Instituto de Auditores Internos del Perú Rafael Fernando López Abad MAPAS DE RIESGOS EN AUDITORIA INTERNA 28 De Agosto del 2015 Expositor : Rafael Fernando López Abad CPC, MsC, CRMA

RAFAEL FERNANDO LÓPEZ ABAD Presidente del Instituto de Auditores Internos del Peru, Periodo 2013-2015 CPC - Universidad de San Martin de Porres Máster en Ciencias MsC - Universidad Nacional de Ingeniería IRCA – International Register of Certified Auditors Especialista en Finanzas - ESAN Gerente de Auditoría Interna de Southern Copper Corporation (GRUPO MEXICO) Ex Auditor de Pricewaterhouse Ex Auditor de Ernst & Young Profesor de GERENS – Escuela de Gestión y Economía, ESAN, UTP

CONTENIDO Antecedentes. Modelos de Control Interno. Riesgos de negocio en minería. Elementos de la gestión de riesgos. Ejemplos de Factores de riesgo. Conclusiones y Recomendaciones.

Instituto de Auditores Internos del Perú Enron (2001) Registro indebido de instrumentos financieros. Coincidencias Son temas “exclusivos” de interpretación de la técnica contable. En todos los casos confluyó la intención (error) de personas clave. Debilidades en la clarificación de roles y responsabilidades. Debilidades en el ambiente de control. Conflictos de intereses y confabulación Fraude de cuello blanco WorldCom (2002) Investigación de la SEC por uso de prácticas contables indebidas. HealthSouth (2003) Presentación de utilidades sobreestimadas. Shell (2004) Error en el registro de reservas, 3.9 billones de barriles. Instituto de Auditores Internos del Perú

Modelos de Control Interno.

Modelos de Control Interno y Gestión de Riesgos 1946 1992 1995 1996 1998 1999 2001 2002 2004 ISO COSO Cadbury CoCo ANZ Australiano COBIT Basilea Turnbull Basilea II Sarbanes-Oxley COSO ERM Control Riesgo Marco Integral de Control Interno Marco Integral de Gestión de Riesgos COSO (1992) COSO ERM (2004)

La cadena de valor del reporte corporativo Reforma regulatoria en los Estados Unidos Ley Sarbanes-Oxley La cadena de valor del reporte corporativo Ejecutivos Consejo Auditores Analistas Inversionistas Emisores de estándares Reguladores Tecnologías

¿Y el Perú? ¿es ajeno a ello?…

LEY SARBANES OXLEY El congreso americano en el año 2002, aprobó la Ley Sarbanes Oxley (SOX) en respuesta a una serie de fallas de negocios y escándalos corporativos que empezaron en el 2001 y que agudizaron la falta de confianza de los inversionistas en los mercados financieros. Sarbanes Oxley es una reforma legal orientada a la mejora del gobierno corporativo y la transparencia informativa, fomentando la independencia de auditores y la adecuada resolución de conflictos de interés. La Ley SOX impone importantes obligaciones y restricciones a las compañías que realizan registros ante la Securities and Exchange Commission (SEC), sus directivos, auditores entre otros.

Pero … ¿Por qué hablamos de la Ley Sarbanes Oxley?

LEY SARBANES OXLEY La Ley Sarbanes Oxley considera aspectos de Buen Gobierno Corporativo que fomentan una mayor credibilidad de la información financiera para el mercado de valores. Fundamentalmente se basa en la implementación de la sección 404: Control Interno. La estructura mínima de control interno requerida por la sección 404 es la establecida por el Informe del “Committee of Sponsoring Organizations of the Treadway Commission” – Informe COSO. Asimismo, la sección 404 de la Ley SOX establece que las empresas que cotizan en la bolsa de Nueva York deben evaluar y certificar anualmente su sistema de Control Interno.

¿PARA QUE NECESITAMOS IMPLEMENTAR COSO? Para dar cumplimiento a la ley Sarbanes Oxley. Para Fortalecer el Sistema de Control Interno COSO ayuda a las organizaciones en el logro de sus objetivos de negocios. A fin de Garantizar la Transparencia de la Información Financiera en adherencia a las Normas y Regulaciones. Fortalecer los Aspectos relacionados con “El Problema de Agencia”……………………..

INFORME COSO - INTERNAL CONTROL - INTEGRATED FRAMEWORK En los Estados Unidos la National Commission on Fraudulent Financial Reporting, a través de su Committee of Sponsoring Organizations, en 1992 publicó el famoso Informe COSO sobre Control Interno - Marco Integrado, dicho informe desarrolló nuevos conceptos de control interno. Committee of Sponsoring Organizations of the Treadway Commission

El Panorama que enfrenta la Empresa Instituto de Auditores Internos del Perú El Panorama que enfrenta la Empresa Regulación Reguladores comerciales Ministerio de Energía y Minas Ente gubernamental Gobierno corporativo Mercados de capital Administración De riesgos Prestamistas SUNAT Banca de inversión Comité de riesgos Comité de auditoría Inversionistas Fusiones y adquisiciones Junta directiva Presión en márgenes de rentabilidad Alta Gerencia - Complejidad regulatoria sin precedentes - Altos requerimientos de calidad Otros - Incremento de reportes a entidades de vigilancia y control Guerra de talentos Internet - Altos niveles de medición Presión política Globalización - Menor tolerancia al riesgo Avances tecnológicos Instituto de Auditores Internos del Perú

…Y cuál el origen de los riesgos? Instituto de Auditores Internos del Perú …Y cuál el origen de los riesgos? Dirección Nivel Gerencial Procesos/ Subprocesos Proyectos Actividades Instituto de Auditores Internos del Perú

Instituto de Auditores Internos del Perú La práctica de riesgos ha evolucionado durante este último tiempo. Tanto el mercado como las entidades regulatorias han ido perfeccionando sus enfoques, metodologías y con esto han ido generando mejoras que están siendo integradas por las organizaciones. Uno de los precursores en establecer directrices en la materia ha sido Basilea, el mismo que ha ido otorgando cada vez mayor importancia a la administración y gestión del riesgo operacional. Esto lo han reconocido las organizaciones y han emprendido distintos caminos con el objetivo de avanzar en la gestión efectiva de este riesgo. Basados en estos lineamientos y tendencias los organismos reguladores ha incrementado su foco y exigencias de supervisión en el ámbito de riesgo operacional en la industria financiera. La teoría desarrollada en base a marcos referenciales de riesgo ha sido aplicada, probada y existen importantes conclusiones que requieren de toda la atención de los gestores de riesgo operacional. Instituto de Auditores Internos del Perú

Importancia del Proceso de Gestión de Riesgo Empresarial Instituto de Auditores Internos del Perú Importancia del Proceso de Gestión de Riesgo Empresarial Asistir a la Alta Dirección en el cumplimiento de sus objetivos de forma eficiente y efectiva, a través de un proceso que le permita: Identificar y evaluar sus Riesgos. Definir Planes de Acción para mitigar la posibilidad de materialización de dichos riesgos o reducir sus efectos frente a los objetivos trazados. Generar una mejor asignación de recursos. Este proceso se desarrolla en tres niveles: Entorno Procesos Información para la toma de Decisiones. Instituto de Auditores Internos del Perú

Instituto de Auditores Internos del Perú Monitorear el uso de información interna Observar las “banderas rojas” Controlar los conflictos de intereses Comunicación ..... Asegurar la ética organizacional Consultar al auditor externo Establecer una auditoria interna eficaz Asegurar la independencia del auditor externo Inteligencia en Riesgo Instituto de Auditores Internos del Perú

Los cinco componentes del Control Interno .

Ambiente de Control Establece el “tono” (crea conciencia en la organización hacia los controles) Los factores Incluyen: Integridad y valores éticos, Capacidad del personal, Prácticas de recursos humanos, Filosofía de operación de la gerencia, La forma en que la autoridad y la responsabilidad están asignadas, y La atención y dirección proporcionada por el consejo directivo. Es el fundamento para todos los otros componentes de control. .

Evaluación de Riesgos Antes de poder realizar una evaluación de riesgo, es necesario el establecimiento de objetivos, ligados entre sí a diferentes niveles y de manera consistente. La identificación y el análisis de los riesgos relevantes para el cumplimiento de los objetivos . Forma la base para determinar cómo deben ser administrados los riesgos . Es necesario contar con mecanismos para identificar y confrontar con los riesgos asociados con el cambio. .

Actividades de Control Políticas/Procedimientos que aseguran el cumplimiento de las directrices de la gerencia. Ayudan a asegurar el cumplimiento de las acciones necesarias para confrontar y reducir los riesgos . Se llevan a cabo actividades de control a lo largo de toda la organización, a todos niveles y en todas las funciones. El rango de actividades incluye: Aprobaciones, autorizaciones, verificaciones, revisiones de desempeño, resguardo de activos, segregación de funciones, etc. .

Información y Comunicación Asegurar que la información importante es identificada, capturada, y comunicada en un tiempo que permita al personal cumplir sus responsabilidades. Incluye información interna y externa sobre eventos, actividades y condiciones necesarias para la toma de decisiones del negocio y los reportes externos. Existe un flujo de información que permite un control exitoso desde la emisión de instrucciones sobre las responsabilidades hasta la preparación de resúmenes de hallazgos para la administración. .

Monitoreo Evaluación del desempeño del sistema de control en el tiempo Combinación de evaluaciones continuas y por separado. Las deficiencias en el control interno deberán ser reportadas “hacia arriba”, asegurándose que los temas importantes sean reportados a la alta gerencia y al consejo. La combinación de evaluaciones continuas y por separado aseguran que el proceso de control interno conserva su efectividad a través del tiempo . .

Monitoreo El monitoreo continuo incluye las actividades de supervisión realizadas comúnmente por la gerencia y otras acciones que realiza el personal durante el desempeño de sus labores diarias . Las evaluaciones por separado proporcionan retroalimentación independiente en un momento preciso: El alcance y frecuencia dependerán principalmente de la evaluación de riesgos y la efectividad de los procedimientos de monitoreo continuo. La evaluación pudiera ser hecha a través de auto-evaluaciones, “checklists” y revisiones de control interno. Estas revisiones pueden ser realizadas por el auditor interno o externo (para cumplir con los propósitos de su auditoria) y por consultores externos. .

Evaluación de Riesgos Corporativos COMERCIAL Precio Seguridad en el Transporte Demanda Embarque y Tráfico Oferta Clientes Especulación Contratos Calidad del Producto OPERATIVOS Equipos Mano de Obra Ferrocarril Proceso Operativo Condiciones Climatológicas Condiciones Ambientales Recursos Naturales Reservas Seguridad Industrial Insumos y Repuestos Energía Costo de Producción OTROS LEGAL RECURSOS HUMANOS ENTORNO GENERAL ENTORNO GUBERNAMENTAL IMAGEN CORPORATIVA Y GOBIERNO CORPORATIVO REPORTE FINANCIERO Cobranzas Custodia en Bancos Control de ME Tipo de Cambio Liquidez Endeudamiento Inversiones Integridad de los registros contables SISTEMAS DE INFORMACIÓN TELECOMUNI- CACIONES ESTRATÉGICO

(ENTERPRISE RISK MANAGEMENT) LO QUE ES ERM (ENTERPRISE RISK MANAGEMENT) Un proceso efectuado por el Directorio, la Gerencia y otro personal, aplicado en la formulación de estrategias y a través de toda la empresa (en cada nivel o unidad), diseñado para identificar eventos potenciales que podrían afectar la entidad, y gerenciar los riesgos que se encuentren dentro de los límites de riesgo, con el propósito de proveer de una certeza razonable en el logro de los objetivos de la entidad .

(ENTERPRISE RISK MANAGEMENT) LO QUE NO ES ERM (ENTERPRISE RISK MANAGEMENT) Un remplazo de los esfuerzos actuales de gestión de riesgos. Otra Iniciativa o ejercicio burocrático de cumplimiento Sólo relacionado con evitar los riesgos, sin considerar la Toma inteligente de los mismos. Un sustituto para el Juicio de la Gestión. Una Seguridad absoluta. De propiedad exclusiva de Auditoría Interna o Finanzas

Riesgos de Negocio en Minería RELACIONES CON COMUNIDADES PERDIDA CATASTROFICA SENSIBILIDAD SOBERANO POLITICA RELACIONES CON ACCIONISTAS LEGAL – TRIBUTARIO RIESGOS DEL ENTORNO

Riesgos de Negocio en Minería RIESGOS DE OPERACIONES RIESGOS DE DIRECCION RIESGOS DE TECNOLOGÍA DE INFORMACIÓN RIESGOS DE INTEGRIDAD RIESGOS FINANCIEROS RIESGOS DEL PROCESOS

Riesgos de Negocio en Minería INFORMACION OPERATIVA INFORMACION FINANCIERA INFORMACION ESTRATÉGICA RIESGOS DEL INFORMACION PARA LA TOMA DE DECISIONES

RIESGOS ESTRATEGICOS DE NEGOCIO GESTION DE RIESGOS RIESGOS ESTRATEGICOS DE NEGOCIO Riesgo Probabilidad Impacto Total   Escasez de pérsonal calificado 3 2 5 Consolidación de la Industria 4 Acceso a la infraestructura Mantenimiento de Licencia Social para operar 6 Inquietud para el cambio climático Alza de Costos Disminución de recursos 1 Nacionalización de recursos Acceso a Energía Segura Mayor reglamentación.

ADMINISTRACION DE RR.HH. DESARROLLO TECNOLOGICO U T I L D A INFRAESTRUCTURA DE LA EMPRESA ADMINISTRACION DE RR.HH. DESARROLLO TECNOLOGICO ABASTECIMIENTO T R A N S F O M C I P R O S E C I N E X P L O R A C I N D S Y E X T R A C I O N V E N T A D M I R L C I E R ALTO RIESGO F I N A N C I A M I E N T O F I N A N C I A M I E N T O F I N A N C I A M I E N T O RIESGO CALCULADO

GESTION DE RIESGOS CORPORATIVOS CASH MANAGEMENT IMPLEMENTACION DE NIIF CARGOS DIRECTOS PROYECTOS DE INVERSION CIERRE DE MINA ESTABILIDAD DE TALUDES NIVELES DE INVENTARIOS SEGURIDAD RESERVAS O ESTIMACIONES POLITICAS CORPORATIVAS IMPUESTOS PRECIO DE COMODITIES FINANCIMIENTOS COBERTURAS INVERSIONES RETENCION DE PERSONAL PRECIOS DE TRANSFERENCIA RELACIONES COMUNITARIAS CONTRATOS GESTION LOGISTICA

Instituto de Auditores Internos del Perú Clasificación de Riesgos ESTRATÉGICO Gobierno Corporativo Modelo de Negocios Crédito REGLAMENTO FINANCIERO OPERACIONAL Mercado Liquidez Personal Información y Tecnología Medio Ambiente Proceso Político y Económico Concentración Garantías Incumplimiento Cambios Derivados Tasa de interés Participación Costo de Oportunidad Disponibilidad de Capital Flujo de Caja Capacitación Dependencia de personal clave Límite de Autoridad Retención de talento Acceso y confidencialidad Credibilidad Disponibilidad Integridad Salud y Seguridad Regulación Contabilidad y Finanzas Legal Trabajo Tributario / Fiscal Civil Canal de Distribución Capacidad Operacional Efectividad y Eficiencia Falla de Producto/Serv. Fortalecimiento Obligación contractual Tercerizados Perdidas y Obsoletos Seguridad Patrimonial Práctica Comercial Apego a las Reglas Comunicación Relación con Accionistas Incentivos de Desempeño Reputación e Imagen Responsabilidad Social Sucesión Fraude Cambio de Gobierno Economía Política Pública Concurrencia y Mercado Estructura Organizacional Fusiones y Adquisiciones Planeación Continuidad de los Negocios Gestión del Conocimiento Desarrollo de Productos y Servicios Inversiones y Proyectos Marcas y Patentes Innovación Tecnológica Satisfacción del Cliente Indicadores de Desempeño Ambiental Instituto de Auditores Internos del Perú

Clasificación de Riesgos Instituto de Auditores Internos del Perú Clasificación de Riesgos Instituto de Auditores Internos del Perú

Instituto de Auditores Internos del Perú 1. Competencia 2. Disponibilidad de Capital 3. Pérdida Catastrófica 6. Gobierno / Política UNIVERSO DE RIESGOS 4. Legal 5. Disponibilidad (reclut.) RIESGOS OPERACIONALES Fijación de precios Medición de desempeño 5. Reporte regulatorio RIESGOS FINANCIEROS Presupuesto y planeación Información contable Evaluación del reporte financiero Impuestos RIESGOS ESTRATÉGICOS Monitoreo de la información Portafolio de negocios Satisfacción del cliente Competencias profesionales Retención de personal Ambiente laboral Dependencia del personal Desarrollo del producto Eficiencia operacional Capacidad instalada Brechas de desempeño Disponibilidad de equipos y repuestos Continuidad de negocio Medio ambiente Salud y seguridad RIESGO DE JERARQUÍA Liderazgo Autoridad /Límites de autoridad Comunicación RIESGOS DE INTEGRIDAD Fraude del personal Actos ilegales Reputación RIESGO FINANCIERO PRECIO 1. Tasa de interés 2. Tipo de cambio 3. Capital LIQUIDEZ Concentración CRÉDITO Crediticio Colaterales RIESGOS DE TECNOLOGÍA Relevancia de información Integridad Seguridad de la información Disponibilidad de información Infraestructura RIESGOS DE ENTORNO RIESGOS DE PROCESOS RIESGOS DE INFORMACIÓN PARA LA TOMA DE DECISIONES Instituto de Auditores Internos del Perú

. Instituto de Auditores Internos del Perú De acuerdo a los mejores prácticas de Basilea II establece que los riesgos operacionales que las entidades deben identificar, medir y gestionar, deben clasificarse en la siguientes siete categorías de riesgo: Categorías de Riesgo Fraude Interno Pérdidas derivadas de actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar regulaciones, leyes o políticas empresariales en las que se encuentra implicada, al Menos una parte interna a la empresa de beneficio propio. Fraude externo Pérdidas derivadas de actuaciones encaminadas a defraudar, apropiarse de bienes indebidamente o a soslayar la legislación, por parte de un tercereo. Relaciones laborales y Seguridad en el trabajo Pérdidas ocasionadas por actuaciones incompatibles con la legislación o acuerdos laborales, de Higiene y seguridad en el empleo, del pago de reclamaciones por daños a las personas, o de Eventos de diversidad/discriminación. Multas, sanciones, indemnizaciones y gastos ocasionados por litigios por infracciones de la Normativa vigente y el marco jurídico existente cometidas por la entidad, y por reclamaciones de Clientes que hayan sufrido un quebranto económico o se consideren perjudicados por la acción u Omisión de la entidades la comercialización de productos o servidos. Prácticas con clientes Productos y negocios Daños en activos físicos Daños a activos materiales como consecuencia de desastres naturales u otros acontecimientos Incidencias en el negocio Y fallos en los sistemas Pérdidas directas derivadas de fallos en los sistemas que soportan la actividad de la entidad Ejecución, entrega y gestión de procesos Pérdidas derivadas de errores en el procesamiento de operaciones o en la gestión de procesos, así como de relaciones con contrapartes comerciales y proveedores Instituto de Auditores Internos del Perú

LA RESPUESTA AL RIESGO TIENE QUE DARSE EN UN MARCO DE DESARROLLO SOSTENIBLE Ó PARA ALCANZAR UN DESARROLLO SOSTENIBLE, ES NECESARIO TOMAR EN CUENTA DE MANERA SIMULTANEA EL CRECIMIENTO ECONÓMICO, EL DESARROLLO SOCIAL Y EL CUIDADO DEL MEDIO AMBIENTE. ASI SE ESTARÍAN CONSIDERANDO LAS NECESIDADES DE LAS GENERACIONES ACTUALES SIN COMPROMETER LAS NECESIDADES DE LAS GENERACIONES FUTURAS.

CLAVES PARA LA IMPLEMENTACION EXITOSA DE UN SISTEMA ERM Preparación del equipo líder Diagnostico de la situación Visión de riesgos corporativos Desarrollo de capacidades Plan de implantación Desarrollo y puesta en marcha de la gestión de cambio Seguimiento APOYO Y COMPROMISO DE LA ALTA DIRECCIÓN Preparación del equipo líder Desarrollo del Plan de Implementación Diagnóstico de la Situación Actual Visión de la Gestión de Riesgos Corporativos Desarrollo de Capacidades Plan de Implantación Desarrollo y puesta en marcha de la Gestión de Cambio Seguimiento

Conclusiones y recomendaciones El ERM no es solamente un lineamiento para la implementación y la Gerencia de Riesgos, es una filosofía que debe ser adoptada desde lo más Alto de la Organización. Muchas de las variables o de los factores de riesgos no son controlables y dependen de factores externos que requieren de gran atención. ERM se puede convertir en una valiosa herramienta que puede generar valor, ejemplo a través de su aplicación en los procesos de las organizaciones. Se requiere alinear el esquema de la Evaluación de Riesgos con una Filosofía de Buen Gobierno Corporativo. La resultande de las Evaluaciones de riesgos requiere de su revelación por transparencia.

Conclusiones y recomendaciones Los Riesgos afectan de manera diferente a Industrias del mismo sector, esto debido a su estructura, filosofía, solidez y posicionamiento en el mercado entre otros. El Perú tiene una cartera estimada de US $ 41,000 millones de dólares en Proyectos Mineros, cuya inversión requerirá de profesionales calificados que dentro de sus competencias manejen la cultura de la administración de riesgos. Se Recomienda su implementación

Correo electrónico : flopeza@southernperu.com.pe Muchas gracias Correo electrónico : flopeza@southernperu.com.pe