Subsistema Control Estratégico - aya.go.cr · El ámbito de acción de la Gestión Integral de...

INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA

UNIDAD DE CONTROL INTERNO

P á g i n a 1 | 30

Subsistema Control Estratégico

SISTEMA ESPECÍFICO VALORACIÓN DEL RIESGO INSTITUCIONAL (SEVRI)

COMPOMENTE:

MARCO ORIENTADOR DEL SEVRI PARA EL AYA

2016

Control de Cambios:

Versión Fecha de Actualización Actualizado por: Validado por:

2 Emisión: febrero de 2017 UCI Acuerdo No. 2017-040

1 Emisión: enero de 2010 UCI Acuerdo No. 2010-587



P á g i n a 2 | 30

GLOSARIO

Administración de riesgos: Actividad del proceso de valoración del riesgo que consiste en la

identificación, evaluación, selección y ejecución de medidas para la administración de riesgos.

Actividades de control o Controles: Parte de la administración de riesgos que involucra la

ejecución de políticas, estándares y procedimientos para eliminar o minimizar los riesgos.

Actividades de la Institución: Calificador para los riesgos que permite vincular éstos con las actividades que ejecuta la Institución, y así analizar cuales actividades pueden verse afectadas por

la presencia de los riesgos

Análisis de riesgos: Actividad del proceso de valoración del riesgo que consiste en la

determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados.

Análisis cualitativo: Descripción textual para definir la magnitud de las consecuencias potenciales

de materialización de un riesgo, y la frecuencia de la probabilidad con que el riesgo se pudiese

presentar y el nivel de riesgo asociado.

Análisis cuantitativo. Valoración numérica para definir la magnitud de las consecuencias potenciales de materialización de un riesgo, y la frecuencia de la probabilidad con que el riesgo se

pudiese presentar y el nivel de riesgo asociado.

Categorías de Riesgos: Calificador para los riesgos, a través del cual sea posible agrupar éstos

en diferentes familias, según sean los daños que puede provocar su materialización.

Comunicación de riesgos: Actividad permanente del proceso de valoración del riesgo que consiste en la preparación, la distribución y la actualización de información oportuna sobre los

riesgos a los sujetos interesados.

Consecuencia: Conjunto de efectos derivados de la ocurrencia de un evento expresado cualitativa

o cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias.

Evaluación de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación, a través de mecanismos de análisis, de las prioridades para la administración de

riesgos.

Evitar el Riesgo: Acción de no ejecutar las actividades que pueden materializar riesgos.

Factor de Riesgo: Calificador para los riesgos, a través del cual será posible agrupar éstos en sus

respectivos grupos; según sean las fuentes u originadores que provocan que el riesgo se

materialice.

Gestor Institucional de Riesgos: UCI, unidad designada por la alta dirección, como el coordinador general del proceso de gestión integral de riesgos de la Institución.



P á g i n a 3 | 30

Enlace de Riesgos por Proceso o Área: funcionario designado por los titulares subordinados de

cada Subgerencia y UEN, responsable de coordinar los esfuerzos de desarrollo, implementación y

coordinación del SEVRI para su área de responsabilidad, cada área de responsabilidad Institucional debe contar con su coordinador de riesgos específico y formalmente designado.

Identificación de Riesgos: Actividad del proceso de valoración del riesgo que consiste en la

determinación y la descripción de los eventos de índole interno y externo que pueden afectar de

manera significativa el cumplimiento de los objetivos de la Institución

Medida para la Administración de Riesgos o Tratamiento: Disposición razonada definida por la Institución previo a la ocurrencia de un evento para modificar, transferir, prevenir, atender o

retener riesgos.

Nivel de Riesgo o Exposición del Riesgo: Grado de exposición al riesgo que se determina a

partir del análisis de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite establecer la importancia relativa

del riesgo.

Nivel de Riesgo Aceptable: Nivel de riesgo que la Institución está dispuesta y en capacidad de

retener para cumplir con sus objetivos, sin incurrir en costos ni efectos adversos excesivos en relación con sus beneficios esperados o ser incompatible con las expectativas de los sujetos

interesados.

Normativa Estándar Australiano de Administración de Riesgos (AS/NZS 4360:1999):

Estándar mundialmente aplicado que provee una guía para el establecimiento e implementación para el proceso de administración de riesgos

Parámetros de aceptabilidad de riesgos: Criterios que permiten determinar si un nivel de

riesgo específico se ubica o no dentro de la categoría de nivel de riesgo aceptable.

Reducir Consecuencia: Definición de medidas de administración de riesgos para minimizar la

consecuencia.

Reducir Probabilidad: Definición de medidas de administración de riesgos para minimizar la probabilidad.

Riesgo: Evento que en caso de hacerse presente tendría efectos sobre el cumplimiento de los objetivos de la Institución. Su medición se da en términos de consecuencia y probabilidad.

Riesgo Absoluto: Análisis de la probabilidad y consecuencia que persigue como objetivo evaluar

el riesgo inherente al que podría estar expuesta la Institución ante la materialización del riesgo en estudio.

Riesgo Controlado: Análisis que persigue como objetivo determinar si el ambiente de control con que cuenta actualmente la Institución permite minimizar la consecuencia y la probabilidad

detectadas a través de la evaluación del riesgo absoluto.



P á g i n a 4 | 30

Riesgo Tratado: Análisis que persigue como objetivo determinar si, una vez concluidas las

acciones propuestas para la administración del riesgo, se ha logrado minimizar, a los niveles

propuestos, la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo controlado.

Riesgo Residual: Nivel de riesgo que la Institución acepta retener.

Retener Riesgos: Opción de administración de riesgos que consiste en no aplicar los otros tipos de medidas (atención, modificación, prevención o transferencia) y estar en disposición de enfrentar

las eventuales consecuencias.

SCE: Subsistema Control Estratégico, equipo de nivel gerencial encargado de tomar las decisiones para el mantenimiento y perfeccionamiento del SEVRI.

Sujetos Interesados: Personas físicas o jurídicas, internas y externas a la Institución, que pueden afectar o ser afectadas directamente por las decisiones y acciones institucionales.

Ellos pueden incluir:

Individuos dentro de la organización, tales como los empleados, la gerencia, la alta gerencia, y voluntarios:

o tomadores de decisiones o contrapartes de negocios o comerciales

o grupos de empleados

o grupos sindicales o Instituciones financieras

o Organizaciones de seguros o Reguladores y otras organizaciones gubernamentales que tienen autoridad sobre las

Actividades o Asadas (Asociación Administradora de los Sistemas de Acueductos y Alcantarillados

Comunales).

Políticos (a todos los niveles del gobierno) que pudieran tener un interés electoral o de Cartera Organizaciones no-gubernamentales tales como grupos ambientales y grupos de interés

o público; o Clientes;

Proveedores, proveedores de servicios y contratistas para la actividad

Comunidades locales; y la sociedad como un todo.

Transferir Riesgo: Definición de medidas de administración de riesgos a través de las cuales un tercero asume parte o totalidad de los efectos provocados por la materialización del riesgo.

UCI: Unidad de Control Interno, Dependencia encargada del proceso institucional de control

interno y de valoración del riesgo.



P á g i n a 5 | 30

COMPONENTE MARCO ORIENTADOR DEL SEVRI PARA EL AYA

Introducción

El presente documento tiene como objetivo establecer el marco normativo del AyA, que

contiene los criterios necesarios para el establecimiento del Sistema Específico de Valoración del

Riesgos según lo indica la Ley 8292 en sus artículos No. 14, 18 y 19, los cuales indican lo siguiente:

“… Artículo 14. —Valoración del riesgo. En relación con la valoración del riesgo,

serán deberes del jerarca y los titulares subordinados, entre otros, los siguientes:

a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos.

b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.

c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.

d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.

Artículo 18. —Sistema específico de valoración del riesgo institucional. Todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo.

La Contraloría General de la República establecerá los criterios y las directrices generales que servirán de base para el establecimiento y funcionamiento del sistema en los entes y órganos seleccionados, criterios y directrices que serán obligatorios y prevalecerán sobre los que se les opongan, sin menoscabo de la obligación del jerarca y titulares subordinados referida en el artículo 14 de esta Ley.

Artículo 19. —Responsabilidad por el funcionamiento del sistema. El jerarca y los respectivos titulares subordinados de los entes y órganos sujetos a esta Ley, en los que la Contraloría General de la República disponga que debe implantarse el Sistema Específico de Valoración de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo institucional aceptable…”



P á g i n a 6 | 30

1- POLÍTICA DE VALORACIÓN DE RIESGO INSTITUCIONAL

La política de valoración de riesgos del Instituto Costarricense de Acueductos y Alcantarillados, le permitirá a la Institución, coordinar todos los esfuerzos relacionados con el proceso de

perfeccionamiento del SEVRI, a través de la perspectiva de valoración de riesgos que aporte a la toma de decisiones y coadyuve al cumplimiento de los objetivos, permitiendo asegurar que el AyA

se posicione en un nivel de riesgo aceptable.

2- OBJETIVOS

Objetivo General

"El Instituto Costarricense de Acueductos y Alcantarillados, incorporará los planes,

programas y acciones para identificar, prevenir, analizar, priorizar, evaluar, dar respuesta y controlar permanentemente los riesgos que puedan afectar el funcionamiento de los

procesos y objetivos Institucionales tomando como punto de partida los alcances de su Planificación Estratégica y la normativa legal que regula su operación.

El ámbito de acción de la Gestión Integral de Riesgos debe permitir el cumplimiento y

validación de aquellos eventos, que impidan a la Institución el cumplimiento de su misión, visión y sus valores Institucionales de acuerdo a lo señalado en su Plan Estratégico

Institucional”.

Objetivos Específicos

Implementar las estrategias definidas por el Jerarca para el perfeccionamiento y

mantenimiento del Sistema de Valoración del Riesgo Institucional, que apoye la toma

de decisiones.

Lograr uniformar el concepto de riesgo y la metodología de trabajo de la valoración del

riesgo Institucional.

Generar la información necesaria que le permita a la Administración Activa realizar

tomas de decisiones de una manera razonable y acorde con los objetivos de la

Institución.

Analizar los riesgos que afectan la ejecución de los procesos y el logro de los objetivos

de la Institución y aplicarles las medidas necesarias para ubicarlos y estabilizarlos en

niveles aceptables.

Definir los lineamientos organizacionales, para poder desarrollar una estructura de

soporte a la gestión integral de riesgos, mediante la cual sea posible realizar las labores de análisis, evaluación, monitoreo y actualización del SEVRI, en todas las dependencias

de la Institución.



P á g i n a 7 | 30

Incorporar las actividades que requiere el SEVRI, a los planes que la Institución

desarrolla; con el fin de obtener un esfuerzo integrado en el logro de los objetivos

Institucionales y una valoración objetiva de los potenciales incidentes que pueden

afectar el logro de los objetivos, planes y proyectos de la Institución.

Establecer métodos y mecanismos idóneos para ejecutar las acciones de comunicación

y divulgación de la información relacionada con el Sistema Específico de Valoración de Riesgos y la aplicación efectiva de los diversos programas de tratamiento o mitigación

de riesgos.

MISIÓN

Asegurar el acceso universal al agua potable y al saneamiento de forma comprometida con la salud, la sostenibilidad del recurso hídrico y el desarrollo económico y social del país.

VISIÓN

Ser la institución pública de excelencia en rectoría y gestión de los servicios de agua potable y saneamiento para toda la población del país.

VALORES

Transparencia: Valorar y revaluar la función de servidor público y rendir cuentas a los ciudadanos sobre el destino de los fondos de la Institución y en particular hacia los usuarios y consumidores el servicio público, brindado con eficacia y eficiencia.

Solidaridad: Compromiso manifiesto de los funcionarios con las necesidades de la sociedad y los usuarios.

Espíritu de servicio: Disposición y actitud positiva, con compromiso, diligencia y cercanía con nuestros usuarios y compañeros de trabajo, para asumir el logro de la misión, visión y objetivos institucionales.

Responsabilidad y compromiso: Actitud de los funcionarios a observar el cumplimiento del ordenamiento jurídico y técnico, en la ejecución de las funciones orientadas al cumplimiento de los objetivos institucionales y el resguardo de la hacienda pública.

Respeto: Actitud de los funcionarios a considerar y atender a las personas, salvaguardando su dignidad y la nuestra.

Excelencia: Compromiso de los funcionarios con el mejor desempeño, con miras a lograr el más alto nivel de competitividad y productividad en cada una de nuestras actividades.

Compromiso del Jerarca

El Órgano Colegiado en su condición de Superior Jerárquico, se compromete a que la gestión de riesgos institucional constituya un componente clave para el logro de los objetivos del AyA,



P á g i n a 8 | 30

para lo cual su participación deberá ser activa en la consolidación del sistema en apoyo a la

toma de decisiones a todo nivel.

Alcance de la Política

Esta política aplica para todas las dependencias funcionales y proyectos que conforman la

Institución y de conformidad con la estructura aprobada por el MIDEPLAN mediante oficio DM-

297-14 de fecha 11 de setiembre del 2014.

3- LINEAMIENTOS INSTITUCIONALES PARA EL ESTABLECIMIENTO DE NIVELES DE RIESGO ACEPTABLES Y PARÁMETROS DE ACEPTABILIDAD

Los integrantes del Subsistema Control Estratégico será el equipo de trabajo responsable de la

definición del proceso de implementación de la Política Institucional de Administración de riesgos, de acuerdo a lo establecido en el presente Marco Orientador del SEVRI, así como aprobar las

rendiciones de cuentas del proceso para ser remitidas al Jerarca.



P á g i n a 9 | 30

La Unidad de Control Interno será a nivel general, la responsable de velar por la aplicación de la

implementación, desarrollo, monitoreo y supervisión del funcionamiento del SEVRI a nivel de la

Institución, el cuál funge como un coordinador con los diversos Titulares Subordinados de las áreas de responsabilidad y los Enlaces de Riesgos.

Será responsabilidad del Titular del área definir los responsables, para que ejecuten las actividades

necesarias de monitoreo y gestión que establece el SEVRI. Estos responsables tendrán una

constante coordinación la Unidad de Control Interno.

Las acciones producto del SEVRI deberán integrarse al sistema de control interno de cada Dependencia y a su vez el de nivel institucional.

Definición de los criterios – Consecuencia -

Criterio Cualitativo

Descripción Criterio

Cuantitativo

Insignificante

No hay daño, pérdida financiera, de imagen o potenciales problemas operativos o de cumplimiento legal bajos

1

Menor

El primer tratamiento de ayuda o de corrección, se realiza inmediatamente, genera pérdidas financieras o de imagen baja, los procesos críticos y los compromisos de la Institución hacia los terceros o internamente no se ven comprometidos.

2

Moderado

Requiere tratamiento o corrección inmediata, en las áreas afectadas, los procesos críticos se pueden ver afectados, se requiere de asistencia para la corrección, se presentan pérdidas financieras medias, de imagen y pueden existir debilidades en los procesos operativos y consecuencias legales.

3

Mayor

Daños mayores, pérdidas de capacidad de operación, no se puede cumplir con los objetivos de una manera razonable (eficaz y eficientemente), la organización se ve expuesta a pérdidas financieras, operativas, de imagen considerables, efectos legales y de cumplimiento pueden perjudicar a la Institución.

4

Catastrófico

No se puede cumplir con los objetivos Institucionales, el no cumplimiento compromete a la Institución, puede ser sancionada, se pueden dar pérdidas financieras muy altas, pérdida de imagen y no cumplimiento de responsabilidades.

5



P á g i n a 10 | 30

Definición de los criterios –Probabilidad-

Criterio Cualitativo Descripción Criterio Cuantitativo

Casi Certeza

La expectativa de ocurrencia se da con una certeza de casi el 100% de las circunstancias

5

Probable

Probabilidad de ocurrencia en la mayoría de las circunstancias

4

Posible

Ocurre en la mitad de los casos

3

Poco Probable

Puede ocurrir algunas veces

2

Raro

Puede ocurrir solo bajo circunstancias excepcionales

1

De acuerdo a los lineamientos establecidos por el ente fiscalizador, a cada uno de los riesgos

identificados se le debe efectuar un análisis de su consecuencia y probabilidad, según los criterios anteriores, en los siguientes tres escenarios:

Evaluación Riesgo Absoluto

Se asocia con la evaluación del riesgo sin controles o el riego inherente asociado a cada una de las actividades que se desarrollan en la Institución, en este caso se procede a realizar un análisis de la

probabilidad y la consecuencia de aquellos aspectos que se han considerado como riesgos y su

objetivo es determinar el nivel de riesgo inherente de cada uno de los procesos o actividades valorados.

Esta valoración permite determinar el nivel de riesgo inherente al que podría estar expuesta la

Institución ante la materialización del riesgo identificado.

Evaluación Riesgo Controlado

Esta evaluación está orientada en determinar si el ambiente de control con que cuenta actualmente

la Institución permite minimizar la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo absoluto, la evaluación del riesgo controlado, debe estar integrada con los

procesos de mejoramiento y perfeccionamiento del Sistema de Control Interno de la Institución.



P á g i n a 11 | 30

Evaluación Riesgo Tratado

Esta evaluación tiene el objetivo de determinar si, una vez concluidas las acciones propuestas para la administración del riesgo, se ha logrado minimizar el nivel del riesgo, a los niveles propuestos, la

consecuencia y la probabilidad detectadas a través de la evaluación del riesgo controlado.

Es importante tener presente que los Titulares Subordinados, deben incluir dentro de los procesos

de seguimiento y actualización, la revisión periódica de los criterios empleados para la valoración del riesgo, con la finalidad de que los mismos se ajusten a los requerimientos de la Institución y a

lo establecido en los alcances del Marco Orientador.

4- PRIORIDADES PARA LA VALORACIÓN DEL RIESGO

Se establece como elementos prioritarios a valorar los riesgos asociados en un primer nivel, a los objetivos estratégicos institucionales y en un segundo nivel asociados al entorno y prestación del

servicio, definidos a través del Manual Funcional del AyA, debidamente oficializado según la norma.

De acuerdo a lo anterior, entiéndase como objetivos estratégicos a la actividad sustantiva de la institución y que se encuentran en el Plan Estratégico 2016-2020. En lo que se refiere a la

valoración del entorno y a la prestación de los servicios, deberán incorporarse en los planes, programas y proyectos, que se realizan dentro de la planificación anual.

Para establecer estas prioridades de valoración, se debe realizar un estudio de los riesgos, en donde se deben considerar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debe considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias. Las consecuencias y probabilidades deben ser combinadas para producir un nivel estimado de riesgo, que, dependiendo del impacto en los objetivos de la Institución, el mismo debe ser priorizado para efectos de establecer los criterios de tratamiento o mitigación que se ejecutarán.

Las tablas de evaluación anteriores que servirán de fundamento para efectuar el análisis y priorización de riesgos.

ESTRATEGIA DEL SEVRI

Para la definición de la estrategia del SEVRI, se han tomado las siguientes variables especificadas en la directriz del SEVRI (documento emitido en el diario oficial Gaceta del martes 12 de julio del

2005, cuya referencia es R-CO-64-2005):

Establecimiento del SEVRI

Para el establecimiento del SEVRI, la Institución debe consolidar una serie de planes de acción y

actividades que permitirán un afianzamiento y operación del SEVRI, dentro de los aspectos que deben ser considerados se encuentran los siguientes:



P á g i n a 12 | 30

1- Proceso de culturización e interiorización, dirigido a todas las dependencias de la

Institución, considerando la totalidad de los funcionarios, este proceso deberá ser liderado

por los Titulares Subordinados en coordinación con sus Enlaces de Riesgos y con el apoyo de la Unidad de Control Interno.

2- Implementación del Componente del Ambiente de Apoyo para el mantenimiento y

perfeccionamiento del SEVRI

3- Elaboración del portafolio del SEVRI, el cuál su revisión y actualización se llevará de manera

anual.

4- Actualización del Marco Orientador, según los cambios del entorno y como resultado del nivel de madurez que se determine de conformidad con las evaluaciones realizadas y

cuando el SCE determine su necesidad.

5- Aplicación del Modelo de Madurez del SEVRI con el fin de conocer el nivel de mantenimiento y perfeccionamiento del sistema para la definición de las estrategias.

Mantenimiento del Sistema Específico de Valoración del Riesgo de la Institución

La Institución debe incluir dentro de su Plan anual operativo y en el presupuesto institucional, las

acciones requeridas para administrar los riesgos críticos que han sido identificadas como parte del funcionamiento de SEVRI, así como formalizar una serie de actividades, que se desarrollarán de

forma anual, para comunicar, monitorear y darle seguimiento a los resultados de la aplicación de los lineamientos del SEVRI y facilitarle al Subsistema Control Estratégico, la formulación de las

recomendaciones que se consideren convenientes a aplicar sobre el mejoramiento del marco

metodológico y a los instrumentos de evaluación y seguimiento de los riesgos institucionales que se han establecido como parte de la formulación y aprobación del Marco Orientador del SEVRI.

Así mismo dentro de las actividades que se deben ejecutar como parte del proceso de

mantenimiento del SEVRI, se deben de considerar:

Propiciar un proceso continuo de capacitación en torno a los diversos tópicos relacionados con

el SEVRI y la Ley de Control Interno y aquellos aspectos de índole estratégico o Institucional

que, en el Subsistema Control Estratégico, considere conveniente, con la finalidad de consolidar el proceso de gestión integral de riesgos dentro de la Institución

Ejecutar una vez al año, un proceso de autoevaluación y actualización de los modelos de

riesgos, con el objetivo de medir el cumplimiento de las medidas de control y analizar si con su

aplicación de forma sistemática ha sido factible reducir los niveles de riesgo, a niveles de riesgo

aceptables para los procesos y objetivos de la Institución.



P á g i n a 13 | 30

Realizar procesos de seguimiento a los planes de mejoramiento y tratamiento de riesgos

definidos, este monitoreo debe contar con fases claramente definidas mediante las cuales sea posible analizar los avances en la ejecución de cada uno de los procesos de mejoramiento,

considerando las acciones específicas de mitigación de riesgos y planes de mejoramiento de los

sistemas de control interno establecidos por cada Titular Subordinado

Establecer canales de comunicación abiertos, apropiados y constantes a través de los cuales los

Sujetos Interesados puedan aclarar cualquier duda u obtener información relacionada con el SEVRI.

Perfeccionamiento del SEVRI

Para propiciar una cultura de perfeccionamiento, el cumplimiento de las revisiones anuales de los

ciclos debe ser constante, con la finalidad de poder determinar cambios requeridos a la estructura de riesgos o a los lineamientos establecidos en el Marco Orientador, estas revisiones pueden ser

generadas por alguno de los eventos siguientes:

Desarrollo o actualización de los Planes estratégicos institucionales, tomando en consideración el horizonte de planeación de la Institución.

Planes Anuales Operativos, que reflejan la situación del corto plazo.

Cambios en el ambiente interno y Externo o estructura organizacional.

Cambios en el marco legal o regulatorio a nivel interno y externo.

Revisión de la metodología de autoevaluación, con el objetivo de mejorar el proceso para

futuras evaluaciones, atender más prontamente los requerimientos en materia de control interno y administración de riesgos que puedan requerir los Entes Contralores y

Supervisores o la misma Administración Superior de la Institución.

Propiciar nuevas estrategias para el monitoreo de las medidas de administración de riesgos

definidas y determinar el avance de los procesos de mitigación y tratamiento de los riesgos considerados como críticos.

Definir y propiciar estrategias para el proceso de documentación y comunicación de la

información producto del SEVRI, con el objetivo de mantener informados a los diferentes

niveles sobre lo pertinente a los riesgos institucionales y el nivel de riesgo en que se encuentra la institución.



P á g i n a 14 | 30

Evaluación del SEVRI de la Institución

Se han definido mecanismos de evaluación para las siguientes etapas:

Evaluación de Riesgo sin Aplicación de Medidas de administración de Riesgo

Se establecen mecanismos mediante los cuales, con la participación activa de los respectivos

Titulares Subordinados, se realice el proceso de evaluación absoluta, bajo los criterios establecidos por la Institución, de cada uno de los riesgos identificados para los correspondientes procesos,

obteniendo así el nivel de riesgo sin las medidas para su administración.

Evaluación de Riesgo con Aplicación de Medidas de administración de Riesgo

Como primera fase: se definirán los procesos de auto evaluación, a través de los cuales los

funcionarios responsables de la ejecución de las medidas de control, auto-analicen la efectividad

con que éstas se están realizando; emitiendo sus comentarios sobre debilidades y recomendaciones.

Como segunda fase: Una vez finalizada la etapa de recolección y tabulación de resultados del

proceso de auto evaluación; se iniciará el proceso de evaluación del riesgo controlado. Mediante este estudio, un grupo de expertos, analizará los resultados del proceso de auto evaluación,

determinando los dos siguientes aspectos:

La efectividad del ambiente de control

En qué medida, según la metodología de evaluación de riesgo definida por la Institución,

dicha efectividad colabora en la minimización del nivel del riesgo absoluto.

Indicadores del Sistema Específico de Valoración del Riesgo de la Institución

El proceso de definición de los indicadores para el SEVRI, es una actividad que es inherente a la

formalización de la estructura de riesgos, debido a que cada indicador de riesgo se deriva de las

actividades que son desarrolladas.

Para la definición de estos, deberán ser incluidos en la Planificación Institucional y Plan Anual

Operativo vigente o futuro de la Institución. Los tipos de indicadores que deberán definirse son de

eficiencia, eficacia y calidad. Estos deberán ser claros, uniformes, entendibles y de conocimiento

general de todos los participantes.

Las metas deberán ser evaluadas en términos cuantitativos, primeramente, pero cuando sea

necesario se evaluará en términos cualitativos debidamente justificado, para establecer su

cumplimiento.



P á g i n a 15 | 30

6- NORMATIVA DEL SEVRI

Normativa externa

Ley General de Control Interno, No. 8292

Normas de Control Interno para el Sector Público

Directrices CGR sobre SEVRI, Resolución R-CO-64-2005.

Normativa interna

Los Procedimientos del Sistema

Estructura de Riesgos, y

Parámetros de Aceptabilidad del Riesgo Procedimiento del sistema

La Normativa interna que regula el SEVRI, contiene la estructura de los procedimientos y las acciones que deben ser desarrolladas por la Institución, para aplicar de forma adecuada los

lineamientos establecidos para la definición, implantación y perfeccionamiento del SEVRI.

Los procedimientos que regularán el SEVRI de la Institución se han definido de acuerdo a los

siguientes procesos:

Análisis estratégico de la Institución

Análisis Organizacional de la Institución

Definición de los criterios para la evaluación del riesgo

Definición de la Estructura de riesgos

Administración de Riesgos

Monitoreo y Seguimiento

Comunicación y Divulgación

Un detalle de las actividades o aspectos que deben ser considerados en cada paso del proceso se

describe a continuación:

Análisis Estratégico de la Institución

Se debe realizar un análisis detallado de las relaciones de la Institución con el entorno en el cual se desenvuelve. Esto involucra a todos los sujetos interesados que tienen algún interés en las tareas

que ejecuta la Institución.

Este análisis debe considerar un estudio detallado de la información existente en la Institución que

tenga relación con los planes estratégicos de la Institución, planes anuales operativos, proyectos y cualquier otro medio que permita identificar los siguientes aspectos:



P á g i n a 16 | 30

Fortalezas y debilidades de la Institución

Oportunidades y amenazas de la Institución

Identificación de la Institución en el marco legal, político, cultural, entre otros.

Identificación de los sujetos interesados

El modelo de gestión de riesgos debe estar completamente alineado con la orientación estratégica definida por la Institución y debe permitir la valoración e identificación de potenciales riesgos

estratégicos que pueden tener incidencia en el accionar de la Institución. Para lo anterior se deberá tomar como base el Plan Estratégico 2016-2020.

Análisis Organizacional de la Institución

Tomando como punto de partida la organización existente, se deben documentar las metas y objetivos de la Institución, para ello es necesario considerar, al menos, la siguiente información:

Planes Anuales Operativos

Plan Estratégico

Procesos de levantamiento documentación y normalización de procesos

Manual de Organización Funciona

Cualquier otra información que permita identificar el marco organizacional que

puede verse afectado ante la materialización de los riesgos que posteriormente se

analizarán y administrarán.

ESTRUCTURA DE RIESGOS

Criterios de Evaluación de Riesgos

Para realizar una evaluación de riesgos más orientada a la naturaleza y características de la

Institución, se definen una serie de criterios de clasificación del riesgo, que permitirán identificar los factores críticos sobre los cuales se debe planificar las actividades para administración de los

riesgos.

Estos criterios de evaluación, además de agrupar las medidas de administración de riesgos en

procesos comunes, permiten generar reportes específicos sobre las consecuencias y probabilidades de ocurrencia de los riesgos y la incidencia que los mismos pueden tener sobre los procesos o

actividades críticas que desarrolla la Institución.

Para efectos de analizar los riesgos se deberán clasificar los riesgos de acuerdo a la siguiente

estructura previamente definida

Áreas de impacto: El análisis que se efectuará para la asignación de estos criterios estará enfocado en determinar

cuáles actividades, podrían verse impactadas por la materialización del riesgo bajo estudio



P á g i n a 17 | 30

Planificación Presupuestaria Actividades que afectan las finanzas de la Institución

Estrategia Institucional Actividades que afectan la estrategia definida en los diferentes planes de la Institución

Evaluación del desempeño Actividades asociadas a la eficiencia, eficacia y calidad en la

prestación de los servicios que brinda el AyA

Monitoreo del entorno Actividades que impactan de manera positiva o negativa la imagen

de la Institución

Cumplimiento legal y técnico Actividades que impactan en el cumplimiento de la normativa

interna y externa

Categorías de riesgos:

La categoría de riesgo es un calificador para los riesgos, a través del cual es posible agrupar éstos en diferentes familias, según sean las actividades relacionadas.

En los ciclos anteriores se clasificaban de conformidad con las siguientes categorías:

Riesgo Estratégico Riesgos que afectan el logro de los objetivos estratégicos

Riesgo Operativo Riesgos que afectan el logro de los planes operativos

Riesgo Legal Riesgos que afectan el cumplimiento de la normativa legal

Riesgo Ambiental Riesgos que afectan la prestación de los servicios por situaciones

de índole ambientales

Riesgo Tecnológico Riesgos que interrumpen el funcionamiento adecuado de la

Institución eventos tecnológicos

Riesgo Financiero Riesgos que afectan el adecuado cumplimiento de las obligaciones de la Institución en el corto, mediano y largo plazo

Sin embargo, debido al análisis del entorno y al contemplase un Plan Estratégico de recién

aprobación se utilizará las siguientes categorías de riesgos:



P á g i n a 18 | 30

CATEGORIA DE RIESGO EVENTO Y INVENTARIO DE CAUSAS (*)

Riesgos del entorno Naturales y antropogénicos: sequía, terremoto, inundaciones, deforestación, monocultivo

Comunidades: conflictos por agua, amenaza a las fuentes Ambientales: contaminación de fuentes, agotamientos de

fuentes

Usuarios: expectativas confusas o equivocadas Legales: sentencias judiciales

Gobierno: directrices de ARESEP, crédito público, Autoridad Presupuestaria, cambios políticos

Actores Sociales: sindicatos, grupos de presión, empresarios

privados

Riesgos del proceso Financiero: precio (tarifa variable, agua no contabilizada, estructura tarifaria), liquidez (devolución a usuarios), crédito

(desfase desembolsos, límite de crédito), presupuesto (formulación, aprobación, modificación, ejecución)

Legal: apelaciones, recursos perdidos, demandas, atrasos en

trámites legales, convenios nacionales e internacionales, procesos disciplinarios, dictámenes jurídicos

Empoderamiento y apropiación: Liderazgo, autoridad, tercerización, incentivos, consecuencias de actuaciones indebidas

Tecnología e información: integridad, infraestructura,

actualización, respaldo, desarrollo de aplicaciones Gestión rectora: aprobación de planes, aprobación de

infraestructura, gestión de cuentas, resoluciones de SETENA, MINAE, SENARA

Gobernanza: cultura organizacional, comportamiento ético, plan de sucesión, crecimiento en puestos, desarrollo gerencial

Reputación y comunicación: imagen institucional, relación con

usuarios, desarrolladores, operadores, público, operadores, grupos de presión, medios de comunicación

Integridad: fraude gerencial, funcionarios, terceros, actos ilegales, usos no autorizados

Operaciones: infraestructura en captación, satisfacción del

usuario, evaluación del desempeño, investigación, optimización de la capacidad, capacitación, reclutamiento, flujo de trabajo,

posición de planta y equipo, rezago tecnológico, plan de compras, impacto ambiental operaciones, salud y seguridad ocupacional,

atención de fugas, atención de obstrucciones Desarrollo físico: estudios básicos, terrenos y avalúos, diseño

final, presupuestación, contratación, ejecución de obras, cierre de

proyecto, gestión de proyectos



P á g i n a 19 | 30

Delegados: desempeño, mantenimiento, inversión

Riesgos en la toma de decisiones

Estrategia: plan estratégico, inteligencia del entorno, desarrollo regional, evaluación de proyectos, estructura organizacional,

medición del cumplimiento de los objetivos estratégicos, Transparencia: accesibilidad de información, tiempos de

respuesta, reportes de ley, instituciones públicas

Plan operativo: presupuesto de operaciones, inversiones, información contable, medición del cumplimiento del PAO,

transferencia de tecnología Rectoría: sector ambiental, aprovechamiento de cuencas, marco

legal, calidad del agua, impacto ambiental de aguas servidas,

gestión comunal del agua

(*) este inventario de causa debe ser alimentado por los Titulares Subordinados de cada

Dependencia

Factores de riesgos Los factores de riesgo identifican aquellos incidentes provenientes del entorno en que se

desenvuelve la Institución o de situaciones internas que son generados por el desempeño de las actividades institucionales, que pueden ser considerados como originadores de dichos riesgos

Relaciones comerciales Relación entre la institución y otras organizaciones o proveedores

Condiciones económicas Situaciones económicas a nivel de Institución, país o nivel

mundial

Comportamiento humano Actitudes y desempeño de personas internas o externas, que

interactúan con la Institución

Eventos naturales Eventos de la naturaleza

Disposiciones de Gobierno Cambios legislativos y factores similares

Ambiente Legal Cambios en la reglamentación interna y externa en los cuales se

desarrolla la Institución

Tecnología, habilidades y

conocimiento

Conjunto de instrumentos tecnológicos, destrezas o capacidades

individuales



P á g i n a 20 | 30

Parámetros de aceptabilidad

Criterio Nivel de Riesgo

Este criterio será el primario en la toma de decisión que determinará si el riesgo analizado será o no

aceptable. El nivel de riesgo que se utilizará para determinar este punto será la evaluación del Nivel de Riesgo con la Aplicación de Medidas de Control (Nivel de Riesgo Controlado).

La combinación de la evaluación de la consecuencia y la probabilidad controlada permitirá,

mediante un análisis cuantitativo y cualitativo ubicar el nivel de cada uno de los riesgos, con el análisis de sus respectivas medidas de control, por medio del siguiente mapa térmico:

La interpretación de la ubicación de cada riesgo, dentro del mapa térmico se define a continuación:

Nivel de Riesgo

Extremo

Cuadrantes Rojos: Los riesgos ubicados en estos cuadrantes son los primeros por los cuales hay que iniciar el proceso de administración con el objetivo de minimizar sus efectos, ya que cualquier manifestación de éstos provocaría perjuicios mayores en el logro de los objetivos de la Institución, por lo general se debe seleccionar una buena estrategia de gestión, ya sea por medio de medidas que reduzcan las consecuencias o medidas que reduzcan las probabilidades de ocurrencia.

Los riesgos evaluados y que se ubican en estos cuadrantes cuentan con altas

probabilidades de ocurrencia y con consecuencias elevadas para la Institución en caso

de que se llegasen a materializar; cualquier manifestación de éstos provocaría

perjuicios extremos en el logro de los objetivos de la Institución.

Nivel de Riesgo

Cuadrantes Naranjas: En una estrategia de gestión de riesgos, los riesgos ubicados

en estos cuadrantes tienen el segundo nivel de prioridad, en cuanto a su administración

se refiere, ya que tienen la característica especial, que de no ser administrados

adecuadamente su exposición puede aumentar y pasar a formar parte del grupo de

riesgos de cuadrantes rojos; con lo que esto representa para los objetivos de la



P á g i n a 21 | 30

Alto

Institución.

Estos riesgos evaluados se ubican en cuadrantes con altas probabilidades y

consecuencias moderadas o viceversa; su exposición conlleva niveles altos de

perjuicio en el logro de los objetivos de la Institución.

Nivel de Riesgo

Moderado

Cuadrantes Amarillos: Los riesgos ubicados en estos cuadrantes deben ser analizados con el objetivo de determinar las medidas de monitoreo y seguimiento que se le dará, ya que éstos no representan, en caso de materialización, un impacto altamente negativo en el logro de los objetivos, sin embargo, será necesario su monitoreo para evitar que lleguen a niveles altos o extremos de exposición. En la gestión de riesgos, se trabajará para lograr que los riesgos de cuadrantes rojos y naranjas se puedan minimizar hasta lograr que se ubiquen en cuadrantes amarillos, en una primera instancia y lograr que se mantengan en

ellos o que puedan bajar a cuadrantes verdes. Los riesgos evaluados que se ubican en estos cuadrantes presentan consecuencias y

probabilidades moderadas, la materialización de algunos de estos riesgos representará

un impacto medio en el logro de los objetivos de la Institución.

Nivel de Riesgo

Bajo

Cuadrantes Verdes: Los riesgos ubicados en estos cuadrantes son a los cuales se les

dirige menor inversión de recursos debido al bajo impacto que representa su exposición,

sin embargo, se debe velar porque no se eleven sus niveles, lo que conllevaría al

desplazamiento de los mismos a cuadrantes de mayor exposición lo que comprometería

de mayor manera el logro de los objetivos; para evitar dicha situación, se utilizarán

planes de monitoreo y seguimiento sobre los mismos.

Los riesgos evaluados que se encuentran en estos cuadrantes son aquellos que

presentan consecuencias y probabilidades bajas, de materializarse alguno impactará de

forma mínima el logro de objetivos de la Institución.

Por medio del mapa térmico será posible observar y analizar la exposición de cada uno de los

riesgos, una vez finalizada la evaluación de controles, y así determinar el nivel real de exposición

que será necesario administrar.

7- ACTIVIDADES DEL SISTEMA DE VALORACIÓN

Identificación de Riesgos:

Definición según la directriz: Actividad del proceso de valoración del riesgo que consiste

en la determinación y la descripción de los eventos de índole interno y externo que

pueden afectar de manera significativa el cumplimiento de los objetivos de la Institución

Para la identificación de los riesgos, se tomará la estructura organizacional vigente, se procederá a

recolectar la información necesaria para la identificación de los riesgos que pueden afectar el

cumplimiento de los objetivos y las funciones de cada una de las áreas que conforman la Institución.



P á g i n a 22 | 30

Para el registro de dicha información se debe analizar cada riesgo considerando, como mínimo, los

siguientes aspectos:

Las posibles causas, internas y externas, de los riesgos identificados y las posibles

consecuencias de la ocurrencia de dichos riesgos sobre el cumplimiento de los objetivos y

la ejecución del respectivo proceso que es ejecutado por cada área de responsabilidad.

Las formas de ocurrencia del riesgo en estudio y el momento y lugar en el que podrían

ocurrir.

Análisis de riesgos:

Definición según la directriz: Actividad del proceso de valoración del riesgo que consiste

en la determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados.

En esta etapa se procede a realizar un análisis de las causas del riesgo y de aquellos factores que deben ser considerados por los Titulares Subordinados para establecer las medidas de

administración de riesgos.

Dentro de las tareas que se deben desarrollar para realizar un adecuado análisis de riesgos se

encuentran las siguientes:

Asignación de Criterios los Riesgos: una vez identificados cada uno de los riesgos, se procede a realizar la asociación de cada uno de los riesgos a los respectivos criterios de clasificación, que se

han definidos con anterioridad.

Mediante este proceso será factible realizar, una revisión por los distintos criterios de interés y así

obtener informes detallados y específicos del comportamiento de los riesgos identificados según las necesidades de los sujetos interesados, los planes y programas de mitigación de riesgos que se han

establecido.

Auto-Evaluación de Riesgo Absoluto

La evaluación del riesgo inherente se estará llevando a cabo mediante un proceso de auto

evaluación, en donde cada uno de los dueños de proceso identificará el nivel de riesgo absoluto (evaluación de riesgo bajo un escenario que no considera la existencia ni efectividad del ambiente

de control).

Para definir este nivel, se ejecutará una evaluación para cada uno de los riesgos, basada en los

parámetros de consecuencia y probabilidad, según se establece en los criterios presentados en el apartado “Valoración del Riesgo”.

En la determinación de la consecuencia se deberán tomar en cuenta todos los posibles efectos negativos y positivos que están relacionados con los riesgos y en la determinación de la

probabilidad se deberán considerar todos aquellos datos históricos, estadísticos y de experiencia que permitan definir la frecuencia con que el riesgo analizado se puede materializar.



P á g i n a 23 | 30

Por la naturaleza y análisis que implica la evaluación del riesgo absoluto, es de esperarse que éstos,

por lo general, se ubiquen en niveles extremos y altos, pero en términos generales esta

característica es determinada por la naturaleza de la Institución y la importancia relativa de cada una de las áreas organizacionales en el logro de los objetivos de la misma.

Auto-Evaluación de Controles

Para la evaluación del ambiente de control, se utilizará la auto evaluación de controles producto de la identificación de riesgos, a cada una de estas medidas de control se le deben de realizar los

análisis siguientes:

Clasificación de Controles

A cada control se le efectuará un análisis mediante el cual se identifiquen cuales medidas son

claves para la mitigación y cuales controles se consideran como medidas de apoyo o de compensación. Para realizar dicha clasificación se contará con los siguientes criterios:

Criterio Descripción Color de

Identificación

Medida de Control Clave Medidas cuya ejecución adecuada es

indispensable para que el riesgo relacionado no

se materialice y de hacerlo impacte en un grado

mínimo los objetivos de la Institución

Medida de Control No

Clave

Medidas cuya ejecución, apoya y fortalece la

acción de las medidas de control claves

Evaluación de Controles

A cada medida de control identificada, se le realizará el análisis respectivo, a través del cual se

determinará su nivel de ejecución, para realizar este análisis se considerará, como mínimo los siguientes puntos:

La ejecución de la medida

La efectividad con la que esta medida se está realizando

Como resultado de este análisis a cada uno de los controles revisados, se les asignará alguna de

los supuestos de evaluación que se detallan en la siguiente tabla:



P á g i n a 24 | 30

Criterio de

Evaluación

Significado Color de

Identificación

Sin Medida de

Control

Al parecer la medida de control no se está ejecutando

Medida de Control

Pobre

La medida de control se ejecuta esporádicamente

Medida de Control

Adecuada

La medida de control se ejecuta sistemáticamente, pero carece de

divulgación, formalización y además no ha sido probada por agentes

externos, en los casos que se requiera

Medida de Control

Fuerte

La medida de control se ejecuta de manera efectiva, ha sido probada, pero

carece de un proceso de formalización y divulgación, en los casos que se

requiera

Medida de Control

Hermética

La medida de control se ejecuta de manera efectiva se encuentra probada,

formalizada y divulgada, en los casos que se requiera

Evaluación de Riesgo Controlado

Finalizada la recolección y tabulación de los resultados del proceso de autoevaluación de

controles, se procede con el análisis que permitirá determinar el nivel de riesgo, considerando las

medidas de control actuales con que cuenta la Institución.

Este análisis conlleva un proceso de estudio, de los responsables de la administración de riesgos

designados en cada una de las Dependencia de la Institución, con la finalidad de que continúen el

proceso de establecimiento, mantenimiento y perfeccionamiento del SEVRI. El análisis se

ejecutará, para cada uno de los riesgos y el mismo debe contemplar los siguientes aspectos:

1. Determinar si las medidas de control asociadas al riesgo, están orientadas a la minimización de la probabilidad o de la consecuencia. En este análisis, para determinar la consecuencia,

entre otros, se deberá estudiar el ambiente de control, tomando en cuenta todos los posibles efectos negativos y positivos que existan en él; y en la determinación de la

probabilidad se deberán considerar, todos aquellos controles que vayan orientados a la

minimización de la frecuencia con que el riesgo analizado se puede materializar.

2. Determinar que tanto, el ambiente de control, ha minimizado la consecuencia o la probabilidad absoluta, analizando los resultados de los criterios de evaluación y clasificación

que se emitieron en el proceso de auto evaluación de controles.

Es importante recalcar que el análisis se centrará más fuertemente en aquellos controles que se

hayan determinado como “Controles Claves”, ya que la falta de efectividad en la ejecución de éstos crea la posibilidad de que los riesgos asociados se materialicen con mayor facilidad,

comprometiendo altamente el logro de los objetivos y procesos vinculados.



P á g i n a 25 | 30

Evaluación de Riesgos

Definición según la directriz: Actividad del proceso de valoración del riesgo que consiste en la determinación, a través de mecanismos de análisis, de las prioridades para la

administración de riesgos.

Finalizada la etapa del análisis de riesgos se procederá a evaluar sus resultados y a determinar los

criterios bajo los cuales se dará la aceptabilidad de cada uno de ellos. Para realizar las actividades de evaluación de riesgos se recomienda la generación del siguiente análisis:

1- Efecto del ambiente de control sobre la evaluación del riesgo

2- Riesgos por proceso, actividad o área de impacto

3- Riesgos por objetivo de la Ley de Control Interno 4- Análisis de la efectividad de los controles

1- Efecto del Ambiente de Control

La evaluación de los riesgos sin la aplicación de medidas de control o sea el riesgo absoluto vs riesgos con medidas de control o será el riesgo controlado, permite visualizar en el mapa térmico la

efectividad del ambiente de control existente, se mostrará el desplazamiento del nivel de riesgo producido por la evaluación de la efectividad del ambiente de control asociado a los riesgos. Así

será posible analizar, en un mismo plano, el nivel de riesgo y que tanto se ha disminuido este, a

través de la evaluación de la efectividad del ambiente de control, en éste último se centrará el estudio para determinar si es factible dar por aceptado el riesgo o por el contrario si se le aplicará

el debido proceso de administración.

2- Evaluación de Riesgos por otros Criterios

Para efectos de tener mejores indicadores de evaluación para determinar las medidas de

administración de riesgos, se pueden analizar otros criterios de evaluación definidos previamente en este Marco Orientador

Los criterios de áreas de impacto, categorías de riesgos y factores de riesgo, permiten hacer una

valoración sobre ubicación de los riesgos, tal que se contará con una visión que permitirá identificar

los procesos o actividades que cuentan con mayor exposición de ser impactados por incidentes o causas previamente identificadas, en caso de que los riesgos relacionados a cada uno se llegaran a

materializar.

3- Análisis por Objetivos

Otro indicador que es factible analizar, son los riesgos asociados a cada objetivo de la Ley de Control Interno, que permite tomar decisiones de índole estratégica, debido a que ubica el

portafolio de riesgos basado en los 4 objetivos de la Ley que son los siguientes:



P á g i n a 26 | 30

a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal. b) Exigir confiabilidad y oportunidad de la información. c) Garantizar eficiencia y eficacia de las operaciones. d) Cumplir con el ordenamiento jurídico y técnico.

4- Análisis de la efectividad de los Controles

La evaluación del análisis de la efectividad de los controles permitirá identificar, el ambiente de

control, a nivel general, con que se cuenta. A través de este análisis se logrará obtener un mapa global para determinar:

Porcentajes de medidas de Control

existentes

Totales

Claves No claves

Distribución porcentual de la

evaluación de medidas

Pobres

Adecuadas Fuertes

Herméticas

Estos resultados, lograrán determinar el nivel del ambiente de control, para mitigar los riesgos

identificados, entre mayor sean los porcentajes de medidas de control “Sin Medida de Control” y “Medidas de Control Pobre”, mayor será el esfuerzo que se debe desarrollar para identificar las

debilidades en el ambiente de control, en los respectivos riesgos, con el fin de ejecutar un proceso

de administración de riesgos adecuado.

Administración de riesgos

Una vez identificados los riesgos que no cumplen con los criterios de aceptabilidad, se iniciará, para éstos el proceso de administración, el cual contempla las etapas de:

Identificar las Medidas para la Administración de Riesgos

Evaluar la viabilidad de las Medidas para la Administración de Riesgos

Preparar los Planes para las Medidas de Administración de Riesgos

Implementación de las Medidas para la Administración de Riesgos

El detalle de cada una de las etapas se presenta a continuación

1- Identificar las Medidas para la Administración de Riesgos

Se definirán, según el orden de priorización dado durante el proceso de evaluación del riesgo, las

diferentes medidas que puedan existir para administrar el riesgo. Esta definición abarcará al menos uno de los siguientes supuestos:



P á g i n a 27 | 30

Reducir la Probabilidad: Definición de medidas que colaboren con la minimización de la

probabilidad presentada a través de la evaluación del riesgo controlado, entre éstas están: revisiones preventivas, prácticas periódicas de auto evaluación de los sistemas de control interno,

establecer relaciones contractuales adecuadas con los principales proveedores y facilitadores de los recursos Institucionales, entre otros.

Reducir la Consecuencia: Definición de medidas que colaboren con la minimización de la consecuencia presentada a través de la evaluación del riesgo controlado, entre éstas medidas se

pueden establecer programas específicos e integrales de seguridad en el trabajo, continuidad del negocio, planes de continuidad o contingencias informáticas, planes de recuperación de los

procesos críticos y manejo de las relaciones públicas, entre otros.

Transferir el Riesgo: Definir medidas mediante las cuales terceros asuman parte o la totalidad

del riesgo que se desea administrar, en este caso, por ejemplo, se deben valorar las prácticas existentes en la Institución de aseguramiento de los activos.

Evitar el Riesgo (no administrar): No ejecutar las acciones que involucran la materialización del

Riesgo, esta decisión se debe analizar con mucho cuidado, ya que de no definirse adecuadamente

puede aumentar la exposición de otros riesgos.

Aceptar o tolerancia del riesgo: no se toma ninguna decisión que afecte la probabilidad o la consecuencia del riesgo. La tolerancia al riesgo se puede complementar por supuesto con la

planificación de contingencia para manejar los impactos que se presentarán si se manifiesta el

riesgo.

La identificación de las medidas se debe realizar de forma tal, que éstas traten, de abarcar la mayor cantidad de riesgos cuya evaluación no ha sido aceptable, con la finalidad de que los planes de

tratamiento y mitigación, tengan una relación de costo-beneficio con miras a ubicarlo en un nivel de riesgos aceptable que permita el cumplimiento de los objetivos institucionales.

2- Evaluar la viabilidad de las Medidas para la Administración de Riesgos

Finalizada la etapa de la identificación de las medidas, se procederá a analizar la viabilidad de cada

una de éstas con el fin de seleccionar y priorizar en aquellas que se enfocan en los riesgos más

críticos. En este análisis se contemplarán los siguientes criterios de evaluación:

La relación costo-beneficio de llevar a cabo cada opción

La capacidad e idoneidad de los entes participantes internos y externos en cada opción

El cumplimiento del interés público y el resguardo de la hacienda pública

La viabilidad jurídica, técnica y operacional de las opciones.

Las medidas de control para la administración del riesgo, se priorizarán en base a aquellas que

satisfagan de la mejor manera posible estos criterios de evaluación.



P á g i n a 28 | 30

En los casos en donde se estime imposible poder llevar a cabo la ejecución de las medidas

identificadas, se ejecutará un proceso que determinará el mecanismo a seguir para ejecutar la

retención y monitoreo del riesgo en cuestión.

3- Preparar los Planes para las Medidas de Administración de Riesgos

Para cada una de las medidas, cuya viabilidad haya sido apropiada, se le ejecutará un proceso de

preparación de planes, el cual contempla los siguientes puntos:

Detalle de la Medida Resultados Esperados

Responsabilidades en la ejecución de

la medida

Medidas de Desempeño

Recursos necesarios para la ejecución de la medida

Cronograma de Implementación y Revisión

Programa

4- Implementación de las Medidas para la Administración de Riesgos

El desarrollo de cada una de las medidas preparadas, estará bajo la responsabilidad de las partes

que se encuentren capaces de controlar los riesgos identificados durante la evaluación.

La implementación contemplará, planes de monitoreo y puntos de revisión a través de los cuales se

logre determinar el grado de avance que estas medidas han alcanzado y cómo se ha visto minimizado el riesgo con su implementación. Su ejecución se integrará a los planes institucionales

operativos y planes de mediano y largo plazo, según corresponda.

La fase de la administración del riesgo, es un proceso cíclico, mediante el cual la administración,

evaluará periódicamente los riesgos, determinando si éstos se encuentran en niveles aceptables, para los que cumplan esta condición se le deben implementar un procedimiento de monitoreo y

seguimiento y para los que no se encuentren en esta condición se les aplicará el debido proceso de administración, el cual también debe contar con un procedimiento de monitoreo y seguimiento

especialmente en lo relacionado con la efectividad del plan de tratamiento.

5- Monitoreo y Seguimiento

Se desarrollarán programas de revisión, que tendrán como objetivo dar monitoreo y seguimiento a

los siguientes puntos:

Naturaleza de la Institución: Es necesario, analizar la naturaleza cambiante de la Institución,

validando detalladamente el ambiente interno y externo, ya que variaciones a este nivel pueden alterar las prioridades de administrar y mitigar los riesgos que se han identificado como prioritarios.

Efectividad de los planes de las medidas de control: Establecer programas para la revisión de

los planes de las medidas implementadas, para evaluar el avance, detectar y solucionar cualquier

posible desviación en el cumplimiento de los resultados esperados.



P á g i n a 29 | 30

Evaluación periódica de los riesgos: Establecer programas de revisión para los riesgos, a través

de los cuales sean analizados los niveles de riesgo y lograr determinar el grado en el cual la

implementación de las medidas de control ha colaborado en la minimización del mismo.

Cualquier alerta que se desprenda de este seguimiento deberá ser analizada para determinar su impacto e iniciar el proceso de administración idóneo.

Revisión de riesgos

Definición según la directriz: En relación con los riesgos identificados, se deberá dar seguimiento, al menos, a: a) el nivel de riesgo; b) los factores de riesgo; c) el grado de

ejecución de las medidas para la administración de riesgos; d) la eficacia y la eficiencia de las medidas para la administración de riesgos ejecutadas.

La revisión de riesgos deberá ejecutarse de forma continua y la información que se genere en esta actividad deberá servir de insumo para: a) elaborar los reportes del

SEVRI; b) ajustar de forma continua las medidas para la administración de riesgos; c) evaluar y ajustar los objetivos y metas institucionales.

Esta etapa es complementaria la evaluación de riesgos y en la Institución se realizará los ciclos de revisión con una duración de un año calendario, iniciando en el mes de mayo con el fin de

determinar cuáles medidas de implementación son objeto de presupuesto o incorporación a planes operativos del año siguiente o bien ajustarlo por etapas cumplidas en el ciclo que termina.

Documentación de riesgos

Definición según la directriz: Se deberá documentar la información sobre los riesgos y las medidas para la administración de riesgos que se genere en cada actividad de la

valoración del riesgo (identificación, análisis, evaluación, administración y revisión).

Deberá de establecerse registros de riesgos que incluyan, como mínimo, la información

sobre su probabilidad, consecuencia, nivel de riesgo asociado y medidas seleccionadas para su administración.

En relación con las medidas para la administración de riesgos deberá documentarse

como mínimo su descripción, sus resultados esperados en tiempo y espacio, los

recursos necesarios y responsables para llevarlas a cabo.

Se deberá velar por que los registros sean accesibles, comprensibles y completos y que la documentación se realice de forma continua, oportuna y confiable.

Toda esta información deberá servir de base para la elaboración de los reportes del

SEVRI dirigidos a los sujetos interesados y podrá ser requerida por la Contraloría

General de la República o la auditoría interna, por lo que deberá de estar actualizada en todo momento

Esta actividad está presente en todo el proceso y los registros se encuentran debidamente

custodiados por los Enlaces de Riesgos de cada Dependencia en forma manual y electrónica,



P á g i n a 30 | 30

además se cuenta con el sistema automatizado SACI Plus que permite de manera más sencilla el

manejo del volumen de la información para la elaboración de los respectivos informes.

Comunicación y Divulgación

Definición según la directriz: Se deberá brindar información a los sujetos interesados, internos y externos y a la institución en relación con los riesgos institucionales.

La comunicación deberá darse en ambas direcciones, mediante informes de seguimiento y de resultados del SEVRI que se elaboran periódicamente y mediante la

operación de mecanismos de consulta a disposición de los sujetos interesados.

La información que se comunique deberá ajustarse a los requerimientos de los grupos a los cuales va dirigida y servir de base para el proceso de rendición de cuentas

institucional.

Los reportes del SEVRI deberá contener como mínimo la información que de acuerdo

con la Directriz 4.7., debe documentarse y debe estar disponible para los sujetos interesados.

Se desarrollarán planes de comunicación y divulgación, en relación al proceso de administración de riesgos. Estos planes considerarán los siguientes aspectos:

Mecanismos y canales de divulgación

Nivel de información que será divulgada según sean los sujetos interesados

Dinámicas de divulgación

Estructura y generación de reportes de seguimiento

Paralelo a la definición de estos mecanismos, los Titulares Subordinados deberán abrir espacios, dentro de los cuales, los sujetos interesados podrán evacuar consultas específicas en materia del

proceso de administración de riesgo.

Subsistema Control Estratégico - aya.go.cr · El ámbito de acción de la Gestión Integral de...

Documents

Transcript of Subsistema Control Estratégico - aya.go.cr · El ámbito de acción de la Gestión Integral de...