subsistema control estratégico

INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA

UNIDAD DE CONTROL INTERNO

P á g i n a 1 | 39-SPMH

Subsistema Control Estratégico

SISTEMA ESPECÍFICO VALORACIÓN DEL RIESGO INSTITUCIONAL (SEVRI)

COMPONENTES DEL SEVRI PARA EL AYA:

MARCO ORIENTADOR DEL SEVRI

AMBIENTE DE APOYO SUJETOS INTERESADOS

NOVIEMBRE-2018




Contenido I- COMPONENTE MARCO ORIENTADOR DEL SEVRI PARA EL AYA....................... 4

INTRODUCCIÓN ............................................................................................................... 4

POLÍTICA DE VALORACIÓN DE RIESGO INSTITUCIONAL .......................................... 5

OBJETIVOS DE VALORACION DE RIESGOS INSTITUCIONAL .................................... 5

COMPROMISO ANTE EL SEVRI ...................................................................................... 6

ALCANCE DE LA POLÍTICA ............................................................................................ 7

LINEAMIENTOS INSTITUCIONALES PARA ESTABLECER LOS NIVELES DE

RIESGOS ACEPTABLE .................................................................................................... 7

ESTRATEGIA PARA ESTABLECER MANTENER, PERFECCIONAR Y EVALUAR EL

SEVRI ................................................................................................................................ 8

MANTENIMIENTO DEL SEVRI ......................................................................................... 8

PERFECCIONAMIENTO DEL SEVRI ............................................................................... 9

EVALUACIÓN DEL SEVRI ............................................................................................. 10

INDICADORES DEL SEVRI ............................................................................................ 10

NORMATIVA DEL SEVRI ............................................................................................... 11

PROCEDIMIENTO DEL SISTEMA .................................................................................. 11

ANÁLISIS ESTRATÉGICO DE LA INSTITUCIÓN .......................................................... 11

ANÁLISIS ORGANIZACIONAL DE LA INSTITUCIÓN ................................................... 12

CRITERIOS PARA LA VALORACIÓN DE RIESGOS ..................................................... 12

ESTRUCTURA DE RIESGOS ......................................................................................... 19

PRIORIDADES Y CRITERIOS DE ACEPTABILIDAD PARA LA VALORACIÓN DEL

RIESGO........................................................................................................................... 23

II- COMPONENTE AMBIENTE DE APOYO DEL SEVRI PARA EL AYA .................... 25

FUNDAMENTO LEGAL .................................................................................................. 25

FUNDAMENTO TÉCNICO .............................................................................................. 26




DIRECTRIZ DEL SEVRI .................................................................................................. 27

ESTRUCTURA ORGANIZACIONAL PARA LA OPERACIÓN DEL SEVRI .................... 27

MONITOREO Y SEGUIMIENTO...................................................................................... 30

MECANISMOS DE COMUNICACIÓN Y DIVULGACIÓN ................................................ 30

III- COMPONENTE SUJETOS INTERESADOS DEL SEVRI PARA EL AYA ................ 31

III- GLOSARIO .............................................................................................................. 35




I- COMPONENTE MARCO ORIENTADOR DEL SEVRI PARA EL AYA

INTRODUCCIÓN

El presente documento tiene como objetivo establecer el marco normativo, así como el componente de apoyo, que contiene los criterios necesarios para el establecimiento de la gestión de riesgos institucional, en concordancia con lo que indica la Ley 8292 en sus artículos No. 14, 18 y 19, los cuales indican lo siguiente:

“… Artículo 14. —Valoración del riesgo. En relación con la

valoración del riesgo, serán deberes del jerarca y los titulares

subordinados, entre otros, los siguientes:

a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos.

b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.

c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.

d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.

Artículo 18. —Sistema específico de valoración del riesgo institucional. Todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo.

La Contraloría General de la República establecerá los criterios y las directrices generales que servirán de base para el establecimiento y




funcionamiento del sistema en los entes y órganos seleccionados, criterios y directrices que serán obligatorios y prevalecerán sobre los que se les opongan, sin menoscabo de la obligación del jerarca y titulares subordinados referida en el artículo 14 de esta Ley.

Artículo 19. —Responsabilidad por el funcionamiento del sistema. El jerarca y los respectivos titulares subordinados de los entes y órganos sujetos a esta Ley, en los que la Contraloría General de la República disponga que debe implantarse el Sistema Específico de Valoración de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo institucional aceptable…”

POLÍTICA DE VALORACIÓN DE RIESGO INSTITUCIONAL

El Instituto Costarricense de Acueductos y Alcantarillados, propiciará la mejora continua a las funciones sustantivas, a través del perfeccionamiento y mantenimiento del SEVRI, como apoyo a la toma de decisiones, en cumplimiento de la misión, visión y objetivos institucionales. Esta política, debe contribuir a ubicar la gestión institucional del riesgo, en un nivel de aceptable para asegurar la continuidad de los procesos y operaciones.

OBJETIVOS DE VALORACION DE RIESGOS INSTITUCIONAL

Objetivo General

• El Instituto Costarricense de Acueductos y Alcantarillados, a través de las actividades del SEVRI, producirá información sobre los riesgos relevantes asociados a las labores de los procesos estratégicos, sustantivos y de apoyo, como soporte a la toma de decisiones considerando la Planificación Estratégica y la normativa que regula su operación, orientado a ubicar los riesgos en niveles aceptables.




Objetivos Específicos

• Implementar las estrategias aprobadas por el Jerarca para el perfeccionamiento y mantenimiento del Sistema de Valoración del Riesgo Institucional, como apoyo a la toma de decisiones.

• Identificar, analizar y valorar los riesgos que afectan la ejecución de las funciones sustantivas y aplicarles las medidas necesarias para ubicarlos y estabilizarlos en niveles de riesgos aceptables.

• Lograr uniformar el concepto de riesgo y la metodología de trabajo de la valoración del riesgo Institucional.

• Vincular la valoración del riesgo al proceso de planificación estratégica, considerando objetivos, metas y políticas institucionales para el logro de los objetivos Institucionales.

• Generar y registrar históricos de riesgos, de conformidad con los cambios del entorno

• Establecer métodos y mecanismos idóneos para ejecutar las acciones de comunicación y divulgación de la información relacionada con el Sistema Específico de Valoración de Riesgos.

COMPROMISO ANTE EL SEVRI

El Órgano Colegiado en su condición de Superior Jerárquico, promoverá la gestión de riesgos institucional como un componente clave para el logro de los objetivos del AyA, su participación será activa para la consolidación del sistema en apoyo a la toma de decisiones a todo nivel. Los Titulares Subordinados en su condición de responsable de un proceso, con autoridad para ordenar y tomar decisiones, gestionarán las acciones necesarias de mantener y perfeccionar la gestión de riesgo. Los funcionarios en general realizaran las acciones pertinentes en relación con el mantenimiento y perfeccionamiento del SEVRI y con observancia de las regulaciones aplicables.




ALCANCE DE LA POLÍTICA

El ámbito de acción de la gestión integral de riesgos debe permitir el cumplimiento

y validación de aquellos eventos que pudieran impedir a la Institución, alcanzar su

misión, visión y valores Institucionales de acuerdo con lo señalado en su Plan

Estratégico Institucional 2016-2020.

Esta política aplica para la organización funcional del AyA, así como a las

unidades ejecutoras que desarrollan proyectos en la Institucional de la siguiente

manera:

Primer Nivel

Riesgos asociados al cumplimiento de la misión, visión y objetivos institucionales

Identificación de riesgos asociados al Plan Estratégico Institucional vigente

Segundo nivel

Riesgos asociados al entorno y prestación del servicio

Identificación riesgos asociados a las labores sustantivas y mapa de procesos institucional

LINEAMIENTOS INSTITUCIONALES PARA ESTABLECER LOS

NIVELES DE RIESGOS ACEPTABLE

Se establece como elementos prioritarios a valorar los riesgos asociados en un primer nivel, a los objetivos estratégicos institucionales y en un segundo nivel entorno y prestación del servicio. De acuerdo con lo anterior, entiéndase como objetivos estratégicos la actividad sustantiva de la institución y que se encuentra asociada al Plan Estratégico 2016-2020. En lo que se refiere a la valoración del entorno y a la prestación de los servicios, deberán considerarse los planes, programas y proyectos, que se realizan dentro de la planificación institucional. Para establecer estas prioridades de valoración, se debe realizar un estudio de los riesgos asociados a las labores sustantivas y procesos en los cuales involucra, considerando los controles existentes y analizar riesgos en términos de




consecuencias y probabilidades, con el fin de ubicarlos en un nivel que permita la continuidad del negocio, en una eventual materialización. Se define cono nivel de aceptabilidad aquellos riesgos en lo que su nivel de impacto, en términos de consecuencia y probabilidad, son considerados bajos o mínimos. (ver tabla de severidad)

ESTRATEGIA PARA ESTABLECER MANTENER, PERFECCIONAR Y

EVALUAR EL SEVRI

Para la definición de la estrategia del SEVRI, se han tomado las siguientes variables de la directriz del SEVRI (documento emitido en el diario oficial Gaceta del martes 12 de julio del 2005, cuya referencia es R-CO-64-2005):

ESTABLECIMIENTO DEL SEVRI

Para el establecimiento del SEVRI, la Institución debe consolidar una serie de planes de acción y actividades que permitirán un afianzamiento y operación del SEVRI, dentro de los aspectos que deben ser considerados se encuentran los siguientes:

1- Elaboración del Portafolio Institucional de Riesgos

2- Actualización del Marco Orientador, Componente de Apoyo y Sujetos Interesados, según los cambios del entorno y como resultado del nivel de madurez que se determine de conformidad con las evaluaciones realizadas y cuando el SCE determine su pertinencia.

3- Aplicación del Modelo de Madurez del SEVRI con el fin de conocer el nivel de mantenimiento y perfeccionamiento del sistema.

MANTENIMIENTO DEL SEVRI

• Vincular la gestión integral de riesgos con la Planificación Estratégica, considerando la presupuestación de las acciones requeridas para administrar los riesgos críticos que se han sido identificados con el objetivo de ubicarlos en




un nivel de riesgo aceptable y que apoyen la toma de decisiones para el cumplimiento de la misión, visión y objetivos institucionales

• Formalizar actividades para la revisión de los ciclos del SEVRI y que además se comuniquen y monitoreen los resultados de la aplicación de los lineamientos de la valoración de riesgos institucional.

• Propiciar un proceso de capacitación en torno a los diversos tópicos relacionados con la valoración del riesgo y aquellos aspectos de índole estratégico, sustantivos o de apoyo, que se considere conveniente, con la finalidad de consolidar una gestión integral de riesgos dentro de la Institución

• Realizar seguimientos a planes y tratamiento de riesgos definidos, para verificar los avances en la ejecución de cada uno de los procesos de mejoramiento, considerando las acciones específicas de mitigación de riesgos y protocolos de atención en casos de materialización, mejorando los sistemas de control interno establecidos por cada Titular Subordinado

• Establecer canales de comunicación abiertos, apropiados y constantes a través de los cuales los Sujetos Interesados puedan aclarar cualquier duda u obtener información relacionada con el SEVRI.

PERFECCIONAMIENTO DEL SEVRI

Para propiciar una cultura de perfeccionamiento, en el cumplimiento de las revisiones anuales de los ciclos debe ser constante, con la finalidad de poder determinar cambios requeridos a la estructura de riesgos o a los lineamientos establecidos en el Marco Orientador, estas revisiones pueden ser generadas por alguno de los siguientes eventos:

▪ Desarrollo o actualización de los Planes estratégicos institucionales.

▪ Planes Anuales Operativos, que reflejan la situación del corto plazo.

▪ Cambios en el ambiente interno y externo o estructura organizacional.

▪ Cambios en el marco legal o regulatorio a nivel interno y externo.

▪ Revisión de la metodología de autoevaluación, con el objetivo de mejorar el

proceso para futuras evaluaciones, atender más prontamente los requerimientos en materia de control interno y administración de riesgos




que puedan requerir los Entes Contralores, Supervisores o la misma Administración Superior de la Institución.

▪ Propiciar nuevas estrategias para el monitoreo de las medidas de

administración de riesgos definidas y determinar el avance de los procesos de mitigación y tratamiento de los riesgos considerados como críticos.

EVALUACIÓN DEL SEVRI

Se definen como mecanismos de evaluación del SEVRI, los siguientes:

• De cumplimiento: acciones relacionadas con las actividades previstas en las estrategias definidas para el mantenimiento y perfeccionamiento SEVRI.

• De resultados: acciones relacionadas con las rendiciones de cuentas de los Titulares Subordinados y la efectividad de los modelos de riesgos definidos en cada una de las áreas, con el objetivo de ubicar a la gestión de riesgos institucional en un nivel de riesgos aceptable.

• De información: acciones relacionadas producción de la información proveniente del SEVRI, como apoyo a la toma de decisiones en los procesos estratégicos, sustantivos y de apoyo.

• Nivel de madurez: Aplicación del Modelo de Madurez del SEVRI

INDICADORES DEL SEVRI

El proceso de definición de los indicadores para el SEVRI, es una actividad que es

inherente a la formalización de la estructura de riesgos, debido a que cada

indicador de riesgo se deriva de las actividades que son desarrolladas.

Para la definición de estos, deberán vincularse a la planificación estratégica y los

tipos de indicadores que deberán definirse serán de eficiencia, eficacia y

calidad.

Estos deberán ser atinentes, claros, uniformes, entendibles y de conocimiento

general de todos los participantes.




Las metas deberán ser evaluadas en términos cuantitativos, pero cuando sea

necesario se evaluará en términos cualitativos debidamente justificado, para

establecer su cumplimiento.

NORMATIVA DEL SEVRI NORMATIVA EXTERNA

• Ley General de Control Interno, No. 8292

• Normas de Control Interno para el Sector Público

• Directrices CGR sobre SEVRI, Resolución R-CO-64-2005.

•

NORMATIVA INTERNA La normativa interna que regula el SEVRI del AyA, se encuentra contenida en el presente Marco Orientador, Componente de Ambiente de Apoyo y Sujetos Interesados.

PROCEDIMIENTO DEL SISTEMA Para implementar el SEVRI de la Institución se deben ejecutar primeramente las siguientes actividades:

• Análisis estratégico del entorno institucional

• Análisis Organizacional de la Institución

• Criterios para la valoración

• Estructura del SEVRI

• Procedimiento del SEVRI

ANÁLISIS ESTRATÉGICO DE LA INSTITUCIÓN

Se debe realizar un análisis detallado de las relaciones de la Institución con el entorno en el cual se desenvuelve. Esto involucra a todos los sujetos interesados que tienen algún interés en las tareas que ejecuta la Institución, así como aquellos factores que se consideren como disparadores de riesgos.




Este análisis debe considerar un estudio detallado de la información existente en la Institución que tenga relación con los planes estratégicos, operativos, proyectos y cualquier que permita identificar los siguientes aspectos:

• Fortalezas, oportunidades, debilidades y amenazas de la Institución

• Marco legal, político, cultural, entre otros.

• Sujetos interesados

ANÁLISIS ORGANIZACIONAL DE LA INSTITUCIÓN

Tomando como punto de partida las funciones sustantivas y procesos de la organización existente, se deben documentar los riesgos de la Institución, considerando al menos la siguiente información:

• Plan Estratégico

• Planes Anuales Operativos

• Procesos de levantamiento documentación y normalización de procesos

• Manual de Organización Funcional

• Cualquier otra información que permita identificar el marco organizacional que puede verse afectado ante la materialización de los riesgos que posteriormente se analizarán y administrarán.

CRITERIOS PARA LA VALORACIÓN DE RIESGOS

De acuerdo con los lineamientos establecidos por el Ente Fiscalizador, se debe efectuar un análisis de su consecuencia y probabilidad de la gestión de riesgos institucional, de conformidad con las siguientes tablas de valoración:




Valoración de la Consecuencia

Los criterios para la valoración de la consecuencia es la siguiente:

Criterio Cualitativo

Descripción Criterio

Cuantitativo

Insignificante

Los daños no son perceptibles y pasan inadvertidos

No afectan el cumplimiento de los objetivos institucionales

1

Menor

Los daños son mínimos, no implican perjuicios

Los procesos estratégicos, sustantivos y de apoyo no se ven comprometidos.

2

Moderado

Los daños son moderados, no excesivos

Los procesos estratégicos, sustantivos y de apoyo, se pueden

ver afectados y requieren atención para su corrección

3

Mayor

Los daños son considerables

Los procesos estratégicos, sustantivos y de apoyo, pierden

capacidad de operación, no se pueden cumplir con los objetivos institucionales de manera razonable

4

Catastrófico

Los daños son adversos, no pueden ser reparados fácilmente e

implican pérdidas muy altas para la institución

Los procesos estratégicos, sustantivos y de apoyo, se ven altamente comprometidos en su operación

5




Valoración de la Probabilidad

Los criterios para la valoración de la probabilidad es la siguiente:

Criterio Cualitativo

Descripción Criterio

Cuantitativo

Casi Certeza

Se espera que el evento se manifieste en casi la totalidad de los

casos

5

Probable

Se espera que el evento pueda ocurrir en la mayoría de los

casos

4

Posible

Se espera que el evento ocurra en algunas ocasiones

3

Poco Probable

Se espera que el evento ocurra en escasas ocasiones

2

Raro

Sería excepcionalmente raro que ocurriera

1

El análisis debe considerar los siguientes escenarios:

Evaluación Riesgo Absoluto

Se asocia con la evaluación del riesgo sin controles o riego inherente de cada una de las labores sustantivas, en este caso se procede a realizar un análisis de la probabilidad y la consecuencia de aquellos aspectos que se han considerado como factores de riesgos. Esta valoración permite determinar el nivel de riesgo inherente al que podría estar expuesta la Institución ante la materialización del riesgo identificado. En la determinación de la consecuencia se deberán tomar en cuenta todos los posibles efectos negativos y positivos que están relacionados con los riesgos. En la determinación de la probabilidad se deberán considerar todos aquellos datos históricos, estadísticos y de experiencia que permitan definir la frecuencia con que el riesgo analizado se puede materializar.




Por la naturaleza y análisis que implica la evaluación del riesgo absoluto, es de esperarse que éstos, se ubiquen en niveles extremos o altos, pero en términos generales esta característica es determinada por la naturaleza de la Institución y la importancia relativa de cada una de las áreas organizacionales en el logro de los objetivos de esta.

GRÁFICO DE EVALUACIÓN DE RIESGO Casi Certeza 5

5 10 15 20

25

Probable 4

4 8 12

16 20

Posible 3

3 6 9 12 15

Poco Probable 2

2 4 6 8 10

Raro 1

1 2 3 4 5

1 2 3 4 5

Insignificante Menor Moderado Mayor Catastrófico

Evaluación Riesgo Controlado

Esta evaluación está orientada en determinar si el ambiente de control con que cuenta actualmente la Institución permite minimizar la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo absoluto, la evaluación del riesgo controlado debe estar integrada con los procesos de mejoramiento y perfeccionamiento del Sistema de Control Interno de la Institución. Para la evaluación de este ambiente de control, se utilizará la auto evaluación de controles y a cada una de estas medidas de control se le deberá de realizar los análisis siguientes:

R1

R2 R3




Clasificación de Controles

A cada control se le efectuará un análisis mediante el cual se identifiquen cuales medidas son claves para la mitigación y cuales controles se consideran como medidas de apoyo o de compensación. Para realizar dicha clasificación se contará con los siguientes criterios:

Criterio

Descripción

Medida de Control Clave

Medidas cuya ejecución adecuada es indispensable

para que el riesgo relacionado no se materialice y de

hacerlo impacte en un grado mínimo los objetivos de la

Institución

Medida de Control No Clave

Medidas cuya ejecución, apoya y fortalece la acción de

las medidas de control claves

Evaluación de Controles

A cada medida de control identificada, se le realizará el análisis respectivo, a través del cual se determinará su nivel de ejecución, para realizar este análisis se considerará, como mínimo los siguientes puntos:

• La ejecución de la medida

• La efectividad con la que esta medida se está realizando Como resultado de este análisis a cada uno de los controles revisados, se les

asignará alguna de los supuestos de evaluación que se detallan en la siguiente

tabla:




Ejecución de la medida Efectividad de la medida

Al parecer la medida de control no se está ejecutando Sin Medida de Control

La medida de control no es efectiva o se ejecuta esporádicamente Medida de Control Pobre

La medida de control es medianamente efectiva, se ejecuta

sistemáticamente, Medida de Control Adecuada

La medida de control es efectiva, se ejecuta sistemáticamente, se

encuentra formalizada y divulgada. Medida de Control Fuerte

La medida de control es efectiva, se ejecuta sistemáticamente,

encuentra formalizada, divulgada y probada. Medida de Control Hermética

Riesgo controlado

Casi Certeza 5

5 10 15 20 25

Probable 4

4 8 12 16 20

Posible 3

3 6 9 12 15

Poco Probable 2

2 4 6 8 10

Raro 1

1 2 3 4 5

1 2 3 4 5

Insignificante Menor Moderado Mayor Catastrófico

GRÁFICO DE EVALUACIÓN DE RIESGO

Aplicación de

Medidas de control

R1: reduce consecuencia

R2: reduce probabilidad

R3: Reduce consecuencia y

probabilidad

R1

R2

R2

R3

R1

R3




Evaluación Riesgo Residual

Esta evaluación tiene el objetivo de determinar el nivel de riesgo a tratar una vez concluidas las acciones propuestas para la administración del riesgo.

M

e

d

Medidas de Administración de Riesgos

La prioridad en la aplicación de medidas de administración será el resultado del análisis del riesgo absoluto vs riesgo controlado y se determinará de conformidad con prioridad establecida institucionalmente. La identificación de las medidas se debe realizar de forma tal, que éstas traten, de abarcar la mayor cantidad de riesgos cuya evaluación no ha sido aceptable, con la finalidad de que los planes de tratamiento y mitigación tengan una relación de costo-beneficio con miras a ubicarlo en un nivel de riesgos aceptable que permita el cumplimiento de los objetivos institucionales. La determinación del tipo de medida a implementar abarcará al menos uno de los siguientes supuestos:

• Reducir la Probabilidad: Definición de medidas que colaboren con la minimización de la probabilidad presentada a través de la evaluación del riesgo controlado, entre éstas están: revisiones preventivas, prácticas




periódicas de auto evaluación de los sistemas de control interno, establecer relaciones contractuales adecuadas con los principales proveedores y facilitadores de los recursos Institucionales, entre otros.

• Reducir la Consecuencia: Definición de medidas que colaboren con la minimización de la consecuencia presentada a través de la evaluación del riesgo controlado, entre estas medidas se pueden establecer programas específicos e integrales de seguridad en el trabajo, continuidad del negocio, planes de continuidad o contingencias informáticas, planes de recuperación de los procesos críticos y manejo de las relaciones públicas, entre otros.

• Transferir el Riesgo: Definir medidas mediante las cuales terceros asuman parte o la totalidad del riesgo que se desea administrar, en este caso, por ejemplo, se deben valorar las prácticas existentes en la Institución de aseguramiento de los activos.

• Evitar el Riesgo (no administrar): No ejecutar las acciones que involucran la materialización del riesgo, esta decisión se debe analizar con mucho cuidado, ya que de no definirse adecuadamente puede aumentar la exposición de otros riesgos.

• Aceptar o tolerancia del riesgo: no se toma ninguna decisión que afecte la probabilidad o la consecuencia del riesgo. La tolerancia al riesgo se puede complementar por supuesto con la planificación de contingencia para manejar los impactos que se presentarán si se manifiesta el riesgo.

ESTRUCTURA DE RIESGOS

Para realizar una evaluación de riesgos más orientada a la naturaleza y características de la Institución, se definen una serie de criterios de clasificación del riesgo, que permitirán identificar los factores críticos sobre los cuales se debe planificar las actividades para administración de los riesgos.

Estos criterios de evaluación, además de agrupar las medidas de administración de riesgos en procesos comunes, permiten generar reportes específicos sobre las consecuencias y probabilidades de ocurrencia de los riesgos y la incidencia que los mismos pueden tener sobre los procesos o actividades críticas que desarrolla la Institución, en atención de los grupos de interés, específicamente en cada sujeto interesado.




Para efectos de analizar los riesgos se deberán clasificar estos de acuerdo con la siguiente estructura previamente definida

Áreas de impacto

Son actividades de la institución permiten vincular el quehacer institucional y así analizar cuales pueden verse afectadas por la posible materialización de riesgos.

Planificación Presupuestaria

Actividades que afectan las finanzas de la Institución

Estrategia Institucional Actividades que afectan la estrategia definida en los diferentes planes de la Institución

Evaluación del desempeño Actividades asociadas a la eficiencia, eficacia y calidad en la prestación de los servicios que brinda el AyA

Monitoreo del entorno Actividades que impactan de manera positiva o negativa la imagen de la Institución

Cumplimiento legal y técnico Actividades que impactan en el cumplimiento de la normativa interna y externa

Categorías de riesgo

La categoría de riesgo es un calificador de riesgos, a través del cual es posible agrupar éstos en diferentes familias, según sean la actividad institucional relacionada a cada área.

Riesgos del entorno Riesgos relacionados con desastres naturales o actividades externas que afectan la Institución

Riesgos del Proceso Riesgos asociados a las actividades internas de la Institución relacionadas con el desempeño de las operaciones

Riesgos de toma de decisiones

Riesgos asociados a los planes de corto, mediano y largo plazo de la Institución




Factores de riesgo (*)

Los factores de riesgo identifican aquellos incidentes o disparadores de riesgos provenientes del entorno en que se desenvuelve la Institución o de situaciones internas que son generados por el desempeño de las actividades institucionales.

Factor de riesgos de I nivel

Factor de riesgos

de II nivel Disparador de riesgos

Relaciones

institucionales:

Relación entre la

institución y los

Sujetos

Interesados

Comunidades

Clientes

Proveedores

Actores sociales

Reputación

Comunicación

Transparencia

Conflictos por agua o saneamiento, amenazas a fuentes,

expectativas de clientes confusas o equivocadas, sindicatos,

grupos de presión, empresarios privados, desarrolladores,

operadores de servicios, imagen institucional, medios de

comunicación, satisfacción de los clientes, injerencia política,

ASADAS, Confederaciones de ASADAS, accesibilidad de la

información, tiempos de respuesta, proveedores, FLU,

gobernanza, Gobiernos locales, registros de asociaciones,

Tribunales de Justicia, injerencia de entes financieros

Condiciones

económicas:

Situaciones

económicas a

nivel de

Institución, país o

nivel mundial

Financieros

Integridad

Tarifa, agua no contabilizada, estructura tarifaria, liquidez,

inversión, presupuesto, portafolio de proyectos de inversión,

información contable, fraudes, diferencial cambiario,

condiciones bancarias, déficit fiscal, condiciones crediticias

Comportamiento

humano:

Competencias,

actitudes y

desempeño del

capital humano

institucional

Empoderamiento

y apropiación

Gobernabilidad

Cultura organizacional, comportamiento ético, cambio

generacional, estructura ocupacional, desarrollo, capacitación,

evaluación del desempeño, inducción a los puestos,

reclutamiento, seguridad e higiene ocupacional, actuaciones

indebidas, transferencia del conocimiento




Desastres

naturales o

antropogénicos:

Acciones de la

naturaleza, el

ambiente o ser

humano

Naturales

Antropogénicos

Ambientales

Sequias, terremotos, inundaciones, deforestación,

monocultivo, contaminación de fuentes, agotamiento de

fuentes, vandalismo, hábitos de los usuarios de los sistemas,

conexiones ilícitas, descarga de vertidos, crecidas de ríos,

deslizamiento, invasiones a terrenos

Ambiente Legal y

técnico:

Disposiciones de

Gobierno, Órganos

Rectores o de

Fiscalización,

reglamentación

interna y externa

en los cuales se

desarrolla la

Institución

Gobierno

Legal

Gestión Rectora

Delegados

Estrategia

institucional

Normativa interna

y externa

Sentencias judiciales, ordenes sanitarias, apelaciones,

recursos perdidos, demandas, trámites legales internos y

externos, convenios nacionales e internacionales, procesos

disciplinarios, dictámenes o criterios jurídicos, directrices de

Órganos Rectores o de Fiscalización, gobierno digital,

asesoría legal, plan estratégico, estructura organizacional,

reglamentos, manuales de procedimientos o tareas,

declaratorios de emergencias, audiencias conciliatorias,

procedimientos administrativos, arbitrajes

Infraestructura y

Tecnología:

Conjunto de

instrumentos,

herramientas,

tecnológicos o

similares

Tecnología e

información

Operaciones

Desarrollo físico

Infraestructura informática, actualización de sistemas

informáticos, respaldo, desarrollo de aplicaciones,

investigación, rezago tecnológico, claridad en los

requerimientos informáticos o similares, transferencia

tecnológica, capacidad de los sistemas, vida útil de los

sistemas informáticos, salida de operación de los sistemas

institucionales, daños en bases de datos de los sistemas

institucionales, pérdida de información




Infraestructura de sistemas de captación o saneamiento,

optimización de la capacidad atención de fugas, atención de

obstrucciones, estudios básicos, terrenos y avalúos, diseños

finales, ejecución de obras, cierre de proyectos, evaluación de

proyectos, vida útil de los sistemas, capacidad de los sistemas

de agua potable o saneamiento

Condiciones

administrativas:

Conjunto

actividades

institucionales

Planes de trabajo

Integridad de la información, flujo de trabajo, claridad en los

requerimientos de información, plan de compras,

contrataciones, disposición de insumos de información,

mecanismos de comunicación

(*) el Catálogo de disparadores de riesgos debe ser actualizado por los Titulares Subordinados de cada

Dependencia e informado a la UCI

PRIORIDADES Y CRITERIOS DE ACEPTABILIDAD PARA LA

VALORACIÓN DEL RIESGO

Se establece como parámetros de aceptabilidad, los riesgos que una vez evaluados y aplicadas las medidas de administración, se ubiquen de conformidad con los siguientes niveles de severidad.

Niveles de

severidad Valoración del cuadrante Descripción

RIESGO

ACEPTADO

Nivel bajo

De 1 a 4

Cuadrantes Verdes:

Los riesgos evaluados y que se

encuentran en estos cuadrantes

se consideraran como riesgos

aceptados.

Son aquellos que presentan

consecuencias y probabilidades

bajas de materializarse, algunos

impactarán de forma mínima el

logro de objetivos de la

Institución.

Los riesgos ubicados en estos cuadrantes son a los

cuales se les dirige menor inversión de recursos, debido

al bajo impacto que representa su exposición, sin

embargo, se debe velar porque no se eleven sus

niveles, lo que conllevaría al desplazamiento de estos a

cuadrantes de mayor exposición, se deben utilizar

planes de monitoreo y seguimiento efectivo sobre los

mismos.




RIESGO DE

MEDIANA

PRIORIDAD

Nivel

moderado

De 5 a 9

Cuadrantes Amarillos Los riesgos evaluados y que se

ubican en estos cuadrantes se

consideran como riesgos

aceptados, con posibilidades de

mejorar su administración.

Son aquellos que presentan

consecuencias y probabilidades

moderadas, la materialización de

algunos de estos riesgos

representará un impacto medio

en el logro de los objetivos de la

Institución.

Los riesgos ubicados en estos cuadrantes deben ser analizados con el objetivo de determinar las medidas de monitoreo y seguimiento que se le dará, ya que éstos no representan, en caso de materialización, un impacto altamente negativo en el logro de los objetivos, sin embargo, será necesario su monitoreo para evitar que lleguen a niveles altos o extremos de exposición. En la gestión de riesgos, se trabajará para lograr que los riesgos de cuadrantes rojos y naranjas se puedan minimizar hasta lograr que se ubiquen en cuadrantes amarillos, en una primera instancia y lograr que se mantengan en ellos o que puedan bajar a cuadrantes verdes.

RIESGO DE

ALTA

PRIORIDAD

Nivel alto

De 10 a 15

Cuadrantes Naranjas

Los riesgos evaluados y que se

ubican en estos cuadrantes

cuentan con altas probabilidades

y consecuencias moderadas o

viceversa; su exposición conlleva

niveles altos de perjuicio en el

logro de los objetivos de la

Institución.

Los riesgos ubicados en estos cuadrantes tienen el segundo nivel de prioridad, en cuanto a su administración de riesgos se refiere, ya que tienen la característica especial, que de no ser administrados adecuadamente su exposición puede aumentar y pasar a formar parte del grupo de riesgos de cuadrantes rojos; con lo que esto representa para los objetivos de la Institución.

RIESGO DE

ALTA

PRIORIDAD

Nivel

extremo

De 16 a 25

Cuadrantes Rojos Los riesgos evaluados y que se ubican en estos cuadrantes cuentan con altas probabilidades de ocurrencia y con consecuencias elevadas para la Institución, en caso de que se llegasen a materializar; cualquier manifestación provocaría perjuicios extremos en el logro de los objetivos de la Institución.

Son los primeros por los cuales hay que iniciar el proceso de administración de riesgos, con el objetivo de minimizar sus efectos, ya que cualquier manifestación de éstos provocaría perjuicios mayores en el logro de los objetivos de la Institución, por lo general se debe seleccionar una buena estrategia de gestión, ya sea por medio de medidas que reduzcan las consecuencias o medidas que reduzcan las probabilidades de ocurrencia.




II- COMPONENTE AMBIENTE DE APOYO DEL SEVRI PARA EL

AYA

FUNDAMENTO LEGAL

Ley 8292

Sección II: Sistema Específico de Valoración del Riesgo (SEVRI) Artículo 18. — Sistema específico de valoración del riesgo institucional. Todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo. La Contraloría General de la República establecerá los criterios y las directrices generales que servirán de base para el establecimiento y funcionamiento del sistema en los entes y órganos seleccionados, criterios y directrices que serán obligatorios y prevalecerán sobre los que se les opongan, sin menoscabo de la obligación del jerarca y titulares subordinados referida en el artículo 14 de esta Ley. Artículo 19.— Responsabilidad por el funcionamiento del sistema.El jerarca y los respectivos titulares subordinados de los entes y órganos sujetos a esta Ley, en los que la Contraloría General de la República disponga que debe implantarse el Sistema Específico de Valoración de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo institucional aceptable.




FUNDAMENTO TÉCNICO

MANUAL DE CONTROL INTERNO PARA EL SECTOR PÚBLICO Capítulo IV: Normas sobre valoración del riesgo 3.1 Valoración del riesgo

El jerarca y los titulares subordinados, según sus competencias, deben definir, implantar, verificar y perfeccionar un proceso permanente y participativo de valoración del riesgo institucional, como componente funcional del SCI. Las autoridades indicadas deben constituirse en parte activa del proceso que al efecto se instaure. 3.2 Sistema específico de valoración del riesgo institucional (SEVRI)

El jerarca y los titulares subordinados, según sus competencias, deben establecer y poner en funcionamiento un sistema específico de valoración del riesgo institucional (SEVRI). El SEVRI debe presentar las características e incluir los componentes y las actividades que define la normativa específica aplicable6. Asimismo, debe someterse a las verificaciones y revisiones que correspondan a fin de corroborar su efectividad continua y promover su perfeccionamiento. 3.3 Vinculación con la planificación institucional

La valoración del riesgo debe sustentarse en un proceso de planificación que considere la misión y la visión institucionales, así como objetivos, metas, políticas e indicadores de desempeño claros, medibles, realistas y aplicables, establecidos con base en un conocimiento adecuado del ambiente interno y externo en que la institución desarrolla sus operaciones, y, en consecuencia, de los riesgos correspondientes.

Asimismo, los resultados de la valoración del riesgo deben ser insumos

para retroalimentar ese proceso de planificación, aportando elementos para que el jerarca y los titulares subordinados estén en capacidad de revisar, evaluar y ajustar periódicamente los enunciados y supuestos que sustentan los procesos de planificación estratégica y operativa institucional, para determinar su validez ante la dinámica del entorno y de los riesgos internos y externos.




3.4 Valoración del riesgo en instituciones de menor tamaño

El jerarca y los titulares subordinados de las instituciones de menor tamaño, según sus competencias, deben instaurar prácticas sistemáticas que permitan evaluar según los errores y logros pasados, las eventuales situaciones que puedan afectar el desempeño de la institución, las cuales deben analizarse y priorizarse considerando su importancia y posibilidades de que se vayan a volver a presentar. Con base en ello, deben adoptar las políticas, procedimientos y mecanismos que permitan el manejo apropiado de esas situaciones.

DIRECTRIZ DEL SEVRI

3.3. Ambiente de apoyo. En cada institución deberá existir una estructura

organizacional que apoye la operación del SEVRI, así como promoverse una cultura favorable al efecto. Para lo anterior, se deberá promover al menos:

• Conciencia en los funcionarios de la importancia de la valoración del riesgo para el cumplimiento de los objetivos institucionales.

• Uniformidad en el concepto de riesgo en los funcionarios de la institución.

• Actitud proactiva que permita establecer y tomar acciones anticipando las consecuencias que eventualmente puedan afectar el cumplimiento de los objetivos.

• Responsabilidades definidas claramente en relación con el SEVRI para los funcionarios de los diferentes niveles de la estructura organizacional.

• Mecanismos de coordinación y comunicación entre los funcionarios y las unidades internas para la debida operación del SEVRI.

ESTRUCTURA ORGANIZACIONAL PARA LA OPERACIÓN DEL SEVRI

Para dar mantenimiento y perfeccionamiento de SEVRI, se toma la estructura organizacional vigente, como medio para operativizar SEVRI y obtener como producto un portafolio institucional de riesgos.

Como actores del SEVRI se definen los siguientes, asi como su rol dentro del sistema para su implementación, de conformidad con la norma aplicable.




JERARCA

LEY 8292, ART. 10,12 Y 19 NORMA 1,4-2.2-3.2 DIRECTRIZ DEL SEVRI

Le corresponde:

• Aprobar los componentes del SEVRI

• Aprobar los ciclos de revisión del SEVRI

• Aprobar las estrategías para el mantenimiento y perfeccionamiento del SEVRI

• Aprobar el Portafolio de Riesgos Estratégico e Institucional

• Velar por efectivo cumplimiento de la normativa relacionada con el SEVRI.

• Tomar medidas para garantizar el cumplimiento de las responsabilidades del SEVRI

SUBSISTEMA CONTROL ESTRATÉGICO

Ley 8292, art. 10,12 y 19 Norma 1,4-2.2-3.2 Directriz del SEVRI

Le corresponde

• Promover la actualizar los componentes del SEVRI

• Validar las actividades de los ciclos de revisión del SEVRI

• Validar las estrategías para el mantenimiento y perfeccionamiento del SEVRI

• Validar el Portafolio de Riesgos Estratégico e Institucional

• Validar informes sobre el cumplimiento de la normativa relacionada con el SEVRI

• Validar informes sobre el cumplimiento de las responsabilidades del SEVRI, por parte de los Titulares Subordinados y Funcionarios en general



Le corresponde:

• Actualizar los componentes del SEVRI

• Definir y dirigir las actividades de los ciclos de revisión del SEVRI

• Proponer y dirigir las estrategías para el mantenimiento y perfeccionamiento del SEVRI

• Proponer el Portafolio de Riesgos Estratégico e Institucional

• Verificar el cumplimiento de la normativa y estrategias relacionada con el SEVRI

• Verificar el cumplimiento de las responsabilidades del SEVRI, por parte de los Titulares Subordinados y Funcionarios en general

• Revisar, monitorear e informar sobre el estado del SEVRI institucional

• Comunicar a los resultados de los ciclos de revisión del SEVRI y de las medidas adportadas para su fortalecimiento

TITULARES SUBORDINADOS


Le corresponde




• Velar por el cumplimeinto de los componentes del SEVRI

• Implementar las actividades del SEVRI

• Implementar las estrategías para el mantenimiento y perfeccionamiento del SEVRI

• Mantener actualizados los modelos de riesgos

• Velar por el cumplimiento de la normativa relacionada con el SEVRI

• Velar por adecuada implementación de las estrategias relacionada con el SEVRI

• Verificar el cumplimiento de las responsabilidades producto del SEVRI, por parte de los Funcionarios a su cargo

• Realizar las correspondientes rendiciones de cuentas y requerimientos de información sobre la gestión de riesgos

• Promover un ambiente favorable para la gestión de riesgos asociados a las labores sustantivas y proceso

• Analizar y validar los informes suministrados por los Designados de Control interno, como apoyo a la toma de decisiones

• Analizar y validar los reportes suministrados por los Designados de Control interno, como apoyo a la toma de decisiones

• Verificar que el acervo documental del SEVRI se mantenga actualizado y disponible

DESIGNADOS DE CONTROL INTERNO

Ley 8292, art. 13 y 17 Norma 1.5- 6.3.1 Directriz del SEVRI

Le corresponde:

• Apoyar al Titular en el cumplimeinto de los componentes del SEVRI

• Apoyar al Titular en la implementación de las actividades del SEVRI

• Informar al Titulares sobre el estado del cumplimiento de las estrategías definidas por la Administración Superior, para el mantenimiento y perfeccionamiento del SEVRI

• Mantener actualizados los modelos de riesgos en el SACI-Plus

• Elaborar los informes y reportes como apoyo para la toma de decisiones de los Titulares, sobre el estado de la gestión de riesgos a nivel de la Dependencia

• Elaborar los reportes producto de los modelos riesgos como apoyo a la toma de decisiones de los Titulares, sobre el comportamiento de los riesgos

• Mantener actualizado y disponible el acervo documental del SEVRI

• Realizar a nivel interno los procesos de culturización en materia de control interno y gestión de riesgos

FUNCIONARIOS EN GENERAL

Ley 8292, art. 13 y 17 Norma 1.5- 6.3.1 Directriz del SEVRI

Le corresponde

• Participar activamente, observando el ordenamiento jurídico y técnico las acciones necesarias para dar mantenimiento y perfeccionamiento del SCI.

• Comunicar de manera oportuna cualquier oportunidad de mejora o desviación detectada en




MONITOREO Y SEGUIMIENTO

Como acciones de monitoreo se establecen ciclos de revisión anuales, con revisiones y seguimiento definidos en las estrategias para el manteamiento y perfeccionamiento del SEVRI. Los ciclos de revisión se realizarán del 1 de junio al 30 de abril de los años correspondientes, considerando que la definición de medidas de administración que requieren de presupuesto y que deben debe ser incorporadas en el anteproyecto de presupuesto, para darles el respectado contenido.

MECANISMOS DE COMUNICACIÓN Y DIVULGACIÓN

La comunicación se realizará directamente con el Titular Subordinado de cada Dependencia y en el caso de las Subgerencias Gestión Sistemas Periféricos, Subgerencias Gestión Sistemas GAM, Subgerencias Ambiental, Investigación y Desarrollo, se realizará únicamente con el Subgerente de cada área. Se utilizarán como mecanismos de comunicación y control los siguientes: reuniones, sesiones de trabajo, memorandos, correos electrónicos, videoconferencias, cronogramas de trabajo, visitas de verificación, talleres o similares o algún otro.




III- COMPONENTE SUJETOS INTERESADOS DEL SEVRI PARA EL

AYA

En cumplimiento de lo que establece las Directrices Generales para el

Establecimiento y Funcionamiento del Sistema Específico de Valoración del

Riesgos Institucional (SEVRI) D-3-2005-CO-DFOE, se ajusta el Componente de

Sujetos Interesados de la siguiente manera, vinculando los grupos de interés

definidos en el Marco Orientador:

GRUPO DE INTERÉS

SUJETO INTERESADO

FACTOR POR VALORAR

Usuarios del

servicio de agua

Usuarios

ASADAS

Desarrolladores

Agua Potable Calidad del

Servicio

Continuidad Presión

Atención amable y oportuna

Tecnología que facilite el servicio

Disponibilidad del servicio

Reparación rápida de fugas y calles

Comunicación e información oportuna y resumida

Claridad del cobro

Usuarios del Servicio de saneamiento

Usuarios ASADAS Desarrolladores

Recolección y Tratamiento de desechos adecuada

Correcta disposición

Cobertura Disponibilidad del Servicio

Reparación rápida de fugas y calles

Disminuir impacto ambiental

Comunicación e información oportuna y resumida

Claridad del servicio

Cuerpo de

bomberos

Cuerpo de

bomberos Cantidad y

disponibilidad de

Disponibilidad de

hidrantes con la




Comunidades

Desarrolladores

agua presión adecuada

Gobierno

Ministerios

Instituciones

Autónomas

Entidades

financieras

Alineamiento

con el Plan

Nacional de

Desarrollo (PND)

Coordinación

con otras

instituciones

Ejecución del

presupuesto Transparencia

Agilidad

Apoyo al

desarrollo

económico

Fortalecimiento de la gestión comunitaria del agua y disponibilidad

Sociedad Comunidades

Reparación de

calles y fugas

rápidas

Contaminación de

ríos y mares por

descargas

residuales

Alteración de las fuentes de agua

Disponibilidad del servicio

Prevención de riesgos y atención de emergencias

ASADAS

ASADAS FLU Confederaciones de ASADAS

Asesoría técnica Capacitación

Acompañamiento Asesoramiento

Respuesta pronta a solicitudes

Operadores

Municipalidades

ASADAS

Empresas

prestadoras de

servicio de agua

potable y

Rectoría Asesoría técnica

Respuesta pronta a solicitudes




saneamiento

Grupos

Ambientalistas Ambientalistas

Proyectos de AyA

que no afecten la

naturaleza

Protección de

fuentes y

aseguramiento del

agua

Disponibilidad adecuada de aguas negras

Servicios de armonía y sostenibilidad

Entes reguladores Entes reguladores

y de fiscalización

Información

oportuna

Calidad del

servicio

Proveedores

Empresas

públicas o

privadas

suplidoras de

bienes y servicios

Instituciones

públicas

suplidoras de

bienes y servicios

Propietarios de

terrenos

Pagos a tiempo Disponibilidad del

servicio

Ejecución de

proyectos

Simplificación de

trámites

Respuesta oportuna

Otras instituciones

ONG

Fundaciones

Consejo de

desarrollo

inmobiliario de

Costa Rica

Cámara de la

construcción

Coordinación e

información




Academia

Escuelas públicas

o privadas

públicas o

privadas

Colegios

Universidades

públicas o

privadas

Colegios de

profesionales

Proyectos de

cooperación

Espacios para

investigación

Coordinación para transferencia de conocimientos

Medios de

comunicación

Prensa escrita,

televisiva o radial

Medios digitales

Información

oportuna y

positiva

Pautas




III- GLOSARIO

Aceptación o tolerancia del riesgo: acción de no tomar ninguna decisión que afecte la probabilidad o la consecuencia del riesgo. La tolerancia al riesgo se puede complementar con la planificación de contingencia para manejar los impactos que se presentarán si se manifiesta el riesgo. Administración de riesgos: Actividad del proceso de valoración del riesgo que consiste en la identificación, evaluación, selección y ejecución de medidas para la administración de riesgos. Actividades de control o Controles: Parte de la administración de riesgos que involucra la ejecución de políticas, estándares y procedimientos para eliminar o minimizar los riesgos. Actividades de la Institución: Calificador para los riesgos que permite vincular éstos con las actividades que ejecuta la Institución, y así analizar cuales actividades pueden verse afectadas por la presencia de los riesgos Análisis de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados. Análisis cualitativo: Descripción textual para definir la magnitud de las consecuencias potenciales de materialización de un riesgo, la frecuencia de la probabilidad con que el riesgo se pudiese presentar y el nivel de riesgo asociado. Análisis cuantitativo. Valoración numérica para definir la magnitud de las consecuencias potenciales de materialización de un riesgo, la frecuencia de la probabilidad con que el riesgo se pudiese presentar y el nivel de riesgo asociado. Categorías de riesgos: Calificador para los riesgos, a través del cual sea posible agrupar éstos en diferentes familias, según sean los daños que puede provocar su materialización. Comunicación de riesgos: Actividad permanente del proceso de valoración del riesgo que consiste en la preparación, la distribución y la actualización de información oportuna sobre los riesgos a los sujetos interesados.




Consecuencia: Conjunto de efectos derivados de la ocurrencia de un evento expresado cualitativa o cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias. Disparadores de riesgos: eventos que se asocian con la posible aparición de un riesgo u oportunidad. Documentación de riegos: Actividad permanente del proceso de valoración de riesgos que consiste en el registro en el SACI+r o en forma escrita de la sistematización de la información asociada con los riesgos. Estructura de riesgos: agrupación de riesgos por consecuencia, probabilidad, categorías, factores de riesgos, áreas de impacto u otras variables, para valoración integral como apoyo a la toma de decisiones. Evaluación de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación, a través de mecanismos de análisis, de las prioridades para la administración de riesgos. Evitar el riesgo: Acción de no ejecutar las acciones que involucran la materialización del riesgo, esta decisión se debe analizar con mucho cuidado, ya que de no definirse adecuadamente puede aumentar la exposición de otros riesgos. Factor de riesgo: Calificador para los riesgos, a través del cual será posible agrupar éstos en sus respectivos grupos; según sean las fuentes u originadores que provocan que el riesgo se materialice. Designados de Control Interno: funcionario designado por los Titulares Subordinados de la administración estructural o funcional, para brindar apoyo en el mantenimiento y perfeccionamiento del SEVRI del área para la cual labora. Identificación de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación y la descripción de los eventos de índole interno y externo que pueden afectar de manera significativa el cumplimiento de los objetivos de la Institución Jerarca o Junta Directiva: Superior Jerárquico con la mayor autoridad para tomar decisiones.




Medida para la administración de riesgos o tratamiento: Disposición razonada definida por la Institución previo a la ocurrencia de un evento para reducir, transferir, evitar, aceptar o tolerancia del riesgo. Nivel de riesgo o exposición del riesgo: Grado de exposición al riesgo que se determina a partir del análisis de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite establecer la importancia relativa del riesgo.

Nivel de riesgo aceptable: Nivel de riesgo que la Institución está dispuesta y en capacidad de retener para cumplir con sus objetivos, sin incurrir en costos ni efectos adversos excesivos en relación con sus beneficios esperados o ser incompatible con las expectativas de los sujetos interesados.

Normativa Estándar Australiano de Administración de Riesgos (AS/NZS 4360:1999): Estándar mundialmente aplicado que provee una guía para el establecimiento e implementación para el proceso de administración de riesgos Parámetros de aceptabilidad de riesgos: Criterios que permiten determinar si un nivel de riesgo específico se ubica o no dentro de la categoría de nivel de riesgo aceptable. Política de valoración de riesgos: Declaración emitida por el Jerarca, que orienta el accionar institucional en relación con la valoración de riesgos. Probabilidad: Medida o descripción de la posibilidad de ocurrencia de un evento. Reducir Consecuencia: Acción de ejecutar acciones para minimizar la consecuencia ante la materialización de un evento. Reducir Probabilidad: Acción de ejecutar acciones para minimizar la probabilidad ante la materialización de un evento. Riesgo: Probabilidad de que ocurran eventos que tendrían consecuencias sobre el cumplimiento de los objetivos de la Institución. Su medición se da en términos de consecuencia y probabilidad. Riesgo Absoluto: Análisis de la probabilidad y consecuencia que persigue como objetivo evaluar el riesgo inherente a una labor sustantiva, a la cual podría estar expuesta la Institución ante la materialización del riesgo en estudio.




Riesgo controlado: Análisis que persigue para determinar si el ambiente de control con que cuenta actualmente la Institución permite minimizar la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo absoluto. Riesgo tratado: Análisis que persigue como objetivo determinar si, una vez concluidas las acciones propuestas para la administración del riesgo, se ha logrado minimizar a los niveles propuestos, la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo controlado. Riesgo residual: Nivel de riesgo que la Institución está dispuesta a aceptar o asumir. SCE: Subsistema Control Estratégico, equipo de nivel gerencial, con autoridad para tomar las decisiones para el mantenimiento y perfeccionamiento del SEVRI. Sistema específico de valoración de riesgo institucional (SEVRI): conjunto organizado de elementos que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales. Sujetos Interesados: Personas físicas o jurídicas, internas y externas a la Institución, que pueden afectar o ser afectadas directamente por las decisiones y acciones institucionales. Titular Subordinado: funcionario de la administración activa, con autoridad para ordenar o tomar decisiones. Transferir riesgo: Acción de ejecutar acciones en las cuales un tercero asume parte o totalidad de los efectos provocados por la materialización del riesgo. UCI: Unidad de Control Interno, Dependencia institucional encargada del proceso institucional de control interno y de valoración del riesgo.




Control de Cambios:

Versión Fecha de Actualización Actualizado por:

Validado por:

3 Emisión: setiembre de 2018 UCI Acuerdo No. 2018-369

2 Emisión: febrero de 2017 UCI Acuerdo No. 2017-040

1 Emisión: enero de 2010 UCI Acuerdo No. 2010-587

subsistema control estratégico

Documents