marco orientador y metodología para la administración del
TRANSCRIPT
Marco orientador y metodología para la administración del riesgo institucional en el INEC
Elaborado y Revisado por: Validado por: Aprobado por:
Mizael Correa, Profesional de la Unidad de Planificación Institucional
Olga Mora, Coordinadora de la Unidad de Planificación Institucional
Floribel Méndez, Gerente
Consejo Directivo, Acuerdo 4 de la Sesión ordinaria 16-2018
Fecha: 23/03/2018 Fecha: 23/03/2018 Fecha: 26/03/2018 Fecha: 17/05/2018
Mayo 2018
1
Contenido
i. Presentación ................................................................................................................................ 3
ii. Mejoras metodológicas para la implementación del SEVRI ........................................................ 5
I. Marco conceptual ..................................................................................................................... 10
1. Definiciones ............................................................................................................................... 10
2. Características del SEVRI ........................................................................................................... 13
3. Abreviaturas .............................................................................................................................. 14
II. Marco orientador ...................................................................................................................... 15
1. Política de Control interno y de administración de riesgo ........................................................ 15
2. Políticas específicas ................................................................................................................... 15
3. Objetivo general ........................................................................................................................ 16
4. Objetivos específicos ................................................................................................................. 16
5. Ámbito de aplicación ................................................................................................................. 17
6. Marco normativo....................................................................................................................... 17
7. Responsabilidades ..................................................................................................................... 18
8. Parámetros de aceptabilidad de riesgos ................................................................................... 25
III. Ambiente de apoyo ............................................................................................................... 27
IV. Recursos ................................................................................................................................ 27
1. Recursos financieros ................................................................................................................. 28
2. Recursos humanos .................................................................................................................... 28
3. Recursos tecnológicos ............................................................................................................... 28
4. Recursos materiales .................................................................................................................. 29
V. Sujetos interesados ................................................................................................................... 29
VI. Insumos, herramientas y productos del SEVRI ..................................................................... 30
1. Insumos del SEVRI ..................................................................................................................... 30
2. Herramientas del SEVRI ............................................................................................................. 30
3. Productos del SEVRI .................................................................................................................. 31
VII. Estructura de riesgos institucionales .................................................................................... 31
VIII. Metodología para la implementación del SEVRI ................................................................... 35
1. Matriz N° 1: Identificación del riesgo ........................................................................................ 36
2. Instructivo para el llenado de la Matriz N° 1: Identificación del riesgo .................................... 38
2
3. Valoración del nivel de riesgo inherente .................................................................................. 41
4. Instructivo para el llenado de la Tabla N° 1: Valoración del nivel de riesgo inherente ............ 42
5. Valoración de la madurez de los controles existentes .............................................................. 46
6. Instructivo de llenado de la Tabla N° 5: Valoración de la madurez de los controles existentes.
47
7. Matriz N° 2: Análisis y evaluación de factores de riesgo. .......................................................... 52
8. Instructivo de llenado de la Matriz N° 2: Análisis y evaluación del riesgo ................................ 54
9. Matriz N° 3: Tratamiento del riesgo (plan de mejora) .............................................................. 57
10. Instructivo de llenado de la Matriz N° 3: Tratamiento del riesgo (plan de mejora) ............. 59
11. Matriz N° 4: Monitoreo del plan de mejora .......................................................................... 62
12. Instructivo de llenado de la Matriz N° 4: Monitoreo del plan de mejora ............................. 64
13. Registro de la materialización del riesgo .............................................................................. 67
14. Instructivo de llenado del Registro de materialización de riesgos........................................ 69
15. Documentación ..................................................................................................................... 71
16. Comunicación ........................................................................................................................ 72
IX. Bibliografía ............................................................................................................................ 73
X. Anexos ....................................................................................................................................... 74
Anexo N° 1 Definición de cada riesgo ............................................................................................... 74
Anexo N° 2 Ejemplo de llenado del instrumental para la administración del riesgo institucional ... 82
Anexo N° 3 Diagrama 1. Administración del riesgo institucional ...................................................... 87
3
i. Presentación
La valoración del riesgo es un componente del Sistema de Control Interno que se
entiende como una serie de acciones que la administración activa diseña para
proteger el patrimonio público de cualquier pérdida, despilfarro, uso indebido,
irregularidad o acto ilegal; para exigir confiabilidad y oportunidad de la información,
garantizar eficiencia y eficacia de las operaciones y cumplir con el ordenamiento
jurídico y técnico.
Todas las organizaciones, independientemente de su naturaleza o tamaño, están
expuestas a diferentes riesgos, los que podemos entender como aquellos factores
o situaciones que podrían afectar el logro de los objetivos institucionales.
De esta forma, la valoración de riesgos conlleva la existencia de un sistema de
detección y valoración de los riesgos derivados del ambiente, que permite a la
administración efectuar una gestión eficaz y eficiente por medio de la toma de
acciones válidas y oportunas para prevenir y enfrentar las posibles consecuencias
de la eventual materialización de esos riesgos, la que se entiende como que el
perjuicio al logro de los objetivos institucionales por esos riesgos deje de ser
probable y se convierta en una realidad.
La administración deberá identificar y evaluar los riesgos derivados de los factores
tanto internos como externos que afecten a la institución, así como emprender las
medidas pertinentes para que esta sea capaz de afrontar exitosamente los riesgos.
Mediante controles eficaces en los procesos se busca la reducción de esos riesgos,
garantizando en cierta medida que los objetivos institucionales serán alcanzados.
El Sistema Específico de Valoración del Riesgo (SEVRI) es un proceso que consta
de una secuencia de actividades que se van desarrollando con la ayuda de
herramientas que facilitan un desarrollo lógico y sistemático al identificar, analizar,
evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad. La
información producida por el SEVRI orientará la toma de decisiones y fortalecerá
los procesos en procura de mejorar el quehacer institucional, además de cumplir
con la normativa de referencia en virtud de la Ley General de Control Interno N°
8292, misma que en su Capítulo 1, Artículo 2°, inciso f, la que establece que la
4
Valoración del riesgo responde a la identificación y análisis de los riesgos que
enfrenta la institución, tanto de fuentes internas como externas relevantes para la
consecución de los objetivos; y debe ser realizado por el jerarca y los titulares
subordinados con el fin de determinar cómo se deben administrar dichos riesgos.
Esta guía establece el marco orientador y la metodología del Sistema Específico de
Valoración del Riesgo y provee la metodología y las herramientas necesarias para
que el proceso se lleve a cabo.
La presente marco orientador y metodología para la administración del riesgo
institucional, fue aprobada por el Consejo Directivo del INEC, en sesión ordinaria N°
16-2018, acuerdo N° 4, celebrada el 15 de mayo del 2018.
5
ii. Mejoras metodológicas para la implementación del SEVRI
El 01 de julio de 2014 el Despacho Gerencial del INEC aprobó mediante el
Memorando GE-374-2014, la metodología para realizar la identificación, análisis,
tratamiento, monitoreo y seguimiento de los riesgos en la institución, denominada
“Guía conceptual y metodológica para la implementación del Sistema Específico de
Valoración de Riesgo en el INEC”, elaborada por la Unidad de Planificación
Institucional.
En una primera etapa de la puesta en práctica de la metodología, desarrollada en
el último trimestre del año 2014, se implementó un plan piloto con siete procesos
institucionales, con el propósito de ponerla a prueba y obtener conclusiones
preliminares. Posterior a este plan piloto, en una segunda etapa desarrollada entre
los años 2015 y 2017, se aplicó una nueva implementación, esta vez para un grupo
mayor de procesos institucionales, que alcanzó un total de cincuenta y cuatro,
pertenecientes a: Gestión de adquisiciones y contrataciones, Gestión de archivo,
Gestión de la producción estadística, Gestión de la planificación institucional,
Gestión de servicios institucionales, Gestión de tecnologías de información y
Gestión financiero contable.
Tras la aplicación de la metodología antes mencionada, la Unidad de Planificación
Institucional inició, en el 2018, la revisión de la metodología, con el fin de valorar la
introducción de posibles mejoras, tendientes a contribuir en una valoración más
eficaz de los riesgos institucionales, dando origen a esta nueva propuesta
metodológica.
Para lo anterior, el personal de la Unidad de Planificación Institucional realizó un
análisis de la metodología vigente, el que evidenció la existencia de oportunidades
de mejora, que fueron contempladas en esta nueva versión.
Entre las mejoras, se consideraron:
6
a. La incorporación de los conceptos de “riesgo inherente” y “riesgo
residual”.
Con el fin de contar con una valoración más sistemática y objetiva de los riesgos, la
nueva metodología introduce los conceptos de riesgo inherente y riesgo residual.
El “nivel de riesgo inherente” conceptualmente entendido como el riesgo
intrínseco de cada actividad sin tener en cuenta los controles que se hagan en
su interior, es propio del trabajo o proceso, (el que en la metodología previa
correspondía al “nivel de riesgo”), se calcula con la valoración conjunta de los
criterios para la probabilidad de ocurrencia del riesgo y de los criterios de
impacto (ver punto c).
El “nivel de riesgo residual” definido como el riesgo que subsiste después de
haber implementado controles y que refleja el riesgo remanente una vez que se
han implementado de manera eficaz las acciones planificadas para mitigar el
riesgo inherente, se calcula a partir de la valoración del riesgo inherente y de la
valoración de controles existentes identificados (ver punto e).
Estos nuevos conceptos se integran con el propósito de contar con una
identificación y una valoración más objetivas, exhaustivas y extensas posibles,
de las probables amenazas capaces de afectar el quehacer institucional.
b. Los criterios para la aceptabilidad de los riesgos.
A partir de la introducción de los conceptos de riesgo inherente y riesgo residual, se
modifica los criterios para la aceptabilidad de los riesgos quedando de la siguiente
manera:
El parámetro de aceptabilidad se define a partir del nivel de riesgo residual (en
la metodología anterior se refiere únicamente a nivel de riesgo).
La clasificación del nivel de riesgo residual no contiene la categoría previa de
“medio”. Con ello se busca eliminar la ambivalencia que conllevaba esta
valoración presente en la metodología anterior, la que consistía en aceptar o no
un riesgo, a través de un criterio subjetivo por parte del encargado del proceso.
7
Esto significa que la decisión para administrar o tratar un riesgo de categoría
“medio”, estaba basada en la decisión o criterio “experto” de la persona
responsable.
Se definen cuatro criterios para establecer el nivel de riesgo residual: Bajo,
Moderado, Considerable y Alto. Según esto, serán considerados como riesgos
“aceptables” los que estén en la categoría de Bajo, en tanto, los que se ubiquen
en las categorías de Moderado, Considerable y Alto; serán calificados como “no
aceptables” y deberán contar con un plan de mejora de tratamiento del riesgo
con el fin de minimizar las posibilidades de materialización.
c. La valoración del nivel de riesgo inherente.
Para eso se introdujeron nuevos criterios para la valoración del impacto y
probabilidad de los riesgos identificados:
Se sustituyeron los criterios previos para la valoración del impacto de “bajo”,
“moderado”, “medio”, “considerable” y “alto”, por los de “Insignificante”, “Bajo”,
“Moderado”, “Significativo” y “Crítico”1.
Se sustituyó el criterio previo para la probabilidad de “Casi seguro”, por el de
“Seguro”2.
d. Criterios de probabilidad e impacto.
Se redefinieron las categorías y los conceptos asociados a la probabilidad e
impacto, eliminando un poco la subjetividad explícita en la metodología anterior.
1 Para la correspondiente definición, ver el apartado 4 Instructivo para el llenado de la Tabla N° 1: Valoración del riesgo inherente del Capítulo VIII Implementación del SEVRI. 2 Ídem anterior.
8
e. La valoración de la madurez de los controles existentes.
La nueva versión de la metodología incorpora la valoración de la madurez controles
que los procesos tienen para mitigar los riesgos. De manera análoga a la valoración
de la probabilidad e impacto, los controles reciben una calificación por parte de las
personas expertas.
Para la evaluación de la madurez de los controles existentes, se sustituyen
análogamente los criterios3 de “malo”, “regular”, “bueno”, “muy bueno” y
“excelente”, por los de “sin controles”, “controles débiles”, “controles adecuados”,
“controles satisfactorios” y “controles excelentes”.
f. La valoración del nivel de riesgo residual.
La calificación (valor) obtenida en la valoración de la madurez de los controles
existentes, en conjunto con la calificación obtenida (valor) del nivel de riesgo
inherente (concatenación de valores), dan como resultado el nivel riesgo de
residual. Esta práctica no estaba incluida en la metodología anterior, por lo tanto, no
se analizaba el efecto de mitigación que tienen los controles sobre el riesgo
intrínseco de cada actividad.
3 Para la definición de estos criterios, ver el apartado 5 Valoración de la madurez de los controles existentes del Capítulo VIII Implementación del SEVRI.
9
g. El registro de la materialización del riesgo.
Es necesario disponer de un mecanismo que permita a la institución llevar un
registro de los eventos que se materializan con el objetivo de gestionar ese riesgo
y recuperar de manera parcial o total los daños o las pérdidas causados por el
evento.
Para tal fin, se elaboró una plantilla que facilita la identificación de los riesgos
materializados, su descripción, causas, consecuencias, producto o servicio
afectado, la clasificación en la estructura de riesgo, el tipo de pérdida, así como su
registro.
Con la introducción de estas mejoras metodológicas, se busca contar con una
metodología más confiable y robusta que favorezca la capacidad del INEC para
identificar amenazas y oportunidades, a la vez que establezca una base sólida para
la planificación y toma de decisiones, mejorando la eficiencia y la eficacia operativa.
Si bien la metodología mejorada representa un importante esfuerzo para objetivar
en buena medida el tratamiento de los riesgos de la institución, ello no significa que
esté exenta para futuras mejoras, por lo que la Unidad de Planificación Institucional
reafirma su compromiso en atención a la búsqueda de la mejora continua a través
de la identificación, valoración y evaluación de los mecanismos que faciliten el hacer
frente a los requerimientos en esta materia.
10
I. Marco conceptual
1. Definiciones
Administración de riesgo: actividad del proceso de valoración del riesgo que
consiste en la identificación, evaluación, selección y ejecución de medidas para la
administración de riesgos. (En normativas técnicas esta actividad también se
denomina “tratamiento de riesgos”).
Actividades de control: políticas y procedimientos que permiten obtener la
seguridad de que se llevan a cabo las disposiciones emitidas por la Contraloría
General de la República, por los jerarcas y las personas titulares subordinados para
la consecución de los objetivos, incluyendo específicamente aquellas referentes al
establecimiento y operación de las medidas para la administración de riesgos de la
institución.
Análisis de riesgos: segunda actividad del proceso de valoración del riesgo que
consiste en la determinación del nivel de riesgo a partir de la probabilidad y la
consecuencia de los eventos identificados.
Análisis cualitativo: descripción de la magnitud de las consecuencias potenciales,
la probabilidad de que esas consecuencias ocurran y el nivel de riesgo asociado.
Análisis cuantitativo: estimación de la magnitud de las consecuencias potenciales,
de la probabilidad de que esas consecuencias ocurran y del nivel de riesgo
asociado.
Atender riesgos: opción para administrar riesgos, que consiste en actuar ante las
consecuencias de un evento, una vez que éste ocurra.
Comunicación de riesgos: actividad permanente del proceso de valoración del
riesgo que consiste en la preparación, la distribución y la actualización de
información oportuna sobre los riesgos a los sujetos interesados.
Consecuencia: conjunto de efectos derivados de la ocurrencia de un evento
expresado cualitativa o cuantitativamente, sean pérdidas, perjuicios, desventajas o
ganancias.
11
Documentación de riesgos: actividad permanente del proceso de valoración del
riesgo que consiste en el registro y la sistematización de información asociada con
los riesgos.
Estructura de riesgos: clases o categorías en que se agrupan los riesgos en la
institución, las cuales pueden definirse según causa de riesgo, área de impacto,
magnitud del riesgo u otra variable.
Evaluación de riesgos: tercera actividad del proceso de valoración del riesgo que
consiste en la determinación de las prioridades para la administración de riesgos.
Evento: incidente o situación que podría ocurrir en un lugar específico en un
intervalo de tiempo particular.
Factor de riesgo: manifestación, característica o variable mensurable u observable
que indica la presencia de un riesgo, lo provoca o modifica su nivel.
Identificación de riesgos: primera actividad del proceso de valoración del riesgo
que consiste en la determinación y la descripción de los eventos de índole interno y
externo que pueden afectar de manera significativa el cumplimiento de los objetivos
fijados.
Institución: entidad u órgano integrante de la Administración Pública (INEC).
Magnitud: medida, cuantitativa o cualitativa, de la consecuencia de un riesgo.
Medida para la administración de riesgos: disposición razonada definida por la
institución previa a la ocurrencia de un evento para modificar, transferir, prevenir,
atender o retener riesgos.
Modificar riesgos: opción para administrar riesgos que consiste en afectar los
factores de riesgo asociados a la probabilidad y/o la consecuencia de un evento,
previo a que éste ocurra.
Nivel de riesgo: grado de exposición al riesgo que se determina a partir del análisis
de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia
potencial sobre el cumplimiento de los objetivos fijados, permite establecer la
importancia relativa del riesgo.
Nivel de riesgo aceptable: nivel de riesgo que la institución está dispuesta y en
capacidad de retener para cumplir con sus objetivos, sin incurrir en costos ni efectos
12
adversos excesivos en relación con sus beneficios esperados o ser incompatible
con las expectativas de los sujetos interesados.
Parámetros de aceptabilidad de riesgos: criterios que permiten determinar si un
nivel de riesgo específico se ubica dentro de la categoría de nivel de riesgo
aceptable.
Persona experta: persona que conoce el proceso y tiene criterio para valorar y
decidir sobre los riesgos que atañen a las diferentes actividades del proceso.
Población objetivo: grupo humano que se pretende atender con la acción
institucional.
Política de valoración del riesgo institucional: declaración emitida por el jerarca
de la institución que orienta el accionar institucional en relación con la valoración del
riesgo.
Prevenir riesgos: opción de administración de riesgos que consiste en no llevar a
cabo el proyecto, función o actividad o su modificación para que logre su objetivo
sin verse afectado por el riesgo.
Probabilidad: medida o descripción de la posibilidad de ocurrencia de un evento.
Retener riesgos: opción de “administración” de riesgos que consiste en no aplicar
los otros tipos de medidas (atención, modificación, prevención o transferencia) y
estar en disposición de enfrentar las eventuales consecuencias.
Revisión de riesgos: quinta actividad del proceso de valoración del riesgo que
consiste en el seguimiento de los riesgos y de la eficacia y eficiencia de las medidas
para la administración de riesgos ejecutadas.
Riesgo: probabilidad de que ocurran eventos que tendrían consecuencias sobre el
cumplimiento de los objetivos fijados.
Riesgo inherente: es el riesgo intrínseco de cada actividad sin tener en cuenta los
controles que se hagan en su interior, es propio del trabajo o proceso.
Riesgo residual: es el riesgo que subsiste después de haber implementado
controles. Refleja el riesgo remanente una vez que se han implementado de manera
eficaz las acciones planificadas para mitigar el riesgo inherente.
Sistema Específico de Valoración del Riesgo Institucional (SEVRI-INEC):
conjunto organizado de componentes de la Institución que interaccionan para la
13
identificación, análisis, evaluación, administración, revisión, documentación y
comunicación de los riesgos institucionales.
Sujetos interesados: personas físicas o jurídicas, internas y externas a la
institución, que pueden afectar o ser afectadas directamente por las decisiones y
acciones institucionales.
Transferir riesgos: opción de administración de riesgos, que consiste en que un
tercero soporte o comparta, parcial o totalmente, la responsabilidad y/o las
consecuencias potenciales de un evento.
Tratamiento del riesgo (plan de mejora): ver definición de administración de riesgo.
Valoración del riesgo: identificación, análisis, evaluación, administración y revisión
de los riesgos institucionales, tanto de fuentes internas como externas, relevantes
para la consecución de los objetivos. (En normativas técnicas este proceso también
se denomina “gestión de riesgos”).
Fuente: Contraloría General de la República. D-3-2005-CO-DF-OE, 2005.
2. Características del SEVRI
El SEVRI reúne las siguientes características:
Continuidad: los componentes y actividades del SEVRI se establecen de forma
permanente y sus actividades se ejecutan de manera constante.
Enfocado a resultados: los componentes y actividades del sistema se establecen
y desarrollan para coadyuvar a que la institución cumpla sus objetivos.
Economía: los componentes y actividades del Sistema se establecen y ejecutan,
de forma prioritaria, vinculando las herramientas y procesos existentes en la
institución y aprovechando al máximo los recursos con que se cuenta.
Flexibilidad: el Sistema se deberá diseñar, implementar y ajustar periódicamente
a los cambios externos e internos de acuerdo con las posibilidades y las
características de cada institución.
Integración: el Sistema se articula con el resto de los sistemas institucionales y
apoya la toma de decisiones cotidiana en todos los niveles organizacionales.
14
Capacidad: el Sistema deberá procesar de forma ordenada, consistente y confiable
todos los datos, internos y externos, requeridos para cumplir el objetivo del Sistema
con un nivel de seguridad razonable.
Fuente: Contraloría General de la República. D-3-2005-CO-DF-OE, 2005.
3. Abreviaturas
INEC: Instituto Nacional de Estadística y Censos
SEVRI: Sistema Específico de Valoración del Riesgo Institucional
15
II. Marco orientador
1. Política de Control interno y de administración de riesgo
El Instituto Nacional de Estadística y Censos se compromete a implementar un
Sistema de Control Interno y de Valoración de Riesgos, el cual estará implícito en
los procesos y procedimientos institucionales. De esta forma cada colaborador(a)
ejercerá el autocontrol permanente en el desempeño de sus labores de manera tal
que contribuya en la consecución de los objetivos institucionales.
2. Políticas específicas
a) Implementará el Sistema de Control interno y de Administración de los Riesgos
institucionales, para llevar a la institución a un nivel de riesgo aceptable, en
procura del cumplimiento de los objetivos institucionales.
b) Facilitará el instrumental necesario para levantar y autoevaluar el sistema de
control interno. Además, aplicará los procesos de mejora continua que
corresponda.
c) Mantendrá actualizadas las metodologías y demás documentación que integra
el sistema de control interno.
d) Implementará acciones formativas para el personal, sobre el sistema de control
interno institucional.
e) Aplicará autoevaluaciones anuales sobre el sistema de control interno.
f) Definirá los planes de acción institucional y mantendrá informado al personal
acerca de los resultados obtenidos.
g) Tomará las acciones necesarias ante el incumplimiento o el debilitamiento del
sistema de control interno.
16
3. Objetivo general
Producir información tanto interna como del entorno que apoye la toma de
decisiones orientada a ubicar al Instituto Nacional de Estadística y Censos en un
nivel de riesgo aceptable y así promover, de manera razonable, el logro de los
objetivos Institucionales.
4. Objetivos específicos
a) Adoptar las medidas necesarias para el establecimiento y funcionamiento del
Sistema Específico de Valoración del Riesgo Institucional (SEVRI).
b) Garantizar el cumplimiento de los objetivos institucionales del INEC, a través de
la prevención y administración de los riesgos.
c) Implementar un sistema de valoración de riesgo que permita identificar, analizar,
evaluar, tratar, monitorear, darle seguimiento y comunicar los riesgos y las
medidas que se adopten en el ámbito institucional.
d) Contar con personal calificado para el desarrollo y aplicación de los instrumentos
de valoración de riesgos, que se adopten en el ámbito institucional.
e) Hacer partícipes a todas las personas colaboradoras de la institución en la
búsqueda y aplicación de controles y acciones encaminadas a prevenir los
riesgos.
f) Velar porque los niveles de riesgo que se determinen como aceptables para los
procesos, permitan el resguardo y mejor manejo de los fondos públicos.
g) Impulsar y mantener una cultura de valoración de riesgo en todos los procesos.
h) Revisar continuamente el SEVRI, para tomar oportunamente las medidas
correctivas.
i) Asegurar el cumplimiento de normas, leyes y regulaciones.
17
5. Ámbito de aplicación
En el INEC existe el compromiso de encaminar a la institución hacia una gestión por
procesos, en la cual la administración del riesgo debe estar integrada con la
definición de los procesos y actividades que se realizan a lo interno de las Áreas,
Unidades y operaciones estadísticas del INEC, se implementará en forma paulatina
de acuerdo con las prioridades institucionales. Por lo tanto, bajo el enfoque por
procesos se irán analizando cada una de las actividades y así determinar cuáles
pueden presentar riesgos tanto internos como externos.
6. Marco normativo
Ley 8292 – Ley General de Control Interno.
Normas de control interno para el sector público (N-2-2009-CO-DFOE).
Manual de Normas Generales de Control Interno para la Contraloría General de
la República y las entidades y órganos sujetos a su fiscalización. Publicado en
La Gaceta N° 107 del 5 de junio, 2002.
Directrices generales para el establecimiento y funcionamiento del sistema
específico de valoración de riesgo institucional SEVRI, (D-3-2005-CO-DFOE).
18
7. Responsabilidades
Entre las responsabilidades del jerarca y los titulares subordinados está el
cumplimiento de la normativa citada en el punto 5 Marco normativo.
Cabe mencionar que, toda institución pública deberá establecer y mantener en
funcionamiento un Sistema Específico de Valoración del Riesgo Institucional
(SEVRI) por áreas, sectores, actividades o tareas, de acuerdo, como mínimo, con
lo establecido en las directrices generales emitidas por la CGR y que serán de
acatamiento obligatorio.
Conforme lo establece la Ley de Control Interno en su artículo 14, Valoración del
riesgo, serán deberes del jerarca y las personas titulares subordinados, entre otros,
los siguientes:
a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y
las metas institucionales, definidos tanto en los planes anuales operativos como en
los planes de mediano y de largo plazo.
b) Analizar el efecto posible de los riesgos identificados, su importancia y la
probabilidad de que ocurran y decidir las acciones que se tomarán para
administrarlos.
c) Adoptar las medidas necesarias para el funcionamiento adecuado del Sistema de
valoración del riesgo, para ubicarse por lo menos en un nivel de riesgo
organizacional aceptable.
d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones
por ejecutar.
Así mismo el artículo N° 19, establece que el jerarca y los respectivos titulares
subordinados de los entes sujetos a esta Ley, en los que la Contraloría General de
la República disponga que debe implantarse el Sistema Específico de Valoración
de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado
funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo
institucional aceptable.
El jerarca, las personas titulares subordinados y las demás personas colaboradoras
públicas que debiliten con sus acciones el SEVRI u omitan las actuaciones
19
necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la
normativa técnica, estarán sujetos al régimen sancionatorio establecido en la Ley
General de Control Interno, N° 8292 en el artículo 39 causales de responsabilidad
administrativa.
En el ámbito institucional las responsabilidades del establecimiento, la gestión,
aplicación, evaluación, monitoreo y seguimiento del SEVRI se distribuyen entre:
Consejo Directivo
Gerencia
Unidad de Planificación Institucional
Personas titulares subordinados
Personas expertas
Otras personas colaboradoras de la Institución
20
Para tal efecto se definió la siguiente estructura organizativa:
Diagrama 1: Estructura organizativa del SEVRI
Fuente: Unidad de Planificación Institucional
Consejo Directivo
Despacho gerencia
Personas Titulares
subordinados
Personas expertas
Otras personas
colaboradoras de la
institución
Unidad de Planificación
Institucional (gestora
del riesgo institucional)
21
A continuación, se detallan las responsabilidades para cada uno de las personas
colaboradoras del INEC, involucradas en el SEVRI.
Consejo Directivo
Será el encargado de establecer la filosofía en relación con la administración del
riesgo y que tendrá las siguientes funciones:
Aprobar las políticas y los lineamientos estratégicos con relación a la
administración de los riesgos.
Aprobar los parámetros de aceptabilidad de los riesgos, congruente con los
objetivos estratégicos.
Establecer el nivel de tolerancia (Alto, considerable, moderado y bajo) sobre la
valoración de riesgos.
Delegar la responsabilidad sobre el Sistema de Gestión de Riesgos al Despacho
gerencial.
Aprobar las desviaciones en los parámetros de riesgo cuando sea pertinente.
Validar la estructura de riesgos institucional enfocada al INEC.
Verificar que la administración actúe de acuerdo a la normativa existente tanto
legal como institucional.
Velar por el cumplimiento del componente “Valoración de Riesgo”, de la Ley
General de Control Interno.
Conocer periódicamente los informes o reportes presentados por el Despacho
gerencial sobre el Sistema de Gestión de Riesgos.
Aprobar las metodologías y técnicas que se van a implementar con relación al
Sistema de Gestión de Riesgos.
22
Despacho gerencial
Ejecutar la política y los lineamientos estratégicos aprobados por el Consejo
Directivo.
Fortalecer una cultura organizativa de gestión de riesgo institucional.
Informar periódicamente al Consejo Directivo sobre el Sistema de Gestión de
Riesgos.
Monitorear las actividades del SEVRI y de las personas titulares subordinados
en cada uno de los procesos.
Desarrollar la estructura de riesgos, aprobando la definición de riesgos que
enfrenta la institución.
Establecer los niveles de responsabilidad relacionados con el Sistema de
Gestión de Riesgos de toda la organización.
Verificar el cumplimiento por parte de la institución de las políticas, estrategias,
estructura de riesgo y parámetros de aceptabilidad, aprobados por el Consejo
Directivo.
Unidad de Planificación Institucional
Coordinar con los procesos y las personas titulares subordinados, la
implementación del Sistema de Gestión de Riesgos.
Velar por el cumplimiento de los procedimientos y políticas internas en materia
de administración de riesgo en la institución.
Mejorar la metodología y técnicas a aplicar en los diferentes procesos y conocer
los aportes de los mismos en cuanto al tema de riesgos.
Analizar los resultados de la evaluación de los riesgos en los procesos
seleccionados.
Evaluar los planes de mejora para minimizar el nivel de riesgo seleccionado y
evaluado.
23
Solicitar informes preliminares y finales a las personas titulares subordinados,
sobre el Sistema de Gestión de Riesgos institucional.
Mantener un archivo con las minutas de las reuniones con las personas titulares
subordinados en donde se evidencien los acuerdos obtenidos.
Asesorar al Despacho gerencial con el fin de incorporar en las actividades de la
institución el tema de la administración de riesgos y cumplir así con la estrategia
de riesgos institucional.
Personas titulares subordinados
Las Coordinaciones de Área, Unidad y las personas responsables de proceso u
operación estadística serán responsables de cumplir las políticas y lineamientos
estratégicos de la administración de los riesgos.
Establecer y desarrollar las acciones necesarias para la identificación, análisis y
evaluación de los riesgos y que sean congruentes con los objetivos estratégicos.
Definir las acciones necesarias con el fin de administrar y tratar el riesgo, estas
últimas deberán quedar plasmadas en la matriz N° 3 Tratamiento del riesgo (plan
de mejora).
Proponer los parámetros de los riesgos asociados a los procesos y sus controles
a los cuales están expuestos, de acuerdo a las políticas de riesgo establecidas,
a fin de ubicar el riesgo en un nivel organizacional aceptable.
Se responsabilizará por el adecuado funcionamiento del Sistema de Valoración
de Riesgo dentro de su ámbito de competencias; promoviendo los mecanismos
operativos que conlleva a minimizar el riesgo implícito en las actividades, para
el logro de los objetivos institucionales.
Monitorear el Sistema de Gestión de Riesgos de acuerdo a los parámetros y
lineamientos establecidos.
Proporcionar todo tipo de información que le sea requerido para facilitar el
trabajo conjunto con miras al mejoramiento del Sistema.
Dar seguimiento a los planes de mejora propuestos para tratar los riesgos.
24
Personas expertas
Serán responsables de identificar, analizar y evaluar los riesgos institucionales,
mediante un proceso planificado y participativo.
Apoyar a las personas titulares subordinados en la elaboración de los planes de
mejora para minimizar los riesgos.
Otras personas colaboradoras de la Institución
Serán responsables de contribuir en todo momento al funcionamiento y
fortalecimiento del SEVRI.
25
8. Parámetros de aceptabilidad de riesgos
Los riesgos se clasifican en dos categorías que son: “riesgos aceptables” y “riesgos
no aceptables”, los que se desagregan en categorías menores según se explicará
en párrafos siguientes. Así mismo según sean los resultados de la valoración o
evaluación de los riegos, estos deberán ser “administrados” (aceptar y monitorear
los riesgos) o “tratados” (desarrollar e implementar un plan de mejora específico
para cada riesgo).
Riesgos aceptables
Cuando los riesgos han sido valorados y calificados con un nivel de riesgo
residual bajo, significa que como resultado de la evaluación se deberán
“administrar”. Ello considera que el riesgo siempre está presente en la actividad
del proceso, pero de una manera controlada. Puede considerarse que estos
riesgos se encuentran en una zona de riesgo bajo.
Riesgos no aceptables
Son los riesgos calificados con un nivel de riesgo residual moderado,
considerable y alto por tanto tendrán que ser “tratados” para minimizar su
materialización. Puede considerarse que estos riesgos se encuentran en una
zona de alto riesgo.
El siguiente cuadro ayuda a comprender cómo se han determinado los parámetros
de aceptabilidad de los riesgos de la institución, estos criterios son los que permiten
ubicar si un nivel de riesgo residual específico se ubica en una categoría aceptable
o no aceptable.
26
Cuadro N° 1. Clasificación de los riesgos por zona de riesgo, nivel de riesgo residual,
aceptabilidad y resultado de la evaluación.
Zona Nivel de riesgo residual
Aceptabilidad Resultado de la evaluación
Zona de riesgo bajo Bajo Riesgos aceptable Administrar
Zona de alto riesgo
Moderado
Riesgos no aceptables
Tratar Considerable
Alto
Fuente: Unidad de Planificación Institucional
27
III. Ambiente de apoyo
Para propiciar un ambiente de apoyo al SEVRI el INEC realizará las siguientes
acciones:
Promover entre las personas trabajadoras del INEC la importancia del SEVRI,
para el logro de los objetivos institucionales, mediante la ejecución de un plan
de inducción a nivel institucional.
Brindar a los procesos institucionales acompañamiento y asesoría para el
abordaje del SEVRI.
Disponer del marco orientador y metodología para la administración del riesgo
institucional en el INEC, en la cual serán abordados criterios unificados para
facilitar la comprensión del SEVRI por parte de las personas colaboradoras de
la institución.
Disponer de mecanismos de coordinación y comunicación entre las personas
colaboradoras y las unidades internas del INEC, para implementar el SEVRI,
mediante la puesta en marcha de la estructura organizacional definida para tal
efecto.
IV. Recursos
El SEVRI “contará con los recursos financieros, humanos, técnicos, materiales y
demás necesarios para su establecimiento, operación, perfeccionamiento y
evaluación, según lo dispuesto en la normativa” CGR D-3-2005-CO-DFOE, a
continuación, se describe cada uno.
28
1. Recursos financieros
Los recursos que se asignen al SEVRI deberán obtenerse, de forma prioritaria, de
los existentes en la institución en el momento de determinar su requerimiento. En
caso de no contar con un recurso particular el INEC los deberá adquirir, en tanto
sus beneficios excedan los costos, cumpliendo los procesos presupuestarios y
contractuales respectivos, según los lineamientos del CGR D-3-2005-CO-DFOE.
2. Recursos humanos
La Unidad de Planificación Institucional será la encargada de impartir las charlas,
brindar acompañamiento y asesoría a los procesos para la implementación del
SEVRI, se deberá dar capacitación permanente a las personas colaboradoras de
esta dependencia para que puedan asumir esta labor. A la vez cada proceso deberá
designar las personas expertas, que tendrán a su cargo la identificación, valoración
y tratamiento de los riesgos (plan de mejora).
3. Recursos tecnológicos
Para la implementación del SEVRI el INEC proveerá los recursos tecnológicos
necesarios que se describen a continuación:
Computadora.
Impresora.
Sistema automatizado.
Proyector (para las charlas de inducción).
Espacio en el servidor (para mantener el sistema automatizado y la metodología
del SEVRI, de igual forma para preservar los registros SEVRI).
29
4. Recursos materiales
El INEC proveerá los materiales básicos: como artículos de oficina, ampos, papel y
tintas para la impresora, entre otros.
V. Sujetos interesados
Los sujetos interesados del SEVRI lo pueden conformar tanto las personas
colaboradoras del INEC como la población usuaria externa a la institución. Bajo esta
perspectiva se debe considerar la incorporación de las opiniones o sugerencias de
estos sujetos promoviendo su participación de forma directa en el diseño, ejecución,
seguimiento y evaluación de las actividades del SEVRI.
A continuación, se presentan los sujetos interesados:
Instituciones públicas, organizaciones no gubernamentales
Cámaras empresariales
Organizaciones sindicales
Estudiantes e investigadores de universidades nacionales y extranjeras
Medios de comunicación colectiva
Ciudadanía en general
Consejo directivo
Despacho gerencial
Personas Titulares subordinados
Personas expertas
Personal del INEC
30
VI. Insumos, herramientas y productos del SEVRI
1. Insumos del SEVRI
El SEVRI utilizará como insumo información interna y externa, suficiente y
actualizada para su establecimiento y funcionamiento. Para estos efectos, se
deberá considerar al menos lo siguiente:
Planes nacionales, sectoriales e institucionales.
Análisis del entorno interno y externo.
Monitoreo y seguimiento institucional.
Evaluaciones institucionales.
Descripción de la organización (procesos, presupuesto, Sistema de Control
Interno).
Normativa externa e interna asociada con la institución.
Documentos de operación diaria y de la evaluación periódica del desempeño del
mismo SEVRI. (Directrices Generales para el establecimiento y funcionamiento
del SEVRI, D-3-2005-CO-DFOE).
2. Herramientas del SEVRI
El Instituto Nacional de Estadística y Censos definió la metodología de su Sistema
de Valoración de Riesgo Institucional, para lo cual consideró entre otros, las
experiencias de instituciones públicas que han avanzado en el tema, los
conocimientos teóricos y prácticos obtenidos mediante la participación en cursos y
talleres sobre SEVRI así como lo indicado en la normativa que rige la materia.
Para la implementación del SEVRI se utilizarán los siguientes instrumentos
metodológicos:
a) Marco orientador y metodología para la administración del riesgo institucional
del Instituto Nacional de Estadística y Censos.
b) Diagrama de flujo (PLAN-RIES-DF-01) y ficha de proceso (PLAN-RIES-FP-01).
31
c) Procedimiento, PLAN-RIES-PR-01 Administración del riesgo institucional.
d) Plantilla del SEVRI, PLAN-RIES-FO-01 Matriz del SEVRI, con las siguientes
hojas de trabajo:
Matriz N° 1: Identificación del riesgo.
Matriz N° 2: Análisis y evaluación de factores de riesgo.
Matriz N° 3: Tratamiento del riesgo (plan de mejora).
Matriz N° 4: Monitoreo del plan de mejora.
3. Productos del SEVRI
El SEVRI deberá constituirse en un instrumento de gestión que apoye de forma
continua los procesos institucionales. Se deberá generar a través del SEVRI:
Información actualizada sobre los riesgos institucionales relevantes asociados al
logro de los objetivos y metas, definidos tanto en los procesos institucionales
como en los planes anuales operativos, de mediano y de largo plazo.
Medidas para la administración de riesgos adoptadas, para ubicar a la institución
en un nivel de riesgo aceptable. (Directrices Generales para el establecimiento
y funcionamiento del SEVRI, D-3-2005-CO-DFOE).
El comportamiento del nivel de riesgo residual después de implementado el plan
de mejora.
VII. Estructura de riesgos institucionales
El Instituto Nacional de Estadística y Censos propone su estructura de riesgos
acorde con las actividades institucionales, sin excluir la posibilidad de que en el
proceso de identificación de riesgos se incluyan otros, es decir, se puede utilizar
como una guía para las personas titulares subordinados, pero sin perder de vista
que la identificación de riesgos es propia de los procesos objeto de investigación y
que en conjunto formaría parte de los riesgos institucionales. La persona titular
subordinado utilizará esta clasificación como ayuda para identificar y evaluar los
32
riesgos, aunque la información no es total y las actividades puedan requerir
información adicional.
La clasificación propuesta es la siguiente:
Marco de organización integral de los riesgos
Estructura de riesgos
Código Categoría del riesgo
I. RIESGOS DEL ENTORNO
R001 Demandas / Necesidades de los usuarios
R002 Imagen institucional
R003 Innovación tecnológica
R004 Sensibilidad
R005 Disponibilidad de recurso económico
R006 Político
R007 Legal
R008 Regulatorio
R009 Pérdida catastrófica
II. RIESGOS DE PROCESOS
1. Riesgos de operaciones
R010 Satisfacción del usuario
R011 Recurso humano
R012 Capital de conocimiento
R013 Desarrollo de nuevos servicios/productos
R014 Eficiencia
R015 Capacidad instalada
R016 Brecha de desempeño
R017 Tiempo de ciclo
R018 Abastecimiento
R019 Convenios
R020 Cumplimiento
R021 Interrupción de operaciones
33
R022 Falla de productos / servicios
R023 Falla en los procesos
R024 Obsolescencia / daño en activos fijos
R025 Medio ambiente
R026 Salud y seguridad ocupacional
2. Riesgos financieros
R027 Determinación de costos
R028 Tasa de interés
R029 Tipo de cambio
R030 Precio de bienes y servicios
R031 Instrumentos financieros
R032 Liquidez
R033 Costo de oportunidad
R034 Rapidez en realizar transacciones
R035 Garantías
3. Riesgos de dirección
R036 Liderazgo
R037 Autoridad / límites de autoridad
R038 Indicadores de desempeño
R039 Disposición al cambio
R040 Comunicaciones
4. Riesgos de Tecnologías de Información
R041 Fallas en los sistemas
R042 Relevancia
R043 Integridad
R044 Acceso
R045 Disponibilidad
R046 Infraestructura
R047 Inversión en TI
R048 Apropiamiento de los proyectos
34
5. Riesgos de integridad
R049 Fraude de personal
R050 Actos ilegales
R051 Uso no autorizado
R052 Reputación
III. RIESGOS DE INFORMACIÓN PARA LA TOMA
DE DECISIONES
1. Riesgos de Información Operativa
R053 Compromiso contractual
R054 Medición operativa
R055 Alineamiento
2. Riesgos de Información de Gestión
R056 Presupuesto y planeamiento
R057 Información contable
R058 Evaluación del reporte financiero
R059 Evaluación de inversiones
R060 Reporte regulatorio
3. Riesgos de información estratégica
R061 Monitoreo del entorno
R062 Modelo de institución
R063 Portafolio de administración
R064 Valuación
R065 Estructura organizativa
R066 Medición del desempeño
R067 Asignación de recursos
R068 Planeamiento
R069 Ciclo de vida
Fuente: adaptación de ProtivitiRiskModelSM y acuerdo SUGEF 2-10 Reglamento sobre la administración integral del riesgo.
Refiérase el Anexo N° 1: Definición de cada riesgo, para consultar el significado de
cada riesgo.
35
VIII. Metodología para la implementación del SEVRI
Con la finalidad de identificar, analizar, evaluar, tratar y darle seguimiento a los
riesgos, se ha diseñado una herramienta sistematizada en formato Excel, mediante
el cual se registrará el SEVRI en cada proceso institucional.
El proceso del SEVRI consiste en el desarrollo e implementación de una serie de
actividades que se muestran en la siguiente figura:
Figura 1: Proceso del SEVRI
Identificar los riesgos
Analizar los riesgos
Evaluar los riesgos
Tratar los riesgos
DocumentaciónComunicación
Matriz N° 1: Identificación del riesgo
Matriz N° 2: Análisis y evaluación de factores de riesgo
Matriz N° 4: Monitoreo del plan de mejoraRevisar los riesgos
Matriz N° 3: Tratamiento del riesgo (plan de mejora)
Información externa e interna del proceso
Procesos institucionales
Fuente: Elaboración Unidad de Planificación Institucional
Para entender mejor el procedimiento del SEVRI consulte el documento PLAN-
RIES-PR-01 Administración del riesgo institucional.
36
1. Matriz N° 1: Identificación del riesgo
Como insumo importante para la identificación de los riesgos se debe consultar el
diagrama de flujo del proceso, pues bajo su enfoque se irán analizando cada una
de las actividades y así determinar cuáles pueden presentar riesgos tanto internos
como externos.
Antes de iniciar la identificación de riesgos utilice la estructura de riesgos
institucionales, para estudiar la categoría en que se agrupan los tipos de riesgos en
la Institución y facilitar la identificación de los riesgos relevantes en su proceso. Esta
estructura inicial ayuda a comprender los riesgos en los que puede incurrir la
Institución, sin embargo, esto no imposibilita que se hagan ajustes de esta
estructura, según vaya madurando el proceso del SEVRI.
Luego se identifican los riesgos, esto consiste en la determinación y la descripción
de los eventos de índole interno y externo que, de materializarse, pueden afectar de
manera significativa el cumplimiento de los objetivos fijados.
La identificación de los riesgos debe ser un proceso planificado y participativo que
se realiza en equipo, en el cual las personas expertas deben responder a las
preguntas, ¿Qué puede suceder? (riesgo), ¿Por qué puede suceder? (factores de
riesgo) y ¿Cuáles pueden ser los efectos o el impacto? (consecuencias del riesgo).
Es importante que todos los riesgos del proceso se identifiquen en esta etapa, sean
bajos o no, ya que los riesgos potenciales que no se identifican en esta primera
etapa son excluidos de las etapas posteriores, provocando que puedan
materializarse sin tener las acciones para administrar o tratar. Esta actividad es
constante debido a que los eventos no son estáticos y están cambiando a través del
tiempo, de manera que lo que hoy no es un riesgo, en un futuro puede convertirse
en un riesgo y viceversa.
La identificación de los riesgos y su relación con las actividades de los procesos,
así como su categorización, factores de riesgo y las consecuencias del riesgo se
hará en la Matriz N° 1: Identificación del riesgo, que se muestra a continuación:
37
Proceso:
Propósito del proceso:
Fecha:
Personas expertas
Validación de la persona
encargada del proceso
Aprobación de la persona
responsable del proceso
Para ingresar información
Matriz N° 1: Identificación del riesgo
Actividades donde se
pueden presentar los
riesgos
N° de riesgoRiesgo
¿Qué puede suceder?
Factores de riesgo ¿Por
qué puede suceder?
Consecuencias
del riesgo ¿Cuáles
pueden ser los
efectos o impacto?
Estructura de
riesgo nivel 1
Estructura de
riesgo nivel 2
Menú
38
2. Instructivo para el llenado de la Matriz N° 1: Identificación del
riesgo
A continuación, se detalla cada una de los ítems o columnas que están contenidas
en la Matriz N° 1: Identificación del riesgo.
Proceso: transcribir de la ficha de proceso el nombre del proceso al cual se va a
aplicar el SEVRI.
Propósito del proceso: transcribir de la ficha de proceso, tal y como está escrito,
ya que ahí se define lo que se desea alcanzar o cumplir en el proceso.
Fecha: fecha de llenado de la matriz.
Actividades donde se pueden presentar los riesgos: de las actividades descritas
en el diagrama de flujo del proceso, se deberá analizar y seleccionar cuáles de ellas
tienen implícitos los riesgos del proceso. A la vez, para cada actividad seleccionada
se deberá valorar y determinar si los riesgos asociados van a ser administrados o
tratados (al ser prioritarios), pues podría darse el caso de ciertos riesgos que, si bien
están latentes, no lo son. En caso positivo se deberá anotar la actividad en el
espacio respectivo y continuar realizando el llenado del resto de variables en forma
horizontal.
Asegúrese de transcribir en la columna respectiva la descripción de la actividad tal
y como está descrita en el diagrama de flujo. Puede continuar enlistando la segunda
actividad hasta que haya terminado de completar toda la información solicitada para
la primera, y así continuar en lo sucesivo.
N° de riesgo: consiste en asignar un código alfa numérico que identifique cada uno
de los riesgos. Ese código estará constituido por tres partes: Código del proceso +
guión + número consecutivo de tres cifras. Es importante señalar que cada proceso
tiene asignado un código que lo identifica de los otros.
39
Así por ejemplo el primer riesgo del proceso de planificación se construye de la
siguiente manera:
PLAN-001, esto se puede leer como el riesgo N° 1 del proceso de planificación.
Tenga en cuenta que una misma actividad puede tener más de un riesgo, en cuyo
caso se deberá habilitar un código diferente para cada uno. Asigne el N° de riesgo
según sea el caso, registrando cada riesgo en renglones diferentes.
Estructura de riesgo nivel 1: analice y ubique el riesgo en la estructura de riesgos
institucional; esto con el fin de tener una referencia de los riesgos potenciales de la
Institución. Asigne la categoría del riesgo según corresponda (Riesgos del entorno,
Riesgos del proceso y Riesgos de información para la toma de decisiones).
Estructura de riesgo nivel 2: analice y ubique el riesgo en la estructura de riesgos
institucional; esto con el fin de tener una referencia de los riesgos potenciales de la
institución. Asigne el código de riesgo según corresponda. Refiérase al apartado VII
Estructura de riesgos institucionales.
Riesgo: es la probabilidad de que ocurran eventos que tendrían consecuencias
sobre el cumplimiento de los objetivos fijados, en otras palabras, es la posibilidad
que suceda algo interno o externo que pueda tener un impacto sobre los objetivos
y dificultar desarrollo normal de las funciones de la institución.
Para establecer los riesgos se deberá utilizar la pregunta: ¿Qué puede suceder?
En todos los casos el riesgo representará una pérdida financiera, si el riesgo ha sido
bien identificado este se puede cuantificar en términos financieros, de manera
contraria, no será posible cuantificarlo en términos de una pérdida financiera.
Determine y registre los riesgos en cada actividad, según corresponda.
Factores de riesgo: responde a la identificación de las causas entendidas como
manifestaciones, características o variables mensurables u observables que
podrían propiciar que se genere el riesgo identificado. Es responder a la pregunta
¿Por qué puede suceder? Hay muchas formas en que se puede iniciar un evento,
40
no se deben omitir las causas significativas. El factor de riesgo puede ser el mismo
para diferentes riesgos. Se deben considerar los factores de riesgo para definir el
tratamiento del riesgo (plan de mejora). Determine y registre los factores de riesgo
según corresponda.
Personas expertas: escriba el nombre de las personas que participan en el proceso
del SEVRI, estas personas han de ser aquellas que forman parte del proceso o que
tienen un conocimiento amplio de las actividades que se realizan en el proceso.
Validación de la persona encargada del proceso: registre el nombre y firma de
la persona encargada del proceso.
Aprobación de la persona responsable del proceso: registre el nombre y firma
de la persona responsable del proceso.
Una vez completada la Matriz N° 1: Identificación del riesgo, se deberá proceder
con el llenado de la Tabla N° 1: Valoración del nivel de riesgo inherente. A
continuación, el detalle.
41
3. Valoración del nivel de riesgo inherente
Para hacer la valoración del nivel de riesgo inherente se hará uso de la Tabla N° 1:
Valoración del nivel de riesgo inherente, la cual se presenta en seguida.
Tabla N° 1: Valoración del nivel de riesgo inherente
La valoración del nivel de riesgo inherente se deberá trabajar directamente en la
dicha tabla; además para realizar tal ejercicio, se deberán considerar tres tablas
más; a saber: Tabla N° 2: Criterios para la probabilidad de ocurrencia, la Tabla N°
3: Criterios para el impacto; así como la información suministrada en la Tabla N° 4:
Nivel de riesgo inherente.
Una vez dicho esto se puede proceder a realizar el llenado de la Tabla N° 1:
Valoración del nivel de riesgo inherente, con la colaboración del grupo de personas
expertas, quienes en una sesión de trabajo conjunta harán la valoración del nivel
riesgo inherente.
En el caso del INEC al no existir datos históricos que permitan valorar los riesgos,
dichas valoraciones se deberán realizar a partir de estimaciones subjetivas que
reflejan el grado de convicción (de un individuo o grupo) de que podrá ocurrir un
evento o resultado particular.
Como se adelantó la valoración del nivel de riesgo inherente se realiza en la Tabla
N° 1, en la cual (automáticamente) aparecerán enlistados en la primera columna los
riesgos que fueron identificados anteriormente en la Matriz N° 1. A la vez la tabla
contiene un espacio para que las personas expertas valoren la probabilidad y el
A B C D E F Valor Calificación
Probabilidad
Impacto
Nivel de riesgo inherente
Valoración del nivel de
riesgo inherente por parte
de las personas expertas
MediciónRiesgo
42
impacto y un último espacio denominado medición, en el cual se reflejará
(automáticamente) el valor, la calificación y el nivel de riesgo inherente resultante
producto de la medición realizada.
4. Instructivo para el llenado de la Tabla N° 1: Valoración del nivel
de riesgo inherente
A continuación, se detalla cada una de los ítems o columnas que están contenidas
en la Tabla N° 1: Valoración del nivel de riesgo inherente.
Riesgo: la información sobre los riesgos se registra automáticamente en esta
columna proveniente de la Matriz N° 1: Identificación del riesgo.
Valoración del nivel de riesgo inherente por parte de las personas expertas:
cada una de las personas expertas estará representada por las letras A, B, C, D, E,
F. Esto quiere decir que la valoración de la probabilidad de ocurrencia y del impacto,
podrá ser realizada como mínimo por dos personas y como máximo por seis
personas expertas.
Cada una de estas personas expertas, de acuerdo con su experiencia y
conocimiento del proceso en cuestión, asignará un valor tanto a la probabilidad
como al impacto, según los criterios establecidos en la Tabla N° 2 y en la Tabla N°
3, que encontrará más adelante. Estas personas expertas deberán ser las mismas
que trabajaron la Matriz N° 1.
Probabilidad: es la medida o descripción de la posibilidad de ocurrencia de un
evento. Para cada uno de los riesgos se deberá definir y registrar en los espacios
correspondientes, el valor (código numérico) correspondiente al nivel de la
probabilidad de ocurrencia del evento. (Ver Tabla N° 2: Criterios para la probabilidad
de ocurrencia).
Para determinar el nivel de la probabilidad tome en cuenta los siguientes criterios:
43
Rara vez: probabilidad casi nula de que ocurra el evento (1 vez al año).
Poco probable: probabilidad baja de que ocurra el evento (2 a 3 veces al
año).
Probable: probabilidad media de que ocurra el evento (4 a 6 veces al año).
Muy probable: probabilidad media-alta de que ocurra el evento (7 a 11 veces
al año).
Seguro: probabilidad alta de que ocurra el evento (12 o más veces al año).
A continuación, se presenta la Tabla N° 2: Criterios para la probabilidad de
ocurrencia, que contiene el valor que le corresponde (código numérico) a cada uno
de los niveles de la probabilidad de ocurrencia.
Tabla N° 2: Criterios para la probabilidad de ocurrencia
Criterios para la probabilidad de ocurrencia
Valor Nivel
1 Rara vez
2 Poco probable
3 Probable
4 Muy probable
5 Seguro
Impacto: se refiere al producto de un evento, expresado cualitativa o
cuantitativamente. Refleja este una pérdida, perjuicio o desventaja. Para cada uno
de los riesgos se deberá definir y registrar en los espacios correspondientes, el valor
(código numérico) correspondiente al nivel de impacto. (Ver Tabla N° 3: Criterios
para el impacto).
Para determinar el nivel del impacto tome en cuenta los siguientes criterios:
44
Insignificante: mínima afectación al normal desempeño de los procesos. La
ocurrencia del evento no tendría efecto sobre sus objetivos. El incidente no tiene
consecuencia alguna.
Bajo: afectación menor al desempeño de los procesos. La ocurrencia del evento
causaría incrementos bajos en términos de tiempo. Los requerimientos y
objetivos pueden ser alcanzados. El incidente tiene una consecuencia
estrictamente interna y de bajo impacto.
Moderado: mediana afectación al normal desempeño de los procesos. La
ocurrencia del evento causaría incrementos en términos de tiempo, pero los
objetivos importantes pueden aún lograrse. El incidente tiene un impacto visible
desde fuera del área (otras áreas de la institución, usuarios o personas
interesadas internas), pero no es significativo en la persona usuaria externa.
Significativo: alta afectación al normal desempeño de los procesos. La
ocurrencia del evento causaría incrementos considerables en términos de
tiempo, que amenazan el alcance de objetivos intermedios. El incidente afecta
en forma significativa el servicio al cliente; afecta áreas de la institución,
usuarios, personas interesadas y personas usuarias en general. Se podrían
perder oportunidades del negocio importantes o causar la pérdida de clientes.
Crítico: afectación total al desempeño de los procesos. La ocurrencia del evento
causaría fallas, pérdidas o consecuencias inaceptables para el logro de los
objetivos fundamentales. Se afecta severamente el servicio al cliente, lo que
destruye la confianza de las partes afectadas (otras áreas del negocio, clientes,
personas interesadas y las personas usuarias en general).
A continuación, se presenta la Tabla N° 3: Criterios para el impacto, que contiene el
valor que le corresponde (código numérico) a cada uno de los niveles del impacto.
45
Tabla N° 3: Criterios para el impacto
Criterios para el impacto
Valor Nivel
1 Insignificante
2 Bajo
3 Moderado
4 Significativo
5 Crítico
Valor: se calcula automáticamente en las celdas respectivas, de acuerdo con los
valores que le fueron asignados a la probabilidad y al impacto, por parte de las
personas expertas. En el caso de la probabilidad y el impacto el sistema calculará y
asignará un promedio en cada caso, y en el caso del nivel de riesgo inherente el
sistema tomará los promedios asignados anteriormente, los concatenará y asignará
en el espacio correspondiente.
Calificación: considerando los valores resultantes en la columna “valor”, quedará
asignado automáticamente el nivel de probabilidad de ocurrencia obtenido; ya sea
rara vez, poco probable, probable, muy probable o seguro; así como el nivel de
impacto resultante; el cual puede ser insignificante, bajo, moderado, significativo o
crítico.
Nivel de riesgo inherente: de igual forma, considerando los valores resultantes en
la columna “valor”, quedará asignado automáticamente el nivel de riesgo inherente,
el cual puede ser bajo, moderado, considerable o alto. Este corresponde al riesgo
intrínseco de cada actividad sin tener en cuenta los controles que se hagan en su
interior, es propio del trabajo o proceso; el riesgo inherente se determina a partir del
análisis de la probabilidad de ocurrencia del evento y de la magnitud de su
consecuencia potencial (impacto) sobre el cumplimiento de los objetivos fijados.
Así los valores resultantes del cruce de la probabilidad y el impacto, se vinculan con
las categorías del “nivel de riesgo inherente”, según se indica en la tabla N° 4.
46
Tabla N° 4: Nivel de riesgo inherente
Tabla de cálculo para el nivel de riesgo inherente
Valor Nivel de riesgo inherente
Valor del nivel de riesgo inherente
11, 12, 21, 22, 31
Bajo 1
13, 14, 23, 32, 41, 51
Moderado 2
15, 24, 33, 34, 42, 43, 52
Considerable 3
25, 35, 44, 45, 53, 54, 55
Alto 4
Los valores asociados a cada categoría del nivel de riesgo inherente se obtienen de
la siguiente matriz:
Probabilidad / Impacto Insignificante Bajo Moderado Significativo Crítico
1 2 3 4 5
Seguro 5 51 52 53 54 55
Muy probable 4 41 42 43 44 45
Probable 3 31 32 33 34 35
Poco probable 2 21 22 23 24 25
Rara vez 1 11 12 13 14 15
5. Valoración de la madurez de los controles existentes
Una vez identificado el nivel de riesgo inherente se procede a analizar y valorar la
madurez de los controles existentes previamente documentados para el proceso,
mismos que se deben consultar en la ficha de cada proceso.
Puede ser que para el riesgo identificado no se haya definido ningún control previo
o que el mismo sea deficiente.
47
El control documentado permite tener un parámetro con qué comparar los
resultados obtenidos con respecto a lo planificado y evidencia la implementación de
las actividades realizadas.
La valoración de la madurez de los controles existentes se realiza en la Tabla N° 5,
en la cual se puede encontrar: en la primera columna el riesgo identificado en la
Matriz N° 1, en la segunda columna el valor del nivel de riesgo inherente, en la
tercera columna el nivel de riesgo inherente, en la cuarta columna un espacio para
escribir el control existente para ese riesgo (descrito en la ficha de cada proceso);
en la quinta columna encontrará un espacio para que las personas expertas valoren
el control existente; en la penúltima columna encontrará la medición resultante de
la madurez de los controles existentes y en la última columna hallará la medición
del nivel de riesgo residual que se obtiene de cruzar el nivel de riesgo inherente con
la valoración de la madurez de los controles existentes.
Tabla N° 5: Valoración de la madurez de los controles existentes
6. Instructivo de llenado de la Tabla N° 5: Valoración de la madurez
de los controles existentes.
Riesgo: se registra automáticamente el riesgo proveniente de la Matriz N° 1.
Valor del nivel de riesgo inherente: considerando el nivel de riesgo inherente se
asigna automáticamente un valor de 1 a 4 como se puede observar en la tabla N°
4.
Nivel de riesgo inherente: se registra automáticamente el riesgo proveniente de la
Tabla N° 1 Valoración del nivel de riesgo inherente.
A B C D E F Promedio Calificación Valor Nivel de riesgo residual
Medición del riesgo residualRiesgo
Valoración de los controles
existentes por parte de las
personas expertas
Control existente sobre
el riesgo
Medición de la madurez de los
controles existentesNivel de riesgo
inherente
Valor del
nivel de
riesgo
inherente
48
Control existente sobre el riesgo: se deberá registrar (anotar) el tipo de control
existente sobre el riesgo, tomado de la ficha de proceso. Como se mencionó
previamente puede ser que para el riesgo identificado no se haya definido ningún
control previo.
Valoración de los controles existentes por parte de las personas expertas:
cada una de las personas expertas estará representada por las letras A, B, C, D, E,
F. La valoración de los controles existentes podrá ser realizada como mínimo por
dos personas y como máximo por seis personas expertas.
Cada una de estas personas expertas, de acuerdo con su experiencia y
conocimiento del proceso en cuestión, valorará cada uno de los controles
existentes, asignando un valor (entre 1 y 5), según los criterios establecidos en la
Tabla N° 6: Criterios para valorar la madurez de los controles existentes. Estas
personas expertas deberán ser las mismas que trabajaron la Matriz N° 1.
Para determinar la calidad del control existente tome en cuenta las siguientes
definiciones:
Sin controles: no hay controles definidos, no se han diseñado o existen, pero
no se aplican. Esta situación se califica como “no confiable”.
Controles débiles: los controles no alcanzan un estándar aceptable, dado que
existen muchas debilidades o deficiencias. Los controles no suministran una
garantía razonable de que los objetivos serán alcanzados. Se considera como
una situación “informal” en la que existen y están diseñadas las actividades de
control, pero no se aplica en forma apropiada y no están adecuadamente
documentadas.
Controles adecuados: los controles son buenos, pero se identifican algunas
debilidades que no representan una exposición seria al riesgo y por lo tanto se
pueden mejorar para tener una garantía razonable de que los objetivos serán
alcanzados.
49
Controles satisfactorios: los controles son fuertes y se aplican
apropiadamente, suministrando un nivel razonable de garantía de que los
objetivos están siendo alcanzados. A esta situación también se denomina
“control supervisado” en la que existen controles estandarizados con pruebas
periódicas de diseño y operación eficaz, con presentación de información a la
jefatura.
Controles excelentes: los procesos de control cumplen con las mejores
prácticas y con los mecanismos adecuados de seguimiento. Se considera como
una situación “optimizada” de controles internos integrados con supervisión y
seguimiento en tiempo real por el responsable y con mejoras continuas. El riesgo
está controlado porque no se evidencian debilidades en el control y son muy
confiables.
De acuerdo con la descripción anterior y teniendo en cuenta los valores asignados
en la Tabla N° 6 Criterios para valorar la madurez de los controles existentes, asigne
el valor según corresponda.
Tabla N° 6: Criterios para valorar la madurez de los controles existentes.
Criterios para valorar la madurez de los controles existentes
Valor Criterios
1 Sin controles
2 Controles débiles
3 Controles adecuados
4 Controles satisfactorios
5 Controles excelentes
Promedio: se calcula automáticamente en las celdas respectivas, de acuerdo con
los valores que le fueron asignados a los controles existentes, por parte de las
personas expertas.
50
Calificación: una vez haya sido calculado el promedio del control existente,
automáticamente se calculará la calificación de la madurez del control (sin controles,
controles débiles, controles adecuados, controles satisfactorios, controles
excelentes), en las celdas respectivas.
Valor: es el resultado de cruzar el valor del nivel de riesgo inherente con el valor
resultante de la valoración de la madurez de los controles existentes por parte de
las personas expertas.
Nivel de riesgo residual: se calcula automáticamente a partir de los resultados
obtenidos en la columna valor.
El nivel de riesgo residual se calcula automáticamente a partir de la siguiente matriz:
Nivel de riesgo inherente / Madurez del
control existente
Sin controles
Controles débiles
Controles adecuados
Controles satisfactorios
Controles excelentes
1 2 3 4 5
Alto 4 41 42 43 44 45
Considerable 3 31 32 33 34 35
Moderado 2 21 22 23 24 25
Bajo 1 11 12 13 14 15
El riesgo residual será ubicado dentro de uno de los valores propuestos en la Tabla
N° 7: Nivel de riesgo residual, que se presenta a continuación, determinando si el
riesgo residual es bajo, moderado, considerable o alto.
51
Tabla N° 4: Nivel de riesgo residual
Tabla de cálculo para el nivel de riesgo residual
Valor Nivel de riesgo residual
12, 13, 14, 15, 24, 25, 35, 45
Bajo
23, 33, 34, 44 Moderado
11, 22, 32, 43 Considerable
21, 31, 41, 42 Alto
52
7. Matriz N° 2: Análisis y evaluación de factores de riesgo.
El objetivo del análisis es separar los riesgos de la zona baja considerados como
aceptables de la zona de alto riesgo considerado como no aceptables y proveer
datos para la posterior decisión de administrar o tratar el riesgo.
Si el nivel de riesgo residual es bajo, los riesgos podrían estar dentro de una
categoría aceptable y no se requeriría un tratamiento del riesgo, sin embargo, se
deben tomar las medidas necesarias para que los riesgos sean monitoreados y
revisados periódicamente para asegurar que se mantienen aceptables. Si el nivel
de riesgo residual cae en una categoría moderado, considerable y alto se debe
establecer un plan de mejora para atender ese riesgo, tal como se verá más
adelante.
Los objetivos y metas de la institución ayudan a definir los criterios mediante los
cuales se decide si un riesgo es aceptable o no, y constituye la base para las
opciones de tratamiento de esos riesgos. La decisión de tratar un riesgo o no
también debe valorarse considerando la necesidad de balancear costos, beneficios
y oportunidades.
También esas decisiones de aceptabilidad o de administración del riesgo pueden
evaluarse con base en criterios operativos, técnicos, financieros, legales, sociales,
entre otros.
En el análisis y evaluación de los factores de riesgo, Matriz N° 2, se va a determinar
el nivel de riesgo inherente, identificación y valoración del control existente
relacionado al riesgo, el nivel de riesgo residual y el resultado de la evaluación.
53
Proceso:
Propósito del proceso:
Fecha:
Factores de riesgo ¿Por
qué puede suceder?Probabilidad Impacto
Nivel de
riesgo
inherente
Control
existente sobre
el riesgo
Valoración del
control
existente
Nivel de
riesgo residualCategoría de riesgo Tratamiento
Grado en el que la
institución puede
afectar los factores
de riesgo
Grado de
importancia de la
actividad afectada
Justificación
Personas expertas
Validación de la persona
encargada del proceso
Para ingresar información
Se ingresa automáticamente
Matriz N° 2: Análisis y evaluación de factores de riesgo
Aprobación de la persona responsable del proceso
Menú principal
54
8. Instructivo de llenado de la Matriz N° 2: Análisis y evaluación del
riesgo
Las primeras siete columnas de la matriz se llenan automáticamente según el
detalle que se presenta a continuación:
Proceso: este campo se llena automáticamente y proviene de la Matriz N° 1:
Identificación del riesgo.
Propósito: este campo se llena automáticamente y proviene de la Matriz N° 1:
Identificación del riesgo.
Fecha: fecha de llenado de la matriz.
Factores de riesgo: este campo se llena automáticamente y proviene de la Matriz
N° 1: Identificación del riesgo.
Probabilidad: este campo se llena automáticamente y proviene de la Tabla N° 1:
Valoración del nivel de riesgo inherente.
Impacto: este campo se llena automáticamente y proviene de la Tabla N° 1:
Valoración del nivel de riesgo inherente.
Nivel de riesgo inherente: este campo se llena automáticamente y proviene de la
Tabla N° 1: Valoración del nivel de riesgo inherente.
Control existente sobre el riesgo: este campo se llena automáticamente y
proviene de la Tabla N° 5: Valoración de la madurez de los controles existentes.
Valoración del control existente: este campo se llena automáticamente y proviene
de la Tabla N° 5: Valoración de la madurez de los controles existentes.
55
Nivel de riesgo residual: este campo se llena automáticamente y proviene de la
Tabla N° 5: Valoración de la madurez de los controles existentes.
Las siguientes columnas han de ser llenadas por las personas encargadas del
proceso:
Categoría del riesgo: se debe determinar cuál es el resultado de la evaluación del
riesgo, indicando en este espacio si el riesgo es aceptable o no aceptable, según lo
establecido anteriormente en el Apartado 7. Parámetros de aceptabilidad de
riesgos, (ver Cuadro N° 1: Clasificación de los riesgos por zona de riesgo, nivel de
riesgo, aceptabilidad y resultado de la evaluación).
Al decir que el nivel de riesgo residual es aceptable se refiere a que este siempre
está presente en la actividad del proceso, pero se está controlando de manera
adecuada lo que implica que se reduce la probabilidad del evento y el impacto que
puede generar a la hora de materializarse. No aceptable en cambio, se refiere a
tomar medidas para reducir el nivel de riesgo residual en una, dos o tres posiciones.
Es preciso analizar las diferentes opciones, tomando en cuenta los siguientes
elementos:
¿Los riesgos son técnicamente factibles de administrar o tratar?
¿Cuál es el costo de implementar un plan de mejora?
¿Se cuenta con alguna normativa o instrumentos de otra índole?
¿Cuál es el aporte que hará al cumplimiento de los objetivos estratégicos?
Tratamiento: las opciones presentadas para la administración del riesgo residual
se describen a continuación.
Evitar: esta opción es la menos viable porque evitar riesgos
inadecuadamente puede ocurrir por una actitud de aversión al riesgo y esto
puede aumentar la significación de otros.
Reducir: implica tomar medidas para reducir la probabilidad (medidas de
prevención) o reducir el impacto (medidas de protección). Al disminuir uno o
56
ambos factores se estará reduciendo el nivel de riesgo inherente. Esta
medida generalmente involucra la optimización de los procesos o la mejora
en los controles.
Transferir: esta opción conlleva a que otra instancia soporta o comparte el
riesgo, esta se da cuando existen contratos con otras partes, por lo que la
transferencia del riesgo, reducirá su impacto en la institución, pero no
disminuye el nivel de riesgo general. Hay que tener en cuenta no obstante
que cuando el riesgo se transfiere total o parcialmente, la Institución ha
adquirido un nuevo riesgo, este se refiere a que la instancia que soporta o
comparte el riesgo no sea capaz de administrarlo adecuadamente.
Retener: seleccione esta opción si el riesgo es aceptable, consiste en no
aplicar los otros tipos de medidas, el riesgo está presente en la actividad,
pero de una manera controlada.
Se deberá anotar en el espacio correspondiente la opción elegida para tratar el
riesgo en cuestión.
Grado en el que la institución puede afectar los factores riesgos: esta opción
establece un nivel de conformidad con el criterio de las personas expertas, tomando
en consideración los recursos disponibles en el proceso para implementar la opción
de administración del riesgo. Asigne alto, medio o bajo según corresponda.
Grado de importancia de la actividad afectada: no todas las actividades tienen
un mismo nivel de importancia, dentro del proceso puede encontrar actividades
críticas y no críticas, esta opción permite priorizar las actividades según su nivel de
importancia. Asigne alto, medio o bajo según corresponda.
Justificación: para respaldar el resultado de la evaluación es necesario hacer una
justificación que permita aclarar la decisión sobre si el riesgo es aceptable o no
aceptable.
57
Adicionalmente encontramos al pie de la matriz los siguientes campos:
Personas expertas: este campo se llena automáticamente y proviene de la Matriz
N° 1: Identificación del riesgo.
Validación de la persona encargada del proceso: este campo se llena
automáticamente y proviene de la Matriz N° 1: Identificación del riesgo.
Aprobación de la persona responsable del proceso: este campo se llena
automáticamente y proviene de la Matriz N° 1: Identificación del riesgo.
Una vez efectuado el análisis y evaluación de los factores de riesgo se procede a
realizar el plan de mejora para el tratamiento del riesgo.
9. Matriz N° 3: Tratamiento del riesgo (plan de mejora)
Este paso involucra una gama de opciones disponibles para tratar los riesgos
preparando el plan para su administración y para implementar esas mejoras con el
fin de disminuir el nivel de riesgo identificado en la etapa anterior.
A continuación, se presenta la Matriz N° 3: Tratamiento del riesgo (plan de mejora).
58
Proceso:
Propósito del proceso:
Fecha:
Factores de riesgo ¿Por qué
puede suceder?
Nivel de
riesgo
residual
Plan de mejora
para
tratar el riesgo
Insumos para el
plan de mejoraCosto estimado
Resultado
esperado
Relación Costo /
Beneficio
Responsable de
la ejecución
Responsable del
monitoreo
Fecha de
cumplimiento
Personas expertas
Validación de la persona
encargada del proceso
Para ingresar información
Se ingresa automáticamente
Matriz N° 3: Tratamiento del riesgo (plan de mejora)
Aprobación de la persona
responsable del proceso
Menú principal
59
10. Instructivo de llenado de la Matriz N° 3: Tratamiento del riesgo
(plan de mejora)
Proceso: este campo se llena automáticamente y proviene de la Matriz N° 1:
Identificación del riesgo.
Propósito: este campo se llena automáticamente y proviene de la Matriz N° 1:
Identificación del riesgo.
Fecha: fecha de llenado de la matriz.
Factores de riesgo: este campo se llena automáticamente y proviene de la Matriz
N° 1: Identificación del riesgo.
Nivel de riesgo residual: este campo se llena automáticamente y proviene de la
Matriz N° 2: Análisis y evaluación de los factores de riesgo.
Plan de mejora para tratar el riesgo: la mejora para tratar el riesgo puede definirse
sobre la base del alcance de la reducción del mismo, los costos y beneficios. La
selección de la opción más apropiada involucra hacer un balance entre el costo y el
beneficio, pues lo que se busca con esto es tomar acciones que representen un
mayor beneficio a un menor costo. Se debe, considerar la viabilidad institucional
para llevarlo a cabo, no pretenda hacer un plan de mejora no viable.
También es importante tomar en cuenta la magnitud de esa mejora, principalmente
por el tiempo que hay que dedicarle.
Tenga en cuenta que el planteamiento de la mejora para tratar el riesgo debe estar
en función de los factores de riesgos identificados en la Matriz N°1: Identificación
del riesgo. Anote las acciones según corresponda.
60
Insumos para el plan de mejora: son los recursos necesarios para llevar a cabo
el plan de mejora, pueden ser materiales, humanos y/o económicos. Anote según
corresponda.
Costo estimado: calcule el monto en colones que puede costar el plan de mejora
para tratar el riesgo y anote según corresponda.
Resultado esperado: es el resultado que se espera al aplicar el plan de mejora
para tratar el riesgo, puede entenderse como el beneficio esperado después de
aplicar el plan. Anote según corresponda.
Relación costo / beneficio: esta opción tiene por objetivo mostrar en forma
cuantitativa la relación que existe entre los potenciales beneficios y los costos de
aplicar una medida de tratamiento de riesgos. Para ello, se calculan los ingresos
esperados de la mejora y se dividen entre los egresos actualizados de la misma; si
la relación es mayor que uno, los beneficios exceden los costos y si es menor que
uno, los costos exceden los beneficios.
En esta primera etapa de la implementación del SEVRI la Relación costo / beneficio
se asignará de forma cualitativa, siguiendo el criterio de las personas expertas;
posteriormente se implementará el cálculo matemático.
Responsable de la ejecución: la responsabilidad por el tratamiento del riesgo debe
ser llevada a cabo por aquellas personas que pueden controlar el riesgo desde la
actividad en el proceso. Anote el nombre de la persona responsable según
corresponda.
Responsable del monitoreo: persona responsable de velar por que el plan de
mejora se lleve a cabo según lo acordado y en la fecha establecida. Debe velar por
el compromiso individual adquirido en cada uno de los planes de mejora,
monitoreando de acuerdo a las especificaciones. Anote el nombre de la persona
responsable según corresponda.
61
Fecha de cumplimiento: fecha o momento previsto en el cual debe estar listo el
plan de mejora para tratar el riesgo. Anote según corresponda.
Personas expertas: este campo se llena automáticamente y proviene de la Matriz
N° 1: Identificación del riesgo.
Validación de la persona encargada del proceso: este campo se llena
automáticamente y proviene de la Matriz N° 1: Identificación del riesgo.
Aprobación de la persona responsable del proceso: este campo se llena
automáticamente y proviene de la Matriz N° 1: Identificación del riesgo.
Por último, para hacer el monitoreo del plan de mejora se ha definido una actividad
llamada “monitoreo del plan de mejora”, la cual se detalla a continuación.
62
11. Matriz N° 4: Monitoreo del plan de mejora
Es necesario realizar un monitoreo sobre la implementación del plan de mejora para
medir la efectividad de aplicación de cada una de las acciones definidas en la Matriz
N° 3: Tratamiento del riesgo (plan de mejora).
Las medidas deben ser monitoreadas para asegurar que las circunstancias no
alteren las prioridades sobre el tratamiento de los riesgos identificados.
Es importante entonces estar revisando la vigencia del plan de mejora porque los
riesgos no se mantienen estáticos, de ahí que una vez establecido el plan, debe
ejecutarse en poco tiempo porque las probabilidades o consecuencias de un
resultado pueden alterar los factores valorados anteriormente.
La persona encargada del monitoreo del plan de mejora del SEVRI debe hacer un
registro regular de los datos en la Matriz N° 4: Monitoreo del plan de mejora, para
que la persona encargada del seguimiento pueda compilar los datos y elaborar un
informe de seguimiento de los planes de mejora.
Para el seguimiento de los planes de mejora se diseñó la Matriz N° 4: Monitoreo del
plan de mejora, donde se mide el estado y nivel de cumplimiento del plan, el medio
de verificación para validar ese estado y la justificación del estado de cumplimiento.
63
Proceso:
Propósito del proceso:
Fecha:
Factores de riesgo
Nivel de
riesgo
residual
Plan de mejora
para
tratar el riesgo
Resultado
esperado
Estado
cumplimiento
Nivel de
cumplimientoMedio de verificación
Justificación del estado
de cumplimiento
Personas expertas
Validación de la persona
encargada del proceso
Para ingresar información
Se ingresa automáticamente
Matriz N° 4: Monitoreo del plan de mejora
Aprobación de la persona responsable
del proceso
Menú principal
64
12. Instructivo de llenado de la Matriz N° 4: Monitoreo del plan de
mejora
Proceso: este campo se llena automáticamente y proviene de la Matriz N° 1:
Identificación del riesgo.
Propósito del proceso: este campo se llena automáticamente y proviene de la
Matriz N° 1: Identificación del riesgo.
Fecha: fecha de llenado de la matriz.
Factores de riesgo: este campo se llena automáticamente y proviene de la Matriz
N° 1: Identificación del riesgo.
Nivel de riesgo residual: este campo se llena automáticamente y proviene de la
Matriz N° 2: Análisis y evaluación de factores de riesgo.
Plan de mejora para tratar el riesgo: este campo se llena automáticamente y
proviene de la Matriz N° 3: Tratamiento del riesgo (plan de mejora).
Resultado esperado: este campo se llena automáticamente y proviene de la Matriz
N° 3: Tratamiento del riesgo (plan de mejora).
Estado de cumplimiento: para medir el estado de cumplimiento del plan de mejora
se han establecido tres niveles.
No ejecutada: la mejora no se ha implementado. En el campo justificación
del estado de cumplimiento se debe anotar la razón por la cual la mejora no
ha sido ejecutada.
En proceso: la mejora ya se ha iniciado, pero puede ser que muestre un
avance satisfactorio o insatisfactorio de acuerdo con la fecha de
65
cumplimiento establecida en la Matriz N° 3: Tratamiento del riesgo (plan de
mejora).
Ejecutada: la mejora ya se concretó.
Anote el estado de cumplimiento según corresponda.
Nivel de cumplimiento: si la mejora muestra un estado de cumplimiento “en
proceso”, se registra “satisfactorio” o “insatisfactorio”, dependiendo del avance que
se tenga del tratamiento del riesgo (plan de mejora). De lo contrario, si el estado de
cumplimiento es “no ejecutada” o “ejecutada” no es necesario registrar nada en el
nivel de cumplimiento, porque “no ejecutada” representa un nivel de cumplimiento
de 0% y “ejecutada” representa un nivel de cumplimiento del 100%. Si la mejora
muestra un nivel de cumplimiento “insatisfactorio” debe anotar en el campo
justificación del estado de cumplimiento si la mejora será concluida en la fecha
planificada o por el contrario se requiere reprogramar la fecha de cumplimiento.
Medio de verificación: este espacio se utiliza cuando la mejora ha sido ejecutada
en un 100%. El medio de verificación es una referencia, procedimiento, instructivo,
formato, registro o cualquier otro documento que haga constancia del cumplimiento
de la mejora, anote el medio de verificación según corresponda.
Justificación del estado de cumplimiento: se utiliza para anotar alguna
observación con respecto al estado de cumplimiento. Cuando la mejora está en
estado de cumplimiento “no ejecutada”, es un requisito registrar una justificación del
porqué la misma no ha dado inicio.
Personas expertas: este campo se llena automáticamente y proviene de la Matriz
N° 1: Identificación del riesgo.
Validación de la persona encargada del proceso: este campo se llena
automáticamente y proviene de la Matriz N° 1: Identificación del riesgo.
66
Aprobación de la persona responsable del proceso: este campo se llena
automáticamente y proviene de la Matriz N° 1: Identificación del riesgo.
Una vez finalizado el proceso introduzca nuevamente el archivo en la carpeta
compartida. Ver Anexo N° 2: Ejemplo de llenado de Matriz del SEVRI
Con el propósito de tener una visión general de la metodología del SEVRI y facilitar
la comprensión del llenado de las matrices, refiérase al Anexo N° 3 Diagrama de la
metodología del SEVRI.
67
13. Registro de la materialización del riesgo
La materialización de un evento ocurre cuando uno de los factores de riesgo
provocó que se cumpla el riesgo identificado. Dicho en otras palabras, la
probabilidad se convirtió en realidad y esto puede generar una serie de
consecuencias en el proceso, conocidos como daño o pérdida, que se traduce en
el no cumplimiento de los objetivos y metas de la Institución.
En ocasiones pese a que los riesgos se han identificado como “aceptables” y están
administrados con medidas para su mitigación, estos se materializan, por lo que se
deben tomar medidas para actuar pronto, disminuir su impacto y evitar que
situaciones como esta se repitan en el futuro.
Es necesario entonces disponer de un mecanismo que permita a la Institución llevar
un registro de los eventos que se materializan con el objetivo de gestionar ese riesgo
y recuperar de manera parcial o total los daños o las pérdidas causados por el
evento.
Para tal fin, se elaboró una plantilla que facilita la identificación de los riesgos
materializados, su descripción, causas, consecuencias, producto o servicio
afectado, la clasificación en la estructura de riesgo, el tipo de pérdida, así como su
registro.
A continuación, se presenta el formato PLAN-RIES-FO-02 Registro de
materialización de riesgos.
68
Proceso
Actividad
Día Mes Año Hora Día Mes Año Hora Día Mes Año Hora
SI NO
SI NO
Fecha de aprobación:
Elaborado y validado por Aprobado por Recibido por
Fecha de recibido:Fecha de elaboración
y validación
PLAN-RIES-FO-02
1.0
31/03/2018
Descripción del evento
ConsecuenciasFactores de riesgo
¿El evento se ha materializado anteriormente?
Rige a partir de:
Registro de materialización de riesgos Versión:
Código:
¿El evento se ha identificado en la matriz N° 1 Identificación del riesgo?
Fecha y hora de detección del evento Fecha y hora inicio del evento Fecha y hora finalización del evento
Producto o servicio afectado
Registro de la pérdida
Clasificación en la estructura de riesgo
69
14. Instructivo de llenado del Registro de materialización de
riesgos
Proceso: transcribir de la ficha de proceso el nombre del proceso al cual se va a
aplicar el SEVRI.
Actividad: transcribir del diagrama de flujo la actividad en la cual se detectó la
materialización de un riesgo.
Fecha y hora de detección del evento: fecha y hora que se detectó la
materialización de un riesgo.
Fecha y hora de inicio del evento: fecha y hora que inició el riesgo.
Fecha de finalización del evento: fecha y hora que finalizó el riesgo.
¿El evento se ha identificado en la matriz N° 1 Identificación del riesgo?:
responda a la pregunta y seleccione (con una equis) “SI”; cuando el riesgo se ha
identificado en la matriz N° 1, o “NO” cuando el riesgo no se ha identificado.
¿El evento se ha materializado anteriormente?: responda a la pregunta y
seleccione (con una equis) “SI”; cuando el riesgo se ha materializado, o “NO”
cuando el riesgo no se ha materializado.
Descripción del evento: para llenar este campo, refiérase al punto riesgo al punto
2, Instructivo de llenado de la Matriz N° 1 Identificación del riesgo del capítulo VII,
Implementación del SEVRI.
Factores de riesgo: para llenar este campo, refiérase al punto riesgo al punto 2,
Instructivo de llenado de la Matriz N° 1 Identificación del riesgo del capítulo VII,
Implementación del SEVRI.
70
Consecuencias: para llenar este campo, refiérase al punto riesgo al punto 2,
Instructivo de llenado de la Matriz N° 1 Identificación del riesgo del capítulo VII,
Implementación del SEVRI.
Producto o servicio afectado: anote el producto o servicio afectado con la
materialización del riesgo.
Clasificación en la estructura de riesgo: seleccione el tipo de riesgo según la
estructura de riesgos del INEC.
Registro de la pérdida: cuantifique, describa y registre la pérdida que se da por la
materialización de un riesgo.
Elaborado y validado por: registre el nombre y firma de la persona encargada del
proceso que elaboró y validó el registro de materialización de riesgos.
Fecha de elaboración y validación: anote la fecha de elaboración y validación.
Aprobado por: registre el nombre y firma de la persona responsable del proceso
que aprobó el registro de materialización de riesgos.
Fecha de aprobación: anote la fecha de aprobación.
Recibido por: registre el nombre y firma de la persona en la Unidad de Planificación
Institucional que recibió el registro de materialización de riesgos.
Fecha de recibido: anote la fecha de recibido del registro de materialización de
riesgos.
71
15. Documentación
Cada una de las etapas del proceso del SEVRI debe documentarse en las cuatro
matrices de riesgo, esta documentación proveerá información del desarrollo de la
identificación y análisis del riesgo, así como del plan de mejora y monitoreo.
También provee información base para posteriores aplicaciones del SEVRI.
En la carpeta Sistema Específico de Valoración de Riesgos ubicado en el servidor
institucional (file-server), se coloca la información generada por el SEVRI,
específicamente: marco normativo, metodología, matrices, monitoreo, informes de
implementación del SEVRI e informes de seguimiento del SEVRI; para asegurar
que toda la documentación esté disponible para las personas colaboradoras de la
Institución.
En la figura 2 se muestra la carpeta Sistema Específico de Valoración de Riesgos
en el servidor institucional (file-server).
Figura 2
Carpeta Sistema Específico de Valoración de Riesgos en el servidor institucional
(file-server)
Fuente: Elaboración Unidad de Planificación Institucional
72
16. Comunicación
Las personas que participan en el proceso y los interesados externos deben tener
información de cada una de las etapas del proceso, de ahí que la comunicación
efectiva asegura que los responsables por implementar la administración de
riesgos, comprenden la base sobre la cual se toman las decisiones y porqué se
requieren ciertas acciones en particular.
Para tal efecto anualmente se realiza un informe sobre la implementación del SEVRI
y un informe sobre el seguimiento y evaluación de los planes de mejora, estos
informes son conocidos por el Despacho gerencial y por el Consejo Directivo, para
posteriormente ponerlos a disposición de las personas que participan en el proceso
y las personas interesadas externas por medio del sitio web del INEC. Así mismo,
toda la documentación generada por el SEVRI es puesta a disposición de las
personas colaboradoras del INEC en el servidor institucional, tal y como se comentó
en el capítulo 14 documentación.
Aunado a lo anterior, una vez al año se dan a conocer los resultados de la
implementación, seguimiento y evaluación del SEVRI a las coordinaciones de Área
y Unidad de la institución.
73
IX. Bibliografía
Contraloría General de la República. Ley General de Control Interno N°8292. San
José, Costa Rica, 2002.
Contraloría General de la República. Manual de normas generales de control interno
para la Contraloría General de la República y las entidades y órganos
sujetos a su fiscalización. San José, Costa Rica, 2002.
Contraloría General de la República. Directrices Generales para el establecimiento
y funcionamiento del Sistema Específico de Valoración del Riesgo
Institucional. San José, Costa Rica, 2005.
Superintendencia General de Entidades Financieras. Reglamento sobre
administración integral del riesgo. San José, Costa Rica, 2010.
PROVITITI. (s.f.). PROVITITI RiskModel. Recuperado el 10 de octubre del 2013 de
http://cours2.fsa.ulaval.ca/cours/gsf-
60808/Protiviti%20Risk%20ModelSM.pdf
74
X. Anexos
Anexo N° 1 Definición de cada riesgo
I RIESGOS DEL ENTORNO El riesgo del entorno surge cuando hay condiciones externas que pueden afectar en forma importante en el cumplimiento de los objetivos y servicios del INEC. R001-Demandas / Necesidades de los usuarios: Las necesidades y deseos de la población usuaria cambian y la Institución es consciente de ello. R002-Imagen institucional: La imagen es un factor determinante en la posición de las personas, esta puede verse afectada negativamente en la percepción de la población usuaria potencial o real. R003-Innovación Tecnológica: La Institución aplica los avances en la tecnología en su modelo de negocios para lograr o sostener su ventaja competitiva, o se expone las acciones de sustitutos que sí lo hacen, obteniendo un mejor desempeño en cuanto a calidad, costo y oportunidad en sus productos, servicios y procesos. R004-Sensibilidad: El compromiso excesivo de los recursos y flujos de caja esperados amenaza la capacidad de la Institución para soportar cambios en las fuerzas del entorno que están fuera de su control, por ejemplo, tasas de interés, demanda de la población usuaria, cambios en las regulaciones, entre otros. R005-Disponibilidad de recurso económico: Acceso insuficiente al capital amenaza la capacidad de la Institución de crecer, ejecutar su modelo de desarrollo. R006-Político: Acciones políticas adversas amenazan la Institución. R007-Legal: Es la posibilidad de pérdidas económicas debido a la inobservancia o aplicación incorrecta o inoportuna de disposiciones legales o normativas, instrucciones emanadas de los organismos de control, sentencias, resoluciones jurisdiccionales, administrativas adversas y a la falta de claridad o redacción deficiente en los textos contractuales que pueden afectar la formalización o ejecución de actos, contratos o transacciones. R008-Regulatorio: Regulaciones cambiantes amenazan la posición competitiva de la Institución y su capacidad de operar eficazmente. R009-Pérdida Catastrófica: Un desastre significativo amenaza la habilidad de la Institución de sostener sus operaciones para proporcionar productos y servicios esenciales o recuperar sus costos de operación.
75
II. RIESGOS DE PROCESO Los riesgos de proceso son los riesgos de que los procesos de la institución no estén bien definidos, no estén alineados con los objetivos estratégicos o no satisfagan las necesidades de la población usuaria. 1. RIESGOS DE OPERACIONES El riesgo de que las operaciones sean ineficientes e ineficaces para satisfacer a la población usuaria y alcanzar la calidad deseada y el cumplimiento de los objetivos a tiempo. Es la posibilidad de una pérdida económica debido a fallas o debilidades de procesos, personas, sistemas internos y tecnología, así como eventos imprevistos. R010-Satisfacción del Usuario: La falta de enfoque en la población usuaria por medio de la gestión de los procesos amenaza la capacidad de la Institución para cumplir o exceder las expectativas de la población usuaria. R011-Recursos Humanos: Falta de conocimientos, habilidades, técnicas y experiencias requeridas entre el personal clave de la Institución amenaza la ejecución de su modelo de administración y el logro de sus objetivos críticos. R012-Capital de Conocimiento: Los procesos para capturar e institucionalizar el aprendizaje a través de la Institución son inexistentes o ineficaces, produciendo un tiempo de respuesta lento, costos altos, errores repetidos, lento desarrollo de competencias, restricciones en el crecimiento y personal desmotivados. R013-Desarrollo de nuevos Servicios/Productos: El ineficaz desarrollo de nuevos servicios o productos, amenaza la habilidad de la Institución para cubrir o exceder las necesidades deseos de la población usuaria. R014-Eficiencia: Operaciones ineficientes amenazan la capacidad de la Institución de producir bienes o servicios a un menor costo. R015-Capacidad instalada: La capacidad instalada insuficiente amenaza la habilidad de la Institución de cubrir las demandas de la población usuaria. La capacidad instalada excesiva amenaza la habilidad de la Institución de ser eficiente. R016-Brecha de desempeño: La incapacidad para operar a niveles competitivos en términos de calidad, costo y/o tiempo debido a procesos operativos inferiores y/o a relaciones externas, amenazan la demanda para los productos o servicios de la institución. R017-Tiempo de ciclo: Las actividades innecesarias amenazan la capacidad de la Institución de desarrollar, producir y entregar bienes o servicios de manera oportuna.
76
R018-Abastecimiento: Insumos de buena calidad y a tiempo amenazan la capacidad de la Institución para producir los productos / servicios de calidad y de manera oportuna. R019-Convenios: Convenios con otras entidades externas ineficientes e inefectivas afectan a la institución en la ejecución de esos convenios al no aprovechar las oportunidades y beneficios que se pueden generar a partir de esos acuerdos. R020-Cumplimiento: El incumplimiento con los requerimientos de la población usuaria, políticas y procedimientos organizacionales, leyes y regulaciones pueden producir baja calidad, costos de producción más altos, retrasos innecesarios, entre otros. R021-Interrupción de operaciones: Las interrupciones de operaciones que provienen de la no disponibilidad de insumos, tecnología de información, personal experimentado, instalaciones u otros recursos amenazan la capacidad de la Institución de llevar a cabo sus actividades. R022-Falla de productos / servicios: Productos o servicios defectuosos exponen a la Institución a quejas de los usuarios, pérdidas de ingresos e imagen institucional. R023-Falla en los procesos: procesos inadecuados o insuficientes, procesos mal definidos, falta de controles, entre otros. R024-Obsolescencia / daño en activos fijos: La obsolescencia o el daño en los activos fijos expone a la institución a no poder realizar sus operaciones con eficiencia o eficacia. R025-Medio ambiente: Actividades dañinas al medio ambiente exponen a la Institución a obligaciones por daños personales, daños materiales, costo de reparación y remoción, entre otros. R026-Salud y seguridad ocupacional: No proporcionar un ambiente de trabajo seguro al personal expone la Institución a compensación por daños, pérdida de reputación y otros costos. 2. RIESGOS FINANCIEROS Se relaciona con el flujo de efectivo y los riesgos financieros que no sean manejados eficientemente para maximizar la disponibilidad del efectivo. Se relaciona con las exposiciones financieras de la institución. El manejo del riesgo financiero toca actividades de tesorería, presupuesto, contabilidad y reportes financieros, entre otros.
77
R027-Determinación de costos: Una inadecuada determinación de los costos de proyectos y procesos puede provocar solicitudes incorrectas de fondos, una mala formulación del presupuesto y falta de recursos para terminar las actividades. R028-Tasa de interés: Es la posibilidad de que ocurra una pérdida económica debido a variaciones adversas en las tasas de interés, esto expone a la Institución a mayores costos financieros y menores valores en los activos. R029-Tipo de Cambio: Es la posibilidad de que ocurra una pérdida económica debido a variaciones en el tipo de cambio. R030-Precio de bienes y servicios: Las fluctuaciones en los precios de bienes y servicios exponen a la Institución a diferencias entre lo presupuestado lo ejecutado, provocando deficiencias en los requerimientos de los procesos y proyectos. R031-Instrumentos financieros: La exposición a costos de administración excesivos o pérdidas debido a complejidad o las consecuencias imprevistas de las estructuras de instrumentos financieros. R032-Liquidez: Es la posibilidad de una pérdida económica debido a la escasez de fondos que impediría cumplir las obligaciones en los términos pactados. R033-Costo de Oportunidad: El uso de fondos de una manera que lleva a la pérdida de valor económico, incluyendo tiempo y costos de transacción. R034-Rapidez en realizar transacciones: Los cierres en los estados financieros exponen a un riesgo de incumplimiento de obligaciones o la inadecuada ejecución del presupuesto. R035-Garantías: La pérdida de valor o incapacidad para tomar control de un activo proporcionado a la Institución como colateral. 3. RIESGOS DE DIRECCION Tanto los jefes de Área o Unidad como las demás personas, no son bien dirigidos, no saben qué hacer cuando se les presenta problemas y exceden los límites de sus responsabilidades. R036-Liderazgo: El personal de la Institución no es liderado eficazmente, lo que puede resultar en una falta de dirección, falta de enfoque en el cliente, falta de motivación, falta de credibilidad y falta de confianza en la gerencia. R037-Autoridad/Límite de Autoridad: líneas de autoridad no efectivas pueden causar que los jerarcas y personal hagan cosas que no deben hacer o no dejen de hacer lo que deberían. El no establecer o verificar el cumplimiento de límites en las acciones del personal puede causar que los empleados cometan actos no autorizados o no éticos, o asuman riesgos no autorizados o inaceptables.
78
R038-Indicadores de desempeño: Indicadores de desempeño irreales, mal entendidos, subjetivos o no accionadles pueden causar que jerarcas y personal actúen de manera inconsistente con los objetivos, estrategias y valores de la institución. R039-Disposición al cambio: El personal de la Institución puede implementar mejoras a procesos y productos/servicios lo suficientemente rápido como para guardar el paso con los cambios en el mercado. R040-Comunicaciones: Canales de comunicación ineficaces pueden producir mensajes que son inconsistentes con las responsabilidades autorizadas o los indicadores de desempeño establecidas. 4. RIESGOS DE TECNOLOGIA DE INFORMACION (TI) El riesgo de TI es la posibilidad de pérdidas económicas derivadas de un evento relacionado con el acceso o uso de la tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de la entidad, al atentar contra la confidencialidad, integridad, disponibilidad, eficiencia, confiabilidad y oportunidad de la información. R041-Fallas en los sistemas: Las fallas en los sistemas de información pueden llevar a la institución a pérdidas económicas y no poder cumplir con los compromisos adquiridos por la población usuaria. R042-Relevancia: Información irrelevante creada o resumida por cualquier sistema aplicativo puede afectar negativamente las decisiones. R043-Integridad: Todos los riesgos asociados con la autorización, integridad y exactitud de las transacciones que son ingresadas, procesadas, resumidas y reportadas por los distintos sistemas aplicativos de la empresa. R044-Acceso: El no restringir el acceso a la información (datos o programas) adecuadamente, puede producir el conocimiento y uso no autorizado de información confidencial. La excesiva restricción del acceso a la información, puede impedir que el personal realice sus tareas asignadas eficaz y eficientemente. R045-Disponibilidad: La no disponibilidad de información importante cuando se le necesita, amenaza la continuidad de las operaciones y procesos críticos de la institución. R046-Infraestructura: El riesgo de que la Institución tenga la infraestructura de tecnología de información: hardware, redes, software, procesos y personal; que necesita para soportar eficazmente los requerimientos de información de negocios actuales y futuros, de manera eficaz, a bajo costo, efectiva y bien controlada.
79
R047-Inversión en TI: El riesgo de que el dinero invertido en TI falle en proveer valor (retorno de la inversión) o se gaste de manera excesiva (se desperdicie), considerando el portafolio de inversiones de TI como un todo. R048-Apropiamiento de los proyectos: El riesgo de que los proyectos de TI fracasen en cumplir sus objetivos debido a la falta de responsabilidad y compromiso por parte de sus propietarios. 5. RIESGOS DE INTEGRIDAD El riesgo de integridad es el riesgo de fraude de personal, actos ilegales actos no autorizados, los cuales pueden solos o en conjunto causar pérdidas monetarias o de reputación en el entorno que opera la institución. R049-Fraude de personal: Actividades fraudulentas perpetradas por personal de la Institución, población usuaria o proveedores o terceros contra la Institución para beneficio personal, exponen la Institución a la pérdida financiera. R050-Actos ilegales: Actos ilegales cometidos por jerarcas o empleados exponen a la Institución a multas, sanciones y pérdida de usuarios. R051-Uso no autorizado: El uso no autorizado de los activos físicos, financieros e información de la Institución por los empleados u otros la exponen al gasto innecesario de recursos y la pérdida financiera. R052-Reputación: El daño a la reputación de la Institución puede exponerla a la pérdida de imagen o usuarios. III. RIESGOS DE INFORMACION PARA LA TOMA DE DECISIONES El riesgo de información para la toma de decisiones es el riesgo de que la información utilizada para apoyar la ejecución del modelo de administración, la generación de reportes internos y externos sobre el desempeño y la evaluación continua de la efectividad del modelo de administración de la Institución sea relevante o confiable. Estos riesgos se relacionan con todos los aspectos de las actividades de creación de valor de la institución. 1. RIESGOS DE INFORMACION OPERATIVA R053-Compromiso Contractual: La falta de información relevante y/o confiable respecto a los compromisos contractuales vigentes en un momento puede producir decisiones de compromiso contractuales incrementales subsecuentes que no están corresponden al mejor interés de la institución. R054-Medición operativa: Indicadores inexistentes, irrelevantes y/o no confiables, pueden causar evaluaciones y conclusiones erróneas acerca del desempeño operativo.
80
R055-Alineamiento: El no alinear los objetivos de los procesos institucionales y las medidas de desempeño con objetivos y estrategias, puede producir actividades antagónicas y descoordinados en toda la institución. 2. RIESGOS DE INFORMACION DE GESTION R056-Presupuesto y planeamiento: Información de planeamiento y presupuestaria inexistente, poco realista, irrelevante o no confiable puede causar decisiones y conclusiones financieras incorrectas. R057-Información contable: Énfasis excesivo en la información de contabilidad financiera para administrar a la Institución puede producir la manipulación de resultados para lograr los objetivos financieros a costa de cubrir los objetivos de satisfacción al usuario, calidad y eficiencia. R058-Evaluación del reporte financiero: No compilar información externa e interior relevante y confiable para evaluar si se requieren ajustes o revelaciones en los estados financieros puede producir la emisión de informes financieros engañosos a interesados externos. R059-Evaluación de inversiones: La falta de información relevante y/o confiable que soporte las decisiones de inversión y enlace los riesgos asumidos con el capital en riesgo, puede producir malas decisiones de inversión. R060-Reporte regulatorio: El reporte incompleto, inexacto e/o inoportuno de información financiera y operativa requerida por entidades regulatorias pueden exponer la Institución a multas, penalidades y sanciones. 3. RIESGOS DE INFORMACIÓN ESTRATEGICA R061-Monitoreo del entorno: La falta de monitoreo del entorno o la formulación de supuestos poco realistas o erróneos sobre los riesgos del entorno puede causar la Institución retenga estrategias a pesar que se hayan vuelto obsoletas. R062-Modelo de Institución: La Institución tiene un modelo de administración obsoleto y no lo reconoce y/o falta la información necesaria para hacer una evaluación del modelo actual y construir un caso de administración convincente para modificarlos oportunamente. R063-Portafolio de administración: La falta de información relevante y confiable que permita la Gerencia priorizar sus productos eficazmente o equilibrar la administración en un contexto estratégico puede evitar que una organización diversificada maximice su desempeño general.
81
R064-Valuación: La falta de información de valoración relevante y confiable puede evitar que los jerarcas efectúen una evaluación informada del valor de la Institución y sus segmentos significativos dentro de un contexto estratégico. R065-Estructura organizativa: Los jerarcas carecen de la información necesaria para evaluarla efectividad de la estructura orgánica de la institución, lo que amenaza su capacidad para el cambio o para lograr sus estrategias de largo plazo. La estructura no sustenta las estrategias de la institución. R066-Medición de desempeño: Indicadores de desempeño inexistentes, irrelevantes, no confiables e inconsistentes con las estrategias de administración establecidas amenazan la habilidad de la Institución de ejecutar sus estrategias. R067-Asignación de recursos: Un proceso de asignación de recursos e información de soporte inadecuados puede evitar que la Institución establezca y sustente una ventaja competitiva o maximice su valor. R068-Planeamiento: Un proceso de la planificación estratégica falto de imaginación e innecesariamente complejo puede producir información irrelevante, amenazando la capacidad de la Institución para formular estrategias de administración viables. R069-Ciclo de vida: La falta de información relevante y confiable que permita a la gerencia gestionar el movimiento de sus líneas de servicios y/o productos y monitorear la evolución de su institución a lo largo del ciclo de vida, amenaza la capacidad dela Institución de permanecer competitiva. Fuente: adaptación de ProtivitiRiskModelSM y acuerdo SUGEF 2-10 Reglamento sobre la administración integral del riesgo.
82
Anexo N° 2 Ejemplo de llenado del instrumental para la administración del riesgo institucional
Proceso:
Propósito del proceso:
Fecha: 17/10/2017
4. Formulan plan y levantan
informe
PLAN-13 Riesgos del
proceso
R022 Posibilidad de formular un
PAT que no responda a los
requerimientos solicitados
*Falta de entrenamiento para la
formulación del plan
*Las coordinaciones de área no exigen
a sus colaboradores la exposición del
PAT respectivo (a ellas)
*Puesta en común del PAT ante la
Gerencia aún sin el aval de la
coordinación
*Falta de tiempo para formular el PAT
*No se dedica tiempo para efectuar un
análisis integral de las metas e
indicadores planteados en el PAT
*Plan desorganizado,
desarticulado
*Plan poco estratégico
Personas expertas
Validación de la persona
encargada del proceso
Aprobación de la persona
responsable del proceso
Para ingresar información
Andrés Castro Olga Mora
Matriz N° 1: Identificación del riesgo
Actividades donde se
pueden presentar los
riesgos
N° de riesgoRiesgo
¿Qué puede suceder?
Factores de riesgo ¿Por qué puede
suceder?
Consecuencias
del riesgo ¿Cuáles
pueden ser los
efectos o impacto?
Proceso de Planificación operativa
Desarrollar las acciones derivadas de la planificación táctica para alcanzar los objetivos estratégicos institucionales
Olga Mora, Andrés Castro, Gabriela Salas
Estructura de
riesgo nivel 1
Estructura de
riesgo nivel 2
Menú principal
83
Tabla N° 5: Valoración de la madurez de los controles existentes
A B C D E F Promedio Calificación Valor Nivel de riesgo residual
Posibilidad de formular
un PAT que no
responda a los
requerimientos
3 Considerable *Formato "Registro de
entrenamiento de la
aplicación de la
herramienta"
3 4 4 4 Controles
satisfactorios
34 Moderado
Riesgo
Valoración de los controles
existentes por parte de las
personas expertas
Control existente sobre
el riesgo
Medición de la madurez de los
controles existentesNivel de riesgo
inherente
Valor del
nivel de
riesgo
inherente
Medición del riesgo residual
Menú principal
Tabla N° 1: Valoración del nivel de riesgo inherente
A B C D E F Valor Calificación
Probabilidad 3 3 4 3 Probable
Impacto 4 4 5 4 Significativo
34 Considerable
Posibilidad de formular un PAT que no
responda a los requerimientos solicitados
Nivel de riesgo inherente
Valoración del nivel de
riesgo inherente por parte
de las personas expertas
MediciónRiesgo
Menú principal
84
Proceso:
Propósito del proceso:
Fecha:
Factores de riesgo ¿Por
qué puede suceder?Probabilidad Impacto
Nivel de
riesgo
inherente
Control
existente sobre
el riesgo
Valoración del
control
existente
Nivel de
riesgo residualCategoría de riesgo Tratamiento
Grado en el que la
institución puede
afectar los factores
de riesgo
Grado de
importancia de la
actividad afectada
Justificación
*Falta de entrenamiento para
la formulación del plan
*Las coordinaciones de área
no exigen a sus colaboradores
Probable Significativo Considerable *Formato
"Registro de
entrenamiento de
la aplicación de la
Controles
satisfactorios
Moderado No aceptable Reducir Medio Alto
Personas expertas
Validación de la persona
encargada del proceso
Para ingresar información
Se ingresa automáticamente
Matriz N° 2: Análisis y evaluación de factores de riesgo
Desarrollar las acciones derivadas de la planificación táctica para alcanzar los objetivos estratégicos institucionales
Proceso de Planificación operativa
Olga Mora, Andrés Castro, Gabriela Salas
Aprobación de la persona responsable del proceso
24/10/2017
Andrés Castro Olga Mora
Menú principal
85
Proceso:
Propósito del proceso:
Fecha: 24/10/2017
Factores de riesgo ¿Por qué
puede suceder?
Nivel de
riesgo
residual
Plan de mejora
para
tratar el riesgo
Insumos para el
plan de mejoraCosto estimado
Resultado
esperado
Relación Costo /
Beneficio
Responsable de
la ejecución
Responsable del
monitoreo
Fecha de
cumplimiento
*Falta de entrenamiento para la
formulación del plan
*Las coordinaciones de área no
exigen a sus colaboradores la
exposición del PAT respectivo (a
ellas)
*Puesta en común del PAT ante la
Gerencia aún sin el aval de la
coordinación
*Falta de tiempo para formular el
PAT
*No se dedica tiempo para efectuar
un análisis integral de las metas e
indicadores planteados en el PAT
Moderado *Reforzar las
instrucciones para la
aprobación del PAT
por parte de la
Coordinación de
Área"
Tiempo para
actualizar el
instructivo
₡112.262,00 *Instructivo
actualizado
Andrés Castro Olga Mora 30/04/2018
Personas expertas
Validación de la persona
encargada del proceso
Para ingresar información
Se ingresa automáticamente
Proceso de Planificación operativa
Matriz N° 3: Tratamiento del riesgo (plan de mejora)
Desarrollar las acciones derivadas de la planificación táctica para alcanzar los objetivos estratégicos institucionales
Olga Mora, Andrés Castro, Gabriela Salas
Olga MoraAprobación de la persona
responsable del procesoAndrés Castro
Menú principal
86
Proceso:
Propósito del proceso:
Fecha: 30/06/2018
Factores de riesgo
Nivel de
riesgo
residual
Plan de mejora
para
tratar el riesgo
Resultado
esperado
Estado
cumplimiento
Nivel de
cumplimientoMedio de verificación
Justificación del estado
de cumplimiento
*Falta de entrenamiento para la
formulación del plan
*Las coordinaciones de área no
exigen a sus colaboradores la
exposición del PAT respectivo (a
Moderado *Reforzar las
instrucciones para la
aprobación del PAT
por parte de la
Coordinación de Área"
*Instructivo actualizado Ejecutada Satisfactorio Instructivo para la aprobación
del PAT por parte de la
coordinación de Área
Personas expertas
Validación de la persona
encargada del proceso
Para ingresar información
Se ingresa automáticamente
Matriz N° 4: Monitoreo del plan de mejora
Proceso de Planificación operativa
Desarrollar las acciones derivadas de la planificación táctica para alcanzar los objetivos estratégicos institucionales
Olga Mora, Andrés Castro, Gabriela Salas
Andrés Castro Olga MoraAprobación de la persona responsable
del proceso
Menú principal
87
Anexo N° 3 Diagrama 1. Administración del riesgo institucional
88