Sin riesgo no hay recompensa
Anuncio
Sin riesgo no hay recompensa Encuesta sobre Gobierno, Riesgo y Cumplimiento 2015 Contenido Presentación1 Enfrentando riesgos de una forma diferente 2 Construyendo una organización “consciente” de los riesgos 4 Paso 1. Avanzar: pensamiento estratégico para mejorar la creación de valor 6 Paso 2. Optimizar: funciones y procesos para ejecutar de manera efectiva la estrategia de riesgos 12 Paso 3. Implementar: soluciones para responder proactivamente a los riesgos y mejorar el desempeño 18 Una sólida organización “consciente” de los riesgos 24 Una estrategia de negocio: tres diferentes respuestas a los riesgos 28 Las mayores preocupaciones actuales de negocios necesitan nuevas respuestas al riesgo 30 Hallazgos de la Encuesta 35 Otros hallazgos en Perú 44 Metodología aplicada en la encuesta 50 Presentación Sin riesgo no hay recompensa: ¿puede el riesgo ser algo bueno? Los riesgos son mucho más agresivos de lo que solían ser. Nuevos riesgos surgen cada día a medida que los mercados cambian, la inestabilidad política interrumpe las cadenas de suministro y las nuevas tecnologías empujan las límites de los escenarios de riesgos. Sin embargo, mientras que muchas organizaciones ven el riesgo como algo negativo, una apropiada gestión del riesgo puede ayudar a las compañías a ir más rápido en el logro de sus objetivos. Las organizaciones que identifican y gestionan sus riesgos de manera correcta están en mejores condiciones de crecer y mantener su éxito. Por ello, ponemos a su disposición nuestra publicación Sin riesgo no hay recompensa – Encuesta sobre Gobierno, Riesgo y Cumplimiento 2015 (en adelante Encuesta GRC 2015), mediante la cual buscamos proveer a las empresas peruanas de una herramienta que consolide las tendencias y prácticas en lo relacionado a la gestión de riesgos y Auditoría Interna. En la encuesta del presente año, preguntamos a representantes de casi 1,200 empresas, incluyendo a 33 representantes de entidades peruanas, cuán bien están gestionando sus riesgos y qué requieren para gestionarlos mejor e impulsar su desempeño. Hemos observado que las organizaciones globales y peruanas están demostrando progresos en la gestión de sus riesgos, en respuesta a escenarios cambiantes. Sin embargo, también se observa que aún existen oportunidades de mejora que se deben aprovechar. Esto requiere que las empresas mejoren en su forma de trabajar y que sean organizaciones más conscientes de los riesgos que enfrentan. Este informe recoge las perspectivas de EY sobre cómo las empresas deberían realizarlo. Deseamos agradecer a aquellos que participaron en nuestra encuesta y realmente valoramos el tiempo que se tomaron en compartir sus experiencias. Esperamos que esta información les sea de mucha utilidad en la gestión de riesgos de sus compañías. “Todo reto y oportunidad al que se enfrenta hoy cualquier organización demanda cambios, y con esos cambios surgen riesgos. Ayudamos a nuestros clientes a ver los diferentes lados del riesgo: a encontrar las oportunidades del riesgo, a protegerse del riesgo y a identificar los riesgos que aún no se conocen.” Paul van Kessel, Líder Global de Riesgos de EY Toda organización enfrenta riesgos, compartimos juntos la manera más apropiada de enfrentarlos. Jorge Acosta Socio Líder de Advisory Services de EY Perú [email protected] Sin riesgo no hay recompensa — Encuesta GRC 2015 |1 Enfrentando riesgos de una forma diferente Históricamente, los riesgos se han clasificado de varias maneras distintas. Independientemente de la forma en la que se organizan y clasifican, hay que considerar los riesgos en el contexto de su negocio para enfrentarlos de la mejor manera posible. Adopción de los usuarios Ratio de adopción de nuevas plataformas y redes sociales y móviles por los consumidores. Rentabilidad de los activos Relación del rendimiento versus sus costos de activos. Participación de mercado Retorno de la Inversión (ROI, por sus siglas en inglés) para lograr una mayor penetración en los mercados. Riesgos estratégicos Gestión del talento Al clasificar los riesgos en función a su impacto, sea positivo o negativo para el negocio, las organizaciones son capaces de cambiar su enfoque con respecto a cómo pueden identificar y responder a los riesgos, tanto internos como externos, de una mejor manera. Alcanzar los beneficios esperados al gestionar el impacto en las personas, procesos y tecnología. Hasta ahora numerosas organizaciones se han focalizado en riesgos que pueden ser gestionados a través de la implementación de controles ofreciendo poco o ningún beneficio adicional. Con el aumento de las demandas y expectativas de los stakeholders o grupos de interés de las empresas y en un contexto de negocios en constante evolución, las organizaciones líderes están realizando mayores inversiones de tiempo y esfuerzo en la gestión de los riesgos con impacto en la creación de valor. Esfuerzos deliberados para usar de manera inadecuada el puesto de trabajo para beneficio personal. Fraude de empleados Seguridad de la información Actividades no autorizadas que afectan los sistemas de información e infraestructura de la empresa. Integración financiera Integración de los diferentes sistemas. Cumplimiento de normativas Adherencia a nuevas leyes y regulaciones. 2 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Riesgos prevenibles En términos generales, los riesgos se pueden gestionar siguiendo las siguientes categorías1: Riesgos que ofrecen beneficios Riesgos que impactan en la capacidad de la organización para ejecutar sus estrategias de negocio y alcanzar sus objetivos: los riesgos estratégicos se centran en las oportunidades del riesgo. Eliminar o transferir estos riesgos, por lo tanto, no es una opción. Se debe buscar un equilibrio entre el riesgo versus su recompensa. • Riesgos estratégicos, que ofrecen beneficios positivos por lo que deben ser aceptados. • Riesgos prevenibles, que deben evitarse o mitigarse, ya que generan impactos negativos. • Riesgos externos, que no pueden ser controlados, y ofrecen impactos negativos y/o beneficios positivos. Cambios en los competidores Acciones de la competencia para bloquear una mayor penetración en el mercado. Riesgos que ofrecen beneficios positivos o negativos Riesgos que están fuera del control de la organización. Estos riesgos pueden ser impredecibles, ya que se originan fuera de la organización y por lo general tienen una baja tasa de ocurrencia. Las organizaciones deben tomar acciones para reducir a un nivel de costo eficiente la probabilidad de ocurrencia y limitar los efectos negativos de estos riesgos. Geopolíticos Cambios políticos, geográficos, demográficos y económicos que influyen en un país u organización. Riesgos externos Desastres naturales Hechos de la naturaleza cuyos impactos suelen ser significativos y provocan un efecto inmediato en la organización. Tributarios Cumplimiento de nuevas normas tributarias. Riesgos que generan impactos negativos Leyenda Las organizaciones se centran en eliminar, evitar, mitigar o transferir con un costo eficiente este tipo de riesgos, ya que no ofrecen beneficios estratégicos. Estos riesgos suelen provocar un impacto negativo cuando se produce un evento y pueden ser gestionados con efectividad a través de un enfoque basado en controles. Expansión a mercados emergentes Adquisición o enajenación Desarrollo de plataformas sociales y móviles Transformación de la función financiera 1. Robert Kaplan y Annette Mikes, “Gestión de Riesgos: un nuevo marco”, Harvard Business Review Sin riesgo no hay recompensa — Encuesta GRC 2015 |3 Construyendo una organización “consciente” de los riesgos Identificar, gestionar y responder a los riesgos debe ser una parte integral y central de las actividades diarias de una organización. Esto puede lograrse mediante la gestión efectiva de las tres categorías de riesgo: estratégicos, prevenibles y externos. Nuestra Encuesta GRC 2015 nos muestra que las organizaciones están buscando un enfoque más amplio, coordinado e innovador para gestionar exitosamente las oportunidades y retos que generan los riesgos. Esto requiere una transformación en la manera en la que la organización gestiona sus riesgos, a lo cual llamaremos construyendo una organización “consciente” de los riesgos. 4 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Los riesgos representan un reto permanente y cada día se encuentran nuevos riesgos; por ello, se requiere un enfoque escalonado para la gestión de los mismos: •Paso 1. Avanzar: pensamiento estratégico El primer paso desafía la manera en que las organizaciones clasifican, gestionan y responden a sus riesgos. Se debe pensar en los riesgos dentro del contexto del negocio y se deben diseñar planes de respuesta para enfrentar adecuadamente los riesgos identificados. •Paso 2. Optimizar: funciones y procesos El segundo paso se centra en lo que las organizaciones realizan para alinear sus funciones de forma óptima, mediante la asignación de responsables y el diseño de procesos de gestión de riesgos. Los planes de respuesta a los riesgos deben ser ejecutados con eficiencia y efectividad en cada una de las líneas de defensa (ver página 14). •Paso 3. Implementar: soluciones sostenibles El tercer paso resalta la importancia de la integración de soluciones sostenibles en la organización para prevenir, equilibrar o limitar el riesgo. Avanzar pensamiento estratégico Implementar soluciones sostenibles Optimizar funciones y procesos Avanzar Optimizar Implementar •Identificar y evaluar los riesgos •Alinear las funciones a fin de •Diseñar soluciones integrales •Diseñar la respuesta al riesgo, •Desarrollar procesos para •Implementar tecnologías para que impactan la estrategia de negocio. a fin de reducir desventajas y aprovechar el potencial de beneficio. ejecutar los planes y estrategias de respuesta a los riesgos. facilitar una mejor coordinación, comunicación y reporte. que prevengan, equilibren o limiten el riesgo. ejecutar y dar sostenibilidad a las soluciones de manera efectiva. Los tres pasos se explican en las siguientes páginas. Sin riesgo no hay recompensa — Encuesta GRC 2015 |5 pensamiento estratégico 1. Avanzar 1. Avanzar: pensamiento estratégico para mejorar la creación de valor Las organizaciones no son creadas para gestionar riesgos, son creadas para generar valor como parte de su visión y misión empresarial. Por lo tanto, tienen que focalizarse en los riesgos que afectan directamente sus estrategias y objetivos de negocio. Las organizaciones que metódicamente identifican, evalúan y responden a los riesgos que afectan a su estrategia de negocio, están mejor preparadas para definir respuestas que reduzcan el impacto negativo de los riesgos y aumenten al máximo su potencial positivo. Estas organizaciones piensan estratégicamente sobre los riesgos. Organizaciones que muestran un pensamiento estratégico avanzado: 1. Identifican y evalúan los riesgos que impactan a su negocio. 2. Diseñan planes de respuesta a los riesgos. 1. Identificación y evaluación de los riesgos que afectan al negocio Las organizaciones necesitan evaluar continuamente sus estrategias de negocio y determinar el nivel de exposición al riesgo que están dispuestos a aceptar para generar valor, lo cual es conocido como apetito al riesgo. Este enfoque permite a las organizaciones identificar y evaluar mejor sus escenarios de riesgos en el contexto de su negocio y de manera efectiva y metódica. En la Encuesta GRC 2015, el 77% de los encuestados evalúa el perfil de riesgo de su organización en forma anual, limitando su capacidad para ajustar sus estrategias de negocios frente a cambios más frecuentes. 77% de los encuestados, a nivel global y en Perú, evalúa el perfil de riesgo de su organización en forma anual, limitando su capacidad para ajustar su estrategia de negocios frente a cambios más frecuentes. Sin riesgo no hay recompensa — Encuesta GRC 2015 |7 Avanzar| Optimizar | Implementar En la tabla que se presenta a continuación, se describen algunos riesgos potenciales para cada estrategia de negocio, asociados a las tres categorías de riesgo: estratégicos, prevenibles y externos. Cada estrategia de negocio requiere tomar un riesgo estratégico en la búsqueda de una mayor recompensa (por ejemplo, un mayor ROI). También se muestran los riesgos prevenibles que deben ser gestionados y los riesgos externos que podrían afectar negativamente sus estrategias. Estrategias de negocio Riesgos estratégicos Riesgos prevenibles Riesgos externos Expansión a mercados nuevos o emergentes Menor ROI en los nuevos canales de venta y distribución Incumplimiento de nuevos requisitos legales y regulatorios Acciones gubernamentales que pueden limitar la expansión a nuevos mercados Adquisiciones o negocios conjuntos Activos adquiridos con bajo rendimiento Errores o irregularidades contables o financieras no identificadas Regulaciones y/o reformas que bloquean las adquisiciones y/o fusiones Desarrollo de plataformas sociales o móviles Baja utilización de plataformas digitales por los consumidores Interrupción de las interfaces y transacciones con los clientes Desastres naturales que impactan en la infraestructura de TI Transformación de las funciones financieras y contables Interrupción de operaciones de los procesos de soporte ante los clientes Cambios en los riesgos existentes y entorno de control Cambios económicos adversos que generan recortes de inversiones 8 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Avanzar| Optimizar | Implementar Avanzar: pensamiento estratégico Objetivo Estrategia de negocios Apetito de riesgo ¿Qué riesgos impactan nuestro negocio? Identificar riesgos “Las compañías que piensan en el riesgo, en el contexto de sus decisiones de negocio, están mejor posicionadas para gestionar los riesgos que afectan su desempeño” Jorge Acosta Socio Líder de Avisory Services de EY Perú Fuerzas disruptivas que crean riesgo y causan cambios Sociales Ambientales Políticos Riesgos Legales Tecnológicos Económicos ¿Son relevantes? Evaluar riesgos Riesgos estratégicos Riesgos prevenibles Riesgos externos ¿Qué hacer al respecto? Plan de respuesta al riesgo Sin riesgo no hay recompensa — Encuesta GRC 2015 |9 Avanzar| Optimizar | Implementar Global 85% de los encuestados indicó que existe la oportunidad de mejorar aún más la relación entre el riesgo y el desempeño del negocio. Una organización debe evaluar la probabilidad de ocurrencia, impacto potencial y plazo estimado de concreción de cada uno de sus riesgos. La probabilidad de que ocurra un desastre natural (riesgo externo) que podría afectar negativamente la infraestructura crítica de TI puede ser baja; pero el impacto potencial para una organización que está lanzando nuevas plataformas de TI para sus clientes podría ser catastrófico. Asimismo, la probabilidad e impacto de la interrupción de los procesos de negocio y atención al cliente, como parte de un programa de transformación (riesgo estratégico) puede ser relativamente alto; pero los beneficios asociados con programas de este tipo también son significativos. Para realizar evaluaciones de riesgo adecuadas, las organizaciones requieren abordarlas en sus discusiones de planificación estratégica y de negocios. También necesitan evaluar frecuentemente su perfil de riesgo y su impacto en la estrategia de negocio, para facilitar la identificación de los nuevos riesgos y adoptarlos en su estrategia. Conseguir que las organizaciones piensen de manera diferente sobre los riesgos mediante la aplicación estratégica de las tres categorías de riesgo, les permite distingir riesgos que no se hubiesen identificado de otra manera. Las organizaciones son capaces de reconocer sus riesgos clave que no sólo generan consecuencias negativas, sino que también generan valor, permitiendo una relación directa entre el riesgo y el desempeño del negocio. Es alentador que el 85% de los encuestados indicó que existe la oportunidad de mejorar aún más la relación entre el riesgo y el desempeño del negocio. 2. Diseño de planes de respuesta al riesgo Si la organización ha identificado y evaluado sus riesgos clave, está en condiciones de gestionarlos mediante planes de respuesta efectivos y a un costo eficiente, basado en su apetito al riesgo y en las categorías de riesgo: estratégicos, prevenibles y externos. Por ejemplo, el riesgo que una organización está dispuesta a aceptar como parte de un programa de transformación puede ser bajo, pero las interrupciones en los procesos de negocio y de soporte al cliente podrían afectar negativamente su reputación, marca y retorno de la inversión. Como resultado, la organización debe emplear una gestión de riesgos eficiente en costos para equilibrar la mitigación de los riesgos con los beneficios esperados del programa. 10 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Avanzar| Optimizar | Implementar Del mismo modo, una organización puede estar dispuesta a aceptar un mayor nivel de riesgo en el cumplimiento de los nuevos requisitos legales o regulatorios, si el costo de incumplimiento es relativamente bajo, o se puede mitigar/evitar por completo. Una organización que desarrolla plataformas digitales para interactuar mejor con sus clientes puede aprovechar el potencial del riesgo, no sólo en el diseño de respuestas para monitorear la publicidad negativa que podría perjudicar su reputación, sino también en el diseño de respuestas que monitorean la publicidad positiva que puede capturar participación de mercado y hacer que ésta destaque en el mismo. El pensamiento estratégico avanzado permite a las organizaciones gestionar los riesgos que afectan directamente a su estrategia de negocio y desempeño. Este enfoque estratégico facilita la coordinación de sus funciones, alinear el talento y diseñar procesos que den soporte a su estrategia integral de riesgos. Global 90% de los encuestados indicó que el perfil de riesgo de su empresa influye ligeramente o significativamente en sus asignaciones de inversión. Perú 91% de los encuestados indicó que el perfil de riesgo de su empresa influye ligeramente o significativamente a sus asignaciones de inversión. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 11 pensamiento estratégico 2. Optimizar 2. Optimizar: funciones y procesos para ejecutar de manera efectiva la estrategia de riesgos Luego de diseñar sus planes y estrategias para enfrentar los riesgos del negocio, las organizaciones deben alinear de manera óptima sus funciones, asignar recursos y diseñar procesos de gestión de riesgos, para ejecutar con eficiencia y eficacia los referidos planes y estrategias. Históricamente, se ha dispersado la responsabilidad de la gestión de riesgos a diversas funciones específicas dentro de la organización. Esto ha generado silos, impactos negativos en la efectividad de las actividades de gestión de riesgos, generando que la información crítica no llegue a la Alta Gerencia o Comité de Auditoría. Si no se tiene un modelo operativo y los procesos no se encuentran bien diseñados, la comunicación no fluye de manera efectiva a través de la organización. 1.Alinear mejor los objetivos de riesgos con los objetivos del negocio. Las organizaciones líderes optimizan sus funciones y procesos a través de: 1. Establecimiento de un modelo operativo bien diseñado y coordinado. 2. Alineamiento del talento y habilidades apropiadas. 3. Diseño de políticas y procesos de gestión de riesgos. 1.Establecimiento de un modelo operativo bien diseñado y coordinado En la Encuesta GRC 2015, se observa que el 67% de los encuestados a nivel global y el 58% en Perú, indicó que esperan que su modelo operativo y actividades estén bien coordinadas dentro de los tres próximos años. En este sentido, las organizaciones deben asignar claramente las responsabilidades sobre las actividades de gestión de riesgo, para permitir una mejor coordinación, comunicación y reporte. La Gerencia es responsable de la identificación, gestión y monitoreo de los riesgos de la organización. La Gerencia establece el “tono” apropiado, fomenta una adecuada cultura/consciencia frente a los riesgos y define la estrategia de gestión de riesgos en la organización. En la Encuesta GRC 2015 se observa que las principales oportunidades para mejorar la gestión del riesgo son: 2.Mejorar la asignación de responsabilidad en la gestión de riesgos y en el modelo operativo. 3.Mejorar la capacidad de proporcionar una visión integral del riesgo. 4.Diseñar un proceso de comunicación del riesgo más estructurado y frecuente a la Alta Gerencia y stakeholders de la organización. 5.Utilizar de forma efectiva la tecnología para gestionar de manera más eficiente el riesgo. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 13 Avanzar | Optimizar | Implementar “Tener en operación una estructura correcta, así como mecanismos apropiados y adaptados a sus necesidades, es fundamental para mejorar la eficiencia y efectividad de las actividades de gestión de riesgos en la organización” Optimizar: funciones y procesos Directorio y Alta Gerencia Modelo operativo Personas Procesos Líneas de defensa 1 Michael O’Leary Líder Global de Auditoría Interna de EY Operaciones y unidades de negocio 2 Gerencia 3 Revisión independiente Comunicación, coordinación y reporte Global 67% de los encuestados, a nivel global, esperan que las actividades de riesgo estén bien coordinadas dentro de tres años. Perú 58% de los encuestados, en Perú, esperan que las actividades de riesgo estén bien coordinadas dentro de tres años. Las “tres líneas de defensa” deben ser identificadas y desplegadas como parte de la estrategia de riesgos en la organización. Sin embargo, las líneas de defensa no deben trabajar de manera aislada. Deben trabajar en equipo. EY considera las siguientes tres líneas de defensa: •Primera línea: Operaciones y unidades de negocio La conforman las Gerencias de línea operativa y de negocio; y son responsables de identificar y gestionar directamente los riesgos (diseño y operación de controles). Esta línea considera la gestión del riesgo como un elemento crucial de su trabajo diario. •Segunda línea: Gerencia La conforman las Gerencias que cubren la gestión de riesgos, los controles internos, SOX, los aspectos legales, de cumplimiento, entre otros; y son responsables de la revisión y monitoreo continuo del diseño y operación de los controles de la primera línea de defensa, así como de asesorar y facilitar las actividades de gestión de riesgos. 14 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Avanzar | Optimizar | Implementar •Tercera línea: Revisión independiente La conforman las revisiones de Auditoría Interna, los auditores externos y los reguladores de la organización. Son responsables de la supervisión y revisión independiente de las actividades de gestión de riesgo de la organización. El Directorio y Gerencia de la compañía son responsables de mapear y asignar la responsabilidad sobre la respuesta a los riesgos, a través de las tres líneas de defensa. Esto incluye establecer una estructura apropiada para facilitar la coordinación, comunicación y reporte; así como validar la cobertura de riesgos para fomentar una cultura apropiada, en la que todas las partes entiendan su papel en la ejecución de la estrategia de riesgos de la compañía. Definición de una cultura de riesgos La cultura de riesgos se refleja en los comportamientos y acciones de las personas. Este es el sistema o conjunto de valores dentro de una organización que incorpora el riesgo como parte integral del negocio y soporta el logro de los objetivos de la organización. Los reguladores abordan la cultura de riesgo a través de factores que afectan el comportamiento de asunción de riesgo, tales como el apetito al riesgo, el gobierno y la compensación. Global 56% de las organizaciones encuestadas a nivel global han creado un Jefe de Riesgos para la supervisión de las actividades de gestión de riesgos. Para tener una cultura de riesgos adecuada, diversos mecanismos deben ser eficaces y puestos en práctica. Al ser eficaces y estar implementados, los mecanismos contribuyen a brindar resultados de comportamientos deseados. Atributos de una cultura de riesgos apropiada: •Liderazgo: el comportamiento de los mandos medios (“el tono”) debe estar alineado con el de la Alta Gerencia para establecer comportamientos deseados en toda la organización sobre los riesgos. •Organización: el gobierno y los modelos de negocio deben facilitar comportamientos deseados para fortalecer la responsabilidad en la gestión de riesgos y enfrentar retos de forma efectiva. •Marco de gestión del riesgo: el marco de gestión integrado para administrar apropiadamente los riesgos y permitir enfrentarlos efectivamente frente a ellos. •Incentivos: el ciclo de vida de los empleados y los incentivos facilitan comportamientos de gestión de riesgo deseados. Los encuestados reconocen la necesidad de las tres líneas de defensa para el trabajo conjunto de gestión del riesgo Sin riesgo no hay recompensa — Encuesta GRC 2015 | 15 Avanzar | Optimizar | Implementar “La optimización de las funciones y los procesos ayudan a las organizaciones a establecer una estructura adecuada para ejecutar las estrategias de gestión de riesgos de manera efectiva y eficiente. El modelo operativo, el talento, las habilidades y las políticas y procesos de la gestión de riesgos permiten un buen desarrollo de las actividades de respuesta al riesgo, facilitando la implementación de soluciones como parte de la estructura de la organización” Numa Arellano Socio de Avisory Services de EY Perú 2.Alineamiento del talento y habilidades apropiadas Una vez que la organización ha asignado claramente la responsabilidad sobre las actividades de respuesta al riesgo, es necesario el alineamiento del talento y las habilidades necesarias para ejecutar estas actividades. Esto suele ser menos complejo en la primera línea de defensa, que en la segunda y tercera línea. Las organizaciones líderes requieren personas con conocimiento profundo del negocio y de la industria, así como con competencias apropiadas en las tres categorías de riesgos: estratégicos, prevenibles y externos. Siendo conscientes del potencial beneficio de los riesgos estratégicos y la necesidad de limitar el impacto potencial de los riesgos externos, las organizaciones buscan desarrollar y alinear el talento con las habilidades requeridas, a través de las tres líneas de defensa, para mejorar la eficacia y efectividad de las mismas, permitiendo a la organización ejecutar sus estrategias de riesgos. Los encuestados identificaron las siguientes habilidades o experiencias, como las más importantes para mejorar sus funciones de riesgo: 1. Gestión de riesgos 2. Estrategia de negocio 3. Pensamiento crítico/analítico 4. Cumplimiento de normativas 5. Mejora de procesos A modo de ejemplo, las personas con experiencia en la gestión de planes de continuidad de negocios o recuperación de desastres han estado habitualmente en la primera línea de defensa. Ahora, las organizaciones líderes están solicitando recursos con experiencias similares en la primera y segunda línea de defensa, para facilitar y controlar la respuesta a los riesgos externos. Del mismo modo, el lanzamiento de una nueva plataforma de medios sociales requiere de recursos con experiencia digital en cada línea de defensa; lo cual permite a cada línea comprender mejor los riesgos estratégicos asociados y equilibrar apropiadamente las actividades de mitigación de riesgos con sus beneficios. 16 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Avanzar | Optimizar | Implementar 3. Diseño de políticas y procesos apropiados de gestión de riesgos Una organización debe diseñar políticas y procesos apropiados que permitan la ejecución de sus planes y estrategias de respuesta a los riesgos. Las políticas y procesos son esenciales para influir en los comportamientos, coordinar actividades, establecer protocolos de comunicación y facilitar el reporte. Ellos establecen qué, por qué y cuándo hacerlo. Como ejemplo, una organización que enfrenta riesgos externos derivados de cambios estratégicos de sus competidores, podría diseñar procesos para facilitar ejercicios “de guerra” a través de las tres líneas de defensa, a fin de evaluar el posible impacto de estos cambios en la estrategia de negocio de la compañía. Estos procesos ayudan a definir nuevos roles y responsabilidades de cada función, la frecuencia con las que se deben realizar los ejercicios, los resultados esperados y la comunicación oportuna a la Alta Gerencia. Global 65% de los encuestados, a nivel global, no genera un reporte de riesgos, o sólo elabora un reporte anual de gestión integral de riesgos. Perú 76% de los encuestados, en Perú, no genera un reporte de riesgos, o sólo elabora un reporte anual de gestión integral de riesgos. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 17 pensamiento estratégico 3.Implementar 3. Implementar: soluciones para responder proactivamente a los riesgos y mejorar el desempeño Las organizaciones que implementan soluciones sostenibles, como una parte integral de su negocio, pueden responder proactivamente al riesgo y mejorar su desempeño. Estas organizaciones ejecutan sus planes de respuesta a los riesgos de manera más efectiva y están más preparadas para prevenir, adaptar y anticipar riesgos que, de otro modo, afectarían sus estrategias de negocio. No se trata de adoptar soluciones únicas, sino de incorporar soluciones sostenibles que permitan seguir teniendo éxito. Categorías de riesgos: estratégicos, prevenibles y externos Riesgos estratégicos Riesgos prevenibles Riesgos externos Las organizaciones que piensan estratégicamente sobre el riesgo; y que han optimizado sus funciones y procesos son capaces de implementar y dar sostenibilidad a las soluciones de una manera más fácil, a través de las tres líneas de defensa. Estas soluciones se basan en los planes de respuesta a los riesgos de la organización y se alinean con los objetivos de cada categoría de riesgo: estratégico, prevenible y externo. Respuesta a los riesgos Global Riesgos prevenibles Manténgalo simple: implemente soluciones que busquen prevenir o eliminar los riesgos de manera conjunta. Se debe diseñar un marco de gestión de riesgos y controles que ayude a prevenir, monitorear y probar riesgos y controles de manera eficiente. Las organizaciones que implementan nuevas plataformas financieras deben diseñar aplicativos de seguridad alineados a los requisitos de cumplimiento regulatorio; así mismo, deben alinear estas plataformas a su modelo de negocio; eliminar los riesgos potenciales de segregación de funciones o excesivas autorizaciones de accesos. Aprovechando las tecnologías de GRC, las organizaciones deben implementar medidas de control adicionales para monitorear posibles conflictos en la segregación de funciones. En este caso, la segunda y tercera línea de defensa juegan un papel importante, para verificar 49% de los encuestados, a nivel global, utilizan una o más tecnologías de GRC para ejecutar actividades de gestión de riesgos. Perú 33% de los encuestados, en Perú, utilizan una o más tecnologías de GRC para ejecutar actividades de gestión de riesgos. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 19 Avanzar | Optimizar | Implementar “La función de auditoría y cumplimiento, los controles de seguridad y de procesos, así como la gestión integral de riesgos son vistos como las capacidades más importantes de las tecnologías de GRC de hoy” Jorge Acosta Socio Líder de Avisory Services de EY Perú que los requisitos de cumplimiento se aborden adecuadamente, así como para evaluar el diseño y la efectividad operativa de los controles. Las organizaciones líderes se centran en la optimización de sus marcos de control interno para evitar la duplicidad de controles, aumentar la automatización de los mismos, así como para mejorar la capacidad de la segunda y tercera línea de defensa en el monitoreo continuo del entorno general de control interno. En la Encuesta GRC 2015, se observa que el 75% de los encuestados realiza monitoreo continuo sobre detección de fraudes, transacciones inusuales y la supervisión del desempeño. Como resultado, este tipo de soluciones permiten que la organización focalice sus esfuerzos en la gestión de los riesgos estratégicos y externos. Riesgos Estratégicos Balancear “la toma” de riesgos versus el mitigar los riesgos: implementar soluciones que reduzcan los riesgos para alcanzar la estrategia de negocio y permitan adaptarse a los nuevos riesgos. Las organizaciones aceptan cierto grado de riesgo con el fin de impulsar el desempeño de su negocio. Por ejemplo, una organización de servicios financieros que ofrece nuevos productos y servicios tiene que aceptar determinados niveles de riesgos asociados a clientes potenciales de alto riesgo. Las organizaciones equilibran y gestionan este tipo de riesgo a través de modelamientos y análisis de riesgos. Esto les permite controlar su exposición y ajustar su estrategia de negocio, en este caso, sus criterios para la aceptación de nuevos clientes, focalizándose de esta manera, en sus clientes objetivos. La segunda y tercera línea de defensa retan los supuestos y datos incluidos en los modelos de riesgos, y ayudan a facilitar y monitorear la efectividad de los modelos y análisis de riesgos. Como se ofrecen nuevos productos y servicios, los criterios de evaluación de clientes se actualizan oportunamente, lo que reduce el riesgo, mientras que se obtienen los beneficios esperados para la compañía. Las organizaciones líderes preparan tableros de control, cuadros de mando y otras formas de reporte - incluyendo el monitoreo de indicadores clave de riesgo (KRI) e indicadores clave de desempeño (KPI) – para el Directorio y la Alta Gerencia. 20 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Avanzar | Optimizar | Implementar Esto proporciona visibilidad a los riesgos que afectan las estrategias de negocio y cómo pueden afectar a la organización. No obstante, sólo el 78% de los encuestados, a nivel global, indicó que preparan tableros de control de manera anual o trimestral, manifestando que existe oportunidad para brindar mayor información y con mayor frecuencia al Directorio y Alta Gerencia. Implementar: soluciones sostenibles En la Encuesta GRC 2015 a nivel global se identificaron las siguientes actividades como las más usadas para el monitoreo continuo: 1. Monitoreo y prueba de controles 2. Detección de fraude 3. Monitoreo de seguridad Riesgos estratégicos Riesgos prevenibles Riesgos externos Objetivo Objetivo Objetivo Equilibrar Prevenir Limitar Soluciones Soluciones Soluciones Análisis y modelamiento de riesgos Seguridad de las aplicaciones Pruebas de estrés Tableros de control sobre KRIs y reportes Procesos y controles Ejercicios y talleres Análisis del portafolio de proyectos Monitoreo continuo Recuperación de desastres 4. Análisis de transacciones 5.Monitoreo de cumplimiento Facilitador Tecnología Sin riesgo no hay recompensa — Encuesta GRC 2015 | 21 Avanzar | Optimizar | Implementar Caso de estudio Global 78% de los encuestados, a nivel global, indicó que preparan tableros de control de manera anual o trimestral, manifestando que existe oportunidad para brindar con mayor frecuencia información a la Alta Gerencia sobre los indicadores de riesgo. Una organización que transforma su función financiera en un modelo de servicios compartidos para mejorar su cuenta de resultados, acepta los riesgos asociados a los cambios en los procesos, la organización y sistemas. Se requiere de los cambios para obtener los beneficios esperados, pero éstos enfrentan riesgos potenciales que pueden impactar en el ROI global. El análisis predictivo de proyectos o el monitoreo de beneficios pueden ayudar a gestionar con eficacia y equilibrar los riesgos asociados de este tipo de transformación. La segunda línea de defensa, que trabaja con la primera línea, debe ayudar en la evaluación de la gestión y ejecución general del programa para anticipar y adaptarse a los riesgos que puedan surgir, equilibrando el riesgo con el ROI. La tercera línea de defensa debe integrar a expertos dentro del programa para identificar y monitorear la mitigación de las zonas de alto riesgo de manera proactiva. Riesgos externos Prepararse para lo peor, es esperar lo mejor: se deben implementar soluciones que anticipen y limiten el impacto de los riesgos externos. Estas estrategias permiten a las organizaciones identificar regularmente sus riesgos potenciales, evaluar su impacto, determinar cómo limitarlos y ayudar a volver a la organización a su estado normal. Global 63% de los encuestados, a nivel global, indicó haber definido KPIs o KRIs, pero no ambos. El 50% indicó que monitorea KPIs, KRIs o ambos mediante el aprovechamiento de la tecnología. Las pruebas de estrés, la planificación de escenarios, los ejercicios y talleres permiten a las organizaciones evaluar el impacto de los factores externos en su estrategia de negocio. Por ejemplo, una organización puede realizar una planificación de escenarios para los próximos 5 o 10 años al incluir en su planificación la evaluación de los impactos de los factores externos, tales como posibles crisis geopolíticas, cambios tecnológicos, cambios en la regulación o volatilidad de la economía. La segunda línea de defensa facilita estos ejercicios, junto con los participantes de la primera línea de defensa, para evaluar cómo la organización se desempeñaría bajo diferentes escenarios. La tercera línea de defensa participa en los ejercicios en 22 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Avanzar | Optimizar | Implementar su rol de asesor, proporcionando retroalimentación independiente y retando los supuestos de los participantes. Esto permite a la organización anticipar de manera oportuna sus riesgos potenciales y ajustar su estrategia de negocio. Las organizaciones deben evaluar de manera rutinaria el impacto potencial de los desastres naturales en sus operaciones e infraestructura, actualizando sus planes de recuperación de desastres según sea necesario. Mientras que la primera línea de defensa es responsable de la ejecución de los planes de recuperación, la segunda línea facilita las evaluaciones de riesgo periódicas, y la tercera línea evalúa la efectividad de las pruebas de recuperación. Esto ayuda a verificar que los riesgos potenciales sean revisados de manera apropiada y que la organización esté preparada ante ocurrencia de catástrofes. Tal como se puede apreciar en cada ejemplo antes presentado, se eliminan los prejuicios debido a la participación de las diferentes líneas de defensa, lo que permite anticipar y limitar el impacto de los riesgos potenciales de manera eficiente y efectiva. Global 61% de los encuestados, a nivel global, con KPIs y KRIs definidos, indicó que aplicaban actividades de monitoreo para identificar tendencias o riesgos que puedan impactar su estrategia de negocio. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 23 pensamiento estratégico Una sólida organización “consciente” de los riesgos ¿Dónde se encuentran las organizaciones ahora? En los últimos cinco años, las organizaciones han mejorado el modo en que identifican, gestionan y responden a los riesgos. Éstas han creado roles a nivel ejecutivo de supervisión a los riesgos, han establecido funciones para hacer frente a los cada vez más complejos requisitos legales y regulatorios, y han implementado tecnologías para soportar estos procesos. Como reacción al aumento de la volatilidad del mercado y de los cambios regulatorios, las organizaciones renovaron esfuerzos para mejorar sus controles internos. Si bien las organizaciones han demostrado avances, aún existe oportunidad para gestionar mejor los riesgos e impulsar el desempeño. Sin riesgo, no hay recompensa. El riesgo es un aspecto clave del planeamiento estratégico y es lo primero que está en la mente de muchos Directores; sin embargo, para mejorar la capacidad de supervisión del Directorio, se debe realizar evaluaciones más frecuentes del perfil de riesgo de la organización. Global Perú 88% 70% de los encuestados, a nivel global, indicó que el Directorio, o algún Comité del Directorio, proporciona supervisión a las actividades de gestión de riesgos. de los encuestados, en Perú, indicó que el Directorio, o algún Comité del Directorio, proporciona supervisión a las actividades de gestión de riesgos. 24 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Global Perú 83% 45% de los encuestados indicó que identifican, evalúan y desarrollan planes para gestionar los riesgos de las iniciativas clave. (43% ), o identifican y discuten los riesgos (40%). de los encuestados indicó que identifican, evalúan y desarrollan planes para gestionar los riesgos de las iniciativas clave. ( 24%), o identifican y discuten los riesgos (21%). Global 77% de los encuestados evaluó el perfil de riesgo de su organización en forma anual, limitando su capacidad para ajustar su estrategia de negocio frente a los cambios. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 25 “Cuando ayudamos a nuestros clientes a adoptar esta forma de gestionar los riesgos, se facilita que establezcan metas más retadoras con mejores resultados.” Paul van Kessel Socio Líder de Riesgos de EY Global Midiendo la oportunidad Las organizaciones existen para cumplir un propósito. Ese propósito se logra por medio de una serie de decisiones de negocio que enfrenta riesgos, los cuales impactan el desempeño del negocio. La identificación, gestión y respuesta a los riesgos debe ser una parte integral de las actividades de la organización. Para impulsar el desempeño, las organizaciones deben avanzar en su pensamiento estratégico. Se requiere identificar y evaluar los riesgos que impactan la estrategia de las organizaciones. Además, también requieren responder a esos riesgos aplicando las tres categorías: riesgos estratégicos, prevenibles y externos. De este modo, las organizaciones son capaces de cambiar su enfoque de riesgos: de los que puede controlar a los que no puede controlar, o qué necesita equilibrar para impulsar un mejor desempeño. Para responder a los riesgos de forma eficiente y efectiva, las organizaciones deben optimizar sus funciones y procesos. Se requiere que definan un modelo operativo con una clara asignación y responsabilidad, y que alineen el talento y conjunto de habilidades a dicho modelo, así como diseñar procesos para la ejecución de las actividades de riesgos. Esto establece la estructura y mecanismos para facilitar la coordinación, comunicación y reporte en la organización. Una vez que las funciones y procesos, sostenibles e integrados, han sido puestos en práctica, las organizaciones pueden implementar y ejecutar soluciones que ayuden a responder y gestionar el riesgo como un aspecto central de su negocio. Estas soluciones, diseñadas en función de las tres categorías de riesgos, permiten que la organización pueda prevenir, balancear o limitar el impacto de los riesgos. Aprovechando facilitadores, tales como la tecnología, las organizaciones pueden apoyar y dar sostenibilidad a estas soluciones. EY puede asistir a las organizaciones a “pensar diferente” frente a los riesgos, para que así puedan gestionar los riesgos que impulsan el desempeño y el éxito. 26 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Avanzar: pensamiento estratégico Objetivo Estrategia de negocios Apetito de riesgo Fuerzas disruptivas que crean riesgo y causan cambios Sociales Políticos Ambientales Riesgos Legales Tecnológicos Económicos Avanzar ¿Qué riesgos impactan nuestro negocio? — Identificar riesgos ¿Son relevantes? — Evaluar riesgos Riesgos estratégicos Riesgos prevenibles Riesgos externos ¿Qué hacer al respecto? — Plan de respuesta al riesgo Directorio y Alta Gerencia Modelo operativo 1 Operaciones y unidades de negocio Personas Procesos Líneas de defensa 2 3 Gerencia Optimizar Optimizar: funciones y procesos Revisión independiente Objetivos Equilibrar Prevenir Facilitador Limitar Implementar Implementar: soluciones sostenibles Tecnología Sin riesgo no hay recompensa — Encuesta GRC 2015 | 27 Una estrategia de negocio: tres diferentes respuestas a los riesgos Una gran compañía de la industria de consumo masivo planea realizar inversiones significativas en plataformas sociales, móviles y digitales para mejorar sus canales de marketing y ventas, así como su habilidad de brindar sus productos con mayor rapidez al mercado. Reconociendo la importancia de la tecnología digital para su crecimiento y sostenimiento de su marca, la Gerencia está dispuesta a aceptar un nivel moderado de riesgo. Como parte del desarrollo de sus planes de negocio, la Gerencia identificó una gran variedad de riesgos que podrían impactar su inversión en tecnología digital y desarrolló tres diferentes respuestas a esos riesgos. Estratégico El ROI depende en gran medida en que las plataformas lleguen al mercado de manera rápida para incrementar la participación en el mercado y mejorar el posicionamiento e imagen de la marca. Avanzar •La Gerencia debe actuar rápidamente, pero no tiene la intención de Optimizar •La Gerencia encarga a la segunda y tercera línea de defensa la revisión del comprometer calidad o costo, por lo que desarrolla un plan para revisar el proyecto a fin de que el ROI y beneficios esperados sean alcanzados. proyecto desde el inicio. •La Gerencia identifica e integra a expertos dentro de las líneas de defensa para identificar riesgos potenciales antes de empezar el proyecto. •La segunda y tercera línea de defensa trabajarán con la primera línea para entender la estructura del proyecto, gobierno y plan de ejecución. Además, la segunda línea trabaja con la tercera línea para realizar evaluaciones periódicas y monitorear los resultados y logros. Implementar •La segunda línea de defensa realiza entrevistas con el equipo del proyecto y aprovecha el análisis predictivo para identificar riesgos potenciales. Una gran variedad de riesgos son identificados durante la ejecución del proyecto y en la estructura de gobernanza, los cuales impactarían en el logro de los hitos clave. •La segunda línea trabaja con la primera línea para tomar medidas de remediación. •Más adelante, la segunda y tercera línea identifican riesgos, antes de que éstos se materialicen, ayudando a la compañía a lograr sus beneficios esperados dentro del tiempo deseado. 28 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Este ejemplo representa las acciones que aplicaría una empresa que “piensa diferente” con respecto a los riesgos. La respuesta, impacto y eventos se basan en experiencias reales con nuestros clientes. Prevenible Externo Los requisitos legales y regulatorios que norman el marketing digital y los canales de venta necesitan ser atendidos, para evitar incurrir en multas o someterse a fiscalizaciones regulatorias, especialmente si se busca mejorar el posicionamiento e imagen de la marca. Los competidores están explorando plataformas y caminos digitales similares, que podrían obstaculizar severamente los esfuerzos de la compañía para entrar en el mercado. •La Gerencia debe implementar controles para dar •La Gerencia requiere entender el impacto potencial •La Gerencia encarga a la segunda y tercera línea de •La Gerencia encarga a la segunda línea de defensa cumplimiento a los nuevos requerimientos legales y regulatorios. defensa actividades de consultoría y de evaluación de los cambios en los controles internos de la compañía, efectuados por la primera línea de defensa. •Al no tener el talento y conocimiento necesario sobre los riesgos potenciales en esta área, la compañía contrata recursos con experiencia en plataformas digitales dentro de ambas líneas de defensa para proveer experiencia y orientación. •La segunda línea de defensa trabaja directamente con la primera línea para para atender los nuevos riesgos y optimizar los controles al aprovechar los controles automatizados, preventivos, o controles que ya existen. •La tercera línea ayuda a evaluar el diseño y efectividad operativa de los controles antes de que estén implementados. El ambiente de control interno es actualizado para atender los nuevos requerimientos, y es optimizado para prevenir otros riesgos relacionados. de las acciones de los competidores y definir mejor la forma de limitarlos, por lo que desarrolla una estrategia para realizar “juegos de guerra”: una serie de ejercicios y talleres, para evaluar y responder sus posibles acciones. la tarea de facilitar los ejercicios y talleres en la primera línea. •La tercera línea es responsable de proveer retroalimentación independiente, y de retar los escenarios desarrollados. •Los recursos deben poseer experiencia en marketing y tecnología. Deben dividirse en equipos para desarrollar escenarios viables de los competidores e informar a la Gerencia. •Los equipos se reúnen cada trimestre y realizan los ejercicios y talleres, identificando las acciones potenciales de los competidores. Cada acción es revisada, y las más realistas son compiladas por la segunda línea de defensa y compartidas al Directorio y Alta Gerencia. •La Gerencia revisa los hallazgos de los equipos, adaptando su estrategia y nivel de inversión, orientado a maximizar su ROI. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 29 Las mayores preocupaciones actuales de negocios necesitan nuevas respuestas al riesgo Un objetivo claro logra buenos resultados... Es tres veces más probable que los trabajadores permanezcan en una empresa guiada por un objetivo.* 72% de los consumidores globales recomendarían una empresa guiada por objetivo.* En la medida que comience a evaluar la oportunidad de gestionar mejor los riesgos de su organización, sobre la base de la experiencia de EY con sus clientes, les presentamos los temas más importantes que pueden ayudarlo en esta tarea. Transformación para un objetivo Las compañías declaran su objetivo a través de diversos mecanismos, tales como material promocional, propuestas de clientes y en foros públicos. Con estas declaraciones, las empresas establecen expectativas con el público, en la que representan valores, normas de funcionamiento y calidad de servicio, entre otros. El incumplimiento de estas expectativas plantea un riesgo significativo para la marca y la reputación de la compañía. Desde una perspectiva de gestión de riesgos, la capacidad de una empresa para identificar, medir y controlar el riesgo estratégico, es el vínculo más directo con su objetivo declarado. La mitigación adecuada de estos riesgos estratégicos es el mejor medio de lograr el propósito final. Una Transformación Guiada por Objetivos (TGO) ofrece un enfoque integral para la realización y la activación del objetivo de una empresa; es el “por qué” del alineamiento de los productos y servicios con las necesidades de sus clientes. La TGO ayuda a las organizaciones a enviar un mensaje claro al mercado sobre lo que representa. Los beneficios de la inyección del “propósito” en la estructura de los procesos de una empresa incluyen: • Mejora en la ejecución y crecimiento integral • Creación de un entendimiento común entre los empleados • Nuevas innovaciones * Proyecto de Energía, cuál es tu nivel de vida en el trabajo, 2013. http://theenergyproject.com • Mayor difusión de la estrategia de la compañía • Logro de los resultados deseados 30 | Sin riesgo no hay recompensa — Encuesta GRC 2015 El contar con un objetivo obliga a los líderes del negocio a gestionar y responder a los riesgos que más importan. Cuando el objetivo se pone a la cabeza de todas las iniciativas y decisiones importantes de negocio (Ej.: el “por qué” estamos siguiendo un determinado camino), se ve con más claridad qué riesgos podrían interponerse en ese camino. La TGO ayuda a las organizaciones a pensar sobre qué riesgos podrían impedir el logro de su objetivo, así como el logro de sus objetivos estratégicos de negocio. Para mayor información acerca de la “Transformación guiada por objetivo” de EY, por favor visitar el sitio web ey.com/PLT Gestión de riesgos de proyectos La innovación, cambios tecnológicos, evolución de modelos de negocios y cambios regulatorios obligan a las empresas a transformar el modo en el que operan y generan valor. Al enfrentar exitosamente los riesgos y retos asociados con la transformación, se puede crear un valor significativo para la organización, tales como reducción de costos, reducción de tiempos en los proyectos, mejores resultados, entre otros. Sin embargo, la ejecución de proyectos estratégicos sigue produciendo resultados decepcionantes. Aproximadamente US$ 682 mil millones al año se pierden en proyectos de bajo rendimiento alrededor del mundo. La Gestión de Riesgos de Proyectos (GRP o Project Risk Management (PRM)) permite a las organizaciones descubrir el valor de sus programas o proyectos estratégicos, lo cual permite entregar proyectos que respaldan su estrategia de negocio, y maximizar los beneficios esperados. La GRP ayuda a: • Identificar los programas que se alinean directamente con los objetivos del negocio • Priorizar y equilibrar el portafolio de proyectos para maximizar el ROI • Anticipar y limitar el impacto de los posibles riesgos del proyecto • Mejorar la ejecución del proyecto y el tiempo de salir al mercado • Monitorear y obtener los resultados Sin riesgo no hay recompensa — Encuesta GRC 2015 | 31 Las organizaciones líderes en el mercado aplican buenas prácticas de gestión de proyectos y análisis descriptivos para crear confianza en la ejecución de los proyectos. Consideran la gestión de riesgos como parte de la evaluación regular de su entorno de riesgos, optimizan las funciones y procesos para responder mejor a los riesgos identificados, y adoptan soluciones que les permiten ofrecer proyectos exitosos. La capacidad de tener una visión futura de los riesgos, y de ser capaz de predecir el impacto de estos riesgos, permite a la organización gestionar y balancear proactivamente su portafolio de proyectos. La clave está en identificar los proyectos con el mejor potencial para luego permitirles promover los proyectos más valiosos e innovadores. Esto requiere tener procesos y herramientas adecuadas, preparadas para la identificación temprana de los riesgos. La capacidad de hacer ajustes a la gobernanza, controles y procesos del proyecto, antes de que surjan los problemas, conduce a un mejor control del desempeño del proyecto y del logro de los beneficios esperados. Para mayor información acerca de nuestras ofertas y soluciones de GRP de EY, por favor visitar el sitio web ey.com/PRM. Cada oportunidad creada por la tecnología digital también enfrenta riesgos. Las organizaciones necesitan entender y abordar adecuadamente los riesgos digitales mediante la realización de evaluaciones y programas específicos, así como la implementación de controles adicionales Adoptar un futuro digital Muchos pueden decir que el futuro digital ha llegado, pero las tecnologías de hoy se verán insuficientes en comparación con las tecnologías que surjan mañana. El “Internet de las Cosas” (Internet of Things – IoT, por su siglas en inglés) se está volviendo más activo a medida que se conectan más dispositivos. Sin embargo, se ha estimado que sólo el 1% de los dispositivos de hoy están conectados actualmente. Cuanto más se encuentren en línea, tendrán un impacto mayor en nuestras vidas personales, sociales y profesionales. Se espera que en el futuro cercano el sector de tecnología portátil se expanda rápidamente. Algunos expertos pronostican un crecimiento de entre US$10 mil millones y US$50 mil millones en los próximos cinco años. Ahora es ampliamente aceptado que las cuatro áreas de cambio digital que tendrán el mayor impacto en las empresas son: (i) computación en la nube (cloud computing), (ii) datos, (iii) redes sociales; y (iv) tecnologías móviles. Cada una de estas áreas introduce riesgos específicos. Aun así, con cada riesgo, siempre existen oportunidades. Para capitalizar su potencial, los negocios necesitan desarrollar una estrategia digital apropiada. 32 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Creemos que existe un proceso de tres etapas para ayudar a las organizaciones a maximizar sus posibilidades de innovación digital. El enfoque presentado en “EY Digital Realization” (Realización Digital de EY) se centra en las siguientes tres fases del viaje digital: crear, incubar y activar. Para mayor información acerca de tu panorama digital, por favor visita el sitio web ey.com/digital. Seguridad cibernética Los mismos avances en la tecnología, en especial las redes, que están transformando vidas, también están creando vulnerabilidades de seguridad de la información, y las organizaciones, así como a sus clientes, necesitan mantenerse a salvo de los riesgos cibernéticos. Los delincuentes cibernéticos de hoy son más sofisticados y conducen ataques persistentes a un nivel avanzado en organizaciones hasta que sus defensas hayan sido bloqueadas. Las empresas corren el riesgo de pérdida significativa de activos físicos, incluyendo datos; así como pérdidas financieras, a través de la pérdida de ingresos y daños a la reputación. Los ataques cibernéticos pueden destruir organizaciones, por lo que deben ser considerados como una amenaza significativa. Es importante que las organizaciones no sólo mantengan y mejoren sus controles de seguridad tradicional, sino que continúen evolucionando su capacidad para detectar y responder rápidamente a las amenazas cibernéticas. Sin embargo, el anticipar los ataques cibernéticos es la única forma de adelantarse al crimen cibernético. La pregunta no es si tu empresa ha sido vulnerada, o incluso cuándo lo fue, pues eso ya sucedió. Las preguntas relevantes son: ¿tu compañía es consciente de ello? y ¿qué tan bien protegida está para el futuro? Para mayor información sobre adelantarse al crimen cibernético, por favor visitar el sitio web ey.com/cybersecurity, o acceda a la última Encuesta Global EY de Seguridad de la Información en ey.com/GISS. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 33 34 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Hallazgos de la encuesta Lo que nuestros clientes nos dicen En la Encuesta GRC 2015 nos hemos centrado en una serie de temas: estrategia de riesgos, coordinación de funciones, la función de Auditoría Interna, la tecnología, entre otros; para obtener un mejor entendimiento sobre cómo las organizaciones están gestionando sus riesgos actualmente. Sin embargo, mientras que las organizaciones están haciendo progresos, indican que aún existen oportunidades para mejorar la forma en que identifican, gestionan y responden a los riesgos. Hallazgos de la encuesta 5 riesgos más importantes Implicancias 5 riesgos menos importantes 1. Financiero 2. Operacional 3. Regulatorio 4. Seguridad Cibernética 5. Reputacional 1. Crisis geopolíticas 2. Desastres naturales 3. Protección de datos 4. Investigación y desarrollo de productos 5.Fusiones y adquisiciones Vinculación del riesgo al negocio 97% • Si bien las organizaciones, a nivel global, han ampliado su visión con respecto a los riesgos, siguen enfocándose principalmente en los riesgos prevenibles. • Las organizaciones, a nivel global, que también se enfocan en riesgos estratégicos y externos son capaces de beneficiarse de los resultados de los riesgos • Las organizaciones, a nivel global, han 16% mejorado significativamente en reducir la brecha entre los objetivos de gestión de riesgos y los objetivos de negocio. • Sin embargo, existe la oportunidad para que 97% de las organizaciones, a nivel global, han progresado en vincular sus objetivos de gestión de riesgos con sus objetivos de negocio… … pero sólo un 16% del 97% consideran que se encuentran estrechamente vinculadas el día de hoy. las empresas alcancen una alineación aún más fuerte. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 35 Hallazgos de la encuesta Implicancias Involucramiento frente a los riesgos 66% •Las organizaciones reconocen el valor de 90% 30% involucrar directamente la gestión de riesgos en el proceso de toma de decisiones del negocio. •Las organizaciones, a nivel global, que Global 66% de las organizaciones, a nivel global, indicó que su gestión de riesgos posee un involucramiento limitado… Perú ...pero el 90% espera estar directamente involucrado o dar mayores aportes dentro de los siguientes 3 años. 30% de las organizaciones en Perú, indicó que su gestión de riesgos posee un involucramiento limitado. Tendencias de riesgos a nivel global Retos Seguridad cibernética Reputación Transacciones estratégicas Mercados emergentes Estabilidad económica Cambios tecnológicos Cambios en las preferencias de los consumidores Cumplimiento normativo 36 | Sin riesgo no hay recompensa — Encuesta GRC 2015 directamente involucran la gestión de riesgos están mejor preparadas para identificar, gestionar y responder a los riesgos que impactan su negocio. • Estamos viendo negocios que están Oportunidades siendo afectados por una variedad de fuerzas disruptivas y mega tendencias a nivel mundial, las cuales requieren de una respuesta diferente para gestionar los riesgos asociados. • Las organizaciones, a nivel global, tienen el reto de desarrollar una visión integral de riesgos, y de identificar y responder regularmente a los riesgos existentes y emergentes. • Mientras se presenta un panorama de cambio acelerado de riesgos, se crean retos y también se presentan oportunidades. • Las organizaciones, a nivel global, que gestionan bien sus riesgos están mejor posicionadas para capitalizar los resultados deseados del riesgo. Hallazgos de la encuesta Implicancias Coordinación de actividades de riesgo •Las organizaciones, a nivel global, esperan ver una 21% 67% mejora significativa en el nivel de coordinación de las actividades de riesgo. •Las empresas deben alinear y coordinar mejor las actividades de riesgo, a lo largo de la organización para responder al riesgo de forma más eficiente y efectiva. Global 21% de los encuestados, a nivel global, indicó que las actividades de riesgo se encuentran bien coordinadas, mientras que el 67% indicó que esperan que las actividades de riesgo estén bien coordinadas dentro de los siguientes 3 años. 27% 58% Perú 27% de los encuestados indicó que las actividades de riesgo se encuentran bien coordinadas, mientras que el 58% indicó que esperan que las actividades de riesgo estén bien coordinadas dentro de los siguientes 3 años. Habilidades o conocimientos más importantes de Auditoría Interna a nivel global: 1. Pensamiento crítico y analítico 2. Análisis de datos 3. Gestión de riesgos 4. Auditoría 5. Estrategia Empresarial •Las empresas reconocen claramente que su función de Auditoría Interna requiere de las habilidades y conocimientos apropiados, para hacer frente a los riesgos con un panorama cambiante a un paso acelerado. •Las organizaciones deben desarrollar y alinear el talento con las habilidades necesarias, no sólo en Auditoría Interna, sino también en cada una de sus líneas de defensa. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 37 Hallazgos de la encuesta Implicancias Tecnología GRC •Hemos sido testigos de muchas organizaciones 46% 49% que adoptaron y aprovecharon la tecnología, en muchos casos múltiples tecnologías, para permitir una mejor gestión y sostenibilidad de sus actividades de riesgo. 5% •Las organizaciones deben ver a la tecnología como Global 46% de los encuestados, a nivel global, aún no utiliza tecnología GRC; el 49% utiliza una o más tecnologías; y el 5% indicó no saber. 64% 33% una forma de ejecutar y mantener sus respuestas ante el riesgo de una manera más eficiente y efectiva. 3% Perú 64% de los encuestados aún no utiliza tecnología GRC; el 33% utiliza una o más tecnologías; y el 3% indicó no saber. Capacidades de tecnología GRC •Mientras que las organizaciones priorizan Medio De auditoría y cumplimiento Gestión de políticas Monitoreo continuo Controles de procesos y seguridad Automatización o mejora de procesos Gestión documentaria Modelamiento y análisis de datos Tableros de control y reportes Gestión integral de riesgos Acceso a contenido de terceros Gestión de incidentes o problemas Gestión de continuidad de negocio 38 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Alto habilidades típicamente asociadas con la gestión de riesgos prevenibles, también se está observando un incremento en la demanda de otras habilidades (Ej.: continuidad de negocio, modelamiento y análisis de datos, mejora de procesos). Lo que observamos de la encuesta ha validado nuestro punto de vista: las organizaciones necesitan pensar, gestionar y responder ante los riesgos de un modo diferente. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 39 40 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Rol evolutivo de la Auditoría Interna •La Auditoría Interna se está moviendo desde los programas de supervisión de riesgos, hacia un rol de aseguramiento y consultoría que permite evaluar la efectividad, eficiencia y confiabilidad del programa de gestión de riesgos de la organización. •Como resultado, la Auditoría Interna puede determinar el nivel en el que puede potenciar el trabajo de otros en la compañía. •Esto, a su vez, puede permitir que la Auditoría Interna ajuste su alcance para enfocar más sus esfuerzos en los riesgos que importan, incluyendo los riesgos estratégicos. Global Global Global 90% 46% 72% de los encuestados indicó que la supervisión de la gestión de riesgos es provista por otra función a la de Auditoría Interna. Perú 85% de los encuestados indicó que la supervisión de la gestión de riesgos es provista por otra función a la de Auditoría Interna. de los encuestados indicó que hoy en día la Auditoría Interna apalanca el trabajo de otros. de los encuestados indicó que la Auditoría Interna potenciará el trabajo de otros en los próximos tres años. Las 5 oportunidades más importantes para la Auditoría Interna en el 2015 1.Mejorar su habilidad de identificar y evaluar los riesgos emergentes. 2.Mejorar el apalancamiento del trabajo de otras funciones de riesgo, control y de cumplimiento. 3.Mejorar los reportes para presentar hallazgos con perspectiva en los riesgos. 4.Maximizar el uso de la tecnología para reducir el costo y mejorar la cobertura de riesgos. 5.Incrementar el uso de análisis de datos. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 41 Optimizando funciones y procesos Las organizaciones necesitan establecer una estructura en la que puedan ejecutar sus estrategias de riesgos de forma eficiente y efectiva. Porcentaje de coordinación entre las funciones de gestión de riesgos • Global Hoy En 3 años Las políticas y procesos de gestión de riesgos son parte integral de: •Influenciar comportamientos •Coordinar actividades •Establecer protocolos de comunicación •Facilitar la generación de 67 reportes de riesgo 52 25 21 21 4 Bien coordinadas Los encuestados identificaron las siguientes habilidades o experiencias más importantes requeridas para implementar las funciones de riesgo: 5 1 Algo Coordinación Sin coordinadas mínima coordinación • En Perú Hoy En 3 años 1. Gestión de riesgos 2. Estrategia de negocio 3. Pensamiento crítico y analítico 4. Cumplimiento normativo 5. Mejora de procesos 58 27 30 15 21 21 0 Bien coordinadas 6 Algo Coordinación Sin coordinadas mínima coordinación 42 | Sin riesgo no hay recompensa — Encuesta GRC 2015 El modelo operativo apropiado, talento, habilidades y políticas y procesos de gestión de riesgos, permiten una buena ejecución de las actividades de respuesta a los riesgos. Sin riesgo no hay recompensa — Encuesta GRC 2015 | 43 Otros hallazgos en Perú Sobre la estrategia de riesgos: El 70% de los Directores de las empresas peruanas consideran como parte de su agenda la evaluación de riesgos. Sin embargo, sólo el 9% de las compañías cuentan con un Comité de Riesgos encargado de evaluarlos continuamente. El 77% de las compañías evaluan sus riesgos anualmente. Perú Global 24% 36% 36% 33% 9% 19% 9% 4% 21% 8% ¿Dónde se aborda la gestión de riesgo a nivel del Directorio? •Todo el Directorio •Comité de Auditoría del Directorio •Comité de Riesgos del Directorio •No se aborda •Otros En el Perú aún hay un 58% de encuestados que no tiene Gerencia de Riesgos. Asimismo, el 33% de encuestados indica que le reportan funcionalmente al Gerente General o Gerente Financiero. Esta situación debe revisarse, para que la Gerencia de Riesgos sea más independiente y objetiva. Lo óptimo es que el reporte funcional sea directamente al Directorio o a sus comités (de Riesgos o de Auditoría); y que administrativamente reporten al Gerente General. Funcional Perú Administrativo Global Perú Global 0% 6% 0% 3% 9% 12% 0% 1% 0% 8% 0% 2% 27% 13% 33% 24% 6% 10% 9% 15% 0% 8% 0% 12% 58% 44% 58% 44% Si su organización tiene un Gerente de Riesgos (CRO), ¿a quién reporta esta persona funcionalmente y administrativamente? •Directorio •Comité de Riesgos del Directorio •Comité de Auditoría del Directorio •Gerente General (Chief Executive Officer - CEO) •Gerente Financiero (Chief Financial Officer - CFO) •Otros •N/A - No hay CRO 44 | Sin riesgo no hay recompensa — Encuesta GRC 2015 En Perú, el 64% de encuestados indicó que el perfil de riesgos influye significativamente en sus asignaciones de inversión, esto implica que la mayor parte de las compañías peruanas presenten una fuerte adversión al riesgo y que probablemente exista espacios de mejora para identificar las oportunidades de beneficios en los riesgos. 41% Influye significativamente 64% 49% Influye ligeramente 27% 10% No influye 9% 0% 10% Global 20% 30% 40% 50% 60% 70% Perú Esta conclusión se ve soportada cuando observamos que en el Perú el 45% de los encuestados indicó que la vinculación entre los objetivos de gestión de riesgos con los objetivos estratégicos y de negocio no es muy cercana. Por otro lado, los objetivos estratégicos sólo se vinculan estrechamente con la gestión de riesgos en un 24%. 16% Muy estrechamente vinculaldo 24% 46% Estrechamente vinculaldo 30% 35% Vinculado pero no muy cerca 45% 3% 0% No vinculado 0% Global 10% 20% 30% 40% 50% Perú Sin riesgo no hay recompensa — Encuesta GRC 2015 | 45 Sobre Gobierno, Riesgo y Cumplimiento (GRC) La función de GRC debe ser mejor coordinada en aspectos organizacionales y estratégicos dentro de las empresas peruanas. En la encuesta se observa que sólo un 27% considera que sus actividades de GRC están bien coordinadas entre las distintas áreas de la organización. 2% No lo sé 0% 5% Sin coordinación 21% 21% Coordinación mínima 21% 52% Algo coordinadas 30% 21% Bien coordinadas 27% 0% Global 46 | Sin riesgo no hay recompensa — Encuesta GRC 2015 10% 20% Perú 30% 40% 50% 60% Sobre Auditoría Interna y Tecnología de la Información En el Perú y a nivel global el 76% de encuestados indicó que su función de Auditoría Interna le reporta funcionalmente al Directorio o Comité de Auditoría, lo que es un avance significativo para el reconocimiento de la independencia del auditor y la gestión de sus funciones. Funcionalmente Administrativamente Perú Global Perú Global •Directorio •Comité de Auditoría •Gerente General (Chief Executive Officer - CEO) •Gerente de Operaciones (Chief Operational Officer - COO) •Gerente Financiero (Chief Financial Officer - CFO) •Gerente Legal / Abogado Corporativo (General Counsel) 24% 11% 15% 6% 52% 65% 6% 8% 12% 10% 55% 36% 0% 1% 0% 2% 3% 7% 9% 32% 0% 1% 3% 4% •Contralor 3% 1% 0% 2% •Otro 3% 3% 6% 8% •N/A - No hay AI 3% 3% 6% 3% ¿A qué área reporta Auditoría Interna funcionalmente y administrativamente Sin riesgo no hay recompensa — Encuesta GRC 2015 | 47 En la actualidad los cambios tecnológicos exigen respuestas veloces y acorde a los riesgos que conllevan. El uso de herramientas tecnológicas de gestión de riesgos facilita estas respuestas. En el Perú el 64% de nuestros encuestados no utiliza tecnologías como es la tendencia a nivel global. Perú Global •Sí, tenemos una única tecnología de riesgos y cumplimiento 6% 14% •Sí, tenemos múltiples tecnologías de riesgos y cumplimiento 18% 23% 9% 11% •No, no tenemos tecnologías de riesgos y cumplimiento en la 64% 46% •No sé 3% 5% ¿A qué nivel la organización utiliza medios tecnológicos para dar soporte a las actividades de gestión de riesgos? para toda la organización para toda la organización •Sí, utilizo tecnología de riesgos y cumplimiento para la gestión de riesgos, pero no estoy informado de qué tecnologías estarán utilizando otras áreas organización 48 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Sin riesgo no hay recompensa — Encuesta GRC 2015 | 49 Metodología aplicada en la encuesta Nuestra encuesta global de Gobierno, Riesgo y Cumplimiento de 2015 fue llevada a cabo entre febrero y marzo del 2015. Se preguntó qué tan bien las organizaciones están gestionando sus riesgos y lo que deben realizar para tener una mejor gestión de riesgos que impulsen el desempeño. Participaron casi 1,200 Gerencias de alto nivel, miembros de comités de auditoría y varios ejecutivos de aseguramiento y/o cumplimiento, representando a las principales industrias en 63 países alrededor del mundo. La mayoría de las respuestas de la encuesta fueron obtenidas a través de reuniones personales, y en caso esto no haya sido posible, el cuestionario fue completado en línea. Agradecemos a todos los participantes por compartir sus conocimientos. Perfil de los participantes 1,196 Encuestados 63 Países a nivel mundial 25 Sectores industriales Encuestados por sector industrial Automotriz y transporte Banca y Mercado de Capitales 77 146 Tecnologías limpias Consumo masivo 4 121 Gobierno y Sector Público Minería y Metales 46 Petróleo y Gas 53 Electricidad y Servicios Públicos 90 Bienes Raíces y Construcción 21 72 Tecnología73 Salud46 Telecomunicaciones48 Seguros49 Administración de activos y de riqueza Ciencias de la salud Otros (por favor especificar) 32 Medios de comunicación y entretenimiento 29 50 | Sin riesgo no hay recompensa — Encuesta GRC 2015 20 269 Encuestados por número de empleados Encuestados por región Menos que 1,000 320 1,000 a 5,000 293 5,000 a 15,000 235 15,000 a 50,000 188 Más de 50,000 160 Parámetros: Encuestados por roles/puestos Miembro del Directorio — Comité de Auditoría 15 Miembro del Directorio — Comité de Riesgos 6 Gerente General (CEO) 18 Gerente Financiero (CFO) 62 Gerente de Información (CIO) 13 Gerente de Riesgos (CRO) EMEIA 556 Americas 411 Asia-Pacífico 214 Japón 15 Encuestados por total de ingresos anuales 127 Director/Gerente/Jefe de Auditoría (CAE) 648 Líder de SOX o Cumplimimiento 57 Otros250 Parámetros: Más de US$50 mil millones 55 US$10 — US$50 mil millones 174 US$1 millón — US$10 mil millones 393 US$100 mil millones — US$1 millón 248 US$10 mil millones — US$100 mil millones 95 Menos de USD10 mil millones 198 Gobierno, sin fines de lucro 21 No aplica 12 Sin riesgo no hay recompensa — Encuesta GRC 2015 | 51 Contactos I EY Perú Paulo Pantigoso Country Managing Partner Telf: +51 1 411 4418 [email protected] • Consultoría / Advisory Jorge Acosta Advisory Leader Telf: +51 1 411 4437 Elder Cama Víctor Menghi [email protected] [email protected] [email protected] Numa Arellano Rafael Huamán Renato Urdaneta [email protected] [email protected] [email protected] José Carlos Bellina Alejandro Magdits Raúl Vásquez [email protected] [email protected] [email protected] Assurance Leader Telf: +51 1 411 4410 Elizabeth Fontenla Antonio Sánchez [email protected] [email protected] [email protected] Víctor Burga Ariel García Simona Settineri [email protected] [email protected] [email protected] Víctor Camarena César Lucas Mireille Silva [email protected] [email protected] [email protected] Daniel Carpio Moisés Marquina Víctor Tanaka [email protected] [email protected] [email protected] Ricardo del Águila Fernando Núñez Carlos Valdivia [email protected] [email protected] [email protected] Raúl del Pozo Miguel Quijano Marco Antonio Zaldívar [email protected] [email protected] [email protected] Manuel Díaz Wilfredo Rubiños Mayerling Zambrano [email protected] [email protected] [email protected] Cristian Emmerich Carlos Ruiz [email protected] [email protected] Telf: +51 1 411 4428 Telf: +51 1 411 4444 Ax. 16117 Telf: +51 1 411 4444 Ax. 16102 Telf: +51 1 411 4443 Telf: +51 1 411 4453 Telf: +51 1 411 2121 Telf: +51 1 411 4438 Telf: +51 1 411 4415 • Auditoría / Assurance Juan Paredes Telf: +51 1 411 4419 Telf: +51 1 411 4488 Telf: +51 1 411 4458 Telf: +51 1 411 7236 Telf: +51 1 411 4467 Telf: +51 1 411 4403 Telf: +51 1 411 4413 52 | Sin riesgo no hay recompensa — Encuesta GRC 2015 Telf: +51 1 411 4436 Telf: +51 1 411 4454 Telf: +51 1 411 2148 Telf: + 51 1 411 4461 Telf: +51 1 411 4473 Telf +51 1 411 2114 Telf: +51 1 411 4478 Telf: +51 1 411 4402 Telf: +51 1 411 4404 Telf +51 1 411 4444 Ax. 16113 Telf: + 51 1 411 4484 Telf: + 51 1 411 4408 Telf: + 51 1 411 4409 Telf: +51 1 411 4450 Telf: +51 1 411 2216 • Impuestos / Tax David de la Torre Roberto Cores Guillermo Hidalgo [email protected] [email protected] [email protected] Humberto Astete Gustavo Chau Ricardo Leiva [email protected] [email protected] [email protected] Percy Bardales Beatriz de la Vega Elizabeth Rosado [email protected] [email protected] [email protected] María Eugenia Caller Rubén Espinoza Nelson Santos [email protected] [email protected] [email protected] Ítalo Carrano Verónica Febres Fernando Tori [email protected] [email protected] [email protected] José Ignacio Castro Marcial García Claudia Vega [email protected] [email protected] [email protected] Tax Leader Telf: +51 1 411 4471 Telf: +51 1 411 4468 Telf: +51 1 411 4451 Telf: + 51 1 411 4477 Telf: + 51 1 411 4482 Telf: +51 1 411 4470 Telf: + 51 1 411 2191 Telf: +51 1 411 4412 Telf: + 51 1 411 4442 Telf: +51 1 411 2217 Telf: +51 1 411 4424 Telf: + 51 1 411 4476 • Transacciones y Finanzas Corporativas / TAS Enrique Oliveros Telf: +51 1 411 4444 Ax. 17307 Telf: +51 1 411 4457 Telf: +51 1 411 2111 Telf: +51 1 411 4479 Telf: +51 1 411 4483 • Gobernanza y Sostenibilidad Corporativa Beatriz Boza Telf: +51 1 411 4417 Telf: +51 1 411 2108 [email protected] Lima Av. Víctor Andrés Belaúnde 171, San Isidro - Lima 27, Perú Telf:: +51 1 411 4444 Fax: +51 1 411 4445 www.ey.com/pe/es/home Telf: + 51 1 411 4464 [email protected] Arequipa Av. Bolognesi 407, Yanahuara – Arequipa 040, Arequipa Telf:+51 54 484 470 Chiclayo Av. Santa Victoria 612, Urb. Santa Victoria, Chiclayo 140 - Chiclayo Telf: +51 74 227 424 +51 74 227 421 EY | Assurance | Tax | Transactions | Advisory Acerca de EY EY es el líder global en servicios de auditoría, impuestos, transacciones y consultoría. La calidad de servicio y conocimientos que aportamos ayudan a brindar confianza en los mercados de capitales y en las economías del mundo. Desarrollamos líderes excepcionales que trabajan en equipo para cumplir nuestro compromiso con nuestros stakeholders. Así, jugamos un rol fundamental en la construcción de un mundo mejor para nuestra gente, nuestros clientes y nuestras comunidades. Para más información visite ey.com © 2015 EY All Rights Reserved. / EYPeru / EYPeruIntegrate / company/ernstandyoung Descarga nuestras publicaciones en: ey.com/PE/EYPeruLibrary @EYPeru / EYPeru
