos (TGO) ofrece un enfoque integral para la realización y la activación del objetivo de una empresa; es el “por qué” del alineamiento de los productos y servicios con las necesidades de sus clientes. La TGO ayuda a las organizaciones a enviar un mensaje claro al mercado sobre lo que representa.

Los beneficios de la inyección del “propósito” en la estructura de los procesos de una empresa incluyen:

• Mejora en la ejecución y crecimiento integral

• Creación de un entendimiento común entre los empleados

• Nuevas innovaciones

• Mayor difusión de la estrategia de la compañía

• Logro de los resultados deseados

En la medida que comience a evaluar la oportunidad de gestionar mejor los riesgos de su organización, sobre la base de la experiencia de EY con sus clientes, les presentamos los temas más importantes que pueden ayudarlo en esta tarea.

* Proyecto de Energía, cuál es tu nivel de vida en el trabajo, 2013.http://theenergyproject.com

Es tres veces más probable que los trabajadores permanezcan en una empresa guiada por un objetivo.*

72% de los consumidores globales recomendarían una empresa guiada por objetivo.*

Un objetivo claro logra buenos resultados...

Las mayores preocupaciones actuales de negocios necesitan nuevas respuestas al riesgo


Aproximadamente US$ 682 mil millones al año se pierden en proyectos de bajo rendimiento alrededor del mundo.

El contar con un objetivo obliga a los líderes del negocio a gestionar y responder a los riesgos que más importan. Cuando el objetivo se pone a la cabeza de todas las iniciativas y decisiones importantes de negocio (Ej.: el “por qué” estamos siguiendo un determinado camino), se ve con más claridad qué riesgos podrían interponerse en ese camino. La TGO ayuda a las organizaciones a pensar sobre qué riesgos podrían impedir el logro de su objetivo, así como el logro de sus objetivos estratégicos de negocio.

Para mayor información acerca de la “Transformación guiada por objetivo” de EY, por favor visitar el sitio web ey.com/PLT

Gestión de riesgos de proyectosLa innovación, cambios tecnológicos, evolución de modelos de negocios y cambios regulatorios obligan a las empresas a transformar el modo en el que operan y generan valor. Al enfrentar exitosamente los riesgos y retos asociados con la transformación, se puede crear un valor significativo para la organización, tales como reducción de costos, reducción de tiempos en los proyectos, mejores resultados, entre otros. Sin embargo, la ejecución de proyectos estratégicos sigue produciendo resultados decepcionantes.

La Gestión de Riesgos de Proyectos (GRP o Project Risk Management (PRM)) permite a las organizaciones descubrir el valor de sus programas o proyectos estratégicos, lo cual permite entregar proyectos que respaldan su estrategia de negocio, y maximizar los beneficios esperados. La GRP ayuda a:

• Identificar los programas que se alinean directamente con los objetivos del negocio

• Priorizar y equilibrar el portafolio de proyectos para maximizar el ROI

• Anticipar y limitar el impacto de los posibles riesgos del proyecto

• Mejorar la ejecución del proyecto y el tiempo de salir al mercado

• Monitorear y obtener los resultados


Cada oportunidad creada por la tecnología digital también enfrenta riesgos. Las organizaciones necesitan entender y abordar adecuadamente los riesgos digitales mediante la realización de evaluaciones y programas específicos, así como la implementación de controles adicionales

Las organizaciones líderes en el mercado aplican buenas prácticas de gestión de proyectos y análisis descriptivos para crear confianza en la ejecución de los proyectos. Consideran la gestión de riesgos como parte de la evaluación regular de su entorno de riesgos, optimizan las funciones y procesos para responder mejor a los riesgos identificados, y adoptan soluciones que les permiten ofrecer proyectos exitosos.

La capacidad de tener una visión futura de los riesgos, y de ser capaz de predecir el impacto de estos riesgos, permite a la organización gestionar y balancear proactivamente su portafolio de proyectos. La clave está en identificar los proyectos con el mejor potencial para luego permitirles promover los proyectos más valiosos e innovadores. Esto requiere tener procesos y herramientas adecuadas, preparadas para la identificación temprana de los riesgos. La capacidad de hacer ajustes a la gobernanza, controles y procesos del proyecto, antes de que surjan los problemas, conduce a un mejor control del desempeño del proyecto y del logro de los beneficios esperados.

Para mayor información acerca de nuestras ofertas y soluciones de GRP de EY, por favor visitar el sitio web ey.com/PRM.

Adoptar un futuro digitalMuchos pueden decir que el futuro digital ha llegado, pero las tecnologías de hoy se verán insuficientes en comparación con las tecnologías que surjan mañana. El “Internet de las Cosas” (Internet of Things – IoT, por su siglas en inglés) se está volviendo más activo a medida que se conectan más dispositivos. Sin embargo, se ha estimado que sólo el 1% de los dispositivos de hoy están conectados actualmente. Cuanto más se encuentren en línea, tendrán un impacto mayor en nuestras vidas personales, sociales y profesionales. Se espera que en el futuro cercano el sector de tecnología portátil se expanda rápidamente. Algunos expertos pronostican un crecimiento de entre US$10 mil millones y US$50 mil millones en los próximos cinco años.

Ahora es ampliamente aceptado que las cuatro áreas de cambio digital que tendrán el mayor impacto en las empresas son: (i) computación en la nube (cloud computing), (ii) datos, (iii) redes sociales; y (iv) tecnologías móviles. Cada una de estas áreas introduce riesgos específicos. Aun así, con cada riesgo, siempre existen oportunidades. Para capitalizar su potencial, los negocios necesitan desarrollar una estrategia digital apropiada.


La pregunta no es si tu empresa ha sido vulnerada, o incluso cuándo lo fue, pues eso ya sucedió. Las preguntas relevantes son: ¿tu compañía es consciente de ello? y ¿qué tan bien protegida está para el futuro?

Creemos que existe un proceso de tres etapas para ayudar a las organizaciones a maximizar sus posibilidades de innovación digital. El enfoque presentado en “EY Digital Realization” (Realización Digital de EY) se centra en las siguientes tres fases del viaje digital: crear, incubar y activar.

Para mayor información acerca de tu panorama digital, por favor visita el sitio web ey.com/digital.

Seguridad cibernéticaLos mismos avances en la tecnología, en especial las redes, que están transformando vidas, también están creando vulnerabilidades de seguridad de la información, y las organizaciones, así como a sus clientes, necesitan mantenerse a salvo de los riesgos cibernéticos. Los delincuentes cibernéticos de hoy son más sofisticados y conducen ataques persistentes a un nivel avanzado en organizaciones hasta que sus defensas hayan sido bloqueadas. Las empresas corren el riesgo de pérdida significativa de activos físicos, incluyendo datos; así como pérdidas financieras, a través de la pérdida de ingresos y daños a la reputación. Los ataques cibernéticos pueden destruir organizaciones, por lo que deben ser considerados como una amenaza significativa.

Es importante que las organizaciones no sólo mantengan y mejoren sus controles de seguridad tradicional, sino que continúen evolucionando su capacidad para detectar y responder rápidamente a las amenazas cibernéticas. Sin embargo, el anticipar los ataques cibernéticos es la única forma de adelantarse al crimen cibernético.

Para mayor información sobre adelantarse al crimen cibernético, por favor visitar el sitio web ey.com/cybersecurity, o acceda a la última Encuesta Global EY de Seguridad de la Información en ey.com/GISS.


Hallazgos de la encuesta Implicancias

5 riesgos más importantes 5 riesgos menos importantes

• Si bien las organizaciones, a nivel global, han ampliado su visión con respecto a los riesgos, siguen enfocándose principalmente en los riesgos prevenibles.

• Las organizaciones, a nivel global, que también se enfocan en riesgos estratégicos y externos son capaces de beneficiarse de los resultados de los riesgos

1. Financiero2. Operacional3. Regulatorio4. Seguridad

Cibernética5. Reputacional

1. Crisis geopolíticas2. Desastres naturales3. Protección de datos4. Investigación y

desarrollo de productos

5. Fusiones y adquisiciones

Vinculación del riesgo al negocio

• Las organizaciones, a nivel global, han mejorado significativamente en reducir la brecha entre los objetivos de gestión de riesgos y los objetivos de negocio.

• Sin embargo, existe la oportunidad para que las empresas alcancen una alineación aún más fuerte.

Lo que nuestros clientes nos dicenEn la Encuesta GRC 2015 nos hemos centrado en una serie de temas: estrategia de riesgos, coordinación de funciones, la función de Auditoría Interna, la tecnología, entre otros; para obtener un mejor entendimiento sobre cómo las organizaciones están gestionando sus riesgos actualmente.

Sin embargo, mientras que las organizaciones están haciendo progresos, indican que aún existen oportunidades para mejorar la forma en que identifican, gestionan y responden a los riesgos.

16%97%

… pero sólo un 16% del 97% consideran que se encuentran estrechamente vinculadas el día de hoy.

97% de las organizaciones, a nivel global, han progresado en vincular sus objetivos de gestión de riesgos con sus objetivos de negocio…

Hallazgos de la encuesta



Involucramiento frente a los riesgos• Las organizaciones reconocen el valor de

involucrar directamente la gestión de riesgos en el proceso de toma de decisiones del negocio.

• Las organizaciones, a nivel global, que directamente involucran la gestión de riesgos están mejor preparadas para identificar, gestionar y responder a los riesgos que impactan su negocio.

Tendencias de riesgos a nivel global• Estamos viendo negocios que están

siendo afectados por una variedad de fuerzas disruptivas y mega tendencias a nivel mundial, las cuales requieren de una respuesta diferente para gestionar los riesgos asociados.

• Las organizaciones, a nivel global, tienen el reto de desarrollar una visión integral de riesgos, y de identificar y responder regularmente a los riesgos existentes y emergentes.

• Mientras se presenta un panorama de cambio acelerado de riesgos, se crean retos y también se presentan oportunidades.

• Las organizaciones, a nivel global, que gestionan bien sus riesgos están mejor posicionadas para capitalizar los resultados deseados del riesgo.

Retos Oportunidades

Seguridad cibernética

Reputación

Transacciones estratégicas

Mercados emergentes

Estabilidad económica

Cambios tecnológicos

Cambios en las preferencias de los consumidores

Cumplimiento normativo

Global

66% de las organizaciones, a nivel global, indicó que su gestión de riesgos posee un involucramiento limitado…

...pero el 90% espera estar directamente involucrado o dar mayores aportes dentro de los siguientes 3 años.

Perú

30% de las organizaciones en Perú, indicó que su gestión de riesgos posee un involucramiento limitado.

90%66% 30%



Coordinación de actividades de riesgo

21% 67%

Global 21% de los encuestados, a nivel global, indicó que las actividades de riesgo se encuentran bien coordinadas, mientras que el 67% indicó que esperan que las actividades de riesgo estén bien coordinadas dentro de los siguientes 3 años.

Perú 27% de los encuestados indicó que las actividades de riesgo se encuentran bien coordinadas, mientras que el 58% indicó que esperan que las actividades de riesgo estén bien coordinadas dentro de los siguientes 3 años.

• Las organizaciones, a nivel global, esperan ver una mejora significativa en el nivel de coordinación de las actividades de riesgo.

• Las empresas deben alinear y coordinar mejor las actividades de riesgo, a lo largo de la organización para responder al riesgo de forma más eficiente y efectiva.

Habilidades o conocimientos más importantes de Auditoría Interna a nivel global: • Las empresas reconocen claramente que su

función de Auditoría Interna requiere de las habilidades y conocimientos apropiados, para hacer frente a los riesgos con un panorama cambiante a un paso acelerado.

• Las organizaciones deben desarrollar y alinear el talento con las habilidades necesarias, no sólo en Auditoría Interna, sino también en cada una de sus líneas de defensa.

27% 58%

1. Pensamiento crítico y analítico2. Análisis de datos3. Gestión de riesgos4. Auditoría5. Estrategia Empresarial



Tecnología GRC

46% 49% 5%

Global 46% de los encuestados, a nivel global, aún no utiliza tecnología GRC; el 49% utiliza una o más tecnologías; y el 5% indicó no saber.

Perú 64% de los encuestados aún no utiliza tecnología GRC; el 33% utiliza una o más tecnologías; y el 3% indicó no saber.

• Hemos sido testigos de muchas organizaciones que adoptaron y aprovecharon la tecnología, en muchos casos múltiples tecnologías, para permitir una mejor gestión y sostenibilidad de sus actividades de riesgo.

• Las organizaciones deben ver a la tecnología como una forma de ejecutar y mantener sus respuestas ante el riesgo de una manera más eficiente y efectiva.

Capacidades de tecnología GRC

Medio Alto

De auditoría y cumplimiento

Gestión de políticas

Monitoreo continuo

Controles de procesos y seguridad

Automatización o mejora de procesos

Gestión documentaria

Modelamiento y análisis de datos

Tableros de control y reportes

Gestión integral de riesgos

Acceso a contenido de terceros

Gestión de incidentes o problemas

Gestión de continuidad de negocio

• Mientras que las organizaciones priorizan habilidades típicamente asociadas con la gestión de riesgos prevenibles, también se está observando un incremento en la demanda de otras habilidades (Ej.: continuidad de negocio, modelamiento y análisis de datos, mejora de procesos).

64% 33% 3%


Lo que observamos de la encuesta ha validado nuestro punto de vista: las organizaciones necesitan pensar, gestionar y responder ante los riesgos de un modo diferente.


Rol evolutivo de la Auditoría Interna

• La Auditoría Interna se está moviendo desde los programas de supervisión de riesgos, hacia un rol de aseguramiento y consultoría que permite evaluar la efectividad, eficiencia y confiabilidad del programa de gestión de riesgos de la organización.

• Como resultado, la Auditoría Interna puede determinar el nivel en el que puede potenciar el trabajo de otros en la compañía.

• Esto, a su vez, puede permitir que la Auditoría Interna ajuste su alcance para enfocar más sus esfuerzos en los riesgos que importan, incluyendo los riesgos estratégicos.

1. Mejorar su habilidad de identificar y evaluar los riesgos emergentes.

2. Mejorar el apalancamiento del trabajo de otras funciones de riesgo, control y de cumplimiento.

3. Mejorar los reportes para presentar hallazgos con perspectiva en los riesgos.

4. Maximizar el uso de la tecnología para reducir el costo y mejorar la cobertura de riesgos.

5. Incrementar el uso de análisis de datos.

Las 5 oportunidades más importantes para la Auditoría Interna en el 2015

90%de los encuestados indicó que la supervisión de la gestión de riesgos es provista por otra función a la de Auditoría Interna.

85%de los encuestados indicó que la supervisión de la gestión de riesgos es provista por otra función a la de Auditoría Interna.

46%de los encuestados indicó que hoy en día la Auditoría Interna apalanca el trabajo de otros.

72% de los encuestados indicó que la Auditoría Interna potenciará el trabajo de otros en los próximos tres años.

Global

Perú

Global Global


Optimizando funciones y procesosLas organizaciones necesitan establecer una estructura en la que puedan ejecutar sus estrategias de riesgos de forma eficiente y efectiva.

El modelo operativo apropiado, talento, habilidades y políticas y procesos de gestión de riesgos, permiten una buena ejecución de las actividades de respuesta a los riesgos.

Los encuestados identificaron las siguientes habilidades o experiencias más importantes requeridas para implementar las funciones de riesgo:

1. Gestión de riesgos

2. Estrategia de negocio

3. Pensamiento crítico y analítico

4. Cumplimiento normativo

5. Mejora de procesos

Las políticas y procesos de gestión de riesgos son parte integral de:

• Influenciar comportamientos

• Coordinar actividades

• Establecer protocolos de comunicación

• Facilitar la generación de reportes de riesgo

Porcentaje de coordinación entre las funciones de gestión de riesgos

Hoy En 3 años

Hoy En 3 años

21

67

Bien coordinadas

Algo coordinadas

Coordinación mínima

Sin coordinación

52

2521

4 51

27

58

Bien coordinadas

Algo coordinadas


Sin coordinación

30

15 21

0

21

6

• Global

• En Perú


Otros hallazgos en Perú

Funcional Administrativo

Perú Global Perú Global

Si su organización tiene un Gerente de Riesgos (CRO), ¿a quién reporta esta persona funcionalmente y administrativamente?

• Directorio 0% 6% 0% 3%

• Comité de Riesgos del Directorio 9% 12% 0% 1%

• Comité de Auditoría del Directorio 0% 8% 0% 2%

• Gerente General (Chief Executive Officer - CEO) 27% 13% 33% 24%

• Gerente Financiero (Chief Financial Officer - CFO) 6% 10% 9% 15%

• Otros 0% 8% 0% 12%

• N/A - No hay CRO 58% 44% 58% 44%

Sobre la estrategia de riesgos:

Perú Global

¿Dónde se aborda la gestión de riesgo a nivel del Directorio?

• Todo el Directorio 24% 36%

• Comité de Auditoría del Directorio 36% 33%

• Comité de Riesgos del Directorio 9% 19%

• No se aborda 9% 4%

• Otros 21% 8%

El 70% de los Directores de las empresas peruanas consideran como parte de su agenda la evaluación de riesgos. Sin embargo, sólo el 9% de las compañías cuentan con un Comité de Riesgos encargado de evaluarlos continuamente. El 77% de las compañías evaluan sus riesgos anualmente.

En el Perú aún hay un 58% de encuestados que no tiene Gerencia de Riesgos. Asimismo, el 33% de encuestados indica que le reportan funcionalmente al Gerente General o Gerente Financiero. Esta situación debe revisarse, para que la Gerencia de Riesgos sea más independiente y objetiva. Lo óptimo es que el reporte funcional sea directamente al Directorio o a sus comités (de Riesgos o de Auditoría); y que administrativamente reporten al Gerente General.


En Perú, el 64% de encuestados indicó que el perfil de riesgos influye significativamente en sus asignaciones de inversión, esto implica que la mayor parte de las compañías peruanas presenten una fuerte adversión al riesgo y que probablemente exista espacios de mejora para identificar las oportunidades de beneficios en los riesgos.

0% 10% 20% 30%

41%

49%

27%

10%

9%

64%

40% 50% 60% 70%

Influye significativamente

Influye ligeramente

No influye

Global Perú

Esta conclusión se ve soportada cuando observamos que en el Perú el 45% de los encuestados indicó que la vinculación entre los objetivos de gestión de riesgos con los objetivos estratégicos y de negocio no es muy cercana. Por otro lado, los objetivos estratégicos sólo se vinculan estrechamente con la gestión de riesgos en un 24%.

0% 10%

Vinculado pero no muy cerca 35%45%

Estrechamente vinculaldo 46%30%

Muy estrechamente vinculaldo 16%24%

No vinculado 3%0%

20% 30% 40% 50%

Global Perú


La función de GRC debe ser mejor coordinada en aspectos organizacionales y estratégicos dentro de las empresas peruanas. En la encuesta se observa que sólo un 27% considera que sus actividades de GRC están bien coordinadas entre las distintas áreas de la organización.

Global Perú

Sobre Gobierno, Riesgo y Cumplimiento (GRC)

No lo sé

Sin coordinación

Algo coordinadas

Bien coordinadas


0% 10% 20% 30% 40% 50% 60%

2%

0%

5%

21%

21%

21%

52%

30%

27%

21%


En el Perú y a nivel global el 76% de encuestados indicó que su función de Auditoría Interna le reporta funcionalmente al Directorio o Comité de Auditoría, lo que es un avance significativo para el reconocimiento de la independencia del auditor y la gestión de sus funciones.

Sobre Auditoría Interna y Tecnología de la Información

Funcionalmente Administrativamente

Perú Global Perú Global

¿A qué área reporta Auditoría Interna funcionalmente y administrativamente

• Directorio 24% 11% 15% 6%

• Comité de Auditoría 52% 65% 6% 8%

• Gerente General (Chief Executive Officer - CEO) 12% 10% 55% 36%

• Gerente de Operaciones (Chief Operational Officer - COO) 0% 1% 0% 2%

• Gerente Financiero (Chief Financial Officer - CFO) 3% 7% 9% 32%

• Gerente Legal / Abogado Corporativo (General Counsel) 0% 1% 3% 4%

• Contralor 3% 1% 0% 2%

• Otro 3% 3% 6% 8%

• N/A - No hay AI 3% 3% 6% 3%


En la actualidad los cambios tecnológicos exigen respuestas veloces y acorde a los riesgos que conllevan. El uso de herramientas tecnológicas de gestión de riesgos facilita estas respuestas. En el Perú el 64% de nuestros encuestados no utiliza tecnologías como es la tendencia a nivel global.

Perú Global

¿A qué nivel la organización utiliza medios tecnológicos para dar soporte a las actividades de gestión de riesgos?

• Sí, tenemos una única tecnología de riesgos y cumplimiento para toda la organización 6% 14%

• Sí, tenemos múltiples tecnologías de riesgos y cumplimiento para toda la organización 18% 23%

• Sí, utilizo tecnología de riesgos y cumplimiento para la gestión de riesgos, pero no estoy informado de qué tecnologías estarán utilizando otras áreas

9% 11%

• No, no tenemos tecnologías de riesgos y cumplimiento en la organización 64% 46%

• No sé 3% 5%


Nuestra encuesta global de Gobierno, Riesgo y Cumplimiento de 2015 fue llevada a cabo entre febrero y marzo del 2015. Se preguntó qué tan bien las organizaciones están gestionando sus riesgos y lo que deben realizar para tener una mejor gestión de riesgos que impulsen el desempeño. Participaron casi 1,200 Gerencias de alto nivel, miembros de comités de auditoría y varios ejecutivos de aseguramiento y/o cumplimiento, representando a las principales industrias en 63 países alrededor del mundo. La mayoría de las respuestas de la encuesta fueron obtenidas a través de reuniones personales, y en caso esto no haya sido posible, el cuestionario fue completado en línea. Agradecemos a todos los participantes por compartir sus conocimientos.

Metodología aplicada en la encuesta

1,196Encuestados

63Países a nivel

mundial

25Sectores industriales

Perfil de los participantes

Encuestados por sector industrial

Automotriz y transporte 77

Banca y Mercado de Capitales 146

Tecnologías limpias 4

Consumo masivo 121

Gobierno y Sector Público 72

Salud 46

Seguros 49

Ciencias de la salud 32

Medios de comunicación y entretenimiento 29

Minería y Metales 46

Petróleo y Gas 53

Electricidad y Servicios Públicos 90

Bienes Raíces y Construcción 21

Tecnología 73

Telecomunicaciones 48

Administración de activos y de riqueza 20

Otros (por favor especificar) 269


Encuestados por número de empleados

Encuestados por roles/puestos

Miembro del Directorio — Comité de Auditoría 15

Miembro del Directorio — Comité de Riesgos 6

Gerente General (CEO) 18

Gerente Financiero (CFO) 62

Gerente de Información (CIO) 13

Gerente de Riesgos (CRO) 127

Director/Gerente/Jefe de Auditoría (CAE) 648

Líder de SOX o Cumplimimiento 57

Otros 250

Menos que 1,000 320

1,000 a 5,000 293

5,000 a 15,000 235

15,000 a 50,000 188

Más de 50,000 160

Parámetros:

EMEIA 556

Americas 411

Asia-Pacífico 214

Japón 15

Encuestados por región

Encuestados por total de ingresos anuales

Parámetros:

Más de US$50 mil millones 55

US$10 — US$50 mil millones 174

US$1 millón — US$10 mil millones 393

US$100 mil millones — US$1 millón 248

US$10 mil millones — US$100 mil millones 95

Menos de USD10 mil millones 198

Gobierno, sin fines de lucro 21

No aplica 12


Contactos I EY Perú

• Consultoría / Advisory

• Auditoría / Assurance

Juan ParedesAssurance LeaderTelf: +51 1 411 [email protected]

Víctor BurgaTelf: +51 1 411 [email protected]

Víctor CamarenaTelf: +51 1 411 [email protected]

Daniel CarpioTelf: +51 1 411 [email protected]

Ricardo del ÁguilaTelf: +51 1 411 [email protected]

Raúl del PozoTelf: +51 1 411 [email protected]

Manuel DíazTelf: +51 1 411 [email protected]

Cristian EmmerichTelf: +51 1 411 [email protected]

Elizabeth FontenlaTelf: +51 1 411 [email protected]

Ariel GarcíaTelf: +51 1 411 [email protected]

César LucasTelf: +51 1 411 [email protected]

Moisés MarquinaTelf: + 51 1 411 [email protected]

Fernando NúñezTelf: +51 1 411 [email protected]

Miguel QuijanoTelf +51 1 411 [email protected]

Wilfredo RubiñosTelf: +51 1 411 [email protected]

Carlos RuizTelf: +51 1 411 [email protected]

Jorge AcostaAdvisory LeaderTelf: +51 1 411 [email protected]

Numa ArellanoTelf: +51 1 411 [email protected]

José Carlos BellinaTelf: +51 1 411 4444 Ax. 16117 [email protected]

Elder CamaTelf: +51 1 411 4444 Ax. [email protected]

Rafael HuamánTelf: +51 1 411 [email protected]

Alejandro MagditsTelf: +51 1 411 [email protected]

Víctor MenghiTelf: +51 1 411 [email protected]

Renato UrdanetaTelf: +51 1 411 [email protected]

Raúl VásquezTelf: +51 1 411 [email protected]

Antonio SánchezTelf: +51 1 411 [email protected]

Simona SettineriTelf +51 1 411 4444 Ax. [email protected]

Mireille SilvaTelf: + 51 1 411 [email protected]

Víctor TanakaTelf: + 51 1 411 [email protected]

Carlos ValdiviaTelf: + 51 1 411 [email protected]

Marco Antonio ZaldívarTelf: +51 1 411 [email protected]

Mayerling ZambranoTelf: +51 1 411 [email protected]

Paulo PantigosoCountry Managing PartnerTelf: +51 1 411 [email protected]

Enrique OliverosTelf: +51 1 411 [email protected]

• Transacciones yFinanzas Corporativas / TAS

Beatriz BozaTelf: +51 1 411 [email protected]

• Gobernanza y Sostenibilidad Corporativa

• Impuestos / Tax

David de la TorreTax LeaderTelf: +51 1 411 [email protected]

Humberto AsteteTelf: + 51 1 411 [email protected]

Percy BardalesTelf: +51 1 411 [email protected]

María Eugenia CallerTelf: +51 1 411 [email protected]

Ítalo CarranoTelf: +51 1 411 [email protected]

José Ignacio CastroTelf: + 51 1 411 [email protected]

Roberto CoresTelf: +51 1 411 [email protected]

Gustavo ChauTelf: +51 1 411 [email protected]

Beatriz de la VegaTelf: + 51 1 411 [email protected]

Rubén EspinozaTelf: + 51 1 411 [email protected]

Verónica FebresTelf: + 51 1 411 [email protected]

Marcial GarcíaTelf: +51 1 411 [email protected]

Guillermo HidalgoTelf: + 51 1 411 [email protected]

Ricardo LeivaTelf: +51 1 411 4444 Ax. [email protected]

Elizabeth RosadoTelf: +51 1 411 [email protected]

Nelson SantosTelf: +51 1 411 [email protected]

Fernando ToriTelf: +51 1 411 [email protected]

Claudia VegaTelf: +51 1 411 [email protected]

LimaAv. Víctor Andrés Belaúnde 171,San Isidro - Lima 27, Perú Telf:: +51 1 411 4444Fax: +51 1 411 4445www.ey.com/pe/es/home

ArequipaAv. Bolognesi 407,Yanahuara – Arequipa 040, ArequipaTelf:+51 54 484 470

ChiclayoAv. Santa Victoria 612,Urb. Santa Victoria, Chiclayo 140 - ChiclayoTelf: +51 74 227 424

+51 74 227 421

EY | Assurance | Tax | Transactions | Advisory

Acerca de EYEY es el líder global en servicios de auditoría, impuestos, transacciones y consultoría. La calidad de servicio y conocimientos que aportamos ayudan a brindar confianza en los mercados de capitales y en las economías del mundo. Desarrollamos líderes excepcionales que trabajan en equipo para cumplir nuestro compromiso con nuestros stakeholders. Así, jugamos un rol fundamental en la construcción de un mundo mejor para nuestra gente, nuestros clientes y nuestras comunidades.

Para más información visite ey.com

© 2015 EYAll Rights Reserved.

Descarga nuestras publicaciones en: ey.com/PE/EYPeruLibrary

/ EYPeru/ EYPeruIntegrate

/ company/ernstandyoung

@EYPeru

/ EYPeru

Sin riesgo no hay recompensa - EY - United · PDF fileinversiones de tiempo y esfuerzo ... de...

Documents

Transcript of Sin riesgo no hay recompensa - EY - United · PDF fileinversiones de tiempo y esfuerzo ... de...