Post on 25-Sep-2018
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 1 | 30
Subsistema Control Estratégico
SISTEMA ESPECÍFICO VALORACIÓN DEL RIESGO INSTITUCIONAL (SEVRI)
COMPOMENTE:
MARCO ORIENTADOR DEL SEVRI PARA EL AYA
2016
Control de Cambios:
Versión Fecha de Actualización Actualizado por: Validado por:
2 Emisión: febrero de 2017 UCI Acuerdo No. 2017-040
1 Emisión: enero de 2010 UCI Acuerdo No. 2010-587
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 2 | 30
GLOSARIO
Administración de riesgos: Actividad del proceso de valoración del riesgo que consiste en la
identificación, evaluación, selección y ejecución de medidas para la administración de riesgos.
Actividades de control o Controles: Parte de la administración de riesgos que involucra la
ejecución de políticas, estándares y procedimientos para eliminar o minimizar los riesgos.
Actividades de la Institución: Calificador para los riesgos que permite vincular éstos con las actividades que ejecuta la Institución, y así analizar cuales actividades pueden verse afectadas por
la presencia de los riesgos
Análisis de riesgos: Actividad del proceso de valoración del riesgo que consiste en la
determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados.
Análisis cualitativo: Descripción textual para definir la magnitud de las consecuencias potenciales
de materialización de un riesgo, y la frecuencia de la probabilidad con que el riesgo se pudiese
presentar y el nivel de riesgo asociado.
Análisis cuantitativo. Valoración numérica para definir la magnitud de las consecuencias potenciales de materialización de un riesgo, y la frecuencia de la probabilidad con que el riesgo se
pudiese presentar y el nivel de riesgo asociado.
Categorías de Riesgos: Calificador para los riesgos, a través del cual sea posible agrupar éstos
en diferentes familias, según sean los daños que puede provocar su materialización.
Comunicación de riesgos: Actividad permanente del proceso de valoración del riesgo que consiste en la preparación, la distribución y la actualización de información oportuna sobre los
riesgos a los sujetos interesados.
Consecuencia: Conjunto de efectos derivados de la ocurrencia de un evento expresado cualitativa
o cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias.
Evaluación de riesgos: Actividad del proceso de valoración del riesgo que consiste en la determinación, a través de mecanismos de análisis, de las prioridades para la administración de
riesgos.
Evitar el Riesgo: Acción de no ejecutar las actividades que pueden materializar riesgos.
Factor de Riesgo: Calificador para los riesgos, a través del cual será posible agrupar éstos en sus
respectivos grupos; según sean las fuentes u originadores que provocan que el riesgo se
materialice.
Gestor Institucional de Riesgos: UCI, unidad designada por la alta dirección, como el coordinador general del proceso de gestión integral de riesgos de la Institución.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 3 | 30
Enlace de Riesgos por Proceso o Área: funcionario designado por los titulares subordinados de
cada Subgerencia y UEN, responsable de coordinar los esfuerzos de desarrollo, implementación y
coordinación del SEVRI para su área de responsabilidad, cada área de responsabilidad Institucional debe contar con su coordinador de riesgos específico y formalmente designado.
Identificación de Riesgos: Actividad del proceso de valoración del riesgo que consiste en la
determinación y la descripción de los eventos de índole interno y externo que pueden afectar de
manera significativa el cumplimiento de los objetivos de la Institución
Medida para la Administración de Riesgos o Tratamiento: Disposición razonada definida por la Institución previo a la ocurrencia de un evento para modificar, transferir, prevenir, atender o
retener riesgos.
Nivel de Riesgo o Exposición del Riesgo: Grado de exposición al riesgo que se determina a
partir del análisis de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite establecer la importancia relativa
del riesgo.
Nivel de Riesgo Aceptable: Nivel de riesgo que la Institución está dispuesta y en capacidad de
retener para cumplir con sus objetivos, sin incurrir en costos ni efectos adversos excesivos en relación con sus beneficios esperados o ser incompatible con las expectativas de los sujetos
interesados.
Normativa Estándar Australiano de Administración de Riesgos (AS/NZS 4360:1999):
Estándar mundialmente aplicado que provee una guía para el establecimiento e implementación para el proceso de administración de riesgos
Parámetros de aceptabilidad de riesgos: Criterios que permiten determinar si un nivel de
riesgo específico se ubica o no dentro de la categoría de nivel de riesgo aceptable.
Reducir Consecuencia: Definición de medidas de administración de riesgos para minimizar la
consecuencia.
Reducir Probabilidad: Definición de medidas de administración de riesgos para minimizar la probabilidad.
Riesgo: Evento que en caso de hacerse presente tendría efectos sobre el cumplimiento de los objetivos de la Institución. Su medición se da en términos de consecuencia y probabilidad.
Riesgo Absoluto: Análisis de la probabilidad y consecuencia que persigue como objetivo evaluar
el riesgo inherente al que podría estar expuesta la Institución ante la materialización del riesgo en estudio.
Riesgo Controlado: Análisis que persigue como objetivo determinar si el ambiente de control con que cuenta actualmente la Institución permite minimizar la consecuencia y la probabilidad
detectadas a través de la evaluación del riesgo absoluto.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 4 | 30
Riesgo Tratado: Análisis que persigue como objetivo determinar si, una vez concluidas las
acciones propuestas para la administración del riesgo, se ha logrado minimizar, a los niveles
propuestos, la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo controlado.
Riesgo Residual: Nivel de riesgo que la Institución acepta retener.
Retener Riesgos: Opción de administración de riesgos que consiste en no aplicar los otros tipos de medidas (atención, modificación, prevención o transferencia) y estar en disposición de enfrentar
las eventuales consecuencias.
SCE: Subsistema Control Estratégico, equipo de nivel gerencial encargado de tomar las decisiones para el mantenimiento y perfeccionamiento del SEVRI.
Sujetos Interesados: Personas físicas o jurídicas, internas y externas a la Institución, que pueden afectar o ser afectadas directamente por las decisiones y acciones institucionales.
Ellos pueden incluir:
Individuos dentro de la organización, tales como los empleados, la gerencia, la alta gerencia, y voluntarios:
o tomadores de decisiones o contrapartes de negocios o comerciales
o grupos de empleados
o grupos sindicales o Instituciones financieras
o Organizaciones de seguros o Reguladores y otras organizaciones gubernamentales que tienen autoridad sobre las
Actividades o Asadas (Asociación Administradora de los Sistemas de Acueductos y Alcantarillados
Comunales).
Políticos (a todos los niveles del gobierno) que pudieran tener un interés electoral o de Cartera Organizaciones no-gubernamentales tales como grupos ambientales y grupos de interés
o público; o Clientes;
Proveedores, proveedores de servicios y contratistas para la actividad
Comunidades locales; y la sociedad como un todo.
Transferir Riesgo: Definición de medidas de administración de riesgos a través de las cuales un tercero asume parte o totalidad de los efectos provocados por la materialización del riesgo.
UCI: Unidad de Control Interno, Dependencia encargada del proceso institucional de control
interno y de valoración del riesgo.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 5 | 30
COMPONENTE MARCO ORIENTADOR DEL SEVRI PARA EL AYA
Introducción
El presente documento tiene como objetivo establecer el marco normativo del AyA, que
contiene los criterios necesarios para el establecimiento del Sistema Específico de Valoración del
Riesgos según lo indica la Ley 8292 en sus artículos No. 14, 18 y 19, los cuales indican lo siguiente:
“… Artículo 14. —Valoración del riesgo. En relación con la valoración del riesgo,
serán deberes del jerarca y los titulares subordinados, entre otros, los siguientes:
a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos.
b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.
c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.
d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.
Artículo 18. —Sistema específico de valoración del riesgo institucional. Todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo.
La Contraloría General de la República establecerá los criterios y las directrices generales que servirán de base para el establecimiento y funcionamiento del sistema en los entes y órganos seleccionados, criterios y directrices que serán obligatorios y prevalecerán sobre los que se les opongan, sin menoscabo de la obligación del jerarca y titulares subordinados referida en el artículo 14 de esta Ley.
Artículo 19. —Responsabilidad por el funcionamiento del sistema. El jerarca y los respectivos titulares subordinados de los entes y órganos sujetos a esta Ley, en los que la Contraloría General de la República disponga que debe implantarse el Sistema Específico de Valoración de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo institucional aceptable…”
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 6 | 30
1- POLÍTICA DE VALORACIÓN DE RIESGO INSTITUCIONAL
La política de valoración de riesgos del Instituto Costarricense de Acueductos y Alcantarillados, le permitirá a la Institución, coordinar todos los esfuerzos relacionados con el proceso de
perfeccionamiento del SEVRI, a través de la perspectiva de valoración de riesgos que aporte a la toma de decisiones y coadyuve al cumplimiento de los objetivos, permitiendo asegurar que el AyA
se posicione en un nivel de riesgo aceptable.
2- OBJETIVOS
Objetivo General
"El Instituto Costarricense de Acueductos y Alcantarillados, incorporará los planes,
programas y acciones para identificar, prevenir, analizar, priorizar, evaluar, dar respuesta y controlar permanentemente los riesgos que puedan afectar el funcionamiento de los
procesos y objetivos Institucionales tomando como punto de partida los alcances de su Planificación Estratégica y la normativa legal que regula su operación.
El ámbito de acción de la Gestión Integral de Riesgos debe permitir el cumplimiento y
validación de aquellos eventos, que impidan a la Institución el cumplimiento de su misión, visión y sus valores Institucionales de acuerdo a lo señalado en su Plan Estratégico
Institucional”.
Objetivos Específicos
Implementar las estrategias definidas por el Jerarca para el perfeccionamiento y
mantenimiento del Sistema de Valoración del Riesgo Institucional, que apoye la toma
de decisiones.
Lograr uniformar el concepto de riesgo y la metodología de trabajo de la valoración del
riesgo Institucional.
Generar la información necesaria que le permita a la Administración Activa realizar
tomas de decisiones de una manera razonable y acorde con los objetivos de la
Institución.
Analizar los riesgos que afectan la ejecución de los procesos y el logro de los objetivos
de la Institución y aplicarles las medidas necesarias para ubicarlos y estabilizarlos en
niveles aceptables.
Definir los lineamientos organizacionales, para poder desarrollar una estructura de
soporte a la gestión integral de riesgos, mediante la cual sea posible realizar las labores de análisis, evaluación, monitoreo y actualización del SEVRI, en todas las dependencias
de la Institución.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 7 | 30
Incorporar las actividades que requiere el SEVRI, a los planes que la Institución
desarrolla; con el fin de obtener un esfuerzo integrado en el logro de los objetivos
Institucionales y una valoración objetiva de los potenciales incidentes que pueden
afectar el logro de los objetivos, planes y proyectos de la Institución.
Establecer métodos y mecanismos idóneos para ejecutar las acciones de comunicación
y divulgación de la información relacionada con el Sistema Específico de Valoración de Riesgos y la aplicación efectiva de los diversos programas de tratamiento o mitigación
de riesgos.
MISIÓN
Asegurar el acceso universal al agua potable y al saneamiento de forma comprometida con la salud, la sostenibilidad del recurso hídrico y el desarrollo económico y social del país.
VISIÓN
Ser la institución pública de excelencia en rectoría y gestión de los servicios de agua potable y saneamiento para toda la población del país.
VALORES
Transparencia: Valorar y revaluar la función de servidor público y rendir cuentas a los ciudadanos sobre el destino de los fondos de la Institución y en particular hacia los usuarios y consumidores el servicio público, brindado con eficacia y eficiencia.
Solidaridad: Compromiso manifiesto de los funcionarios con las necesidades de la sociedad y los usuarios.
Espíritu de servicio: Disposición y actitud positiva, con compromiso, diligencia y cercanía con nuestros usuarios y compañeros de trabajo, para asumir el logro de la misión, visión y objetivos institucionales.
Responsabilidad y compromiso: Actitud de los funcionarios a observar el cumplimiento del ordenamiento jurídico y técnico, en la ejecución de las funciones orientadas al cumplimiento de los objetivos institucionales y el resguardo de la hacienda pública.
Respeto: Actitud de los funcionarios a considerar y atender a las personas, salvaguardando su dignidad y la nuestra.
Excelencia: Compromiso de los funcionarios con el mejor desempeño, con miras a lograr el más alto nivel de competitividad y productividad en cada una de nuestras actividades.
Compromiso del Jerarca
El Órgano Colegiado en su condición de Superior Jerárquico, se compromete a que la gestión de riesgos institucional constituya un componente clave para el logro de los objetivos del AyA,
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 8 | 30
para lo cual su participación deberá ser activa en la consolidación del sistema en apoyo a la
toma de decisiones a todo nivel.
Alcance de la Política
Esta política aplica para todas las dependencias funcionales y proyectos que conforman la
Institución y de conformidad con la estructura aprobada por el MIDEPLAN mediante oficio DM-
297-14 de fecha 11 de setiembre del 2014.
3- LINEAMIENTOS INSTITUCIONALES PARA EL ESTABLECIMIENTO DE NIVELES DE RIESGO ACEPTABLES Y PARÁMETROS DE ACEPTABILIDAD
Los integrantes del Subsistema Control Estratégico será el equipo de trabajo responsable de la
definición del proceso de implementación de la Política Institucional de Administración de riesgos, de acuerdo a lo establecido en el presente Marco Orientador del SEVRI, así como aprobar las
rendiciones de cuentas del proceso para ser remitidas al Jerarca.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 9 | 30
La Unidad de Control Interno será a nivel general, la responsable de velar por la aplicación de la
implementación, desarrollo, monitoreo y supervisión del funcionamiento del SEVRI a nivel de la
Institución, el cuál funge como un coordinador con los diversos Titulares Subordinados de las áreas de responsabilidad y los Enlaces de Riesgos.
Será responsabilidad del Titular del área definir los responsables, para que ejecuten las actividades
necesarias de monitoreo y gestión que establece el SEVRI. Estos responsables tendrán una
constante coordinación la Unidad de Control Interno.
Las acciones producto del SEVRI deberán integrarse al sistema de control interno de cada Dependencia y a su vez el de nivel institucional.
Definición de los criterios – Consecuencia -
Criterio Cualitativo
Descripción Criterio
Cuantitativo
Insignificante
No hay daño, pérdida financiera, de imagen o potenciales problemas operativos o de cumplimiento legal bajos
1
Menor
El primer tratamiento de ayuda o de corrección, se realiza inmediatamente, genera pérdidas financieras o de imagen baja, los procesos críticos y los compromisos de la Institución hacia los terceros o internamente no se ven comprometidos.
2
Moderado
Requiere tratamiento o corrección inmediata, en las áreas afectadas, los procesos críticos se pueden ver afectados, se requiere de asistencia para la corrección, se presentan pérdidas financieras medias, de imagen y pueden existir debilidades en los procesos operativos y consecuencias legales.
3
Mayor
Daños mayores, pérdidas de capacidad de operación, no se puede cumplir con los objetivos de una manera razonable (eficaz y eficientemente), la organización se ve expuesta a pérdidas financieras, operativas, de imagen considerables, efectos legales y de cumplimiento pueden perjudicar a la Institución.
4
Catastrófico
No se puede cumplir con los objetivos Institucionales, el no cumplimiento compromete a la Institución, puede ser sancionada, se pueden dar pérdidas financieras muy altas, pérdida de imagen y no cumplimiento de responsabilidades.
5
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 10 | 30
Definición de los criterios –Probabilidad-
Criterio Cualitativo Descripción Criterio Cuantitativo
Casi Certeza
La expectativa de ocurrencia se da con una certeza de casi el 100% de las circunstancias
5
Probable
Probabilidad de ocurrencia en la mayoría de las circunstancias
4
Posible
Ocurre en la mitad de los casos
3
Poco Probable
Puede ocurrir algunas veces
2
Raro
Puede ocurrir solo bajo circunstancias excepcionales
1
De acuerdo a los lineamientos establecidos por el ente fiscalizador, a cada uno de los riesgos
identificados se le debe efectuar un análisis de su consecuencia y probabilidad, según los criterios anteriores, en los siguientes tres escenarios:
Evaluación Riesgo Absoluto
Se asocia con la evaluación del riesgo sin controles o el riego inherente asociado a cada una de las actividades que se desarrollan en la Institución, en este caso se procede a realizar un análisis de la
probabilidad y la consecuencia de aquellos aspectos que se han considerado como riesgos y su
objetivo es determinar el nivel de riesgo inherente de cada uno de los procesos o actividades valorados.
Esta valoración permite determinar el nivel de riesgo inherente al que podría estar expuesta la
Institución ante la materialización del riesgo identificado.
Evaluación Riesgo Controlado
Esta evaluación está orientada en determinar si el ambiente de control con que cuenta actualmente
la Institución permite minimizar la consecuencia y la probabilidad detectadas a través de la evaluación del riesgo absoluto, la evaluación del riesgo controlado, debe estar integrada con los
procesos de mejoramiento y perfeccionamiento del Sistema de Control Interno de la Institución.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 11 | 30
Evaluación Riesgo Tratado
Esta evaluación tiene el objetivo de determinar si, una vez concluidas las acciones propuestas para la administración del riesgo, se ha logrado minimizar el nivel del riesgo, a los niveles propuestos, la
consecuencia y la probabilidad detectadas a través de la evaluación del riesgo controlado.
Es importante tener presente que los Titulares Subordinados, deben incluir dentro de los procesos
de seguimiento y actualización, la revisión periódica de los criterios empleados para la valoración del riesgo, con la finalidad de que los mismos se ajusten a los requerimientos de la Institución y a
lo establecido en los alcances del Marco Orientador.
4- PRIORIDADES PARA LA VALORACIÓN DEL RIESGO
Se establece como elementos prioritarios a valorar los riesgos asociados en un primer nivel, a los objetivos estratégicos institucionales y en un segundo nivel asociados al entorno y prestación del
servicio, definidos a través del Manual Funcional del AyA, debidamente oficializado según la norma.
De acuerdo a lo anterior, entiéndase como objetivos estratégicos a la actividad sustantiva de la institución y que se encuentran en el Plan Estratégico 2016-2020. En lo que se refiere a la
valoración del entorno y a la prestación de los servicios, deberán incorporarse en los planes, programas y proyectos, que se realizan dentro de la planificación anual.
Para establecer estas prioridades de valoración, se debe realizar un estudio de los riesgos, en donde se deben considerar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de esos controles. El análisis debe considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias. Las consecuencias y probabilidades deben ser combinadas para producir un nivel estimado de riesgo, que, dependiendo del impacto en los objetivos de la Institución, el mismo debe ser priorizado para efectos de establecer los criterios de tratamiento o mitigación que se ejecutarán.
Las tablas de evaluación anteriores que servirán de fundamento para efectuar el análisis y priorización de riesgos.
ESTRATEGIA DEL SEVRI
Para la definición de la estrategia del SEVRI, se han tomado las siguientes variables especificadas en la directriz del SEVRI (documento emitido en el diario oficial Gaceta del martes 12 de julio del
2005, cuya referencia es R-CO-64-2005):
Establecimiento del SEVRI
Para el establecimiento del SEVRI, la Institución debe consolidar una serie de planes de acción y
actividades que permitirán un afianzamiento y operación del SEVRI, dentro de los aspectos que deben ser considerados se encuentran los siguientes:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 12 | 30
1- Proceso de culturización e interiorización, dirigido a todas las dependencias de la
Institución, considerando la totalidad de los funcionarios, este proceso deberá ser liderado
por los Titulares Subordinados en coordinación con sus Enlaces de Riesgos y con el apoyo de la Unidad de Control Interno.
2- Implementación del Componente del Ambiente de Apoyo para el mantenimiento y
perfeccionamiento del SEVRI
3- Elaboración del portafolio del SEVRI, el cuál su revisión y actualización se llevará de manera
anual.
4- Actualización del Marco Orientador, según los cambios del entorno y como resultado del nivel de madurez que se determine de conformidad con las evaluaciones realizadas y
cuando el SCE determine su necesidad.
5- Aplicación del Modelo de Madurez del SEVRI con el fin de conocer el nivel de mantenimiento y perfeccionamiento del sistema para la definición de las estrategias.
Mantenimiento del Sistema Específico de Valoración del Riesgo de la Institución
La Institución debe incluir dentro de su Plan anual operativo y en el presupuesto institucional, las
acciones requeridas para administrar los riesgos críticos que han sido identificadas como parte del funcionamiento de SEVRI, así como formalizar una serie de actividades, que se desarrollarán de
forma anual, para comunicar, monitorear y darle seguimiento a los resultados de la aplicación de los lineamientos del SEVRI y facilitarle al Subsistema Control Estratégico, la formulación de las
recomendaciones que se consideren convenientes a aplicar sobre el mejoramiento del marco
metodológico y a los instrumentos de evaluación y seguimiento de los riesgos institucionales que se han establecido como parte de la formulación y aprobación del Marco Orientador del SEVRI.
Así mismo dentro de las actividades que se deben ejecutar como parte del proceso de
mantenimiento del SEVRI, se deben de considerar:
Propiciar un proceso continuo de capacitación en torno a los diversos tópicos relacionados con
el SEVRI y la Ley de Control Interno y aquellos aspectos de índole estratégico o Institucional
que, en el Subsistema Control Estratégico, considere conveniente, con la finalidad de consolidar el proceso de gestión integral de riesgos dentro de la Institución
Ejecutar una vez al año, un proceso de autoevaluación y actualización de los modelos de
riesgos, con el objetivo de medir el cumplimiento de las medidas de control y analizar si con su
aplicación de forma sistemática ha sido factible reducir los niveles de riesgo, a niveles de riesgo
aceptables para los procesos y objetivos de la Institución.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 13 | 30
Realizar procesos de seguimiento a los planes de mejoramiento y tratamiento de riesgos
definidos, este monitoreo debe contar con fases claramente definidas mediante las cuales sea posible analizar los avances en la ejecución de cada uno de los procesos de mejoramiento,
considerando las acciones específicas de mitigación de riesgos y planes de mejoramiento de los
sistemas de control interno establecidos por cada Titular Subordinado
Establecer canales de comunicación abiertos, apropiados y constantes a través de los cuales los
Sujetos Interesados puedan aclarar cualquier duda u obtener información relacionada con el SEVRI.
Perfeccionamiento del SEVRI
Para propiciar una cultura de perfeccionamiento, el cumplimiento de las revisiones anuales de los
ciclos debe ser constante, con la finalidad de poder determinar cambios requeridos a la estructura de riesgos o a los lineamientos establecidos en el Marco Orientador, estas revisiones pueden ser
generadas por alguno de los eventos siguientes:
Desarrollo o actualización de los Planes estratégicos institucionales, tomando en consideración el horizonte de planeación de la Institución.
Planes Anuales Operativos, que reflejan la situación del corto plazo.
Cambios en el ambiente interno y Externo o estructura organizacional.
Cambios en el marco legal o regulatorio a nivel interno y externo.
Revisión de la metodología de autoevaluación, con el objetivo de mejorar el proceso para
futuras evaluaciones, atender más prontamente los requerimientos en materia de control interno y administración de riesgos que puedan requerir los Entes Contralores y
Supervisores o la misma Administración Superior de la Institución.
Propiciar nuevas estrategias para el monitoreo de las medidas de administración de riesgos
definidas y determinar el avance de los procesos de mitigación y tratamiento de los riesgos considerados como críticos.
Definir y propiciar estrategias para el proceso de documentación y comunicación de la
información producto del SEVRI, con el objetivo de mantener informados a los diferentes
niveles sobre lo pertinente a los riesgos institucionales y el nivel de riesgo en que se encuentra la institución.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 14 | 30
Evaluación del SEVRI de la Institución
Se han definido mecanismos de evaluación para las siguientes etapas:
Evaluación de Riesgo sin Aplicación de Medidas de administración de Riesgo
Se establecen mecanismos mediante los cuales, con la participación activa de los respectivos
Titulares Subordinados, se realice el proceso de evaluación absoluta, bajo los criterios establecidos por la Institución, de cada uno de los riesgos identificados para los correspondientes procesos,
obteniendo así el nivel de riesgo sin las medidas para su administración.
Evaluación de Riesgo con Aplicación de Medidas de administración de Riesgo
Como primera fase: se definirán los procesos de auto evaluación, a través de los cuales los
funcionarios responsables de la ejecución de las medidas de control, auto-analicen la efectividad
con que éstas se están realizando; emitiendo sus comentarios sobre debilidades y recomendaciones.
Como segunda fase: Una vez finalizada la etapa de recolección y tabulación de resultados del
proceso de auto evaluación; se iniciará el proceso de evaluación del riesgo controlado. Mediante este estudio, un grupo de expertos, analizará los resultados del proceso de auto evaluación,
determinando los dos siguientes aspectos:
La efectividad del ambiente de control
En qué medida, según la metodología de evaluación de riesgo definida por la Institución,
dicha efectividad colabora en la minimización del nivel del riesgo absoluto.
Indicadores del Sistema Específico de Valoración del Riesgo de la Institución
El proceso de definición de los indicadores para el SEVRI, es una actividad que es inherente a la
formalización de la estructura de riesgos, debido a que cada indicador de riesgo se deriva de las
actividades que son desarrolladas.
Para la definición de estos, deberán ser incluidos en la Planificación Institucional y Plan Anual
Operativo vigente o futuro de la Institución. Los tipos de indicadores que deberán definirse son de
eficiencia, eficacia y calidad. Estos deberán ser claros, uniformes, entendibles y de conocimiento
general de todos los participantes.
Las metas deberán ser evaluadas en términos cuantitativos, primeramente, pero cuando sea
necesario se evaluará en términos cualitativos debidamente justificado, para establecer su
cumplimiento.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 15 | 30
6- NORMATIVA DEL SEVRI
Normativa externa
Ley General de Control Interno, No. 8292
Normas de Control Interno para el Sector Público
Directrices CGR sobre SEVRI, Resolución R-CO-64-2005.
Normativa interna
Los Procedimientos del Sistema
Estructura de Riesgos, y
Parámetros de Aceptabilidad del Riesgo Procedimiento del sistema
La Normativa interna que regula el SEVRI, contiene la estructura de los procedimientos y las acciones que deben ser desarrolladas por la Institución, para aplicar de forma adecuada los
lineamientos establecidos para la definición, implantación y perfeccionamiento del SEVRI.
Los procedimientos que regularán el SEVRI de la Institución se han definido de acuerdo a los
siguientes procesos:
Análisis estratégico de la Institución
Análisis Organizacional de la Institución
Definición de los criterios para la evaluación del riesgo
Definición de la Estructura de riesgos
Administración de Riesgos
Monitoreo y Seguimiento
Comunicación y Divulgación
Un detalle de las actividades o aspectos que deben ser considerados en cada paso del proceso se
describe a continuación:
Análisis Estratégico de la Institución
Se debe realizar un análisis detallado de las relaciones de la Institución con el entorno en el cual se desenvuelve. Esto involucra a todos los sujetos interesados que tienen algún interés en las tareas
que ejecuta la Institución.
Este análisis debe considerar un estudio detallado de la información existente en la Institución que
tenga relación con los planes estratégicos de la Institución, planes anuales operativos, proyectos y cualquier otro medio que permita identificar los siguientes aspectos:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 16 | 30
Fortalezas y debilidades de la Institución
Oportunidades y amenazas de la Institución
Identificación de la Institución en el marco legal, político, cultural, entre otros.
Identificación de los sujetos interesados
El modelo de gestión de riesgos debe estar completamente alineado con la orientación estratégica definida por la Institución y debe permitir la valoración e identificación de potenciales riesgos
estratégicos que pueden tener incidencia en el accionar de la Institución. Para lo anterior se deberá tomar como base el Plan Estratégico 2016-2020.
Análisis Organizacional de la Institución
Tomando como punto de partida la organización existente, se deben documentar las metas y objetivos de la Institución, para ello es necesario considerar, al menos, la siguiente información:
Planes Anuales Operativos
Plan Estratégico
Procesos de levantamiento documentación y normalización de procesos
Manual de Organización Funciona
Cualquier otra información que permita identificar el marco organizacional que
puede verse afectado ante la materialización de los riesgos que posteriormente se
analizarán y administrarán.
ESTRUCTURA DE RIESGOS
Criterios de Evaluación de Riesgos
Para realizar una evaluación de riesgos más orientada a la naturaleza y características de la
Institución, se definen una serie de criterios de clasificación del riesgo, que permitirán identificar los factores críticos sobre los cuales se debe planificar las actividades para administración de los
riesgos.
Estos criterios de evaluación, además de agrupar las medidas de administración de riesgos en
procesos comunes, permiten generar reportes específicos sobre las consecuencias y probabilidades de ocurrencia de los riesgos y la incidencia que los mismos pueden tener sobre los procesos o
actividades críticas que desarrolla la Institución.
Para efectos de analizar los riesgos se deberán clasificar los riesgos de acuerdo a la siguiente
estructura previamente definida
Áreas de impacto: El análisis que se efectuará para la asignación de estos criterios estará enfocado en determinar
cuáles actividades, podrían verse impactadas por la materialización del riesgo bajo estudio
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 17 | 30
Planificación Presupuestaria Actividades que afectan las finanzas de la Institución
Estrategia Institucional Actividades que afectan la estrategia definida en los diferentes planes de la Institución
Evaluación del desempeño Actividades asociadas a la eficiencia, eficacia y calidad en la
prestación de los servicios que brinda el AyA
Monitoreo del entorno Actividades que impactan de manera positiva o negativa la imagen
de la Institución
Cumplimiento legal y técnico Actividades que impactan en el cumplimiento de la normativa
interna y externa
Categorías de riesgos:
La categoría de riesgo es un calificador para los riesgos, a través del cual es posible agrupar éstos en diferentes familias, según sean las actividades relacionadas.
En los ciclos anteriores se clasificaban de conformidad con las siguientes categorías:
Riesgo Estratégico Riesgos que afectan el logro de los objetivos estratégicos
Riesgo Operativo Riesgos que afectan el logro de los planes operativos
Riesgo Legal Riesgos que afectan el cumplimiento de la normativa legal
Riesgo Ambiental Riesgos que afectan la prestación de los servicios por situaciones
de índole ambientales
Riesgo Tecnológico Riesgos que interrumpen el funcionamiento adecuado de la
Institución eventos tecnológicos
Riesgo Financiero Riesgos que afectan el adecuado cumplimiento de las obligaciones de la Institución en el corto, mediano y largo plazo
Sin embargo, debido al análisis del entorno y al contemplase un Plan Estratégico de recién
aprobación se utilizará las siguientes categorías de riesgos:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 18 | 30
CATEGORIA DE RIESGO EVENTO Y INVENTARIO DE CAUSAS (*)
Riesgos del entorno Naturales y antropogénicos: sequía, terremoto, inundaciones, deforestación, monocultivo
Comunidades: conflictos por agua, amenaza a las fuentes Ambientales: contaminación de fuentes, agotamientos de
fuentes
Usuarios: expectativas confusas o equivocadas Legales: sentencias judiciales
Gobierno: directrices de ARESEP, crédito público, Autoridad Presupuestaria, cambios políticos
Actores Sociales: sindicatos, grupos de presión, empresarios
privados
Riesgos del proceso Financiero: precio (tarifa variable, agua no contabilizada, estructura tarifaria), liquidez (devolución a usuarios), crédito
(desfase desembolsos, límite de crédito), presupuesto (formulación, aprobación, modificación, ejecución)
Legal: apelaciones, recursos perdidos, demandas, atrasos en
trámites legales, convenios nacionales e internacionales, procesos disciplinarios, dictámenes jurídicos
Empoderamiento y apropiación: Liderazgo, autoridad, tercerización, incentivos, consecuencias de actuaciones indebidas
Tecnología e información: integridad, infraestructura,
actualización, respaldo, desarrollo de aplicaciones Gestión rectora: aprobación de planes, aprobación de
infraestructura, gestión de cuentas, resoluciones de SETENA, MINAE, SENARA
Gobernanza: cultura organizacional, comportamiento ético, plan de sucesión, crecimiento en puestos, desarrollo gerencial
Reputación y comunicación: imagen institucional, relación con
usuarios, desarrolladores, operadores, público, operadores, grupos de presión, medios de comunicación
Integridad: fraude gerencial, funcionarios, terceros, actos ilegales, usos no autorizados
Operaciones: infraestructura en captación, satisfacción del
usuario, evaluación del desempeño, investigación, optimización de la capacidad, capacitación, reclutamiento, flujo de trabajo,
posición de planta y equipo, rezago tecnológico, plan de compras, impacto ambiental operaciones, salud y seguridad ocupacional,
atención de fugas, atención de obstrucciones Desarrollo físico: estudios básicos, terrenos y avalúos, diseño
final, presupuestación, contratación, ejecución de obras, cierre de
proyecto, gestión de proyectos
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 19 | 30
Delegados: desempeño, mantenimiento, inversión
Riesgos en la toma de decisiones
Estrategia: plan estratégico, inteligencia del entorno, desarrollo regional, evaluación de proyectos, estructura organizacional,
medición del cumplimiento de los objetivos estratégicos, Transparencia: accesibilidad de información, tiempos de
respuesta, reportes de ley, instituciones públicas
Plan operativo: presupuesto de operaciones, inversiones, información contable, medición del cumplimiento del PAO,
transferencia de tecnología Rectoría: sector ambiental, aprovechamiento de cuencas, marco
legal, calidad del agua, impacto ambiental de aguas servidas,
gestión comunal del agua
(*) este inventario de causa debe ser alimentado por los Titulares Subordinados de cada
Dependencia
Factores de riesgos Los factores de riesgo identifican aquellos incidentes provenientes del entorno en que se
desenvuelve la Institución o de situaciones internas que son generados por el desempeño de las actividades institucionales, que pueden ser considerados como originadores de dichos riesgos
Relaciones comerciales Relación entre la institución y otras organizaciones o proveedores
Condiciones económicas Situaciones económicas a nivel de Institución, país o nivel
mundial
Comportamiento humano Actitudes y desempeño de personas internas o externas, que
interactúan con la Institución
Eventos naturales Eventos de la naturaleza
Disposiciones de Gobierno Cambios legislativos y factores similares
Ambiente Legal Cambios en la reglamentación interna y externa en los cuales se
desarrolla la Institución
Tecnología, habilidades y
conocimiento
Conjunto de instrumentos tecnológicos, destrezas o capacidades
individuales
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 20 | 30
Parámetros de aceptabilidad
Criterio Nivel de Riesgo
Este criterio será el primario en la toma de decisión que determinará si el riesgo analizado será o no
aceptable. El nivel de riesgo que se utilizará para determinar este punto será la evaluación del Nivel de Riesgo con la Aplicación de Medidas de Control (Nivel de Riesgo Controlado).
La combinación de la evaluación de la consecuencia y la probabilidad controlada permitirá,
mediante un análisis cuantitativo y cualitativo ubicar el nivel de cada uno de los riesgos, con el análisis de sus respectivas medidas de control, por medio del siguiente mapa térmico:
La interpretación de la ubicación de cada riesgo, dentro del mapa térmico se define a continuación:
Nivel de Riesgo
Extremo
Cuadrantes Rojos: Los riesgos ubicados en estos cuadrantes son los primeros por los cuales hay que iniciar el proceso de administración con el objetivo de minimizar sus efectos, ya que cualquier manifestación de éstos provocaría perjuicios mayores en el logro de los objetivos de la Institución, por lo general se debe seleccionar una buena estrategia de gestión, ya sea por medio de medidas que reduzcan las consecuencias o medidas que reduzcan las probabilidades de ocurrencia.
Los riesgos evaluados y que se ubican en estos cuadrantes cuentan con altas
probabilidades de ocurrencia y con consecuencias elevadas para la Institución en caso
de que se llegasen a materializar; cualquier manifestación de éstos provocaría
perjuicios extremos en el logro de los objetivos de la Institución.
Nivel de Riesgo
Cuadrantes Naranjas: En una estrategia de gestión de riesgos, los riesgos ubicados
en estos cuadrantes tienen el segundo nivel de prioridad, en cuanto a su administración
se refiere, ya que tienen la característica especial, que de no ser administrados
adecuadamente su exposición puede aumentar y pasar a formar parte del grupo de
riesgos de cuadrantes rojos; con lo que esto representa para los objetivos de la
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 21 | 30
Alto
Institución.
Estos riesgos evaluados se ubican en cuadrantes con altas probabilidades y
consecuencias moderadas o viceversa; su exposición conlleva niveles altos de
perjuicio en el logro de los objetivos de la Institución.
Nivel de Riesgo
Moderado
Cuadrantes Amarillos: Los riesgos ubicados en estos cuadrantes deben ser analizados con el objetivo de determinar las medidas de monitoreo y seguimiento que se le dará, ya que éstos no representan, en caso de materialización, un impacto altamente negativo en el logro de los objetivos, sin embargo, será necesario su monitoreo para evitar que lleguen a niveles altos o extremos de exposición. En la gestión de riesgos, se trabajará para lograr que los riesgos de cuadrantes rojos y naranjas se puedan minimizar hasta lograr que se ubiquen en cuadrantes amarillos, en una primera instancia y lograr que se mantengan en
ellos o que puedan bajar a cuadrantes verdes. Los riesgos evaluados que se ubican en estos cuadrantes presentan consecuencias y
probabilidades moderadas, la materialización de algunos de estos riesgos representará
un impacto medio en el logro de los objetivos de la Institución.
Nivel de Riesgo
Bajo
Cuadrantes Verdes: Los riesgos ubicados en estos cuadrantes son a los cuales se les
dirige menor inversión de recursos debido al bajo impacto que representa su exposición,
sin embargo, se debe velar porque no se eleven sus niveles, lo que conllevaría al
desplazamiento de los mismos a cuadrantes de mayor exposición lo que comprometería
de mayor manera el logro de los objetivos; para evitar dicha situación, se utilizarán
planes de monitoreo y seguimiento sobre los mismos.
Los riesgos evaluados que se encuentran en estos cuadrantes son aquellos que
presentan consecuencias y probabilidades bajas, de materializarse alguno impactará de
forma mínima el logro de objetivos de la Institución.
Por medio del mapa térmico será posible observar y analizar la exposición de cada uno de los
riesgos, una vez finalizada la evaluación de controles, y así determinar el nivel real de exposición
que será necesario administrar.
7- ACTIVIDADES DEL SISTEMA DE VALORACIÓN
Identificación de Riesgos:
Definición según la directriz: Actividad del proceso de valoración del riesgo que consiste
en la determinación y la descripción de los eventos de índole interno y externo que
pueden afectar de manera significativa el cumplimiento de los objetivos de la Institución
Para la identificación de los riesgos, se tomará la estructura organizacional vigente, se procederá a
recolectar la información necesaria para la identificación de los riesgos que pueden afectar el
cumplimiento de los objetivos y las funciones de cada una de las áreas que conforman la Institución.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 22 | 30
Para el registro de dicha información se debe analizar cada riesgo considerando, como mínimo, los
siguientes aspectos:
Las posibles causas, internas y externas, de los riesgos identificados y las posibles
consecuencias de la ocurrencia de dichos riesgos sobre el cumplimiento de los objetivos y
la ejecución del respectivo proceso que es ejecutado por cada área de responsabilidad.
Las formas de ocurrencia del riesgo en estudio y el momento y lugar en el que podrían
ocurrir.
Análisis de riesgos:
Definición según la directriz: Actividad del proceso de valoración del riesgo que consiste
en la determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados.
En esta etapa se procede a realizar un análisis de las causas del riesgo y de aquellos factores que deben ser considerados por los Titulares Subordinados para establecer las medidas de
administración de riesgos.
Dentro de las tareas que se deben desarrollar para realizar un adecuado análisis de riesgos se
encuentran las siguientes:
Asignación de Criterios los Riesgos: una vez identificados cada uno de los riesgos, se procede a realizar la asociación de cada uno de los riesgos a los respectivos criterios de clasificación, que se
han definidos con anterioridad.
Mediante este proceso será factible realizar, una revisión por los distintos criterios de interés y así
obtener informes detallados y específicos del comportamiento de los riesgos identificados según las necesidades de los sujetos interesados, los planes y programas de mitigación de riesgos que se han
establecido.
Auto-Evaluación de Riesgo Absoluto
La evaluación del riesgo inherente se estará llevando a cabo mediante un proceso de auto
evaluación, en donde cada uno de los dueños de proceso identificará el nivel de riesgo absoluto (evaluación de riesgo bajo un escenario que no considera la existencia ni efectividad del ambiente
de control).
Para definir este nivel, se ejecutará una evaluación para cada uno de los riesgos, basada en los
parámetros de consecuencia y probabilidad, según se establece en los criterios presentados en el apartado “Valoración del Riesgo”.
En la determinación de la consecuencia se deberán tomar en cuenta todos los posibles efectos negativos y positivos que están relacionados con los riesgos y en la determinación de la
probabilidad se deberán considerar todos aquellos datos históricos, estadísticos y de experiencia que permitan definir la frecuencia con que el riesgo analizado se puede materializar.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 23 | 30
Por la naturaleza y análisis que implica la evaluación del riesgo absoluto, es de esperarse que éstos,
por lo general, se ubiquen en niveles extremos y altos, pero en términos generales esta
característica es determinada por la naturaleza de la Institución y la importancia relativa de cada una de las áreas organizacionales en el logro de los objetivos de la misma.
Auto-Evaluación de Controles
Para la evaluación del ambiente de control, se utilizará la auto evaluación de controles producto de la identificación de riesgos, a cada una de estas medidas de control se le deben de realizar los
análisis siguientes:
Clasificación de Controles
A cada control se le efectuará un análisis mediante el cual se identifiquen cuales medidas son
claves para la mitigación y cuales controles se consideran como medidas de apoyo o de compensación. Para realizar dicha clasificación se contará con los siguientes criterios:
Criterio Descripción Color de
Identificación
Medida de Control Clave Medidas cuya ejecución adecuada es
indispensable para que el riesgo relacionado no
se materialice y de hacerlo impacte en un grado
mínimo los objetivos de la Institución
Medida de Control No
Clave
Medidas cuya ejecución, apoya y fortalece la
acción de las medidas de control claves
Evaluación de Controles
A cada medida de control identificada, se le realizará el análisis respectivo, a través del cual se
determinará su nivel de ejecución, para realizar este análisis se considerará, como mínimo los siguientes puntos:
La ejecución de la medida
La efectividad con la que esta medida se está realizando
Como resultado de este análisis a cada uno de los controles revisados, se les asignará alguna de
los supuestos de evaluación que se detallan en la siguiente tabla:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 24 | 30
Criterio de
Evaluación
Significado Color de
Identificación
Sin Medida de
Control
Al parecer la medida de control no se está ejecutando
Medida de Control
Pobre
La medida de control se ejecuta esporádicamente
Medida de Control
Adecuada
La medida de control se ejecuta sistemáticamente, pero carece de
divulgación, formalización y además no ha sido probada por agentes
externos, en los casos que se requiera
Medida de Control
Fuerte
La medida de control se ejecuta de manera efectiva, ha sido probada, pero
carece de un proceso de formalización y divulgación, en los casos que se
requiera
Medida de Control
Hermética
La medida de control se ejecuta de manera efectiva se encuentra probada,
formalizada y divulgada, en los casos que se requiera
Evaluación de Riesgo Controlado
Finalizada la recolección y tabulación de los resultados del proceso de autoevaluación de
controles, se procede con el análisis que permitirá determinar el nivel de riesgo, considerando las
medidas de control actuales con que cuenta la Institución.
Este análisis conlleva un proceso de estudio, de los responsables de la administración de riesgos
designados en cada una de las Dependencia de la Institución, con la finalidad de que continúen el
proceso de establecimiento, mantenimiento y perfeccionamiento del SEVRI. El análisis se
ejecutará, para cada uno de los riesgos y el mismo debe contemplar los siguientes aspectos:
1. Determinar si las medidas de control asociadas al riesgo, están orientadas a la minimización de la probabilidad o de la consecuencia. En este análisis, para determinar la consecuencia,
entre otros, se deberá estudiar el ambiente de control, tomando en cuenta todos los posibles efectos negativos y positivos que existan en él; y en la determinación de la
probabilidad se deberán considerar, todos aquellos controles que vayan orientados a la
minimización de la frecuencia con que el riesgo analizado se puede materializar.
2. Determinar que tanto, el ambiente de control, ha minimizado la consecuencia o la probabilidad absoluta, analizando los resultados de los criterios de evaluación y clasificación
que se emitieron en el proceso de auto evaluación de controles.
Es importante recalcar que el análisis se centrará más fuertemente en aquellos controles que se
hayan determinado como “Controles Claves”, ya que la falta de efectividad en la ejecución de éstos crea la posibilidad de que los riesgos asociados se materialicen con mayor facilidad,
comprometiendo altamente el logro de los objetivos y procesos vinculados.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 25 | 30
Evaluación de Riesgos
Definición según la directriz: Actividad del proceso de valoración del riesgo que consiste en la determinación, a través de mecanismos de análisis, de las prioridades para la
administración de riesgos.
Finalizada la etapa del análisis de riesgos se procederá a evaluar sus resultados y a determinar los
criterios bajo los cuales se dará la aceptabilidad de cada uno de ellos. Para realizar las actividades de evaluación de riesgos se recomienda la generación del siguiente análisis:
1- Efecto del ambiente de control sobre la evaluación del riesgo
2- Riesgos por proceso, actividad o área de impacto
3- Riesgos por objetivo de la Ley de Control Interno 4- Análisis de la efectividad de los controles
1- Efecto del Ambiente de Control
La evaluación de los riesgos sin la aplicación de medidas de control o sea el riesgo absoluto vs riesgos con medidas de control o será el riesgo controlado, permite visualizar en el mapa térmico la
efectividad del ambiente de control existente, se mostrará el desplazamiento del nivel de riesgo producido por la evaluación de la efectividad del ambiente de control asociado a los riesgos. Así
será posible analizar, en un mismo plano, el nivel de riesgo y que tanto se ha disminuido este, a
través de la evaluación de la efectividad del ambiente de control, en éste último se centrará el estudio para determinar si es factible dar por aceptado el riesgo o por el contrario si se le aplicará
el debido proceso de administración.
2- Evaluación de Riesgos por otros Criterios
Para efectos de tener mejores indicadores de evaluación para determinar las medidas de
administración de riesgos, se pueden analizar otros criterios de evaluación definidos previamente en este Marco Orientador
Los criterios de áreas de impacto, categorías de riesgos y factores de riesgo, permiten hacer una
valoración sobre ubicación de los riesgos, tal que se contará con una visión que permitirá identificar
los procesos o actividades que cuentan con mayor exposición de ser impactados por incidentes o causas previamente identificadas, en caso de que los riesgos relacionados a cada uno se llegaran a
materializar.
3- Análisis por Objetivos
Otro indicador que es factible analizar, son los riesgos asociados a cada objetivo de la Ley de Control Interno, que permite tomar decisiones de índole estratégica, debido a que ubica el
portafolio de riesgos basado en los 4 objetivos de la Ley que son los siguientes:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 26 | 30
a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal. b) Exigir confiabilidad y oportunidad de la información. c) Garantizar eficiencia y eficacia de las operaciones. d) Cumplir con el ordenamiento jurídico y técnico.
4- Análisis de la efectividad de los Controles
La evaluación del análisis de la efectividad de los controles permitirá identificar, el ambiente de
control, a nivel general, con que se cuenta. A través de este análisis se logrará obtener un mapa global para determinar:
Porcentajes de medidas de Control
existentes
Totales
Claves No claves
Distribución porcentual de la
evaluación de medidas
Pobres
Adecuadas Fuertes
Herméticas
Estos resultados, lograrán determinar el nivel del ambiente de control, para mitigar los riesgos
identificados, entre mayor sean los porcentajes de medidas de control “Sin Medida de Control” y “Medidas de Control Pobre”, mayor será el esfuerzo que se debe desarrollar para identificar las
debilidades en el ambiente de control, en los respectivos riesgos, con el fin de ejecutar un proceso
de administración de riesgos adecuado.
Administración de riesgos
Una vez identificados los riesgos que no cumplen con los criterios de aceptabilidad, se iniciará, para éstos el proceso de administración, el cual contempla las etapas de:
Identificar las Medidas para la Administración de Riesgos
Evaluar la viabilidad de las Medidas para la Administración de Riesgos
Preparar los Planes para las Medidas de Administración de Riesgos
Implementación de las Medidas para la Administración de Riesgos
El detalle de cada una de las etapas se presenta a continuación
1- Identificar las Medidas para la Administración de Riesgos
Se definirán, según el orden de priorización dado durante el proceso de evaluación del riesgo, las
diferentes medidas que puedan existir para administrar el riesgo. Esta definición abarcará al menos uno de los siguientes supuestos:
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 27 | 30
Reducir la Probabilidad: Definición de medidas que colaboren con la minimización de la
probabilidad presentada a través de la evaluación del riesgo controlado, entre éstas están: revisiones preventivas, prácticas periódicas de auto evaluación de los sistemas de control interno,
establecer relaciones contractuales adecuadas con los principales proveedores y facilitadores de los recursos Institucionales, entre otros.
Reducir la Consecuencia: Definición de medidas que colaboren con la minimización de la consecuencia presentada a través de la evaluación del riesgo controlado, entre éstas medidas se
pueden establecer programas específicos e integrales de seguridad en el trabajo, continuidad del negocio, planes de continuidad o contingencias informáticas, planes de recuperación de los
procesos críticos y manejo de las relaciones públicas, entre otros.
Transferir el Riesgo: Definir medidas mediante las cuales terceros asuman parte o la totalidad
del riesgo que se desea administrar, en este caso, por ejemplo, se deben valorar las prácticas existentes en la Institución de aseguramiento de los activos.
Evitar el Riesgo (no administrar): No ejecutar las acciones que involucran la materialización del
Riesgo, esta decisión se debe analizar con mucho cuidado, ya que de no definirse adecuadamente
puede aumentar la exposición de otros riesgos.
Aceptar o tolerancia del riesgo: no se toma ninguna decisión que afecte la probabilidad o la consecuencia del riesgo. La tolerancia al riesgo se puede complementar por supuesto con la
planificación de contingencia para manejar los impactos que se presentarán si se manifiesta el
riesgo.
La identificación de las medidas se debe realizar de forma tal, que éstas traten, de abarcar la mayor cantidad de riesgos cuya evaluación no ha sido aceptable, con la finalidad de que los planes de
tratamiento y mitigación, tengan una relación de costo-beneficio con miras a ubicarlo en un nivel de riesgos aceptable que permita el cumplimiento de los objetivos institucionales.
2- Evaluar la viabilidad de las Medidas para la Administración de Riesgos
Finalizada la etapa de la identificación de las medidas, se procederá a analizar la viabilidad de cada
una de éstas con el fin de seleccionar y priorizar en aquellas que se enfocan en los riesgos más
críticos. En este análisis se contemplarán los siguientes criterios de evaluación:
La relación costo-beneficio de llevar a cabo cada opción
La capacidad e idoneidad de los entes participantes internos y externos en cada opción
El cumplimiento del interés público y el resguardo de la hacienda pública
La viabilidad jurídica, técnica y operacional de las opciones.
Las medidas de control para la administración del riesgo, se priorizarán en base a aquellas que
satisfagan de la mejor manera posible estos criterios de evaluación.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 28 | 30
En los casos en donde se estime imposible poder llevar a cabo la ejecución de las medidas
identificadas, se ejecutará un proceso que determinará el mecanismo a seguir para ejecutar la
retención y monitoreo del riesgo en cuestión.
3- Preparar los Planes para las Medidas de Administración de Riesgos
Para cada una de las medidas, cuya viabilidad haya sido apropiada, se le ejecutará un proceso de
preparación de planes, el cual contempla los siguientes puntos:
Detalle de la Medida Resultados Esperados
Responsabilidades en la ejecución de
la medida
Medidas de Desempeño
Recursos necesarios para la ejecución de la medida
Cronograma de Implementación y Revisión
Programa
4- Implementación de las Medidas para la Administración de Riesgos
El desarrollo de cada una de las medidas preparadas, estará bajo la responsabilidad de las partes
que se encuentren capaces de controlar los riesgos identificados durante la evaluación.
La implementación contemplará, planes de monitoreo y puntos de revisión a través de los cuales se
logre determinar el grado de avance que estas medidas han alcanzado y cómo se ha visto minimizado el riesgo con su implementación. Su ejecución se integrará a los planes institucionales
operativos y planes de mediano y largo plazo, según corresponda.
La fase de la administración del riesgo, es un proceso cíclico, mediante el cual la administración,
evaluará periódicamente los riesgos, determinando si éstos se encuentran en niveles aceptables, para los que cumplan esta condición se le deben implementar un procedimiento de monitoreo y
seguimiento y para los que no se encuentren en esta condición se les aplicará el debido proceso de administración, el cual también debe contar con un procedimiento de monitoreo y seguimiento
especialmente en lo relacionado con la efectividad del plan de tratamiento.
5- Monitoreo y Seguimiento
Se desarrollarán programas de revisión, que tendrán como objetivo dar monitoreo y seguimiento a
los siguientes puntos:
Naturaleza de la Institución: Es necesario, analizar la naturaleza cambiante de la Institución,
validando detalladamente el ambiente interno y externo, ya que variaciones a este nivel pueden alterar las prioridades de administrar y mitigar los riesgos que se han identificado como prioritarios.
Efectividad de los planes de las medidas de control: Establecer programas para la revisión de
los planes de las medidas implementadas, para evaluar el avance, detectar y solucionar cualquier
posible desviación en el cumplimiento de los resultados esperados.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 29 | 30
Evaluación periódica de los riesgos: Establecer programas de revisión para los riesgos, a través
de los cuales sean analizados los niveles de riesgo y lograr determinar el grado en el cual la
implementación de las medidas de control ha colaborado en la minimización del mismo.
Cualquier alerta que se desprenda de este seguimiento deberá ser analizada para determinar su impacto e iniciar el proceso de administración idóneo.
Revisión de riesgos
Definición según la directriz: En relación con los riesgos identificados, se deberá dar seguimiento, al menos, a: a) el nivel de riesgo; b) los factores de riesgo; c) el grado de
ejecución de las medidas para la administración de riesgos; d) la eficacia y la eficiencia de las medidas para la administración de riesgos ejecutadas.
La revisión de riesgos deberá ejecutarse de forma continua y la información que se genere en esta actividad deberá servir de insumo para: a) elaborar los reportes del
SEVRI; b) ajustar de forma continua las medidas para la administración de riesgos; c) evaluar y ajustar los objetivos y metas institucionales.
Esta etapa es complementaria la evaluación de riesgos y en la Institución se realizará los ciclos de revisión con una duración de un año calendario, iniciando en el mes de mayo con el fin de
determinar cuáles medidas de implementación son objeto de presupuesto o incorporación a planes operativos del año siguiente o bien ajustarlo por etapas cumplidas en el ciclo que termina.
Documentación de riesgos
Definición según la directriz: Se deberá documentar la información sobre los riesgos y las medidas para la administración de riesgos que se genere en cada actividad de la
valoración del riesgo (identificación, análisis, evaluación, administración y revisión).
Deberá de establecerse registros de riesgos que incluyan, como mínimo, la información
sobre su probabilidad, consecuencia, nivel de riesgo asociado y medidas seleccionadas para su administración.
En relación con las medidas para la administración de riesgos deberá documentarse
como mínimo su descripción, sus resultados esperados en tiempo y espacio, los
recursos necesarios y responsables para llevarlas a cabo.
Se deberá velar por que los registros sean accesibles, comprensibles y completos y que la documentación se realice de forma continua, oportuna y confiable.
Toda esta información deberá servir de base para la elaboración de los reportes del
SEVRI dirigidos a los sujetos interesados y podrá ser requerida por la Contraloría
General de la República o la auditoría interna, por lo que deberá de estar actualizada en todo momento
Esta actividad está presente en todo el proceso y los registros se encuentran debidamente
custodiados por los Enlaces de Riesgos de cada Dependencia en forma manual y electrónica,
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS PRESIDENCIA EJECUTIVA
UNIDAD DE CONTROL INTERNO
P á g i n a 30 | 30
además se cuenta con el sistema automatizado SACI Plus que permite de manera más sencilla el
manejo del volumen de la información para la elaboración de los respectivos informes.
Comunicación y Divulgación
Definición según la directriz: Se deberá brindar información a los sujetos interesados, internos y externos y a la institución en relación con los riesgos institucionales.
La comunicación deberá darse en ambas direcciones, mediante informes de seguimiento y de resultados del SEVRI que se elaboran periódicamente y mediante la
operación de mecanismos de consulta a disposición de los sujetos interesados.
La información que se comunique deberá ajustarse a los requerimientos de los grupos a los cuales va dirigida y servir de base para el proceso de rendición de cuentas
institucional.
Los reportes del SEVRI deberá contener como mínimo la información que de acuerdo
con la Directriz 4.7., debe documentarse y debe estar disponible para los sujetos interesados.
Se desarrollarán planes de comunicación y divulgación, en relación al proceso de administración de riesgos. Estos planes considerarán los siguientes aspectos:
Mecanismos y canales de divulgación
Nivel de información que será divulgada según sean los sujetos interesados
Dinámicas de divulgación
Estructura y generación de reportes de seguimiento
Paralelo a la definición de estos mecanismos, los Titulares Subordinados deberán abrir espacios, dentro de los cuales, los sujetos interesados podrán evacuar consultas específicas en materia del
proceso de administración de riesgo.