i “GESTIÓN DE RIESGOS EN UNA EMPRESA DE RETAIL FARMACÉUTICO” Trabajo de Investigación presentado para optar el Grado Académico de Magíster en Auditoría Presentada por Sr. Luis Edgar del Villar Bromley Sr. Víctor Ernesto Taboada Bormioli Asesor: Profesor José Aníbal Díaz Ísmodes 2016 ii Dedicamos el presente trabajo a nuestros padres por su apoyo incondicional. iii Agradecemos a todos nuestros profesores y en especial al profesor José Aníbal Díaz Ísmodes por su orientación, asesoramiento y dedicación. iv Índice Capítulo I Identificando el problema 1. Antecedentes bibliográficos 1 2. Justificación de la investigación 4 3. Definición del problema 5 4. Preguntas de la investigación 5 5. Objetivos de la investigación 5 Capítulo II Marco teórico 1. Marco Integral de Control Interno – COSO IC 7 2. Marco Integrado de Gestión de Riesgos – COSO ERM 8 Capítulo III Conocimiento de BOTICAS ARCÁNGEL 1. Antecedentes de la empresa 1.1 Grupo Inka 9 1.2 Albis 9 1.3 BOTICAS ARCÁNGEL 13 1.4 Estructura orgánica de BOTICAS ARCÁNGEL 14 1.5 Misión y visión de BOTICAS ARCÁNGEL 15 1.6 Código de ética 15 1.7 Sistemas de información 16 1.8 PEST BOTICAS ARCÁNGEL 16 Capítulo IV Diagnóstico del ambiente de control 1. Objetivo 18 2. Diagnóstico del ambiente de control 19 3. Resultados del diagnóstico 23 Capítulo V Planeamiento para la gestión de riesgos 1. Introducción 24 2. Manual de Gestión Integral de Riesgos v 2.1 Introducción 24 2.2 Objetivos 25 2.3 Base legal 25 2.4 Definición de términos 25 2.5 Políticas 26 2.6 Metodología de administración de riesgos 36 2.7 Guía práctica para el llenado de la Matriz de Riesgos 51 Capítulo VI 1. Resumen del trabajo realizado Matriz de riesgos estratégicos 56 Matriz de riesgos operativos 58 Matriz de riesgos financieros 62 Matriz de riesgos de cumplimiento 63 Conclusiones y recomendaciones 68 Bibliografía 70 Anexos 88 Nota biográfica 1 Capítulo I Identificando el problema 1. Antecedentes bibliográficos En los últimos quince años, y en especial en la última década, la industria retail farmacéutica ha sufrido cambios significativos y avances por diversos factores como el aumento en el consumo, los avances en la tecnología y el crecimiento de la economía en general, entre otros. El entorno en el que se desarrollan estas industrias es altamente dinámico, lo que ha propiciado una gran cantidad de fusiones y adquisiciones con el fin de fortalecer sus estrategias de mercado. El retail se convertirá en una industria que se concentrará en ofrecer productos a consumidores selectivos en vez de productos masivos, habrá mayor desarrollo tecnológico y aumentará el gasto en servicios por sobre el gasto en productos. Todos estos cambios requerirán del diseño de estrategias adecuadas para enfrentar los retos de una economía globalizada y cada vez más competitiva. Mario Mongilardi1, presidente del Subcomité de Medicamentos de la CCL, dijo que el mercado es impulsado principalmente por el desarrollo económico local y por una mayor capacidad adquisitiva de las personas, quienes cada vez invierten más en su salud. Mongilardi precisó que el mercado farmacéutico privado (aquel que se mueve en clínicas, farmacias y boticas) factura alrededor US$1.000 millones al año; en tanto que para el caso del sector público esta cifra oscila entre US$400 y 450 millones anuales. “Hemos visto en los últimos años grandes inversiones en infraestructura, se han construido nuevos hospitales, lo que trae como consecuencia un mayor número de atenciones a los pacientes. Al ocurrir ello, aumentan las prescripciones médicas y, en consecuencia, el mercado crece”, afirmó en declaraciones para la agencia Andina. Según2 el laboratorio Hersil, las ventas de las farmacéuticas en las cadenas de farmacias y las independientes llegarían a US$ 2.000 millones en 2019. El mercado farmacéutico privado duplicará su facturación en los próximos seis años, según estimó el gerente de desarrollo de nuevos negocios de Hersil, Luis De la Torre. “El crecimiento poblacional y el avance del PBI también apoyarán este aumento en el mercado farmacéutico. Recordemos que la población peruana tiene mucho más poder económico que antes. Esto les permite comprar más medicinas”, aclaró. Del total de la demanda de medicamentos el 65% proviene del sector privado (farmacias y boticas principalmente), el 12% de las clínicas privadas y el 23% del sector institucional estatal que adquiere medicamentos para abastecer hospitales, postas y asistencias médicas de las fuerzas armadas y policiales de todo el país, siendo abastecidos en menos del 30% por la industria farmacéutica nacional. 1 http://elcomercio.pe/economia/peru/mercado-productos-farmaceuticos-factura-casi-us1400-millones-ano- noticia-1375198 (jueves 16 de febrero de 2012) 2 http://elcomercio.pe/tag/343542/sector-farmaceutico (martes 16 de abril de 2013) http://elcomercio.pe/economia/peru/mercado-productos-farmaceuticos-factura-casi-us1400-millones-ano-noticia-1375198 http://elcomercio.pe/economia/peru/mercado-productos-farmaceuticos-factura-casi-us1400-millones-ano-noticia-1375198 http://elcomercio.pe/tag/343542/sector-farmaceutico 2 La derogatoria en los años 90 de la restricción mínima del establecimiento de una farmacia cada trescientos metros, permitió la creación de cadenas de farmacias, que se han convertido por el momento en subdistribuidores por su alta concentración de ventas, lo cual le permite obtener mayores descuentos y plazos de pago quitándoles margen de ganancia a las distribuidoras, que han perdido capacidad de negociación frente a los laboratorios. La competencia entre las principales empresas de la industria se seguirá basando en estrategias promocionales, aunque estudian nuevas tácticas para su crecimiento. Más de doce meses han pasado desde que un oleaje de compras tomara por sorpresa al ‘retail’ farmacéutico peruano. En tanto, a principios del 2011 el Grupo Intercorp alcanzó el liderazgo absoluto de esta industria, luego de la adquisición de Química Suiza (Quicorp) e Inkafarma. Lo propio hizo, un mes después, Boticas Torres de Limatambo-BTL, cadena que se sumó a Mifarma. Este último conglomerado volvió a dar de qué hablar en el año 2012 tras unir a sus filas a Fasa Perú, antes en poder de la empresa mexicana Casa Saba, superando de esta forma en número de farmacias a Inkafarma, más no en ventas. Ambas cadenas farmacéuticas junto a BOTICAS ARCÁNGEL, del grupo Inca, lideran hoy ese mercado. Las ventas acumuladas de dichas cadenas al año, superan los US$820 millones de un mercado aproximado de US$1.200 millones, situación similar a la de Chile, en donde tres empresas abarcan el 80% del mercado. Finalmente, BOTICAS ARCÁNGEL ha puesto el foco en el servicio. No solo ha aumentado el número de sucursales (a octubre había abierto 45 establecimientos), sino que también se ha expandido al rubro de los centros médicos. Además, la cadena ofrece seguros de vida en sus tiendas, en alianza con la aseguradora Protecta. El objetivo de la botica es ser la red privada de salud más grande de nuestro país. Los ejecutivos estiman que terminarán el año con 355 locales y no descartan adquirir otras cadenas, como Boticas y Salud, el cuarto operador peruano. Si la operación se concreta, se completaría el modelo de tres grandes competidores que caracteriza a la industria chilena, aunque otros actores podrían entrar. Los rumores en el Perú incluso apuntan a Cruz Verde. Debido a la nueva consolidación y composición natural del mercado en los tres grupos descritos, las reglas de mercado del ‘retail’ farmacéutico han cambiado. Uno de los efectos es una agresiva competencia de descuentos, ofertas y promociones con el fin de captar más clientes, comentó el gerente general de Boticas Arcángel Gustavo Bravo. Estas empresas, a su vez, han calentado la pauta publicitaria con un despliegue de comerciales innovadores en medios masivos, especialmente entre Inkafarma y Mifarma-BTL, dejando ver sus anchos sustentos financieras y las ganas de ganar participación en el mercado. Para muestra un botón: El mensaje de Inkafarma es: precios bajos los 365 días del año, mientras que su más cercano competidor, Mifarma-BTL lanzaba una frontal ofensiva afirmando que eran invencibles en descuentos y que nadie les ganaba los lunes con el 12% de descuento en medicamentos. Hoy en día, se han segmentado las promociones, se ofrecen descuentos especiales a las 3 personas de la tercera edad, del sexo femenino, y en productos para bebes. Incluso Fasa hasta realiza “cierrapuertas”, a su estilo. Del mismo modo, las alianzas se han puesto de moda. Así por ejemplo, Inkafarma3 se unió a una empresa de su mismo holding, Cineplanet, ofreciendo entradas al cine a un precio menor del original por una compra de determinado monto en su cadena de boticas; es decir, se incrementaban las ventas de ambas empresas. Mifarma y Fasa se aliaron con el Banco Falabella para otorgar un 10% de descuento en compras de medicamentos a quienes compren con la tarjeta de este banco. Estos beneficios o promociones finalmente impactan favorablemente a los consumidores. Como vemos, algunas empresas están buscando diferenciarse a través de precios menores, promociones o de darle un valor agregado a sus clientes, que es el caso de Boticas Arcángel, sin dejar de contar con precios competitivos y promociones. Las farmacias, hoy en día, no solo compiten entre ellas, sino también entre ‘retailers’: como perfumerías, supermercados, más aún, cuando se trata de productos de cuidado personal e higiene. El grupo de Química Suiza se encuentra en un proceso de integración y de rentabilizar con sus tres marcas. Según expertos, ese manejo es difícil y complicado. Para integrar esfuerzos y reducir gastos operativos juntaron a Mifarma con BTL y ahora, ambas operan como una sola empresa, pero se mantienen las dos marcas independientemente e incluso refrescaron la de Mifarma. Sin embargo, los especialistas opinan que hubiera sido preferible fusionar también las marcas, pues quizá eso no los está beneficiando. Fasa es una empresa aún más complicada por la oferta de productos y el formato que maneja que requiere de grandes cambios para revertir los resultados negativos que la ha caracterizado en los últimos años. En el caso de BOTICAS ARCÁNGEL, además de expandirse en locales, también tiene más de 100 centros médicos (Medicentros) con cinco laboratorios clínicos, los cuales promueven análisis clínicos preventivos e incluso ofrecen seguros de vida en sus boticas. Por si fuera poco, se inauguró su primer policlínico en la ciudad de Jaén (Cajamarca). Por otro lado, la posición de Química Suiza como “retail” es más conservadora en términos de expansión, debido a que no muestra incremento en número de locales, lo que hace es cerrar algunos e inaugurar otros en su reemplazo. En cambio, Inkafarma y BOTICAS ARCÁNGEL han sido las cadenas con más aperturas en el presente ejercicio. Por el gran crecimiento de las cadenas descrito líneas arriba, es lógico pensar que en un corto o mediano plazo se extingan las farmacias y boticas independientes ya que sus proveedores no les permiten generar nuevos emprendimientos, porque las cadenas tienen un mayor poder de negociación de compra de medicamentos. BOTICAS ARCÁNGEL, no apuesta solo por ser un actor principal en el ‘retail’ farmacéutico, sino que quiere convertirse en la red privada de salud más grande del país, ofreciendo soluciones de manera integral; ello se ha iniciado con la tarjeta Famisalud, seguido con los Medicentros y, finalmente, con el primer policlínico de atención primaria, el cual ha sido diseñado para cubrir inicialmente 15 especialidades. 3 http://noticiasretailperu.blogspot.com/2012/11/sector-farmaceutico-peruano-se.html (martes 13 de noviembre de 2012) http://noticiasretailperu.blogspot.com/2012/11/sector-farmaceutico-peruano-se.html 4 Adicionalmente, se espera que se establezcan alianzas estratégicas con clínicas para ampliar dicho servicio. En relación a la cadena, aunque se prioriza su crecimiento orgánico, no se descarta adquirir otras cadenas, como por ejemplo Boticas y Salud, de forma tal que se complete el modelo de tres grandes cadenas farmacéuticas competidoras. De otro lado, las cadenas de farmacias intentan comprar a farmacias independientes los puntos de ventas más estratégicos, compitiendo agresivamente con ellos y obligándolos a trabajar por debajo del margen operacional, lo que produce el cierre de establecimientos. Las cadenas de farmacias han ido ganando fuerza en los últimos cinco años, pasando de un 15% al 40% de participación de mercado. En el año 2003 se vio una expansión de ellas en provincias, lo cual fue creando preocupación en las farmacias pequeñas de estas zonas, las que, para no cerrar y protegerse de las cadenas, se han comenzado a agrupar para negociar con las distribuidoras a través de una de ellas y comprar en volumen para obtener mayores descuentos y plazos de pago y así reducir sus precios de venta y no perder mercado. Las operaciones del retail es uno de los principales puntos de focalización en el negocio de las industrias farmacéuticas en el Perú, ya que lograr modelos eficientes y confiables que garanticen la entrega oportuna con productos de calidad es un reto que está directamente relacionado con la competitividad y el margen de utilidades. Sin embargo, lograrlo no es tarea fácil y es común que se aumente la exposición al riesgo en el proceso, llevando a la compañía a modelos que aumentan la probabilidad y severidad de los riesgos, desde los operativos hasta los reputacionales. Es ahí donde la gestión de riesgos interviene participando activamente en la estructuración de los modelos y cambios que se pretendan implementar, aportando metodologías que permitan identificar, analizar y gestionar dichos riesgos en los procesos. La industria farmacéutica es una de las más reguladas y complejas. Actualmente, está atravesando un período de profundas transformaciones. Hay otros aspectos que demandan cada vez más la atención de los altos directivos. Estos incluyen afrontar los retos que plantea el cumplimiento regulatorio, el fortalecimiento de los procesos de comercialización para alcanzar un nivel de excelencia en el mercado, la administración correcta de los riesgos y el manejar adecuadamente la complejidad organizacional a nivel global. En el futuro las empresas farmacéuticas que tomen decisiones inteligentes de inversión, que generen y exploten eficientemente la propiedad intelectual y manejen adecuadamente sus relaciones con los principales grupos de interés, serán las que podrán seguir creciendo. Actualmente las organizaciones reconocen que su modelo interno del manejo de riesgos es pobre, no existe interrelación entre ellos y están asilados. Reconocen, en consecuencia, la necesidad de configurar un sistema integral de riesgos. 2. Justificación de la investigación Es la primera vez que se realizará en la Unidad de Negocio Retail Farmacéutico del Grupo Albis la gestión de riesgos, el cual permitirá su posicionamiento en el mercado nacional, a través de un proceso estructurado, consistente y continuo para identificar, evaluar, medir y reportar amenazas y oportunidades que afecten el logro de sus objetivos. 5 Fortalecer el gobierno corporativo de la organización a través del establecimiento de un marco de gestión de riesgos en la Unidad de Negocios Retail, el cual requiere identificar los principales riesgos del negocio que enfrentan: estratégicos, operacionales, financieros y de cumplimiento para gestionar los mismos de forma eficiente y llevarlos a niveles aceptables. 3. Definición del problema. Cuatro son los principales problemas por los que atraviesa el mercado farmacéutico nacional: la adulteración y falsificación de medicamentos; el comercio informal; el contrabando principalmente desde Ecuador y Colombia y la falta de controles de calidad para los medicamentos. Estos inconvenientes unidos a la competencia agresiva entre cadenas de boticas por el posicionamiento del mercado, mediante tácticas de ventas a través de: ofertas, descuentos, promociones, precios y servicios para atraer a los clientes, han originado que la Alta Dirección de BOTICAS ARCÁNGEL piense que su éxito dependerá de las decisiones con visión de negocio que adopte y de la formulación de estrategias alineadas con sus objetivos; así como del análisis de las fortalezas y debilidades del sector. Por lo que se requiere el diseño de un Plan de Gestión de Riesgos que permita identificar y gestionar los riesgos que podrían afectar negativamente al cumplimiento de los objetivos de la empresa, desarrollar estrategias respecto de cómo gestionar eficazmente los riesgos claves y garantizar que el sistema de control interno esté funcionando de forma efectiva. 4. Preguntas de la investigación Las preguntas que buscamos responder en este trabajo de investigación son las siguientes: 4.1. ¿Es importante gestionar los riesgos en una organización? 4.2. ¿Cuál es el impacto de la gestión de riesgos en las actividades de creación de valor (estratégico y comercial) de la empresa? 4.3. ¿Cómo ayuda a la dirección el establecimiento de un marco de riesgos? 4.4. ¿Cuál es el beneficio tangible e intangible de la gestión de riesgos de la organización? 5. Objetivos de la investigación 5.1 Objetivo general Identificar y gestionar los riesgos que podrían afectar negativamente al cumplimiento de los objetivos de la empresa, desarrollar estrategias respecto de cómo gestionar eficazmente los riesgos claves y garantizar que el sistema de control interno esté funcionando de forma efectiva. 6 5.2 Objetivos específicos Identificar y gestionar los riesgos de la Unidad de Negocio Retail.  Tratar eficazmente los eventos negativos y las oportunidades asociadas a la incertidumbre, mejorando así la capacidad de generar valor en cada operación del Retail.  Equilibrar de forma óptima el crecimiento, la rentabilidad y los riesgos asociados a la Unidad de Negocio Retail.  Reducir el impacto generado por los riesgos, evitando el desgaste de los recursos relacionados a cada proceso de la organización. 7 Capítulo II Marco teórico En el marco teórico de esta tesis, se presentan los fundamentos, lineamientos, criterios, normas y buenas prácticas que soportan el presente trabajo de investigación. 1. Marco Integral de Control Interno - COSO - SCI En 1985 se formó la Comisión Treadway (Committee of Sponsoring Organizations of the Treadway Commission-COSO), en respuesta a muchos fracasos producidos por la deficiencia de los controles internos. Hace más de dos décadas, en 1992, el Committee of Sponsoring Organizations of the Treadway Commission emitió Control Interno - Marco Integrado para ayudar a compañías y otras entidades a evaluar y mejorar sus sistemas de control interno. Desde ese momento, dicho marco fue incorporado a las políticas, normativas y regulaciones y fue utilizado por miles de compañías para controlar sus actividades en el progreso hacia el logro de sus objetivos. El control interno es un proceso de gestión del cual es responsable la Alta Gerencia, es ejecutado por todo el personal de la empresa y está diseñado para brindar seguridad razonable referente al logro de objetivos en las siguientes categorías: - Efectividad y eficacia de las operaciones. - Confiabilidad en los reportes financieros. - Cumplimiento de las leyes y reglamentos aplicables. Marco Integrado COSO SCI: Componentes, objetivos y nivel de la organización Fuente: elaboración propia 8 2. Marco de referencia integrada COSO – ERM Las entidades existen con el fin último de generar valor para sus grupos de interés. Todas se enfrentan a la ausencia de certeza y el reto para su dirección es determinar cuánta incertidumbre se puede aceptar mientras se esfuerzan en incrementar el valor. Se maximiza valor cuando la dirección establece una estrategia y unos objetivos para encontrar un equilibrio óptimo entre los objetivos de crecimiento y rentabilidad y los riesgos asociados, además de desplegar recursos eficaces y eficientes a fin de lograr los objetivos de la entidad. En el contexto de la misión y la visión establecidas en una empresa, el Directorio determina los objetivos estratégicos, diseña las estrategias y fija los objetivos de la entidad. El marco COSO-ERM se encuentra orientado a alcanzar los cuatro objetivos de la entidad en las siguientes categorías: - Estrategia: objetivos de alto nivel, orientados al cumplimiento de la misión y visión de la entidad. - Operativos: objetivos relacionados con el uso eficiente y eficaz de los recursos de la entidad. - Información: Objetivos de fiabilidad de la información suministrada por la organización que incluye datos internos y externos, así como información financiera y no financiera. - Cumplimiento: Objetivos vinculados al cumplimiento de leyes y normas aplicables. Marco Integrado COSO ERM: Componentes, objetivos y nivel de la organización Fuente: elaboración propia ERM (Enterprise Risk Management) es un enfoque organizacional para identificar, evaluar, comunicar, y administrar el riesgo de una manera efectiva. ERM se expande sobre el control interno a través de la identificación de eventos: - Evaluación de riesgos: ERM cubre la necesidad de la gerencia para desarrollar una visión de portafolio a nivel entidad. - Respuesta al riesgo: identifica cuatro categorías para responder al riesgo; evitarlo, reducirlo, compartirlo o aceptarlo. - Información y comunicación: ERM se expande sobre este componente, considerando datos derivados de eventos pasados, presentes y potenciales a futuro. - Roles y responsabilidades: ERM describe los roles y responsabilidades de los responsables de riesgos y expande el rol de los directores de la entidad. 9 Capítulo III Conocimiento de BOTICAS ARCÁNGEL 1. Antecedentes de la empresa 1.1 Grupo Inca El Grupo Inca está conformado por empresas peruanas cuyos sectores de negocio son el textil, agroindustrial, turismo, financiero y servicios, salud y comercio. Fuente: elaboración propia Inició sus operaciones con la empresa Patthey & Corzo en Arequipa (1957), siendo su giro de negocio la exportación de fibra de alpaca. Sus fundadores son el Sr. Don Francis O. Patthey (Sueco) y Hugo Corzo Morales (Peruano) quienes comercializaron fibra de alpaca en Europa, USA y Asia. En 1965, fundaron la Compañía Textil Peruano Suiza S.A, denominada actualmente “Inca Tops”, la cual agregaba valor a la fibra de alpaca para convertirla en fino hilado. Ingresan al rubro farmacéutico, adquiriendo la “Distribuidora Albis” (1953). 1.2 Albis S.A. Es la segunda compañía farmacéutica del Perú. Constituida en 1953 como importadora, comercializadora y distribuidora de productos farmacéuticos. En 1990 adquiere los laboratorios farmacéuticos CIPA. En el 2006, adquiere la cadena de boticas “Arcángel”. En el 2009, las empresas del Grupo Albis se fusionan en una sola razón social “Albis S.A”. A continuación se muestra una línea de tiempo donde se detallan los hechos de mayor relevancia en la historia de Albis: INCA TOPS INCALPACA TPX INTI RAYMI CAJA INCASUR Albis AGROINCA PPX KERO PPX 10 Línea de tiempo de Grupo Albis Fuente: elaboración propia 1.2.1. Entorno interno de Albis S.A. La estructura organizativa de Albis S.A. está conformada por:  Junta Directiva Albis cuenta con 9 directores, de los cuales 4 son directores dependientes y 5 son directores independientes. Sus funciones se encuentran reguladas en el Reglamento del Directorio y Estatuto. Los directores no tienen grado de parentesco en primer grado o en segundo grado de consanguineidad o parientes en primer grado de afinidad o cónyuge. Tampoco existen vínculos de consanguinidad o afinidad en primer o segundo grado entre los directivos de la empresa, otros directores, accionistas o gerentes. Ningún director ha ocupado cargos gerenciales. Los requisitos para ser director se encuentran regulados en dichos reglamentos; así como sus responsabilidades, dietas y otros. Los directores se reúnen mensualmente en las oficinas de Albis y el medio usado para la convocatoria es el correo electrónico. 2013 11  Órganos especiales La empresa cuenta con tres órganos especiales, los cuales son el Comité de Auditoría, el Comité de Riesgos y el Comité de Inventarios. Las funciones del Comité de Auditoría son: o Garantizar la transparencia de todas las actuaciones de la sociedad. o Supervisar los servicios de auditoría interna y externa. o Evaluar la integridad de los procesos de información financiera y de los sistemas de información y control interno. o Verificar el cumplimiento de los requerimientos legales y el correcto registro contable. Las funciones del Comité de Riesgo son: o Determinar que se identifiquen todos los riesgos claves, que se les vincule con las actividades de gestión de riesgos y que se los asigne a las personas a cargo del tema de riesgos. o Evaluar el grado de aceptación del riesgo constante de la empresa y garantizar que los niveles de tolerancia delegados a las personas a cargo del tema de riesgos sean consistentes con el grado de aceptación del riesgo. Entre las funciones del Comité de Inventarios tenemos: o Aprobar políticas de gestión y control de inventarios. o Evaluar y aprobar inversiones en mejoras de procesos de inventarios. o Aprobar consultorías para la optimización de los procedimientos de control de inventarios.  Líneas de negocio de Albis: Actualmente, cuenta con 9 líneas de negocio (ver anexo 1 y 2): o Albis Planta: posee una planta farmacéutica moderna especializada en la elaboración de medicamentos y servicios de manufactura para el mercado nacional y para la exportación. Cuenta con maquinaria de última tecnología que garantiza la elaboración de productos con la más alta calidad y con normas de buenas prácticas de manufactura. o Albis Farma: unidad de negocios encargada de la promoción y comercialización de productos farmacéuticos éticos, producidos bajo los mejores estándares de calidad y con buenas prácticas de manufactura (BPM). Posee productos de líneas propias (CIPA 12 y Pharmavision) y de compañías farmacéuticas multinacionales como Ferrer y Faes (España), Astellas (Japón), Merz (Alemania), etc. o Albis Médica: unidad de negocios especializada en la promoción y comercialización de: - Reactivos para diagnóstico in vitro - Equipos biomédicos para laboratorio clínico - Control de calidad - Material médico hospitalario - Soluciones de desinfección para material hospitalario - Servicio técnico para equipos biomédicos o Albis Consumo: unidad de negocios que comercializa líneas representadas y exclusivas y, además, desarrolla marcas propias. Entre los productos que comercializa se tiene accesorios, productos dermatológicos, cuidado del bebe, cuidado personal, licores, OTC (medicamentos de venta sin receta médica), perfumería, productos naturales y vitaminas. o Albis Industrial: unidad de negocios constituida como proveedor integral de tres líneas de venta: - Línea de seguridad industrial - Línea de escaleras - Línea textil Cuenta con locales e instalaciones en diferentes puntos del país donde, a través de un coordinado manejo logístico, satisface las necesidades de sus clientes, además de brindarles una completa información mediante catálogos, muestras, demostraciones que pueden llevar a una mejor selección de sus productos. o Albis Distribución: unidad de negocios que está ligada a la distribución de productos farmacéuticos y afines desde el año 1953. Cuenta con una fuerza de ventas a nivel nacional, que mantiene un estrecho contacto con farmacias, boticas, cadenas de boticas, hospitales, clínicas, empresas privadas, laboratorios de análisis clínicos, etc. Para brindar una mejor calidad de servicio, satisfacción y entrega oportuna a sus clientes, cuenta con 5 centros de distribución en las principales ciudades del Perú, además de almacenes y la oficina principal en la ciudad de Lima. 13 o Albis Nutricional: unidad de negocios dedicada a proporcionar soluciones nutricionales a las personas, informándolas y educándolas para su mejor desarrollo y bienestar. Representa a empresas del más alto nivel internacional con estándares de calidad superior, como vitaminas, alimentos lácteos y productos metabólicos. o Albis Pelikan: unidad de negocios destinada a la venta y distribución de productos con más de 170 años en el mercado, ofreciendo útiles de oficina y productos no tóxicos y socialmente responsables. Los productos Pelikan son reconocidos en todo el mundo por su calidad excepcional en seguridad gracias a sus altos estándares de fabricación que se encuentran a la venta en los principales distribuidores de Lima y provincias. o Albis Retail: unidad de negocios constituida como la más grande red integral de atención sanitaria básica del país, con más de 350 boticas a nivel nacional, 108 medicentros y 4 policlínicos que brindan salud de calidad y atención profesional en todo el país. Su equipo de profesionales en salud está conformado por un selecto grupo de médicos, enfermeras, químicos farmacéuticos, técnicos en farmacia y laboratoristas. Y su filosofía de servicio se brinda a los usuarios con alto profesionalismo y con garantía de calidad de sus productos y servicios. 1.3 BOTICAS ARCÁNGEL BOTICAS ARCÁNGEL se dedica a la producción y comercialización de productos farmacéuticos, cosméticos, alimentos de uso médico y demás, destinados a la protección o recuperación de la salud a nivel nacional.  Datos relevantes o Número de locales: cuenta con más de 350 locales a nivel nacional. o Personal: cuenta con más de 2000 colaboradores. o Participación en el mercado: según el cuadro adjunto a abril de 2012, BOTICAS ARCÁNGEL ocupó el segundo lugar en ventas con el 23.38% (a nivel individual) de participación en el mercado, siendo precedida por Inkafarma cuya participación fue de 45.33%. 14 Participación en el Mercado Fuente: Arellanos Marketing al 30 de abril de 2012 Ventas netas (Expresado en millones de dólares) Fuente: Estados Financieros Albis S.A. 2012 y Estados Financieros proyectados a 2013 1.4 Estructura orgánica de BOTICAS ARCÁNGEL (ver anexo 3 y 4) BOTICAS ARCÁNGEL presenta, mediante su organigrama, una estructura piramidal. Se presentan las unidades ramificadas en forma vertical, a partir del Gerente General, en la parte superior, y se desagregan los diferentes niveles jerárquicos en forma escalonada. 15 Fuente: Manual de Organización y Funciones de Boticas Arcangel 1.5 Misión y Visión de BOTICAS ARCÁNGEL La Misión en BOTICAS ARCÁNGEL es: “Comercializar productos farmacéuticos y de consumo con atención personalizada a sus clientes, generando rentabilidad a los accionistas y brindando un servicio de salud de calidad con una atención ética y profesional.” La Visión en BOTICAS ARCÁNGEL es: “Ser una organización líder y exitosa que democratiza la salud y contribuye a mejorar calidad de vida y bienestar de la comunidad.” 1.6 Código de ética Albis cuenta con un código de ética emitido en abril de 2012 que fue difundido al personal de la empresa y que incluye lo siguiente:  Principios éticos: respeto, probidad, eficiencia, idoneidad, veracidad, lealtad, justicia y equidad.  Deberes éticos: imparcialidad, trasparencia, discreción, ejercicio adecuado de las funciones o actividades, uso adecuado de los bienes de la empresa, responsabilidad, resguardo de la información de acceso restringido o privilegiada.  Prohibiciones éticas: mantener intereses en conflicto, obtener ventajas indebidas, realizar actividades de proselitismo político, hacer mal uso de la información privilegiada, presionar amenazar o acosar. 16  Las sanciones por el incumplimiento del mismo, bajo amonestación escrita, suspensión, resolución contractual, destitución o despido. 1.7 Sistemas de información BOTICAS ARCÁNGEL cuenta con los siguientes sistemas de información:  Neptuno BI: es un sistema operativo para el control de boticas adquirido en octubre de 2011. El sistema genera asientos contables que luego migra a Contabilidad mediante una interfaz. Cuenta con los siguientes módulos: Inventarios, Caja, Ventas, Actualización y modificación de precios y cierre diario.  Sistema Ádrian: es un sistema de planilla utilizado por Albis. Incluye el cálculo y pago de comisiones del personal y sirve de plataforma a partir de la cual corren programas de aplicación que permiten la interface con el sistema Neptuno BI. Sus módulos son: Planilla de Albis S.A y Pago de comisiones.  Sistema SAP: adquiere la información del Neptuno BI y Ádrian para procesar la información financiera y emitir los estados financieros correspondientes. Albis adquirió el ERP. 1.8 PEST de BOTICAS ARCÁNGEL BOTICAS ARCÁNGEL es una de las cadenas más importantes del medio, siendo una empresa sólida, seria y confiable dispuesta a asumir retos empresariales conjuntamente con otras empresas o instituciones. Del análisis PEST realizado se desprende lo siguiente:  Políticos: o Restricciones burocráticas para la apertura de nuevas boticas. o Posibilidad de regulación de precios. o Incremento de los aranceles de importación para las medicinas.  Económicos: o Crisis financiera que afecte el poder adquisitivo de las personas reduciendo las ventas, restringiéndose las adquisiciones de mercaderías y los inventarios en almacenes. o Variación del tipo de cambio, afectando las obligaciones en dólares, debido a que una buena parte de la mercadería que se vende es importada.  Sociales: o Incremento de delincuencia, robos y asaltos que afectan los resultados del negocio (boticas siniestradas) y deterioran la imagen. 17 o Escasos proyectos de inclusión social, para zonas en extrema pobreza lo que genera movimientos sociales por vandalismo y bloqueo de carreteras que incrementa el riesgo de cierre de boticas.  Tecnológicos: o No estar a la par con los avances en tecnología respecto a sus competidores, lo que puede generar desventajas en cuanto a resultados en costos, abastecimiento, optimización de tiempos de entrega, entre otros procesos. o Recientemente se ha adquirido el Sistema Neptuno para Boticas y el Sistema Integrado SAP. 18 Capítulo IV Diagnóstico del ambiente de control 1. Objetivo El objetivo del diagnóstico del ambiente de control es tomar conocimiento de cómo la empresa define la base para la manera en que el personal de BOTICAS ARCÁNGEL considera y aborda los riesgos y el control; es decir, el entorno en que opera y los atributos individuales de las personas, incluyendo integridad, valores éticos y competencia. Debido a que el sistema de control de riesgos se construye sobre la base del sistema de control interno, se ha considerado conveniente solo evaluar el status y grado de madurez del ambiente de control, porque los otros cuatro componentes del COSO están incluidos en la propia gestión de riesgos. El resultado del diagnóstico del SCI permitirá a BOTICAS ARCÁNGEL conocer la situación actual de su ambiente de control y permitirá detectar las brechas entre lo que es y lo que debe ser. Las fuentes de información utilizadas para realizar el diagnóstico del SCI fueron las siguientes:  Aplicación de encuestas de diagnóstico del SCI: se aplicaron encuestas al personal clave de BOTICAS ARCÁNGEL para obtener su apreciación relacionada con el nivel de madurez del ambiente de control de la Compañía. Estas encuestas se realizaron a través de talleres de trabajo con la presencia de ejecutivos de los siguientes niveles jerárquicos: gerencias, subgerencias y jefaturas. (ver anexo 5)  Realización de entrevistas y reuniones: se sostuvieron entrevistas y reuniones con personal clave de BOTICAS ARCÁNGEL para relevar información específica en materia de control interno, así como para validar los hallazgos identificados.  Revisión de documentación disponible: se revisaron documentos físicos y electrónicos asociados a los componentes de control interno de BOTICAS ARCÁNGEL, disponibles a lo largo del presente trabajo. Se ha utilizado una escala que considera cinco (5) grados de madurez en relación al control interno, los cuales se indican a continuación:  Nivel 1 - “Inicial”: aún no existe un esfuerzo de implementación del SCI o el esfuerzo es inicial o aislado en Boticas Arcángel. Se ha podido observar documentación de algunas evidencias de control; sin embargo, aún no cuentan con las aprobaciones respectivas o no están actualizadas.  Nivel 2 - “En proceso de implementación”: existen esfuerzos articulados del proceso de implementación del SCI en Boticas Arcángel. Ciertos elementos de control interno ya se encuentran formalizados o aprobados; a pesar de ello, está pendiente la comunicación o difusión de dichos esfuerzos de control interno a las instancias apropiadas.  Nivel 3 - “Establecido / implementado”: el SCI se encuentra implementado en Boticas Arcángel, los elementos de control interno están documentados, formalizados y cuentan con la debida difusión en las instancias correspondientes de Boticas Arcángel. 19  Nivel 4 - “Avanzado”: el SCI de BOTICAS ARCÁNGEL cuenta con un proceso de mejora continua. Los elementos de control interno están documentados, formalizados y difundidos en todas las áreas de BOTICAS ARCÁNGEL. Además, se han diseñado e implementado otros procesos de mejora continua, lo cual permite el oportuno fortalecimiento y ajuste permanente del SCI.  Nivel 5 – “Optimizado o práctica líder”: el SCI en BOTICAS ARCÁNGEL es una práctica líder en la industria farmacéutica, y se está integrado de manera natural con los procesos de la organización, es considerado parte importante dentro de su cultura organizacional. 2. Diagnóstico del ambiente de control Con la finalidad de medir o diagnosticar el nivel de implementación del ambiente de control de BOTICAS ARCÁNGEL de una manera objetiva, se preparó una matriz con información y documentación clave que debe considerar la empresa para contar con un ambiente de control óptimo. Se evaluó el status de BOTICAS ARCÁNGEL en relación con cada uno de los documentos considerados. Para determinar el grado de madurez de cada subcomponente y del componente ambiente de control en general, se utilizó el valor que aparece con mayor frecuencia, es decir, la “moda” de la relación analizada. A continuación y producto del análisis realizado, se presentan los resultados obtenidos considerando los 5 grados de madurez detallados: Diagnóstico del ambiente de control de BOTICAS ARCÁNGEL 0 No se puede probar la existencia de evidencias de cumplimiento del subcomponente del SCI. 1 Las evidencias relacionadas con la implementación del subcomponente del SCI se encuentran documentadas, pero aún no están aprobadas o actualizadas. 2 Las evidencias relacionadas con la implementación del subcomponente del SCI se encuentran documentadas y aprobadas; pero aún no han sido difundidas íntegramente. 3 Las evidencias relacionadas con la implementación del subcomponente del SCI se encuentran documentadas, aprobadas y difundidas íntegramente. Además, se ha probado el conocimiento y sensibilización de los empleados respecto a esta evidencia; pero aún no se cuentan con procesos de mejora continua para esta evidencia. 4 Las evidencias relacionadas con la implementación del subcomponente del SCI se encuentran documentadas, aprobadas y difundidas íntegramente, se ha probado el conocimiento y sensibilización de los empleados respecto a esta evidencia y se ha comprobado la aplicación de un proceso de mejora continua. 5 En adición a las características del nivel anterior, esta evidencia ha sido comprobada mediante instancias evaluadoras, internas y externas. Del mismo modo, funciona como referente de otras empresas del sector Fuente: elaboración propia Ambiente de Control Evidencias de cumplimiento Nivel de madurez Puntaje Moda del SCI subcomponentes: 0 1 2 3 4 5 Filosofía de la Dirección Registros de eventos de capacitación sobre control interno realizados. X 1 1 20 Ambiente de Control Evidencias de cumplimiento Nivel de madurez Puntaje Moda del SCI subcomponentes: 0 1 2 3 4 5 Acta de compromiso suscrita. X 0 Documento de designación del Comité de Control Interno. X 1 Documento de asignación de funciones al Comité de Control Interno. X 1 Buzón de sugerencias (activo). X 1 Reporte de reconocimiento a sugerencias que hayan aportado valor a la empresa. x 2 Canal de denuncias. X 0 Reporte de recomendaciones de Auditoría Interna implementadas. X 2 Código de Gobierno Corporativo. X 0 Integridad y valores éticos Código de Ética de la Empresa suscrito por la Alta Dirección. X 2 2 Registros de difusión del Código de Ética a través de charlas, actas, etc. X 2 Referencias del Código de Ética en el Reglamento Interno de Trabajo. X 1 Informe periódico sobre el seguimiento de procesos judiciales. X 2 Informe periódico sobre el seguimiento de procesos administrativos. X 2 Inclusión de temas relacionados con la integridad y valores éticos en principios y políticas de RRHH difundidos al personal. X 0 Resultados de mecanismos de protección utilizados a favor de los empleados que denuncien incumplimientos del Código de Ética. X 0 Registro de campañas educativas realizadas sobre las sanciones para los empleados que tengan prácticas X 0 21 Ambiente de Control Evidencias de cumplimiento Nivel de madurez Puntaje Moda del SCI subcomponentes: 0 1 2 3 4 5 contrarias a los principios establecidos en el Código de Ética. Registro corporativo de sanciones de destitución y despido (completo y actualizado). X 0 Certificado de recepción y/o adherencia al Código de Ética en una muestra de legajos del personal. X 2 Administración estratégica Documento de aprobación y difusión del Plan Estratégico. X 2 2 Registros de difusión de la visión, misión y objetivos estratégicos. X 2 Objetivos operativos y/o Plan de Desarrollo aprobado. X 2 Registro de implementación y evaluación de actividades concordantes con el plan operativo de todas las áreas de la empresa. X 1 Procedimiento documentado acerca de los planes estratégicos, operativos y de contingencia que comprenden la elaboración, conservación y actualización de los mismos. X 1 Registro de la evaluación periódica que realizan las gerencias responsables de su plan operativo. X 2 Se puede determinar que la misión, visión, objetivos y metas de Boticas Arcángel, están alineados con el Plan Estratégico Corporativo de Albis. X 2 Estructura organizacional Reglamento de Organización y Funciones actualizado (ROF). X 2 2 Cuadro de requerimiento de personal actualizado. X 2 22 Ambiente de Control Evidencias de cumplimiento Nivel de madurez Puntaje Moda del SCI subcomponentes: 0 1 2 3 4 5 Estructura orgánica actualizada (organigrama). X 1 Manual de Organización y Funciones actualizado (MOF). X 2 Manual de Procesos actualizado (MAPRO). X 2 Relación de procesos que requieren especial atención de la empresa. X 1 Mapa de procesos. X 1 Administración de Recursos Humanos Actualización del Reglamento Interno de Trabajo. X 2 1 Asignación de partidas presupuestarias para capacitación. X 1 Plan de formación y capacitación. X 1 Procedimientos documentados para el reclutamiento, y contratación de personal. X 2 Procedimientos documentados de evaluación de desempeño del personal. X 1 Escala remunerativa en relación con el cargo, funciones y responsabilidades asignadas. X 1 Competencia profesional MOF actualizado según el perfil de competencias aprobado. X 2 2 Registro de evaluación de los perfiles del personal de la empresa. X 2 Asignación de autoridad y responsabilidad Registros de comunicación de funciones del MOF al personal. X 0 0 Departamento de Auditoría Interna Registro de oportunidades de mejora sugeridas por la Jefatura de Auditoría Interna de Albis S.A. X 2 2 Moda Total 2 Nivel de madurez del ambiente de control en Boticas Arcángel En proceso de implementación Fuente: elaboración propia 23 3. Resultados del diagnóstico Las principales razones por las que se asignaron los puntajes indicados en la tabla anterior al ambiente de control, son las siguientes:  Ambiente de control: se considera que el “ambiente de control” de Boticas Arcángel se encuentra en el nivel de madurez “en proceso de implementación” (nivel 2), debido a que se cuenta con normativas internas, planes, actas y otros documentos que evidencian la formalización del control interno en la organización; sin embargo, algunos de ellos están desactualizados, no aprobados o no han sido apropiadamente difundidos. En adición, la cultura general sobre la importancia de control interno está en proceso de concientización o sensibilización en todos los niveles de Boticas Arcángel, ya que se empieza a percibir como un aspecto importante de generación de valor para la compañía. 24 Capítulo V Planeamiento para la gestión de riesgos 1. Introducción Durante la elaboración del presente trabajo de investigación, nos hemos visto en la necesidad de asistir a la Alta Dirección de Boticas Arcángel en la elaboración de un Manual de Gestión de Riesgos. El Manual que presentamos a continuación se ha realizado a través de reuniones, entrevistas, y talleres de trabajo para lo cual oportunamente se convocó a las principales gerencias de BOTICAS ARCÁNGEL a fin de incorporar sus experiencias y criterios en el presente documento. 2. Manual de Gestión Integral de Riesgos 2.1 Introducción Las empresas, hoy por hoy, enfrentan una serie de riesgos producto de las actividades que realizan y los servicios que ofrecen a la clientela. Actualmente, los riesgos de créditos, mercado, liquidez u otros similares, están adecuadamente controlados con mecanismos de seguimiento en forma periódica, bajo instrumentos o metodologías de medición y de control. El presente documento incluye lo indicado en la metodología COSO, o sea, responsabilidades y roles del Directorio, Gerencia General y el Área de Riesgos, así como la metodología de gestión de riesgos, en adición a los conceptos de gestión integral de riesgos, que contemplan el riesgo de operación, riesgo de reputación y riesgo estratégico, entre otros, los mismos que tienen una incidencia y significado importante en el desarrollo de las operaciones de las empresas, lo que se explica en el documento. BOTICAS ARCÁNGEL, consciente de las implicaciones de los riesgos, a través del Área de Riesgos de su principal Albis S.A., ha establecido políticas de riesgos, las mismas que están siendo enriquecidas y complementadas en este documento con la metodología de administración de riesgos. En ese sentido, se indica que las diferentes gerencias del negocio son las directamente involucradas y responsables de implantar y hacer el control correspondiente sobre los riesgos. Igualmente, La Gerencia de Contraloría de Albis S.A. a través de su departamento de Auditoría Interna es la unidad encargada de evaluar el cumplimiento de los procedimientos utilizados para la administración de riesgos, incluyéndolo en las actividades de su plan anual y realizando los informes y recomendaciones pertinentes. Finalmente, si bien es cierto que BOTICAS ARCÁNGEL brinda a la clientela productos específicos y especializados orientados al sector farmacéutico, procura contar con un sistema de control interno y de riesgos que le asegure proteger su capital, así como los recursos asignados para realizar sus operaciones, 25 minimizando y mitigando los riesgos que pueden tener un impacto en la imagen y en pérdidas financieras. 2.2 Objetivos a. Diseñar las estrategias del negocio, la ejecución, el seguimiento, la evaluación y la revisión periódica, principalmente de las gerencias del negocio y de apoyo de Albis S.A., con el fin de alcanzar las metas propuestas dentro de la visión. b. Establecer criterios básicos que permitan al negocio administrar adecuadamente los riesgos, asegurando la participación directa y decidida de la Alta Dirección de Albis S.A. c. Regular en el negocio las actividades de riesgo mediante políticas y procedimientos del sistema de control de los riesgos, regulando y controlando los procesos y las actividades de BOTICAS ARCÁNGEL, buscando incrementar la seguridad y efectividad de las operaciones, así como reducir costos utilizando mecanismos eficaces de control. d. Mitigar los riesgos mediante el establecimiento de un marco de control de las operaciones que garantice la integridad de los datos, la efectividad de las operaciones, así como una segregación de funciones adecuada a lo largo del procesamiento de las transacciones operativas. e. Considerar que todas las normas y disposiciones emitidas por los entes rectores y reguladores de las actividades del negocio, se incorporan automáticamente en su parte pertinente a las políticas de riesgos. f. Considerar que las políticas y procedimientos sobre la implantación, control y administración de los riesgos establecidos en el presente documento son de aplicación automática por las gerencias del negocio, así como de cada uno de los productos y servicios que brinda el negocio. 2.3 Base legal a. Ley General de Sociedades – Ley N° 26887. b. Ley de Sociedades Anónimas – Ley N° 18.046. c. Nueva ley de Títulos y Valores – Ley N° 27287. d. Ley General de Salud – Ley N° 26842. e. Ley de Productos Farmacéuticos, Dispositivos Médicos y Productos Sanitarios – Ley N° 29459. f. Ley de Delitos Aduaneros – Ley N° 28008. 2.4 Definición de términos a. Apetito por el riesgo.- La severidad de riesgo que una empresa está dispuesta a aceptar en la búsqueda de sus objetivos. 26 b. Control interno.- Un proceso, cuyo responsable es la Alta Gerencia y debe ser realizado por todo el personal incluyendo a la Gerencia y al Directorio. Este proceso es diseñado para brindar seguridad razonable al logro de objetivos relacionados con la eficacia y eficiencia de los procesos y operaciones, confianza en la información financiera y cumplimiento de leyes y regulaciones aplicables. c. Evento.- Un suceso o un conjunto de sucesos que pueden tener origen interno o externo a la empresa, originados por el mismo motivo y que ocurren en el mismo periodo. d. Impacto.- Las consecuencias que un evento pueda originar, expresadas en términos cualitativos o cuantitativos. Por lo general se expresa en dinero, como pérdidas financieras. e. Probabilidad.- La posibilidad de que suceda un evento. Por lo general, se utiliza estadística de eventos pasados. En caso de insuficiente información, se expresa a través de métodos cualitativos. f. Proceso.- El conjunto de actividades, tareas y procedimientos sistemáticos orientados a un resultado u objetivo planificado. g. Riesgo.- La posibilidad de que un evento ocurra y tenga un impacto negativo sobre los objetivos planificados. h. Tolerancia al riesgo.- El nivel de riesgo adicional al apetito al riesgo establecido por la empresa que se está dispuesto a soportar. 2.5 Políticas 2.5.1. Definición de la Gestión Integral de Riesgos y clasificación de los riesgos a. Se conoce a la Gestión Integral de Riesgos (GIR) como el proceso realizado por el Directorio, la Gerencia y el personal en general, orientado a identificar posibles eventos que impacten en los objetivos previstos y gestionar dichos eventos teniendo en consideración el nivel de riesgo asumido y proveyendo seguridad razonable para el logro de los objetivos estratégicos y operativos, confiabilidad de información y de cumplimiento de leyes y regulaciones aplicables en cada empresa. b. La GIR considera los siguientes tipos de riesgos:  Estratégicos, relacionados a la visión y misión de la empresa.  Operacionales, relacionados al uso eficiente y eficaz de los recursos de la empresa.  De información Financiera, relacionados a la confianza sobre la información financiera proporcionada.  De cumplimiento, relacionados al cumplimiento de las leyes, normativas y regulaciones que tienen alcance para la empresa. 27 2.5.2. De las responsabilidades y cumplimientos a. La Alta Gerencia es responsable de implementar la Gestión Integral de Riesgos y de proporcionar un ambiente interno sensibilizado en relación al manejo del riesgo, que incluye la aprobación de políticas generales, la selección de una plana gerencial idónea y el conocimiento de los principales riesgos que afronta la empresa, entre otros. b. El Directorio es también responsable de evaluar el funcionamiento de los criterios definidos orientados a la GIR, debiendo suscribir de forma anual una Declaración de Cumplimiento, que contenga al menos lo siguiente:  Que la Alta Gerencia aprueba el Manual de Gestión Integral de Riesgos, los estándares para el manejo de los riesgos así como sus responsabilidades, en sujeción a lo señalado en el marco metodológico COSO.  Que el negocio gestiona apropiadamente sus riesgos de acuerdo a su complejidad y tamaño y con los criterios adecuados.  Que la Alta Gerencia toma conocimiento de los informes del Comité de Auditoría, del Comité de Riesgos, de Auditoría Externa y de toda información que el Directorio considere relevante, y que se disponen las medidas correctivas según se manifiesta en las actas correspondientes. El Directorio deberá suscribir la referida declaración en un plazo que no exceda los 120 días posteriores al ejercicio anual. c. El Directorio cuenta con las siguientes responsabilidades específicas relacionadas con la gestión del riesgo:  Aprobar la política general vinculada a la gestión de riesgos.  Proveer los recursos necesarios orientados a la gestión de riesgos (metodología, infraestructura y personal apropiado, entre otros).  Constituir un sistema de incentivos al personal orientado a fomentar la gestión de riesgos.  Aprobar el Manual de Gestión Integral de Riesgos.  Tomar conocimiento de los riesgos que enfrenta el negocio, estableciendo los niveles de apetito y tolerancia al riesgo adecuados con relación a sus objetivos.  Constituir un sistema para la delegación de facultades y la segregación de funciones en la organización. 28  Obtener evidencia razonable para afirmar que el negocio cuenta con una gestión de riesgos efectiva, y que los riesgos más significativos identificados se encuentran dentro de los límites establecidos y bajo control. d. La Plana Gerencial de las unidades organizativas o de apoyo cuentan con la responsabilidad de gestionar los riesgos vinculados al logro de los objetivos de sus procesos o unidades, así como asumir ante la Alta Gerencia los resultados de dicha gestión. e. El Comité de Riesgos es responsable de abarcar las decisiones que atañen a los riesgos significativos a los que está expuesto el negocio. f. El Comité de Auditoría es responsable de vigilar el adecuado funcionamiento del sistema de control interno, que incluye la gestión integral del riesgo. g. El Área de Riesgos cuenta con la responsabilidad de ser parte del diseño y permanente actualización de los manuales de gestión de riesgos y de las normas internas cuyo objeto está orientado a definir las responsabilidades de la Plana Gerencial del Negocio; del mismo modo, deberán apoyar a dicha Gerencia en la gestión adecuada de riesgos dentro de cada una de sus competencias. El Área de Riesgos cuenta también con la responsabilidad de mantener informado al Directorio o Alta Gerencia, a las áreas de toma de decisión relacionadas a los riesgos, y a los comités respectivos sobre el apetito al riesgo y la gestión del mismo, de acuerdo con las políticas y procedimientos establecidos. El Área de Riesgos deberá elaborar anualmente un informe de gestión de riesgos que incluya un plan de actividades para el siguiente ejercicio. Del mismo modo, deberá brindar la información respectiva sobre las principales características de la Gestión Integral de Riesgos en el negocio. Adicionalmente el Área de Riesgos deberá cumplir con las siguientes funciones:  Proponer las políticas necesarias para una adecuada gestión de riesgos.  Formar parte del diseño y actualización permanente del Manual de Gestión Integral de Riesgos y del desarrollo de la metodología correspondiente.  Asistir a las unidades del negocio en la aplicación de la Metodología de Gestión Integral de Riesgos.  Realizar una evaluación de riesgos ante cambios materiales en el negocio.  Consolidar y desarrollar reportes periódicos sobre la gestión de riesgos. 29  Proponer cursos o talleres de capacitación y sensibilización sobre gestión de riesgos, cuando sean necesarios, entre otras. 2.5.3. Políticas Generales a. El negocio debe establecer controles, procedimientos de vigilancia y supervisión en todas las etapas de los procesos que generan transacciones administrativo/financieras, de planeamiento presupuestal, de índole legal y que registran y archivan la documentación que sustenta las mismas, con la finalidad de identificar los procesos críticos, eventos y amenazas, que permitan diseñar estrategias y controles adecuados para eliminar o mitigar los riesgos. b. El negocio debe establecer y mantener actualizados y probados los planes establecidos para la administración de la Gestión Integral del Riesgo, principalmente el plan de continuidad del negocio, plan de contingencia de sistemas, la metodología de administración de riesgos y otros, que permitan contar con instrumentos para su gestión. c. Las diferentes gerencias del negocio que están expuestas a riesgos, deben definir mecanismos que los mitiguen, así como los reportes, formatos u otros correspondientes, que permitan su gestión y la entrega oportuna de informes a la Gerencia General de BOTICAS ARCÁNGEL. d. Las diferentes gerencias del negocio ante la presencia o detección de algún riesgo que tenga o pueda tener impacto en el negocio, deberán reportar al Área de Riesgos dicha incidencia. e. El Área de Riesgos en coordinación con las diferentes gerencias del negocio, deberán preparar y evaluar las políticas para la administración de los riesgos de operación, de reputación, legales y estratégicos, desarrollando metodologías de evaluación tanto cuantitativas como cualitativas, análisis en forma previa al lanzamiento de nuevos productos, identificación de las necesidades de capacitación, difusión de las políticas de riesgos y otros que pudieran ser necesarios. f. El negocio establece las siguientes periodicidades de revisión, monitoreo y presentación de informes por parte del Área de Riesgos como unidad responsable:  La revisión de las matrices de riesgos se realizará al menos una (1) vez al año en el caso de los eventos de bajo impacto, dos (2) veces al año para el caso de los eventos de mediano impacto y cuatro (4) veces al año para el caso de los eventos de alto impacto. Dichas revisiones deberán ser ejecutadas por cada una de las gerencias del negocio y monitoreadas por el Área de Riesgos. 30  El monitoreo de los riesgos se realizará al menos una (1) vez al año y deberá ser ejecutado por cada una de las gerencias del negocio, bajo la supervisión del Área de Riesgos.  El reporte de la gestión de los riesgos se presentará al Directorio en forma semestral. g. El negocio establece el Comité de Gestión Integral de Riesgos, que tendrá las siguientes características:  Estará conformado por cuatro miembros: o El Gerente Corporativo de Albis S.A., que actuará como presidente. o El Gerente General de BOTICAS ARCANGEL, que actuará como miembro. o El Gerente de Contraloría de Albis S.A., que actuará como miembro. o El Gerente de Operaciones de BOTICAS ARCANGEL, que actuará como secretario  La periodicidad de las reuniones será semestral; de ser necesario se convocará a los miembros del comité a reuniones excepcionales.  El quórum y los acuerdos serán por mayoría.  Cuando sea necesario, se podrá contar con la participación de otras gerencias que el comité considere necesarias.  Los acuerdos y compromisos serán registrados en actas.  Las principales funciones son: o Definir y efectuar seguimiento del Plan de Trabajo de Riesgo. o Coordinar con las diferentes gerencias del negocio, aquellos aspectos de riesgo que sea necesario desarrollar, efectuando el seguimiento respectivo. o Analizar nuevos riesgos que se pudieran presentar en el negocio. o Efectuar el seguimiento al desarrollo de los planes que tengan incidencia de riesgos. o Presentar propuestas de modificación o actualización de los documentos normativos que tengan inherencia directa de riesgos. h. El negocio procurará que los diferentes documentos normativos incluyan, dentro de sus instructivos, las políticas y procedimientos de acciones sobre los riesgos, lo que permita su administración y control, como complemento del Manual de Gestión Integral de Riesgos. 31 2.5.4. Políticas de riesgo a. Implantar procesos simples, ágiles y documentados, permanentemente revisados, actualizados y mejorados, que permitirá un trabajo eficiente y eficaz, con los controles adecuados y mitigando los errores y fallas derivados de los riesgos operativos. b. Difundir los conceptos y acciones de riesgos de operación ante todo el personal, lo que permitirá crear en el negocio una cultura del riesgo, esperando del personal una efectiva colaboración, compromiso y proactividad en la gestión de dichos riesgos. c. Definir que la identificación, medición y control de los riesgos, así como el establecimiento de procedimientos y políticas de control serán realizados por una unidad de gestión de riesgo o de control, en forma coordinada tanto con el área operativa como del área que negocia; acorde con la metodología de riesgo operativo establecido. d. Diseñar e implantar la metodología de administración de riesgos más adecuada, de fácil comprensión, ejecución y control, contando con resultados rápidos y de utilidad permanente. e. Buscar un mayor nivel de automatización en las operaciones que permitan reducir, mitigar y controlar los riesgos operativos. f. Revisar periódicamente el cumplimiento de las normas, políticas y procedimientos, así como implantar un proceso de pruebas del plan de contingencia y del plan de continuidad del negocio, que implique revisión del proceso de respaldo, revisión del funcionamiento tanto del software como del hardware y, todo lo concerniente a las comunicaciones y sistema de mensajería y archivo electrónico de la información. g. Mantener vigentes los controles establecidos y controlar que los propuestos se implementen así como establecer que todo producto o servicio nuevo que el negocio desarrolle, previo a su lanzamiento, deberá ser evaluado con la finalidad de detectar fuentes de riesgos de operación y diseñar los controles pertinentes. h. Propiciar una adecuada segregación de funciones, niveles de supervisión y de control dual, para tener un proceso operativo eficiente y seguro, evitando que las áreas de control estén subordinadas a las áreas generadoras de los riesgos. i. Establecer una base de datos histórica que contenga la experiencia de otras entidades similares, estándares, así como las incidencias que hayan ocurrido en el negocio, su gestión y el impacto producido, participando las áreas que disponen de la información relevante. 32 j. Considerar la idoneidad del personal y la constante capacitación del mismo como factores indispensables para tener procesos operativos adecuados y seguros, así como incentivar la participación activa de todo el personal en las labores de control, creando una cultura de riesgos. k. Para una gestión de riesgos adecuada, el negocio ha diseñado e implementado un sistema de continuidad del negocio que tiene como objetivo principal el de implementar respuestas para que la operatividad continúe de forma razonable, en caso ocurran eventos que pueden originar interrupciones o inestabilidades en los procesos y operaciones de la empresa. l. El negocio ha establecido un Manual de Gestión de Seguridad de la Información el cual se encuentra orientado a garantizar la integridad, reserva y disponibilidad de la información. m. Al cierre de cada ejercicio, se deberá incluir las principales características de la gestión de riesgos diseñada e implementada por el negocio. n. Administrar los riesgos de operación bajo los principios que enunciamos: 1. Autorización  Las operaciones y actividades, preferentemente las que impliquen riesgos relevantes, serán aprobadas por una instancia distinta a la que la digita o procesa, de acuerdo a las normas o al riesgo implícito. La autorización se ejerce en forma concurrente a la transacción u operación, y es imprescindible para continuar y concluir con la operación.  Ninguna gerencia del negocio deberá ser “juez y parte”. 2. Supervisión  Toda operación, transacción o actividad y los resultados de las mismas, serán revisadas por el nivel superior (o independiente). La revisión implica tener la certeza de la razonabilidad de lo efectuado, y que esté dentro de las normas.  La persona que realiza la operación debe firmar y sellar el documento y el supervisor debe dejar constancia de la revisión en el documento con la firma o el VºBº, según sea el caso. 3. Doble firma  Todo documento, compromiso o comunicación que implique riesgo para el negocio, sea interno o externo contará necesariamente con la firma manuscrita o 33 electrónica (contraseña) de dos personas (la que efectúa la transacción o documento y la jefatura inmediata).  Igualmente, para el caso de títulos valores, de representación, administrativos, legales u otros similares, se procederá de acuerdo a los poderes y facultades y los límites, autonomías y facultades establecida para las gerencias. 4. Claves de acceso o contraseñas  Cualquier acceso a un sistema mecanizado, sea la red, correo electrónico u aplicativos específicos, implica una solicitud de requerimiento y entrega a cada usuario de una clave de acceso o contraseña, siendo solo de su conocimiento y constituye responsabilidad grave su divulgación.  En forma bimensual el usuario está obligado a cambiar la clave personal asignada. 5. Segregación de funciones  Las funciones deben segregarse por seguridad e incompatibilidad.  Se consideran incompatibles las funciones cuando permiten a una sola persona tener el control completo de una transacción; cuando impiden un adecuado control dual; si la supervisión es ejercida por el mismo que efectúa la transacción y si no existe autorización de otro empleado calificado e independiente, etc. 6. Control Dual  Dos personas, como mínimo, intervendrán en el procesamiento de operaciones de riesgo, evitando que una sola persona tenga el control completo de una transacción.  Todas los accesos, las bóvedas, sea de valorados o de efectivo, estarán bajo el control dual, vale decir, una persona tendrá la clave y otra persona la llave. 7. Revisión de cálculos  Se realizarán pruebas aleatorias de exactitud en el sistema mecanizado con el objeto de garantizar que las transacciones manuales y las efectuadas por el sistema informático, sean correctas. Esta acción la realizará al menos una vez al año el Área de Administración y Finanzas, coordinando para tal fin con el Área de Operaciones y Sistemas.  Igualmente, se revisará y realizará en forma periódica el ciclo de plan de pruebas de los planes de continuidad de negocios y de contingencia. 34 8. Rotación de personal  Se deberá rotar al personal (en función del puesto y actividad que realice), a efectos que estos no efectúen la misma labor, o con los mismos clientes, por más de un plazo máximo establecido, dentro de lo posible.  Así mismo, se deberá tratar de exigir que el goce del periodo vacacional sea de por lo menos de 2 semanas consecutivas y 2 semanas alternadas durante el año calendario. 9. Cumplimiento de documentos normativos  Todas las operaciones deben cumplir y observar la Ley General de Salud, los estatutos, la Ley General de Sociedades, la Nueva Ley Peruana de Títulos y Valores; así como las regulaciones impartidas por cualquier otro organismo que tenga incidencia en la operatividad de BOTICAS ARCÁNGEL.  Los documentos normativos que regulan las políticas, funciones, procesos o actividades que el negocio realiza deben cumplirse en su totalidad y estar al alcance de todas sus gerencias y empleados. 10. Instrucciones / Documentación / Formatos  Las instrucciones deben ser claras y precisas, y deben ser impartidas dejando evidencia de ello a través de documentos o por medios electrónicos seguros, que permitan tener la certeza de su origen.  Las instrucciones serán en los formatos establecidos, tanto de stock como electrónicos. Para el caso de formularios preimpreso que implique el manejo de valores, deberán ser prenumerados, tal como las chequeras.  Los formatos tales como órdenes de pago, pagarés, órdenes de compra o similares, deberán contar con su propia numeración en función del proceso que se realice.  No se procesará ninguna operación sin contar con toda la documentación requerida, vale decir, documentación de base y la que sustente la operación, tal como, carta-instrucción del cliente, cartas, memorándums y formatos internos premunidos de las firmas de revisión y de la conformidad correspondiente, etc. 11. Cuadre operativo contable y conciliación  Todas las operaciones que ejecuten los empleados y gerentes deberán ser cuadradas en forma diaria.  No se deberá dejar operaciones pendientes de proceso y contabilización. De requerirse, deberá contar con la autorización de un funcionario responsable.  Establecer un sistema de alternos a modo de plan de contingencia, que mitigue la ausencia del funcionario responsable. 35  Las conciliaciones de cuentas deben ejecutarse según el periodo establecido en los procesos operativos que no podrá ser mayor a treinta días.  Toda regularización, reversas o similares, deberá ser bajo el esquema de control dual, vale decir, quien registra no podrá aprobar operaciones y viceversa, siendo uno de ellos como mínimo un funcionario autorizado o. La metodología de la gestión de riesgos, deberá cumplir con los criterios descritos a continuación:  En forma progresiva e integral deberá implementarse la metodología de gestión de riesgos.  Se deberá presupuestar recursos suficientes para la aplicación de la metodología.  Se deberán diseñar e implementar incentivos al personal que permitan desarrollar una mejora continua relacionada con la gestión de riesgos.  El desarrollo de la metodología de gestión de riesgos deberá ser documentada.  Se deberán establecer los procedimientos necesarios que faciliten el control y cumplimiento de la metodología de gestión de riesgos. 2.5.5. Políticas de riesgo de reputación La gestión de riesgos de reputación estará a cargo de la Gerencia Legal de Albis, la cual deberá elaborar la política y los procedimientos para gestionar eficientemente los riesgos de reputación. a. Establecer como elemento de gestión el índice de reputación del negocio, a través de la realización de encuestas a los diferentes grupos de interés (entes reguladores, accionistas, clientes, trabajadores) que permitan diseñar estrategias y controles adecuados para eliminar o mitigar el riesgo reputacional. b. Difundir los conceptos y acciones de riesgo de reputación ante todos los grupos de interés, para crear una cultura del riesgo, esperando la colaboración, compromiso y proactividad de todos en la gestión de dicho riesgo. c. Diseñar e implantar una metodología adecuada de administración de riesgos, de fácil ejecución y control, contando con resultados rápidos y de utilidad permanente. d. Establecer que toda propuesta de generación de negocio deberá sustentarse, en términos de ser rentable y sostenible económicamente y que permita la recuperación y, adicionalmente, deberá contar con un análisis de impacto social. 36 e. Establecer que las comunicaciones externas sean estándares y tamizarlas, procurando mantener una correcta redacción y ortografía. f. Comunicar los problemas e inconvenientes y tomar acción en forma inmediata ante los grupos de interés, a través de un canal previamente establecido. g. Formular protocolos estandarizados para generar una cultura organizacional en la institución. h. Remitir en forma correcta y oportuna la información a los entes reguladores, mediante la implantación de mecanismos de alertas tempranas. 2.5.6. Políticas de riesgo estratégico La gestión de riesgos estratégicos estará a cargo de la Gerencia General de BOTICAS ARCÁNGEL, la cual deberá elaborar la política y los procedimientos para gestionar eficientemente los riesgos estratégicos a. Instrumentar en planes, lineamientos o directrices corporativas el planeamiento estratégico, que será desarrollado y aplicado a través de programas por cada una de las gerencias del negocio. b. Establecer y difundir la misión y visión del negocio con el fin de tener, procurar y cumplir metas claras y objetivas, buscando que las distintas gerencias del negocio estén alineadas y comprometidas. c. Establecer como parte de la cultura de la organización, la transparencia en la información, considerando que el objetivo principal es que todo el personal esté informado. d. Establecer un sistema automático de los planes de acción por gerencia que permita la implementación del plan estratégico. 2.6 Metodología de administración de riesgos El negocio ha adaptado y desarrollado una metodología que le permite cumplir con las disposiciones señaladas por las Normas de Gestión de Riesgos. Esta metodología tiene su base en la metodología COSO, la cual ha sido complementada y adecuada a las características propias del negocio. 37 En principio la metodología está dividida en cuatro fases claramente definidas:  Identificación, mediante la definición de los riesgos y el inventario de procesos.  Evaluación de los riesgos, que implica la mediación de los mismos.  Actividades de control, que implica básicamente la ejecución del plan de acción y el control del mismo.  Supervisión y seguimiento, que emite los reportes e informes que muestran el estado situacional de la administración de los riesgos. a. Fase 1 .- Identificación de los riesgos  Previamente, y punto importante para el desarrollo de esta fase, se requiere establecer un entorno que estimule e influencie las actividades del personal referidas a la administración de los riesgos, basándose en la integridad y valores éticos, competencia del personal y cultura organizacional.  Esta etapa implica la conformación de los subcomités necesarios que permitan tanto el inicio del proceso como el mantenimiento del mismo, ya sea en la identificación de los riesgos actuales, ya sea en su revisión, en la identificación de los riesgos y en su mitigación.  Esta fase trata principalmente lo relativo a la identificación de procesos, su desagregación en los denominados críticos para el desarrollo de BOTICAS ARCÁNGEL, así como la identificación de los eventos que las originan o son fuente de probables pérdidas, siguiendo los lineamientos y definiciones que al respecto han establecido el Comité de Basilea y las Normas de Gestión de Riesgos.  Para un mejor desarrollo y control de la metodología, esta fase está subdividida en tres etapas claramente definidas, que pasamos a desarrollar: a.1 Etapa 1 – Definiciones del riesgo y los eventos o amenazas que lo originan.  Se entiende como riesgo a la probabilidad de pérdidas resultantes o por consecuencia de 4 eventos:  Procesos internos inadecuados  Fallas en las personas  Fallas en los sistemas de información  Eventos externos 38  Cuando alguno de estos eventos se produce en los llamados procesos críticos, que pueden comprometer la gestión del negocio, poniendo en riesgo su capital y estabilidad financiera.  Cada uno de estos cuatro (4) conceptos que inciden en los riesgos, tienen tipificada una serie de definiciones que hacen que se produzcan, principal y preferentemente en los siguientes casos:  Procesos internos inadecuados o Error en las transacciones o Error en las liquidaciones o Error en la información contable o Riesgos en los contratos con laboratorios y clientes o Falta de recursos para realizar las operaciones o Complejidad en los proyectos que se presentan o Incumplimiento de los plazos o acuerdos tomados  Deficiencias en las personas o Incumplimiento de las normas o Errores o Fraudes o Retiro del personal o Falta de conocimiento o Apropiación de información sensible  Deficiencias en el sistema de información o Programación, desarrollo e integración de los sistemas no consistente o Información con problemas de calidad originados en el ingreso y actualización de la base de datos o Seguridad de la información vulnerable o Continuidad del sistema de información que presenta interrupciones o Problemas con las telecomunicaciones e interconexiones entre oficinas y agencias o Usuarios no capacitados  Eventos externos o Riesgos en la evaluación de los convenios de BOTICAS ARCÁNGEL o Riesgos en la imagen 39 o Cambio en la regulación y riesgo político o Riesgo legal o Lavado de dinero o Desastres naturales o Terrorismo o Daños físicos o Robos o Fallas en los servicios críticos provistos por terceros. o Fallas en los servicios públicos o Cambio climático y del medio ambiente  Igualmente, existen otros aspectos adicionales que identifican a los eventos, tales como:  Por su origen o Endógenos, que se generan en los procesos internos o Exógenos, que provienen de eventos del ambiente externo.  Por su frecuencia o Rutinarios, que se presentan constante o periódicamente o Extremos, que son poco frecuentes.  Por su impacto o Afectan el flujo, originan pérdida de dinero. o Afectan la imagen, originando pérdidas indirectamente al desprestigiar el negocio.  Por su control o Controlables, se generan dentro del negocio y pueden ser previstos razonablemente. o No controlables, que no dependen del negocio por lo que su probabilidad de ocurrencia es complicada de estimar de modo satisfactorio. 40 a.2 Etapa 2 – Herramientas y técnicas para identificar los riesgos  En BOTICAS ARCÁNGEL se privilegiará las siguientes herramientas y técnicas para la identificación de riesgos tanto a nivel entidad como a nivel de procesos, sin ser estas limitativas:  Tormenta de ideas  Cuestionarios y encuestas  Entrevistas  Análisis FODA a.3 Etapa 3 – Registro del levantamiento de procesos  Igualmente, conforme se vayan creando otros productos y servicios en BOTICAS ARCÁNGEL, es factible que el inventario propuesto presente modificaciones, en función de estos nuevos procesos.  El levantamiento y registro de los procesos o subprocesos será mediante la elaboración de una tabla o relación, cuyos datos mínimos a considerar serán la resultante de la gerencia del negocio o responsable del proceso, la definición del proceso y la definición del subproceso (ver Anexo – Formato 1). a.4 Etapa 4 – Priorización de procesos (ver anexo 6)  Esta etapa tiene por finalidad priorizar los procesos según la relación de los establecidos en la etapa precedente. Se deberá contar, como mínimo, con los flujogramas de estos procesos (ver anexo 7).  Esta priorización permitirá, además, tener identificados los procesos y conocer la importancia que tiene cada proceso o subproceso en el Negocio (ver anexo 8).  A continuación, se describen los criterios para priorizar los procesos: Criterios para la priorización de procesos Los criterios fueron determinados utilizando el juicio experto de los gerentes responsables de BOTICAS ARCÁNGEL, los cuales son: o Objetivos estratégicos de BOTICAS ARCÁNGEL.- Este criterio debe estar alineado con el Plan Estratégico del cual se identifican los siguientes objetivos: 41 Objetivos estratégicos 1. Desarrollo de nuevos mercados 2. Desarrollar líneas estratégicas de marca propia, líneas exclusivas, éticas y de consumo. 3. Incrementar una política de precios competitiva 4. Mejora en la eficiencia de los procesos y gastos 5. Lograr la eficiencia en el abastecimiento de la cadena 6. Lograr el desarrollo del recurso humano y una cultura organizacional de servicio y de integración Fuente: Plan Estratégico de Boticas Arcángel Una vez identificados los objetivos estratégicos, se debe evaluar cómo los procesos contribuyen a su cumplimiento, para lo cual se utiliza la siguiente tabla: Criterios de calificación para los objetivos estratégicos: Criterio Puntuación No aporta al logro del objetivo 1 Aporta en parte al logro del objetivo 2 Aporta íntegramente al logro del objetivo 3 Fuente: elaboración propia o Complejidad de las operaciones.- Con este criterio se analiza la dificultad de las operaciones que forman parte de los procesos. Para evaluar los procesos bajo este criterio se utiliza la siguiente tabla: Criterios de calificación para la complejidad de las operaciones: Criterio Puntuación Las operaciones no son difíciles 1 Las Operaciones son parcialmente difíciles 2 Las Operaciones son muy difíciles 3 Fuente: elaboración propia o Volumen de transacciones.- Con este criterio se analiza el número de transacciones realizadas en cada proceso con el objetivo de evaluar el nivel de carga operativa que afronta cada uno de ellos. Para evaluar los procesos bajo este criterio se utiliza la siguiente tabla: 42 Criterios de calificación para el volumen de transacciones: Criterio Puntuación Es bajo el número de transacciones en este proceso 1 Es regular el número de transacciones en este proceso 2 Es alto el número de transacciones en este proceso 3 Fuente: elaboración propia o Nivel de automatización.- Con este criterio se analiza el nivel de automatización de los procesos con el fin de determinar el nivel o volumen de operaciones manuales, semiautomáticas y automáticas que se realizan en cada uno de ellas. Para evaluar los procesos bajo este criterio se utiliza la siguiente tabla: Criterios de calificación para el nivel de automatización: Criterio Puntuación El proceso se encuentra muy automatizado 1 El proceso está medianamente automatizado 2 El proceso no está ni medianamente automatizado 3 Fuente: elaboración propia Luego de analizar los procesos con los criterios arriba mencionados se consigue una puntuación final por cada proceso al sumar los puntajes obtenidos por cada criterio. Posteriormente, de acuerdo con la puntuación final conseguida, se ordenan del puntaje más alto al más bajo y se seleccionan como críticos los procesos que han obtenido un puntaje mayor a 10. b. Fase 2 – Evaluación de riesgos  Esta fase tiene como finalidad el análisis, evaluación y medición de los riesgos que se establezcan en los procesos o subprocesos.  La medición de los riesgos bajo los puntos de vista cualitativo o cuantitativo. Para el caso cualitativo se parte del cálculo de frecuencia y probabilidades de ocurrencia, determinando cuáles pueden ser las pérdidas esperadas o su nivel de exposición al riesgo. Para el caso cuantitativo, se buscará crear una base de data histórica, que es todavía incipiente por tratarse de un negocio de reciente creación que no se cuenta con estadísticas ni datos antiguos suficientes referidos hacia el riesgo operativo. 43  De acuerdo con lo señalado en el párrafo precedente, el análisis será prioritariamente cualitativo.  Igualmente, en el desarrollo de esta fase incluimos la parte correspondiente a establecer un plan de acción, en base a controles y acciones acordadas sobre los procesos críticos, señalando tanto los controles actuales como los controles propuestos.  Para un mejor desarrollo y control de la metodología, esta fase la hemos subdividido en tres etapas claramente definidas, que pasamos a desarrollar: b.1 Etapa 1 - Mapeo y análisis cualitativo de los riesgos  Contando con la identificación de los principales procesos y subprocesos del negocio, esta etapa continua con el análisis, estudio y medición de los mismos, los que tendrán como herramienta principal las coordinaciones con las personas responsables de la ejecución de las actividades que se estén analizando.  Para la medición de los riesgos, se usará una medición cualitativa y cuantitativa (ver anexo 9), bajo el siguiente esquema Riesgo = f (P,I) , donde o P = Nivel de probabilidad o I = Nivel de impacto  A cada variable se le subdivide en criterios y factores que señalan mediante niveles, grados o valores de probabilidad o consecuencia, cada cual con un detalle que identifica dicho nivel, según el cuadro adjunto: 44 Criterio Bajo (1) Moderado (2) Alto (3) I. Impacto Cuantitativo Potencial pérdida financiera Impacto adverso menor igual a S/ 1´175,000 Impacto adverso mayor a S/ 1´175,000 pero menor a S/ 2´350,000 Impacto adverso mayor igual a S/ 2´350,000 Cualitativos Calificación en los Estados Financieros (EEFF) Auditoría Externa plantea observaciones puntuales o aisladas de manera verbal, que no ameritan una calificación sobre los EEFF. Auditoría Externa emite una Carta a la Gerencia en la que incluye observaciones inmateriales. Auditoría Externa emite una opinión / calificación sobre la información de los EEFF. Eventos de fraude No se presentan eventos de fraude. Se presentan eventos irregulares aislados, cometidos por personal de cargos operativos. Se presentan eventos de fraude, cometidos por altos ejecutivos, empleados diversos, y/o colusión con proveedores u otros stakeholders. Reputación / Pérdida de confianza No se presentan daños en la reputación Daño en la reputación con alcance local, que podría originar desconfianza en ciertos inversionistas y clientes. Daño en la reputación con alcance nacional o global, que origina la pérdida de confianza de los principales inversionistas y clientes. Incumplimiento ante reguladores No se dan casos de incumplimiento de normativa externa legal, sectorial, laboral ni tributaria. Casos aislados de incumplimiento de normativa externa, legal sectorial, laboral o tributaria, que podrían determinar el pago de penalidades leves o moderadas. Casos severos de incumplimiento de normativa externa legal, sectorial, laboral o tributaria, que decantan en el pago de penalidades elevadas. Interrupción de operaciones Interrupción de ventas menor a 12 horas Interrupción de operaciones entre 12 y 48 horas. Interrupción de operaciones por más de 48 horas. Disponibilidad de información / Confiabilidad del sistema No disponibilidad oportuna de información, pero que no afecta la continuidad del negocio. No disponibilidad oportuna de la información crítica, aquella que: (i) es requerida por el regulador (ii), es indispensable para el cliente, o (iii) es estratégica para el negocio; lo cual conlleve a la interrupción de procesos clave. Pérdida de información crítica de la Entidad o de terceros que no se pueda recuperar; lo cual conlleve a la interrupción de procesos clave o continuidad del negocio. Uso de un sistema no confiable. II. Impacto Cuantitativo Frecuencia de eventos Remota: El evento podría ocurrir cada cinco años, o entre el 0 y el 30 % de los casos Ocasional: El evento podría ocurrir anualmente; o entre el 30% y 60% de los casos Frecuente El evento podría ocurrir mensualmente, semanalmente, o con una periodicidad menor; o entre el 60% y 99% de los casos. Cualitativos Tipo del evento Eventos o transacciones remotas (podrían ocurrir bajo circunstancias muy excepcionales). Eventos o transacciones ocasionales (ocurren cuando las transacciones sean requeridas). Eventos o transacciones sistemáticas o continuas (transacciones diarias, semanales, mensuales). Complejidad del proceso La actividad es simple y no requiere de un nivel de especialización alto (actividades estandarizadas y repetitivas). La actividad es medianamente compleja y requiere de un nivel de especialización. La actividad es compleja y requiere de un nivel alto de especialización (especialistas). Cambios en el negocio u organización No se presentan cambios relevantes en el negocio, ni en el personal directivo. Se presentan cambios moderados en el negocio o personal directivo, pero que no afectan significativamente la cultura organizacional y manera de operar. Cambios significativos en el negocio, conocimientos y personal directivo (por ejemplo cambio de la estrategia, implementación de sistemas, reingeniería de procesos, rediseño organizacional). Existencia de políticas / procedimientos Existen políticas y procedimientos documentados, actualizados y difundidos, y son aplicados por toda la Entidad de manera uniforme. Existen políticas y procedimientos documentados, pero están desactualizados. No existen políticas y procedimientos, o falta de comunicación de los mismos. Fuente: elaboración propia 45  Producto de la interrelación de la probabilidad e impacto, se establece el nivel de severidad del riesgo. NIVEL DE PROBALIDAD (P) NIVEL DE IMPACTO (I) SEVERIDAD DEL RIESGO S = (P X I) Probabilidad Valor Impacto Valor Severidad Valor Alto 3 Alto 3 Alto 9 Alto 3 Moderado 2 Alto 6 Alto 3 Bajo 1 Medio 3 Moderado 2 Alto 3 Alto 6 Moderado 2 Moderado 2 Medio 4 Moderado 2 Bajo 1 Bajo 2 Bajo 1 Alto 3 Medio 3 Bajo 1 Moderado 2 Bajo 2 Bajo 1 Bajo 1 Bajo 1 Fuente: elaboración propia En el esquema se muestra el resultado de la combinación entre las categorías del nivel de impacto del riesgo y las categorías del nivel de probabilidad de ocurrencia del riesgo, es decir, el nivel de severidad.  El análisis y establecimiento de los niveles de riesgos se realizará teniendo como base la tabla de inventario de procesos o subprocesos, su priorización y los conceptos de los niveles de riesgos establecidos, tanto por el nivel de probabilidad como por el impacto o pérdida (Anexo 3). b.2 Etapa 2 - Mapeo y análisis cuantitativo de los riesgos  Partimos de la premisa que el negocio desde los últimos 5 años de creación cuenta con una base estadística e información del sector de retail farmacéutico motivo por el cual dicha base es relativa con respecto a los riesgos.  Esto implica que nos abocaremos a contar con resultados cuantitativos confiables y significativos, a fin de seguir formando una base histórica de ocurrencias y se irán desarrollando en forma paulatina las acciones para conseguir esta información requerida de: o Ocurrencias en empresas de retail farmacéutico, como cadena de boticas, Inkafarma, Mifarma, Boticas & Salud, etc. 46 o Estándares de ocurrencias en entidades similares del exterior. o Mediciones hipotéticas con cada uno de los gerentes a cargo de los procesos o subprocesos, en base a su experiencia y conocimiento.  Esta información deberá ser identificada, capturada, procesada y comunicada por el Área de Riesgos al personal, de forma tal que le permita contar con elementos de control adicionales para cumplir con sus responsabilidades.  Igualmente, mediante los reportes que emita el sistema mecanizado le permitirá contar con información operacional, financiera y de cumplimiento que hará posible conducir y controlar la organización y, a su vez, supervisar, monitorear y administrar los riesgos, mitigando la probabilidad de ocurrencia, evitando posibles pérdidas e impactos financieros.  La construcción de esta base histórica deberá estar soportada por un sistema mecanizado, el mismo que también aportará información sobre la base de las ocurrencias de las operaciones diarias, mediante un tablero de control o similares. b.3 Etapa 3 – Definición del Plan de Acción de los Riesgos  Esta etapa tiene como resultado la identificación de los controles que se requiere para una normal administración de los riesgos, que nos permita mitigar dichos riesgos, dejándolos preparados para el cumplimiento e implantación del Plan de Adecuación para la Administración de los Riesgos Operativos, que se detallan en la fase siguiente de esta metodología.  Para iniciar esta etapa de definición del plan de acción, se requiere contar como base con el inventario de los procesos y subprocesos claramente tipificados con los niveles de riesgos correspondientes así como haber establecido medianamente los eventos que podrían producir los riesgos operativos.  El llenado de la matriz implica nuevamente que se coordine y discuta bajo un esquema crítico, en el Comité de Gestión Integral de Riesgos con cada funcionario a cargo de cada proceso. Para tal efecto, se deberá cuestionar cada proceso o subproceso mediante preguntas, tales como: ¿qué puede suceder?, ¿cómo puede suceder ese evento?, ¿qué consecuencias puede producirse a causa de ese evento?, ¿con qué controles se cuenta actualmente para mitigar los riesgos identificados?, ¿qué controles se estima podrían implantarse?, ¿cómo se puede documentar para 47 mitigar dicho riesgo? Estos cuestionamientos darán como resultado la identificación y propuesta de controles más específicos.  Esta fase genera el marco regulatorio que debe ser compatible con las políticas y estrategias establecidas por BOTICAS ARCÁNGEL, pues permite diseñar medidas, acciones y controles más efectivos, que ayuden a eliminar o al menos mitigar y controlar los riesgos. c. Fase 3 – Administración y control de los riesgos  Mediante la última etapa de la fase anterior, se han esquematizado los diferentes procesos críticos identificados y, en base a estas acciones se han definido los controles actuales así como los controles propuestos, fecha de implantación y responsable de dicha acción.  En ese sentido, el objetivo de esta fase es ejecutar las acciones y controles acordados de acuerdo con el plan de acción, que permita un adecuado registro, compromiso y seguimiento, controlando que se esté ejecutando en forma adecuada a lo planificado, vale decir, hacer el seguimiento del cumplimiento de las acciones dispuestas.  El Área de Riesgos es responsable, conjuntamente con cada gerente a cargo del proceso, de planificar esta actividad para llevarla a cabo y forma parte de las demás acciones de control que ejecuta.  Los gerentes que están a cargo de los procesos son responsables de implantar las acciones y controles acordados, debiendo participar activamente, a fin de que la ejecución de la gestión del riesgo se haga de acuerdo a lo indicado en el plan de acción y en la operativa diaria de sus actividades. Los gerentes deberán solicitar el apoyo y supervisión del Área de Riesgos.  La administración y el control de los riesgos se realiza sobre la base del nivel de riesgo establecido en la etapa de mapeo y análisis cualitativo de los riesgos.  En dicho análisis se pueden presentar diversas situaciones, como puede ser que las normas diseñadas se cumplan satisfactoriamente; en otras palabras, el control está edificado en una estructura sólida. No por ello se dejará de lado el análisis del diseño del control, ya que los riesgos que no impactan actualmente podrían impactar e