Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Propuesta: Marco Orientador del Sistema Específico del Riesgo Institucional del Consejo Nacional de Rehabilitación y Educación Especial Para consideración del Jerarca Superior del CNREE. Febrero de 2012. Considerando: José Alberto Blanco Méndez [Escribir el nombre de la compañía] [Seleccionar fecha] 1 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Índice I. Acuerdo del Jerarca Superior sobre el Marco Orientador 3 II. Introducción 5 III. Marco Orientador del SEVRI-CNREE 9 1. Política de valoración del riesgo institucional. 9 1.1. Objetivos de valoración del riesgo y del SEVRI. 9 1.2. Alcance de la Directriz. 10 1.3. Divulgación y seguimiento. 10 1.4. Ajuste. 11 1.5. Vigencia 11 1.6. El compromiso del jerarca para su cumplimiento. 11 1.7. Lineamientos de política. 9 2. Lineamientos institucionales para el establecimiento de niveles de 12 riesgo aceptables. 3. Definición de las prioridades de la Institución en relación con la 14 valoración del riesgo. 4. Estrategia del Sistema Específico de Valoración del Riesgo 14 Institucional. 5. Normativa interna. 19 5.1 Procedimientos del SEVRI. 19 5.2. Criterios para el funcionamiento del Sistema. 20 5.2. Estructura de riesgos institucional. 21 5.3. Parámetros de aceptabilidad de riesgo. 24 5.4. Procedimientos del Sistema. 25 2 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. I. ACUERDO DEL JERARCA SUPERIOR SOBRE EL MARCO ORIENTADOR DEL SEVRI De conformidad con las potestades conferidas por el artículo 3 de la Ley Nº 5347, los artículos 102 y 105 de la Ley General de la Administración Pública; los artículos 2 inciso c), 4, 18 y 19 de la Ley General de Control Interno; los artículos 17 y 18 de la Ley de la Administración Financiera de la República y Presupuestos Públicos y los numerales 1, 5 y 26, del Decreto Nº 12848 –SPSS, Reglamento Orgánico del Consejo Nacional de Rehabilitación y Educación Especial, el Consejo Nacional de Rehabilitación y Educación Especial, emite la siguiente directriz: Considerando: 1. Que de acuerdo con la Ley Nº 5347, en su numeral 3, en concordancia con el artículo 2 inciso c) de la Ley General de Control Interno, se determina que el Consejo Nacional de Rehabilitación y Educación Especial es el jerarca supremo de la institución, y por consiguiente, le corresponde aprobar el Marco Orientador del Sistema Específico de Valoración del Riesgo Institucional como parte de su establecimiento, así como tomar de las decisiones para su apropiado funcionamiento. 2. Según lo preceptuado por el artículo 17 de la Ley General de Control Interno, esta Institución debe contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, que permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo. 3. Que la Contraloría General de la República, en el ejercicio de sus potestades de promulgar normativa técnica sobre control interno, emitió las Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI) D-3-2005-CO-DFOE), en el año 2005, las cuales son obligatorias para esta Institución y su incumplimiento es generador de responsabilidad administrativa. 4. Que la valoración de riesgos es una estrategia que le permite a la Institución 3 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. gestionar la rectoría en discapacidad y por tanto sus objetivos organizacionales, dentro de niveles de riesgo aceptable y sustentada en información confiable y oportuna para la toma de decisiones. 5. Que son responsables por el funcionamiento del sistema específico de valoración del riesgo institucional, el jerarca y titulares subordinados, así como el deber de los funcionarios, según sus competencias, para definir, implantar, verificar y mejorar un proceso permanente y participativo de dicho sistema. 6. Las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE) reiteran el deber del establecimiento y funcionamiento del Sistema Específico de Valoración del Riesgo Institucional y que éste debe sustentarse en un proceso de planificación, que considere la misión y la visión institucionales, así como objetivos, metas, políticas e indicadores de desempeño. 7. La adopción del Marco Orientador del SEVRI; en conjunto con las Políticas Institucionales sobre Control Interno, son medidas tomadas por el Jerarca para procurar el mejoramiento de la gestión interna de la Institución y su proyección hacia el entorno. 8. Que a la Auditoría Interna le compete verificar el cumplimiento, la validez y la suficiencia, entre otros, del componente Valoración de Riesgos del Sistema Institucional de Control Interno, informar de ello y proponer medidas correctivas que sean pertinentes; además constatar que la administración activa tome las medidas correspondientes. Por tanto: Se acuerda: Aprobar el Marco Orientador del Sistema Específico de Valoración del Riesgo Institucional del Consejo Nacional de Rehabilitación y Educación Especial (SEVRI-CNREE), el cual tiene la siguiente estructura: I. Acuerdo del Jerarca Superior sobre el Marco Orientador II. Introducción III. Marco Orientador del SEVRI-CNREE 1. Política de valoración del riesgo institucional. 4 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 1.1. Objetivos de valoración del riesgo y del SEVRI. 1.2. Alcance de la Directriz. 1.3. Divulgación y seguimiento. 1.4. Ajuste. 1.5. Vigencia 1.6. El compromiso del jerarca para su cumplimiento. 1.7. Lineamientos de política. 2. Lineamientos institucionales para el establecimiento de niveles de riesgo aceptables. 3. Definición de las prioridades de la Institución en relación con la valoración del riesgo. 4. Estrategia del Sistema Específico de Valoración del Riesgo Institucional. 5. Normativa interna. 5.1 Procedimientos del SEVRI. 5.2. Criterios para el funcionamiento del Sistema. 5.2. Estructura de riesgos institucional. 5.3. Parámetros de aceptabilidad de riesgo. 5.4. Procedimientos del Sistema. Desígnese a la Comisión Institucional de Control Interno, en adelante Comisión Institucional sobre Control Interno y Valoración de Riesgos, como la encargada del garantizar la aplicación de la presente Directriz en las diferentes dependencias y a la Asesoría en Planificación, la divulgación y asistencia técnica correspondiente. Acuerdo Firme Nº &, de la sesión Nº *** del & de & de 2011, de la Junta Directiva del Consejo Nacional de Rehabilitación y Educación Especial. 5 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. II. INTRODUCCIÓN El objeto de esta directriz es establecer el Marco Orientador del SEVRI-CNREE, para una adecuada gestión del binomio amenazas – oportunidades, dentro de los niveles de riesgos establecidos. La valoración de riesgos en la administración pública tiene su fundamento jurídico en la Ley General de Control Interno, Nº 8292, la cual en su artículo 18 establece que todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo. Lo anterior es desarrollado en las Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI) D-3-2005-CO-DFOE, de la Contraloría General de la República, además en las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-3-2007-CO-DFOE) y recalcado por las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), de dicho órgano contralor. Dichas Directrices del SEVRI lo definen como: “El conjunto organizado de elementos que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales.” El ordenamiento jurídico sobre el control interno es expreso en cuanto a establecer los deberes del jerarca, de los titulares subordinados y funcionarios en materia de valoración de riesgos y que su incumplimiento es causal de responsabilidad administrativa. Al respecto la Ley General de Control Interno dispone lo que a continuación se indica: “Artículo 14. Valoración del riesgo. En relación con la valoración del riesgo, serán deberes del jerarca y los titulares subordinados, entre otros, los siguientes: 6 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos. b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos. c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable. d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.” Por su parte las Normas de Control Interno en el Sector Público (N-2-2009-CODFOE), de la Contraloría General de la República (CGR) disponen en relación con el Sistema Específico de Valoración del Riesgo Institucional (SEVRI), lo siguiente: “El jerarca y los titulares subordinados, según sus competencias, deben establecer y poner en funcionamiento un sistema específico de valoración del riesgo institucional (SEVRI). El SEVRI debe presentar las características e incluir los componentes y las actividades que define la normativa específica aplicable6. Asimismo, debe someterse a las verificaciones y revisiones que correspondan a fin de corroborar su efectividad continua y promover su perfeccionamiento.” En atención a estas disposiciones normativas, la CGR ha incorporado por dos años consecutivos en el cuestionario del Índice de Gestión Institucional, el tema de la definición y oficialización de un SEVRI aprobado por el Jerarca Superior. Así también como un componente orgánico del sistema de control interno, la Auditoría Interna tiene una serie de competencias en materia de valoración de riesgos y, de igual manera, el incumplimiento de sus deberes es causal de responsabilidad administrativa. El presente Marco Orientador tiene el papel de orientar tanto al jerarca como al resto de la administración activa, así como a la Auditoría Interna en tanto actividad 7 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. administrativa que le compete en su campo de actuación, en la realización de la valoración de los riesgos asociados a los procesos y actividades que tienen a su cargo. Su acatamiento es obligatorio. 8 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. III. MARCO ORIENTADOR DEL SISTEMA ESPECÍFICO DE VALORACIÓN DEL RIESGO INSTITUCIONAL DEL CONSEJO NACIONAL DE REHABILITACIÓN Y EDUACIÓN ESPECIAL 1. Política de valoración del riesgo institucional. El Consejo Nacional de Rehabilitación y Educación Especial declara prioritaria la aplicación continua y permanentemente de un enfoque sistémico de valoración de riesgos que genere información para la toma de decisiones y permita el cumplimiento del marco estratégico y de los planes de la entidad dentro de los niveles de riesgo aceptable, que brinden seguridad razonable en el ejercicio de las funciones institucionales. 1.1. Objetivos Objetivos de la valoración de riesgos: o Gestionar los procesos institucionales dentro de los niveles de riesgo aceptable, para que cumplan con sus objetivos de conformidad con los parámetros de buen gobierno y los principios del servicio público, mediante la administración de riesgos. o Gestionar las amenazas y oportunidades que presenta la Institución, mediante el uso de información interna y externa confiable y oportuna para la toma de decisiones, que permita el cumplimiento de la planeación institucional. o Propiciar una cultura organizacional basada en la valoración de riesgos, que contribuya al mejoramiento de los servicios que se ofrece a la clientela institucional, mediante un ambiente de control y el ejercicio de las responsabilidades en toda la estructura orgánica y el conocimiento sobre la materia. 9 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Objetivos del SEVRI. Prescribir la implantación, operación, mantenimiento y revisión del Sistema Específico de Valoración de Riesgo Institucional del Consejo Nacional de Rehabilitación y Educación Especial (SEVRI-CNREE), según lo estipulado en la Directriz D-3-2005-CO-DFOE de la Contraloría General de la República; para que la información generada por éste permita a la Administración Activa mejorar la gestión de los procesos institucionales, realizar control estratégico con base a parámetros de buen gobierno y adoptar prácticas sanas y proactivas en la valoración de los riesgos. 1.2. Alcance. La presente política es de aplicación obligatoria a toda la estructura organizativa del control interno, a saber: el jerarca, titulares subordinados y el personal a su cargo, sujetos privados que administren fondos por cualquier título de la Institución, fiduciarios encargados de administrar fideicomisos constituidos con fondos institucionales y la Auditoría Interna, quienes deben garantizar la implantación, operación, mantenimiento y revisión del SEVRI – CNREE, según su competencia y dentro de los límites previstos en la presente Directriz. 1.3. Divulgación y seguimiento. Se instruye a la Asesoría en Planificación como la instancia técnica responsable de la divulgación del Marco Orientador del SEVRI-CNREE e informará anualmente al Jerarca Superior sobre los resultados obtenidos por la Comisión Institucional sobre Control Interno y Valoración de Riesgos y sus subcomisiones en el cumplimiento de esta directriz. La Auditoría Interna informa anualmente al Jerarca Superior sobre la idoneidad del funcionamiento del SEVRI, apego y cumplimiento de la normativa vigente en la materia y los resultados obtenidos mediante la operación de este; por parte de la estructura organizativa del sistema institucional de control interno. 10 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 1.4. Ajuste. Anualmente la Comisión Institucional sobre Control Interno y Valoración del Riesgo, realizará una revisión del presente Marco Orientador, para ajustarlo a las condiciones institucionales y del entorno cambiante, además de los requerimientos jurídicos que surjan, dentro de lo preceptuado por la normativa en materia de valoración de riesgos. 1.5 Vigencia. El presente marco orientador entra a regir a partir de su aprobación por el Jerarca Superior. 1.6. Compromiso del Jerarca. El Jerarca Superior del Consejo Nacional de Rehabilitación y Educación Especial, en su condición de jerarca supremo institucional, se compromete a: dirigir y participar activamente en la valoración de riesgos institucionales y articular sus resultados con la toma de decisiones estratégicas y el proceso de planeación institucional, favorecer y facilitar todas las acciones precedentes y necesarias para la implantación, operación, mantenimiento y revisión del SEVRI – CNREE, garantizar que los recursos que se asignen al SEVRI se obtengan de forma prioritaria, de los existentes en la institución en el momento de determinar su requerimiento, garantizar que el presupuesto institucional contemple los recursos financieros necesarios para la implantación de la estrategia del SEVRICNREE y las provisiones y reservas para la ejecución de las medidas para la administración de riesgos, definir anualmente los procesos o áreas a los que se aplicará la valoración del riesgo, evaluar el cumplimiento de la presente directriz en la condición de jerarca supremo, así como del resto de la Administración Activa y de la Auditoría Interna. 11 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 1.7. Lineamientos de la política: Es responsabilidad del jerarca superior, titulares subordinados, la Auditoría Interna y el resto de los funcionarios, la aplicación de la presente política; su inobservancia generará las responsabilidades contenidas en el ordenamiento jurídico aplicable. El SEVRI-CNREE debe estar vinculado con el sistema de planeación y presupuesto institucional. En el término de dos años contados a partir de la emisión de la presente directriz, la Administración Activa deberá ejecutar las siguientes medidas que permitan el adecuado funcionamiento del SEVRI-CNREE: a) totalidad del personal institucional y directores del Consejo capacitados en materia de valoración de riesgos. b) desarrollo de una estrategia permanente institucional de monitoreo del entorno económico, social y político y de la gestión institucional. c) Utilización de una herramienta para la administración de la información relativa a riesgos. En todas las dependencias del CNREE se desarrollará el proceso de valoración de riesgos a partir de los objetivos de los procesos y los planes institucionales. El Plan institucional de Administración de Riesgos será aprobado por el Jerarca y las medidas contenidas en este deben contar con los recursos necesarios para su cumplimiento. La asistencia técnica para el establecimiento y funcionamiento del SEVRICNREE, está a cargo de la Asesoría en Planificación, a la cual se le asignarán los recursos necesarios para ello. La Comisión Institucional sobre Control Interno y Valoración de Riesgos, aplica la valoración de riesgos en todas las dependencias institucionales por medio de subcomisiones. A los planes, proyectos de desarrollo y convenios que se sometan a estudio y aprobación de la junta directiva del Consejo Nacional de Rehabilitación y Educación Especial, se les anexará la documentación probatoria de que les fue aplicado el proceso de valoración de riesgos, en lo que corresponde. 12 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Los titulares subordinados incluirán en la planificación programática y presupuestaria, así como en sus planes de trabajo, las acciones y los recursos para el funcionamiento y la aplicación de la estrategia del SEVRI CNREE, la capacitación sobre valoración de riesgos, además de las provisiones y reservas para la ejecución de las medidas de administración y control de riesgos. Los sujetos interesados deberán ser contemplados en el diseño, ejecución, evaluación y seguimiento de las actividades en relación con el SEVRI – CNREE. La valoración del riesgo institucional es participativa, continua, sistemática, basada en información confiable y actualizada, sobre los eventos del entorno económico, social y político, así como de los aspectos internos de la Institución, que podrían impactar en el cumplimiento de las atribuciones jurídicas y de la planeación institucional. La valoración del riesgo debe realizarla el Jerarca Superior del Consejo Nacional de Rehabilitación y Educación Especial, los titulares subordinados con sus funcionarios y la Auditoria Interna en lo que concierne a su ámbito de competencia, de manera que cubra toda la estructura organizacional. 2. Lineamientos institucionales para el establecimiento de niveles de riesgo aceptables. Se consideraran aceptables aquellos riesgos cuyo impacto no afecte: el cumplimiento de objetivos contenidos en el Plan Nacional de Desarrollo, el cumplimiento de los objetivos del Plan Estratégico Institucional, el nivel de calidad en los servicios institucionales, la relación con las instituciones fiscalizadoras y contraloras, el cumplimiento de convenios y contratos, el cumplimiento de la legislación y normativa en materia financiera, presupuestaria y de planificación, el cumplimiento de las recomendaciones de la Auditoría Interna, con carácter firme. 13 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 3. Definición de las prioridades de la Institución en relación con la valoración del riesgo. A definir por parte del jerarca. 4. Estrategia Metodológica. 14 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 15 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 16 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 17 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 18 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 5. Normativa interna que regula el SEVRI. La normativa interna que regula el SEVRI contiene en el ámbito institucional, los procedimientos del Sistema, los criterios que se requieran para el funcionamiento del SEVRI, la estructura de riesgos institucional y los parámetros de aceptabilidad de riesgo. 5.1. Los procedimientos del SEVRI. Es necesario que se tenga presente que el proceso de valoración de riesgos comprende cinco actividades o momentos, que constituyen subprocesos: identificación, análisis, 19 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. evaluación, administración y, revisión. La documentación y comunicación son de carácter permanente durante la gestión de todo el proceso, por lo tanto deben estar incorporadas en la aplicación de los procedimientos de las actividades anteriormente mencionadas. Para cada uno de los subprocesos se debe detallar el procedimiento, que comprende las actividades, la descripción de cada una de estas y los titulares responsables. Se indique además, los formularios que son necesarios de completar. 5.2. Criterios para el funcionamiento del Sistema. El funcionamiento del SEVRI- CNRRE se ajustará a lo dispuesto en la presente directriz institucional, denominada Marco Orientador del Sistema Específico de Valoración del Riesgo Institucional. Por consiguiente, se deberán utilizar los formularios y lineamientos que se indican en el presente documento. El Marco Orientador del Sistema Específico de Valoración del Riesgo Institucional del CNREE, así como los demás componentes, es decir, sujetos interesados, recursos y herramienta para la administración de la información, se revisarán cada año, teniendo a la vista los informes semestral y anual correspondientes. La revisión del SEVRI CNREE por lo tanto, comprenderá no solo el ejercicio de la identificación, análisis, evaluación, administración, sino también la actualización del SEVRI de frente a los cambios del entorno y de la propia gestión institucional. Tendrá como fuente principal los reportes del monitoreo, así como los informes de gestión del Sistema. 20 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Cada titular subordinado realizará las acciones indicadas en el Marco Orientador para la revisión del SEVRI y para el adecuado funcionamiento del mismo en su área de trabajo, y con la participación de los funcionarios a su cargo, según los procesos institucionales. Así también en virtud de los resultados de la evaluación semestral o anual relativos a la materia de valoración de riesgos, el jerarca tomará las medidas de fortalecimiento del funcionamiento del SEVRI y las medidas correctivas necesarias tanto para sí como para el resto de la administración activa y la Auditoría Interna, incluyendo las disciplinarias en caso de incumplimiento a los deberes en este campo. Será responsabilidad de todo funcionario y titular subordinado de la Institución colaborar en las actividades para el establecimiento, mantenimiento y perfeccionamiento del Sistema Específico de Valoración del Riesgo. (SEVRI). Al respecto la Auditoría Interna informará periódicamente al jerarca sobre el cumplimiento de las obligaciones en materia de valoración de riesgos por parte de la Administración Activa. 5.3. Estructura de riesgos institucional. La estructura de riesgos de la Institución se agrupa según la fuente del riesgo. 21 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Nivel O Fuente de riesgo general. Nivel 1 Fuente de riesgo por área general. Nivel 2 Fuente de riesgo por área específica. Reorganización del Poder Ejecutivo. EXTERNA Política Percepción sobre la discapacidad. Agenda política. Políticas de gobierno. Incidencia de población con discapacidad. Legitimidad y confiabilidad hacia la institución. Económica Prespuestaria Social Tecnológica Ambiental Jurídico Legislativo Externa Institucional Valoración de actores políticos respecto del desempeño institucional Política de empleo Política salarial. Política cambiaria. Política fiscal. Gasto público. Presupuesto público. Política presupuestaria. Denunciantes Población con discapacidad. Familiares de personas con discapacidad. Organizaciones de personas con discapacidad. Medios de comunicación. Grupos de interés. Grupos de presión y organizaciones sociales. Innovaciones tecnológicas. Accesibilidad Internet. Correo electrónico. Regulaciones. Desastres. Contaminación Política sobre compras estatales. Disposiciones del Poder Ejecutivo Sentencias judiciales Resoluciones en materia electoral Interpretación y aplicación de normas jurídicas Alineamiento de norma jurídica con enfoque y legislación sobre derechos de las personas con discapacidad. Control político sobre la gestión en discapacidad. Creación, reforma, derogación e interpretación auténtica de legislación. Aprobación o improbación de convenios y tratados internacionales. Aprobación presupuestaria de la República. Rectoría del sector. Sector municipal. Control de gestión institucional. Control presupuestario. Control jurisdiccional De regulación. Organismos internacionales. Entidades de financiamiento institucional. Proveedores de servicios y bienes institucionales. Privado Proveedores de servicios y bienes a personas beneficiarias. 22 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Nivel O Fuente de riesgo general. Nivel 1 Fuente de riesgo por área general. INTERNA Financiera Insumos INTERNA Comunicación Nivel 2 Fuente de riesgo por área específica. Presupuesto. Análisis financiero. Registro contable. Disponibilidad. Derechos de propiedad intelectual. Capacidad. Cantidad. Equidad. Bienes y derechos del patrimonio institucional. Instalaciones electrícas. Aseguramiento. Accesibilidad. Rendición de cuentas. Información operativa. Información estratégica. Información de gestión. Transmisión y difusión de información Oportunidad de la información. Gestión de información. Efectividad de la información. Pertinencia de la información Confiabilidad de la información. Planificación del recurso humano. Desarrollo del recurso humano. Alineación estratégica. Planeación. Estructura organizacional. Estrategia Humanos Ambiente de trabajo Procesos Tecnología de información y comunicación Liderazgo. Poder. Proceso gerencial. Toma de decisiones. Monitoreo del entorno. Control de gestión institucional. Cultura organizacional. Salud ocupacional. Procesamiento de transacciones. Fraude. Competencias laborales. Prácticas con personas usuarias y beneficiarias. Administración de tecnologías de información. Rotación de labores. Relaciones laborales. Integridad. Físico. Clima organizacional. Separación de funciones. Diseño de procesos, procedimientos e instrucciones de trabajo. Aplicación de procesos, procedimientos e instrucciones de trabajo. Contratación administrativa Límites de autoridad. Equipos. Sistemas. Licencia de "software". Disponibilidad. Infraestructura. Regulaciones Seguridad. 23 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 5.3. Parámetros de aceptabilidad de riesgo. Se establece como parámetro de aceptabilidad: Parámetros de aceptabilidad Como resultado se tiene la clasificación del riesgo. Clasificación del riesgo: Resultado BB, BM, BA y MB MM, MA y AB AM y AA La clasificación del riesgo es el resultado de la multiplicación del puntaje obtenido de la probabilidad de ocurrencia del riesgo por el obtenido del impacto, una vez analizadas las medidas de control existentes (si se cuenta con ellas). Nivel de riesgo Aceptable Moderado Crítico Prioridad de atención ACEPTABLE. Monitoreo constante. Es un riesgo que amerita monitoreo constante por parte del titular o titulares subordinados responsables. MODERADO. Atención a mediano plazo. Es un riesgo que debe ser administrado en el plazo máximo de un año contado desde su identificación, por los titulares subordinados responsables, mediante la gestión del plan de administración de riesgos, que contemple medidas que se ejecutarán y al finalizar el primer semestre desde su identificación, deben haberse ejecutado las mismas en al menos 50%. CRITICO. Atención inmediata. Es un riesgo que debe ser administrado de inmediato, por medio de la gestión del plan de administración de riesgos, que contemple medidas que se ejecutarán en el lapso de seis meses, a partir de la fecha de la identificación del riesgo. 24 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 5.4 DESCRIPCIÓN DE LOS PROCEDIMIENTOS 25 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 26 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 5.1.1. Identificación de riesgos. 1. Objetivo Identificar los eventos actuales y potenciales internos y externos del Consejo Nacional de Rehabilitación y Educación Especial que pueden afectar el cumplimiento de sus objetivos institucionales. 27 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 2. Alcance Aplica al Jerarca Institucional, a los titulares subordinados y eventualmente a sujetos privados y está interrelacionado con el proceso de valoración del riesgo institucional. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. R: Riesgos 4. Definiciones Riesgo: Probabilidad de que ocurran eventos que tendrían consecuencias sobre el cumplimiento de los objetivos fijados. Identificación de riesgos: Primera actividad del proceso de valoración del riesgo que consiste en la determinación y la descripción de los eventos de índole interno y externo que pueden afectar de manera significativa el cumplimiento de los objetivos fijados. Causa: Condición concreta que origina el evento y que ocasiona incertidumbre. Consecuencia: Conjunto de efectos derivados de la ocurrencia de un evento expresado cualitativa o cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias. Estructura de riesgos: Clases o categorías en que se agrupan los riesgos en la institución, las cuales pueden definirse según causa de riesgo, área de impacto, magnitud del riesgo u otra variable. Evento: Incidente o situación que podría ocurrir en un lugar específico en un intervalo de tiempo particular. Factor de riesgo: Manifestación, característica o variable mensurable u observable que indica la presencia de un riesgo, lo provoca o modifica su nivel. Objeto valorado: Proceso, subproceso, objetivo estratégico, función, procedimiento, entre otros, al cual se le aplique el proceso de valoración de riesgo. Traslado de riesgo identificado: Consiste en la labor de envío al titular o titulares subordinados que, eventualmente les correspondería la administración del riesgo identificado por otro titular, para su consideración, de acuerdo con su competencia. 28 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 5. Políticas1 La gestión de riesgo será constituida como un elemento fundamental de la gestión institucional, orientada a la producción de información que coadyuve a la toma de decisiones tendientes al logro razonable de nuestros objetivos, en un nivel de riesgo aceptable. Los titulares subordinados y los funcionarios deben tener una participación activa en la determinación de los eventos que pueden afectar el cumplimiento de los objetivos y posibles consecuencias, en caso de que dichos eventos se materialicen. Los titulares subordinados deben procurar la obtención de información del entorno e interna, que pueda incidir en el cumplimiento del proceso, plan o proyecto a su cargo, mediante el monitoreo periódico. La identificación de riesgos, junto con el análisis, evaluación y diseño del plan de administración y actividades de control se llevarán a cabo a más tardar en febrero de cada año. 6. Responsabilidades La Dirección Ejecutiva es la responsable de velar porque exista participación de todas las jefaturas en la identificación de riesgos. La Dirección Ejecutiva debe velar por la provisión de los recursos necesarios para la adecuada aplicación y desarrollo de los lineamientos establecidos en este procedimiento. Los titulares subordinados o sus superiores inmediatos, según corresponda el avance en el trámite según el formulario correspondiente, deben resolver la competencia para la administración de riesgos, en caso de traslados de estos. Es responsabilidad de los funcionarios del CNREE brindar y contribuir con el desarrollo de los lineamientos establecidos en este procedimiento. La Junta Directiva estudia el informe de identificación de riesgos sometido a su consideración para la toma de decisiones de nivel superior. 7. Descripción del Subproceso Paso 1 Actividad Responsable Tomando en consideración políticas existentes de la PGR. 29 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso Actividad Identificación de Riesgos Responsable Entradas: Plan Nacional de Desarrollo Plan anual operativo Plan de trabajo Documentos de Proyecto Análisis interno y del entorno Evaluación de la gestión institucional Manual de Procesos organizacionales Manuales de Procedimientos Manuales de Instrucciones de Trabajo Presupuesto institucional Informes de Autoevaluación de Control Interno Marco legal Institucional Estructura de Riesgos del Marco Orientador SEVRI-CNREE. Informes generados por el proceso en valoración de riesgos de años anteriores Documentación de procedimientos e instrucciones del proceso en valoración Documentos de operación diaria 1 2 Analizar el ítem al cual se le aplicará la valoración del riesgo (Plan, programa, proyecto, proceso, subproceso, procedimientos, instrucciones de trabajo, etc.) para elegir el (los) objetivo(s) de interés. Reconocer los factores internos y externos que inciden actual o potencialmente en el cumplimiento de los objetivos del ítem evaluado y en el cumplimiento de los fines institucionales relacionados con ese (esos) objetivo(s). Jerarca, Titulares subordinados. Titulares subordinados. Realizar la identificación de riesgos en el que se determine los eventos que podrían afectar de forma significativa el cumplimiento de los objetivos.. 3 Identificar las causas y consecuencias, que se generan del Formulario Nº 1-SEVRI-Identificación de riesgos. Completar el Formulario Nº 1-SEVRI- Titulares subordinados. Identificación de riesgos, Se transcriben los objetivos a evaluar Se identifican los eventos de importancia de acuerdo con la estructura de riesgos institucional. Se identifican las causas y las consecuencias de esos eventos para cada objetivo. 30 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso 4 Actividad Se identifican los tipos de riesgos, según la Estructura de Riesgos del Marco Orientador. Responsable Si se identifica un riesgo que aunque relacionado con el objetivo en cuestión no puede o debe ser administrado por la instancia que está realizando la valoración de riesgos, se debe llenar el Formulario 2 “Traslado de Riesgos Identificados” Salidas: Formulario 1: Identificación de Riesgos Formularios 2: Traslado de Riesgos Identificados. Fin del procedimiento. 8. Documentos Relacionados Código del documento Normativa: Procedimientos Instructivos Formatos Nombre del Documento Ley General de Control Interno, Nº 8292 del 31 de julio del 2002 Normas de Control Interno para el Sector Público. N-22009-CO-DFOE. 6 febrero de 2009. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI), Resolución R-CO-64-2005, del 01 de julio del 2005 Manual De Normas Para El Ejercicio de la Auditoría Interna en el Sector Público M-1-2004-Co-Ddi Marco Orientador del SEVRI-CNREE Sistema Específico de Valoración del Riesgo Institucional. Instructivo para completar los Formularios No.1 Identificación de riesgos y No. 1. Formulario Nº 1-SEVRI. Identificación de riesgos. Formulario Nº 2 SEVRI. Traslado de riesgos Identificados. 9. Registro de Cambios Versión 1 2 Breve descripción del cambio Elaboración de la versión inicial Rediseño Responsable Elsie Bell Elsie Bell Pantoja Fecha 23-Dic-2010 Mayo 2011 5.1.2. Análisis y Evaluación de riesgos. 31 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 1. Objetivo Determinar las prioridades para la administración de riesgos, que permita a sus titulares subordinados una selección de los aspectos a los que se enfocarán, mediante la aplicación de los parámetros de aceptabilidad de riesgos, a partir de la probabilidad y la consecuencia de los eventos identificados, con y sin medidas de control. 2. Alcance Aplica al Jerarca Institucional, a los titulares subordinados y eventualmente a sujetos privados y está interrelacionado con el proceso de valoración del riesgo institucional. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. I: Impacto. P: Probabilidad. NRI: Nivel de riesgo inherente NRR: Nivel de riesgo residual E: evento C: causa R: Riesgo 4. Definiciones Análisis cualitativo: Descripción de la magnitud de las consecuencias potenciales, la probabilidad de que esas consecuencias ocurran y el nivel de riesgo asociado. Análisis cuantitativo: Estimación de la magnitud de las consecuencias potenciales, de la probabilidad de que esas consecuencias ocurran y del nivel de riesgo asociado. Análisis de riesgos: Segunda actividad del proceso de valoración del riesgo que consiste en la determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados. Controles existentes: son las actividades de control existentes en el momento de realizar el análisis de riesgo del objetivo seleccionado y sirven para minimizar el nivel de riesgo. 32 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Evaluación de riesgos: Tercera actividad del proceso de valoración del riesgo que consiste en la determinación de las prioridades para la administración de riesgos. Factor de riesgo: Manifestación, característica o variable mensurable u observable que indica la presencia de un riesgo, lo provoca o modifica su nivel. Magnitud: Medida, cuantitativa o cualitativa, de la consecuencia de un riesgo. Nivel de riesgo: Grado de exposición al riesgo que se determina a partir del análisis de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite establecer la importancia relativa del riesgo. Nivel de riesgo aceptable: Nivel de riesgo que la institución está dispuesta y en capacidad de retener para cumplir con sus objetivos, sin incurrir en costos ni efectos adversos excesivos en relación con sus beneficios esperados o ser incompatible con las expectativas de los sujetos interesados. Nivel de riesgo inherente: es el nivel de riesgo al que se está expuesto sin controles, solamente considera la probabilidad e impacto existentes. NRI: I * P. Donde, I: Impacto. P: Probabilidad. Nivel de riesgo residual: es el nivel de riesgo que se determina una vez analizados si los controles existentes inciden en la reducción de la probabilidad e impacto. NRR: Controles existentes + I * P. Parámetros de aceptabilidad de riesgos: Criterios que permiten determinar si un nivel de riesgo específico se ubica dentro de la categoría de nivel de riesgo aceptable. Probabilidad: Medida o descripción de la posibilidad de ocurrencia de un evento. Retener riesgos: Opción de administración de riesgos que consiste en no aplicar los otros tipos de medida (atención, modificación, prevención o transferencia) y estar en disposición de enfrentar las eventuales consecuencias. Riesgo. Probabilidad de que ocurran eventos que tendrían consecuencias sobre el cumplimiento de los objetivos fijados. R: E + C + C, donde: E: evento. C: causa. C: consecuencia o impacto. 5. Políticas La lista priorizada de riesgos debe ser utilizada como la información para el proceso de apoyo a la toma de decisiones. 33 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Es responsabilidad del titular subordinado aplicar y observar los Lineamientos institucionales para el establecimiento de niveles de riesgo aceptables y los Parámetros de Aceptabilidad El CNREE administrará los riesgos en los niveles moderado y crítico. Los lineamientos generales para el establecimiento de niveles de aceptabilidad de riesgos a observar serán los siguientes: NIVEL DE EFECTIVIDAD NIVEL DE CONVENIENCIA NIVEL DE OCURRENCIA NIVEL ESTRATÉGICO NIVEL DE RIESGO RESIDUAL INEFECTIVA INCONVENIENTE ALTO ALTO CRÍTICO MED. EFECTIVA ALTO MEDIO CRÍTICO EFECTIVO CONVENIENTE MÁS CONVENIENTE ALTO BAJO MODERADO INEFECTIVO INCONVENIENTE MEDIO ALTO CRÍTICO MED. EFECTIVA MEDIO MEDIO MODERADO EFECTIVO CONVENIENTE MÁS CONVENIENTE MEDIO BAJO ACEPTABLE INEFECTIVO INCONVENIENTE BAJO ALTO MODERADO MED. EFECTIVA CONVENIENTE MÁS CONVENIENTE BAJO MEDIO ACEPTABLE BAJO BAJO ACEPTABLE EFECTIVO DESCRIPCIÒN Se considerará como retención de riesgos o riesgos aceptables, durante la etapa de evaluación, es decir corresponde al nivel de riesgo aceptable. Procede realizar el monitoreo constante, para determinar algún cambio, que amerite eventualmente su atención o la desaparición del riesgo identificado. El monitoreo se realizará mediante la revisión anual. No obstante, para ser ubicados en la clasificación de Aceptables, debe revisarse que no se encuentren en los supuestos establecidos en los Lineamientos institucionales para el establecimiento del nivel de riesgo aceptable de este Marco Orientador. Los riesgos calificados Moderado se administrarán, ameritan atención en el lapso de dos años, a partir de su identificación En el momento de la revisión anual de riesgos deberá tener al menos un 50% de avance en la ejecución del Plan de Administración de Riesgos. 34 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Los riesgos clasificados como Críticos serán de atención inmediata, a partir de su identificación y las medidas de de administración de riesgos deberán estar concluidas en el plazo máximo de un año. Criterios Institucionales para el Análisis de Riesgos. Como criterios para establecer si un determinado riesgo se encuentra dentro de una categoría que lo ubique como Nivel de Riesgo Aceptable, se utiliza la combinación de la relación entre la probabilidad y el impacto. Tabla para establecer el nivel de riesgo por objetivo según ponderación de criterios de los titulares subordinados. Criterio experto del titular Criterios Probabilidad 1 1 2 1 3 1 4 3 5 2 Impacto 1 3 3 3 1 1 3 3 9 2 Resultado individual Promedio 1,6 2,2 35 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. De donde se tiene que: Análisis de las medidas de administración existentes asociadas al riesgo: Si el riesgo identificado cuenta con medidas de administrativos en funcionamiento, debe procederse a la evaluación de estas. Si no, el riesgo inherente será igual al residual. 36 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Una vez que haya analizado la Aptitud y la Actitud ante la medida existente, utilice la siguiente matriz para realizar el análisis de la idoneidad de las medidas en aplicación, en caso de que ellas existan y determinar la efectividad de las mismas. Además debe analizarse si las medidas son convenientes o no, para ello se establece la correlación entre el costo y el beneficio estimados, según se muestra en la Tabla 3: 37 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. De seguido, determine si la probabilidad e impacto del riesgo tiene algún grado de variación con la aplicación de las medidas existentes y ubique la respuesta correlacionando los siguientes aspectos. 38 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Además, como otro criterio a considerar para determinar el nivel de riesgo, es el análisis de la importancia política del objetivo. para ello use la siguiente tabla: 39 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Con todos los insumos del análisis de las medidas de administración existentes, determine el nivel de riesgo residual. En caso de que no existan medidas, el riesgo residual es igual al inherente. 40 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 6. Responsabilidades La Dirección Ejecutiva es la responsable de velar porque exista participación de todas las jefaturas en el análisis de los riesgos. La Dirección Ejecutiva debe velar por la provisión de los recursos necesarios para la adecuada aplicación y desarrollo de los lineamientos establecidos en este procedimiento. Es responsabilidad de los funcionarios del CNREE brindar y contribuir con el desarrollo de los lineamientos establecidos en este procedimiento. 41 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 7. Descripción del Subproceso Paso Actividad Responsable Análisis de Riesgos Entradas: Listado de riesgos identificados Realizar una sesión de trabajo con el fin de determinar el nivel de riesgo inherente, para lo cual se deben considerar los siguientes aspectos: Probabilidad Impacto Calificación de la probabilidad y el impacto Identificación de la exposición de riesgo Identificación de los controles existentes Determinación del riesgo inherente 1 Completar el Formulario Nº 3 - SEVRI. Análisis y Evaluación de Riesgos. Titulares subordinados Nota: Para la obtención del nivel de riesgo, se analiza bajo dos escenarios básicos: sin medidas para la administración de riesgos y con aquellas existentes en la institución operando en el momento de realizar el análisis. Para los eventos identificados, los titulares utilizan los Criterios Institucionales para Analizar los Riesgos y determinan la probabilidad y el impacto. Describir y analizar las medidas de administración de riesgos existentes. Esto aplica sólo si existen controles, si no el riesgo inherente es igual al riesgo residual. 2 Nota: La descripción y análisis de medidas existentes deben tener relación cada una de las causas identificadas en el Formulario Nº 1. Titulares subordinados Determinar el nivel de riesgo residual. 3 Nota: Utilice la matriz o tabla para establecer el nivel de riesgo por objetivo según ponderación de criterios de los titulares subordinados. En adelante se continuará las siguientes etapas de la valoración con este resultado. Salidas: Formulario No.3 Análisis y Evaluación de Riesgo Titulares subordinados 42 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso Actividad Responsable Fin del Procedimiento 8. Documentos Relacionados Código del documento Normativa: Procedimientos Instructivos Formatos Nombre del Documento Ley General de Control Interno, Nº 8292 del 31 de julio del 2002. Normas de Control Interno para el Sector Público N-22009-CO-DFOE. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI), Resolución R-CO-642005, del 01 de julio del 2005 Manual De Normas Para El Ejercicio de la Auditoría Interna en el Sector Público M-1-2004-Co-Ddi Sistema Específico de Valoración del Riesgo Institucional. Instructivo para completar el Formulario No.3 Análisis y Evaluación de riesgos Formulario Nº 1-SEVRI. Identificación de riesgos. Formulario Nº 2 SEVRI. Traslado de riesgos identificados Formulario Nº 3 - SEVRI. Análisis y Evaluación de Riesgos. Tabla para establecer el nivel de riesgo por objetivo según ponderación de criterios de los titulares subordinados. 9. Registro de Cambios Versión 1 2 Breve descripción del cambio Elaboración de la versión inicial Revisión Responsable Elsie Bell Elsie Bell Pantoja Fecha 23-Dic-2010 Mayo-2011 5.1.3. Evaluación de medidas de administración. 1. Objetivo Seleccionar las medidas de administración de riesgos idóneas para ubicar el nivel de riesgo del objetivo evaluado, dentro de los niveles aceptables. 2. Alcance 43 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Incluye a los titulares subordinados institucionales está interrelacionado con el proceso de valoración del riesgo institucional. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. R: Riesgos 4. Definiciones Actividades de control: Son las políticas y procedimientos que permiten obtener seguridad de que se lleven a cabo las disposiciones emitidas por la CGR, por los jerarcas y los titulares subordinados, para la consecución de los objetivos, incluyendo específicamente aquellas referentes al establecimiento y operación de las medidas para la administración de riesgos de la Institución. Administración de riesgos: Cuarta actividad del proceso de valoración del riesgo que consiste en la identificación, evaluación, selección y ejecución de medidas para la administración de riesgos. (En normativas técnicas esta actividad también se denomina “tratamiento de riesgos”). Se presenta cuando las medidas de control son inexistentes y deben crearse o no son idóneas o no existe la actitud que las haga efectivas o requieren actualizarse o se determina su eliminación al no minimizar la probabilidad / impacto del riesgo de materializarse. Dichas medidas en su conjunto deben permitir a la Institución la seguridad razonable del cumplimiento del objetivo del objeto valorado. Atender riesgos: Opción para administrar riesgos, que consiste en actuar ante las consecuencias de un evento, una vez que éste ocurra. Hacienda pública: La Hacienda Pública estará constituida por los fondos públicos, las potestades para percibir, administrar, custodiar, conservar, manejar, gastar e invertir tales fondos y las normas jurídicas, administrativas y financieras, relativas al proceso presupuestario, la contratación administrativa, el control interno y externo y la responsabilidad de los funcionarios públicos...Art. 126, Ley 8131. 44 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Medida para la administración de riesgos: Disposición razonada definida por la institución previa a la ocurrencia de un evento para modificar, transferir, prevenir, atender o retener riesgos. Las medidas de administración deben corresponder con las causas. Modificar riesgos: Opción para administrar riesgos que consiste en afectar los factores de riesgo asociados a la probabilidad y/o la consecuencia de un evento, previo a que éste ocurra. Ejemplo: revisión previa. Prevenir riesgos: Opción de administración de riesgos que consiste en no llevar a cabo el proyecto, función o actividad o su modificación para que logre su objetivo sin verse afectado por el riesgo. Retener riesgos: Opción de administración de riesgos que consiste en no aplicar las medidas de administración (atención, modificación, prevención o transferencia) y estar en disposición de enfrentar o asumir las eventuales consecuencias. Transferir riesgos: Opción de administración de riesgos, que consiste en que un tercero soporte o comparta, parcial o totalmente, la responsabilidad y/o las consecuencias potenciales de un evento. 5. Políticas Una vez efectuada la evaluación de riesgos, aquellos que no se ubiquen dentro de la categoría de nivel de riesgo aceptable deberán ser administrados. En el caso de los riesgos administrables se les deberá valorar las medidas dirigidas a la atención, modificación, transferencia y prevención de riesgos. En los casos en que sea imposible utilizar este tipo de medidas o las disponibles impliquen un costo mayor a su beneficio, la administración podrá retener dichos riesgos; para esto deberá fundamentar o razonar documentadamente esta decisión. Si se opta por la transferencia, debe garantizarse que el tercero que recibe tenga la idoneidad para realizarlo, así también que la Institución cuente con los recursos para atender la erogación que ello represente, si amerita. Además, si la 45 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. transferencia es parcial, el residuo del riesgo que permanece en la institución debe gestionarse. Si se realiza un traslado del riesgo (de una dependencia a otra de la institución) deberá previamente y utilizando el formulario 2 SEVRI de Traslado de Riesgos Identificados, comunicarlo al titular subordinado que eventualmente sería el encargado de administrarlo y recibir la confirmación de la aceptación del mismo; si no la aprobación de la transferencia deberá suscribirla el superior jerárquico de quien recibe y comunicarlo a quien corresponda para su ejecución. 6. Responsabilidades La Dirección Ejecutiva es la responsable de velar porque exista participación de todas las jefaturas en la administración de los riesgos. La Dirección Ejecutiva debe velar por la provisión de los recursos necesarios para la adecuada aplicación y desarrollo de los lineamientos establecidos en este procedimiento. El titular subordinado que realice la transferencia de recursos debe garantizar que se cuente con los recursos presupuestarios necesarios para ello y se le asigne al tercero competente para ello. El traslado de riesgos solamente se puede dar si la aplicación de la medida es una actividad que forma parte del proceso a cargo de otra dependencia. Es responsabilidad de los funcionarios del CNREE brindar y contribuir con el desarrollo de los lineamientos establecidos en este procedimiento. 7. Descripción del Subproceso Paso Actividad Fase I. Administración de Riesgos Entradas: Formulario 5 - SEVRI Evaluación de Medidas de Administración de Riesgos. En adelante, sólo diseñar medidas para los riesgos priorizados resultantes de la fase de Evaluación. 1 Utilice y refiérase al Formulario Nº 5 - SEVRI. Evaluación de medidas de administración. 2 Proponer las medidas de administración que considere Responsable Titulares subordinados. Titulares subordinados. 46 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso Actividad apropiadas. Debe contener: Responsable El establecimiento de medidas de administración de riesgos. El diseño o rediseño de actividades de control. Estas pueden estar dirigidas a la atención, retención, modificación, transferencia y prevención de riesgos. Deben ser útiles para minimizar las causas del riesgo. Utilice y refiérase al Formulario Nº 5 - SEVRI Estudiar las medidas para la administración de riesgos de acuerdo con los cinco criterios institucionales (costo, factibilidad, interés público y resguardo de hacienda pública, viabilidad, análisis costo beneficio) indicados en el Formulario Nº4. Utilice y refiérase al Formulario Nº 5 - SEVRI. Evaluación de medidas de administración de riesgos. Nota: 3 4 En lo referente a costos, se debe determinar la relación costo/beneficio para definir si pasa o n o a la etapa de administración. En los casos en que haya actividades que sea difícil determinar su costo, los titulares subordinados deben fijarse si el objetivo al que se refiere es estratégico, ya que puede ocurrir que indistintamente del costo deba ejecutarse la medida, por cuanto su omisión podría generar un incumplimiento grave jurídico del fin institucional. La viabilidad jurídica es una condición esencial, por el principio de legalidad que rige a la Administración Pública. En este paso de estudio se determina si las medidas, por diversas razones cuentan o no con las condiciones necesarias para hacerse efectivas o ejecutivas. Caso contrario los titulares subordinados deben eliminarlas y proponerse medidas alternativas. Seleccionar medidas de administración de riesgos y determinar cuáles cumplen con las condiciones para implantarse. Titulares subordinados. Titulares subordinados. 47 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso Actividad Nota: Se podrán retener riesgos siempre y cuando sea en los casos en que les sea imposible utilizar medidas de atención, modificación, transferencia y prevención o las disponibles impliquen un costo mayor a su beneficio. Responsable Salidas: Formulario Nº 5- SEVRI. Evaluación de medidas de administración, completo. Fin del Procedimiento 8. Documentos Relacionados Código del documento Normativa: Procedimientos Instructivos Formatos Nombre del Documento Ley General de Control Interno, Nº 8292 del 31 de julio del 2002 Normas de Control Interno para el Sector Público, R-2-2009-CODFOE. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI), Resolución R-CO-64-2005, del 01 de julio del 2005 Manual De Normas Para El Ejercicio de la Auditoría Interna en el Sector Público M-1-2004-CO-DDI. Sistema Específico de Valoración del Riesgo Institucional. Procesos de evaluación operativa institucional. Instructivo para completar el Formulario No.4 Plan de medidas de administración y actividades de control de riesgos. Formulario Nº 4- SEVRI. Evaluación de medidas. 5.1.4. Administración de riesgos. 1. Objetivo Diseñar las medidas de administración de los riesgos y las actividades de control del objeto valorado, que permitan a sus titulares, mediante la ejecución efectiva y oportuna de las mismas, ubicarlo dentro de los niveles de riesgo aceptable y que cumpla con los objetivos previstos. 2. Alcance Incluye a los titulares subordinados institucionales está interrelacionado con el proceso de valoración del riesgo institucional. 3. Nomenclatura P: Procedimiento. 48 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. R: Riesgos 4. Definiciones Administración de riesgos. Cuarta actividad del proceso de valoración del riesgo que consiste en la identificación, evaluación, selección y ejecución de medidas para la administración de riesgos. (En normativas técnicas esta actividad también se denomina “tratamiento de riesgos”). 5. Políticas Los riesgos administrables deben ser atendidos dentro de los plazos indicados por el Marco Orientador, según el parámetro de aceptabilidad y deben ser incorporados en los planes de trabajo y presupuestos, que permitan su cumplimiento, seguimiento y evaluación. 6. Responsabilidades La Dirección Ejecutiva es la responsable de velar porque exista participación de todas las jefaturas en la administración de los riesgos. La Dirección Ejecutiva debe velar por la provisión de los recursos necesarios para la adecuada aplicación y desarrollo de los lineamientos establecidos en este procedimiento. El titular subordinado que realice la transferencia de recursos debe garantizar que se cuente con los recursos presupuestarios necesarios para ello y se le asigne al tercero competente para ello. El traslado de riesgos solamente se puede dar si la aplicación de la medida es una actividad que forma parte del proceso a cargo de otra dependencia. Es responsabilidad de los titulares subordinados atender los riesgos, cuando estos se materializan. Sus funcionarios deben prestarle la colaboración necesaria que permita mitigar o eliminar las consecuencias de su materialización. Es responsabilidad de los funcionarios del CNREE brindar y contribuir con el desarrollo de los lineamientos establecidos en este procedimiento. Las jefaturas departamentales deben dar seguimiento a la ejecución de las medidas de administración y las actividades de control contenidas en los Planes de Administración, a cargo de los titulares subordinados a su cargo. 49 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Los jefes de programas son responsables de la asignación de recursos presupuestarios destinados a la administración de riesgos y actividades de control y tendrán prioridad en su asignación sobre los existentes. La Asesoría en Planificación es responsable de generar los informes institucionales sobre el estado del sistema de control interno con información de efecto general para la entidad, con base en los informes trasladados por las jefaturas departamentales y de las asesorías del nivel superior, según los lineamientos que se emitan para su preparación. La Auditoría Interna es responsable de informar anualmente al Jerarca sobre el cumplimiento, validez y suficiencia del Sistema Específico de Valoración del Riesgo Institucional. Además verifica que la Administración Activa tome las medidas de administración de riesgos, señaladas en la Ley General de Control Interno y en la normativa de la Contraloría General de la República en dicha materia. La Junta Directiva es responsable de considerar y deliberar la aprobación de los planes institucionales de administración de riesgos, conforme con sus competencias, el Marco Orientador, las políticas de control interno y valoración de riesgos, así como el bloque de legalidad en la materia. Paso 1 Actividad Fase I. Administración de Riesgos Entradas: Formulario 6 - SEVRI Plan de medidas de administración. En adelante, sólo se formulará el Plan con las medidas que habiendo sido evaluadas, hayan sido consideradas idóneas. Responsable Titulares subordinados. Utilice y refiérase al Formulario Nº 5 - SEVRI. Evaluación de medidas de administración. Definir los resultados esperados e indicadores. 2 Nota: Indicar cuál o cuáles son los resultados esperados de obtener con la aplicación de las medidas de administración y/o actividades de control. Los indicadores deben ser congruentes con los resultados y ser verificables. Titulares subordinados. 50 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso Actividad Responsable Temporalizar las medidas, asignación de recursos y responsables de la ejecución. 3 4 5 Definir el plazo máximo en que la medida de administración habrá sido ejecutada. Nota: Los plazos son semestrales. Tener presente que los riesgos Críticos deben atenderse inmediatamente y los Moderados en el plazo máximo de dos años, con ejecución de 50% al primer año, desde la identificación de éstos. Identificar los recursos necesarios (materiales, tecnológicos, financieros, presupuestarios, entre otros) para el cumplimiento de las actividades de control y las medidas de administración. Nota: Estos deben ser incluidos en el presupuesto institucional. Definir cuales titulares son responsables de la ejecución de la medida de administración. Nota: Puede haber medidas de administración que son de competencia individual de un titular (el propio titular decide) o que son de niveles superiores (las propone para que estos niveles decidan, ya que están efectivamente fuera del ámbito de responsabilidad del proponente). Incluir el Plan de administración de riesgos y las actividades de control en el Plan de Trabajo del titular subordinado, y en el presupuesto si lo amerita. Trasladar la propuesta formalmente a la Asesoría en Planificación. Revisar e integrar la propuesta a los planes institucionales de corto, mediano y largo plazos, según corresponda. Titulares subordinados. Titulares subordinados. Titular subordinado de la Asesoría en Planificación Salidas: Formulario Nº 4 - SEVRI. Plan de medidas de administración y actividades de control de riesgos. Plan de trabajo institucional con medidas de administración y actividades de control incorporadas. 51 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso Actividad Responsable Presupuesto institucional con recursos asignados a la valoración de riesgos. Fin del Procedimiento 9. Registro de Cambios Versión 1 Breve descripción del cambio Elaboración de la versión inicial 2 Revisión Responsable Elsie Bell Elsie Bell Pantoja Fecha 23-Dic-2010 Mayo 2011 5.1.4. Revisión de riesgos. 1. Objetivo Dar seguimiento al proceso de valoración de riesgos, determinar la eficacia y eficiencia de las medidas para la administración de riesgos ejecutadas, que permita realizar modificaciones oportunas ante riesgos, el aprovechamiento de oportunidades y contribuir a alinear el riesgo y la estrategia con el contexto. 2. Alcance Incluye a los titulares subordinados institucionales y al jerarca; está interrelacionado con el proceso de valoración del riesgo institucional. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. R: Riesgos 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. 4. Definiciones. 52 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Revisión de riesgos: Quinta actividad del proceso de valoración del riesgo que consiste en el seguimiento de los riesgos y de la eficacia y eficiencia de las medidas para la administración de riesgos ejecutadas. 5. Políticas La revisión de riesgos se realizará anualmente por los titulares subordinados correspondientes. La revisión del Marco Orientador del SEVRI-CNREE se realizará anualmente en el último trimestre, con la participación e insumos de los componentes orgánicos del sistema institucional de control interno. 6. Responsabilidades La Dirección Ejecutiva es la responsable de velar porque exista participación de todas las jefaturas en la revisión de los riesgos. Los titulares subordinados deben realizar la revisión anual de los riesgos y tomar las medidas de ajuste necesarias. Las jefaturas departamentales y la Dirección Ejecutiva son los responsables de dar seguimiento a que la revisión de riesgos se realice por los titulares subordinados a su cargo y analizar los resultados de las mismas. La Asesoría en Planificación es la responsable de realizar la actualización del Marco Orientador del SEVRI, con los insumos que aporten los demás componentes orgánicos del sistema. El Jerarca Superior del CNREE es el responsable de conocer y aprobar aquella actualización del Marco Orientador del SEVRI, que permita a la Institución ubicarse en un nivel de riesgo razonable y conforme con la normativa atinente. La Auditoría Interna es la responsable de emitir un criterio ante el jerarca institucional sobre el funcionamiento del SEVRI CNREE y del cumplimiento de las obligaciones en materia de valoración de riesgos de los componentes orgánicos. 53 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 7. Descripción del subproceso Paso Actividad Revisión de Riesgos Entradas: Formulario Nº 6. Plan de medidas de administración de riesgos y actividades de control. Responsable Realizar una sesión de trabajo con el fin de examinar el grado de ejecución del plan de medidas de administración y de las actividades de control conforme con su cronograma y los recursos definidos. Tomar las decisiones para la adopción de las medidas correctivas o medidas de contingencia. 1 Nota: Revisar si: alguno o algunos riesgos se han materializado, las medidas de administración de riesgos han sido efectivas, han emergido nuevos riesgos, se presentan problemas u obstáculos con respecto a la administración de riesgos. Titulares subordinados Utilice el Formulario Nº 7- SEVRI. Revisión de riesgos. 2 3 4 Realizar ajustes al plan de trabajo, sólo si los cambios lo ameritan. Recopilar los resultados de la revisión de riesgos de los titulares subordinados correspondientes para la consolidación de resultados de las dependencias a su cargo. Realizar el informe institucional sobre valoración de riesgos. Someterlo a consideración en la Comisión de Control Interno, y posteriormente ante las autoridades superiores. Titulares subordinados Jefaturas departamentales, dirección ejecutiva. Asesoría en Planificación Nota: Utilizar los lineamientos de evaluación, el marco orientador del SEVRI y la documentación sobre valoración del riesgo del proceso. Conocer y estudiar el informe institucional. Gestionar ante la Asesoría en Planificación la solicitud del informe de valoración y el SEVRI, para la toma de decisiones de la auditoría. 5 6 Realizar la revisión anual del Marco Orientador del SEVRI CNREE, en el cuarto trimestre del año, para que se ajuste a los recursos organizacionales y a los cambios del entorno. Conocer la propuesta de ajuste del Marco Orientador y posterior consideración ante el jerarca. Auditoría Interna Asesoría en Planificación Comisión Institucional Control 54 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso Actividad Responsable Interno 7 Someter a discusión ante Jerarca Superior . 8 Conocer, discutir y emitir disposiciones en relación con el funcionamiento del SEVRI. 9 Asesoría en Planificación Jerarca Superior Comunicar a los titulares subordinados responsables del proceso, los acuerdos emitidos por el jerarca, para lo correspondiente, sea conocimiento, resolución, ejecución o seguimiento Asesoría en Planificación Salidas: Formulario No.5 Revisión de Riesgos. Formularios No. 1, 2, 3, 4 actualizados. Formulario No. 6 Revisión de riesgos Marco Orientador del SEVRI-CNREE revisado y actualizado. Fin del Procedimiento 8. Documentos relacionados Código del documento Normativa: Procedimientos Instructivos Formatos Nombre del Documento Ley General de Control Interno, Nº 8292 del 31 de julio del 2002 Normas Generales de Control Interno para el Sector Público. N-2-2009-CO-DFOE. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI), Resolución R-CO-642005, del 01 de julio del 2005 Manual De Normas Para El Ejercicio de la Auditoría Interna en el Sector Público M-1-2004-Co-Ddi Sistema Específico de Valoración del Riesgo Institucional. Instructivo para completar el Formulario No.5 Revisión de Riesgos. Formulario Nº 5-SEVRI. Revisión de Riesgos. Formulario Nº 1,2.3, 4 y 6- SEVRI. 9. Registro de cambios Versión 1 2 Breve descripción del cambio Elaboración de la versión inicial Revisión Responsable Elsie Bell Elsie Bell Pantoja Fecha 23-Dic-2010 Mayo 2011 55 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 5.1.6. Documentación de riesgos. 1. Objetivo Gestionar la documentación de información confiable, relevante, pertinente y oportuna relativa a valoración de riesgos por parte de los titulares subordinados, en la forma y dentro del plazo requeridos para la adecuada administración de riesgos y rendición de cuentas de sus deberes en esta materia. 3. Alcance Incluye a los titulares subordinados institucionales; está interrelacionado con el proceso de valoración del riesgo institucional. La información podrá ser requerida por la Contraloría General de la República o la auditoría interna. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. 4. Definiciones. Documentación de riesgos: Actividad permanente del proceso de valoración del riesgo que consiste en el registro y la sistematización de información asociada con los riesgos. 5. Políticas 56 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. La documentación de la valoración de riesgos se realizará durante todas las etapas de gestión de este proceso, está a cargo de cada titular subordinado. La generación y mantenimiento de la documentación sobre valoración de riesgos con resultados consolidados de carácter institucional está a cargo de la Asesoría en Planificación. 6. Responsabilidades La Dirección Ejecutiva es la responsable de velar porque exista participación de todas las jefaturas en la documentación de los riesgos. Los titulares subordinados deben generar y conservar la documentación necesaria sobre su gestión en valoración de riesgos . La Auditoría Interna es la responsable de revisar la existencia de la documentación que sustente los criterios de la administración activa en materia de valoración de riesgos. La Asesoría en Planificación es la responsable de mantener la documentación sobre valoración de riesgos que tenga carácter institucional. 7. Descripción del subproceso Paso 1 2 Actividad Documentación de Riesgos Entradas: Formularios No. 1, 2, 3, 4, 5 y 6. Para cada una de las etapas del proceso de valoración de riesgos, debe generarse la documentación física y digital que muestre la aplicación y resultados de la metodología y formularios. Así como los informes específicos que se generen asociados con este proceso. Los titulares subordinados establecen los medios mediante los cuales se accede a la información, manual, electrónica u otra, para uso de sí mismos, ejecutores del proceso y los sujetos interesados, que les permita acceso fácil y obtener la información externa e interna, necesaria para atender, conducir y Responsable Titulares subordinados Titulares subordinados 57 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso 3 4 Actividad ejecutar el proceso. Manejo de la documentación Definir la vigencia administrativa y legal de cada documento que se encuentra archivado, las medidas de seguridad que debe considerar sobre el manejo de la información electrónica y manual, los respaldos y duplicados necesarios para conservar adecuadamente la información, los controles aplicables para el traslado de información entre las unidades y el archivo institucional los procedimientos de recuperación en caso de pérdida de información, independientemente de su causa. Designan entre sus integrantes la responsabilidad por el resguardo, la custodia, el préstamo de la documentación generada en la valoración de riesgos, tanto en los medios manuales y en los electrónicos. Generar los informes de carácter institucional sobre la valoración de riesgos y el seguimiento a los planes de administración de riesgos y actividades de control del CNREE, con base en los insumos consolidados recibidos de las jefaturas departamentales y de la dirección ejecutiva. Salidas: Formularios No. 1, 2, 3, 4, 5 y 6 consolidados. Informes institucionales sobre valoración de riesgos. Marco Orientador del SEVRI-CNREE revisado y actualizado. Responsable Titulares subordinados Asesoría en Planificación Fin del Procedimiento 8. Documentos relacionados Código del documento Normativa: Procedimientos Nombre del Documento Ley General de Control Interno, Nº 8292 del 31 de julio del 2002 Normas Generales de Control Interno para el Sector Público. N-2-2009-CO-DFOE. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI), Resolución R-CO-642005, del 01 de julio del 2005 Manual De Normas Para El Ejercicio de la Auditoría Interna en el Sector Público M-1-2004-Co-Ddi Sistema Específico de Valoración del Riesgo Institucional. 9. Registro de cambios 58 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Versión 1 2 Breve descripción del cambio Elaboración de la versión inicial Revisión Responsable Elsie Bell Elsie Bell Pantoja Fecha 23-Dic-2010 Mayo 2011 5.1.7. Comunicación de riesgos. 1. Objetivo Gestionar el intercambio de información relevante sobre valoración de riesgos que incida o pueda incidir en las operaciones y estrategias institucionales, que permita la toma de decisiones en la administración de riesgos, el aprovechamiento de las oportunidades y la rendición de cuentas a las instancias de control. 4. Alcance Incluye a los titulares subordinados institucionales; está interrelacionado con el proceso de valoración del riesgo institucional. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. 3. Nomenclatura P: Procedimiento. PLA: Planificación. CNREE: Consejo Nacional de Rehabilitación y Educación Especial. 4. Definiciones. Comunicación de riesgos: Actividad permanente del proceso de valoración del riesgo que consiste en la preparación, la distribución y la actualización de información oportuna sobre los riesgos a los sujetos interesados. 5. Políticas 59 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. La comunicación de la valoración de riesgos se realizará durante todas las etapas de gestión de este proceso, está a cargo de cada titular subordinado La Asesoría en Planificación debe comunicar a todos los componentes orgánicos del sistema institucional, las actualizaciones que se realicen al Marco Orientador del SEVRI – CNREE. 6. Responsabilidades La Dirección Ejecutiva es la responsable de velar porque exista participación de todas las jefaturas en la comunicación oportuna de las etapas de la valoración de riesgos. Los titulares subordinados deben comunicar a sus funcionarios los resultados de la valoración de riesgos y deberá remitir la información requerida conforme este Marco Orientador en los plazos establecidos a los sujetos interesados. 7. Descripción del subproceso Paso 1 2 Actividad Documentación de Riesgos Entradas: Formularios No. 1, 2, 3, 4, 5 y 6. Preparación de la información. Ejecutar las etapas de la valoración de riesgos conforme con el Marco Orientador del SEVRI y generan la documentación física y digital, con su respaldo respectivo. Distribución de la información. Los informes de la gestión en valoración de riesgos son comunicados en forma oportuna, conforme con las directrices emitidas a su superior jerárquico. Divulgar sus resultados entre los funcionarios de la dependencia a cargo. Trasladar los informes al superior jerárquico para la consolidación de resultados. Las jefaturas departamentales consolidan los resultados y los remite a la Asesoría en Planificación. Responsable Jefaturas Departamentales Nota: La Asesoría en Planificación integra los informes de carácter institucional y para su consideración ante Asesoría en Planificación Titulares subordinados Titulares subordinados 3 60 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Paso 4 Actividad las autoridades superiores. Así también divulgan entre el personal los resultados y acuerdos institucionales sobre la gestión de riesgos. Actualización de la información. Aplicar el procedimiento de revisión de riesgos. Salidas: Formularios No. 1, 2, 3, 4, 5 y 6. Informes institucionales sobre valoración de riesgos. Listas de asistencia, oficios de traslado. Responsable Titulares subordinados Fin del Procedimiento 8. Documentos relacionados Código del documento Normativa: Procedimientos Nombre del Documento Ley General de Control Interno, Nº 8292 del 31 de julio del 2002 Normas Generales de Control Interno para el Sector Público. N-2-2009-CO-DFOE. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI), Resolución R-CO-642005, del 01 de julio del 2005 Manual De Normas Para El Ejercicio de la Auditoría Interna en el Sector Público M-1-2004-Co-Ddi Sistema Específico de Valoración del Riesgo Institucional. 9. Registro de cambios Versión 1 2 Breve descripción del cambio Elaboración de la versión inicial Revisión Responsable Elsie Bell Elsie Bell Pantoja Fecha 23-Dic-2010 Mayo 2011 61 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 62 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 63 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 64 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 65 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. INSTRUCTIVOS Y FORMULARIOS PARA LA VALORACIÓN DEL RIESGO INSTITUCIONAL 66 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 67 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 68 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 69 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 70 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 71 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 72 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 73 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 74 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 75 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 76 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 77 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 78 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 79 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 80 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Bibliografía. International Consulting Consortium, Inc. Administración de riesgos a la luz de los estándares internacionales. VIII Conferencia sobre Supervisión Financiera. Guatemala. Octubre, 2003. http://www.sib.gob.gt/es/Presentaciones_y_Conferencias/VIII/2.ppt Leyes. Ley General de Control Interno, Nº 8292. Ley de Administración Financiera de la República y Presupuestos Públicos, Nº 8131. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI) D-3-2005-CO-DFOE, de la Contraloría General de la República. 81 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 82 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. DIRECTRICES GENERALES PARA EL ESTABLECIMIENTO Y FUNCIONAMIENTO DEL SISTEMA ESPECÍFICO DE VALORACIÓN DEL RIESGO INSTITUCIONAL (SEVRI) D-3-2005-CO-DFOE 1. Glosario. 1.1. Conceptos utilizados. Para los efectos de las presentes directrices, se aplicarán las siguientes definiciones: Administración de riesgos. Cuarta actividad del proceso de valoración del riesgo que consiste en la identificación, evaluación, selección y ejecución de medidas para la administración de riesgos. (En normativas técnicas esta actividad también se denomina “tratamiento de riesgos”). Actividades de control. Políticas y procedimientos que permiten obtener la seguridad de que se llevan a cabo las disposiciones emitidas por la Contraloría General de la República, por los jerarcas y los titulares subordinados para la consecución de los objetivos, incluyendo específicamente aquellas referentes al establecimiento y operación de las medidas para la administración de riesgos de la institución. Análisis de riesgos. Segunda actividad del proceso de valoración del riesgo que consiste en la determinación del nivel de riesgo a partir de la probabilidad y la consecuencia de los eventos identificados. Análisis cualitativo. Descripción de la magnitud de las consecuencias potenciales, la probabilidad de que esas consecuencias ocurran y el nivel de riesgo asociado. Análisis cuantitativo. Estimación de la magnitud de las consecuencias potenciales, de la probabilidad de que esas consecuencias ocurran y del nivel de riesgo asociado. Atender riesgos. Opción para administrar riesgos, que consiste en actuar ante las consecuencias de un evento, una vez que éste ocurra. Comunicación de riesgos. Actividad permanente del proceso de valoración del riesgo que consiste en la preparación, la distribución y la actualización de información oportuna sobre los riesgos a los sujetos interesados. Consecuencia. Conjunto de efectos derivados de la ocurrencia de un evento expresado cualitativa o cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias. Documentación de riesgos. Actividad permanente del proceso de valoración del riesgo que consiste en el registro y la sistematización de información asociada con los riesgos. Estructura de riesgos. Clases o categorías en que se agrupan los riesgos en la institución, las cuales pueden definirse según causa de riesgo, área de impacto, magnitud del riesgo u otra variable. Evaluación de riesgos. Tercera actividad del proceso de valoración del riesgo que consiste en la determinación de las prioridades para la administración de riesgos. Evento. Incidente o situación que podría ocurrir en un lugar específico en un intervalo de tiempo particular. Factor de riesgo. Manifestación, característica o variable mensurable u observable que indica la presencia de un riesgo, lo provoca o modifica su 83 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. nivel. Identificación de riesgos. Primera actividad del proceso de valoración del riesgo que consiste en la determinación y la descripción de los eventos de índole interno y externo que pueden afectar de manera significativa el cumplimiento de los objetivos fijados. Institución. Entidad u órgano integrante de la Administración Pública. Magnitud. Medida, cuantitativa o cualitativa, de la consecuencia de un riesgo. Medida para la administración de riesgos. Disposición razonada definida por la institución previo a la ocurrencia de un evento para modificar, transferir, prevenir, atender o retener riesgos. Modificar riesgos. Opción para administrar riesgos que consiste en afectar los factores de riesgo asociados a la probabilidad y/o la consecuencia de un evento, previo a que éste ocurra. Nivel de riesgo. Grado de exposición al riesgo que se determina a partir del análisis de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite establecer la importancia relativa del riesgo. Nivel de riesgo aceptable. Nivel de riesgo que la institución está dispuesta y en capacidad de retener para cumplir con sus objetivos, sin incurrir en costos ni efectos adversos excesivos en relación con sus beneficios esperados o ser incompatible con las expectativas de los sujetos interesados. Parámetros de aceptabilidad de riesgos. Criterios que permiten determinar si un nivel de riesgo específico se ubica dentro de la categoría de nivel de riesgo aceptable. Población objetivo. Grupo humano que se pretende atender con la acción institucional. Política de valoración del riesgo institucional. Declaración emitida por el jerarca de la institución que orienta el accionar institucional en relación con la valoración del riesgo. Prevenir riesgos. Opción de administración de riesgos que consiste en no llevar a cabo el proyecto, función o actividad o su modificación para que logre su objetivo sin verse afectado por el riesgo. Probabilidad. Medida o descripción de la posibilidad de ocurrencia de un evento. Retener riesgos. Opción de administración de riesgos que consiste en no aplicar los otros tipos de medidas (atención, modificación, prevención o transferencia) y estar en disposición de enfrentar las eventuales consecuencias. Revisión de riesgos. Quinta actividad del proceso de valoración del riesgo que consiste en el seguimiento de los riesgos y de la eficacia y eficiencia de las medidas para la administración de riesgos ejecutadas. Riesgo. Probabilidad de que ocurran eventos que tendrían consecuencias sobre el cumplimiento de los objetivos fijados. Sistema Específico de Valoración del Riesgo Institucional (SEVRI). Conjunto organizado de elementos que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales. Sujetos interesados. Personas físicas o jurídicas, internas y externas a la 84 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. institución, que pueden afectar o ser afectadas directamente por las decisiones y acciones institucionales. Transferir riesgos. Opción de administración de riesgos, que consiste en que un tercero soporte o comparta, parcial o totalmente, la responsabilidad y/o las consecuencias potenciales de un evento. Valoración del riesgo. Identificación, análisis, evaluación, administración y revisión de los riesgos institucionales, tanto de fuentes internas como externas, relevantes para la consecución de los objetivos. (En normativas técnicas este proceso también se denomina “gestión de riesgos”). 2. Aspectos generales del Sistema Específico de Valoración del Riesgo Institucional. 2.1. Ámbito de aplicación. Toda institución pública deberá establecer y mantener en funcionamiento un Sistema Específico de Valoración del Riesgo Institucional (SEVRI) por áreas, sectores, actividades o tareas, de acuerdo, como mínimo, con lo establecido en estas directrices generales que serán de acatamiento obligatorio. 2.2. Concepto del SEVRI. Se entenderá como Sistema Específico de Valoración del Riesgo Institucional al conjunto organizado de componentes de la Institución que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales relevantes. En el anexo Nº 1 de esta normativa se presenta un diagrama del SEVRI. 2.3. Objetivo del SEVRI. El SEVRI deberá producir información que apoye la toma de decisiones orientada a ubicar a la institución en un nivel de riesgo aceptable y así promover, de manera razonable, el logro de los objetivos institucionales. 2.4. Productos del SEVRI. El SEVRI deberá constituirse en un instrumento que apoye de forma continua los procesos institucionales. En este sentido, se deberá generar a través del SEVRI: a) Información actualizada sobre los riesgos institucionales relevantes asociados al logro de los objetivos y metas, definidos tanto en los planes anuales operativos, de mediano y de largo plazos, y el comportamiento del nivel de riesgo institucional. b) Medidas para la administración de riesgos adoptadas para ubicar a la institución en un nivel de riesgo aceptable. 2.5. Insumos del SEVRI. El SEVRI deberá utilizar como insumo información interna y externa, suficiente y actualizada para su establecimiento y funcionamiento de acuerdo con los requerimientos de la presente normativa. Para estos efectos, se deberá considerar al menos la siguiente: a) Planes nacionales, sectoriales e institucionales. b) Análisis del entorno interno y externo. c) Evaluaciones institucionales. d) Descripción de la organización (procesos, presupuesto, sistema de control interno). e) Normativa externa e interna asociada con la institución. 85 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 3. f) Documentos de operación diaria y de la evaluación periódica del desempeño del mismo SEVRI. 2.6. Características del SEVRI. El SEVRI que se establezca en cada institución deberá reunir características como las siguientes: Continuidad: Los componentes y actividades del SEVRI se establecen de forma permanente y sus actividades se ejecutan de manera constante. Enfocado a resultados: Los componentes y actividades del sistema se establecen y desarrollan para coadyuvar a que la institución cumpla sus objetivos. Economía: Los componentes y actividades del Sistema se establecen y ejecutan, de forma prioritaria, vinculando las herramientas y procesos existentes en la institución y aprovechando al máximo los recursos con que se cuenta. Flexibilidad: El Sistema se deberá diseñar, implementar y ajustar periódicamente a los cambios externos e internos de acuerdo con las posibilidades y características de cada institución. Integración: El Sistema se articula con el resto de los sistemas institucionales y apoya la toma de decisiones cotidiana en todos los niveles organizacionales. Capacidad: El Sistema deberá procesar de forma ordenada, consistente y confiable todos los datos, internos y externos, requeridos para cumplir el objetivo del Sistema con un nivel de seguridad razonable. 2.7. Responsabilidad del SEVRI. El jerarca y los respectivos titulares subordinados de la institución son los responsables del establecimiento y funcionamiento del SEVRI. Para lo anterior deberán: a) Establecer y disponer los componentes del Sistema indicados en la sección 3. b) Definir y ejecutar las actividades del Sistema indicados en la sección 4. c) Evaluar y dar seguimiento al Sistema para verificar su eficacia y eficiencia en relación con el objetivo indicado en la directriz 2.3. d) Verificar el cumplimiento de las responsabilidades establecidas en relación con el Sistema referidas en las directrices 3.2. y 3.3. e) Tomar las medidas necesarias tendientes a fortalecer y perfeccionar el Sistema y al cumplimiento de la presente normativa. f) Comunicar a los sujetos interesados el estado del SEVRI y de las medidas que ha tomado para su fortalecimiento. Establecimiento del Sistema Específico de Valoración del Riesgo Institucional. 3.1. Descripción general. Se deberán establecer, previo al funcionamiento del SEVRI, los siguientes componentes: a) Marco orientador. b) Ambiente de apoyo. c) Recursos. d) Sujetos interesados. e) Herramienta para la administración de información. 86 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. Se deberá iniciar con el componente de marco orientador del SEVRI, específicamente con la política del riesgo institucional y la estrategia del SEVRI. El componente de herramienta para la administración de información deberá instituirse sólo cuando el resto de los componentes se hayan establecido. 3.2. Marco orientador. El marco orientador del SEVRI debe comprender la política de valoración del riesgo institucional, la estrategia del SEVRI y la normativa interna que regule el SEVRI. La política de valoración del riesgo institucional deberá contener, al menos: a) el enunciado de los objetivos de valoración del riesgo el compromiso del jerarca para su cumplimiento, b) lineamientos institucionales para el establecimiento de niveles de riesgo aceptables, y c) la definición de las prioridades de la institución en relación con la valoración del riesgo. La estrategia del SEVRI deberá especificar las acciones necesarias para establecer, mantener, perfeccionar y evaluar el SEVRI y los responsables de su ejecución. También deberá contener los indicadores que permitan la evaluación del SEVRI tanto de su funcionamiento como de sus resultados. La normativa interna que regule el SEVRI deberá contener en el ámbito institucional, al menos: los procedimientos del Sistema, los criterios que se requieran para el funcionamiento del SEVRI, la estructura de riesgos institucional y los parámetros de aceptabilidad de riesgo. 3.3. Ambiente de apoyo. En cada institución deberá existir una estructura organizacional que apoye la operación del SEVRI, así como promoverse una cultura favorable al efecto. Para lo anterior, se deberá promover al menos: a) Conciencia en los funcionarios de la importancia de la valoración del riesgo para el cumplimiento de los objetivos institucionales. b) Uniformidad en el concepto de riesgo en los funcionarios de la institución. c) Actitud proactiva que permita establecer y tomar acciones anticipando las consecuencias que eventualmente puedan afectar el cumplimiento de los objetivos. d) Responsabilidades definidas claramente en relación con el SEVRI para los funcionarios de los diferentes niveles de la estructura organizacional. e) Mecanismos de coordinación y comunicación entre los funcionarios y las unidades internas para la debida operación del SEVRI. 3.4. Recursos. El SEVRI deberá contar con los recursos financieros, humanos, técnicos, materiales y demás necesarios para su establecimiento, operación, perfeccionamiento y evaluación, según lo dispuesto en esta normativa. Los recursos que se asignen al SEVRI deberán obtenerse, de forma prioritaria, de los existentes en la institución en el momento de determinar su requerimiento. En caso de no contar con algún recurso particular, deberá adquirirse en tanto sus beneficios excedan los costos 87 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. cumpliendo los procesos presupuestarios y contractuales respectivos. En el diseño, operación, evaluación y seguimiento del SEVRI se deberán seleccionar y capacitar los recursos humanos que garanticen el cumplimiento del objetivo del Sistema. El presupuesto institucional deberá contemplar los recursos financieros necesarios para la implementación de la estrategia del SEVRI y las provisiones y reservas para la ejecución de las medidas para la administración de riesgos. 3.5 Sujetos interesados. Los sujetos interesados deberán ser contemplados en el diseño, ejecución, evaluación y seguimiento de las actividades del SEVRI. Dentro de estas consideraciones, la institución deberá tomar en cuenta los objetivos y percepciones de estos sujetos en el diseño del SEVRI. También deberá valorar la participación de estos sujetos de forma directa en el establecimiento, funcionamiento, evaluación y perfeccionamiento del SEVRI. Para estos efectos, cada institución podrá realizar consultas de oficio a estos grupos o, bien, considerará la incorporación de opiniones o sugerencias que éstos le hagan llegar. Los sujetos interesados pueden ser internos o externos a la institución, y dentro de éstos, deberán incluirse al menos los siguientes grupos: a) población objetivo de la institución, b) funcionarios de la institución, y c) sujetos de derecho privado que sean custodios o administradores de fondos públicos otorgados por la institución, d) fiduciarios encargados de administrar fideicomisos constituidos con fondos públicos. Los sujetos que forman parte de c) y d) deberán, al menos: a) Brindar de forma periódica la información que requiera la institución que otorga los fondos o la que actúe como fideicomitente, para determinar los riesgos asociados a dichos recursos. b) Estar anuentes a establecer las medidas para la administración de riesgos en relación con los recursos que recibe, según lo defina la institución que otorga los fondos o la que actúe como fideicomitente. 3.6. Herramienta de apoyo para la administración de información. Se deberá establecer una herramienta para la gestión y documentación de la información que utilizará y generará el SEVRI, la cual podrá ser de tipo manual, computadorizada o una combinación de ambos. Esta herramienta deberá contar con un sistema de registros de información que permita el análisis histórico de los riesgos institucionales y de los factores asociados a dichos riesgos. El diseño de la herramienta, en términos de su naturaleza y complejidad, deberá contemplar, al menos los siguientes aspectos: a) relación costo beneficio, b) volumen de información que debe procesar, c) complejidad de los procesos organizacionales, y d) presupuesto institucional. En relación con este componente se deberá considerar lo establecido 88 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 4. en el artículo 16 de la Ley General de Control Interno sobre los Sistemas de Información y, en caso de optar por el uso de sistemas de información computadorizados, se deberán también aplicar las normas dictadas al efecto por la Contraloría General de la República. Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional. 4.1. Descripción general. Una vez establecidos los componentes del SEVRI, se deberán ejecutar las actividades para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales. El orden de ejecución de las actividades debe obedecer al establecido en la presente normativa. Las actividades para la documentación y comunicación de riesgos deberán realizarse, desde el inicio de operación del SEVRI, de forma continua y paralela al resto de las actividades que ejecuta el SEVRI. 4.2. Identificación de riesgos. Se deberá identificar por áreas, sectores, actividades o tareas, de conformidad con las particularidades de la institución, lo siguiente: a) Los eventos que podrían afectar de forma significativa el cumplimiento de los objetivos institucionales. Estos deberán organizarse de acuerdo con la estructura de riesgos institucional previamente establecida. b) Las posibles causas, internas y externas, de los eventos identificados y las posibles consecuencias de la ocurrencia de dichos eventos sobre el cumplimiento de los objetivos. c) Las formas de ocurrencia de dichos eventos y el momento y lugar en el que podrían incurrir. d) Las medidas para la administración de riesgos existentes que se asocian con los riesgos identificados. La identificación de riesgos debe vincularse con las actividades institucionales de planificación-presupuestación, estrategia, evaluación y monitoreo del entorno. 4.3. Análisis de riesgos. Para los eventos identificados se deberá determinar: a) su posibilidad de ocurrencia, b) la magnitud de su eventual consecuencia, c) su nivel de riesgo, d) sus factores de riesgo, y e) las medidas para su administración. El análisis de la consecuencia de los eventos identificados deberá considerar los posibles efectos negativos y positivos de dichos eventos. El nivel de riesgo deberá obtenerse bajo dos escenarios básicos: sin medidas para la administración de riesgos y con aquellas existentes en la institución. El análisis que se realice puede ser cuantitativo, cualitativo o una combinación de ambos. En cualquier caso, los beneficios del tipo de análisis que se utilice deberán ser mayores que sus costos de aplicación. 89 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 4.4. Evaluación de riesgos. Los riesgos analizados deberán ser priorizados de acuerdo con criterios institucionales dentro de los cuales se deberán considerar, al menos los siguientes: a) el nivel de riesgo, b) grado en que la institución puede afectar los factores de riesgo; c) la importancia de la política, proyecto, función o actividad afectado; y d) la eficacia y eficiencia de las medidas para la administración de riesgo existentes. En relación con los niveles de riesgo, deberá determinarse cuáles se ubican dentro de la categoría de nivel de riesgo aceptable por medio de la aplicación de los parámetros de aceptabilidad de riesgos institucionales previamente definidos. Cuando esto ocurra, se podrá optar por la retención de dichos riesgos siempre y cuando sean revisados, documentados y comunicados de acuerdo con lo establecido en las Directrices 4.6, 4.7 y 4.8 de esta normativa. Los niveles de riesgo que no se ubiquen dentro de la categoría de riesgo aceptable deberán administrarse de acuerdo con lo establecido en la Directriz 4.5. 4.5. Administración de riesgos. A partir de la priorización de riesgos establecida, se debe evaluar y seleccionar la o las medidas para la administración de cada riesgo, de acuerdo con criterios institucionales que deberán contener al menos los siguientes: a) la relación costo-beneficio de llevar a cabo cada opción; b) la capacidad e idoneidad de los entes participantes internos y externos a la institución en cada opción; c) el cumplimiento del interés público y el resguardo de la hacienda pública; y d) la viabilidad jurídica, técnica y operacional de las opciones. Se deberá valorar medidas dirigidas a la atención, modificación, transferencia y prevención de riesgos. En los casos en que sea imposible utilizar este tipo de medidas o las disponibles impliquen un costo mayor a su beneficio, la administración podrá retener dichos riesgos. Las medidas para la administración de riesgos seleccionadas deberán: a) Servir de base para el establecimiento de las actividades de control del sistema de control interno institucional. b) Integrarse a los planes institucionales operativos y planes de mediano y largo plazos, según corresponda. c) Ejecutarse y evaluarse de forma continua en toda la institución. 4.6. Revisión de riesgos. En relación con los riesgos identificados, se deberá dar seguimiento, al menos, a: a) el nivel de riesgo; b) los factores de riesgo; c) el grado de ejecución de las medidas para la administración de riesgos; d) la eficacia y la eficiencia de las medidas para la administración de riesgos ejecutadas. 90 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 5. La revisión de riesgos deberá ejecutarse de forma continua y la información que se genere en esta actividad deberá servir de insumo para: a) elaborar los reportes del SEVRI; b) ajustar de forma continua las medidas para la administración de riesgos; y c) evaluar y ajustar los objetivos y metas institucionales. 4.7. Documentación de riesgos. Se deberá documentar la información sobre los riesgos y las medidas para la administración de riesgos que se genere en cada actividad de la valoración del riesgo (identificación, análisis, evaluación, administración y revisión). Deberá de establecerse registros de riesgos que incluyan, como mínimo, la información sobre su probabilidad, consecuencia, nivel de riesgo asociado y medidas seleccionadas para su administración. En relación con las medidas para la administración de riesgos deberá documentarse como mínimo su descripción, sus resultados esperados en tiempo y espacio, los recursos necesarios y responsables para llevarlas a cabo. Se deberá velar por que los registros sean accesibles, comprensibles y completos y que la documentación se realice de forma continua, oportuna y confiable. Toda esta información deberá servir de base para la elaboración de los reportes del SEVRI dirigidos a los sujetos interesados y podrá ser requerida por la Contraloría General de la República o la auditoría interna, por lo que deberá de estar actualizada en todo momento. 4.8. Comunicación de riesgos. Se deberá brindar información a los sujetos interesados, internos y externos, y a la institución en relación con los riesgos institucionales. La comunicación deberá darse en ambas direcciones, mediante informes de seguimiento y de resultados del SEVRI que se elaboran periódicamente y mediante la operación de mecanismos de consulta a disposición de los sujetos interesados. La información que se comunique deberá ajustarse a los requerimientos de los grupos a los cuales va dirigida y servir de base para el proceso de rendición de cuentas institucional. Los reportes del SEVRI deberá contener como mínimo la información que de acuerdo con la Directriz 4.7., debe documentarse y debe estar disponible para los sujetos interesados. Disposiciones finales en relación con el Sistema Específico de Valoración del Riesgo Institucional. 5.1. Régimen sancionatorio. El jerarca, los titulares subordinados y los demás funcionarios públicos que debiliten con sus acciones el SEVRI u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según esta normativa técnica, estarán sujetos al régimen sancionatorio establecido en el artículo 39 de la Ley General de Control Interno. 5.2. Obligatoriedad. De conformidad con el artículo 12 de la Ley Orgánica de la Contraloría General de la República y los artículos 3º y 18 de la Ley General de Control Interno, esta normativa es de acatamiento 91 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. obligatorio. Cualquier otra normativa sobre valoración del riesgo que emitan entes u órganos que por ley regula o ejercen control externo sobre sujetos componentes de la Hacienda Pública, será complementaria a las emitidas por la Contraloría General, siempre y cuando su contenido no se oponga a lo establecido en la presente normativa, la cual prevalecerá. 5.3. Implementación. Las presentes Directrices deben ser implementadas en forma gradual y programada por las administraciones, de conformidad con los parámetros que definirá la Contraloría General de la República. Para esos efectos la División de Fiscalización Operativa y Evaluativa de ese órgano contralor, determinará a través de la emisión de circulares específicas, la forma y el momento en que cada Administración activa deberá ir implementando estas Directrices. 5.4. Vigencia. Estas Normas entrarán a regir a partir del 1º de marzo del 2006. Publíquese.—Marta Eugenia Acosta Zúñiga, Contralora General de la República a. í.—1 vez.—C-263900.—(54442). ANEXO NO.1: Diagrama Sistema Específico de Valoración del Riesgo Institucional. 92 Consejo Nacional de Rehabilitación y Educación Especial Propuesta del Marco Orientador del SEVRI-CNREE, a consideración del Jerarca Superior institucional. 93