Corporación Aceros Arequipa S.A.

Corporación Aceros Arequipa S.A. (CAASA) es una empresa peruana dedicada a la producción y
comercialización de acero. Fue fundada en 1964 en la ciudad de Arequipa, iniciando sus
operaciones en 1966 con la producción y comercialización de perfiles y barras lisas de acero para
la industria metal-mecánica, construcción y de carpintería metálica. Por la alta calidad de sus
productos, Aceros Arequipa se convirtió rápidamente en el principal abastecedor de estos
productos en todo el Perú.

CAASA se preocupa en forma constante por el cuidado del medio ambiente y el bienestar de las
comunidades que la rodean y como parte de su proceso de mejora, Corporación Aceros Arequipa
ha invertido continuamente en tecnología a fin de mejorar el desempeño de sus operaciones y
procesos, alcanzando las certificaciones ISO 14001, norma que puntualiza los requisitos de
implantación y mantenimiento de un Sistema de Gestión Ambiental (SGA) y el OHSAS 18001,
norma que evalúa los Sistemas de Gestión de la Seguridad y Salud Ocupacional.

Los productos que la corporación ofrece son destinados a diferentes segmentos:

 Construcción Industrial
 Autoconstrucción
 Carpintería Metálica
 Arquitectura y Diseño
 Minería
 Metal Mecánica
Los productos y servicios más importantes que poseen son:
 Barras y Perfiles
 Barras de Construcción
 Alambrones y Derivados
 Planchas y Bobinas
 Barras y Accesorios de fortificación
 Tubos
 Planchas Especiales
 Asesoría Geomecánica
 Acero Dimensionado

Hoy en día, produce 700,000 toneladas de acero líquido anuales; de esta manera, Corporación
Aceros Arequipa se consolida como una empresa moderna y sólida que fabrica productos de
calidad internacional, cuyo principal objetivo es continuar satisfaciendo las necesidades del
mercado nacional y regional, contribuyendo al desarrollo del Perú.
 1. Evaluación de la conciencia de la importancia del control interno

Para la Corporación Aceros Arequipa, el riesgo es la probabilidad de ocurrencia de un hecho o

situación no deseada, que por su efecto impacta significativamente sobre la ejecución y marcha
del proceso o sobre su resultado. Los riesgos pueden surgir internamente sobre las operaciones y
actividades de la compañía, como también de fuentes y eventos externos independientes de las
operaciones/intereses de la corporación.

El riesgo se puede manifestar en impactos, como daño físico, lesiones, impacto ambiental,
pérdidas o ganancias económicas/financieras. Los cuales pueden ser resultado de tomar o dejar de
tomar un determinado curso de acción, o de estar sujetos a influencias externas.

El riesgo de que ocurra un incidente, está compuesto de dos elementos principales, las
consecuencias que surgirán, si sucede; y la probabilidad de que algo pueda ocurrir. Por lo tanto,
las acciones que se tomen para manejar el riesgo deben eliminar/limitar las consecuencias
resultantes si ocurre un incidente, o eliminar/reducir la probabilidad de ocurrencia del evento.

La Corporación Aceros Arequipa está expuesta a un rango considerable de riesgos inherentes a sus
diversas operaciones y entidades. Éstos incluyen precio de las materias primas, pérdida de activos,
pérdida del uso de algún activo, tasa de cambio, sustitución del producto, riesgos industriales,
legales y del medio ambiente.

En este contexto, el manejo de riesgos se define como la aplicación sistemática de políticas,

procedimientos y prácticas de manejo en las tareas de identificar, analizar, evaluar, tratar y
monitorear los riesgos. Una herramienta que apoya en la toma de decisiones a través de la
práctica en toda la organización, considerando el futuro y a quienes realizan esas acciones.

El manejo de riesgos busca cuantificar, controlar y reducir la probabilidad y las consecuencias de

fallas, mediante la investigación, la evaluación y la comprensión de los riesgos involucrados en el
desarrollo y operación del negocio. Dentro del proceso, se considera la perspectiva de la gerencia
y de la parte operativa, lo cual contribuye a expresar la probabilidad de los incidentes en un rango
de términos de posibilidad de ocurrencia y frecuencia.

Este proceso toma en cuenta el ciclo completo de vida del área bajo estudio (equipos,
instalaciones, proyectos, finanzas, etc.). Comienza en la fase de concepto y termina en la fase de
disposición. Por un lado, el análisis de riesgos se enfoca en comprender los riesgos (pérdidas/
ganancias potenciales); y en la probabilidad (posibilidad de ocurrencia y frecuencia), que es
consecuencia de esos peligros y el riesgo resultante. Por otro lado, la evaluación de riesgos,
contrasta los riesgos analizados con criterios de aceptación.

Para que la etapa de identificación sea efectiva, todos los interesados deben estar involucrados y
los miembros del equipo de estudio deben ser experimentados y conocedores del proyecto, el
proceso, la actividad o el activo que es sujeto del estudio. Se pueden usar muchos métodos o
herramientas diferentes para identificar los riesgos, dependiendo de la naturaleza del proceso,
proyecto o actividad que se está estudiando. A continuación, de presentan algunas metodologías
utilizadas por CAASA.
  Revisión de los datos históricos de CAASA o de otras organizaciones con procesos,
sistemas o maquinarias similares.
 Revisión de los datos históricos de la industria.
 Realizar sesiones de lluvia de ideas, involucrando a personal conocedor.
 Usar la experiencia personal.
 Realizar inspecciones físicas o auditorías.
 Usar un cuestionario de encuestas.
 Realizar un modelaje operativo.
 Referirse a Estándares o Legislación.
 Usar datos sobre frecuencia de fallas.
 Analizar las fuerzas, las debilidades, las oportunidades y las amenazas (Análisis FODA).
 Usar listas de revisión basadas en conocimientos.
 Usar flujogramas.
 Realizar Estudios de Riesgos y Operatividad (HAZOP)
 Aplicar un análisis de árbol de fallas.
 Aplicar un análisis de árbol de eventos.
 Aplicar un análisis del escenario.

La planificación, la implementación y el monitoreo de las medidas de control son, con frecuencia

los recursos intensivos del proceso de manejo de riesgos. Es ahí donde con frecuencia se requieren
una cantidad significativa de costos y tiempo. La integración formal de un manejo de riesgos en el
ciclo del proceso de negocios para elaboración de presupuesto, etc., ayudará a lograr la
implementación exitosa de las medidas de control Adicionalmente, un plan formal documentado
de reducción de riesgos y un sistema de monitoreo, brindan la disciplina profesional y la
transparencia que se requiere en las actividades efectivas de manejo de riesgos.

Se considera que un adecuado programa de manejo de riesgos permitirá identificar y avanzar las
oportunidades, al igual que identificar los escenarios que pudieran impedir el logro de los
objetivos de la corporación. El resultado del buen manejo de riegos será que CAASA mantendrá
todos sus riesgos bajo control.
 2. Matriz de Riesgos

La Corporación Aceros Arequipa S.A. realiza un mapa de riesgo semestral del proceso de
almacenamiento de productos que fabrica. El proceso inicia través de una reunión semestral,
donde participan el gerente de producción, el auditor interno, el jefe de almacenamiento, los
supervisores y algunos trabajadores operativos. El intercambio de ideas y opiniones surgen a partir
de los resultados de las inspecciones físicas y auditorías realizadas.

Como resultado de la reunión y con el aporte de la herramienta Auditool, una guía para la
identificación de riesgos y controles sugeridos dentro del proceso, que busca orientar al Gerente o
Auditor, y por lo cual cada compañía deberá analizar la viabilidad de los controles sugeridos de
acuerdo a los riesgos de su industria; se obtiene la “Matriz de Riesgos y Controles”.

A continuación, se presenta la Matriz de Riesgos del proceso de Almacenaje de Mercaderías

Productos Terminados en Almacén Lima, la cual hace referencia a los 08 principales riesgos
identificados y evaluados.

En la matriz, se incluye la etapa de valoración y priorización de cada uno de los procesos con base
en los riesgos ya identificados. La valoración consistirá en asignar a los riesgos calificaciones
dentro del rango do 0 a 5, dependiendo del impacto y la probabilidad de ocurrencia o frecuencia
con que se haya presentado en los procesos, acorde con la siguiente gráfica:

VALORACIÓN DE RIESGOS
ALTO 4 5 5
IMPACTO MEDIO 3 3 5
BAJO 1 3 4
BAJO MEDIO ALTO
FRECUENCIA O PROBABILIDAD DE OCURRENCIA

Como elementos nuevos figuran:

IMPACTO: Efecto que puede tener el riesgo en el momento de presentarse, la valoración va de

bajo a alto en la medida en que mayor sea esa repercusión, sobre el área o proceso en el
momento en que el riesgo sucediera. De no haberse presentado nunca, debe tenerse en cuenta
todas las consecuencias, ya sean físicas, económicas, legales, sociales, de gestión, cobre las cuales
intervenga el riesgo evaluado.

FRECUENCIA O PROBABILIDAD DE OCURRENCIA: Se entenderá como el número de veces en que

un evento considerado como riesgo se ha presentado o tiene la posibilidad de presentarse durante
un plazo de tiempo, dejando libertad al evaluador si esa frecuencia es alta; es decir, para un
almacenista un robo al año es altamente frecuento, o para una oficina de quejas 100 quejas al año
atendidas fuera de los plazos es altamente frecuente.

El resultado de la gráfica se conocerá como exposición a los riesgos y facilitará la priorización de

los mismos, siendo los valorados con 5, es decir los de la zona que exposición alta, los que serán
objeto de observación y análisis prioritario.
Nivel de madurez de la estructura del control interno

Luego de revisar la Matriz de Riesgos y Controles del proceso de Almacenaje de Mercaderías

Productos Terminados en Almacén Lima, podemos deducir que el nivel de madurez de la
estructura del control interno se encuentra en el nivel 4 – Monitoreado. Esto se debe a que la
compañía posee controles estandarizados dentro de la matriz, en los que se preparan reportes
para la jefatura y gerencia. Además, se aplican herramientas que soportan las actividades de
control como son los procesos de auditoria interna, que actúan al encontrar ciertas fallas en los
controles establecidos.
 3. Identificación de controles de acuerdo a los tres componentes del COSO

Para todo tipo de empresa, el control es el único mecanismo efectivo que asegura el cumplimiento
de objetivos, propósitos, procesos y actividades de la organización; por lo tanto, la identificación
de estos controles es vital. A continuación, se presentará un cuadro con los tres componentes del
COSO, en el cual se identificarán los controles que la empresa aplica para cada área y el tipo de
evidencia obtenida que les asegura el cumplimiento de estos.

Componentes Descripción del Evidencia del Presentación

Tipo de control
del control control control del control
Definición de un Todos los nuevos Lista de los Físico y virtual
código de ética ingresantes a Aceros asistentes a la
para todo el Arequipa reciben una inducción del
personal de la inducción del código Código de ética
empresa de ética que de la empresa
establece
parámetros para que
el personal no actúe
de forma fraudulenta
ante cualquier tipo
de actividad a
realizar.
Comité de Reuniones del Actas de las Informes físicos
auditoría comité de auditoría reuniones del
para que la comité de
información de la auditoría
Ambiente de empresa sea
control confiable. De este
modo, todos los
miembros de la Alta
Gerencia puedan
estar al tanto de los
sucesos importantes
que ocurren en
Aceros Arequipa

Línea de Línea de denuncias Número de Informe

denuncias que esta siendo reportes cada
implementada para tres meses.
que puedan reportar
malos
comportamientos
por parte de los
colaboradores
Evaluación de Reunión entre Reunión mensual Actas de las Físico.
Riesgo auditoría interna entre auditoría reuniones
y el comité de interna y el comité mensuales que
auditoría de auditoría. En ella incluyan la
el Gerente de aprobaciones
Auditoría Interna de los planes
presenta su
evaluación de riesgos
más críticos y se
propone planes de
acción con tiempos
establecidos. Estos
deben ser aprobados
por el comité de
auditoría.
Rango de La Compañía cuenta Acta de Físico
Calificación de con una metodología reuniones
Riesgos para evaluar el iniciales para
impacto de los establecer
riesgos de la metodologías
Compañía. Si el
riesgo es calificado
alto, es debido a que
luego de la
evaluación del
proceso, podría
afectarse a los
objetivos
estratégicos así
como los objetivos
del proceso y no
existe nada para
mitigarlo. Si el riesgo
es moderado, es
porque se afectan los
objetivos
estratégicos pero
existen controles
alternos dentro del
proceso que reduce
el riesgo. Si el riesgo
fuera bajo, se debe a
que solos e están
afectando los
objetivos del
proceso.
Mapeo de Área de auditoria Mapa de Virtual
procesos y interna es la riesgos
riesgos encargada de
mapear los procesos
 para encontrar los
riesgos asociados. Se
realiza a través de
entrevistas con las
personas
involucradas y
lectura de políticas y
procedimientos. Así
se pueden tomar
planes de acciones
que serán
comunicados al
comité de auditoría.
Boletín Las personas dentro Boletín semanal Físico
informativo de la Compañía
tienen conocimiento
de nuevos ingresos,
noticias sobre Aceros
Arequipa y toda
comunicación a
través de boletines
semanales
entregados a todos
los trabajadores.
Información y
Reunión anual: Reunión al inicio del Reporte de los Informe
comunicación
Despliegue de año que la organizan asistentes al
objetivos los gerentes de cada Despliegue de
área, en la cual van a Objetivos
todas las sedes para
transmitir a todos los
empleados los
objetivos
estratégicos de cada
área para este nuevo
año en Aceros
Arequipa

4. Recomendaciones para los controles eficaces

Aceros Arequipa es una gran Corporación que ha venido enfocándose últimamente en tener
buenas prácticas de gobierno corporativo. Por ello, la empresa cuenta con diferentes controles
tanto formales como informales y se han podido recoger en la entrevista y con la información
brindada por el contacto. Para que los controles que se tienen sean eficaces y luego se puedan
probar para conocer su eficacia, existen algunas recomendaciones que se proponen para
mejorarlos y se espera que la Gerencia acepte los comentarios realizados.
4.1 Definición de un código de ética para todo el personal de la empresa
El código de ética es una de las primeras informaciones que se les brinda a los trabajadores al
ingresar a Aceros Arequipa. Esto se plasma en las capacitaciones que se brindan por grupos al
ingresar. Si no se tiene un control adecuado de esto, al ser una industria muy amplia y con
tantos trabajadores, podrían existir trabajadores que no cumplan con el código de ética y
nadie los reporte. Es por ello que se sugiere lo siguiente:
a) Deben existir charlas sobre el código de ética una vez al año para todos los
trabajadores de la compañía. De este modo, ellos podrán tener un recordatorio de lo
que la Compañía espera de su conducta.

Nuevo control: Todos los trabajadores de Aceros Arequipa reciben una charla anual del
código de ética para que tengan conocimientos de los parámetros establecidos para que el
personal no actúe de forma fraudulenta ante cualquier tipo de actividad a realizar. Esto se
termina con un examen escrito.

Evidencia de control: Listado de todos los trabajadores que aprobaron el examen escrito
que se tomó al final de la charla anual del código de ética.

4.2. Comité de auditoría

El Comité de auditoría es importante para el ambiente de control porque brinda mayor
seguridad a los trabajadores que la información que se presenta tanto para la empresa como
para los terceros es más confiable. Pero si no se reúnen en fechas estimadas podría afectar
esta seguridad que brindan. Por ello se recomienda:
a) Establecer un mínimo de reuniones, sino puede suceder el caso de que no se reúnan
más que una vez en el año y así no sea eficaz el control. Asimismo, se debería indicar
que las personas del comité tienen conocimientos que ayuden a su revisión

Nuevo control: Reuniones cada mes por parte del Comité de Auditoría (formado por
directores con conocimiento de finanzas) para revisar y tratar asuntos importantes para la
compañía.

Evidencia: Documentación en actas de las decisiones que tome el Comité de auditoría en

sus reuniones cada mes. Así como el CV de cada persona cada vez que se tenga alguna
modificación.

4.3. Línea de denuncias

La línea de denuncias va a ayudar a esta gran Corporación a que se tenga un mejor alcance
para conocer si los empleados están realizando malas prácticas que podrían convertirse en
prácticas aceptadas si no se realiza algo al respecto. Para ello, están implementando este
control y sería bueno que se tenga un control bien específico para que no falle. Por ello se
sugiere:
 a) La línea de denuncias a implementarse tiene que asegurar la anonimidad de todas las
personas y de preferencia que no sea manejada por nadie de la corporación.

Nuevo control: La línea de denuncias va a ser publicitada para todos los trabajadores via
intranet, la cual asegurará el anonimato del denunciante y se hará un seguimiento de los
casos. Los casos en investigación serán publicados cuando surjan.

Evidencia: Reporte de los casos en seguimiento. Así como los terceros que lo manejen
tendrán reportes que sustenten el uso de esta línea de denuncias.

4.4. Reunión entre auditoría interna y el comité de auditoría

La empresa ha empezado a tener énfasis en mejorar sus prácticas de gobierno corporativo.
Para ello, desde diciembre está implementándolas. Así, cada mes se realizan reuniones entre
el comité de auditoría y el Gerente de Auditoría interna para tomar mejores decisiones. Sin
embargo, todas las partes deberían tener conocimiento de las decisiones. Por ello se sugiere:
a) Las decisiones de las reuniones deben ser informadas a los otros miembros del
directorio que no forman parte del comité de auditoría.

Nuevo control: Reunión mensual entre auditoría interna y el comité de auditoría para
aprobar el plan de acción que presente el Gerente de auditoría. Esta decisión debe ser
transmitida al resto de los directores de la Compañía.

Evidencia: Actas de las reuniones mensuales que certifiquen la aprobación o no de lo

propuesto.

4.5. Rango de Calificación de Riesgos

Para formalizar por completo esta parte importante de la evaluación de riesgos. Se sugiere:
a) Formalizar en un manual la metodología que el área de auditoría interna ha aplicado
para evaluar sus riesgos. De este modo, es de conocimiento general cómo se toman las
decisiones y no se tiene una evaluación arbitraria.

Nuevo control: Manual en el cual se encuentre la Metodología para evaluar riesgos es de

acuerdo a criterios establecidos por el área de Auditoría interna y se relacionan con los
objetivos de Aceros Arequipa. Este es entregado a todos los trabajadores de Auditoria
Interna cuando ingresen.

Evidencia: Manuales en los cuales se encuentren formalizadas la metodología y medición

del riesgo. Además de una lista de recepción del manual.

4.6. Mapeo de procesos y riesgos

El mapeo de procesos y riesgos es uno de los principales puntos en la evaluación de riesgos.
Por ello, no se puede dejar de lado al realizarlo una sola vez. Por más que la empresa se haya
ayudado al inicio del apoyo de una consultora externa contratada por el directorio antes de
instaurar el área de auditoría interna. Por ello se sugiere:
a) Que este proceso se realice anualmente. De este modo, el área de auditoría interna
que se encuentra trabajando para mejorar los controles de la Compañía puede
identificar posibles fallas en lo que ya se tiene

Nuevo control: Mapeo anual de los riesgos y procesos que tiene Aceros Arequipa

Evidencia del control: Documento de la matriz de riesgos y procesos que presentan al

comité de auditoría.

4.7. Boletín informativo

Aceros Arequipa tiene un área específica de comunicaciones la cual se encarga de realizar
diferentes actividades para que todos los trabajadores se mantengan informados. Es así que
se les entrega un boletín informativo semanal. Sin embargo se recomienda para mejorar el
control:
a) Este control debería estar disponible de forma virtual para mayor alcance de la
Compañía.

Nuevo control: Entrega a los trabajadores tanto virtual y física de boletines informativos
semanales sobre información relevante y de conocimiento para todos los trabajadores de
Aceros Arequipa.

Evidencia de control: Recepción de cada sede de los boletines.

4.8. Reunión anual: Despliegue de objetivos

La reunión de despliegue anual ayuda a que los empleados se mantengan comunicados. Sin
embargo, este control no te asegura que todos vayan a tomar atención a lo que se dijo y que
lo retengan. Por ello se recomienda:
a) Que sea obligatoria la asistencia a la reunión y esté disponible luego de la reunión.

Nuevo control: Reunión obligatoria anual de despliegue de objetivos de Aceros Arequipa

para cada una de las sedes dictada por los gerentes de cada área.

Evidencia: Reporte de los asistentes a la reunión de Despliegue de Objetivos, realizada

anualmente por Aceros Arequipa.
5. Programa de trabajo para probar la efectividad del control identificado.

Para revisar los controles de la compañía, nuestro grupo ha generado un programa de trabajo
basado sobre controles eficientes, en el cual algunos de los controles revisados son
recomendaciones del grupo. A continuación, se presentara un cuadro analizando los controles
según la naturaleza, oportunidad y alcance.