EY - Gestión de Riesgo y Gobierno Corporativo PDF

Servicios de Consultoría
Promoviendo
el desarrollo
de una cultura
de prevención
Estudio de gobierno, gestión
de riesgos y auditoría interna
Abril 2017
Promoviendo el desarrollo de una cultura de prevención |

Contenido
| Promoviendo el desarrollo de una cultura de prevención

I Gobierno de riesgos
1 El rol del Directorio 8
2 Atributos del Directorio 9
II Gestión de riesgos
1 Marco de referencia de la gestión de riesgos 18
2 Los quince riesgos más críticos 25
3 ¿Cómo gestionan las empresas sus riesgos? 30
4 Herramientas de gestión de riesgos 37
5 Oportunidades de mejora para fortalecer la gestión de riesgos 39
6 Ambiente de control 40
7 Plan de contingencias, crisis y continuidad 46
8 Función de cumplimiento 47
III Auditoría interna

1 Conformación de la función de auditoría interna 52
2 Atributos de la función de auditoría interna 56
3 Enfoque en riesgos 65
4 Plan de auditoría basado en riesgos 67
5 Presupuesto de la función de auditoría interna 68
6 Herramientas de soporte 69
IV Resumen ejecutivo 72
V Ficha técnica 80
Promoviendo el desarrollo de una cultura de prevención |

Bienvenida
El gobierno y la gestión de riesgos, así como los controles y el ejercicio
de la función de auditoría interna, cobran significativa relevancia en
un entorno de intensos cambios y condiciones adversas por las que
atraviesan las organizaciones hoy en día, tanto en el Perú como a nivel
internacional.
En EY no podemos ser indiferentes a esta necesidad, y buscamos

compartir con nuestros clientes y amigos, así como con la comunidad
empresarial peruana, nuestros conocimientos y experiencias
para impulsar el desarrollo de una cultura de gobierno, gestión de
riesgos y auditoría interna. En este contexto, hemos realizado en
nuestro país un primer Estudio de Gobierno, Gestión de Riesgos y
Auditoría Interna, el cual busca compartir las tendencias en dicha
materia, compararlas sectorialmente y promover buenas prácticas
que fomenten el control y fortalezcan el gobierno corporativo de
las empresas peruanas, a fin de colaborar con el desarrollo de un
ambiente de trabajo sostenible y alerta ante los eventos de riesgo.
Deseamos agradecer a aquellos que participaron en nuestro estudio

y realmente valoramos el tiempo que se tomaron en compartir sus
experiencias. Esperamos que esta información sea de mucha utilidad
en la gestión de riesgos y control interno de sus compañías.
En EY nos encontramos a su disposición para atenderlos en lo que

ustedes pudiesen requerir para desarrollar sus prácticas de gestión de
riesgos, control interno y auditoría interna, así como para fortalecer
sus operaciones y ampliar su crecimiento.
Jorge Acosta
Socio líder de Consultoría
EY Perú
Introducción
El riesgo es un factor inherente al negocio. Es la incertidumbre
sobre la vulnerabilidad, exposición de los procesos y sobre las
amenazas externas que podrían obstaculizar el cumplimiento de los
objetivos estratégicos. Su apropiada identificación, gestión y control
debe contribuir a la consecución de esos objetivos, a optimizar los
márgenes y a mejorar el relacionamiento con los grupos de interés.
La forma como las organizaciones gestionan sus riesgos cobra
significativa relevancia en un entorno complejo, diverso y de creciente
velocidad de cambio, como el que atraviesan las organizaciones hoy
en día en el Perú.
La manera como las empresas gobiernan y gestionan sus riesgos en

la práctica puede diferir sustancialmente. Los modelos o sistemas
de gestión de riesgos dependen de factores como el tamaño de la
organización, la cultura empresarial, el nivel de supervisión, el nivel
de madurez, la composición accionaria, entre otros. Si bien existen
diversos marcos y códigos de gobierno con buenas prácticas sugeridas
de gestión de riesgos y auditoría, no existe un modelo o estructura
única que satisfaga todas las necesidades y se adapte perfectamente
a todo tipo de empresa. El mejor modelo de gestión de riesgos es
aquel que se diseña específicamente para atender las necesidades
evolutivas de la empresa y de sus accionistas.
En EY Perú tenemos el firme compromiso de ayudar a impulsar el

desarrollo empresarial mediante el estudio y difusión de buenas
prácticas de gestión de riesgos, con la finalidad de fomentar una
cultura de prevención y control en las empresas, que contribuya a un
mejor ambiente de negocios en nuestra comunidad. En este sentido,
les presentamos nuestro primer Estudio de Gobierno, Gestión de
Riesgos y Auditoría Interna de empresas peruanas, desarrollado
para difundir en nuestra comunidad empresarial, las principales
tendencias y prácticas de gobierno, gestión de riesgos y auditoría
interna de un grupo representativo de grandes empresas peruanas,
con la finalidad de promover su fortalecimiento y colaborar con el
desarrollo de un ambiente de negocios saludable.
El presente estudio se realizó entre setiembre de 2016 y enero de

2017 mediante entrevistas a ejecutivos de 133 empresas peruanas.
Las entrevistas fueron realizadas principalmente con miembros
del Directorio, Gerentes Generales y otros directivos clave de las
empresas participantes, a fin de obtener una mejor representación
de la percepción real de la alta dirección en relación a la estructura de
gobierno y sistemas de riesgos, control y auditoría.
4
Los resultados de nuestro estudio se presentan en las siguientes tres
secciones:
I. Gobierno de riesgos: Recoge las principales prácticas de gobierno

corporativo en materia de gestión de riesgos y control interno.
Incluye aspectos tales como las estructuras del gobierno de riesgos,
conformación de comités especializados, independencia del
Directorio, entre otros;
II. Gestión de riesgos: Presenta un análisis de los riesgos más críticos

según la percepción de los ejecutivos entrevistados, la forma en que
los gestionan, las herramientas utilizadas y el ambiente de control
para darles una respuesta apropiada; y
III. Auditoría Interna: Damos a conocer cuán alineadas están las

empresas participantes a los estándares internacionales de la
auditoría interna, su conformación y diversidad de profesionales,
herramientas de soporte, uso de servicios especializados de
terceros, entre otros.
Agradecemos a todas las empresas y ejecutivos entrevistados que

hicieron posible el desarrollo de este estudio y esperamos poder
contribuir y promover buenas prácticas empresariales de gobierno,
gestión de riesgos y auditoría interna en nuestra comunidad
empresarial.
Renato Urdaneta Fabiola Juscamaita

Director líder de Riesgos Directora de Riesgos
EY Perú EY Perú
I
Gobierno de riesgos
6 | Promoviendo el desarrollo de una cultura de prevención

Estudios recientes muestran que mitigar los riesgos que

amenazan el logro de objetivos, generalmente se expresan
en función de los ingresos y la rentabilidad esperada. En
consecuencia, el fortalecimiento de las prácticas de gobierno
corporativo, es una iniciativa prioritaria para el Directorio y los
altos ejecutivos.
El principio de gobierno más importante de una organización

es, sin duda, la definición del plan estratégico y su
supervisión. Por otra parte, la gestión de riesgos es un
elemento consubstancial de la función de planeamiento
estratégico, pues permite identificar las principales amenazas
que enfrenta una organización para el logro de sus objetivos
y darles un tratamiento adecuado. Por esa razón, el gobierno
de riesgos, cuya responsabilidad máxima es atribuible al
Directorio, es un elemento siempre abordado en la bibliografía
académica, en los códigos de buen gobierno corporativo y
está cada vez más presente en la regulación societaria de los
países económicamente más desarrollados.
Este capítulo analiza cómo cierto grupo de empresas

peruanas organizan y estructuran el gobierno de sus riesgos.
Para ello, el estudio evaluó los atributos más relevantes
que caracterizan a sus Directorios para ejercer su labor.
Los aspectos que se abordan en esta sección incluyen,
principalmente: la cantidad de miembros que los conforman,
su independencia y especialización.
Promoviendo el desarrollo de una cultura de prevención | 7

1.
El rol del Directorio
El Directorio es el máximo ente de gobierno en una organización, es
elegido por la Junta General de Accionistas y tiene la labor de guiar
el rumbo de la empresa. Está constituido por personas naturales y
tiene la condición de órgano colegiado; por esa razón, los acuerdos
"
Los Directores
independientes pueden
contribuir significativamente
a las decisiones corporativas
adoptados por él expresan su posición unitaria sobre los asuntos que
atañen a su competencia. importantes, especialmente
en lo relativo a evaluar el
Es considerado el núcleo del gobierno corporativo de una empresa. En desempeño y determinar
la Guía práctica de Gobierno Corporativo, la Corporación Financiera la remuneración de la alta
Internacional (IFC por sus siglas en inglés) lo define como el órgano Gerencia y miembros del
que da forma y moldea al resto de estructuras dentro de la empresa
Directorio, revisar estados
y quien es –además- el responsable de implementar las buenas
prácticas de gobierno corporativo, así como de supervisar su efectivo
financieros y manejar
cumplimiento. situaciones sensibles a los
conflictos de interés. La
Lo anterior nos da una idea de la complejidad y amplitud de sus presencia de Directores
funciones y nos ayuda a entender el porqué de la necesidad que independientes genera
tienen las organizaciones de conformar Directorios capaces de mayor confianza en la
cumplir con éxito su labor. El Banco de Desarrollo de América Latina
"
imparcialidad de las
(CAF), en sus lineamientos para un código latinoamericano de
gobierno corporativo, señala que la profesionalización del Directorio decisiones del Directorio.
agrega valor al capital de la empresa, maximiza el rendimiento de las
Jorge Acosta,
inversiones y permite la alineación de intereses de los accionistas.
Socio líder de consultoría
de EY Perú
Responsabilidad del Directorio en el gobierno de riesgos
Las prácticas líderes de gobierno corporativo coinciden en que la tarea

más importante del Directorio es la designación del Gerente General, y
que sus principales responsabilidades incluyen también la aprobación
de la estrategia y la supervisión de la gestión del negocio.
La estrategia del negocio incluye, de manera consubstancial, la

gestión de los riesgos capaces de comprometer el logro de los
objetivos de la empresa. Ser el máximo ente de gobierno de la
organización y, por consiguiente, el responsable de la definición de
la estrategia, hace del Directorio, de manera inherente, también el
órgano responsable de supervisar la gestión de riesgos, cuya labor
recae en la Gerencia.

2.
Atributos del Directorio
En esta sección nos ocupamos de tres atributos considerados clave en
la conformación del Directorio para facilitar su labor de supervisión
de la gestión de riesgos del negocio; estos son: la independencia de
sus miembros, la cantidad de directores y la especialización, con la
" El Directorio debe ser
capaz de pronunciarse
con objetividad sobre los
asuntos de la empresa […].
finalidad de hacer un uso eficiente y organizado de la diversidad de Para cumplir su deber de
perfiles de quienes lo conforman. controlar el desempeño de la
dirección, evitar los conflictos
Independencia del Directorio de intereses y lograr un
equilibrio entre las exigencias
La independencia es entendida como un atributo fundamental con el contrapuestas que se dan en
que debe contar el Directorio para poder ejercer de forma objetiva sus la empresa, es fundamental
responsabilidades, que incluyen -principalmente y por encima de todas
que el Consejo pueda realizar
las cosas- actuar siempre de buena fe en beneficio de la empresa y
juicios de valor objetivos.
de sus accionistas en conjunto, y no de un grupo en particular. Por
En primer lugar, ello exige
esa razón, una práctica generalmente considerada líder en materia de
gobierno corporativo es la inclusión de directores que sean realmente
independencia y objetividad
independientes, tanto de la Gerencia, como de los accionistas. respecto de la dirección, con
importantes consecuencias
para la composición y la
Inclusión de miembros independientes estructura del Consejo. En
estas circunstancias, esta
No Sí
incluye independientes incluye independientes independencia requiere, por
Sector 36% 64%
lo general, que un número
"
Transportes y comunicaciones 7% 93%
Servicios 17% 83% suficiente de consejeros sea
Energía y electricidad 20% 80% ajeno a la dirección.
Comercio y consumo masivo 23% 77%
Manufactura 33% 67%
Minería 44% 56%
Principios de Gobierno Corporativo
Construcción 48% 52% - Organización para la Cooperación
Agropecuario y pesca 62% 38% y el Desarrollo Económico (OECD)
Hidrocarburos 63% 38%
En nuestro estudio, el 64% de las empresas participantes incorporan

en su Directorio, al menos, a un miembro independiente.
En adición, los tres sectores que incluyen una mayor proporción de

independientes en la composición de sus Directorios son: transportes
y comunicaciones, servicios y energía y electricidad.
Proporción de miembros independientes
En el Perú no existe una ley que requiera la inclusión de miembros

independientes en los Directorios de las empresas, como ya existen en
otros países de la región. Sin embargo, en los códigos representativos
de gobierno corporativo se establece este criterio como una práctica
fundamental.

El código de buen gobierno corporativo para las sociedades
peruanas de la Superintendencia del Mercado de Valores (SMV),
es de cumplimiento voluntario, pero de reporte obligatorio para las
empresas listadas en la Bolsa de Valores de Lima (BVL), ésta promueve
que las empresas incorporen una proporción mayor de miembros
independientes en su Directorio.
Como antes indicamos, de acuerdo con los resultados de nuestro

estudio, las empresas participantes que tienen miembros
independientes en la composición de sus Directorios representan el
64% de muestra analizada. Esta proporción se compone de la siguiente
manera:
Proporción de miembros independientes
56%
de las empresas tiene miembros independientes en
una proporción menor a un tercio de su Directorio.
18%
la proporción de independientes excede a un tercio,
pero es menor a la mitad del Directorio.
26%
la proporción de independientes excede a la mitad
del Directorio. Proporción de
miembros
independientes
del Directorio
Número de miembros del Directorio
La Junta General de Accionistas define el número óptimo de miembros

para su Directorio, en función a la complejidad de su labor y a las
responsabilidades a las que este órgano de gobierno debe hacer
frente.
A continuación se muestra la distribución del número de directores en

las empresas que participaron de nuestro estudio. Se observa que el
número de directores más frecuente es siete, y que en el 77% de casos,
éste fluctúa entre cinco y diez miembros.

Distribución del número de miembros de los Directorios
% de empresas
Media 6.63
" El número de miembros del
Directorio debe ser definido
por cada empresa de
acuerdo a sus circunstancias
30 27% y éste no debe ser excesivo
24% ni insuficiente ya que en
ambos casos obstaculizarían
"
20
la eficiencia y eficacia de los
procesos de decisión.
12%
10 8% 8%
Renato Urdaneta,
6% Media 7.74
5% Director líder de riesgos de
4% 3% EY Perú
2% 0% 1%
0%
3 4 5 6 7 8 9 10 11 12 13 14 15
Cantidad de
directores
Total de empresas evaluadas
Grandes empresas listadas (ingresos > S/2 mil millones)
De acuerdo con nuestro estudio:
77%
de las empresas tienen Directorios cuyo
39%
de las empresas tienen Directorios cuyo número
número de miembros fluctúa entre cinco de miembros fluctua entre siete y nueve.
y diez directores.
En el grupo de grandes empresas listadas, el 78%
de estas cuentan con un Directorio cuyo número
de miembros fluctúa entre siete y once.
De acuerdo con el IFC, sobre la base de un La CAF establece que “... el tamaño óptimo
estudio comparativo de 30 documentos dependerá de la dimensión de la propia
y códigos de gobierno corporativo de 22 compañía, lo que en una buena parte de los
países, sólo dos documentos de referencia casos justificaría que se fijara un número de
indican que el número ideal de miembros del siete o nueve miembros.”
Directorio es entre cinco y diez.
Asimismo, “en el caso de grandes empresas
listadas, este número podría ser elevado
hasta once.”

Los negocios más complejos requieren de Directorios
más grandes.
Cuanto mayores son los ingresos de las compañías,
más miembros tienen sus Directorios.
No existe una definición precisa de cuál es el número óptimo de

miembros que un Directorio debe tener. Las prácticas y principios
líderes de gobierno corporativo establecen que el número de
directores es un elemento clave en la efectividad de su gestión, y que
" Un Directorio efectivo tiene
varios elementos relevantes,
como su número de
miembros y experiencia, su
éste debe definirse en función de la complejidad del negocio y de las
responsabilidades a las que el Directorio debe hacer frente. conocimiento, especialidad
y habilidad, su capacidad
De esta premisa se desprende que cuanto mayor es la complejidad y de cuestionar de forma
el tamaño de una empresa, mayor debe ser el número de miembros imparcial a la Gerencia y dar
"
de su Directorio; sin embargo, también hay que tener en cuenta que asesoría estratégica para la
diversos estudios demuestran que Directorios cuyo tamaño excede
conducción de la empresa.
el nivel óptimo que demanda el ejercicio de sus responsabilidades,
tienden a ser ineficientes y restan valor a la organización. Fabiola Juscamaita,
Directora de riesgos de EY Perú
En el gráfico siguiente se muestra que existe una correlación positiva
entre el nivel de ingresos de las empresas que participaron en el
estudio (el nivel de ingresos puede ser entendido como un indicador
del nivel de complejidad de su negocio) y el tamaño de su Directorio;
es decir, cuanto mayores son los ingresos de una empresa, más
miembros tiene su Directorio.
Relación entre el nivel de ingresos de una empresa y el número

de miembros de su Directorio
Promedio de cantidad de directores Industria

Agropecuario y pesca 5.00
S/0 – S/500 S/500 - S/2,000 Más de S/2,000
Energía y electricidad 5.33
Comercio y consumo masivo 6.00
Transportes y comunicaciones 6.20
5.85 7.50 7.69 Servicios 6.25

Hidrocarburos 6.40
Manufactura 6.60
Minería 8.00
Construcción 8.14
0 2 4 6 8 10
Ingresos
S/ (Millones)
En adición, el segundo gráfico muestra los tamaños medios de los

Directorios por sector. En él se observa que el sector que cuenta con
Directorios de mayor tamaño es construcción (tamaño promedio:
8.14), mientras que los Directorios con menor cantidad de miembros
se encuentran en los sectores agropecuario y pesca (tamaño
promedio: 5.00) y energía y electricidad (tamaño promedio: 5.33)

Condición de impar
De acuerdo con los principios líderes de buen gobierno corporativo,
para facilitar el proceso de toma de decisiones, la cantidad de
"
Sería recomendable que
el número de directores
fuera impar, para evitar
"
la formación de posibles
miembros que conforman el Directorio debe ser impar. Los resultados
de nuestro estudio muestran que el 68% de las empresas participantes empates.
tienen un Directorio cuyo número de miembros es impar. Asimismo,
Lineamientos para un Código
como se puede apreciar en el siguiente gráfico, cuanto mayor es
Latinoamericano de Gobierno
la cantidad de miembros del Directorio, mayor es la proporción de
Corporativo – Banco de Desarrollo
Directorios que cuentan con un número de miembros impar.
de América Latina (CAF)
Condición de impar
Cantidad Par Impar

de miembros 32% 68%
Menos de 5 17% 29% 71%
Entre 5 y 10 77% 77% 23%
Más de 10 6% 71% 29%
En muchas empresas, el quórum del Directorio se obtiene con la mitad

más uno de sus miembros. La imparidad del numero de Directores en
ocasiones facilita la toma de decisiones al no permitir el empate.
Especialización
En la conformación de un Directorio no sólo se debe tener en cuenta el
tamaño correcto, sino además contar con una adecuada diversidad de
perfiles entre sus miembros, con la finalidad de optimizar el desarrollo
de sus dinámicas y desarrollar eficazmente su labor.
"
La especialización permite
al Directorio abordar
eficientemente un mayor
número de asuntos
complejos, logrando que los
Como se ha analizado previamente, conforme se incrementa la
complejidad del negocio, tiende a incrementarse también el tamaño especialistas se centren en
de los Directorios, y con él, la diversidad de sus miembros. Por esa temas específicos y ofrezcan
"
razón, la conformación de comités especializados del Directorio un análisis detallado al
es comúnmente aceptada como una buena práctica de gobierno Directorio.
corporativo porque promueve la optimización en el uso de sus
recursos; es decir, la eficiencia. Guía Práctica de Gobierno
Corporativo - Corporación
Financiera Internacional
(IFC 2010)

Comités especializados
Como resultado de este estudio se observó que el 67% de las

empresas participantes manifestaron haber constituido comités
"Los comités contribuyen
a mejorar la eficacia del
Directorio, permitiendo
la supervisión y un
especializados. En adición, estas empresas manifestaron que sus
"
comités sesionan, en promedio, cuatro veces al año. análisis pormenorizado de
determinados sectores.
En el siguiente gráfico se puede apreciar que el comité comúnmente
conformado es el comité de auditoría. Este porcentaje se respalda Lineamientos para un código
latinoamericano de Gobierno
con el estudio realizado por la voz de la empresa1, según el cual,
el 90% de las empresas que conforman el Índice de Buen Gobierno
Corporativo de la Bolsa de Valores de Lima (IBGC) cuentan con este
comité.
Conformación de comités especializados
No Sí
Auditoría 5% 95%
Compensaciones 68% 32%
No Sí Riesgos 81% 19%

33% 67% Gob. Corporativo 83% 17%
Nominaciones 86% 14%
Otros 89% 11%
"
Comités de auditoría y frecuencia de sesión El principal cometido
del Comité de Auditoría
El rol del comité de auditoría es crucial, pues tiene el encargo de
vigilar las labores de auditoría financiera y revisar el control interno en será asistir al Directorio
la organización. en sus funciones de
vigilancia mediante
Nuestro estudio muestra cómo están organizados los comités la evaluación de los
de auditoría de las empresas participantes. Según los resultados procedimientos contables,
obtenidos, el 64% de las empresas que participaron de nuestro
el relacionamiento con el
estudio manifestó haber conformado un comité de auditoría. De este
grupo, 62% cuenta con un comité conformado localmente, 24% con
Auditor externo y la revisión
"
un comité corporativo y 14% con ambos. Por otro lado, el 66% de de la arquitectura de control
comités de auditoría conformados cuenta, al menos, con un director de la sociedad.
independiente.
Lineamientos para un código
latinoamericano de Gobierno
1Publicación que incluye un análisis de los reportes de cumplimiento de los principios de Buen Gobierno Corporativo
presentados por los emisores más líquidos a la SMV - 2015.

Finalmente, se observó que en el 96% de los casos, las empresas que

tienen un comité de auditoría están siendo auditadas por una de las
cuatro firmas de auditoría globales más grandes, conocidas como las
“big four1”.
Conformación de un comité de auditoría

Ambos Los comités de auditoría de las empresas están
14%
conformados según los siguientes niveles:
Ubicación
• Corporativo: tiene un alcance sobre el grupo
del comité
empresarial.
de auditoría
• Local: su gestión alcanza unicamente a la
Corporativo Local
24% 62% empresa.
Cuenta al
No Sí
menos con un 34% 66% El comité de auditoría está conformado, en el
director
66% de los casos, por al menos un director
No Sí independiente
36% 64% independiente.
en su
conformación
Big four
96%
Proporción
El 96% de las empresas participantes son
de firmas
auditadas por las big four.
auditoras
Otros
4%
De acuerdo con nuestro estudio, el 70% de las empresas que

declararon haber constituido un comité de auditoría señaló que este
comité sesiona al menos trimestralmente; es decir, cuatro o más veces
al año.
A continuación se resumen los resultados obtenidos:

Veces que sesiona
en un año
4+ 25% 70%
de los comités evaluados
4 45% sesionan cuatro o más
veces al año.
3 5%
2 20%
1 5%
0 10 20 30 40 50 %
1Big Four: Las firmas auditoras más influyentes del mundo.

II
Gestión de riesgos

Una adecuada gestión integral de riesgos permite a las empresas

obtener mejores resultados económicos y operativos, siempre y
cuando esté alineada a la estrategia del negocio y esté inmersa en
la cultura y en el ADN de la organización. Estos son dos factores
críticos que facilitan el proceso de identificación y evaluación
de riesgos y contribuyen a la determinación de la estrategia del
negocio y a la definición de la estructura de control necesaria para
reducir la exposición de los mismos.
Este capítulo presenta cómo gestionan actualmente sus riesgos

las empresas que participaron del estudio. Los principales
aspectos que se abordan en esta sección incluyen: el análisis
de los riesgos más críticos según la percepción los ejecutivos
entrevistados, los tipos de riesgos que gestionan las empresas, la
forma en la que lo hacen y las herramientas en las que se basan
para realizar esta labor.

1.
Marco de referencia de la gestión
de riesgos
El marco de referencia de gestión de riesgos más utilizado por
las empresas peruanas es el Marco Integrado de Gestión de
Riesgos Empresariales, denominado “COSO ERM - Enterprise Risk
Management”. Este marco de referencia de riesgos y control interno
fue publicado por la Comisión COSO (Committee of Sponsoring
Organizations of the Treadway Commision) en el año 2004 y reúne
prácticas líderes relacionadas con el diseño, la implementación, el
desarrollo y monitoreo de riesgos empresariales. Según COSO ERM,
la Gestión de riesgos es un proceso que desarrolla el Directorio,
el Gerente General y la Alta Gerencia de una compañía, y debe
decantarse al resto de colaboradores de la organización.
El diseño e implementación de una gestión de riesgos y de un sistema

de control interno efectivo representa un desafío cada vez más
grande para las organizaciones que buscan lograr mayor eficiencia
y efectividad en sus operaciones. Los nuevos modelos de negocio,
el cambio acelerado de éstos, el mayor uso y dependencia de la
tecnología, el aumento de los requisitos regulatorios y el mayor
análisis que ello supone, exigen que el sistema de gestión de riesgos y
control interno sea ágil y flexible a la hora de adaptarse a los cambios
que se produzcan en el entorno del negocio.
Una gestión de riesgos y un sistema de control interno efectivo

requieren el compromiso y el convencimiento de la alta dirección
acerca del valor que genera la función, así como un constante
entrenamiento de los niveles intermedios y operativos. El Directorio y
la Alta Gerencia deben utilizar su criterio profesional para determinar
los niveles de apetito al riesgo que la empresa esta dispuesta a tolerar.
Las características fundamentales de la gestión de riesgos son:
• Debe estar orientada al logro de los objetivos estratégicos,

operacionales, de información y de cumplimiento.
• Debe decantar en tareas y actividades continuas alineadas a la

estrategia.
• Debe ser un proceso continuo efectuado por personas. Es decir, no

se trata solamente de la definición de manuales, políticas, sistemas
y formularios, sino de acciones ejecutadas por el personal de cada
nivel de la organización para llevar a cabo actividades de control que
mitiguen riesgos de negocio.

Es de conocimiento público que en el segundo

trimestre de 2017 será publicada la versión
actualizada de este marco de referencia.
• Debe ser capaz de proporcionar una seguridad razonable al

Directorio y a la alta Gerencia sobre el logro de objetivos, al tener
identificados y gestionados los principales riesgos que enfrenta la
organización.
• Debe ser adaptable a la estructura de la entidad y aplicable a los

diversos niveles que ésta tenga, así como a las regiones geográficas
donde opera (entidad en general, división, unidad operativa o
proceso de negocio en particular).
Componentes del Marco COSO ERM
El Marco COSO ERM considera ocho componentes de control interno

para la gestión de riesgos.
Objetivos del negocio
ico al ión en
to
ég cion ac mi
at ra rm li
tr e o mp
Es Op Inf
Cu
Niveles de
Unidad de negocio
Ambiente de control
Subsidiaria
la organización
Definición de objetivos
NIvel de entidad
División
Identificación de eventos de riesgo

Componentes de Evaluación de riesgos
control interno
Respuesta a los riesgos
Actividades de control
Información y comunicación
Monitoreo
Monitoreo

1. Ambiente de control
El ambiente de control es la base filosófica y conjunto de normas,

procesos y estructuras sobre la que se construye la gestión de
riesgos y el sistema de control interno en la entidad. El Directorio
y la alta dirección son quienes marcan el “Tone at the Top” con
respecto a la importancia de la gestión de riesgos y control
interno, así como los estándares de conducta esperados dentro
de la entidad. La alta Gerencia refuerza las expectativas sobre la
gestión de riesgos y control interno en los distintos niveles de la
organización.
El ambiente de control incluye la integridad y los valores éticos

de la organización; los parámetros que permiten al Directorio
llevar a cabo sus responsabilidades de supervisión del gobierno
corporativo; la estructura organizacional y la asignación de
autoridad y responsabilidad; el proceso de atraer, desarrollar y
retener a profesionales competentes; y el rigor aplicado a las
medidas de evaluación del desempeño, así como los esquemas de
compensación para incentivar la responsabilidad por los resultados
del desempeño. El ambiente de control de una organización tiene
una influencia muy relevante en el resto de componentes de la
gestión de riesgos y control interno.
2. Definición de objetivos
Es el proceso por el cual se establecen los objetivos estratégicos,

operacionales, de información y de cumplimiento, con suficiente
claridad y detalle para permitir la identificación, evaluación y
respuesta de los riesgos con impacto potencial en dichos objetivos.
3. Identificación de eventos de riesgo
Cada entidad se enfrenta a una gama diferente de riesgos

procedentes de fuentes externas e internas. El riesgo se define
como la posibilidad de que un acontecimiento ocurra y afecte
negativamente al logro de los objetivos.
Identificar riesgos implica relevar y documentar el inventario de

riesgos que puedan afectar el logro de los objetivos estratégicos,
operacionales, de información y de cumplimiento de la entidad. La
identificación consiste en examinar las posibles fuentes de riesgos
determinando cuáles son aquellos hechos, acciones u omisiones
que podrían afectar adversamente al negocio, debido a factores

externos o internos. Los factores externos incluyen factores

económicos, medioambientales, políticos, sociales y tecnológicos.
Los factores internos reflejan las selecciones que realiza la entidad
e incluyen la infraestructura, personal, procesos y tecnología.
4. Evaluación de riesgos
La evaluación de riesgos implica un proceso dinámico e iterativo

para analizar y valorar los riesgos respecto de la consecución de los
objetivos. De este modo, la evaluación de riesgos constituye la base
para determinar cómo se gestionarán.
Los riesgos se evalúan de acuerdo con el apetito de riesgos

definido por la alta Gerencia. Usualmente se emplean dos criterios
de valoración: probabilidad de ocurrencia e impacto de la posible
materialización de los eventos de riesgo.
• Probabilidad de ocurrencia: Grado de posibilidad de que ocurra

el evento de riesgo en un período de tiempo determinado,
o conocer cuántas veces históricamente ha ocurrido, o qué
posibilidad existe de que ocurra en el futuro.
• Impacto: Nivel de exposición de la compañía ante un riesgo, o

cuantía de la pérdida financiera o no financiera que se pudiera
generar si ocurriera el evento de riesgo.
5. Respuesta a los riesgos
Es el proceso de selección de una estrategia de tratamiento o

gestión de los riesgos, a fin de minimizar su impacto o probabilidad
de ocurrencia. Las estrategias de respuesta a los riesgos se
deberán seleccionar de acuerdo al nivel o severidad del riesgo,
así como al apetito y/o tolerancia al riesgo que ha definido la alta
Gerencia.
Entre las estrategias de respuesta a los riesgos se encuentran las

siguientes:
• Mitigar: Establecer controles, o fortalecer los existentes, para

disminuir el impacto del riesgo.
• Reducir: Establecer controles, o fortalecer los existentes, para

disminuir la probabilidad de ocurrencia del riesgo.

• Transferir: Transferir a un tercero la administración del riesgo.
• Retener: Conservar el riesgo sin tomar ninguna acción adicional

más que su adecuado monitoreo.
• Explotar: Aceptar niveles de riesgo altos para aprovechar

oportunidades.
• Evitar: Dejar de realizar la actividad que genera el riesgo.
6. Actividades de control
Son actividades que contribuyen a garantizar que se lleven a

cabo las instrucciones de la Gerencia para mitigar los riesgos con
impacto potencial en los objetivos. Las actividades de control se
ejecutan en todos los niveles de la entidad, en las diferentes etapas
de los procesos de negocio y en el entorno tecnológico.
Según el momento de ocurrencia, las actividades de control

pudiesen ser detectivas (por ejemplo autorizaciones, verificaciones,
conciliaciones y revisiones del desempeño) o preventivas (por
ejemplo: entrenamiento, difusión de políticas y procedimientos);
y según el grado de automatización, pudiesen ser manuales,
automáticos o dependientes de sistemas de tecnología de
información.
La segregación de funciones forma parte de las actividades

de control que implica mantener separadas las actividades
potencialmente conflictivas entre sí. En aquellas áreas en las que
no es posible una adecuada segregación de funciones, la Gerencia
debe desarrollar actividades de control compensatorias.
7. Información y comunicación
La información es necesaria para que la entidad pueda llevar a cabo

sus responsabilidades de gestión de riesgos y control interno, y dar
soporte al logro de sus objetivos. La Dirección necesita información
relevante y de calidad, tanto de fuentes internas como externas,
para apoyar el funcionamiento de los otros componentes de la
gestión de riesgos y control interno. La comunicación es el proceso
continuo de proporcionar, compartir y obtener la información
necesaria.

La comunicación interna es el medio por el cual la información

se difunde a través de toda la organización, que fluye en sentido
ascendente, descendente y a todos los niveles de la entidad. Esto
hace posible que el personal pueda recibir de la alta Gerencia un
mensaje claro de que las responsabilidades de control deben ser
tomadas seriamente.
La comunicación externa persigue dos finalidades: comunicar,

de fuera hacia el interior de la organización, información externa
relevante y proporcionar información interna relevante de dentro
hacia fuera, en respuesta a las necesidades y expectativas de
grupos de interés externos.
8. Monitoreo
Son actividades orientadas a la supervisión de la gestión de riesgos

y el sistema de control interno, a través de evaluaciones continuas,
a manera de autoevaluación por parte de los dueños de procesos;
evaluaciones independientes, a cargo de auditoría interna,
contraloría, auditores externos, entre otras; o una combinación de
ambas, a fin de determinar si cada uno de los componentes de la
gestión de riesgos y control interno, están presentes y funcionan
adecuadamente.
Las evaluaciones continuas, que están integradas en los procesos

de negocio en los diferentes niveles de la entidad, suministran
información oportuna. Las evaluaciones independientes, que se
ejecutan periódicamente, pueden variar en alcance y frecuencia
dependiendo de la evaluación de riesgos, la efectividad de las
evaluaciones continuas y otras consideraciones de la dirección. Los
resultados se evalúan comparándolos con los criterios establecidos
por los reguladores o prácticas líderes, y las deficiencias se
comunican al Directorio o Gerencia, según corresponda.

Ventajas de la gestión de riesgos
Son múltiples las ventajas de tener implementada una gestión

de riesgos existosa, las cuales se resumen en contar con un sano
equilibrio entre el control de las amenazas que pudiese afectar el
logro de los objetivos del negocio y el incremento de la rentabilidad
y productividad. Con este equilibrio, la Gerencia estaría en mejores
condiciones de enfocarse en el desarrollo de la estrategia y en mejorar
los sistemas de gobierno.
Preservar el patrimonio de los accionistas

A través de la identificación de oportunidades de
Fortalecer el control interno y sus control que ayuden a mitigar los riesgos de pérdida
líneas de defensa económicas u operativas
Verifica que los recursos de la
compañía se empleen de manera Mejorar la eficiencia y
efectiva y estén protegidos de automatización de procesos
1
apropiaciones indebidas Al identificar oportunidades de mejora
9 que están directamente relacionadas
2 a la mitigación de re-procesos
Buscar oportunidades
de optimización de
costos y ahorros 8 Enfocar más la estrategia
A través del involucramiento
Beneficios de la Al contar con procesos robustos
3
oportuno y proactivo en la gestión integral y riesgos mitigados, la gerencia
identificación de sobrecostos puede focalizarse más en el
de riesgos
desarrollo de su estrategia
7 4
Mejorar los sistemas de
administración y gobierno Mayor confianza en los inversionistas y
Plantea y difunde prácticas líderes y 6 5 resto de stakeholders
brinda oportunidades de sensibilización Al establecer mecanismos de control
sobre la importancia de la gestión preventivos y correctivos sobre la
integral de riesgos información financiera y no financiera, así
como los planes de continuidad del negocio
Identificar y/o prevenir riesgos

de integridad y de fraude Dar cumplimiento a las leyes y normas aplicables
A través de un análisis de los riesgos A través del análisis y establecimiento de controles para
relacionados con la oportunidad, racionalización dar cumplimiento a la regulación externa, así como a los
y presión para el logro de objetivos códigos, políticas y normas internas

2.
"
Los quince riesgos más críticos Es un proceso efectuado
Como parte del estudio se consultó a los principales ejecutivos de las por el Directorio, Gerencia
empresas que participaron acerca de los riesgos que más preocupan a y otros miembros del
la alta dirección. personal, alineado a la
estrategia y aplicado a lo
Los resultados fueron agrupados en función de la clasificación largo de la organización,
estándar propuesta por el marco de referencia integrado COSO1, que
diseñado para identificar
define cuatro categorías de riesgos: estratégicos, operacionales, de
información y de cumplimiento. eventos potenciales de
riesgos, de acuerdo a su
A continuación se presentan los quince riesgos más críticos según la apetito de riesgo, de modo
percepción de los altos ejecutivos de las empresas participantes. Estos de proveer seguridad
se muestran gráficamente en el siguiente radar, cuyo punto central razonable respecto al
representa los mayores desafíos, y con ellos, los riesgos más críticos.
"
logro de los objetivos de la
organización.
Radar de los quince riesgos más críticos
COSO ERM
Estratégicos Operacionales
4. Mercado 1. Eficiencia y
5. Selección y ejecución de la estrategia productividad
6. Condiciones político - económicas 3. Seguridad y
8. Marca y reputación salud
15. Competencia 15 7. Gestión humana
10 12 10. Continuidad
11. Abastecimiento
5 12. Tecnologías de la
6 información
3 11
8
1
4 7
+
2
Información 9 Cumplimiento
13
9. Liquidez 2. Contingencias
13. Crédito legales
14. Fraude
14
Menor criticidad Mayor criticidad
1Committee of Sponsoring Organizations of the Treadway Commission (COSO), quien provee lineamientos y guías para la
gestión de riesgos, control interno y disuasión de fraude.

Riesgos críticos por sector
Estos quince riesgos han sido clasificados por sector, y priorizados en

función de su nivel de criticidad, el cual fue determinado de acuerdo
a la cantidad de menciones recibidas por parte de los ejecutivos
entrevistados.
Listado de los quince riesgos más críticos
Nivel de criticidad de riesgo de acuerdo a cada sector

Riesgos Agropecuario Comercio y Energía y
Construcción
y Pesca Consumo Masivo Electricidad
1. Eficiencia y
productividad
● ● ● ●
2. Contingencias legales ● ● ● ●
3. Seguridad y salud ● ● ● ●
4. Mercado ● ● ● ●
5. Selección y ejecución de
la estrategia
● ● ● ●
6. Condición político -
económicas
● ● ● ●
7. Gestión humana ● ● ● ●
8. Marca y reputación ● ● ● ●
9. Liquidez ● ● ● ●
10. Continuidad del negocio ● ● ● ●
11. Abastecimiento de
materias primas y ● ● ● ●
suministros
12. Tecnologías de la
información
● ● ● ●
13. Crédito ● ● ● ●
14. Fraude ● ● ● ●
15. Competencia ● ● ● ●

Criticidad
● Alta
Hidrocarburos Manufactura Minería Servicios
Transportes y
● Media
Comunicaciones
● Baja
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●
● ● ● ● ●

Cincos riesgos principales por sector
• Agropecuario y pesca
E O
1: Mercado R1 R3
2: Exigencias sanitarias R4
3: Eficiencia y productividad R2 R5
4: Gestión humana
5: Medioambiental
I C
• Comercio y consumo masivo

E O
R5 R4
1: Selección y ejecución de la estrategia
R1 R2
2: Gestión humana
3: Contingencias legales
R3
4: Eficiencia y productividad
5: Condiciones político - económicas
I C
• Construcción R5
E O
R4
1: Seguridad y salud
R3 R1
3: Mercado R2
5: Tecnologías de la información
I C
• Energía y electricidad
E R5 O
R4
R2 R3
2: Condiciones político-económicas
3: Selección y ejecución de la estrategia R1
4: Gestión humana
5: Eficiencia y productividad I C
• Hidrocarburos
E O
R4
R3
1: Seguridad y salud
R2 R1
2: Marca y reputación
4: Continuidad R5
5: Contingencias legales I C

• Manufactura
E O
1: Condiciones político - económicas R2
R1
R3
4: Contingencias tributarias R5
R4
5: Liquidez
I C
• Minería
E O
R5 R2
1: Conflictos sociales y relación con
R4 R1
comunidades
2: Continuidad
R3
4: Condiciones político - económicas
I C
5: Mercado
• Servicios E O
R4
1: Gestión humana R3 R1
3: Marca y reputación R2 R5
5: Fraude I C
• Transportes y comunicaciones E O
R4
1: Seguridad y salud R5 R2 R1
2: Estrategia
3: Corrupción R3
4: Mercado
5: Marca y reputación I C
E: Estratégico
O: Operacional
I: Información
C: Cumplimiento

3.
¿Cómo gestionan las empresas
sus riesgos?
Riesgos gestionados
El estudio muestra qué proporción de las empresas participantes

gestionan los tipos de riesgos clasificados en las categorías definidas
por el marco de referencia integrado COSO: estratégico, operacional,
de información y de cumplimiento.
De acuerdo a nuestro estudio, los riesgos de tipo operacional son los

que más gestionan las Gerencias de las empresas participantes (68%
de empresas). Sólo el 51% de las empresas participantes gestionan los
riesgos de tipo estratégico.
% de empresas que gestionan cada tipo de riesgo
Estratégicos Información Operacionales Cumplimiento

51% 59% 68% 64%
Formalización de la gestión de riesgos
Con el propósito de tener formalizada la gestión de riesgos, y

dependiendo del tamaño y complejidad de la organización, resulta
conveniente: (i) contar con un área formalizada que se encargue de
desplegar la metodología de gestión de riesgos -de manera uniforme-
al resto de la organización, consolidar los resultados y reportarlos
a las instancias pertinentes para dar una apropiada respuesta a los
riesgos más críticos; o (ii) asignar el rol de gestión de riesgos a alguna
de las áreas ya existentes o a algún funcionario existente, con el
mismo propósito del área formalizada. En cualquiera de los dos casos,
esta función debería recaer en la Gerencia, pues es la responsable de
supervisar las operaciones del día a día del negocio y, en ese intervalo,
enfrentan riesgos; por lo tanto, son los dueños de tales riesgos y
responsables de que sean apropiadamente gestionados.
Usualmente, el primer caso (contar con un área formalizada) se

presenta en grupos económicos o conglomerados, que tienen
diversas unidades de negocio o divisiones, presencia geográfica
dispersa y estructuras organizacionales y operaciones complejas.

Como resultado de nuestro estudio se pudo apreciar que

cuanto mayor es el nivel de ingresos de las empresas, una
mayor proporción de estas tiende a tener un área encargada de
coordinar formalmente la gestión de riesgos.
Asimismo, dicho caso también podría presentarse en organizaciones

que, si bien no son tan complejas en estructura y tamaño, cuentan
con una gestión de riesgos y control interno más madura que otras
organizaciones.
El segundo caso (designar el rol a un área o funcionario existente) se

presenta en organizaciones de estructura y operaciones más simples,
o de incipiente nivel de madurez en términos de gestión de riesgos y
control interno.
Nuestro estudio identificó que el 49% de empresas cuenta con un

área formalizada de gestión de riesgos, perteneciente a la Gerencia y
distinta al área de auditoría interna.
Porcentaje de empresas que tienen un área encargada de

coordinar la gestión de riesgos
Sí
42%
S/0 – S/500
No
58%
Sí Sí
49% 58%
Por nivel de ingresos
S/500 – S/2,000
en millones de Soles
No No
51% 42%
Sí
59%
Más de S/2,000
No
41%

Descentralización de la gestión de riesgos
La definición de una estrategia que permita alinear las prácticas de

gestión, los procesos y las personas a la consecución de los objetivos
del negocio es el componente base de un sistema de gestión de
riesgos. Tal como se indicó anteriormente, el contar o no con un
área formal de gestión de riesgos o de asignar el rol de gestión de
riesgos a un área existente, dependerá del tamaño, complejidad
y nivel de madurez de las empresas. Cualquiera sea el caso, para
facilitar la efectividad de la gestión de riesgos, es recomendable que
se realice de manera descentralizada, a través de las diversas áreas
de la compañía (es decir, que los responsables de los procesos de
negocio sean también los responsables de la gestión de los riesgos
que dichos procesos enfrentan) y que éstas sean soportadas por una
función – ya sea un área formalmente creada o un rol designado a
un área existente- que facilite el proceso, a través de la aplicación
estandarizada de una política que establezca lineamientos claros,
fundamentos metodológicos, segregación de funciones y reportes
periódicos a la Gerencia y al Directorio.
¿De qué forma se gestionan los riesgos?
Descentralizada
66%
Centralizada
34%
El 66% de las empresas que participaron en el estudio indicó que

gestionan sus riesgos de manera descentralizada, a través de sus
distintas Gerencias.

Sin embargo, se observó que en ciertos casos, esta gestión

descentralizada no siempre se lleva a cabo de manera integral y
formal . Es decir, no cuentan necesariamente con una metodología
o un proceso estandarizado y formal de identificación, evaluación y
respuesta a riesgos, y no siempre tienen definida una periodicidad de
reporte a los entes de gobierno.
Esto último se corrobora con la respuesta que dieron las empresas

participantes, donde se identificó que el 49% contaba con un área
encargada de la coordinación de la gestión de riesgos.
Si segregamos dicha respuesta por sector, encontramos que el

sector que lidera la existencia de un área de gestión de riesgos es el
de construcción (71%), seguido por el de minería (57%) y energía y
electricidad (53%), tal como se muestra a continuación:
¿Existe una área encargada de coordinar la gestión de riesgos?
No Sí
Sector 51% 49%
Construcción 29% 71%

Minería 43% 57%
Energía y electricidad 47% 53%
Servicios 75% 25%
Manufactura 84% 16%
Agropecuario y pesca 92% 8%
¿A quién se reporta la gestión de riesgos?
El Directorio debe ser el último responsable de supervisar el sistema

de gestión de riesgos de la empresa, así como de velar por la
integridad de los sistemas de información.

A continuación se muestra la instancia ante la cual se reportan los
resultados de la gestión de riesgos en las empresas participantes:
Reporte de la gestión de riesgos
Gestión de riesgos
Centralizada Descentralizada
Reporta a: 34% 66%
Directorio 40% 25% 75%
Gerencia 60% 40% 60%
Como se puede apreciar, la mayoría de las empresas participantes

reporta su gestión de riesgos a la Gerencia (60%) vs. aquellas
que lo hacen a l Directorio (40’%). Por otro lado, al analizar la
descentralización de la función de gestión de riesgos, observamos
que en el grupo de empresas que reportan su gestión de riesgos
al Directorio, la proporción de ellas que tiene una función
descentralizada (75%) es mayor a la que se observa en el resto de
empresas (60%).
Frecuencia de reporte de la gestión de riesgos
El gráfico que se presenta a continuación muestra que el 54% de

empresas que cuenta con una función de gestión de riesgos, reportan
sus resultados con una periodicidad mensual o trimestral.
Frecuencia del reporte
A quién se reporta
Gerencia Directorio
Frecuencia 60% 40%
Mensual 23% 57% 43% 54%

Trimestral 31% 58% 42%
Semestral 18% 45% 55%
Anual 18% 82% 18%
> Anual 11% 71% 29%

Supervisión de la gestión de riesgos
Tal como se ha indicado, una adecuada gestión de riesgos involucra

al Directorio, a la alta Gerencia y a todo el personal de la organización
que intervenga en la determinación y ejecución de la estrategia.
A continuación se muestran las principales funciones en torno a la

gestión de riesgos, alineada con principios de gobierno corporativo
generalmente considerados líderes:
Directorio
• Aprueba el apetito y tolerancia al riesgo que la empresa está dispuesta a aceptar.
• Supervisa la gestión de riesgos a cargo de la gerencia.
• Supervisa la función de auditoría independiente.
Gerente General
• Máximo responsable de la gestión
de riesgos en la organización. Accionistas
• Organiza la función de gestión de Junta General de Accionistas
riesgos.
Directorio
Stake
Comités especializados holders
Gerencia
Comité de Comité de
• Responsable de identificar, priorizar, auditoría riesgos Auditor
evaluar y gestionar los riesgos de la financiero
organización.
CEO Auditor
interno
Área de gestión de riesgos

Alta Gerencia
• Establece los fundamentos
metodológicos. Gestor de Gestor de
• Coordina la aplicación de una riesgos y control cumplimiento
metodología estandarizada y uniforme
Otros empleados
de gestión de riesgos con las gerencias
del negocio. de la organización
• Supervisa el proceso de gestion de
riesgos.
• Consolida y reporta al Directorio.
Auditoría Interna
• Evalúa de manera independiente y objetiva el proceso de gobierno, gestión de riesgos y
la efectividad del sistema de control interno.
• Basa su plan de auditoría en los riesgos que enfrenta a la organización.

Las empresas que gestionan sus riesgos tienen,
en promedio, niveles de ingresos por empleado
superiores a las que no lo hacen.
Beneficios de la gestión de riesgos
Bajo el entendido de que riesgos son todos aquellos eventos que, en

caso de materializarse, podrían comprometer el logro de los objetivos,
la gestión de riesgos consiste entonces en la prevención, detección
y tratamiento de estas situaciones, con la finalidad de reducir así
su probabilidad de ocurrencia y mitigar su impacto. Dicho esto, una
adecuada gestión de riesgos debería tener un impacto observable en
el logro de los objetivos de las empresas, que típicamente se expresan
en función de sus resultados.
Con el objetivo de evaluar esta situación, el siguiente gráfico analiza el

ratio (ingresos/cantidad de empleados), que para efectos de nuestro
análisis funciona como un indicador comparativo del nivel de ingresos
de las compañías. De acuerdo con los resultados de nuestro estudio,
para cada nivel de ingresos de las empresas evaluadas, aquellas que
manifestaron contar con una gestión de riesgos mostraron un ratio
con un valor promedio superior al de las empresas que no lo hacen.
Ratio ingresos/cantidad de empleados según nivel de ingresos
Ratio (Ingresos (S/MM) /#empleados)
4
Sí cuentan con una
7.1 gestión de riesgos
3 6.5
2
No cuentan con una
gestión de riesgos
1
0
Ingresos en
De 0 De 500 Mayores
S/ (Millones)
a 500 a 2000 a 2000

4.
Herramientas de gestión
de riesgos
Las herramientas y los sistemas de control interno son elementos
clave, de los cuales depende la Gerencia para facilitar la gestión de sus
"
El uso de herramientas y
sistemas de control son
fundamentales para un
manejo efectivo de riesgo en
riesgos y el Directorio para supervisarlos.
la empresa, pero a la vez, las
Existe una gran variedad de herramientas para la gestión de riesgos. técnicas de manejo de riesgo
Estas pueden ser manuales o soportarse en sistemas de información, son las que determinan
y su nivel de efectividad puede variar en función de los requerimientos cuales son las herramientas
"
del negocio, su complejidad y los niveles de apetito y tolerancia al y sistemas de control
riesgo definidos por la alta dirección.
adecuados para la misma.
¿Cuenta con herramientas para la gestión de riesgos? COSO ERM
Sí
32% A pesar de la variedad de herramientas y sistemas de control
existentes en el mercado, y de la gran importancia que se le
atribuye a su uso para llevar un manejo adecuado de la gestión de
riesgos en la empresa, sólo el 32% de las empresas participantes
del estudio cuentan con alguna herramienta de soporte para la
No
68% gestión de riesgos.
A continuación se muestra la proporción de las empresas por sector

que cuentan con alguna herramienta informática que de soporte a la
gestión de riesgos:
No Sí
Sector 68% 32%
Minería 55% 45%

Manufactura 80% 20%
Servicios 85% 15%

Mapas de riesgos
Como parte del estudio, se indagó acerca de la utilización de mapas

de calor y matrices de riesgos formales como soporte a la gestión
de riesgos de la empresas participantes. Específicamente se buscó
identificar el número de empresas que efectivamente vienen
utilizando mapas y matrices de riesgos como parte del reporte
periódico del resultado de la gestión.
Al respecto, una alta proporción de ellas (65%) indicó contar con

mapas de calor y matrices de riesgos, sin embargo en gran parte de
los casos, éstos son elaborados por el área de auditoría interna como
parte del plan anual de auditoría basado en riesgos.
¿Se cuenta con mapas de riesgos?
Sí
65%
No
35%

5.
Oportunidades de mejora para
fortalecer la gestión de riesgos
¿En qué aspectos considera que existen oportunidades de
mejora para fortalecer la gestión de riesgos en su organización?
" La cultura se basa en valores
y principios compartidos
y guía el comportamiento
de las personas ante la
"
ausencia de reglas formales
Cultura de control 58% y procesos de supervisión.
Optimización de procesos 54%
Soporte en sistemas 40% Renato Urdaneta,
Políticas y procedimientos 40%
Director líder de riesgos de
Competencias de personal 36%
EY Perú
Gestión de reportes 21%
Organización y funciones 19%
Segregación de funciones 17%
Implementación de sistemas de prevención de fraudes 13%
Otros 3%
El 58% de las empresas participantes consideraron como la principal

oportunidad de mejora la necesidad de fortalecer la cultura de control
dentro de su organización. Esta preocupación es el reflejo de que
muchas empresas fracasan en la búsqueda de elevar sus estándares
en la gestión de riesgos, al destinar altos niveles de gasto, tiempo y
esfuerzo en iniciativas enfocadas en aspectos puramente teóricos del
control interno y dejan de lado un aspecto fundamental: el desarrollo
de una cultura de control.
En adición, el gráfico nos muestra que el 54% de las empresas

consideraron que requieren optimizar sus procesos, reflejando así
la prioridad e interés por la búsqueda de la eficiencia y reducción de
costos en las actividades de la organización. El exceso de actividades
de control puede elevar significativamente los costos de operación y
volver poco ágil a la empresa.
Finalmente, tanto las políticas y procedimientos (considerando

la documentación, actualización y difusión), como el soporte en
sistemas, son percibidas por el 40% de las empresas participantes
como aspectos que reflejan oportunidades de mejora en su
organización.

6.
Ambiente de control
Código de conducta
El código de conducta es la definición formal de las normas que guían

la conducta de los miembros de una organización en el ejercicio de sus
" Regirse por valores éticos
estrictos beneficia de
manera duradera a la
empresa, pues le otorga
funciones, de acuerdo con los principios y valores de la compañía.
credibilidad y fiabilidad tanto
En el marco de la gestión de riesgos de una organización, el código de
en las operaciones diarias
"
conducta es una herramienta de apoyo fundamental, pues sobre ella como en los compromisos a
se basa la determinación de las conductas esperadas alineadas con los largo plazo.
valores éticos y de comportamiento de la organización.
Principios de Gobierno Corporativo
De acuerdo con el Código de Gobierno Corporativo para las sociedades - Organización para la Cooperación
y el Desarrollo Económico (OECD)
peruanas de la SMV (Superintendencia del Mercado de Valores),
las empresas deben designar a un responsable para el seguimiento
del cumplimiento del código de conducta. Esta persona debe llevar
un registro ordenado de los incumplimientos de las disposiciones
establecidas en dicho código y reportar al Gerente General.
¿Su compañía tiene un código de conducta?
El 79% de las empresas que participaron en este estudio señaló que

sí cuenta con un código de conducta. Cuando se analizó este ratio
en función de si las empresas son públicas o privadas, se obtuvo
un hallazgo importante: en el grupo que cotiza sus valores en los
mercados bursátiles, la proporción de empresas que cuenta con un
código de conducta es ampliamente superior al de las otras empresas:
General Por tipo de empresa
No Sí
21% 79%
Empresas no listadas 30% 70%

Sí No
79% 21%
Empresas listadas 11% 89%

Difusión del código de conducta
El 97% de las empresas que cuentan con un código de conducta, el

cual le proporcionan al trabajador al momento de su incorporación.
"La cultura es el reflejo de
lo que se hace y no de lo
que se dice que se hace.
Una cultura compartida,
Asimismo, el 67% de las empresas manifestó que el contenido
del código de conducta forma parte del proceso de inducción del producto de vivir los
trabajador. valores y el código de ética
de la organización, es un
Finalmente, como parte de un adecuado sistema de prevención y elemento fundamental en
con la finalidad de demostrar debida diligencia, es recomendable el gobierno y desempeño
que las empresas cuenten con un proceso de adherencia obligatoria
de una organización, pues
y periódica (por ejemplo: anual). Al respecto, solo el 39% de las
empresas indicó que cuenta con esta práctica.
contribuye a no tolerar
lo incorrecto, mejorar
"
No Sí
los resultados y lograr la
Entrega en la incorporación 3% 97% sostenibilidad del negocio.
Proceso de inducción 33% 67% Fabiola Juscamaita

Directora de riesgos de EY Perú
Adherencia periódica 61% 39%
Canal de denuncias
Un canal de denuncias es un instrumento usado por las empresas

"Para las empresas
listadas y entidades
financieras, un aspecto
de especial relevancia es
para promover el reporte de actos o conductas cuestionables de los
miembros de la organización o de los entes vinculados a ellos en la la conveniencia de que
gestión del negocio, que atenten contra el código de conducta, los existan líneas internas
valores corporativos, la normativa interna y externa y las buenas de denuncias anónimas
prácticas en los negocios que promueve la organización. o “whistleblowers”, que
permitan a los empleados
Un estudio reciente de la ACFE1, realizado sobre más de dos mil
poder comunicar de forma
casos de fraude a nivel mundial, revela que las empresas pierden, en
promedio, 5% de sus ventas anuales por la materialización de eventos anónima comportamientos
de fraudes. Este estudio muestra además que en el 47% de casos antiéticos o que puedan
analizados, estos fraudes fueron descubiertos a través de las líneas contravenir la cultura de
"
confidenciales de denuncias. Por otro lado, solo en el 28% de casos, administración de riesgos y
los fraudes son identificables para las empresas que no cuentan con controles en la empresa.
esta herramienta.
Lineamientos para un Código
1Asociación de Examinadores de Fraude Certificados

El éxito de un canal de denuncias depende de diversos factores, pero
-fundamentalmente- de los siguientes cuatro:
• Reglas claras
" Parte de las competencias
que el Comité de Auditoría
debería asumir […] es
monitorear regularmente
• Adecuada difusión y entrenamiento
el grado de cumplimiento
del Código de Ética y la
• Accesibilidad eficacia del sistema de
• Protección del anonimato del denunciante y cuidado de este frente a denuncias anónimas o
posibles represalias “whistleblowers”, evaluando
• Respuesta pronta y eficaz las actuaciones anti
éticas que se presenten
¿Su compañía cuenta con un canal de denuncias?
y el contenido de las
denuncias presentadas,
Nuestro estudio muestra que, en promedio, el 54% de las empresas haciendo al Directorio
"
evaluadas manifestó contar con canales de denuncias. En adición, las recomendaciones
como se aprecia en el segmento de empresas listadas, la proporción pertinentes.
de empresas que cuentan con canales de denuncias es superior a la
que se aprecia en el segmento de empresas no listadas. Lineamientos para un Código
General de América Latina (CAF)
No Por tipo de empresa

46%
No Sí
46% 54%
Empresas no listadas 56% 44%

Sí
54%
Empresas listadas 35% 65%
Cobertura a terceros
Es una buena práctica que el alcance de esta herramienta no se

limite a los miembros de la propia organización, sino que este cubra
-además- a los terceros vinculados a ella. En el Perú, la ley que
atribuye responsabilidad administrativa a la persona jurídica establece
que uno de los componentes de un modelo de prevención que podría
eximirla de responsabilidad es la implementación exitosa de un canal
de denuncias que aplique sobre su propio personal y también sobre
terceros.

Cobertura del canal de denuncias
Colaboradores
35%
Como resultado de este estudio se observó que el
65% de empresas que han implementado sistemas
de denuncias, incluyen en su cobertura no sólo a
Colaboradores
y terceros su personal, sino también a terceros: proveedores,
65% clientes y asociados.
Tipos de canales de denuncias
Los canales de denuncias pueden ser de distintos tipos. Le

corresponde a cada entidad definir cuál es el que mejor se acomoda
a su organización, con la finalidad de procurar el éxito de la
herramienta, que se mide en función del objetivo que busca su
implementación.
A continuación se muestran los tipos de canales usados por las

empresas que participaron del estudio, clasificados de acuerdo con la
industria a la que estas pertenecen:
Canales de denuncias
100% 8%
20% 17% 17% 17%
80%
50% 50%
60% 62% 44% 75%

58%
67% 67% 100%
40% 25%
50%
20% 23% 39%
25% 25% 25%
13% 17%
8%
0%
Transportes y
comunicaciones
Comercio y
consumo masivo
Servicios
Construcción
Agropecuario
y pesca
Manufactura
Minería
Hidrocarburos
Energía y
electricidad
Buzón Correo electrónico Teléfono Página web

Difusión y entrenamiento
Proveer de una adecuada difusión y entrenamiento al personal

usuario del canal de denuncias es un elemento fundamental para el
éxito de su implementación. A continuación se muestra el resultado de
nuestra observación sobre la práctica en las empresas evaluadas.
Capacitaciones sobre el uso de la línea de denuncias
¿Su compañía brinda capacitaciones con relación al uso

del canal de denuncias?
Sí No
87% 13%
No Sí
Sector 13% 87%

Servicios 0% 100%
Minería 13% 87%
Manufactura 50% 50%

Protocolos de gestión de denuncias
La definición de un protocolo o estándar para el tratamiento de las

denuncias es un elemento muy importante, no solo porque facilita
la gestión del canal de denuncias, sino además porque el ejercicio
de estandarización promueve la predictibilidad del proceso y, junto
con esta, la confianza del público usuario en la herramienta, que
redundará en el éxito de su implementación.
A continuación se muestran los resultados obtenidos de la indagación

acerca de la existencia de estos estándares en las empresas evaluadas.
Protocolos en el uso de la línea de denuncias
¿Su compañía tiene un protocolo para el registro y

atención de denuncias?
Sí No
91% 9%
No cuentan con Sí cuentan con

un protocolo un protocolo
Sector 9% 91%

Servicios 0% 100%
Minería 0% 100%
Manufactura 50% 50%

7.
Plan de contingencias, crisis
y continuidad
La gestión de la continuidad del negocio es el proceso interno
implementado en una compañía para reducir los efectos potenciales
"
Es necesario desarrollar
planes de acción ante
eventos de crisis
e implementar un
de algún evento externo que pueda interrumpir las operaciones del
negocio. modelo de respuesta
flexible y escalable a
Las empresas necesitan estar preparadas para que, ante cualquier toda la organización.
evento de interrupción, estas continúen con sus operaciones sin En consecuencia, es
afectar las transacciones más críticas y la imagen de la compañía, o recomendable que las
que el restablecimiento de las operaciones se dé dentro de los tiempos
empresas desarrollen dos
máximos tolerables.
tipos de planes: planes
Como se muestra a continuación, sólo el 48% de las empresas de gestión de crisis y
evaluadas manifestó contar con un plan de contingencias, crisis y planes de continuidad
continuidad. Gran parte de estas empresas, sin embargo, no cuenta del negocio, los cuales
con un plan integral sino que dichos planes están orientados a un área deben ser constantemente
o riesgo específico de la organización.
actualizados y mejorados
"
para asegurar su aplicación
Plan de contingencia, crisis y continuidad por sector y efectividad.
¿La compañía cuenta con un plan de contingencia, Jorge Acosta,

crisis, continuidad o similar? Socio líder de consultoría
de EY Perú
Sí No
48% 52%
Sector
Comercio y consumo masivo 26%

Construcción 15%
Minería 15%
Servicios 10%
Manufactura 10%
Transportes y comunicaciones 8%
Energía y electricidad 6%
Hidrocarburos 5%
Agropecuario y pesca 3%

8.
Función de cumplimiento
La gestión de riesgos de cumplimiento responde a una necesidad
fundamental de toda empresa, pues tiene como objetivo identificar
las normas, sean éstas internas (definidas por la propia empresa)
o externas (aquellas a las que se somete de manera obligatoria por
la fuerza de la ley o de los compromisos adquiridos con terceros),
cuyo incumplimiento podría exponer a la compañía a situaciones que
pueden poner en peligro su operación.
Como hemos analizado en secciones anteriores de esta publicación,

la gestión de riesgos tiene el propósito de acercar a una compañía
al logro de sus objetivos, que típicamente se expresan en función
del éxito del negocio (por ejemplo: mayor participación de mercado,
mayores ingresos, mejor rentabilidad, etc.). Si esto es así, se podría
sostener que la gestión de riesgos ayuda a conseguir el éxito, y
la gestión de riesgos de cumplimiento a hacer que tal éxito sea
sostenible.
Generalmente, las compañías de pequeña y mediana envergadura no

requieren de una estructura organizacional compleja para gestionar
sus riesgos; sin embargo, conforme éstas crecen y el volumen de sus
operaciones aumenta, junto con la complejidad de sus negocios, su
exposición a los riesgos de cumplimiento se hace cada vez mayor. Esta
situación fuerza a las empresas a organizar la gestión de sus riesgos
en una función de cumplimiento normativo formalmente definida,
diseñada para proveer a la Gerencia de un soporte metodológico y
una coordinación centralizada sobre la gestión de este tipo de riesgos,
de manera que le permita a la alta dirección tener la seguridad de
que éstos se encuentran razonablemente mitigados y de manera
estandarizada en toda la organización.
Un sistema efectivo de gestión de riesgos de cumplimiento debe

contar con los siguientes elementos:
• Compromiso de la alta dirección
• Un órgano responsable con un adecuado nivel de empoderamiento y

reporte al Directorio
• Estándares, políticas y procedimientos para la gestión de riesgos de

cumplimiento
• Programa de capacitación y entrenamiento

• Herramientas de prevención, identificación y respuesta
• Monitoreo y supervisión independiente
• Planes de acción oportunos y efectivos
De acuerdo con los principios de gobierno corporativo generalmente

considerados líderes, entre los beneficios de contar con una adecuada
función de cumplimiento normativo podemos encontrar los siguientes:
• Facilita el alineamiento de la compañía a las necesidades de sus

stakeholders y las reglas del mercado.
• Protege y fortalece la reputación de la compañía.
• Proporciona una supervisión independiente que incrementa la

fiabilidad de los resultados de las revisiones de cumplimiento
normativo.
• Minimiza las pérdidas financieras por contingencias, tales como:

sanciones administrativas, civiles, legales y penales.
Estándar ISO 19600
Actualmente, existen diversas normas internacionales que

proporcionan lineamientos y estándares sobre los sistemas de
gestión de riesgos y de cumplimiento. Uno de los más difundidos es el
estándar ISO 19600, que fue emitido en diciembre de 2014.
Este estándar fue elaborado sobre la base de las iniciativas de

cumplimiento de reconocidas organizaciones internacionales y
los combina con los estándares de los otros estándares ISO sobre
sistemas de gestión. Además, se basa en los principios de gobierno
efectivo, proporcionalidad, transparencia y sostenibilidad, y está
diseñado para proveer lineamientos para la implementación,
evaluación, mantenimiento y mejora de un sistema de cumplimiento a
diferentes tipos de organizaciones, independientemente del tamaño,
la industria, la exposición al riesgo y el alcance geográfico de sus
operaciones.

Tal como se muestra en el gráfico siguiente, el 78% de las empresas

participantes tiene un responsable sobre el cual recae la función de
cumplimiento. De este porcentaje el 31% de empresas indicó que
esta función la designan al oficial de cumplimiento; mientras que el
39%, a otras Gerencias. Además, el 29% de empresas respondió que
el tiempo dedicado para esta función es exclusiva para realizar las
labores correspondientes.
¿Tiene un responsable en el que

recae la función de cumplimiento?
Nivel de reporte Proporción
Oficial de cumplimiento 31%
Gerente legal 30%
No Sí Otras gerencias 39%

22% 78%
Grado de dedicación
Parcial Exclusiva
71% 29%

III
Auditoría interna

De acuerdo con el Instituto de Auditores Internos (IIA, por

sus siglas en inglés) la auditoría interna es una actividad
independiente y objetiva, de aseguramiento y consulta,
concebida para agregar valor a las organizaciones y contribuir
con el logro de sus objetivos, aportando un enfoque sistemático
y disciplinado para evaluar la efectividad de los procesos de
gestión de riesgos, control y gobierno, y mejorarlos.
La gestión de riesgos y el control interno son responsabilidades

inherentes de la Gerencia, vinculadas estrechamente con
la gestión de la estrategia. La función de auditoría interna,
en cambio, tiene la responsabilidad de evaluar la labor de la
Gerencia en esas funciones. Por esa razón, con la finalidad de
estar en mejor capacidad para realizar una labor objetiva, esta
función debe ser independiente y reportar al Directorio, ya sea
de manera directa o a través de un comité de auditoría.
Esta relación explica la importancia de la función de auditoría

interna y ayuda a entender por qué las organizaciones con
prácticas robustas de gobierno corporativo tienen funciones de
auditoría interna sólidas y otorgan a ellas un rol preponderante
en el gobierno de la gestión de riesgos y, en general, en la
supervisión de la estrategia.
Este capítulo evalúa los atributos más relevantes que

caracterizan a la función de auditoría interna en las empresas
que participaron en el estudio. Entre los aspectos que se abordan
se encuentran: la independencia de la función, su conformación
a través de recursos propios o terceros, la diversidad de perfiles
en su composición, el uso de herramientas, el proceso de
planificación del trabajo y el soporte de sus actividades a través
de la contratación de servicios especializados.

De acuerdo con el Instituto de Auditores Internos, la misión de la función de auditoría
interna (a la que, en adelante, nos referiremos como “AI”) es mejorar y proteger el
valor de las organizaciones, proporcionando un aseguramiento objetivo, asesoría y
conocimiento basado en riesgos.
1.
Conformación de la función de
auditoría interna
La auditoría interna (AI) es una función, independiente por definición,
que constituyen las organizaciones para supervisar la labor de
la Gerencia y para velar por el cumplimiento de los objetivos del
negocio. Esta función debe ser flexible a fin de poder adaptarse al
entorno en el que se desempeñan la empresas. Las organizaciones
difieren en tamaño, objetivos, estructuras y responden a distintas
leyes y prácticas empresariales; la función de auditoría interna debe
adaptarse para responder a las necesidades y requisitos particulares
de cada empresa.
El 83% de las empresas participantes en nuestro estudio manifestó

contar con una función de auditoría interna. Cuando se consultó al
17% restante sobre las razones por las cuales no contaban con dicha
función, se recibieron distintas respuestas, de las cuales, la más
frecuente fue la percepción de que existe un adecuado ambiente de
control en su organización, por lo que sería innecesario contar con
una función de auditoría interna.
Conformación de una función de auditoría interna
¿Su empresa cuenta con

una función de AI?
Razones
Percepción de adecuado control 50%

Sí Bajo volumen de operaciones 11%
83%
Bajo presupuesto 6%
Percepción de poco valor 6%
Otros 27%
No
17% 0 10 20 30 40 50 60
S/0 – S/500 S/500 - S/2,000 Más de S/2,000
Por nivel de ingresos en Sí Sí Sí

millones de Soles 73% 85% 93%
No No No
27% 15% 7%

Conforme mayor es el nivel de ingresos, mayor

es la proporción de empresas que tienden a
conformar una función de auditoría interna.
Naturaleza de la función de auditoría interna: propia o

tercerizada
Al establecer su función de auditoría interna, una organización puede

optar por hacerlo enteramente con recursos propios o contar con el
apoyo (parcial o completa) de una empresa especializada.
Corresponde a cada empresa determinar el tipo de estructura que

se acomoda más a sus necesidades, en función de la evaluación
conjunta de diversos criterios, entre los que destacan: el tamaño de
la organización, el nivel de madurez de sus prácticas de gobierno
corporativo, el presupuesto, los recursos de los que dispone, entre
otras.
De las empresas participantes que cuentan con una función de

auditoría interna, el 18% indicó que ésta es tercerizada o parcialmente
tercerizada. Según lo señalado por este grupo, el principal motivo para
contar con apoyo externo es poder acceder a personal calificado y
especializado.
¿Cuál es la naturaleza de su función de AI?
Razones por las cuales las compañías

tercerizan su función de AI
Contar con personal calificado y especializado 39%
Propia Obtener mayor independencia 29%

82% Acceder a prácticas líderes 20%
Ahorro 5%
Mayor profundidad en la revisión de un proceso 2%
Tercerizada Focalizarse en el core del negocio 2%
18% Imagen 2%
0 10 20 30 40
Planes para la incorporación de la función de

auditoría interna
Según el Instituto de Auditores Internos, una actividad de auditoría

interna dedicada, independiente y eficaz, ayuda tanto a la Gerencia,
como al cuerpo de supervisión (por ejemplo, el comité de dirección o
el comité de auditoría) a cumplir sus responsabilidades aportando un

enfoque sistemático y disciplinado para evaluar la eficacia del diseño
y la ejecución del sistema de control interno y los procesos de gestión
de riesgos. "
Una lección fundamental
aprendida de las quiebras
y colapsos financieros de
numerosas organizaciones
La evaluación objetiva del control interno y de los procesos de gestión
de riesgos por parte de la actividad de auditoría interna proporciona es que contar con gobierno,
a la Gerencia, al cuerpo de supervisión y a las terceras partes gestión de riesgos y
interesadas, aseguramiento independiente de que los riesgos de la control interno de buena
organización han sido apropiadamente mitigados. calidad son elementos
esenciales para lograr el
A continuación se analizan los planes de incorporar una función de
éxito y la continuidad de las
auditoría interna de las empresas participantes que actualmente no
cuentan con una.
organizaciones. Dadas su
perspectiva única y objetiva,
su conocimiento profundo
¿Planea incorporar una función de auditoría interna?
de la organización, y su
aplicación de principios
No sólidos de auditoría y
47%
consultoría, una actividad
de auditoría interna
independiente que funcione
Sí
53% adecuadamente y con los
Plazo estimado para su ¿Qué tipo de función
incorporación pretende incorporar? recursos suficientes está
60% 56%
Tercerizada Propia bien posicionada para
44% 39% 61%
40% proporcionar apoyo y
20% aseguramiento valiosos a la
"
0% organización y a sus entes
de supervisión.
Corto plazo
(1 año o menos)
Mediano plazo
(de 2 a 3 años)
Instituto de Auditores Internos

(IIA 2016)
Como se puede apreciar, los resultados de nuestro estudio muestran

que una proporción mayor de las empresas tiene planes de incluir
funciones de auditoría interna en un futuro cercano.
En adición, se observa que existe una tendencia creciente a contar

con funciones de auditoría interna tercerizadas o parcialmente
tercerizadas.

El rol estratégico de la función de auditoría interna
Las empresas con prácticas robustas de gobierno corporativo tienen

funciones de auditoría interna sólidas y les otorgan un rol estratégico
en la organización. La labor más importante de la función de
auditoría interna es evaluar que el sistema de control interno mitigue
apropiadamente los riesgos críticos. Como parte de su función, la
auditoría interna debe identificar también los riesgos emergentes. En
el curso de su trabajo, la auditoría interna puede ayudar a convertir
los riesgos en oportunidades, mediante la identificación de mejoras
en los procesos de negocios, así como prácticas líderes que se pueden
compartir y aplicar en el negocio; por ello, es clave para la adopción y
mantenimiento continuo de prácticas líderes en gestión de riesgos.
Como parte de este estudio, se evaluó la percepción que tienen

los altos ejecutivos de las empresas participantes sobre el rol que
cumplen sus funciones de auditoría interna.
Percepción del rol que ocupa la función de auditoría interna
El resultado de nuestro estudio muestra que el 52% de las empresas

participantes considera que esta función ocupa un rol estratégico en
su organización.
Asimismo, se observa que las empresas con funciones de auditoría

tercerizadas o parcialmente tercerizadas tienen una mejor percepción
sobre el rol estratégico que éstas ocupan en su organización.
¿Considera que su función de AI ocupa un rol estratégico?
No Sí
48% 52%
Naturaleza
Propia 50% 50%
Tercerizada 36% 64%

2.
Atributos de la función de
auditoría interna
En esta sección abordamos los atributos más relevantes con los que
debe contar una función de auditoría interna, de acuerdo con el
"
El propósito, la autoridad
y la responsabilidad de
la actividad de Auditoría
Interna deben estar
Instituto de Auditores Internos:
"
formalmente definidos en
• Propósito, autoridad y responsabilidad de la función un estatuto.
• Independencia y objetividad Marco Internacional para la práctica

profesional de la AI 2013 - Instituto
de Auditores Internos (IIA)
• Aptitud y cuidado profesional
• Programa de aseguramiento y mejora de la calidad
Propósito, autoridad y responsabilidad
De acuerdo con prácticas generalmente consideradas líderes, para

facilitar la labor de la función de auditoría interna, ésta debe estar
definida formalmente en un estatuto que tenga nivel de política
corporativa, que establezca, entre otras cosas: (i) el propósito y
responsabilidad de la función de auditoría interna, (ii) su posición
en la estructura jerárquica de la empresa, (iii) línea de reporte al
Directorio y (iv) empoderamiento apropiado que le permita acceso a
la información, a los activos y al personal, con la finalidad de facilitar
su labor.
Formalización de la función de auditoría interna
El gráfico que se presenta a continuación muestra la proporción en la

cual la función de auditoría interna se encuentra formalizada en las
empresas participantes:

¿Se ha definido formalmente el propósito, autoridad y

responsabilidad de su función de AI?
Naturaleza de No Sí
31% 69%
la función
Propia 33% 67%
Tercerizada 21% 79%
Como resultado de nuestro estudio se observó que el 69% de las

empresas que cuentan con una función de auditoría interna han
desarrollado una definición formal de su propósito, autoridad y
responsabilidad. En adición, se observó que esta definición se realiza,
en mayor proporción, en el grupo de empresas que terceriza su
función de AI.
"
Independencia y objetividad Conflicto de interés:
relación que vaya o pueda
Con el objetivo de que la función de auditoría interna tenga
la capacidad de ejercer efectivamente su labor, ésta debe ser ir en contra del mejor
independiente de la Gerencia, quien es su objeto auditado; es decir, interés de la organización,
libre de conflictos de intereses y de condiciones que puedan limitar afectando la capacidad de
la capacidad para llevar a cabo su actividad de manera imparcial y una persona para que pueda
objetiva. cumplir con sus obligaciones
"
y responsabilidades
Percepción de independencia de la función de auditoría interna
objetivamente.
Como parte de nuestro estudio, se evaluó la percepción que tienen los
Marco Internacional para la práctica
ejecutivos de las empresas que cuentan con una función de auditoría
interna, sobre la independencia que tiene ésta con respecto a la de Auditores Internos (IIA)
Gerencia.

¿Considera que la función de AI es independiente?
No Sí
42% 58%
Naturaleza
Propia 45% 55%
Tercerizada 0% 100%
Como resultado de nuestro estudio se observó que en todas

las empresas que cuentan con una función de auditoría interna
tercerizada existe la percepción de que ésta es independiente;
mientras que en el resto de empresas, este ratio es de sólo el 55%.
Línea de reporte de la función de auditoría interna
Una condición necesaria para cumplir con el principio de

independencia de la función de auditoría interna es que esta no
"
La Independencia dentro de
la organización se alcanza
de forma efectiva cuando el
Director de auditoría interna
dependa jerárquicamente de la Gerencia ni reporte a ella. Su línea
"
de reporte debe ser al Directorio. Esto implica que el auditor interno depende funcionalmente del
debe asistir regularmente a las sesiones del Directorio o del Comité Directorio.
de Auditoría, y en ellas reportar regularmente los resultados de su
gestión. Marco Internacional para la práctica
El siguiente gráfico muestra la línea de reporte de las funciones
de AI de las empresas participantes, clasificadas en función de su
naturaleza: propia y tercerizada. Los resultados muestran que una alta
proporción de las empresas participantes reportan al Directorio.

Cuanto mayor es el nivel de ingresos de las

compañías, es más frecuente que la función de
auditoría interna reporte al Directorio.
Línea de reporte de la función de AI
¿A quién reporta la
auditoría interna?
En función de
su naturaleza
55%
62% Propia
45%
74%
Tercerizada
26%
38%
0 10 20 30 40 50 60 70 80 90 100%
S/0 – S/500 S/500 - S/2,000 Más de S/2,000
Por nivel de ingresos en 40%

millones de Soles 85% 93%
60% 15% 7%
Directorio Gerencia
Es necesario precisar que la independencia de la función de auditoría

interna es un asunto complejo. Si bien el reporte al Directorio es
una condición necesaria, ésta no es suficiente para determinar que
existe independencia. En adición, hay que tener en cuenta otros
factores, como por ejemplo: la no participación de la función de
auditoría interna en actividades que serán objeto de auditoría, la no
participación en actividades Gerenciales y la no subordinación a la
Gerencia bajo ningún modo.

Independencia: percepción vs. realidad
De acuerdo con las normas internacionales para el ejercicio

profesional de la auditoría interna del IIA, para garantizar la
independencia, se considera que el Director de auditoría interna debe
reportar a dos niveles:
• A nivel funcional: al Directorio o Comité de Auditoría, sobre

actividades directamente relacionadas a su función.
• A nivel administrativo: a la Gerencia General, sobre temas

relacionados a presupuestos, recursos humanos y comunicación y
flujos internos de información.
A continuación se presenta un análisis comparativo entre la

percepción de independencia que las empresas participantes tienen
sobre su función de auditoría interna y la independencia “real” que
se puede apreciar sobre estas, evaluada en función de un criterio
objetivo observable, como lo es su línea de reporte al Directorio.
Independencia de la función de AI: percepción vs. realidad
"
% Función propia Función tercerizada
100%
100 Uno de los beneficios
84% 83%
80 77% más relevantes de la
60 tercerización de función
40 de auditoría interna es el
20 incremento de la percepción
0 de independencia, debido
Percepción de
independencia
Reporte al
Directorio
Percepción de
independencia
Reporte al
Directorio
a que las actividades son

llevadas a cabo por personal
ajeno a la organización,
que conoce la normativa
Como se puede apreciar, la percepción que tienen las empresas sobre profesional y está calificado
la independencia de sus funciones de AI es, por lo general, superior a para la ejecución de las
"
la que se puede apreciar de manera práctica, basándose en su línea de labores planificadas dentro
reporte funcional. del alcance de sus servicios.
En adición, el estudio muestra que las empresas que tienen funciones Declaración de posición sobre
de auditoría interna tercerizadas tienen una mayor percepción de alternativas de obtención de
independencia y, en la práctica, reportan con mayor frecuencia al recursos para la función de auditoría
Directorio. Interna - Instituto de Auditores
Internos (IIA)

Aptitud y cuidado profesional
El marco internacional para la práctica profesional de la auditoría

interna indica que las labores de AI deben ser llevadas a cabo con
diligencia. Para ello, la función de auditoría interna debe estar
adecuadamente constituida; es decir, debe contar con un tamaño
óptimo, perfiles idóneos en el equipo, así como un adecuado mix de
conocimientos, aptitudes y competencias necesarias para cumplir
apropiadamente con sus responsabilidades.
Tamaño del equipo de auditoría interna
En el gráfico que se presenta a continuación se aprecian los resultados

de nuestro estudio en torno al tamaño de los equipos de auditoría
interna de las empresas participantes. En él se puede advertir que
existe una correlación positiva entre el nivel de ingresos de las
empresas que participaron en el estudio y el tamaño de su equipo de
AI; es decir, cuanto mayores son los ingresos de una empresa, mayor
es el tamaño de su equipo de AI.
Tamaño del equipo de auditoría interna
Cantidad
de trabajadores
10 9.6
6 5.8
4.9
0
De S/0 De S/500 Más de Ingresos
a S/500 a S/2,000 S/2,000 S/ (Millones)

Perfiles profesionales con los que cuentan los equipos de auditoría
interna
El gráfico que se presenta a continuación muestra los perfiles

profesionales con los que cuentan los equipos de auditoría de las
empresas participantes en el estudio.
Perfiles disciplinarios del equipo de auditoría interna propia
Perfil profesional
Contable 100%
Sistema de información 41%
Operacionales 38%
Fraudes/peritos 10%
Laboral 7%
Tributarios 4%
Otros 3%
0 20 40 60 80 100 %
"
Relación entre la evaluación de conocimientos, habilidades y El Director de auditoría
competencias del equipo de auditoría interna y la subcontratación
interna debe obtener
de servicios
asesoramiento y asistencia
El gráfico que se presenta a continuación muestra la proporción competentes en caso
de las empresas participantes que manifestaron solicitar servicios de que los auditores
especializados de terceros para ejecutar parte de las labores de internos carezcan de los
auditoría interna. Asimismo, se desglosan los tipo de servicios que conocimientos, las aptitudes
típicamente estas empresas contratan. u otras competencias
necesarias para llevar a
"
Subcontratación de servicios cabo la totalidad o parte del
trabajo.
¿Subcontrata servicios?
No Sí
35% 65% Tipos de servicios subcontratados profesional de la AI 2013 - Instituto
Fraude/forense 35% de Auditores Internos (IIA)
Tecnología de Información 35%
Otras 16%
Co-sourcing 14%
Como se puede apreciar, una alta proporción de empresas

participantes subcontratan servicios especializados, siendo los más
recurrentes los servicios relacionados aspectos de fraude y forense,
tecnología de la información y el co-sourcing de auditoría interna.

Las compañías con niveles de ingresos superiores

tienen una mayor tendencia a someter a sus funciones
de AI a evaluaciones de calidad independientes.
Programas de aseguramiento y mejora de la calidad
Las funciones de auditoría interna deben implementar un programa

integral de aseguramiento y mejora de la calidad. Este debe ser
" El Director de auditoría
interna debe desarrollar y
mantener un programa de
aseguramiento y mejora de
desarrollado por el Director de Auditoría Interna, con la finalidad de
la calidad que cubra todos
dar cumplimiento a las normas internacionales para la práctica de la
"
auditoría interna y contribuir con el saludable ejercicio de la mejora los aspectos de la actividad
continua. de auditoría interna.
Evaluación de calidad de la funcion de auditoría interna Marco Internacional para la práctica

De acuerdo con las normas internacionales para el ejercicio
profesional de la auditoría Interna, las empresas deben realizar,
al menos una vez cada cinco años, evaluaciones externas e
independientes sobre la calidad de su función de auditoría interna.
El siguiente gráfico muestra que tan sólo el 6% de las empresas

participantes realizan evaluaciones externas sobre la calidad de su
función de auditoría interna; en adición, se observa que la proporción
de empresas que las realizan es mayor entre las empresas con niveles
de ingresos más altos.
Empresas que realizan evaluación de su función de AI
Por nivel de ingresos en

millones de Soles
Sí
6%
S/0 – S/500 S/500 - S/2,000 Más de S/2,000
Sí Sí Sí
No 1% 6% 17%
94%
No No No
99% 91% 83%

Nivel de satisfacción de la alta dirección sobre la función de
auditoría interna
Como parte de este estudio se indagó acerca del nivel de satisfacción

de la Alta Dirección de las empresas que participaron sobre sus
respectivas funciones de auditoría interna, medida en función de la
percepción del valor que esta agrega a la organización.
Percepción de la Gerencia sobre el valor que aporta la función

de AI
Muy por encima de 8%

las expectativas
Por encima de las 33%

6%
expectativas
Dentro de las
38%
expectativas
Por debajo de las

21%
expectativas
0 10 20 30 40 50 60 %
Como se puede apreciar, la amplia mayoría de ejecutivos que

participaron del estudio manifestó que su función de auditoría interna
satisface o excede sus expectativas.

3.
Enfoque en riesgos
Responsabilidad de la identificación de riesgos
De acuerdo con prácticas líderes, los riesgos del negocio deben

ser identificados, evaluados y gestionados por la Gerencia, y le
corresponde a la función de auditoría interna evaluar –de manera
independiente y objetiva- cada etapa de este proceso.
En organizaciones que no cuentan con un proceso formal de gestión

de riesgos, el Gerente General debe discutir con las Gerencias y con
el Directorio las obligaciones relacionadas con la administración
y monitoreo de los riesgos de la organización y la necesidad de
establecer procedimientos apropiados de mitigación de riesgos clave y
cómo estos son administrados y monitoreados.
El siguiente gráfico muestra sobre quién recae la responsabilidad de

identificación de riesgos en las empresas que participaron del estudio.
Responsabilidad de la identificación de riesgos
Responsables % Empresas
Auditoría interna 56%
Gerencias 44%
Para el 56% de las empresas de participantes, la responsabilidad de

identificación de riesgos recae sobre la función de auditoría. En la
gran mayoría de estos casos, los riesgos identificados son sometidos a
validaciones por parte de las áreas funcionales correspondientes, pero
es iniciativa de la función de auditoría interna la realización de este
procedimiento.
Responsabilidad de identificación de riesgos

en función de los ingresos
Nuestro estudio revela que conforme se incrementa el nivel de

ingresos de las empresas participantes, la labor de identificación de
riesgos deja de estar en manos de la función de auditoría interna
y pasa a estar en manos de la Gerencia, como metodológicamente
lo establecen los principios de gestión de riesgos generalmente
considerados líderes.

Cuanto mayores son los ingresos de las
empresas participantes, mayor es su enfoque
en los riesgos críticos de su negocio.
Relación entre la responsabilidad en la identificación de riesgos

y el nivel de ingresos
%
100
A cargo de
la Gerencia
80
60
40
20
A cargo de la
Función de AI
0
Más de Ingresos
0-100 100-250 250-500 500-1,000 promedio
2,000
S/(MM)
Focalización en riesgos críticos
El logro de los objetivos de las áreas, y por ende de los objetivos de la

empresa, pueden verse afectados por la materialización de los riesgos.
" El estatuto de auditoría
interna requiere
normalmente que la
actividad de Auditoría
Es por esta razón que las prácticas líderes señalan que la función de
auditoría interna debe basar sus actividades en la cobertura de los
Interna se centre en áreas
riesgos críticos, tanto inherentes como residuales. de alto riesgo, incluyendo
"
los riesgos residuales e
¿Su función de auditoría interna se focaliza en riesgos críticos? inherentes.

La mayoría de los ejecutivos entrevistados manifestó que su función
de auditoría interna se focalizan en los riesgos críticos del negocio. de Auditores Internos (IIA)
Por nivel de ingresos en

millones de Soles
S/0 – S/500 S/500 - S/2,000 Más de S/2,000

Sí
80%
Sí Sí Sí
72% 79% 85%
No
20% No No No
28% 21% 15%

4.
"
Plan de auditoría basado El director de auditoría
en riesgos interna debe establecer
un plan basado en riesgos,
La labor principal de la función de auditoría interna es brindar un a fin de determinar las
adecuado aseguramiento sobre la efectividad de las actividades prioridades de la actividad
de control orientadas a mitigar los riesgos más críticos de la de auditoría interna. Dicho
organización. Esto se logra a través de un plan de auditoría basado plan deberá ser consistente
en riesgos, que permita priorizar el uso de sus recursos y alinear sus
"
con las metas de la
actividades con los objetivos de la organización.
organización.
Para elaborar un plan de auditoría interna basado en riesgos se debe
tener conocimiento de la situación actual del sistema de gestión profesional de la AI 2013 - Instituto
de riesgos y del sistema de control interno de la organización, de Auditores Internos (IIA)
partiendo de un inventario de procesos que sirva para identificar
adecuadamente los riesgos clave del negocio.
¿Cuenta con un plan de auditoría basado en riesgos?
Sí El 61% de las empresas que cuentan con

61% una función de auditoría interna afirmó
que ésta cuenta con un plan de auditoría
No basado en riesgos.
39%
Plan de auditoría en función de los ingresos
Nuestro estudio muestra que conforme se incrementa el nivel de

ingresos de las empresas, sus funciones de auditoría interna tienden a
contar con planes de auditoría basados en riesgos.
Plan de auditoría basado en riesgos

%
30
20
10
0
Promedio de
Menos de
S/100MM
S/100MM
S/200MM
S/200MM
S/500MM
S/500MM
S/1,000MM
Más de
S/1,000 MM
ingresos en
millones de S/

30%
5.
"
Presupuesto de la función de El Director de auditoría
auditoría interna interna enviará anualmente
a la alta dirección y al
La función de auditoría interna debe tener un presupuesto propio, Directorio, para su revisión
el cual debe ser aprobado, en conjunto con el plan de auditoría, y aprobación, un resumen
anualmente por el Directorio. del plan anual de auditoría
interna, del calendario
El siguiente gráfico muestra de manera resumida la distribución de las
de trabajos, del plan de
empresas participantes en función de su presupuesto para la función
personal y del presupuesto
de AI.
financiero correspondientes
"
Como se puede apreciar, conforme se incrementa el nivel de ingresos a la actividad de auditoría
de las empresas, mayor es el presupuesto asignado a la función de interna.
auditoría interna.
Presupuesto de auditoría interna de Auditores Internos (IIA)
S/ Millones
(Presupuesto promedio)
1
S/829 mil
S/789 mil
S/531 mil
0.5
0
De S/0 De S/1,000 Más de Ingresos
a S/1,000 a S/2,000 S/2,000 S/ (Millones)

6.
Herramientas de soporte
Existen herramientas tecnológicas que permiten automatizar las
funciones de auditoría interna. Entre ellos se encuentran los softwares
de auditoría, generadores de datos de prueba, programas de auditoría
computarizados y elementos de auditoría de especialización.
¿Su función de AI utiliza alguna herramienta de soporte para

realizar sus labores?
Nivel de satisfacción
sobre la herramienta
Sí Criterios Proporción
55%
Muy insatisfecho 0%
Insatisfecho 16%
No Ni insatisfecho, ni satisfecho 48%
45% Satisfecho 32%
Muy satisfecho 4%
Sí
63%
¿Consideraría evaluar la adquisición de una
herramienta para soportar la labor de su función de AI?
No
37%
El 45% de empresas participantes que contestó no utilizar

herramientas que soporte para las labores de la función de auditoría
interna. De esta proporción, el 63% de empresas considera evaluar
la adquisición de una herramienta que colabore eficazmente en la
ejecución y monitoreo de las actividades de la función.

IV
Resumen ejecutivo

IV Resumen ejecutivo
Tal como hemos podido apreciar a lo largo del estudio, enfrentamos

eventos de riesgo día a día en el desarrollo de las operaciones del
negocio. Si bien el gobierno, la gestión de los riesgos y el ejercicio de
la función de auditoría interna dependen de diversos factores para su
implementación efectiva (por ejemplo: composición e independencia
del Directorio, tamaño de la organización, cultura empresarial, nivel de
supervisión, nivel de madurez, exposición a riesgos del sector donde
operan las empresas, entre otros), las prácticas líderes se orientan a la
formalización, independencia y monitoreo continuo. Estas condiciones
las hemos podido apreciar en empresas de distintos sectores, niveles
de ingresos y de madurez.

1. Gobierno de riesgos
Las empresas participantes entienden que el Directorio

es el máximo ente de gobierno de la organización y que la
independencia de sus miembros es un atributo fundamental
con el que debe contar para ejercer de forma objetiva sus
responsabilidades, orientadas a actuar de buena fe en beneficio
de la empresa y de sus accionistas. Una conclusión importante
es que el 64% de las empresas participantes incorporan en su
Directorio, al menos, un miembro independiente, siendo los
sectores de transportes y comunicaciones, servicios y energía y
electricidad, los tres sectores que mayoritariamente cumplen con
dicho atributo.
En cuanto al número de miembros del Directorio, no sorprende

encontrar que cuanto más ingresos percibe la compañía, más
cantidad de miembros integran su Directorio. Lo anterior es
corroborado al comparar a aquellas empresas con ingresos
anuales inferiores a S/500 millones, que cuentan con 5 directores
en promedio, vs. las empresas con ingresos anuales superiores a
S/2,000 millones, que cuentan con casi 8 directores en promedio.
Respecto al nivel de especialización o diversidad de perfiles entre

los miembros del Directorio, ha resultado interesante conocer que
el 67% de las empresas participantes manifestó haber constituido
comités especializados.
Asimismo, el 64% de las empresas que participaron indicó haber

conformado un Comité de Auditoría. De este grupo, el 62% cuenta
con un comité constituido localmente, el 24% con un comité
corporativo y el 14% con ambos. A su vez, el 70% de este mismo
grupo, señaló que el Comité de Auditoría sesiona -al menos-
trimestralmente. Finalmente, el 66% de Comités de Auditoría
conformados cuenta, al menos, con un director independiente.
Lo anterior muestra de que los Comités de Auditoría están

ganando mucho más importancia en su rol de supervisión del
control interno y vigilancia de las labores de auditoría financiera y
operativa.

2. Gestión de riesgos
En un entorno de creciente competencia, velocidad y de constante

exposición a eventos externos adversos, las organizaciones
necesitan mejorar continuamente sus prácticas de gestión
de riesgos, mediante la construcción de una base sólida de
prevención y protección, focalizada en los factores de riesgo que
impactan la toma de decisiones estratégicas y el desempeño
del negocio. Alineado a ello resulta interesante concluir que los
riesgos que -en su mayoría- son gestionados por las empresas
participantes son los riesgos operacionales, seguidos por los
riesgos de cumplimiento, luego, por los riesgos de información y,
finalmente, por los riesgos estratégicos.
Es así como los 5 principales riesgos de las empresas participantes

son los siguientes:
1. Eficiencia y productividad
2. Contingencias legales
3. Seguridad y salud
4. Mercado
5. Selección y ejecución de la estrategia
La priorización antes indicada varía entre las empresas

participantes –principalmente- en función del sector donde
operan, el contexto específico por el que atraviesan y el nivel de
formalización y madurez de la funciones de riesgos y control.
Respecto de la formalización de la gestión de riesgos, resulta

interesante conocer que el 44% de las empresas participantes
cuenta con un área encargada de coordinar la gestión de
riesgos. Esta coordinación se da, ya sea: (i) Al contar con un
área formalizada que se encargue de desplegar la metodología
de gestión de riesgos al resto de la organización, consolidar los
resultados y reportarlos a las instancias pertinentes para dar una
apropiada respuesta a los riesgos más críticos; o (ii) Al asignar el
rol de gestión de riesgos a alguna de las áreas ya existentes o a
algún funcionario existente. Este último caso constituye cerca del
70% de la realidad de las empresas participantes. De lo anterior
se puede concluir que si bien, cerca de la mitad de las empresas
participantes gestionan sus riesgos, esta gestión no está del todo

formalizada, pues no cuentan con un proceso estandarizado de
identificación, evaluación y respuesta a riesgos, y no siempre
tienen definida una periodicidad de reporte a los entes de
gobierno.
También mostramos que el 66% de las empresas participantes

gestionan sus riesgos de manera descentralizada, a través de
sus distintas Gerencias. Esto reafirma que las Gerencias, en
el desarrollo de sus operaciones, tienen presente los riesgos
a los que se enfrentan, pero no siguen un proceso formal ni
estandarizado, ni los resultados se consolidan de manera integral
y escalan a los órganos de gobierno pertinentes.
Respecto a las oportunidades de mejora en materia de gestión

de riesgos y control interno, más del 50% de las empresas
participantes indicó que la principal necesidad que enfrentan es la
de fortalecer la cultura de control en sus organizaciones, así como
la optimización de sus procesos. Esta preocupación es reflejo
de que muchas empresas fracasan en la búsqueda de elevar sus
estándares en la gestión de riesgos y aspectos de control interno,
sin el desarrollo de la cultura de control. La cultura es el reflejo
de lo que se hace y no de lo que se dice que se hace. Una cultura
compartida, producto de vivir los valores y el código de ética de
la organización, es un elemento fundamental en el gobierno y
desempeño de una organización, pues contribuye a no tolerar lo
incorrecto y a lograr la sostenibilidad del negocio.
Con relación a la existencia de un código de conducta, resulta

importante resaltar que el 79% de las empresas participantes
señaló que cuenta con uno. Cuando se analizó este ratio en
función a las empresas públicas o privadas, se obtuvo un hallazgo
importante: en el grupo que cotiza sus valores en los mercados
bursátiles, la proporción de empresas que cuenta con un código
de conducta es superior (89%) al de las otras empresas.
Asimismo, en el 97% de las empresas que cuentan con un código

de conducta lo proporcionan al trabajador al momento de su
incorporación; sin embargo, no han implementado un proceso de
adherencia obligatoria y periódica (por ejemplo: anual), luego de
la incorporación.

Respecto a la existencia de un canal de denuncias para reportar

de manera anónima las irregularidades, riesgos de integridad o
potenciales violaciones al código de conducta, se identificó que el
54% de las empresas participantes cuenta con uno, siendo la vía
telefónica el canal mayoritariamente puesto a disposición para
que se reporten tales denuncias. Resulta relevante destacar que
el 87% de las empresas participantes realizan capacitaciones o
campañas de difusión sobre sus canales.
Referente a la existencia de un plan de contingencia, crisis y

continuidad del negocio, se ha identificado que el 48% de las
empresas participantes indicó contar con este plan. Al ahondar
más sobre el tipo del plan y riesgos que cubre, identificamos que
se tratan principalmente de planes orientados a mantener la
operación de los sistemas de información y de generar copias de
respaldo (back-ups) para evitar la pérdida de información. Con
esto, se puede concluir que los planes de contingencia, de gestión
de crisis, de recuperación de desastres y de continuidad del
negocio con los que cuentan las empresas no cubren de manera
integral los riesgos de continuidad, tan sólo riesgos que impactan
en áreas específicas (sistemas de información).
Con relación a la función de cumplimiento normativo, el 78% de

las empresas participantes señaló contar con un líder de dicha
función, siendo en casi el 60% el Oficial de Cumplimiento o el
Asesor Legal el responsable de la misma. Lo anterior responde
a la preocupación que tienen las empresas respecto de las
contingencias legales a las que están expuestas y a la exigencia
regulatoria, cada vez más creciente e intensa. Recordemos que
este riesgo representó la segunda prioridad del ranking de los 5
principales riesgos que enfrentan las empresas participantes del
estudio.

3. Auditoría interna
En el presente estudio se refuerza que la función de auditoría

interna es una actividad independiente y objetiva, de
aseguramiento y consulta, que evalúa y supervisa la efectividad
de las funciones de gestión de riesgos, control interno y gobierno.
Resulta interesante conocer que el 83% de las empresas

participantes manifestó contar con una función de auditoría
interna. Cuando se consultó al 17% restante sobre las razones por
las cuales no contaban con dicha función, afirmaron que perciben
un adecuado ambiente de control en su organización, por lo que
sería innecesario contar con esta función.
De las empresas participantes que cuentan con una función

de auditoría interna, el 18% indicó que ésta es tercerizada o
parcialmente tercerizada. Según lo señalado por este grupo,
los principales motivos para contar con apoyo externo es poder
acceder a personal calificado y especializado, obtener mayor
independencia y acceder a prácticas líderes. De acuerdo a los
últimos estudios realizados por nuestra firma a nivel global, la
tendencia es tercerizar está función con empresas calificadas,
para permitir a las compañías focalizar su atención y esfuerzos en
el desarrollo de su estrategia y en sus procesos de negocio.
Aquellas organizaciones que no cuentan con una función de

auditoría interna tienen planes para incorporarla en el corto y
mediano plazo. Esto denota que las empresas peruanas, poco a
poco, van siendo más conscientes del importante rol que tiene
esta función y los beneficios que trae. Lo anterior explica que
el 52% de las empresas participantes indicó que la función de
auditoría interna ocupa un rol estratégico en su organización.
Respecto de los principales atributos de la función de auditoría

interna, el 69% de las empresas participantes señaló haber
definido formalmente el propósito, autoridad y responsabilidad
de la función; el 58%, que la percibe como función independiente;
y que el 62%, reporta al Directorio. Resulta interesante comentar
que cuando se compara la percepción de independencia que
las empresas tienen sobre su función de auditoría interna y la
independencia “real”, evaluada en función su línea de reporte al
Directorio, identificamos que la percepción es un 20% superior a la
independencia “real”.

Con relación a la aptitud y cuidado profesional para el desarrollo

de la función de auditoría interna, no sorprende encontrar que
cuanto más ingresos percibe la compañía, más cantidad de
miembros integran su función de auditoría interna. Por otro lado,
las especializaciones de los miembros que integran dicha función
son -en su mayoría- de contabilidad, sistemas de información y
conocimiento operacional.
Es válido también indicar que ante el caso de que los auditores

internos carezcan de los conocimientos, las aptitudes u otras
competencias necesarias para llevar a cabo la función, es deber
del Director de Auditoría Interna obtener asesoramiento y
asistencia. Nuestro estudio reveló que el 70% de las asesorías
subcontratadas son las de fraude y estudio forense, así como las
de sistemas de información.
Referente a la ejecución de los programas de aseguramiento y

mejora de la calidad de la función de auditoría interna, sólo el
6% de las empresas participantes realizan evaluaciones externas
de calidad de la función, y son las que cuentan con los niveles
de ingresos más altos. Esto es un resultado esperado, ya que en
el Perú sólo para las empresas del sector financiero es exigible
someter a la función de auditoría interna a evaluaciones externas
de calidad cada 5 años; y dado que en nuestro estudio hemos
excluido este sector, no sorprende que las empresas participantes
aún no hayan efectuado este tipo de evaluaciones.
De acuerdo con las prácticas líderes de gestión de riesgos,

los riesgos del negocio deben ser identificados, evaluados y
gestionados por la Gerencia, y le corresponde a la Función de
Auditoría Interna evaluar –de manera independiente y objetiva-
cada etapa de este proceso. En relación a esto, resulta relevante
indicar que el 66% de las empresas participantes señaló que el
área de auditoría interna es quien identifica y evalúa los riesgos,
en vez de que lo realice la Gerencia. Esto denota que aún la
gestión de riesgos está en proceso de cobrar relevancia como
parte de la gestión del negocio; es decir, del día a día de las
operaciones, realizada por los miembros de la Gerencia.

Con relación a la focalización en los riesgos críticos por parte de
la función de auditoría interna, resulta gratificante conocer que
el 80% de las empresas participantes afirmó que esta función se
focaliza en estos riesgos. A su vez, resulta satisfactorio conocer
que el 79% considera que la función de auditoría interna está
dentro o supera las expectativas.
En cuanto a la elaboración del plan de auditoría interna, el 61%

de las empresas participantes afirmó que cuenta con uno basado
en riesgos, y que conforme se incrementa el nivel de ingresos de
las empresas, sus funciones de auditoría interna tienden a contar
con planes basados en riesgos y en percibir un mayor presupuesto
para la ejecución de su función.
Finalmente, nuestro estudio identificó que existe la necesidad de

contar con herramientas tecnológicas que permitan automatizar
la función de auditoría interna. De acuerdo a lo señalado por
el 64% de las empresas participantes que cuenta con una
herramienta de soporte, se sienten insatisfechos o les resulta
indistinto contar o no con dicha herramienta.
Esperamos que este estudio contribuya a sus conocimientos sobre

prácticas de gobierno, gestión de riesgos y auditoría interna y
sea un instrumento de referencia para promover y fortalecer las
prácticas de riesgos y control, bajo una dimensión más proactiva,
participativa, formalizada y alineada a la estrategia del negocio.

V
Ficha técnica

Empresas y
ejecutivos entrevistados
A continuación se presenta la composición de las
empresas y ejecutivos entrevistados que formaron
parte del presente estudio: 133
Empresas
participantes
133
Ejecutivos
entrevistados

V Ficha técnica
9Industrias
Energía y electricidad 3%
Servicios 6%
Hidrocarburos 7%
Manufactura 8%
Agropecuario y pesca 11%
Transportes y telecomunicaciones 12%
Minería 14%
Construcción 17%
Comercio y consumo masivo 22%
0 5 10 15 20 25
Distribución
Ingresos Empleados
Ingresos Cantidad de
S/ (millones) empleados
De 0 a 500 55% De 0 a 1,000 57%

De 501 a 2,000 23% De 1,001 a 5,000 35%
Más de 2,000 22% Más de 5,000 8%
% %
0 10 20 30 40 50 60 70 0 10 20 30 40 50 60 70
Directores 19%
Gerentes Generales 21%
CFO y Gerentes Centrales 35%
Directores de Auditoría 25%
0 10 20 30 40

Contactos

EY Perú
Paulo Pantigoso
Country Managing Partner
paulo.pantigoso@pe.ey.com
Jorge Acosta
Socio líder de Consultoría
jorge.acosta@pe.ey.com
Elder Cama
elder.cama@pe.ey.com
Giuliana Guerrero
giuliana.guerrero@pe.ey.com Lima
Av. Víctor Andrés Belaúnde 171,
Fabiola Juscamaita San Isidro – Lima
fabiola.juscamaita@pe.ey.com Telf.: +51 1 411 4444
Víctor Menghi Arequipa

Av. Bolognesi 407,
victor.menghi@pe.ey.com
Yanahuara – Arequipa
Telf.: +51 54 484 470
Geraldine Mouchard
geraldine.mouchard@pe.ey.com Chiclayo
Av. Federico Villarreal 115, Salón Cinto,
Cecilia Ota Chiclayo – Lambayeque
cecilia.ota@pe.ey.com Telf.: +51 74 227 424
Trujillo
Renato Urdaneta
Av. El Golf 591, Urb. Del Golf III Etapa.
renato.urdaneta@pe.ey.com Víctor Larco Herrera 13009, Sala Puémape,
Trujillo – La Libertad
Raúl Vásquez Telf.: +51 44 608 830
raul.vasquez@pe.ey.com
Agradecimientos

En esta edición colaboraron:
Jorge Acosta
Giovanni Alvarado
Christian Arauco
Andrés Arizmendi
Willie Arrascue
Carlos Aspiros (diseño y diagramación)
Pierina Broncano
Julio Camones
Lisbeth Casafranca
Ethealy Chumbimune
Nathalie Gambini
Jorge Garrido
Marcela Gutiérrez
Fabiola Juscamaita
María Koechlin
Winlon Lu
Daniela Maúrtua
Óscar Meléndez
Miya Mishima
Valentina Peñaloza
Sofía Pérez
Sandra Ramos
Lisseth Rojas
Lúcia Rojas
Alex Salazar
Cristián Tejada
Renato Urdaneta
Zoila Vásquez
Declaración
Esta publicación contiene información en forma resumida y está pensada solamente como una guía general de
referencia y de facilitación de acceso a información. Este documento, de ninguna manera, pretende sustituir
cualquier investigación exhaustiva o la aplicación del criterio y conocimiento profesional. Asimismo, la constante
dinámica de los mercados y su información resultante puede ocasionar la necesidad de una actualización de la
información incluida en este documento. EY no se hace responsable por los resultados económicos que alguna
persona, empresa o negocio pretenda atribuir a la consulta de esta publicación. Para cualquier tema de negocios y
asesoría en particular, le recomendamos contactarnos.
EY | Advisory | Assurance | Transactions | Tax
Acerca de EY
EY es el líder global en servicios de auditoría,
impuestos, transacciones y consultoría. La
calidad de servicio y conocimientos que
aportamos ayudan a brindar confianza
en los mercados de capitales y en las
economías del mundo. Desarrollamos líderes
excepcionales que trabajan en equipo para
cumplir nuestro compromiso con nuestros
stakeholders. Así, jugamos un rol fundamental
en la construcción de un mundo mejor para
nuestra gente, nuestros clientes y nuestras
comunidades.
Para más información visite www.ey.com
© 2017 EY
All Rights Reserved.
Descargar nuestras
publicaciones y guías en:
ey.com/PE/EYPeruLibrary
/EYPeru
@EYPeru
/company/ernstandyoung
EYPeru
perspectivasperu.ey.com
ey.com/pe

EY - Gestión de Riesgo y Gobierno Corporativo PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

EY - Gestión de Riesgo y Gobierno Corporativo PDF

Cargado por

Copyright:

Formatos disponibles

Servicios de Consultoría

Promoviendo el desarrollo de una cultura de prevención |

| Promoviendo el desarrollo de una cultura de prevención

III Auditoría interna

Promoviendo el desarrollo de una cultura de prevención |

En EY no podemos ser indiferentes a esta necesidad, y buscamos

Deseamos agradecer a aquellos que participaron en nuestro estudio

En EY nos encontramos a su disposición para atenderlos en lo que

La manera como las empresas gobiernan y gestionan sus riesgos en

En EY Perú tenemos el firme compromiso de ayudar a impulsar el

El presente estudio se realizó entre setiembre de 2016 y enero de

I. Gobierno de riesgos: Recoge las principales prácticas de gobierno

II. Gestión de riesgos: Presenta un análisis de los riesgos más críticos

III. Auditoría Interna: Damos a conocer cuán alineadas están las

Agradecemos a todas las empresas y ejecutivos entrevistados que

Renato Urdaneta Fabiola Juscamaita

6 | Promoviendo el desarrollo de una cultura de prevención

Estudios recientes muestran que mitigar los riesgos que

El principio de gobierno más importante de una organización

Este capítulo analiza cómo cierto grupo de empresas

Promoviendo el desarrollo de una cultura de prevención | 7

Las prácticas líderes de gobierno corporativo coinciden en que la tarea

La estrategia del negocio incluye, de manera consubstancial, la

8 | Promoviendo el desarrollo de una cultura de prevención

En nuestro estudio, el 64% de las empresas participantes incorporan

En adición, los tres sectores que incluyen una mayor proporción de

Proporción de miembros independientes

En el Perú no existe una ley que requiera la inclusión de miembros

Promoviendo el desarrollo de una cultura de prevención | 9

Como antes indicamos, de acuerdo con los resultados de nuestro

Proporción de miembros independientes

Número de miembros del Directorio

La Junta General de Accionistas define el número óptimo de miembros

A continuación se muestra la distribución del número de directores en

10 | Promoviendo el desarrollo de una cultura de prevención

Distribución del número de miembros de los Directorios

De acuerdo con nuestro estudio:

Promoviendo el desarrollo de una cultura de prevención | 11

No existe una definición precisa de cuál es el número óptimo de

Relación entre el nivel de ingresos de una empresa y el número

Promedio de cantidad de directores Industria

5.85 7.50 7.69 Servicios 6.25

En adición, el segundo gráfico muestra los tamaños medios de los

12 | Promoviendo el desarrollo de una cultura de prevención

Cantidad Par Impar

Menos de 5 17% 29% 71%

Entre 5 y 10 77% 77% 23%

Más de 10 6% 71% 29%

En muchas empresas, el quórum del Directorio se obtiene con la mitad

Promoviendo el desarrollo de una cultura de prevención | 13

Como resultado de este estudio se observó que el 67% de las

Conformación de comités especializados

No Sí Riesgos 81% 19%

presentados por los emisores más líquidos a la SMV - 2015.

14 | Promoviendo el desarrollo de una cultura de prevención

Finalmente, se observó que en el 96% de los casos, las empresas que

Conformación de un comité de auditoría

De acuerdo con nuestro estudio, el 70% de las empresas que

A continuación se resumen los resultados obtenidos:

1Big Four: Las firmas auditoras más influyentes del mundo.

Promoviendo el desarrollo de una cultura de prevención | 15

16 | Promoviendo el desarrollo de una cultura de prevención

Una adecuada gestión integral de riesgos permite a las empresas