Servicios de Consultoría Promoviendo el desarrollo de una ......6. Oportunidades de mejora para...

Estudio de gobierno, gestión de riesgos y auditoría interna - 2019 1

Promoviendo el desarrollo de una cultura de prevención

Servicios de Consultoría

Estudio de gobierno, gestión de riesgos y auditoría interna

Segunda edición - Setiembre 2019

Promoviendo el desarrollo de una cultura de prevención2

Contenido


I. Gobierno de la gestión de riesgos

1. Composición del Directorio2. Organización3. Herramientas

II. Gestión de riesgos

1. La confianza como eje central de nuestros esfuerzos de gestión de riesgos empresariales

2. ¿Cómo abordar apropiadamente los riesgos? Una cuestión de enfoque

3. Los diez riesgos más críticos4. Los cinco riesgos más críticos de cada sector en 20195. ¿Cómo gestionan las empresas sus riesgos? 6. Oportunidades de mejora para fortalecer la gestión de

riesgos7. Ambiente de control8. Plan de contingencias, crisis y continuidad9. Programa de prevención de riesgos de corrupción10. Estrategia y desempeño

III. Auditoría interna

1. Conformación de una función de auditoría interna2. Atributos de la función de auditoría interna3. Plan de auditoría basado en riesgos4. Presupuesto de la función de auditoría interna

91417

21

22

24252733

34363738

43465253

Contenido


Bienvenida

Hace dos años, nuestro compromiso de hacer de este un mundo mejor nos llevó al feliz emprendimiento de elaborar el primer estudio comparativo de prácticas de gobierno, gestión de riesgos y auditoría interna en el Perú, con el objetivo de compartir nuestra experiencia y conocimiento en la materia con la comunidad de negocios y proveerle de información útil que favorezca el robustecimiento de sus prácticas empresariales.

Ese primer estudio tuvo gran acogida, y sabemos -por testimonios de ejecutivos que tuvieron acceso a él- que su lectura generó espacios de diálogo en la alta dirección de sus empresas que favorecieron la adopción de medidas concretas para mejorar y fortalecer su cultura de prevención y gestión de riesgos. Ver, con humildad, que nuestro esfuerzo rinde frutos, no puede hacer más que renovar nuestro compromiso de continuar contribuyendo con la difusión y promoción de buenas prácticas empresariales en nuestro país.

Hoy, con entusiasmo, presentamos a ustedes el avance de la segunda edición de nuestro estudio comparativo de gobierno, gestión de riesgos y auditoría interna. Este estudio sigue la línea del primero, mostrando información comparativa segmentada por sectores, pero ofrece -en adición- nuevos elementos de análisis y, cuando resulta aplicable y relevante, tendencias evolutivas con relación al año 2017. Es nuestra sincera intención que esta edición, actualizada y mejorada, contribuya con el robustecimiento de la gestión de riesgos en sus compañías.

Deseamos agradecer a aquellos que participaron en este estudio. Valoramos el tiempo que se tomaron en compartir sus experiencias y esperamos que estas sean bien aprovechadas por nuestros clientes, amigos y comunidad de negocios de nuestro país.

En EY nos encontramos a su disposición para orientarlos en lo que ustedes pudiesen requerir para desarrollar sus prácticas de gestión de riesgos, control interno y auditoría interna, así como para fortalecer sus operaciones y ampliar su crecimiento.

Jorge AcostaSocio líder de Consultoría EY Perú

Bienvenida

Si bien las distintas fuentes, códigos y marcos de referencia sobre la gestión de riesgos y el gobierno corporativo convienen en prácticas generalmente consideradas como líderes, no existe una receta única que satisfaga todas las necesidades y se adapte perfectamente a cualquier tipo de empresa. La manera como los riesgos son gestionados puede diferir sustancialmente entre una empresa y otra, pues esta depende de factores muy diversos y propios de cada una, como el tamaño de la organización, su nivel de madurez, su apetito de riesgos, el sector en el que opera, los productos o servicios que ofrece, su gente y cultura, la regulación, ciertas condiciones de mercado, entre otras. Por esa razón, el mejor modelo de gestión de riesgos y gobierno es aquel que se diseña específicamente para atender las necesidades propias de cada organización.

Desde la perspectiva de EY, en un entorno en constante ebullición y con la problemática y riesgos particulares de una economía emergente, es de vital importancia conocer qué buenas prácticas empresariales en materia de gobierno y gestión de riesgos han sido probadas con éxito en otras empresas, pues esto facilita el aprendizaje eficiente y permite agilizar las iniciativas de corporativización.

Por esa razón, tenemos el compromiso de impulsar el desarrollo empresarial mediante la difusión de prácticas de gestión de riesgos y gobierno que contribuyan con maximizar el valor de las empresas y, a través de ellas, el desarrollo económico de nuestro país, y lo vivimos a través de iniciativas como la que esta vez nos convoca. A continuación presentamos el avance de la segunda edición de nuestro Estudio de Gobierno, Gestión de Riesgos y Auditoría Interna de empresas peruanas.

El presente estudio inició en marzo de 2019 mediante entrevistas a ejecutivos de 75 empresas peruanas privadas no financieras representativas de sus respectivas industrias. Las entrevistas fueron realizadas, principalmente, con miembros del Directorio y gerentes generales, así como también con algunos integrantes de la gerencia de primera línea de las empresas participantes, con el fin de obtener información que refleje fielmente el sentir de la alta dirección en relación con sus estructuras de gobierno y sus prácticas en materia de gobierno corporativo, gestión de riesgos y auditoría interna.

Introducción


Nuestro estudio se presenta organizado en tres secciones:


Recogemos las buenas prácticas de gobierno corporativo que contribuyen con la labor del Directorio de supervisar la gestión de riesgos de la compañía. Incluye aspectos como la composición del Directorio, la importancia de los comités especializados y el uso de la tecnología para un proceso más eficiente de toma de decisiones y seguimiento de acuerdos.


Presentamos una sistematización de la percepción de los altos directivos entrevistados acerca de los riesgos más críticos para sus empresas, su alineamiento con la estrategia del negocio y las herramientas de gestión y control que emplean para brindar una apropiada respuesta.


Comparamos cuán alineadas están las empresas participantes del estudio con estándares internacionales para la práctica de la auditoría interna y elementos que generalmente caracterizan a las funciones de auditoría más robustas.

Agradecemos a los ejecutivos entrevistados y a las empresas que hicieron posible el desarrollo de este estudio, que nos permite brindar a nuestra sociedad un análisis comparativo de la evolución del mercado peruano en materia de gobierno, gestión de riesgos y auditoría interna.

Renato UrdanetaSocioEY Perú

Fabiola Juscamaita Associate PartnerEY Perú

Introducción

La supervisión de la gestión de riesgos es consubstancial al mandato del Directorio

El Directorio se constituye como el ente máximo de gobierno en la gestión de una empresa y responde al mandato que recibe de sus accionistas, el cual consiste en la búsqueda permanente de la maximización sostenible de los resultados del negocio y su contribución a la sociedad, salvaguardando e incrementando el valor de la empresa y velando siempre por sus intereses.

Para atender apropiadamente un encargo tan amplio, ambicioso y complejo, este órgano necesita estar dotado no solo de herramientas y recursos, sino además del más alto nivel de empoderamiento en el plano empresarial. Por esa razón, el Directorio es el responsable de la definición de los objetivos y estrategias, así como de la designación del CEO y el equipo gerencial responsable de su consecución. Sin embargo, el ejercicio diligente de esas atribuciones es consubstancial con la responsabilidad de asesoramiento y supervisión a la gerencia con relación a diversos aspectos, como la apropiada gestión de los riesgos que podrían alejar a la empresa del logro de los objetivos y estrategias definidas.

En esta sección se abordan los siguientes elementos constitutivos del gobierno corporativo de las empresas, que inciden en la capacidad de su Directorio de ejercer apropiadamente su mandato sobre la gestión de riesgos.

1. Composición del Directorio

2. Organización

3. Herramientas


8

a) Cantidad de Directoresb) Condición de imparc) Directores independientesd) Igualdad de género en los Directorios de empresas peruanas

a) Comités especializados del Directoriob) Comité de auditoríac) Sesiones del Directorio

a) Autoevaluación de la gestión del Directoriob) Evaluación del CEOc) Herramientas tecnológicas que facilitan el gobierno corporativo


1. Composición del Directorio

a) Cantidad de Directores

La cantidad de Directores de una empresa puede incidir significativamente en la capacidad del Directorio de atender apropiadamente su encargo. Un Directorio que no cuenta con una cantidad suficiente de miembros para hacerse cargo de la diversidad de temas de los que se debe ocupar pronto verá afectada su efectividad, como también lo hará un Directorio cuya excesiva cantidad de miembros ponga en riesgo su eficiencia, cohesión y capacidad de reacción.

No existe una fórmula estándar para definir el tamaño óptimo de un Directorio, pero el entendimiento de que su determinación debe ser el resultado de un ejercicio consciente que busque garantizar la confluencia de una combinación óptima de perfiles, tal que maximice la efectividad del colectivo dentro de los límites de la eficiencia, es un estándar entre empresas líderes.

La cantidad de Directores en función del nivel de ingresos de las empresas

Este estudio muestra que existe una correlación positiva entre el nivel de ingresos de las empresas participantes y la cantidad de miembros que componen sus Directorios; es decir, cuanto mayores son los ingresos de las empresas, más integrantes tienen sus Directorios.

Cantidad de Directores en función del nivel de ingresos

La capacidad de un Directorio para ser efectivo se basa en diversos elementos: la cantidad de sus miembros, su diversidad y experiencia, sus habilidades y conocimientos, y su capacidad de cuestionar de manera independiente a la gerencia y de ofrecer asesoramiento estratégico sobre la conducción de la empresa.

Guía Práctica de Gobierno Corporativo - IFC

“

Cantidad de Directores

IngresosUSD MM

Media: 7

10

9

8

7

6

5

4

3

2

1

0

0 - 50

6.3

50 - 100 100 - 250 250 - 500 500 - 1000 1000+

6.6 7.0 7.1 7.37.8


Directorios de empresas listadas en comparación con los de empresas no listadas

Si segmentamos a las empresas que participaron del estudio en dos grupos: listadas (empresas que cotizan sus acciones en la bolsa) y no listadas, podemos observar un patrón de comportamiento que conviene analizar. Según nos muestra el estudio, el número promedio de Directores del grupo de empresas listadas es mayor que el de empresas no listadas.

Este dato es consistente con la premisa de que una mayor complejidad en la supervisión, producto de los diversos requerimientos, propios de empresas listadas, puede requerir mayor diversidad y, por lo tanto, mayor cantidad de integrantes en el Directorio.

Cantidad promedio de Directores por industria

Como se puede observar, el sector educación congrega, en promedio, a las empresas con los Directorios de mayor tamaño. En contraste, los sectores de agro y pesca tienen, en promedio, Directorios con la menor cantidad de integrantes.

7.9 6.7Cantidad promedio de Directores de empresas listadas y no listadas

Cantidad promedio de Directores por industria

Listadas No listadas

Promedio 2019

Evolución2017

Educación

- 0.6% 0.6% 0.1% 1.9%0.5% 0.2% 1.1%1.8%

Energía y Electricidad

Manufactura Retail y Consumo masivo

Transporte y Comunica.

Construcción Agro y Pesca

Petróleo y Minería

Servicios

6.36.66.2

6.86.36.5

6.1

7.1

9.2


b) Condición de impar

Distintos marcos de referencia generalmente considerados líderes sugieren que la condición de contar con un número impar de miembros del Directorio, constituye un elemento que agiliza la toma de decisiones.

Condición de impar en losDirectorios de empresas peruanas

Aun cuando se apreció en este estudio una alta proporción de Directorios con un número de Directores impar (48%), este no mostró una clara predominancia en la muestra analizada.

Sin embargo, al analizar esta condición por industrias, se identificó una alta incidencia (promedio 90%) en los sectores energía y electricidad, mientras que, en contraste, se observó la incidencia más baja (promedio 10%) en las empresas de servicios.

48%Impar

Sería recomendable que el número de directores fuera impar, para evitar la formación de posibles empates.

Lineamientos para un Código Latinoamericano de Gobierno Corporativo - Banco de Desarrollo de América Latina (CAF)

“


c) Directores independientes

En el curso ordinario de la gestión de un negocio, se pueden presentar circunstancias que amenacen la capacidad de algunos integrantes del Directorio de emitir juicios objetivos, libres de sesgo o conflictos de intereses, en beneficio exclusivo de la empresa. Si bien este es un riesgo inherente de cualquier grupo humano, tomando en cuenta el alto nivel de responsabilidad que asume el Directorio, por el alto impacto al que pueden exponer a la empresa y a los accionistas sus decisiones, existe la tendencia generalizada de adoptar medidas concretas para prevenirlo.

La inclusión de miembros independientes en el Directorio es la medida de respuesta que más acogida ha tenido en el mundo. En comparación con los resultados de nuestro primer estudio (2017) se aprecia que la proporción de empresas participantes que incluyen Directores independientes disminuyó en 5%. Este puede ser un reflejo de que las empresas son cada vez más exigentes sobre los requisitos que debe tener un Director para ser calificado como independiente.

Esta práctica busca incorporar en el Directorio a profesionales altamente competentes y libres de relacionamiento con el accionariado, la gerencia y los stakeholders clave del negocio, equilibrar la toma de decisiones y garantizar su permanente orientación hacia los intereses de la empresa. Un reciente estudio desarrollado por la OECD, que recoge la perspectiva de 49 jurisdicciones distintas, muestra que, a pesar de las diferencias en la composición del Directorio, la mayoría de países regula o recomienda tener una cantidad mínima de directores independientes.

El siguiente gráfico muestra la proporción de compañías que tienen al menos a un miembro que ellas perciben como independiente en la composición de su Directorio.

Proporción de Directores independientes en su constitución

Proporción de independientes en 2019

2017 2019

Mayor a un terciopero menor a la mitad

Mayor a la mitad

Menor a un tercio

Evolución 2017

37%

30%

33%

64%59%

11%

26%

15%


Proporción de mujeres en el Directorio

Mayor a un terciopero menor a la mitad

Mayor a la mitad

Menor a un tercio

6%

63%

31%

d) Igualdad de género en los Directorios de empresas peruanas

Los estándares de buen gobierno corporativo convienen en favorecer la diversidad de perfiles en la composición de los Directorios. Como resultado de este estudio, observamos que únicamente el 57% de las empresas participantes incluyen en sus Directorios al menos a una mujer. Al observar esta proporción en las empresas que listan acciones en la bolsa, identificamos que la cifra es aun menor (42%).

Proporción de Directorios con al menos una mujer en su Directorio

57%

El 49% de los países han establecido requerimientos de difusión en la composición de su Directorio, con la finalidad de promover la diversidad de género. Por otro lado, el 18% de las jurisdicciones evaluadas ha desarrollado reglamentación de cuotas para los Directorios de las empresas que cotizan valores en el mercado bursátil y el 16% ha desarrollado estándares de adhesión voluntaria.

OECD - Corporate Governance Factbook 2019

“


2. Organización

a) Comités especializados del Directorio

La práctica de conformar comités especializados del Directorio nace de la necesidad de maximizar el valor del aporte individual de sus miembros para atender apropiadamente el encargo colectivo.

Al tener el Directorio una naturaleza diversa y, en algunos casos, una cantidad importante de miembros, puede resultar beneficioso delegar algunas funciones específicas de supervisión de detalle a comités especializados conformados por una cantidad menor de miembros cuyos perfiles facilitan una gestión más eficiente del encargo.

Sin embargo, un detalle importante sobre este asunto es que la responsabilidad sobre las decisiones del Directorio es indelegable; por esa razón, la buena práctica de conformar comités necesita estar acompañada de otra buena práctica, que consiste en que los comités reporten oportunamente al Directorio y sometan a su consideración las decisiones sobre las materias que le competen.

El siguiente gráfico muestra la proporción de comités especializados conformados por las empresas que participaron del estudio. Según se puede apreciar, el de auditoría es el comité que las empresas tienden a constituir con mayor frecuencia.

Conformación de comités del Directorio

Auditoría

Compensaciones

Riesgos

Gobierno Corp.

Nominaciones

Otros*

*Las empresas que refirieron tener otros comités en su Directorio mencionaron que su propósito estaba alineado con la supervisión de asuntos financieros y especialidades propias del sector.

60%

20%

17%

17%

14%

2%


b) Comité de Auditoría

El papel que ejerce el comité de auditoría en el gobierno corporativo de las empresas es hoy más importante que nunca, pues este es el receptor natural de las tareas que se derivan de la necesidad de atender los requerimientos regulatorios que recaen sobre el Directorio y satisfacer las expectativas de sus stakeholders.

Las labores típicamente encomendadas al comité de auditoría incluyen: la supervisión de los riesgos y el control interno; la aprobación de políticas contables y la supervisión efectiva sobre su adecuado cumplimiento; la integridad de los estados financieros; las calificaciones, independencia y desempeño del auditor financiero; la supervisión de la función de auditoría interna; y la supervisión del cumplimiento con normativas y estándares internos, leyes y regulaciones.

Tomando en cuenta la amplitud y criticidad de su encargo, es una práctica bien valorada, que denota madurez y transparencia, que este comité esté compuesto, e incluso presidido, por integrantes independientes del Directorio.

Como resultado de este estudio, se observó que el 64% de los comités de auditoría conformados por las empresas están integrados, al menos, por un director percibido como independiente.

Esta proporción muestra un ligero decremento con relación a la obtenida en la primera versión de este estudio (2017), probablemente atribuible a la creciente sensibilización del empresariado peruano sobre las condiciones que debe reunir un miembro del Directorio para ser considerado independiente.

Independientes en la composición del comité de auditoría

66% 64%2017 2019

El Directorio debe establecer un comité de auditoría con directores independientes, con una composición mínima de tres integrantes, o, en el caso de empresas más pequeñas, dos. El Presidente del Directorio no debería ser integrante de este comité. Además, al menos uno de los miembros debe tener experiencia financiera reciente y relevante.

The UK Corporate Governance Code - July 2018

“


c) Sesiones del Directorio

A continuación se muestra la cantidad promedio de sesiones que al año tienen los Directorios de las empresas que participaron del estudio. Se observó que la cantidad más frecuente de sesiones está en el rango de entre diez y doce sesiones, mientras que la proporción más baja le corresponde al rango de menos de tres sesiones al año.

Cantidad promedio de sesiones del Directorio en un año

Entre 10 y 12

Entre 7 y 9

Entre 4 y 6

Menor a 3

58%

9%

8%

25%


3. Herramientas

a) Autoevaluación de la gestión del Directorio

Los directorios de las empresas que cotizan en bolsa tienen una mayor tendencia a autoevaluar su gestión

La autoevaluación del Directorio sobre su propia gestión es un ejercicio reflexivo que le permite identificar oportunidades de mejora sobre el aporte de valor que como colectivo genera a la compañía. Una autoevaluación efectiva busca generar eficiencias en la dinámica del Directorio y definir una línea base para la acción orientada a la mejora.

Como resultado de nuestro estudio, observamos que la autoevaluación del Directorio es una práctica adoptada por las empresas participantes solo en un 30%. Sin embargo, cuando se distinguen las empresas listadas de las que no, se advierte que el 80% de los Directores de las empresas que cotizan valores en el mercado bursátil tienen la práctica de autoevaluar su gestión. El 92% de ellos realiza la evaluación con una periodicidad anual, y el 7% lo realiza cada dos años.

Proporción de empresas cuyos Directorios se autoevalúan

Análisis de empresas no listadas y listadas cuyos Directorios se autoevalúan

Las evaluaciones anuales del Directorio deben considerar la composición, diversidad y cuán eficientes son los miembros del Directorio para alcanzar sus objetivos. Debe haber una evaluación anual formal y rigurosa del desempeño del Directorio, sus comités, el Presidente y una autoevaluación de los directores.

The UK Corporate Governance Code - July 2018

“

Empresas no listadas

Empresas listadas

20%17%

80%83%

30%

80% 20%

Sí autoevalúan No autoevalúan


b) Evaluación del CEO

Cuanto mayores son los ingresos de las empresas, más frecuente es la práctica de evaluar formalmente al CEO

Medir formalmente el desempeño del gerente general con métricas objetivas es una de las herramientas que facilitan al Directorio su labor de orientarlo hacia la satisfacción plena de su encargo.

El siguiente gráfico muestra una correlación positiva observada entre el nivel de ingresos de las empresas que participaron en el estudio y la práctica del Directorio de evaluar formalmente a su CEO. Esta observación muestra que el 100% de las empresas situadas en la escala más alta de ingresos cuenta con un procedimiento formal de evaluación de desempeño del gerente general.

Proporción de Directorios que evalúan formalmente a su CEO

c) Herramientas tecnológicas que facilitan el gobierno corporativo

La supervisión que realiza el Directorio sobre la gestión de los riesgos del negocio puede ser facilitada a través de herramientas tecnológicas que contribuyan con la confiabilidad y eficiencia del proceso y faciliten el seguimiento de acuerdos; sin embargo, esta tendencia se muestra aún incipiente entre las empresas que participaron del estudio, según se observa a continuación:

Proporción de empresas que tienen herramientas tecnológicas que soportan el gobierno corporativo

IngresosUSD MM

% de empresas

Funcionesbajo soporte

0 - 50 +100050 - 100 100 - 250 250 - 500 500 - 1000

Sesionesdel Directorio

7%

Evaluación del Directorio

15%

Planeamientoestratégico

13%

Riesgos ycontrol interno

20%

Auditoríainterna

30%

57%

31%

50%60%

89%100%

20

Una adecuada gestión de riesgos empresariales puede potenciar la creación de valor y acercar a una empresa a su visión, a través del logro sostenible de sus estrategias y objetivos. La clave está en la correcta determinación de cuál es la medida de lo adecuado, pues puede ser distinta para cada empresa, al depender de variables como su modelo de gobierno y el nivel de madurez que este tiene, su perfil de riesgos, su cultura y valores, así como de otras cuestiones que se derivan del tamaño y complejidad de sus operaciones.

En esta sección se muestran ciertas características sobre la estructura y modelo de gestión de riesgos de las empresas que participaron en el estudio, así como su evolución con relación a la edición del año 2017. Los principales aspectos que aquí se abordan incluyen: el análisis de los riesgos más críticos que enfrentan las empresas, segregado por industria, de acuerdo con la percepción en los ejecutivos entrevistados, los tipos de riesgos que gestionan las empresas, la forma en la que lo hacen y las herramientas de las que disponen para realizar esta labor.



1. La confianza como eje central de nuestros esfuerzos de gestión de riesgos empresariales

Los negocios evolucionan a un ritmo alarmante. De acuerdo con un estudio reciente, se prevé que el tiempo de vida promedio de una empresa en S&P 500, que era de treinta y tres años en 1964, se reducirá a apenas doce para el año 2027 (Innosight, 2019).

Este tipo de consideraciones nos alertan sobre el hecho incuestionablede que nuestras decisiones empresariales tienen un margen de error cada vez menor; y nos comprometen a la autoreflexión acerca de la correcta orientación de nuestros esfuerzos por gestionar los riesgos de nuestras empresas.

La respuesta global de EY sobre esta problemática es encontrar en la confianza el punto focal de nuestras estrategias de identificación y tratamiento de riesgos. Confianza es la mejor forma de resumir, en una sola palabra, lo que puede garantizarle a una empresa una ruta segura para alcanzar su visión, a través del éxito sostenido en el logro de sus estrategias y objetivos: la confianza de sus stakeholders (clientes, mercados, accionistas, Directorio, estado, trabajadores, proveedores y la sociedad en su conjunto). Por lo tanto, confianza es aquello que una empresa debe lograr y la respuesta natural a la pregunta: ¿Qué es lo que no puede fallar?

Confianza

ProveedoresTerceros

DirectorioAccionistasMercados

Empleados

Reguladores

Clientes

1

Índice Bursátil Standard & Poor’s 5001

El 63% de los encuestados estuvo de acuerdo con esta premisa: La buena reputación de una empresa me puede animar a probar su producto, pero a no ser que llegue a confiar en esa empresa, pronto dejaría de comprarlo, sin importar su reputación.

Edelman Trust Barometer, 2019

“


2. ¿Cómo abordar apropiadamente los riesgos? Una cuestión de enfoque

EY propone dos cambios de enfoque disruptivos que buscan potenciar los esfuerzos de las empresas por identificar y gestionar apropiadamente sus riesgos.

El riesgo puede representar una oportunidad

La concepción general de riesgo está generalmente sesgada hacia lo negativo, por su estrecha vinculación con la pérdida o lo que puede salir mal. Este paradigma desincentiva el diálogo franco, abierto y prospectivo sobre riesgos y, por lo tanto, dificulta no solo una identificación razonablemente suficiente de ellos, sino además su apropiado abordaje.

Si la finalidad de gestionar un riesgo es lograr los objetivos de negocio, el enfoque de gestión de riesgos deberá tener una connotación positiva. Un simple cambio de enfoque al tratar acerca de riesgos puede marcar una gran diferencia, abriendo las puertas del diálogo en lugar de cerrarlas. Podríamos comenzar reemplazando, en la medida de lo posible, la pregunta típica ¿Qué puede salir mal? Por una pregunta un poco más estimulante y comprometedora, como: ¿Qué tiene que salir bien?

Para lograr mejores resultados hay que pasar de evadir riesgos a gestionarlos. La disrupción se hace necesaria. Debemos aspirar a cambiar el enfoque de simplemente mitigar riesgos operacionales a aprovechar las nuevas oportunidades que provee el entorno.

Fabiola Juscamaita - Associate Partner de EY Perú

“


Los riesgos no son solo operativos

Si bien la concepción de que los riesgos se derivan de los objetivos es razonable, una interpretación incorrecta de esta premisa puede limitar nuestra perspectiva y llevarnos a buscar riesgos únicamente dentro de la propia operación, limitando así nuestra capacidad para ocuparnos de lo más importante.

El enfoque que propone EY busca proveernos de un panorama más amplio al momento de buscar riesgos, con el objetivo de maximizar nuestra capacidad para identificar asuntos importantes y ocuparnos de ellos. De acuerdo con este, los riesgos se pueden clasificar en los siguientes tres tipos:

Foco en la innovación para hacer crecer la base de clientes

Incremento de la participación de mercado

Adquirir, obtener y gestionar el valor generado por nuevos activos y talento

Acciones de competidores actuales y emergentes

Megatendencias geopolíticas y económicas

Megatendencias demográficasy medioambientales

Seguridad de la información y Cybercrime

Integridad, fraude y cumplimiento regulatorio

Resiliencia empresarial, tecnología y continuidad del negocio

Riesgos estratégicos

Riesgos que ofrecen beneficios. Pueden afectar significativamente la capacidad de la empresa de ejecutar su estrategia.

Riesgos externos

Riesgos que ofrecen beneficios o consecuencias negativas, pero que están fuera del control de la organización.

Riesgos prevenibles

Riesgos que ofrecen impactos negativos y que la organización busca eliminar, evitar, mitigar o transferir de manera efectiva y a un costo razonable.


3. Los diez riesgos más críticos

A continuación se muestran los diez aspectos de riesgo percibidos como más relevantes por los altos ejecutivos de las empresas que participaron de este estudio, priorizados en función de la frecuencia con la que estos fueron citados, y clasificados en función de las categorías propuestas por EY: estratégicos, externos y prevenibles.

Como se puede observar, en la mente de los altos ejecutivos no solo hay riesgos de la operación, que en nuestro lenguaje se entienden como prevenibles, sino también una alta proporción de riesgos externos y estratégicos.

Radar de los diez riesgos más críticos

Riesgos estratégicos

Riesgos externos

Riesgos prevenibles

6

3

7

41

2

5

9

8

10

1° 2° 3° 4° 5° 6° 7° 8° 9°

10°

Reputación y protección de la marcaNuevas tecnologíasLiquidez y gestión de capital de trabajoEstabilidad política, regulatoria y económicaCybersecurity y soporte de TICumplimiento regulatorio y contractualOperación, eficiencia y productividadMercado y competidoresRiesgos laboralesVolatilidad del precio de los commodities

8°-

9°6°

12°2°1°4°--

Ranking de los 10 riesgos más críticos 2019Evolución de su relevancia en

comparación con 2017

En un entorno de constante ebullición, propio de una economía emergente como la nuestra, en el que el empresariado recorre por primera vez un camino que no tiene trazo, mirar hacia el costado puede ayudar a encontrar puntos de referencia para descubrir atajos. Nuesta aspiración con este estudio es contribuir con nuestra comunidad empresarial, proveyéndole de esos puntos de referencia.

Renato Urdaneta - Socio de EY Perú

“


4. Los cinco riesgos más críticos de cada sector en 2019

A continuación se muestran los cinco riesgos más críticos por cada sector y su posición en comparación con los resultados obtenidos en la edición previa de 2017.

Agro y Pesca1° Condiciones climatológicas2° Estabilidad política, regulatoria y económica3° Exigencias sanitarias4° Mercado y competidores5° Volatilidad del precio de los commodities

Energía y Electricidad1° Estabilidad política, regulatoria y económica2° Cumplimiento regulatorio y contractual3° Cybersecurity y soporte de TI4° Operación, eficiencia y productividad5° Planificación estratégica para crecer

Construcción1° Reputación2° Estabilidad política, regulatoria y económica3° Liquidez y gestión de capital de trabajo4° Operacionales y gestión de terceros5° Mercado y competidores

Manufactura1° Mercado y competidores2° Operación, eficiencia y productividad3° Estabilidad política, regulatoria y económica4° Liquidez y gestión de capital de trabajo5° Riesgos laborales

5°-

2°1°-

2°1°-

5°3°

---

4°3°

-2°1°5°-

Riesgos priorizados por las empresas en 2019 Ranking 2017

Estratégicos Externos

Prevenibles


Prevenibles


Prevenibles


Prevenibles

1

1

1

1

4

4

4

4

5

5

5

5

3

3

3

3

2

2

2

2


Retail y Consumo masivo1° Reputación y protección de la marca2° Nuevas tecnologías3° Mercado y competidores4° Crédito5° Pérdidas y cuidado patrimonial

Petróleo y Minería1° Conflictos sociales y relaciones con comunidades2° Estabilidad política, regulatoria y económica3° Nuevas tecnologías4° Seguridad y salud5° Volatilidad del precio de los commodities

Transporte y Comunicaciones1° Reputación y protección de la marca2° Cumplimiento regulatorio y contractual3° Operación, eficiencia y productividad4° Estabilidad política, regulatoria y económica5° Confianza y satisfacción del cliente

Servicios1° Integridad y fraude2° Reputación y protección de la marca3° Operación, eficiencia y productividad4° Estabilidad política, regulatoria y económica5° Riesgos laborales

Educación1° Reputación2° Cybersecurity y soporte de TI3° Cumplimiento regulatorio y contractual4° Nuevas tecnologías5° Admisión deserción

--

1°4°-

1°4°-

2°5°

5°1°2°3°4°

5°3°1°-

2°

-----

Riesgos priorizados por las empresas en 2019 Ranking 2017


Prevenibles


Prevenibles


Prevenibles


Prevenibles


Prevenibles

1

1

1

1

1

4

4

4

4

4

5

5

5

5

5

3

3

3

3

3

2

2

2

2

2


5. ¿Cómo gestionan las empresas sus riesgos?

Establecimiento de una función formal responsable de la gestión de riesgos

Al inicio, la gestión de un riesgo es un ejercicio que por lo general se lleva a cabo de forma intuitiva. Así ocurre también en los negocios. Conforme la gerencia se alerta de la existencia de un riesgo, busca inmediatamente la forma de mitigarlo. Si ese riesgo tiene una naturaleza permanente y es percibido como crítico, la gerencia adoptará medidas para gestionarlo de manera acorde, como por ejemplo a través de la asignación formal de responsabilidades de control interno. Esta secuencia da lugar al establecimiento de las primeras funciones o incluso áreas de gestión de riesgos, como por ejemplo seguridad industrial o créditos y cobranzas, por citar las más comunes.

Conforme el negocio crece y, con él, su exposición, los esfuerzos dedicados a las iniciativas aisladas de mitigación pueden tornarse ineficientes o, peor aún, inconsistentes. Cuando llega ese momento, resulta necesario establecer medidas articuladoras, que dan lugar a las funciones o áreas de riegos, cuyo encargo es liderar los esfuerzos de mitigación y garantizar su consistencia y alineamiento con el apetito de riesgo que define la alta dirección.

Un área de importancia creciente para los Directores y que guarda estrecha relación con la estrategia corporativa es la gestión de riesgos de la empresa. Esta gestión conlleva la supervisión de las rendiciones de cuenta y responsabilidades en el manejo de riesgos, debiendo especificarse los tipos y el grado de riesgo que una empresa está dispuesta a asumir para cumplir sus objetivos y cómo gestionará los riesgos derivados de sus operaciones y relaciones.

Principios de Gobierno Corporativo - OECD y G20

“


Análisis por sector


Manufactura

Construcción

Educación

Servicios

Transportes y Comunicaciones

Agropecuario y Pesca

Retail y Consumo masivo


72%

60%

56%

45%

45%

43%

37%

27%

25%

Nuestro estudio muestra que el 46% de los altos ejecutivos encuestados manifestaron que sus empresas han establecido formalmente un área responsable de la gestión de riesgos.

Proporción de empresas que manifestaron haber establecido un área de gestión de riesgos

46%


Conformación de una función de gestión de riesgos en relación a los ingresos

Al relacionar la proporción de empresas con una función de gestión de riesgos y el nivel de sus ingresos, observamos una correlación positiva entre ambas variables.

Proporción de empresas con funciones de gestión de riesgos de acuerdo con sus niveles de ingresos

+1000

500 - 1000

250 - 500

100 - 250

50 - 100

0 - 50

70%

85%

63%

44%

42%

25%

10%

13%

10%

2%

8%

13%

Ranking 2017Ingresos USD MM


Por otro lado, en comparación con la primera edición del estudio de 2017, se observa un notable incremento en el establecimiento o implementación de áreas o funciones de gestión de riesgos en las empresas de casi todos los niveles de ingresos.

Cantidad de personas que conforman el área de gestión de riesgos por nivel de ingresos

Esta segunda edición del estudio nos muestra que existe una correlación directa entre la cantidad de personas que conforman las áreas de gestión de riesgos y el nivel de ingresos de las empresas participantes; es decir, cuanto mayores los ingresos, indicativos de mayor complejidad del negocio, más grande el equipo que las empresas declaran tener para atender el encargo de la función coordinadora de la gestión de riesgos.

Política de gestión de riesgos

El diseño e implementación de políticas que ofrezcan pautas para la identificación y tratamiento de los riesgos es una práctica líder entre empresas con gobiernos corporativos robustos. Es una convención que estas políticas sean aprobadas por los Directorios y, por ende, estén alineadas con el apetito de riesgo definido por la empresa.

Según nos muestra el estudio, esta es aún una práctica incipiente entre las empresas que participaron del estudio. Apenas el 17% de ellas cuentan con una política de esta naturaleza.

Tamaño del área de gestión de riesgos en función del nivel de ingresos

Personas

IngresosUSD MM

7

6

5

4

3

2

1

0

0 - 50 50 - 100 100 - 250 250 - 500 500 - 1000 1000+

2

3.53

4

5

7


Riesgos gestionados por las empresas

A continuación se muestran los tipos de riesgos que los ejecutivos que participaron de este estudio declararon gestionar formalmente en sus empresas; es decir, siguiendo una metodología estándar y con un adecuado nivel de supervisión periódico, tanto de la gerencia como del Directorio.

Como se puede observar, los riesgos más gestionados son los operativos, de cumplimiento y tecnológicos. Por otro lado, en una menor proporción, las empresas manifestaron gestionar riesgos de fraude, estratégicos y reputacionales.

Proporción de empresas que cuentan con una política de gestión de riesgos

Proporción de tipos de riesgos gestionados

17% 83%Sí No

Operativos

Cumplimiento

Tecnológicos

Financieros

Fraude

Estratégicos

Reputacionales

73%

72%

55%

41%

38%

35%

35%

Las políticas reflejan la visión de la dirección sobre lo que debe hacerse para llevar a cabo el control. Dicha visión puede documentarse por escrito y plasmarse expresamente en otras comunicaciones o bien de manera implícita a través de las decisiones y medidas adoptadas por la dirección.

Control Interno – Marco Integrado COSO 2013

“


Línea de reporte de la gestión de riesgos

Teniendo en cuenta que la gestión de riesgos es consubstancial de la definición y gestión de la estrategia, es una buena práctica que su supervisión sea una labor permanente de la gerencia, y que esta sea reportada al Directorio con una frecuencia apropiada.

Como se observa en la mayoría de las empresas participantes de esta segunda edición del estudio, la línea de reporte más común de la función de gestión de riesgos es exclusivamente a la gerencia (CEO), con un 60%; sin embargo, en una proporción creciente de empresas, que representa el 40%, ya se observa la práctica de que el reporte sea elevado, además, al Directorio.

Frecuencia de reporte de la gestión de riesgos

La alta dirección debe definir una frecuencia apropiada para recibir reportes periódicos sobre las iniciativas de gestión de riesgos. Esta debe adaptarse al tono y apetito que definan, desde lo alto, el Directorio y la gerencia, de forma tal que les permitan ejercer, de forma diligente y efectiva, su labor de supervisión.

De acuerdo con los resultados de nuestro estudio, la frecuencia más común de reporte de la gestión de riesgos es mensual, como se observa en el siguiente gráfico.

A quién reporta la gestion de riesgos

Proporción de empresas según frecuencia con la que se reporta la gestión de riesgos

60% 40%Gerencia Directorio

Anual

18%

Trimestral

28%

Semestral

9%

Mensual

45%

El 87% de los requerimientos normativos de los países incluidos en el alcance de la revisión asignan el rol de supervisión de la gestión de riesgos al Directorio, ya sea como un requisito legal o como una buena práctica recomendada.

OECD - Corporate Governance Factbook 2019

“


6. Oportunidades de mejora para fortalecer la gestión de riesgos

A continuación se muestran, según la percepción de los altos ejecutivos que participaron en el estudio, los principales aspectos sobre los cuales se requieren mejoras para potenciar la gestión de riesgos en sus organizaciones:

Principales oportunidades de mejora para la gestión de riesgos

Optimización de procesos

Cultura de control

Gestión de reportes

Soporte de sistemas

Políticas y procedimientos

Competencias del personal

Prevención, integridad y

fraude

Segregación de funciones

Estructura organizacional

68%

65%

50%

47%

38%

35%

22%

19%

17%

Como se puede observar, los aspectos más comúnmente identificados como prioritarios para el fortalecimiento de la gestión de riesgos son la optimización de procesos, el fortalecimiento de la cultura de control y la gestión de reportes a la alta dirección.


7. Ambiente de control

El ambiente de control está significativamente condicionado por el tono que define la alta dirección. El código de conducta es un reflejo de su declaración, mientras que los canales de denuncia tienen la capacidad de constituirse como herramientas muy potentes para facilitar su implementación.

Establecimiento y difusión de un código de conducta

El código de conducta es una herramienta de gobierno a través de la cual el Directorio define formalmente cuáles son los estándares de comportamiento que deben guiar la conducta de los miembros de la organización en el ejercicio de sus respectivos encargos.

Una ventaja de contar con esta herramienta es que los componentes de la cultura organizacional, que en ella se ponen de manifiesto, son elevados implícitamente a nivel de compromiso ante la sociedad, los cuales, con una adecuada supervisión desde lo alto, pueden llegar a interiorizarse hasta convertirse en parte del ADN de la organización.

De acuerdo con el Código de Gobierno Corporativo para las Sociedades Peruanas de la SMV, las empresas deben designar a un responsable para el seguimiento del cumplimiento del código de conducta. Esta persona debe llevar un registro ordenado de los incumplimientos de las disposiciones establecidas en dicho código y reportar al gerente general.

El 96% de las empresas que participaron de este estudio revelaron tener un código de conducta. Esta proporción es superior en 17% a lo identificado en nuestra primera edición.

Empresas que tienen un código de conducta

96%

Se entrega durante la incorporación de cada nuevo trabajador

Es de fácil acceso y de conocimiento público

Se ratifica o firma periódicamente

2019 2017

98%

48%

97%

39%

69%

67%


Canales de denuncias

De acuerdo con los resultados obtenidos de este estudio, el 75% de empresas manifestó contar con canales de denuncias. Si se evalúa esta proporción segmentando la muestra en dos grupos, separando las empresas listadas de las no listadas, se observa que el segmento de empresas listadas concentra la mayor proporción de entidades que cuentan con esta herramienta.

Proporción de empresas que cuentan con canales de denuncias

75%

Empresas no listadas

Empresas listadas

2019 2017

73%

86%

44%

65%


8. Plan de contingencias, crisis y continuidad

Las organizaciones están permanentemente expuestas a riesgos de continuidad que, por lo general, tienen una probabilidad de ocurrencia relativamente baja, pero un impacto potencial muy alto de interrumpir sus operaciones o generar daños inconmensurables sobre su capacidad de operar normalmente. Ante esto, los planes de contingencias, de gestión de crisis y de continuidad del negocio se han erigido como las medidas de mitigación preferidas por la comunidad de negocios, pues han sido probadas con éxito.

Como se puede observar, el 61% de empresas participantes manifiesta contar con un plan de contingencias, de continuidad del negocio, o similar. Sin embargo casi en su mayoría corresponden a planes aislados o focalizados en un pequeño grupo de riesgos críticos. La brecha que, según el estudio, aún está pendiente de cerrar, es la de implementar un plan integral que esté basado en un análisis exhaustivo de riesgos de continuidad, análisis BIA (Business Impact Analysis) y en metodologías probadas tal como aquella establecida por la ISO 22301.

Promedio de empresas que refieren contar con un plan de contingencia, continuidad o similar por sectores

61%


Retail yConsumo masivo

Construcción

Agropecuario y Pesca

Educación

Servicios

80%

70%

67%

67%

63%

60%

50%

44%

40%

Los sectores en los que se observan, con mayor frecuencia, empresas con planes de respuesta ante amenazas de interrupción operacional son los de Petróleo y Minería, con un 80%.

Manufactura



El objetivo es identificar y documentar las prioridades, procedimientos, responsabilidades y recursos para ayudar a la organización a gestionar un incidente disruptivo, mientras implementa estrategias de continuidad y recuperación para un nivel de servicio predeterminado.

Lineamiento de buenas prácticas 2013 - Instituto de Continuidad de Negocio

“


9. Programa de prevención de riesgos de corrupción

Nuestra legislación nacional regula la creación de un modelo de prevención en las organizaciones acorde con su naturaleza y con las características propias del negocio mediante la Ley de responsabilidad administrativa de la persona jurídica.

Nuestro estudio muestra que el 68% de las empresas participantes han adoptado o se encuentran en proceso de adaptación de este requerimiento. En adición, deja ver que existe una alta correlación positiva entre el nivel de ingresos de las empresas y la adopción de estos programas.

Proporción de empresas que cuentan con un programa de prevención de riesgos de corrupción en función de sus niveles de ingresos 68%

IngresosUSD MM

0 - 50 50 - 100 100 - 250 250 - 500 500 - 1000 1000+

47% 50%

83%78%

89%

100%


10. Estrategia y desempeño

Una alta proporción de empresas declara tener un proceso formal de planeamiento estratégico

La definición formal de objetivos y estrategias es, según el marco de referencia para la gestión de riesgos empresariales COSO 2017, un componente indispensable de una gestión de riesgos diligente y eficaz, pues sobre la base de esta se puede definir el apetito, así como identificar y priorizar riesgos y establecer medidas de mitigación consistentes.

A continuación, se muestra el nivel de madurez de las compañías respecto a sus prácticas de planificación estratégica. Nuestro estudio muestra que el 71% declara tener un proceso formal de planeamiento estratégico.

Empresas que han implementado un proceso formal de planeamiento estratégico

71%Cuentan con un proceso formal de planeamiento estratégico

Tienen un plan, pero este no ha sido formalizado

No existe un plan estrégico, pero si se han definido objetivos

No se han definido objetivos ni tampoco un plan estratégico

95%

95%

90%

83%

70%

44%

60%

63%

63%

Cuando se les preguntó a las empresas que cuentan con un proceso formal de planeamiento estratégico si realizan un seguimiento periódico sobre su cumplimiento, un 87% respondió que sí lo hacen.

12%

13%

4%


Educación


Servicios

Construcción

Agroy Pesca


Manufactura



Evaluación de desempeño del personal

La capacidad de atraer, desarrollar y retener a los profesionales que mejor se ajusten a los perfiles que la empresa necesita para lograr sus estrategias y objetivos es un elemento fundamental de una gestión de riesgos efectiva.

Las evaluaciones del desempeño del personal son una herramienta clave para potenciar esta capacidad, pues fuerzan a los líderes de la organización a definir formalmente qué competencias necesitan, y luego los retan en el difícil ejercicio de determinar si lo que tienen satisface esa necesidad, para tomar acciones correctivas orientadas siempre a la mejora.

De las empresas participantes, el 86% manifestó que cuenta con un programa de evaluación de desempeño del personal. De la misma manera, se identificó que conforme mayor es en el nivel de ingresos, mayor es la proporción de empresas que realiza una evaluación formal del desempeño de sus colaboradores.

Proporción de empresas que cuentan con un programa de evaluación del desempeño de su personal

86%

+1000

500 - 1000

250 - 500

100 - 250

50 - 100

0 - 50

95%

95%

88%

78%

83%

75%

Ingresos USD MM


Innovación en las organizaciones

Contar con áreas o funciones que tengan el encargo formal de la innovación es una tendencia global que cuenta con gran acogida entre empresas líderes.

El 57% de los ejecutivos que participaron de este estudio manifestaron que sus organizaciones cuentan con iniciativas de innovación. Según se puede ver, las industrias que muestran una mayor proporción de empresas con esta iniciativa son las de retail, consumo masivo, energía y electricidad.

Proporción de empresas que cuentan con iniciativas de innovación 57%

Muy alto

Alto

Medio

Bajo

Muy bajo

Nivel de madurez de las estrategias digitales para la adaptación al cambio

La ola de la transformación digital trae consigo nuevos riesgos de los que se debe ocupar la alta dirección, y la adaptación de las organizaciones resulta ahora una necesidad. Esto se deja ver en los resultados del estudio, que nos muestran el nivel de madurez percibido por los ejecutivos entrevistados sobre la implementación de estrategias digitales.

Nivel de madurez percibido de las estrategias digitales

Cybersecurity Internet of things

Data analytics ArtificialIntelligence

Robotics Blockchain


Tablero de control gerencial

Los tableros de control facilitan la supervisión de la alta dirección sobre el cumplimiento de los objetivos trazados y permiten interpretar el insumo más abundante, que es la data, así como la información útil para la toma de decisiones.

De acuerdo con nuestro estudio, el 74% de las empresas cuentan con un tablero de control gerencial que, en su gran mayoría, se genera de forma semiautomática.

Proporción de empresas que cuentan con tableros de control gerenciales

Naturaleza de los tableros

usados74%

Análisis por industria



Transporte y Comunicaciones

Educación

Manufactura


Agro y Pesca

Servicios

Construcción

95% 5%

95% 5%

80% 20%

60% 40%

50% 50%

13% 87%

33% 67%

33% 67%

40% 60%

Sí cuentan con una función de innovación No cuentan con una función de innovación

53% Semiautomático

41% Manual

6% Automático

La función de auditoría interna es un brazo del Directorio, cuyo propósito es soportarlo en su labor de supervisión y asesoría a la gerencia en la gestión de riesgos empresariales.

De acuerdo con el Instituto de Auditores Internos (IIA, por sus siglas en inglés) la auditoría interna es una actividad independiente y objetiva, de aseguramiento y consulta, concebida para agregar valor a las organizaciones y contribuir con el logro de sus objetivos, aportando un enfoque sistemático y disciplinado para evaluar la efectividad de los procesos de gestión de riesgos, control y gobierno, y mejorarlos.

Al llegar a este punto en la lectura del presente estudio, queda claro que la gestión de riesgos es más que una responsabilidad de la gerencia; es una necesidad de primer orden en el ejercicio diligente del encargo más alto que esta recibe del Directorio, el cual consiste en la ejecución de la estrategia y el logro de los objetivos.

En esta misma línea de ideas, una empresa que enfrenta desafíos complejos necesita una función de auditoría interna que esté a la altura del reto de proveer a sus dos stakeholders principales, el Directorio y la gerencia, de un soporte efectivo que contribuya con su seguridad de que los riesgos que pueden afectar el logro de los objetivos están razonablemente mitigados con los esfuerzos que la gerencia ha dispuesto. De ese rol se deriva la independencia como un atributo fundamental de la función.

Este capítulo aborda los elementos más relevantes que caracterizan a las funciones de auditoría interna en las empresas que participaron en el estudio. Entre los aspectos que en él se abordan se encuentran su conformación, naturaleza, independencia, recursos, herramientas, perfiles y otras consideraciones relevantes del ejercicio de su encargo.


42


1. Conformación de una función de auditoría interna

El 87% de las empresas participantes en nuestro estudio manifestó contar con una función de auditoría interna. Esta proporción se incrementó en 4% en comparación con el dato recogido en la primera edición de este estudio, en 2017, indicativo de que existe una mayor tendencia a conformar esta función entre las empresas peruanas.

Cuando se consultó a los ejecutivos de las empresas que aún no cuentan con una función de auditoría interna acerca del porqué de esta situación, recibimos distintas respuestas, entre las cuales las más citadas fueron que aún no tienen el nivel de madurez suficiente y que perciben tener las cosas bajo control.

Proporción de empresas que manifiestan haber constituidouna función de auditoría interna

Cuanto mayores los ingresos de las empresas, mayor es la tendencia a contar con una función de auditoría interna

Al analizar la proporción de empresas que han conformado una función de auditoría interna en perspectiva con sus niveles de ingresos, observamos que existe una correlación positiva entre ambas variables.

87%

83%

¿Por qué no?

43% Aún les falta madurez29% Perciben tener las cosas bajo control14% Bajo volumen de operaciones14% Limitaciones de presupuesto

2019

2017

Sí No

Constitución de una función de auditoría interna en correlación con los ingresos

1000 +

500 – 1000

250 – 500

100 – 250

50 – 100

0 - 50

100%

100%

100%

89% 11%

81% 19%

69% 31%

Tienen auditoría interna No tienen auditoría interna

Ingresos USD MM

13%

17%


Naturaleza de la función de auditoría interna: propia o tercerizada

Al establecer su función de auditoría interna, una organización puede optar por hacerlo enteramente con recursos propios o contar con el apoyo (parcial o completo) de una empresa especializada.

Corresponde a cada empresa determinar el tipo de estructura que se acomoda más a sus necesidades, en función de la evaluación conjunta de diversos criterios, entre los que destacan: el tamaño de la organización, el nivel de madurez de sus prácticas de gobierno corporativo, su presupuesto, los recursos de los que dispone, entre otras.

De las empresas participantes que cuentan con una función de auditoría interna, el 28% indicó que esta es tercerizada. Esta proporción se incrementó en 10% en comparación con la que mostró la primera edición de este estudio en 2017.

El rol estratégico de la función de auditoría interna

Las empresas con prácticas robustas de gobierno corporativo tienen funciones de auditoría interna sólidas y les otorgan un rol estratégico en la organización. La labor más importante de la función de auditoría interna es evaluar que el sistema de control interno mitigue apropiadamente los riesgos críticos. Como parte de su función, la auditoría interna debe identificar también los riesgos emergentes.

La auditoría interna puede ayudar a convertir los riesgos en oportunidades, mediante la identificación de mejoras en los procesos de negocios, y la adopción prácticas líderes en gestión de riesgos.

Como parte de este estudio, se evaluó la percepción que tienen los altos ejecutivos de las empresas participantes sobre el rol estratégico que cumplen sus funciones de auditoría interna.

Naturaleza de la función de auditoría interna

2019

2017

Auditoría interna tercerizadaAuditoría interna propia

28%

18%

72%

82%

Las principales razones que impulsan a las empresas a tercerizar sus funciones de auditoría interna, se muestran a continuación ordenadas en función de la frecuencia observada:

Fabiola Juscamaita - Associate Partner de EY Perú

• Contar con personal especializado y calificado

• Obtener mayor independencia

• Acceder a prácticas líderes

• Focalizarse en el core del negocio

• Menores costos laborales

“


Planes para la incorporación de una función de auditoría interna

Según el Instituto de Auditores Internos, una actividad de auditoría interna dedicada, independiente y eficaz, ayuda tanto a la gerencia, como al cuerpo de supervisión (por ejemplo, el comité de dirección o el comité de auditoría) a cumplir sus responsabilidades, aportando un enfoque sistemático y disciplinado para evaluar la eficacia del diseño y la ejecución del sistema de control interno y los procesos de gestión de riesgos.

La evaluación objetiva del control interno y de los procesos de gestión de riesgos por parte de la actividad de auditoría interna proporciona a la gerencia, al cuerpo de supervisión y a las terceras partes interesadas, aseguramiento independiente de que los riesgos de la organización han sido apropiadamente mitigados.

Como se puede apreciar, los resultados de nuestro estudio muestran que una proporción mayor de las empresas que no cuentan con una función de auditoría interna tiene planes de incorporar una en el futuro cercano.

Nuestro estudio muestra un incremento en la percepción de los ejecutivos sobre el rol estratégico que ocupan sus funciones de auditoría interna con relación al 2017.

Proporción de empresas que planean incorporar una función de auditoría interna

Empresas que planean

incorporar una función de AI

Percepción del rol que ocupa la función de auditoría interna en la organización: En su opinión, ¿su función de AI ocupa un rol estratégico?


2019

2019

No 36% 34%50% 36%

Sí 64% 66%50% 64%

20172017

2017

2019

Ante la creciente necesidad de que la auditoría interna brinde más valor agregado y apoyo estratégico, los auditores deben asegurarse que su trabajo esté alineado con los riesgos significativos, especialmente los riesgos estratégicos y operativos.La auditoría interna debe ser receptiva y adaptable a un entorno de riesgo dinámico.

Global Perspectives and Insights 2018: Top Risks faced by Chief Audit Executives– Instituto de Auditores Internos (IIA)

“

53%56%

Tercerizada40%

Propia60%


2. Atributos de la función de auditoría interna

En esta sección abordamos los atributos más relevantes con los que debe contar una función de auditoría interna, de acuerdo con el Instituto de Auditores Internos:

• Independencia y objetividad• Aptitud y cuidado profesional

Percepción de independencia de la función de auditoría interna

78% 22%

58% 42%

2019

2017

Sí No

a) Independencia y objetividad

Con el objetivo de que la función de auditoría interna tenga la capacidad de ejercer efectivamente su labor, esta debe estar libre de conflictos de intereses que puedan afectar su objetividad. Por esa razón, es una práctica de gobierno muy valorada que esta función sea independiente de la gerencia y reporte directamente al Directorio.

Como parte de nuestro estudio, se evaluó la percepción que tienen los ejecutivos de las empresas que cuentan con una función de auditoría interna sobre la independencia que tiene esta con respecto a la gerencia.

Como resultado, se observó que existe una mayor percepción de independencia en las empresas en comparación con la que mostró la primera edición de este estudio en 2017.


Línea de reporte de la función de auditoría interna

Una condición necesaria para cumplir con el principio de independencia de la función de auditoría interna es que esta no dependa jerárquicamente de la gerencia ni reporte funcionalmente a ella; su línea de reporte debe ser al Directorio y al comité de auditoría. Esto implica que el auditor interno debe asistir regularmente a las sesiones del Directorio o del comité de auditoría, y en ellas reportar los resultados de su gestión.

Reporte de la función de auditoría interna

El siguiente cuadro muestra la línea de reporte de las funciones de auditoría interna de las empresas participantes, clasificadas en función de su naturaleza: propia y tercerizada.

Los resultados muestran un ligero incremento en la proporción de funciones de auditoría interna que reportan al Directorio, con relación al 2017. En adición, se observa que las funciones tercerizadas tienden a tener reportes al Directorio en mayor proporción que las funciones propias.

Línea de reporte de las funciones de auditoría interna


2019

Gerencia 41% 33%42% 38%

Directorio 59% 67%58% 62%

20172017 2019


Reporte al Directorio por cada nivel de ingresos

IngresosUSD MM

0 - 50 50 - 100 100 - 250 250 - 500 500 - 1000 1000+

Cuanto mayores los ingresos de las empresas, más frecuente es que sus funciones de auditoría interna reporten al Directorio

Los resultados del estudio muestran que las empresas de mayores ingresos tienden a ejercer mayor supervisión por parte de su Directorio sobre las funciones de auditoría interna.

Independencia: percepción vs. realidad

Si bien el reporte al Directorio es un atributo importante, este no es suficiente para determinar que una función de auditoría interna es realmente independiente. Para ello, se deben tener en cuenta otros factores, como por ejemplo: la no participación en actividades que serán objeto de auditoría y la no subordinación a la gerencia, principalmente.

De acuerdo con las normas internacionales para el ejercicio profesional de la auditoría interna del IAI, para garantizar la independencia, se considera que el director de auditoría interna debe reportar a dos niveles:

• A nivel funcional: al Directorio o comité de auditoría, sobre actividades directamente relacionadas a su función.

• A nivel administrativo: a la gerencia general, sobre asuntos vinculados con presupuestos, recursos humanos, comunicación y flujos internos de información.

63%

37%

67%

33%

63%

37%69%

31% 86%

14%

45%

55%

El Director de auditoría interna no puede por sí mismo determinar la independencia de su función y el lugar que ocupa en el organigrama de la organización; él necesita la ayuda del Directorio y de la alta dirección para conseguir una independencia real.

Marco Internacional para la práctica profesional de la AI 2017 – Instituto de Auditores Internos (IIA)

“

GerenciaDirectorio


Este cuadro muestra un análisis comparativo entre la percepción de independencia que las empresas participantes tienen sobre su función de auditoría interna y un criterio objetivo de independencia observable, como lo es su línea de reporte al Directorio.

Como se puede apreciar, la percepción que tienen las empresas sobre la independencia de sus funciones de auditoría interna es, por lo general, superior a la que se puede apreciar de manera estructural.

En adición, el estudio muestra que las empresas que tienen funciones de auditoría interna tercerizadas tienen una mayor percepción de independencia y, en la práctica, reportan con mayor frecuencia al Directorio.

Percepción de independencia vs. reporte al Directorio

Auditoría interna propia

Reporte al Directorio 59% 67%

Percepción de independencia 67% 96%

Auditoría interna tercerizada


b) Aptitud y cuidado profesional

El marco internacional para la práctica profesional de la auditoría interna indica que las labores de AI deben ser llevadas a cabo con diligencia. Para ello, la función de auditoría interna debe estar adecuadamente constituida; es decir, debe contar con un tamaño óptimo, perfiles idóneos en el equipo, así como una adecuada mezcla de conocimientos, aptitudes y competencias necesarias para cumplir apropiadamente con sus responsabilidades.

Cantidad de profesionales del equipo de auditoría

De acuerdo a nuestro estudio, en relación al número de profesionales de los equipos de auditoría interna de las empresas participantes, se puede observar que existe una correlación positiva entre el nivel de ingresos de las empresas que participaron en el estudio y el tamaño de su equipo de auditoría interna.

Asesoramiento y asistencia

El marco internacional para la práctica profesional de la auditoría interna indica que el auditor interno puede contar con asesoramiento externo especializado o asistencia competente en caso de que el equipo de auditores internos carezca de los conocimientos y las aptitudes para ejecutar la totalidad o parte del plan anual de auditoría interna.

Cantidad de profesionales promedio de los equipos de auditoría interna en función al nivel de ingresos de las empresas

IngresosUSD MM

Tamaño promedio

12

10

8

6

4

2

0

0 - 50 50 - 100 100 - 250 250 - 500 500 - 1000 1000+

4.14.3

5.35.4

11

3.5


Como se puede apreciar, existe una alta proporción de empresas que subcontratan servicios especializados. Esta necesidad es superior en 4% a lo identificado en nuestra primera edición de 2017. Los servicios que más frecuentemente se contratan están relacionados con la tecnología de la información, control interno, servicios antifraude y evaluaciones forenses.

Nivel de satisfacción de la alta dirección sobre la función de auditoría interna

Como se puede apreciar, el sentir de la mayoría de ejecutivos que participaron del estudio es de satisfacción con relación a su función de auditoría interna y, en cada caso, el nivel de satisfacción general de las funciones de auditoría interna tercerizadas es, en promedio, mayor que el de las propias. Con relación a la función de auditoría interna tercerizada, el 47% manifestó que esta satisface sus expectativas, mientras que, una proporción similar, que las excede (29%) o excede significativamente (18%).

Proporción de empresas que subcontratan servicios especializados

20192017

TI

Control interno

Fraude forense

Outsourcing

Evaluación de la función de AI

Auditorías laborales

SOX

Corporate Compliance

Tipos de servicios subcontratados

22%

19%

18%

11%

10%

4%

6%

7%

Muy por debajode las expectativas

5% -

Dentro de lasexpectativa

42% 47%

Por debajode las expectativas

14% 6%

Supera lasexpectativas

23% 29%

Muy por encimade las expectativas

16% 18%

Función tercerizadaFunción propia

65% 69%


3. Plan de auditoría basado en riesgos

La función principal del área de auditoría interna es brindar seguridad sobre la efectividad del diseño y funcionamiento de las estrategias de mitigación sobre los riesgos más críticos de la organización. Para atender ese encargo, la función de auditoría interna debe asignar eficientemente sus recursos. Esta tarea se realiza a través de la elaboración de un plan basado en riesgos, que se derive de la definición formal de los objetivos y estrategias del negocio, y el apetito de riesgo, aprobados por el Directorio.

Los resultados de nuestro estudio muestran que la gran mayoría de empresas que ha constituido una función de auditoría interna manifiesta que esta cuenta con un plan de auditoría basado en riesgos. Esta proporción ha incrementado significativamente (en 25%) con relación a la edición anterior de este estudio, situación que refleja un mayor interés por la programación del trabajo y la búsqueda del alineamiento con los objetivos y estrategias corporativas.

Al analizar la información desde la perspectiva del ingreso, se observa una correlación positiva entre esta variable y la proporción de funciones de auditoría interna que elaboran planes de auditoría basados en riesgos. Es decir, cuanto mayores son los ingresos, mayor es el esfuerzo por planificar el trabajo de la función de la auditoría interna, con el objetivo de asegurarse de abordar, dentro de un ejercicio, los asuntosmás relevantes y estratégicos para el negocio.

Elaboración de un plan de auditoría en función de los ingresos

Proporción de funciones de auditoría interna que basan sus actividades en un plan de auditoría basado en riesgos

IngresosUSD MM

100%

80%

60%

40%

20%

0%

0 - 50 50 - 100 100 - 250 250 - 500 500 - 1000 1000+

40% 50%73% 75%

95%100%

86% 14%

61% 39%

2019

2017

Sí No


4. Presupuesto de la función de auditoría interna

La función de auditoría interna debe tener un presupuesto propio, el cual debe ser aprobado por el Directorio. Idealmente, este debe ser revisado anualmente, en conjunto con el plan de auditoría basado en riesgos.

El siguiente gráfico muestra, de manera resumida el presupuesto promedio de las empresas participantes en comparación con el nivel de ingresos de sus empresas.

Como se puede apreciar, cuanto mayores son los ingresos de las empresas, más alto es el presupuesto asignado a la función de auditoría interna.

Presupuesto de auditoría interna

IngresosUSD MM

Miles (USD)

500

450

400

350

300

250

200

150

100

50

0

0 - 50 50 - 100 100 - 250 250 - 500 500 - 1000 1000+

171

232

294

320

468

183


EY PerúPaulo PantigosoCountry Managing [email protected]

Jorge AcostaSocio líder de Consultorí[email protected]

Elder [email protected]

Francisco [email protected]

Giuliana [email protected]

Fabiola [email protected]

Gastón [email protected]

DeclaraciónEsta publicación contiene información en forma resumida y está pensada solamente como una guía general de referencia y de facilitación de acceso a información. Este documento de ninguna manera pretende sustituir cualquier investigación exhaustiva o la aplicación del criterio y conocimiento profesional. Asimismo, la constante dinámica de los mercados y su información resultante puede ocasionar la necesidad de una actualización de la información incluida en este documento. EY no se hace responsable por los resultados económicos que alguna persona, empresa o negocio pretenda atribuir a la consulta de esta publicación. Ante la necesidad de resolver cualquier duda o consulta sobre los asuntos abordados en esta publicación o relacionados con ellos, les recomendamos contactarnos.

Marco [email protected]

Cecilia [email protected]

Ángel [email protected]

Pablo [email protected]

Renato [email protected]


EY | Auditoría | Consultoría | Impuestos | Transacciones y Finanzas Corporativas

Acerca de EYEY es la firma líder en servicios de auditoría, impuestos, transacciones y consultoría. La calidad de servicio y conocimientos que aportamos ayudan a brindar confianza en los mercados de capitales y en las economías del mundo. Desarrollamos líderes excepcionales que trabajan en equipo para cumplir nuestro compromiso con nuestros stakeholders. Jugamos un rol fundamental en la construcción de un mundo mejor para nuestra gente, nuestros clientes y nuestras comunidades.

Para más información visite ey.com

© 2019 EYAll Rights Reserved.

EY | Auditoría | Consultoría | Impuestos | Transacciones y Finanzas Corporativas

LimaAv. Víctor Andrés Belaúnde 171Av. Jorge Basadre 330San Isidro - LimaTeléfono: +51 (01) 411 4444

ArequipaAv. Bolognesi 407Yanahuara - ArequipaTeléfono: +51 (054) 484 470

ChiclayoAv. Federico Villarreal 115, Salón CintoChiclayo - LambayequeTeléfono: +51 (074) 227 424

TrujilloAv. El Golf 591, Urb. Del Golf III Etapa,Víctor Larco Herrera 13009, Sala PuémapeTrujillo - La LibertadTeléfono: +51 (044) 608 830

Servicios de Consultoría Promoviendo el desarrollo de una ......6. Oportunidades de mejora para...

Documents

Transcript of Servicios de Consultoría Promoviendo el desarrollo de una ......6. Oportunidades de mejora para...