subsistema control estratégico
TRANSCRIPT
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 1 | 39-SPMH
Subsistema Control Estratégico
SISTEMA ESPECÍFICO VALORACIÓN DEL RIESGO INSTITUCIONAL (SEVRI)
COMPONENTES DEL SEVRI PARA EL AYA:
MARCO ORIENTADOR DEL SEVRI
AMBIENTE DE APOYO SUJETOS INTERESADOS
NOVIEMBRE-2018
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 2 | 39-SPMH
Contenido I- COMPONENTE MARCO ORIENTADOR DEL SEVRI PARA EL AYA....................... 4
INTRODUCCIÓN ............................................................................................................... 4
POLÍTICA DE VALORACIÓN DE RIESGO INSTITUCIONAL .......................................... 5
OBJETIVOS DE VALORACION DE RIESGOS INSTITUCIONAL .................................... 5
COMPROMISO ANTE EL SEVRI ...................................................................................... 6
ALCANCE DE LA POLÍTICA ............................................................................................ 7
LINEAMIENTOS INSTITUCIONALES PARA ESTABLECER LOS NIVELES DE
RIESGOS ACEPTABLE .................................................................................................... 7
ESTRATEGIA PARA ESTABLECER MANTENER, PERFECCIONAR Y EVALUAR EL
SEVRI ................................................................................................................................ 8
MANTENIMIENTO DEL SEVRI ......................................................................................... 8
PERFECCIONAMIENTO DEL SEVRI ............................................................................... 9
EVALUACIÓN DEL SEVRI ............................................................................................. 10
INDICADORES DEL SEVRI ............................................................................................ 10
NORMATIVA DEL SEVRI ............................................................................................... 11
PROCEDIMIENTO DEL SISTEMA .................................................................................. 11
ANÁLISIS ESTRATÉGICO DE LA INSTITUCIÓN .......................................................... 11
ANÁLISIS ORGANIZACIONAL DE LA INSTITUCIÓN ................................................... 12
CRITERIOS PARA LA VALORACIÓN DE RIESGOS ..................................................... 12
ESTRUCTURA DE RIESGOS ......................................................................................... 19
PRIORIDADES Y CRITERIOS DE ACEPTABILIDAD PARA LA VALORACIÓN DEL
RIESGO........................................................................................................................... 23
II- COMPONENTE AMBIENTE DE APOYO DEL SEVRI PARA EL AYA .................... 25
FUNDAMENTO LEGAL .................................................................................................. 25
FUNDAMENTO TÉCNICO .............................................................................................. 26
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 3 | 39-SPMH
DIRECTRIZ DEL SEVRI .................................................................................................. 27
ESTRUCTURA ORGANIZACIONAL PARA LA OPERACIÓN DEL SEVRI .................... 27
MONITOREO Y SEGUIMIENTO...................................................................................... 30
MECANISMOS DE COMUNICACIÓN Y DIVULGACIÓN ................................................ 30
III- COMPONENTE SUJETOS INTERESADOS DEL SEVRI PARA EL AYA ................ 31
III- GLOSARIO .............................................................................................................. 35
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 4 | 39-SPMH
I- COMPONENTE MARCO ORIENTADOR DEL SEVRI PARA EL AYA
INTRODUCCIÓN
El presente documento tiene como objetivo establecer el marco normativo, así como el componente de apoyo, que contiene los criterios necesarios para el establecimiento de la gestión de riesgos institucional, en concordancia con lo que indica la Ley 8292 en sus artículos No. 14, 18 y 19, los cuales indican lo siguiente:
“… Artículo 14. —Valoración del riesgo. En relación con la
valoración del riesgo, serán deberes del jerarca y los titulares
subordinados, entre otros, los siguientes:
a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos.
b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.
c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.
d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.
Artículo 18. —Sistema específico de valoración del riesgo institucional. Todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo.
La Contraloría General de la República establecerá los criterios y las directrices generales que servirán de base para el establecimiento y
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 5 | 39-SPMH
funcionamiento del sistema en los entes y órganos seleccionados, criterios y directrices que serán obligatorios y prevalecerán sobre los que se les opongan, sin menoscabo de la obligación del jerarca y titulares subordinados referida en el artículo 14 de esta Ley.
Artículo 19. —Responsabilidad por el funcionamiento del sistema. El jerarca y los respectivos titulares subordinados de los entes y órganos sujetos a esta Ley, en los que la Contraloría General de la República disponga que debe implantarse el Sistema Específico de Valoración de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo institucional aceptable…”
POLÍTICA DE VALORACIÓN DE RIESGO INSTITUCIONAL
El Instituto Costarricense de Acueductos y Alcantarillados, propiciará la mejora continua a las funciones sustantivas, a través del perfeccionamiento y mantenimiento del SEVRI, como apoyo a la toma de decisiones, en cumplimiento de la misión, visión y objetivos institucionales. Esta política, debe contribuir a ubicar la gestión institucional del riesgo, en un nivel de aceptable para asegurar la continuidad de los procesos y operaciones.
OBJETIVOS DE VALORACION DE RIESGOS INSTITUCIONAL
Objetivo General
• El Instituto Costarricense de Acueductos y Alcantarillados, a través de las actividades del SEVRI, producirá información sobre los riesgos relevantes asociados a las labores de los procesos estratégicos, sustantivos y de apoyo, como soporte a la toma de decisiones considerando la Planificación Estratégica y la normativa que regula su operación, orientado a ubicar los riesgos en niveles aceptables.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 6 | 39-SPMH
Objetivos Específicos
• Implementar las estrategias aprobadas por el Jerarca para el perfeccionamiento y mantenimiento del Sistema de Valoración del Riesgo Institucional, como apoyo a la toma de decisiones.
• Identificar, analizar y valorar los riesgos que afectan la ejecución de las funciones sustantivas y aplicarles las medidas necesarias para ubicarlos y estabilizarlos en niveles de riesgos aceptables.
• Lograr uniformar el concepto de riesgo y la metodología de trabajo de la valoración del riesgo Institucional.
• Vincular la valoración del riesgo al proceso de planificación estratégica, considerando objetivos, metas y políticas institucionales para el logro de los objetivos Institucionales.
• Generar y registrar históricos de riesgos, de conformidad con los cambios del entorno
• Establecer métodos y mecanismos idóneos para ejecutar las acciones de comunicación y divulgación de la información relacionada con el Sistema Específico de Valoración de Riesgos.
COMPROMISO ANTE EL SEVRI
El Órgano Colegiado en su condición de Superior Jerárquico, promoverá la gestión de riesgos institucional como un componente clave para el logro de los objetivos del AyA, su participación será activa para la consolidación del sistema en apoyo a la toma de decisiones a todo nivel. Los Titulares Subordinados en su condición de responsable de un proceso, con autoridad para ordenar y tomar decisiones, gestionarán las acciones necesarias de mantener y perfeccionar la gestión de riesgo. Los funcionarios en general realizaran las acciones pertinentes en relación con el mantenimiento y perfeccionamiento del SEVRI y con observancia de las regulaciones aplicables.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 7 | 39-SPMH
ALCANCE DE LA POLÍTICA
El ámbito de acción de la gestión integral de riesgos debe permitir el cumplimiento
y validación de aquellos eventos que pudieran impedir a la Institución, alcanzar su
misión, visión y valores Institucionales de acuerdo con lo señalado en su Plan
Estratégico Institucional 2016-2020.
Esta política aplica para la organización funcional del AyA, así como a las
unidades ejecutoras que desarrollan proyectos en la Institucional de la siguiente
manera:
Primer Nivel
Riesgos asociados al cumplimiento de la misión, visión y objetivos institucionales
Identificación de riesgos asociados al Plan Estratégico Institucional vigente
Segundo nivel
Riesgos asociados al entorno y prestación del servicio
Identificación riesgos asociados a las labores sustantivas y mapa de procesos institucional
LINEAMIENTOS INSTITUCIONALES PARA ESTABLECER LOS
NIVELES DE RIESGOS ACEPTABLE
Se establece como elementos prioritarios a valorar los riesgos asociados en un primer nivel, a los objetivos estratégicos institucionales y en un segundo nivel entorno y prestación del servicio. De acuerdo con lo anterior, entiéndase como objetivos estratégicos la actividad sustantiva de la institución y que se encuentra asociada al Plan Estratégico 2016-2020. En lo que se refiere a la valoración del entorno y a la prestación de los servicios, deberán considerarse los planes, programas y proyectos, que se realizan dentro de la planificación institucional. Para establecer estas prioridades de valoración, se debe realizar un estudio de los riesgos asociados a las labores sustantivas y procesos en los cuales involucra, considerando los controles existentes y analizar riesgos en términos de
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 8 | 39-SPMH
consecuencias y probabilidades, con el fin de ubicarlos en un nivel que permita la continuidad del negocio, en una eventual materialización. Se define cono nivel de aceptabilidad aquellos riesgos en lo que su nivel de impacto, en términos de consecuencia y probabilidad, son considerados bajos o mínimos. (ver tabla de severidad)
ESTRATEGIA PARA ESTABLECER MANTENER, PERFECCIONAR Y
EVALUAR EL SEVRI
Para la definición de la estrategia del SEVRI, se han tomado las siguientes variables de la directriz del SEVRI (documento emitido en el diario oficial Gaceta del martes 12 de julio del 2005, cuya referencia es R-CO-64-2005):
ESTABLECIMIENTO DEL SEVRI
Para el establecimiento del SEVRI, la Institución debe consolidar una serie de planes de acción y actividades que permitirán un afianzamiento y operación del SEVRI, dentro de los aspectos que deben ser considerados se encuentran los siguientes:
1- Elaboración del Portafolio Institucional de Riesgos
2- Actualización del Marco Orientador, Componente de Apoyo y Sujetos Interesados, según los cambios del entorno y como resultado del nivel de madurez que se determine de conformidad con las evaluaciones realizadas y cuando el SCE determine su pertinencia.
3- Aplicación del Modelo de Madurez del SEVRI con el fin de conocer el nivel de mantenimiento y perfeccionamiento del sistema.
MANTENIMIENTO DEL SEVRI
• Vincular la gestión integral de riesgos con la Planificación Estratégica, considerando la presupuestación de las acciones requeridas para administrar los riesgos críticos que se han sido identificados con el objetivo de ubicarlos en
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 9 | 39-SPMH
un nivel de riesgo aceptable y que apoyen la toma de decisiones para el cumplimiento de la misión, visión y objetivos institucionales
• Formalizar actividades para la revisión de los ciclos del SEVRI y que además se comuniquen y monitoreen los resultados de la aplicación de los lineamientos de la valoración de riesgos institucional.
• Propiciar un proceso de capacitación en torno a los diversos tópicos relacionados con la valoración del riesgo y aquellos aspectos de índole estratégico, sustantivos o de apoyo, que se considere conveniente, con la finalidad de consolidar una gestión integral de riesgos dentro de la Institución
• Realizar seguimientos a planes y tratamiento de riesgos definidos, para verificar los avances en la ejecución de cada uno de los procesos de mejoramiento, considerando las acciones específicas de mitigación de riesgos y protocolos de atención en casos de materialización, mejorando los sistemas de control interno establecidos por cada Titular Subordinado
• Establecer canales de comunicación abiertos, apropiados y constantes a través de los cuales los Sujetos Interesados puedan aclarar cualquier duda u obtener información relacionada con el SEVRI.
PERFECCIONAMIENTO DEL SEVRI
Para propiciar una cultura de perfeccionamiento, en el cumplimiento de las revisiones anuales de los ciclos debe ser constante, con la finalidad de poder determinar cambios requeridos a la estructura de riesgos o a los lineamientos establecidos en el Marco Orientador, estas revisiones pueden ser generadas por alguno de los siguientes eventos:
▪ Desarrollo o actualización de los Planes estratégicos institucionales.
▪ Planes Anuales Operativos, que reflejan la situación del corto plazo.
▪ Cambios en el ambiente interno y externo o estructura organizacional.
▪ Cambios en el marco legal o regulatorio a nivel interno y externo.
▪ Revisión de la metodología de autoevaluación, con el objetivo de mejorar el
proceso para futuras evaluaciones, atender más prontamente los requerimientos en materia de control interno y administración de riesgos
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 10 | 39-SPMH
que puedan requerir los Entes Contralores, Supervisores o la misma Administración Superior de la Institución.
▪ Propiciar nuevas estrategias para el monitoreo de las medidas de
administración de riesgos definidas y determinar el avance de los procesos de mitigación y tratamiento de los riesgos considerados como críticos.
EVALUACIÓN DEL SEVRI
Se definen como mecanismos de evaluación del SEVRI, los siguientes:
• De cumplimiento: acciones relacionadas con las actividades previstas en las estrategias definidas para el mantenimiento y perfeccionamiento SEVRI.
• De resultados: acciones relacionadas con las rendiciones de cuentas de los Titulares Subordinados y la efectividad de los modelos de riesgos definidos en cada una de las áreas, con el objetivo de ubicar a la gestión de riesgos institucional en un nivel de riesgos aceptable.
• De información: acciones relacionadas producción de la información proveniente del SEVRI, como apoyo a la toma de decisiones en los procesos estratégicos, sustantivos y de apoyo.
• Nivel de madurez: Aplicación del Modelo de Madurez del SEVRI
INDICADORES DEL SEVRI
El proceso de definición de los indicadores para el SEVRI, es una actividad que es
inherente a la formalización de la estructura de riesgos, debido a que cada
indicador de riesgo se deriva de las actividades que son desarrolladas.
Para la definición de estos, deberán vincularse a la planificación estratégica y los
tipos de indicadores que deberán definirse serán de eficiencia, eficacia y
calidad.
Estos deberán ser atinentes, claros, uniformes, entendibles y de conocimiento
general de todos los participantes.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 11 | 39-SPMH
Las metas deberán ser evaluadas en términos cuantitativos, pero cuando sea
necesario se evaluará en términos cualitativos debidamente justificado, para
establecer su cumplimiento.
NORMATIVA DEL SEVRI NORMATIVA EXTERNA
• Ley General de Control Interno, No. 8292
• Normas de Control Interno para el Sector Público
• Directrices CGR sobre SEVRI, Resolución R-CO-64-2005.
•
NORMATIVA INTERNA La normativa interna que regula el SEVRI del AyA, se encuentra contenida en el presente Marco Orientador, Componente de Ambiente de Apoyo y Sujetos Interesados.
PROCEDIMIENTO DEL SISTEMA Para implementar el SEVRI de la Institución se deben ejecutar primeramente las siguientes actividades:
• Análisis estratégico del entorno institucional
• Análisis Organizacional de la Institución
• Criterios para la valoración
• Estructura del SEVRI
• Procedimiento del SEVRI
ANÁLISIS ESTRATÉGICO DE LA INSTITUCIÓN
Se debe realizar un análisis detallado de las relaciones de la Institución con el entorno en el cual se desenvuelve. Esto involucra a todos los sujetos interesados que tienen algún interés en las tareas que ejecuta la Institución, así como aquellos factores que se consideren como disparadores de riesgos.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 12 | 39-SPMH
Este análisis debe considerar un estudio detallado de la información existente en la Institución que tenga relación con los planes estratégicos, operativos, proyectos y cualquier que permita identificar los siguientes aspectos:
• Fortalezas, oportunidades, debilidades y amenazas de la Institución
• Marco legal, político, cultural, entre otros.
• Sujetos interesados
ANÁLISIS ORGANIZACIONAL DE LA INSTITUCIÓN
Tomando como punto de partida las funciones sustantivas y procesos de la organización existente, se deben documentar los riesgos de la Institución, considerando al menos la siguiente información:
• Plan Estratégico
• Planes Anuales Operativos
• Procesos de levantamiento documentación y normalización de procesos
• Manual de Organización Funcional
• Cualquier otra información que permita identificar el marco organizacional que puede verse afectado ante la materialización de los riesgos que posteriormente se analizarán y administrarán.
CRITERIOS PARA LA VALORACIÓN DE RIESGOS
De acuerdo con los lineamientos establecidos por el Ente Fiscalizador, se debe efectuar un análisis de su consecuencia y probabilidad de la gestión de riesgos institucional, de conformidad con las siguientes tablas de valoración:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 13 | 39-SPMH
Valoración de la Consecuencia
Los criterios para la valoración de la consecuencia es la siguiente:
Criterio Cualitativo
Descripción Criterio
Cuantitativo
Insignificante
Los daños no son perceptibles y pasan inadvertidos
No afectan el cumplimiento de los objetivos institucionales
1
Menor
Los daños son mínimos, no implican perjuicios
Los procesos estratégicos, sustantivos y de apoyo no se ven comprometidos.
2
Moderado
Los daños son moderados, no excesivos
Los procesos estratégicos, sustantivos y de apoyo, se pueden
ver afectados y requieren atención para su corrección
3
Mayor
Los daños son considerables
Los procesos estratégicos, sustantivos y de apoyo, pierden
capacidad de operación, no se pueden cumplir con los objetivos institucionales de manera razonable
4
Catastrófico
Los daños son adversos, no pueden ser reparados fácilmente e
implican pérdidas muy altas para la institución
Los procesos estratégicos, sustantivos y de apoyo, se ven altamente comprometidos en su operación
5
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 14 | 39-SPMH
Valoración de la Probabilidad
Los criterios para la valoración de la probabilidad es la siguiente:
Criterio Cualitativo
Descripción Criterio
Cuantitativo
Casi Certeza
Se espera que el evento se manifieste en casi la totalidad de los
casos
5
Probable
Se espera que el evento pueda ocurrir en la mayoría de los
casos
4
Posible
Se espera que el evento ocurra en algunas ocasiones
3
Poco Probable
Se espera que el evento ocurra en escasas ocasiones
2
Raro
Sería excepcionalmente raro que ocurriera
1
El análisis debe considerar los siguientes escenarios:
Evaluación Riesgo Absoluto
Se asocia con la evaluación del riesgo sin controles o riego inherente de cada una de las labores sustantivas, en este caso se procede a realizar un análisis de la probabilidad y la consecuencia de aquellos aspectos que se han considerado como factores de riesgos. Esta valoración permite determinar el nivel de riesgo inherente al que podría estar expuesta la Institución ante la materialización del riesgo identificado. En la determinación de la consecuencia se deberán tomar en cuenta todos los posibles efectos negativos y positivos que están relacionados con los riesgos. En la determinación de la probabilidad se deberán considerar todos aquellos datos históricos, estadísticos y de experiencia que permitan definir la frecuencia con que el riesgo analizado se puede materializar.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 15 | 39-SPMH
Por la naturaleza y análisis que implica la evaluación del riesgo absoluto, es de esperarse que éstos, se ubiquen en niveles extremos o altos, pero en términos generales esta característica es determinada por la naturaleza de la Institución y la importancia relativa de cada una de las áreas organizacionales en el logro de los objetivos de esta.
GRÁFICO DE EVALUACIÓN DE RIESGO Casi Certeza 5
5 10 15 20
25
Probable 4
4 8 12
16 20
Posible 3
3 6 9 12 15
Poco Probable 2
2 4 6 8 10
Raro 1
1 2 3 4 5
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
Evaluación Riesgo Controlado
Esta evaluación está orientada en determinar si el ambiente de control con que cuenta actualmente la Institución permite minimizar la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo absoluto, la evaluación del riesgo controlado debe estar integrada con los procesos de mejoramiento y perfeccionamiento del Sistema de Control Interno de la Institución. Para la evaluación de este ambiente de control, se utilizará la auto evaluación de controles y a cada una de estas medidas de control se le deberá de realizar los análisis siguientes:
R1
R2 R3
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 16 | 39-SPMH
Clasificación de Controles
A cada control se le efectuará un análisis mediante el cual se identifiquen cuales medidas son claves para la mitigación y cuales controles se consideran como medidas de apoyo o de compensación. Para realizar dicha clasificación se contará con los siguientes criterios:
Criterio
Descripción
Medida de Control Clave
Medidas cuya ejecución adecuada es indispensable
para que el riesgo relacionado no se materialice y de
hacerlo impacte en un grado mínimo los objetivos de la
Institución
Medida de Control No Clave
Medidas cuya ejecución, apoya y fortalece la acción de
las medidas de control claves
Evaluación de Controles
A cada medida de control identificada, se le realizará el análisis respectivo, a través del cual se determinará su nivel de ejecución, para realizar este análisis se considerará, como mínimo los siguientes puntos:
• La ejecución de la medida
• La efectividad con la que esta medida se está realizando Como resultado de este análisis a cada uno de los controles revisados, se les
asignará alguna de los supuestos de evaluación que se detallan en la siguiente
tabla:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 17 | 39-SPMH
Ejecución de la medida Efectividad de la medida
Al parecer la medida de control no se está ejecutando Sin Medida de Control
La medida de control no es efectiva o se ejecuta esporádicamente Medida de Control Pobre
La medida de control es medianamente efectiva, se ejecuta
sistemáticamente, Medida de Control Adecuada
La medida de control es efectiva, se ejecuta sistemáticamente, se
encuentra formalizada y divulgada. Medida de Control Fuerte
La medida de control es efectiva, se ejecuta sistemáticamente,
encuentra formalizada, divulgada y probada. Medida de Control Hermética
Riesgo controlado
Casi Certeza 5
5 10 15 20 25
Probable 4
4 8 12 16 20
Posible 3
3 6 9 12 15
Poco Probable 2
2 4 6 8 10
Raro 1
1 2 3 4 5
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
GRÁFICO DE EVALUACIÓN DE RIESGO
Aplicación de
Medidas de control
R1: reduce consecuencia
R2: reduce probabilidad
R3: Reduce consecuencia y
probabilidad
R1
R2
R2
R3
R1
R3
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 18 | 39-SPMH
Evaluación Riesgo Residual
Esta evaluación tiene el objetivo de determinar el nivel de riesgo a tratar una vez concluidas las acciones propuestas para la administración del riesgo.
M
e
d
Medidas de Administración de Riesgos
La prioridad en la aplicación de medidas de administración será el resultado del análisis del riesgo absoluto vs riesgo controlado y se determinará de conformidad con prioridad establecida institucionalmente. La identificación de las medidas se debe realizar de forma tal, que éstas traten, de abarcar la mayor cantidad de riesgos cuya evaluación no ha sido aceptable, con la finalidad de que los planes de tratamiento y mitigación tengan una relación de costo-beneficio con miras a ubicarlo en un nivel de riesgos aceptable que permita el cumplimiento de los objetivos institucionales. La determinación del tipo de medida a implementar abarcará al menos uno de los siguientes supuestos:
• Reducir la Probabilidad: Definición de medidas que colaboren con la minimización de la probabilidad presentada a través de la evaluación del riesgo controlado, entre éstas están: revisiones preventivas, prácticas
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 19 | 39-SPMH
periódicas de auto evaluación de los sistemas de control interno, establecer relaciones contractuales adecuadas con los principales proveedores y facilitadores de los recursos Institucionales, entre otros.
• Reducir la Consecuencia: Definición de medidas que colaboren con la minimización de la consecuencia presentada a través de la evaluación del riesgo controlado, entre estas medidas se pueden establecer programas específicos e integrales de seguridad en el trabajo, continuidad del negocio, planes de continuidad o contingencias informáticas, planes de recuperación de los procesos críticos y manejo de las relaciones públicas, entre otros.
• Transferir el Riesgo: Definir medidas mediante las cuales terceros asuman parte o la totalidad del riesgo que se desea administrar, en este caso, por ejemplo, se deben valorar las prácticas existentes en la Institución de aseguramiento de los activos.
• Evitar el Riesgo (no administrar): No ejecutar las acciones que involucran la materialización del riesgo, esta decisión se debe analizar con mucho cuidado, ya que de no definirse adecuadamente puede aumentar la exposición de otros riesgos.
• Aceptar o tolerancia del riesgo: no se toma ninguna decisión que afecte la probabilidad o la consecuencia del riesgo. La tolerancia al riesgo se puede complementar por supuesto con la planificación de contingencia para manejar los impactos que se presentarán si se manifiesta el riesgo.
ESTRUCTURA DE RIESGOS
Para realizar una evaluación de riesgos más orientada a la naturaleza y características de la Institución, se definen una serie de criterios de clasificación del riesgo, que permitirán identificar los factores críticos sobre los cuales se debe planificar las actividades para administración de los riesgos.
Estos criterios de evaluación, además de agrupar las medidas de administración de riesgos en procesos comunes, permiten generar reportes específicos sobre las consecuencias y probabilidades de ocurrencia de los riesgos y la incidencia que los mismos pueden tener sobre los procesos o actividades críticas que desarrolla la Institución, en atención de los grupos de interés, específicamente en cada sujeto interesado.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 20 | 39-SPMH
Para efectos de analizar los riesgos se deberán clasificar estos de acuerdo con la siguiente estructura previamente definida
Áreas de impacto
Son actividades de la institución permiten vincular el quehacer institucional y así analizar cuales pueden verse afectadas por la posible materialización de riesgos.
Planificación Presupuestaria
Actividades que afectan las finanzas de la Institución
Estrategia Institucional Actividades que afectan la estrategia definida en los diferentes planes de la Institución
Evaluación del desempeño Actividades asociadas a la eficiencia, eficacia y calidad en la prestación de los servicios que brinda el AyA
Monitoreo del entorno Actividades que impactan de manera positiva o negativa la imagen de la Institución
Cumplimiento legal y técnico Actividades que impactan en el cumplimiento de la normativa interna y externa
Categorías de riesgo
La categoría de riesgo es un calificador de riesgos, a través del cual es posible agrupar éstos en diferentes familias, según sean la actividad institucional relacionada a cada área.
Riesgos del entorno Riesgos relacionados con desastres naturales o actividades externas que afectan la Institución
Riesgos del Proceso Riesgos asociados a las actividades internas de la Institución relacionadas con el desempeño de las operaciones
Riesgos de toma de decisiones
Riesgos asociados a los planes de corto, mediano y largo plazo de la Institución
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 21 | 39-SPMH
Factores de riesgo (*)
Los factores de riesgo identifican aquellos incidentes o disparadores de riesgos provenientes del entorno en que se desenvuelve la Institución o de situaciones internas que son generados por el desempeño de las actividades institucionales.
Factor de riesgos de I nivel
Factor de riesgos
de II nivel Disparador de riesgos
Relaciones
institucionales:
Relación entre la
institución y los
Sujetos
Interesados
Comunidades
Clientes
Proveedores
Actores sociales
Reputación
Comunicación
Transparencia
Conflictos por agua o saneamiento, amenazas a fuentes,
expectativas de clientes confusas o equivocadas, sindicatos,
grupos de presión, empresarios privados, desarrolladores,
operadores de servicios, imagen institucional, medios de
comunicación, satisfacción de los clientes, injerencia política,
ASADAS, Confederaciones de ASADAS, accesibilidad de la
información, tiempos de respuesta, proveedores, FLU,
gobernanza, Gobiernos locales, registros de asociaciones,
Tribunales de Justicia, injerencia de entes financieros
Condiciones
económicas:
Situaciones
económicas a
nivel de
Institución, país o
nivel mundial
Financieros
Integridad
Tarifa, agua no contabilizada, estructura tarifaria, liquidez,
inversión, presupuesto, portafolio de proyectos de inversión,
información contable, fraudes, diferencial cambiario,
condiciones bancarias, déficit fiscal, condiciones crediticias
Comportamiento
humano:
Competencias,
actitudes y
desempeño del
capital humano
institucional
Empoderamiento
y apropiación
Gobernabilidad
Cultura organizacional, comportamiento ético, cambio
generacional, estructura ocupacional, desarrollo, capacitación,
evaluación del desempeño, inducción a los puestos,
reclutamiento, seguridad e higiene ocupacional, actuaciones
indebidas, transferencia del conocimiento
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 22 | 39-SPMH
Desastres
naturales o
antropogénicos:
Acciones de la
naturaleza, el
ambiente o ser
humano
Naturales
Antropogénicos
Ambientales
Sequias, terremotos, inundaciones, deforestación,
monocultivo, contaminación de fuentes, agotamiento de
fuentes, vandalismo, hábitos de los usuarios de los sistemas,
conexiones ilícitas, descarga de vertidos, crecidas de ríos,
deslizamiento, invasiones a terrenos
Ambiente Legal y
técnico:
Disposiciones de
Gobierno, Órganos
Rectores o de
Fiscalización,
reglamentación
interna y externa
en los cuales se
desarrolla la
Institución
Gobierno
Legal
Gestión Rectora
Delegados
Estrategia
institucional
Normativa interna
y externa
Sentencias judiciales, ordenes sanitarias, apelaciones,
recursos perdidos, demandas, trámites legales internos y
externos, convenios nacionales e internacionales, procesos
disciplinarios, dictámenes o criterios jurídicos, directrices de
Órganos Rectores o de Fiscalización, gobierno digital,
asesoría legal, plan estratégico, estructura organizacional,
reglamentos, manuales de procedimientos o tareas,
declaratorios de emergencias, audiencias conciliatorias,
procedimientos administrativos, arbitrajes
Infraestructura y
Tecnología:
Conjunto de
instrumentos,
herramientas,
tecnológicos o
similares
Tecnología e
información
Operaciones
Desarrollo físico
Infraestructura informática, actualización de sistemas
informáticos, respaldo, desarrollo de aplicaciones,
investigación, rezago tecnológico, claridad en los
requerimientos informáticos o similares, transferencia
tecnológica, capacidad de los sistemas, vida útil de los
sistemas informáticos, salida de operación de los sistemas
institucionales, daños en bases de datos de los sistemas
institucionales, pérdida de información
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 23 | 39-SPMH
Infraestructura de sistemas de captación o saneamiento,
optimización de la capacidad atención de fugas, atención de
obstrucciones, estudios básicos, terrenos y avalúos, diseños
finales, ejecución de obras, cierre de proyectos, evaluación de
proyectos, vida útil de los sistemas, capacidad de los sistemas
de agua potable o saneamiento
Condiciones
administrativas:
Conjunto
actividades
institucionales
Planes de trabajo
Integridad de la información, flujo de trabajo, claridad en los
requerimientos de información, plan de compras,
contrataciones, disposición de insumos de información,
mecanismos de comunicación
(*) el Catálogo de disparadores de riesgos debe ser actualizado por los Titulares Subordinados de cada
Dependencia e informado a la UCI
PRIORIDADES Y CRITERIOS DE ACEPTABILIDAD PARA LA
VALORACIÓN DEL RIESGO
Se establece como parámetros de aceptabilidad, los riesgos que una vez evaluados y aplicadas las medidas de administración, se ubiquen de conformidad con los siguientes niveles de severidad.
Niveles de
severidad Valoración del cuadrante Descripción
RIESGO
ACEPTADO
Nivel bajo
De 1 a 4
Cuadrantes Verdes:
Los riesgos evaluados y que se
encuentran en estos cuadrantes
se consideraran como riesgos
aceptados.
Son aquellos que presentan
consecuencias y probabilidades
bajas de materializarse, algunos
impactarán de forma mínima el
logro de objetivos de la
Institución.
Los riesgos ubicados en estos cuadrantes son a los
cuales se les dirige menor inversión de recursos, debido
al bajo impacto que representa su exposición, sin
embargo, se debe velar porque no se eleven sus
niveles, lo que conllevaría al desplazamiento de estos a
cuadrantes de mayor exposición, se deben utilizar
planes de monitoreo y seguimiento efectivo sobre los
mismos.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 24 | 39-SPMH
RIESGO DE
MEDIANA
PRIORIDAD
Nivel
moderado
De 5 a 9
Cuadrantes Amarillos Los riesgos evaluados y que se
ubican en estos cuadrantes se
consideran como riesgos
aceptados, con posibilidades de
mejorar su administración.
Son aquellos que presentan
consecuencias y probabilidades
moderadas, la materialización de
algunos de estos riesgos
representará un impacto medio
en el logro de los objetivos de la
Institución.
Los riesgos ubicados en estos cuadrantes deben ser analizados con el objetivo de determinar las medidas de monitoreo y seguimiento que se le dará, ya que éstos no representan, en caso de materialización, un impacto altamente negativo en el logro de los objetivos, sin embargo, será necesario su monitoreo para evitar que lleguen a niveles altos o extremos de exposición. En la gestión de riesgos, se trabajará para lograr que los riesgos de cuadrantes rojos y naranjas se puedan minimizar hasta lograr que se ubiquen en cuadrantes amarillos, en una primera instancia y lograr que se mantengan en ellos o que puedan bajar a cuadrantes verdes.
RIESGO DE
ALTA
PRIORIDAD
Nivel alto
De 10 a 15
Cuadrantes Naranjas
Los riesgos evaluados y que se
ubican en estos cuadrantes
cuentan con altas probabilidades
y consecuencias moderadas o
viceversa; su exposición conlleva
niveles altos de perjuicio en el
logro de los objetivos de la
Institución.
Los riesgos ubicados en estos cuadrantes tienen el segundo nivel de prioridad, en cuanto a su administración de riesgos se refiere, ya que tienen la característica especial, que de no ser administrados adecuadamente su exposición puede aumentar y pasar a formar parte del grupo de riesgos de cuadrantes rojos; con lo que esto representa para los objetivos de la Institución.
RIESGO DE
ALTA
PRIORIDAD
Nivel
extremo
De 16 a 25
Cuadrantes Rojos Los riesgos evaluados y que se ubican en estos cuadrantes cuentan con altas probabilidades de ocurrencia y con consecuencias elevadas para la Institución, en caso de que se llegasen a materializar; cualquier manifestación provocaría perjuicios extremos en el logro de los objetivos de la Institución.
Son los primeros por los cuales hay que iniciar el proceso de administración de riesgos, con el objetivo de minimizar sus efectos, ya que cualquier manifestación de éstos provocaría perjuicios mayores en el logro de los objetivos de la Institución, por lo general se debe seleccionar una buena estrategia de gestión, ya sea por medio de medidas que reduzcan las consecuencias o medidas que reduzcan las probabilidades de ocurrencia.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 25 | 39-SPMH
II- COMPONENTE AMBIENTE DE APOYO DEL SEVRI PARA EL
AYA
FUNDAMENTO LEGAL
Ley 8292
Sección II: Sistema Específico de Valoración del Riesgo (SEVRI) Artículo 18. — Sistema específico de valoración del riesgo institucional. Todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo. La Contraloría General de la República establecerá los criterios y las directrices generales que servirán de base para el establecimiento y funcionamiento del sistema en los entes y órganos seleccionados, criterios y directrices que serán obligatorios y prevalecerán sobre los que se les opongan, sin menoscabo de la obligación del jerarca y titulares subordinados referida en el artículo 14 de esta Ley. Artículo 19.— Responsabilidad por el funcionamiento del sistema.El jerarca y los respectivos titulares subordinados de los entes y órganos sujetos a esta Ley, en los que la Contraloría General de la República disponga que debe implantarse el Sistema Específico de Valoración de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo institucional aceptable.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 26 | 39-SPMH
FUNDAMENTO TÉCNICO
MANUAL DE CONTROL INTERNO PARA EL SECTOR PÚBLICO Capítulo IV: Normas sobre valoración del riesgo 3.1 Valoración del riesgo
El jerarca y los titulares subordinados, según sus competencias, deben definir, implantar, verificar y perfeccionar un proceso permanente y participativo de valoración del riesgo institucional, como componente funcional del SCI. Las autoridades indicadas deben constituirse en parte activa del proceso que al efecto se instaure. 3.2 Sistema específico de valoración del riesgo institucional (SEVRI)
El jerarca y los titulares subordinados, según sus competencias, deben establecer y poner en funcionamiento un sistema específico de valoración del riesgo institucional (SEVRI). El SEVRI debe presentar las características e incluir los componentes y las actividades que define la normativa específica aplicable6. Asimismo, debe someterse a las verificaciones y revisiones que correspondan a fin de corroborar su efectividad continua y promover su perfeccionamiento. 3.3 Vinculación con la planificación institucional
La valoración del riesgo debe sustentarse en un proceso de planificación que considere la misión y la visión institucionales, así como objetivos, metas, políticas e indicadores de desempeño claros, medibles, realistas y aplicables, establecidos con base en un conocimiento adecuado del ambiente interno y externo en que la institución desarrolla sus operaciones, y, en consecuencia, de los riesgos correspondientes.
Asimismo, los resultados de la valoración del riesgo deben ser insumos
para retroalimentar ese proceso de planificación, aportando elementos para que el jerarca y los titulares subordinados estén en capacidad de revisar, evaluar y ajustar periódicamente los enunciados y supuestos que sustentan los procesos de planificación estratégica y operativa institucional, para determinar su validez ante la dinámica del entorno y de los riesgos internos y externos.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 27 | 39-SPMH
3.4 Valoración del riesgo en instituciones de menor tamaño
El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben instaurar prácticas sistemáticas que permitan evaluar según los errores y logros pasados, las eventuales situaciones que puedan afectar el desempeño de la institución, las cuales deben analizarse y priorizarse considerando su importancia y posibilidades de que se vayan a volver a presentar. Con base en ello, deben adoptar las políticas, procedimientos y mecanismos que permitan el manejo apropiado de esas situaciones.
DIRECTRIZ DEL SEVRI
3.3. Ambiente de apoyo. En cada institución deberá existir una estructura
organizacional que apoye la operación del SEVRI, así como promoverse una cultura favorable al efecto. Para lo anterior, se deberá promover al menos:
• Conciencia en los funcionarios de la importancia de la valoración del riesgo para el cumplimiento de los objetivos institucionales.
• Uniformidad en el concepto de riesgo en los funcionarios de la institución.
• Actitud proactiva que permita establecer y tomar acciones anticipando las consecuencias que eventualmente puedan afectar el cumplimiento de los objetivos.
• Responsabilidades definidas claramente en relación con el SEVRI para los funcionarios de los diferentes niveles de la estructura organizacional.
• Mecanismos de coordinación y comunicación entre los funcionarios y las unidades internas para la debida operación del SEVRI.
ESTRUCTURA ORGANIZACIONAL PARA LA OPERACIÓN DEL SEVRI
Para dar mantenimiento y perfeccionamiento de SEVRI, se toma la estructura organizacional vigente, como medio para operativizar SEVRI y obtener como producto un portafolio institucional de riesgos.
Como actores del SEVRI se definen los siguientes, asi como su rol dentro del sistema para su implementación, de conformidad con la norma aplicable.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 28 | 39-SPMH
JERARCA
LEY 8292, ART. 10,12 Y 19 NORMA 1,4-2.2-3.2 DIRECTRIZ DEL SEVRI
Le corresponde:
• Aprobar los componentes del SEVRI
• Aprobar los ciclos de revisión del SEVRI
• Aprobar las estrategías para el mantenimiento y perfeccionamiento del SEVRI
• Aprobar el Portafolio de Riesgos Estratégico e Institucional
• Velar por efectivo cumplimiento de la normativa relacionada con el SEVRI.
• Tomar medidas para garantizar el cumplimiento de las responsabilidades del SEVRI
SUBSISTEMA CONTROL ESTRATÉGICO
Ley 8292, art. 10,12 y 19 Norma 1,4-2.2-3.2 Directriz del SEVRI
Le corresponde
• Promover la actualizar los componentes del SEVRI
• Validar las actividades de los ciclos de revisión del SEVRI
• Validar las estrategías para el mantenimiento y perfeccionamiento del SEVRI
• Validar el Portafolio de Riesgos Estratégico e Institucional
• Validar informes sobre el cumplimiento de la normativa relacionada con el SEVRI
• Validar informes sobre el cumplimiento de las responsabilidades del SEVRI, por parte de los Titulares Subordinados y Funcionarios en general
UNIDAD DE CONTROL INTERNO
Ley 8292, art. 10,12 y 19 Norma 1,4-2.2-3.2 Directriz del SEVRI
Le corresponde:
• Actualizar los componentes del SEVRI
• Definir y dirigir las actividades de los ciclos de revisión del SEVRI
• Proponer y dirigir las estrategías para el mantenimiento y perfeccionamiento del SEVRI
• Proponer el Portafolio de Riesgos Estratégico e Institucional
• Verificar el cumplimiento de la normativa y estrategias relacionada con el SEVRI
• Verificar el cumplimiento de las responsabilidades del SEVRI, por parte de los Titulares Subordinados y Funcionarios en general
• Revisar, monitorear e informar sobre el estado del SEVRI institucional
• Comunicar a los resultados de los ciclos de revisión del SEVRI y de las medidas adportadas para su fortalecimiento
TITULARES SUBORDINADOS
Ley 8292, art. 10,12 y 19 Norma 1,4-2.2-3.2 Directriz del SEVRI
Le corresponde
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 29 | 39-SPMH
• Velar por el cumplimeinto de los componentes del SEVRI
• Implementar las actividades del SEVRI
• Implementar las estrategías para el mantenimiento y perfeccionamiento del SEVRI
• Mantener actualizados los modelos de riesgos
• Velar por el cumplimiento de la normativa relacionada con el SEVRI
• Velar por adecuada implementación de las estrategias relacionada con el SEVRI
• Verificar el cumplimiento de las responsabilidades producto del SEVRI, por parte de los Funcionarios a su cargo
• Realizar las correspondientes rendiciones de cuentas y requerimientos de información sobre la gestión de riesgos
• Promover un ambiente favorable para la gestión de riesgos asociados a las labores sustantivas y proceso
• Analizar y validar los informes suministrados por los Designados de Control interno, como apoyo a la toma de decisiones
• Analizar y validar los reportes suministrados por los Designados de Control interno, como apoyo a la toma de decisiones
• Verificar que el acervo documental del SEVRI se mantenga actualizado y disponible
DESIGNADOS DE CONTROL INTERNO
Ley 8292, art. 13 y 17 Norma 1.5- 6.3.1 Directriz del SEVRI
Le corresponde:
• Apoyar al Titular en el cumplimeinto de los componentes del SEVRI
• Apoyar al Titular en la implementación de las actividades del SEVRI
• Informar al Titulares sobre el estado del cumplimiento de las estrategías definidas por la Administración Superior, para el mantenimiento y perfeccionamiento del SEVRI
• Mantener actualizados los modelos de riesgos en el SACI-Plus
• Elaborar los informes y reportes como apoyo para la toma de decisiones de los Titulares, sobre el estado de la gestión de riesgos a nivel de la Dependencia
• Elaborar los reportes producto de los modelos riesgos como apoyo a la toma de decisiones de los Titulares, sobre el comportamiento de los riesgos
• Mantener actualizado y disponible el acervo documental del SEVRI
• Realizar a nivel interno los procesos de culturización en materia de control interno y gestión de riesgos
FUNCIONARIOS EN GENERAL
Ley 8292, art. 13 y 17 Norma 1.5- 6.3.1 Directriz del SEVRI
Le corresponde
• Participar activamente, observando el ordenamiento jurídico y técnico las acciones necesarias para dar mantenimiento y perfeccionamiento del SCI.
• Comunicar de manera oportuna cualquier oportunidad de mejora o desviación detectada en
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 30 | 39-SPMH
MONITOREO Y SEGUIMIENTO
Como acciones de monitoreo se establecen ciclos de revisión anuales, con revisiones y seguimiento definidos en las estrategias para el manteamiento y perfeccionamiento del SEVRI. Los ciclos de revisión se realizarán del 1 de junio al 30 de abril de los años correspondientes, considerando que la definición de medidas de administración que requieren de presupuesto y que deben debe ser incorporadas en el anteproyecto de presupuesto, para darles el respectado contenido.
MECANISMOS DE COMUNICACIÓN Y DIVULGACIÓN
La comunicación se realizará directamente con el Titular Subordinado de cada Dependencia y en el caso de las Subgerencias Gestión Sistemas Periféricos, Subgerencias Gestión Sistemas GAM, Subgerencias Ambiental, Investigación y Desarrollo, se realizará únicamente con el Subgerente de cada área. Se utilizarán como mecanismos de comunicación y control los siguientes: reuniones, sesiones de trabajo, memorandos, correos electrónicos, videoconferencias, cronogramas de trabajo, visitas de verificación, talleres o similares o algún otro.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 31 | 39-SPMH
III- COMPONENTE SUJETOS INTERESADOS DEL SEVRI PARA EL
AYA
En cumplimiento de lo que establece las Directrices Generales para el
Establecimiento y Funcionamiento del Sistema Específico de Valoración del
Riesgos Institucional (SEVRI) D-3-2005-CO-DFOE, se ajusta el Componente de
Sujetos Interesados de la siguiente manera, vinculando los grupos de interés
definidos en el Marco Orientador:
GRUPO DE INTERÉS
SUJETO INTERESADO
FACTOR POR VALORAR
Usuarios del
servicio de agua
Usuarios
ASADAS
Desarrolladores
Agua Potable Calidad del
Servicio
Continuidad Presión
Atención amable y oportuna
Tecnología que facilite el servicio
Disponibilidad del servicio
Reparación rápida de fugas y calles
Comunicación e información oportuna y resumida
Claridad del cobro
Usuarios del Servicio de saneamiento
Usuarios ASADAS Desarrolladores
Recolección y Tratamiento de desechos adecuada
Correcta disposición
Cobertura Disponibilidad del Servicio
Reparación rápida de fugas y calles
Disminuir impacto ambiental
Comunicación e información oportuna y resumida
Claridad del servicio
Cuerpo de
bomberos
Cuerpo de
bomberos Cantidad y
disponibilidad de
Disponibilidad de
hidrantes con la
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 32 | 39-SPMH
Comunidades
Desarrolladores
agua presión adecuada
Gobierno
Ministerios
Instituciones
Autónomas
Entidades
financieras
Alineamiento
con el Plan
Nacional de
Desarrollo (PND)
Coordinación
con otras
instituciones
Ejecución del
presupuesto Transparencia
Agilidad
Apoyo al
desarrollo
económico
Fortalecimiento de la gestión comunitaria del agua y disponibilidad
Sociedad Comunidades
Reparación de
calles y fugas
rápidas
Contaminación de
ríos y mares por
descargas
residuales
Alteración de las fuentes de agua
Disponibilidad del servicio
Prevención de riesgos y atención de emergencias
ASADAS
ASADAS FLU Confederaciones de ASADAS
Asesoría técnica Capacitación
Acompañamiento Asesoramiento
Respuesta pronta a solicitudes
Operadores
Municipalidades
ASADAS
Empresas
prestadoras de
servicio de agua
potable y
Rectoría Asesoría técnica
Respuesta pronta a solicitudes
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 33 | 39-SPMH
saneamiento
Grupos
Ambientalistas Ambientalistas
Proyectos de AyA
que no afecten la
naturaleza
Protección de
fuentes y
aseguramiento del
agua
Disponibilidad adecuada de aguas negras
Servicios de armonía y sostenibilidad
Entes reguladores Entes reguladores
y de fiscalización
Información
oportuna
Calidad del
servicio
Proveedores
Empresas
públicas o
privadas
suplidoras de
bienes y servicios
Instituciones
públicas
suplidoras de
bienes y servicios
Propietarios de
terrenos
Pagos a tiempo Disponibilidad del
servicio
Ejecución de
proyectos
Simplificación de
trámites
Respuesta oportuna
Otras instituciones
ONG
Fundaciones
Consejo de
desarrollo
inmobiliario de
Costa Rica
Cámara de la
construcción
Coordinación e
información
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 34 | 39-SPMH
Academia
Escuelas públicas
o privadas
públicas o
privadas
Colegios
Universidades
públicas o
privadas
Colegios de
profesionales
Proyectos de
cooperación
Espacios para
investigación
Coordinación para transferencia de conocimientos
Medios de
comunicación
Prensa escrita,
televisiva o radial
Medios digitales
Información
oportuna y
positiva
Pautas
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 35 | 39-SPMH
III- GLOSARIO
Aceptación o tolerancia del riesgo: acción de no tomar ninguna decisión que afecte la probabilidad o la consecuencia del riesgo. La tolerancia al riesgo se puede complementar con la planificación de contingencia para manejar los impactos que se presentarán si se manifiesta el riesgo. Administración de riesgos: Actividad del proceso de valoración del riesgo que consiste en la identificación, evaluación, selección y ejecución de medidas para la administración de riesgos. Actividades de control o Controles: Parte de la administración de riesgos que involucra la ejecución de políticas, estándares y procedimientos para eliminar o minimizar los riesgos. Actividades de la Institución: Calificador para los riesgos que permite vincular éstos con las actividades que ejecuta la Institución, y así analizar cuales actividades pueden verse afectadas por la presencia de los riesgos Análisis de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados. Análisis cualitativo: Descripción textual para definir la magnitud de las consecuencias potenciales de materialización de un riesgo, la frecuencia de la probabilidad con que el riesgo se pudiese presentar y el nivel de riesgo asociado. Análisis cuantitativo. Valoración numérica para definir la magnitud de las consecuencias potenciales de materialización de un riesgo, la frecuencia de la probabilidad con que el riesgo se pudiese presentar y el nivel de riesgo asociado. Categorías de riesgos: Calificador para los riesgos, a través del cual sea posible agrupar éstos en diferentes familias, según sean los daños que puede provocar su materialización. Comunicación de riesgos: Actividad permanente del proceso de valoración del riesgo que consiste en la preparación, la distribución y la actualización de información oportuna sobre los riesgos a los sujetos interesados.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 36 | 39-SPMH
Consecuencia: Conjunto de efectos derivados de la ocurrencia de un evento expresado cualitativa o cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias. Disparadores de riesgos: eventos que se asocian con la posible aparición de un riesgo u oportunidad. Documentación de riegos: Actividad permanente del proceso de valoración de riesgos que consiste en el registro en el SACI+r o en forma escrita de la sistematización de la información asociada con los riesgos. Estructura de riesgos: agrupación de riesgos por consecuencia, probabilidad, categorías, factores de riesgos, áreas de impacto u otras variables, para valoración integral como apoyo a la toma de decisiones. Evaluación de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación, a través de mecanismos de análisis, de las prioridades para la administración de riesgos. Evitar el riesgo: Acción de no ejecutar las acciones que involucran la materialización del riesgo, esta decisión se debe analizar con mucho cuidado, ya que de no definirse adecuadamente puede aumentar la exposición de otros riesgos. Factor de riesgo: Calificador para los riesgos, a través del cual será posible agrupar éstos en sus respectivos grupos; según sean las fuentes u originadores que provocan que el riesgo se materialice. Designados de Control Interno: funcionario designado por los Titulares Subordinados de la administración estructural o funcional, para brindar apoyo en el mantenimiento y perfeccionamiento del SEVRI del área para la cual labora. Identificación de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación y la descripción de los eventos de índole interno y externo que pueden afectar de manera significativa el cumplimiento de los objetivos de la Institución Jerarca o Junta Directiva: Superior Jerárquico con la mayor autoridad para tomar decisiones.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 37 | 39-SPMH
Medida para la administración de riesgos o tratamiento: Disposición razonada definida por la Institución previo a la ocurrencia de un evento para reducir, transferir, evitar, aceptar o tolerancia del riesgo. Nivel de riesgo o exposición del riesgo: Grado de exposición al riesgo que se determina a partir del análisis de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite establecer la importancia relativa del riesgo.
Nivel de riesgo aceptable: Nivel de riesgo que la Institución está dispuesta y en capacidad de retener para cumplir con sus objetivos, sin incurrir en costos ni efectos adversos excesivos en relación con sus beneficios esperados o ser incompatible con las expectativas de los sujetos interesados.
Normativa Estándar Australiano de Administración de Riesgos (AS/NZS 4360:1999): Estándar mundialmente aplicado que provee una guía para el establecimiento e implementación para el proceso de administración de riesgos Parámetros de aceptabilidad de riesgos: Criterios que permiten determinar si un nivel de riesgo específico se ubica o no dentro de la categoría de nivel de riesgo aceptable. Política de valoración de riesgos: Declaración emitida por el Jerarca, que orienta el accionar institucional en relación con la valoración de riesgos. Probabilidad: Medida o descripción de la posibilidad de ocurrencia de un evento. Reducir Consecuencia: Acción de ejecutar acciones para minimizar la consecuencia ante la materialización de un evento. Reducir Probabilidad: Acción de ejecutar acciones para minimizar la probabilidad ante la materialización de un evento. Riesgo: Probabilidad de que ocurran eventos que tendrían consecuencias sobre el cumplimiento de los objetivos de la Institución. Su medición se da en términos de consecuencia y probabilidad. Riesgo Absoluto: Análisis de la probabilidad y consecuencia que persigue como objetivo evaluar el riesgo inherente a una labor sustantiva, a la cual podría estar expuesta la Institución ante la materialización del riesgo en estudio.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 38 | 39-SPMH
Riesgo controlado: Análisis que persigue para determinar si el ambiente de control con que cuenta actualmente la Institución permite minimizar la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo absoluto. Riesgo tratado: Análisis que persigue como objetivo determinar si, una vez concluidas las acciones propuestas para la administración del riesgo, se ha logrado minimizar a los niveles propuestos, la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo controlado. Riesgo residual: Nivel de riesgo que la Institución está dispuesta a aceptar o asumir. SCE: Subsistema Control Estratégico, equipo de nivel gerencial, con autoridad para tomar las decisiones para el mantenimiento y perfeccionamiento del SEVRI. Sistema específico de valoración de riesgo institucional (SEVRI): conjunto organizado de elementos que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales. Sujetos Interesados: Personas físicas o jurídicas, internas y externas a la Institución, que pueden afectar o ser afectadas directamente por las decisiones y acciones institucionales. Titular Subordinado: funcionario de la administración activa, con autoridad para ordenar o tomar decisiones. Transferir riesgo: Acción de ejecutar acciones en las cuales un tercero asume parte o totalidad de los efectos provocados por la materialización del riesgo. UCI: Unidad de Control Interno, Dependencia institucional encargada del proceso institucional de control interno y de valoración del riesgo.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 39 | 39-SPMH
Control de Cambios:
Versión Fecha de Actualización Actualizado por:
Validado por:
3 Emisión: setiembre de 2018 UCI Acuerdo No. 2018-369
2 Emisión: febrero de 2017 UCI Acuerdo No. 2017-040
1 Emisión: enero de 2010 UCI Acuerdo No. 2010-587