1. INTRODUCCIÓN Como parte de las acciones orientadas al
Anuncio
PCCI-CI-G-02 Rige a partir de Enero, 2014 Elaborado por: Encargada de C.I Silvia Ramírez Moreira. Diciembre, 2013 Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Unidad de Planificación, Gestión de Calidad y Control Interno Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Revisado por: Jefe Unidad de PCCI Adrián Gómez Díaz. Diciembre, 2013. Página 1 de 28 Versión: 01 Revisión: 02 Aprobado por: Dirección SFE Magda González Arroyo. Diciembre, 2013 1. INTRODUCCIÓN Como parte de las acciones orientadas al cumplimiento de la Ley General de Control Interno No. 8292, la Contraloría General de la República (CGR) instruye a las Instituciones Públicas a contar con un Sistema Específico de Valoración de Riesgo Institucional (SEVRI). Este sistema permite a las instituciones la identificación adecuada del nivel de riesgo institucional y las acciones de mitigación necesarias para minimizar el efecto de todos aquellos eventos que puedan poner en riesgo el cumplimiento de los objetivos institucionales. Esta obligatoriedad no recae solamente sobre el jerarca y los titulares subordinados, sino también sobre todos los funcionarios que con sus acciones pongan en riesgo el cumplimiento de estos objetivos. Bajo este marco el Servicio Fitosanitario del Estado (SFE) estableció la declaración de la política para la implementación del SEVRI y los lineamientos para su cumplimiento; tomando como referencia el Instructivo Metodológico para Administrar el Riesgo en el Ministerio de Agricultura y Ganadería (MAG) y el Oficio DVM-XC-027-2013, mediante el cual la señora Viceministra le permite al SFE ajustar las metodologías e instrumentos de acuerdo a sus necesidades. 2. OBJETIVO Establecer los lineamientos para la implementación del SEVRI en el SFE. 3. ALCANCE Aplica para todos los funcionarios del SFE a nivel nacional. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 2 de 28 Versión: 01 Revisión: 02 4. DEFINICIONES Administración de riesgos: Cuarta actividad del proceso de valoración de riesgo que consiste en la identificación, evaluación, selección y ejecución de medidas para la administración de riesgos. Análisis de riesgos: Consiste en calificar cada uno de los riesgos identificados en el Procedimiento: Identificación de riesgos. Causa: Manifestación, característica o variable mensurable u observable que indica la presencia de un riesgo, lo provoca o modifica su nivel. Comunicación de riesgos: Actividad permanente del proceso de valoración de riesgo que consiste en la preparación, la distribución y la actualización de información oportuna sobre los riesgos a los sujetos interesados. Consecuencia: Conjunto de efectos derivados de la ocurrencia de un evento expresado cualitativa o cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias. Documentación de riesgos: Actividad permanente del proceso de valoración de riesgo que consiste en el registro y la sistematización de información asociada con los riesgos. Estructura de Riesgos: Clases o categorías en que se agrupan los riesgos en la institución, las cuales pueden definirse según causa de riesgo, área de impacto, magnitud del riesgo u otra variable. En el SFE se utiliza la estructura de riesgos según sus causas que se adjunta en el Anexo No. 1 elaborada por el Ministerio de Agricultura y Ganadería (MAG). Evaluación del riesgo: Tercerea actividad del proceso de valoración de riesgo que consiste en la determinación de las prioridades para la administración de riesgos. Evento: Incidente o situación que podría ocurrir en un lugar específico en un intervalo de tiempo en particular. Exposición al riesgo inherente: Se obtiene al multiplicar los valores de probabilidad de ocurrencia por impacto de cada riesgo identificado. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 3 de 28 Versión: 01 Revisión: 02 Identificación de riesgos: Primera actividad del proceso de valoración de riesgos que consiste en la determinación y la descripción de los eventos de índole interno y externo que pueden afectar de manera significativa el cumplimiento de los objetivos fijados. Impacto: Es la afectación que ocasionaría un riesgo en caso de que se haga realidad. Medida para la administración de los riesgos: Disposición razonada definida por la Institución previo a la ocurrencia de un evento para modificar, transferir, prevenir, atender o retener riesgos. Nivel de riesgo: Grado de exposición al riesgo que se determina a partir del análisis de la probabilidad de ocurrencia del evento y de la magnitud de su consecuencia potencial sobre el cumplimiento de los objetivos. Nivel de riesgo residual: Es el nivel de riesgo una vez de analizadas las medidas de control vigentes. Se obtiene al analizar la probabilidad y el impacto teniendo en cuenta la efectividad de los controles existentes. Parámetros de aceptabilidad de riesgos: Criterios que permiten determinar si un nivel de riesgo específico se ubica dentro de la categoría de nivel de riesgo aceptable. Priorización de riesgos: Calificación de los riesgos por orden de prioridad. Para esta priorización deben tenerse en cuenta los siguientes criterios: Nivel de riesgo residual. Prioridades definidas por la Institución. Grado en que la Institución puede aplicar medidas para su control. Probabilidad de ocurrencia: Es la estimación de la posibilidad de que un riesgo se materialice. Riesgo: Probabilidad de que ocurran eventos que tendrían consecuencias sobre el cumplimiento de los objetivos fijados. Riesgos del Entorno o Externos: Son aquellos que surgen de fuerzas externas que podrían afectar la consecución de los objetivos del SFE. En este tipo de riegos se pueden citar: PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 4 de 28 Versión: 01 Revisión: 02 Riegos Políticos, Económico Financieros, Sociales, Tecnológicos, Industria Comercio, Ambiente, Reputación. Riesgos Internos: Son los que surgen al interno del SFE, comprende los riesgos relacionados tanto con la parte operativa como técnica del SFE, incluye riesgos provenientes de la definición de procesos estratégicos, operativos, financieros, de inversión, de tecnología de información, de adquisición de bienes y servicios, de recursos humanos, y de supervisión de concesiones. Revisión de riesgos: Quinta actividad del proceso de valoración de riesgos que consiste en el seguimiento de los riesgos y de la eficacia y eficiencia de las medidas para la administración de riesgos ejecutadas. Sujetos interesados: Personas físicas o jurídicas, internas o externas a la institución, que pueden afectar o ser afectadas directamente por las decisiones y acciones institucionales. 5. MARCO LEGAL Y TÉCNICO Cuadro #1. Documentos de relacionados o de referencia CÓDIGO NOMBRE DEL DOCUMENTO O REGISTRO GC-EX-10 Ley 8292 del 31 de julio de 2002 “Ley General de Control Interno” GC-EX-42 Directriz D-3-2005-CO-DFOE “Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI)”. GC-EX-44 Norma N-2-2009-CO-DFOE, del 26 de enero de 2009 “Normas de control interno para el Sector Publico”. PCCI-CI-MO-01 Modelo del Sistema Control Interno del SFE PCCI-CI-G-01 Guía de Implementación del Modelo de Control Interno del SFE PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 5 de 28 Versión: 01 Revisión: 02 6. MARCO ORIENTADOR 6.1. Compromiso de la Dirección La Dirección del SFE se compromete a que el SEVRI, se constituya en un mecanismo esencial de la administración activa. Para ello, debe lograr la implementación y consolidación de dicho sistema, proporcionando los recursos necesarios y la participación activa que garantice una seguridad razonable en el cumplimiento de los objetivos institucionales. 6.2. Política del SEVRI La Dirección y los funcionarios del SFE se comprometen a implementar las acciones identificadas en el SEVRI, que conduzcan a disminuir los riesgos que pueden interferir en el cumplimiento de los objetivos institucionales. 6.3. Lineamientos de la política de administración del riesgo Para la aplicación de la metodología del Sistema Específico de Valoración de Riesgos Institucionales (SEVRI), se deben tener en cuenta los siguientes lineamientos: a) El Área de Control Interno de la Unidad de Planificación, Gestión de Calidad y Control Interno (PCCI) del SFE será la responsable de coordinar el proceso de establecimiento, mantenimiento y fortalecimiento del SEVRI. La Unidad de PCCI no sustituye las responsabilidades de los respectivos Titulares Subordinados. b) La Comisión Control Interno del SFE, establecida mediante Oficio DM-982-09, con fecha 27 de octubre del 2009, conformada por la Dirección y los Titulares Subordinados será la responsable de establecer, mantener, perfeccionar y evaluar el Sistema de Control Interno. c) El proceso de identificación, análisis, evaluación y administración de riesgos debe realizarse en todos los Departamentos como un proceso totalmente participativo. d) Cada Titular Subordinado es responsable de establecer en sus respectivos Departamento y Unidades una cultura de planificación con base en riesgos. PCCI-CI-G-02 e) Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 6 de 28 Versión: 01 Revisión: 02 Será responsabilidad de los respectivos Titulares Subordinados y sus respectivos colaboradores, dar seguimiento al cumplimiento de los Planes de Administración de Riesgos que se hayan definidos para su respectivo departamento. f) Deberán remitirse al Área de Control Interno de la Unidad de PCCI informes semestrales (al 30 de junio y 31 de diciembre) sobre el cumplimiento de los planes de administración de riesgos. Estos informes deben remitirse a más tardar el día diez de cada semestre. g) Será responsabilidad de todo funcionario del SFE colaborar en las actividades para el establecimiento, mantenimiento y perfeccionamiento del SEVRI. h) Se realizarán los esfuerzos para asignar los recursos financieros, humanos, técnicos para establecer, mantener, perfeccionar y evaluar el SEVRI y para la ejecución del Plan de Administración de Riesgos. i) Los responsables de los diferentes departamentos y/o unidades junto con el personal a cargo, deben identificar los riesgos que puedan afectar el desarrollo de las actividades de los procesos y por ende el logro de los objetivos. j) Los responsables de los diferentes departamentos y/o unidades deben determinar las medidas y controles que permitan disminuir el impacto y/o la probabilidad de ocurrencia de los riesgos. k) Le corresponde a todos los responsables de departamentos y/o unidades, identificar e implementar acciones preventivas, cuando se ubique en zona de riesgo inaceptable (altos). l) Cuando el cálculo del riesgo los ubique en zona de riesgo aceptable, tolerable o moderado (medios y bajos), no requerirá implementar acciones preventivas, sin embargo se debe continuar con la aplicación de los controles establecidos y el seguimiento del comportamiento del riesgo. m) Cuando los riesgos se clasifiquen como altos, los responsables de los departamentos y/o unidades deben establecer planes de mitigación que permitan continuar con el desarrollo de las actividades y el logro de los objetivos. PCCI-CI-G-02 n) Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 7 de 28 Versión: 01 Revisión: 02 Los departamentos y/o unidades que hayan identificado riesgos que no posean controles, deben diseñar controles para evitar la materialización del riesgo o establecer acciones preventivas para eliminar la causa del posible riesgo. o) Las acciones preventivas, deben fundamentarse en la comprensión y origen de las causas que generan el riesgo, así como en el análisis de las interrelaciones de los departamentos y/o unidades. p) Dado que todos los departamentos y/o unidades son susceptibles de ser afectados por la ocurrencia de eventos de riesgo, los responsables de los procesos deben adelantar la gestión de sus riesgos y reportar a la Unidad de PCCI, la materialización de ellos cada vez que se presenten, para efectos de los controles, registros y seguimiento correspondiente. q) Cuando se diseñen nuevos controles, los responsables de los departamentos y/o unidades deben comunicarlo a la Unidad de PCCI, para efectos de actualización de los mapas de riesgos. r) Se revisarán al menos una vez al año los riesgos establecidos a nivel institucional y se ajustarán si es necesario para adaptarlos a los cambios, situaciones o circunstancias por las que pueda atravesar la institución. s) Para el adecuado fortalecimiento del Ambiente de Apoyo al SEVRI, la Dirección del SFE definió en el marco de la estructura organizacional a la Unidad de PCCI como responsable de la coordinación del proceso de fortalecimiento del Sistema. Para ello se deberá realizar: Procesos participativos e involucramiento de todos los funcionarios del SFE. Implementación del SEVRI como proceso permanente. Fortalecimiento de las competencias en el capital humano del SFE sobre cada una de las actividades del SEVRI, (identificación, análisis, evaluación, administración, revisión, comunicación y documentación de riesgos) y su importancia para el logro de objetivos institucionales. Uniformidad en el concepto de riesgo en los funcionarios del SFE. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 8 de 28 Versión: 01 Revisión: 02 Fortalecer la actitud proactiva que permita establecer y tomar acciones anticipando las consecuencias que eventualmente puedan afectar el cumplimiento de los objetivos. 6.3.1. Prioridades Se considera actividad prioritaria el fortalecimiento del proceso de capacitación en materia del SEVRI con el objetivo de poner en funcionamiento el Sistema de Valoración de Riesgos de la SFE. Se trabajará la valoración de riesgos a nivel de los procesos ejecutados por los Departamentos y/o unidades de la SFE. Será prioritario fortalecer el ambiente de apoyo necesario para el desarrollo de las etapas de identificación, análisis, evaluación, administración, revisión, documentación y comunicación del SEVRI el SFE. 6.3.2. Indicadores para evaluación del SEVRI Para el año 2013-2014 se trabajarán los siguientes indicadores: a) ( Dónde: NMMRE = N° de Medidas de Mitigación de Riesgos Ejecutadas NMMRP = N° de Medidas de Mitigación de Riesgos Planificadas ) PCCI-CI-G-02 6.3.3. Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 9 de 28 Versión: 01 Revisión: 02 Normativa 6.3.3.1. CONSIDERANDOS: 1. Que el artículo 7 de la Ley General de Control Interno Nº 8292 del 31 de julio de 2002, establece que la CGR y los órganos sujetos a su fiscalización deberán disponer de sistemas de control interno y proporcionar seguridad en el cumplimiento de esas atribuciones y competencias institucionales. 2. Que el artículo 14 de la Ley General de Control Interno Nº 8292 establece que son deberes del Jerarca y los Titulares Subordinados entre otros, los de a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos institucionales, b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran y decidir las acciones que se tomarán, c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar. 3. Que el artículo 18 de la Ley General de Control Interno dispone que el Jerarca y los Titulares Subordinados deberán establecer un Sistema Específico de Valoración del Riesgo Institucional (SEVRI) que permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático a fin de analizar y administrar el nivel de dichos riesgos. 4. Que en la directriz D-3-2005-CO-DFOE (R-CO-64-2005) publicada en La Gaceta 134, de 12 de julio de 2005, la CGR emitió los criterios que servirán de base para el establecimiento y funcionamiento del SEVRI en los entes y órganos seleccionados, que serán obligatorios y prevalecerán sobre los que se les opongan. 5. Que el artículo 19 la Ley Nº 8292 establece que el Jerarca y los respectivos Titulares Subordinados son responsables del SEVRI, debiendo adoptar las medidas necesarias para el adecuado funcionamiento del SEVRI, el cual permita ubicar a la institución al menos en un nivel de riesgo institucional aceptable y que de acuerdo con el artículo 39 PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Versión: 01 Página 10 de 28 Revisión: 02 de esa misma Ley, el incumplimiento de este deberá ser causal de responsabilidad administrativa y civil. 6. Se implementará la estructura de riesgos establecida por el MAG, la cual agrupa las clases o categorías en que han sido clasificados los riesgos a nivel Institucional. Para su definición se tomó en consideración entre otros, el criterio experto de los miembros de la Comisión Gerencial de Control Interno del MAG. Dichas categorías son: Riesgo de Entorno: Son condiciones externas a la institución que puedan afectar en forma importante los objetivos y servicios del MAG. Por ejemplo: Conflicto de competencias, Cambios de la normativa nacional e internacional, Político, Catástrofes, Cambios en la demanda, Coordinación interinstitucional, Innovación tecnológica. Riesgos Operativos: Es el riesgo que surge diariamente en la medida que se procesan las transacciones. Se refiere a ineficiencia de operaciones, información inexacta, procesos inadecuados e insuficientes, uso inapropiado e ineficiente de recursos. Es el riesgo de que la puesta en marcha de la política Institucional esté condicionada por procesos y procedimientos inadecuados. Por ejemplo: Financieros, Alineamiento estratégico, Cumplimiento, Planificación, Competencias internas y límites de autoridad, Satisfacción del cliente, Capacidad de gestión. Riesgo de Capital Humano: Son los riesgos relacionados con el recurso humano de la institución tanto en su selección, desarrollo y desempeño como en el ambiente en que se desarrolla y el impacto de esas variables en el cumplimiento de los objetivos institucionales. Por ejemplo: Gestión del recurso humano, Liderazgo y dirección, Desempeño, Condiciones laborales, Integridad. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 11 de 28 Versión: 01 Revisión: 02 Riesgos de Información: Son los riesgos relacionados con la calidad, cantidad, los medios de transmisión y custodia de la información que afectan las transacciones, operaciones y toma de decisiones. Incluye riesgos potenciales de pérdida o uso indebido, disponibilidad de información, almacenaje de información, comunicación, interrupción del servicio, Infraestructura, acceso a la información. 6.3.4. Parámetros de aceptabilidad de riesgos Para el SFE se definen los siguientes criterios que permitan determinar si un nivel de riesgo específico se ubica dentro de la categoría de nivel de riesgo aceptable, los cuales serán de acatamiento obligatorio: a) Serán considerados aceptables y por tanto se retienen y no se administran los riesgos que resultaren calificados con nivel “Bajo”. b) Los riesgos calificados con nivel “Medio”, como resultado de la evaluación realizada, deben analizarse, con la Jefatura inmediata superior, para determinar la viabilidad de administrarlos. c) No podrá considerarse aceptable, y por tanto se administra, un riesgo que resultare calificado con un nivel “Alto”, por tanto debe establecerse medidas para mitigar los riesgos. Rige a partir de Enero, 2014 PCCI-CI-G-02 6.3.5. Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 12 de 28 Versión: 01 Revisión: 02 AMBIENTE DE APOYO El SFE cuenta con una estructura organizativa para el fortalecimiento del Sistema de Control Interno consistente en: 1) Dirección. 2) Titulares subordinados. 3) Comisión de Control Interno SFE. 4) Unidad de Planificación, Gestión de Calidad y Control Interno (PCCI). 5) Enlaces de Control Interno, Calidad y Planificación. 6) Sistema de planificación institucional. 6.3.6. RECURSOS El SFE cuenta con los recursos financieros, humanos, técnicos, materiales y demás necesarios para su establecimiento, operación, perfeccionamiento y evaluación del SEVRI, según lo dispuesto en la normativa vigente. En forma prioritaria se asignarán los recursos existentes en el momento de determinar su requerimiento. La Dirección y los titulares subordinados deberán incluir al planificar y presupuestar, los recursos que sean necesarios para el funcionamiento del sistema así como para la implementación de las acciones identificadas para la gestión de los riesgos. 6.3.7. SUJETOS INTERESADOS Se refiere a aquellas personas físicas o jurídicas, internas y externas a la institución que pueden afectar o ser afectados directamente por las decisiones y acciones institucionales, y que el SFE deberá considerar en el SEVRI. En consecuencia serán considerados sujetos interesados del SFE los siguientes: Exportadores Importadores Funcionarios del SFE Rige a partir de Enero, 2014 PCCI-CI-G-02 6.3.8. Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Expendedores Proveedores Otras instituciones del Sector vinculadas con el SFE Página 13 de 28 Versión: 01 Revisión: 02 HERRAMIENTA DE APOYO PARA LA ADMINISTRACIÓN DE INFORMACIÓN Para administrar la información relativa a los riesgos del SFE se utilizará: 1. En forma manual utilizando hojas de Excel diseñadas para tal efecto. 2. La herramienta desarrollada e implementada por el Ministerio de Agricultura y Ganadería (MAG) denominada: Sistema Específico de Valoración de Riesgo Institucional del Ministerio de Agricultura y Ganadería “SEVRIMAG”. Esta herramienta será de uso obligatorio para el registro y actualización de los riesgos institucionales. 6.3.9. a) RESPONSABILIDADES EN EL SEVRI El MAG, emite las directrices de aplicación en materia del Sistema Específico de Valoración del Riesgo Institucional. b) La Dirección es responsable de pedir cuentas sobre el cumplimiento de lo dispuesto en el Marco Orientador para el SEVRI a todas las dependencias del SFE. c) La Dirección y los Titulares Subordinados, son responsables de establecer y mantener en funcionamiento el Sistema de Valoración del Riesgo del SFE. d) La Dirección es responsable de velar por el cumplimiento de la política de valoración del riesgo y de la estrategia institucional bajo la apropiada solicitud de rendición de cuentas. e) Los Titulares Subordinados son responsables de participar en forma activa en la valoración del riesgo de los procesos prioritarios. PCCI-CI-G-02 f) Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 14 de 28 Versión: 01 Revisión: 02 Los Titulares Subordinados son responsables de tomar en consideración los resultados del SEVRI para la toma de decisiones y el mejoramiento continuo en la calidad de los procesos y servicio al usuario. g) Los Titulares Subordinados serán responsables de incorporar la valoración de riesgos en los objetivos y metas que se definan para el largo, mediano y corto plazo, acorde con los planes operativos, estratégicos y nacionales que se definan. h) Los Titulares Subordinados son responsables de desarrollar cada una de las actividades y etapas de la valoración de riesgo en los procesos que tiene bajo su responsabilidad, así como motivar y promover la participación activa de los funcionarios que participan en el proceso. i) Los Titulares Subordinados y sus colaboradores son responsables de darle seguimiento a la ejecución del plan de mitigación de riesgos formulado. j) Los Titulares Subordinados y sus colaboradores son responsables de darle seguimiento a cada uno de los elementos que integran la valoración de riesgos que se ajuste a la realidad y necesidad según la lectura del entorno externo e interno. k) Los funcionarios son responsables de participar y apoyar activamente en el funcionamiento del Sistema de Valoración del Riesgo del SFE. l) La Unidad de PCCI, es responsable de coordinar, coadyuvar, promover el proceso de fortalecimiento, mantenimiento, y evaluación del Sistema Específico de Valoración del Riesgo, en cada una de sus actividades del SFE. m) El grupo de enlace con la Unidad de PCCI contribuirá en la implementación del SEVRI en los departamentos o unidades respectivas. n) La Unidad de PCCI es responsable de realizar el seguimiento institucional de la ejecución de los planes de mitigación de riesgos del SFE, una vez que cuente con toda la información pertinente. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 15 de 28 6.4. FUNCIONAMIENTO DEL SEVRI 6.4.1. Criterios que se requieren para el funcionamiento del SEVRI Versión: 01 Revisión: 02 El SFE plantea los siguientes criterios para el funcionamiento del SEVRI: a) Integración del SEVRI La información obtenida de la valoración de riesgos, debe involucrarse en los sistemas de información institucionales con el fin de implementar mejoras en dichos sistemas, a partir de la evaluación y el seguimiento. b) Continuidad del SEVRI Se debe dar seguimiento a los planes de acción establecidos en la valoración del riesgo que permita el logro de los objetivos institucionales. c) Flexibilidad del sistema utilizado para la valoración del riesgo La herramienta debe adaptarse a los futuros cambios institucionales. d) Capacidad de procesamiento de la información Inicialmente se utilizará una herramienta diseñada en formato Excel para la aplicación y valoración de los riesgos. Posteriormente, se incorporará en el año 2013-2014, la información en la herramienta informática diseñada para almacenar la información referente a riesgos denominada SEVRIMAG. La cual estará disponible en la intranet del SFE para uso y consulta de los titulares subordinados, entre otros. PCCI-CI-G-02 6.4.2. Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 16 de 28 Versión: 01 Revisión: 02 IMPLEMENTACIÓN DEL SEVRI 6.4.2.1. Identificación del Riesgo Lo respectivos equipos deberán en la identificación de riesgos, determinar lo siguiente: a. Eventos que podrían afectar de forma significativa el cumplimiento de los objetivos institucionales, organizándolos de acuerdo con la estructura de riesgos institucional establecida. b. Las posibles causas, internas y externas, de los eventos identificados y las posibles consecuencias de la ocurrencia de dichos eventos sobre el cumplimiento de los objetivos. c. Las formas de ocurrencia de dichos eventos y el momento y lugar en el que podrían ocurrir. d. Las medidas para la administración de riesgos existentes que se asocian con los riesgos identificados. La identificación de riesgos debe vincularse con las actividades institucionales de planificación-presupuesto, estrategia, evaluación y monitoreo del entorno. Los titulares subordinados junto con los funcionarios a su cargo deben realizar la identificación de riesgos bajo el enfoque de criterio experto, identificando los eventos de riesgo asociados al proceso respectivo, y posteriormente se pasa a las siguientes etapas de la Valoración del Riesgo. En el Anexo 2 se adjunta la matriz para la identificación, análisis, evaluación y administración de los riesgos. PCCI-CI-G-02 6.4.2.2. Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 17 de 28 Versión: 01 Revisión: 02 Análisis de los Riesgos De los eventos identificados en el punto anterior se deberá determinar: Posibilidad de ocurrencia (probabilidad): Es la medida o descripción de la posibilidad de ocurrencia de un evento. Esta puede ser medida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya presentado nunca y sea considerado así por el criterio experto. Probabilidad Cualitativo Peso Descripción Alta 3 Muy factible que el evento se presente. Media 2 Es factible que el hecho se presente. Baja 1 Es poco factible que el hecho se presente. Magnitud de su eventual consecuencia (impacto): Consecuencias que puede ocasionar al SFE la materialización del riesgo. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 18 de 28 Versión: 01 Revisión: 02 Impacto Cualitativo Peso Descripción Si el hecho llegara a presentarse, tendría Crítico 5 impacto o efecto significativo y de gran consecuencia sobre la institución. Si el hecho llegara a presentarse tendría Alto 4 un importante impacto o efecto en la institución. Requiere atención 3 Si el hecho llegara a presentarse tendría un impacto o efecto en la institución. Si el hecho llegara a presentarse tendría Manejable 2 un impacto o efecto moderado en la institución. Si el hecho llegara a presentarse no Nulo 1 tendría efecto de relevancia o importancia en la institución. 6.4.2.3. Medidas para la administración del riesgo En el análisis de riesgos se deberá identificar los controles que a la fecha del estudio tiene implementado el SFE y que se consideren constituyen medidas para la administración del riesgo. En este espacio se debe especificar cuál es el control que la entidad tiene implementado para combatir, minimizar o prevenir el riesgo. Las medidas para administrar el riesgo se clasifican según la siguiente tabla. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 19 de 28 Versión: 01 Revisión: 02 Calidad de la Medida para administra el riesgo Cualitativo Excelente Muy Buena Peso 1 2 Buena 3 Regular 4 Deficiente 5 Descripción Controles que no requieren modificación. Los controles son apropiados pero se pueden mejorar. Los controles son apropiados parcialmente y se tienen que mejorar. Los controles no son muy apropiados y se tienen que mejorar. Los controles no son apropiados y se tienen que cambiar. PCCI-CI-G-02 6.4.2.4. Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 20 de 28 Versión: 01 Revisión: 02 Nivel de riesgo Los niveles de riesgo se clasifican en alto, medio y bajo, cuya descripción y peso se indica en la tabla siguiente. Nivel de riesgo Cualitativo Peso Descripción Grado de exposición al riesgo que indica que se Alto 3 requiere atención inmediata ya sea por ser muy probable la ocurrencia de los eventos o de efectos muy significativos. Grado de exposición al riesgo que indica que se Medio 2 requiere atención ya sea por ser probable la ocurrencia de los eventos o de efectos significativos. Grado de exposición al riesgo que indica que no Bajo 1 requiere atención inmediata ya sea por ser poco probable la ocurrencia de los eventos o de efectos no significativos. El nivel de riesgo descrito en la tabla anterior se obtiene como resultado de multiplicar el impacto por la probabilidad bajo dos escenarios, uno sin aplicar los controles existentes y otro ya considerando la calidad de dichos controles. El nivel de riesgo obtenido posterior a la aplicación de los controles existentes corresponde al riesgo residual previo al establecimiento de nuevas medidas de control. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 21 de 28 Versión: 01 Revisión: 02 Figura Nº1: Identificación de los niveles de riesgos según el impacto y la probabilidad de cada evento. IMPACTO MATRIZ DE RIESGOS 5 4 3 2 1 0 5 4 3 2 1 1 10 8 6 4 2 2 PROBABILIDAD 15 12 9 6 3 3 NIVEL DE RIESGO 6.4.2.5. 9 - 15 ALTA PROBABILIDAD CON ALTO IMPACTO 4-8 MEDIANA PROBABILIDAD CON MEDIANO IMPACTO 1-3 POCA PROBABILIDAD CON POCO CON POCO IMPACTO Administración de los riesgos A partir de los riesgos priorizados se evalúa y selecciona la o las medidas para la administración de cada riesgo dirigidas a la atención, modificación, transferencia y prevención de riesgos, de acuerdo con los siguientes criterios: a) Relación costo-beneficio de llevar a cabo cada opción. Costo de las posibles medidas a aplicar en comparación con la estimación de los beneficios que podría generar la administración de los riesgos. b) La capacidad e idoneidad de los entes participantes internos y externos a la institución en cada opción. c) Cumplimiento del interés público y el resguardo de la Hacienda Pública. PCCI-CI-G-02 d) Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 22 de 28 Versión: 01 Revisión: 02 Viabilidad jurídica, técnica y operacional de las opciones. Las medidas para la administración de riesgos seleccionadas deberán: a) Servir de base para el establecimiento de las actividades de control del sistema de control interno institucional. b) Integrarse en los planes institucionales operativos y planes de mediano y largo plazos según correspondan. c) Ejecutarse y evaluarse en forma continua en toda la institución. Posteriormente se definen los responsables de llevar a cabo las acciones especificando el grado de participación de las dependencias en el desarrollo de cada una de ellas. 6.4.2.6. Seguimiento El jerarca y titulares subordinados deberán incorporar como parte de la cultura organizacional, el utilizar el SEVRIMAG como una herramienta de gestión que coadyuve a lograr los objetivos y eventualmente a ajustar las metas. No debe considerarse como algo que está aparte de la gestión sino incorporada en la gestión; consecuentemente corresponde a estos funcionarios la revisión de riesgos de forma continua y la información que se genere en esta actividad deberá servir de insumo para: a. Elaborar los reportes del SEVRI; b. Ajustar de forma continua las medidas para la administración de riesgos; y c. Evaluar y ajustar los objetivos y metas institucionales. En relación con los riesgos identificados se deberá dar seguimiento al menos a: a. El nivel de riesgo; PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 23 de 28 Versión: 01 Revisión: 02 b. Los factores de riesgo; c. El grado de ejecución de las medidas para la administración de riesgos; d. La eficacia y la eficiencia de las medidas para la administración de riesgos ejecutadas. Conforme lo establecido en el marco orientador respecto de las revisiones de riesgos, las revisiones periódicas semestrales se realizarán para el 30 de junio y el 31 de diciembre, generando informes en fechas julio y enero, según corresponda. El resultado de la revisión deberá constar por escrito, soportado en el expediente respectivo y comunicado a la Unidad de Control Interno con copia al órgano evaluado. El SEVRIMAG deberá actualizarse por parte de los funcionarios responsables con los resultados obtenidos de las revisiones. La Unidad de PCCI realizará un informe semestral dirigido a la Dirección respecto de los riesgos a nivel institucional y otros asuntos relevantes a su gestión. 6.4.2.7. Documentación La información relativa a riesgos se generó en forma manual en hojas Excel. A partir del año 2013-2014 se inicia el procesamiento de la información con apoyo de la herramienta informática denominada “Sistema de Evaluación de Riesgo Institucional del MAG (SEVRIMAG)”. Dicho sistema registra toda la información correspondiente a las etapas anteriormente descritas y será la fuente de información oficial relativa a la gestión de riesgos en el MAG y por ende en el SFE. Será responsabilidad del jerarca y titulares subordinados velar porque la información que requiere el sistema en todas sus etapas, esté debidamente registrada, validada y actualizada y cuando expresamente sea requerido, documentado en forma impresa. El SEVRIMAG permite generar reportes que incluyen información sobre la descripción de los riesgos, probabilidad, consecuencias, nivel de riesgo asociado y respecto de las medidas seleccionadas para su administración, sus resultados esperados en tiempo y espacio, los recursos necesarios y los responsables para llevarlas a cabo. PCCI-CI-G-02 6.4.2.8. Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Página 24 de 28 Versión: 01 Revisión: 02 Comunicación de riesgos El sistema de información SEVRIMAG permite el acceso permanente mediante usuario y clave a los titulares subordinados para que visualicen y mantengan actualizada toda la información relativa a su área de responsabilidad para la gestión correspondiente. PCCI-CI-G-02 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Rige a partir de Enero, 2014 Página 25 de 28 Versión: 01 Revisión: 02 ANEXO 1 ESTRUCTURA DE RIESGOS Se utilizará la estructura de riesgos aprobada por la Comisión Gerencial de Control Interno del MAG, la cual se detalla a continuación: Nivel A Fuente de Riesgo General Nivel B Fuente de Riesgo Por área Descripción de la fuente de riesgo Riesgo de Entorno Son ① Conflicto condiciones externas a la competencias. institución que puedan afectar en forma importante los objetivos y servicios del SFE. de La posibilidad que ocurra eventos que afecten el cumplimiento de objetivos y la misión institucional del SFE, como producto de acciones llevadas a cabo por otras instituciones públicas o privadas, las cuales invaden el ámbito de competencia legal exclusivo del MAG y por ende del SFE. ② Cambios de la normativa La posibilidad que se genere reformas a la nacional e internacional. normativa nacional e internacional, que puedan afectar los objetivos institucionales o bien la vigencia del servicio. ③ Político Es la posibilidad de cambios en la política afectan los programas institucionales. ④ Catástrofes Refiere a la posibilidad de que se produzcan eventos como huracanes, terremotos, inundaciones, incendio, robo, accidente, entre otros, que amenazan la operatividad institucional, debido a la eventual atención de emergencias, que podrían incluso variar de una manera abrupta las programaciones, los objetivos y las estrategias de la entidad. ⑤ Cambios en la demanda. Es la posibilidad de que las necesidades y demandas del usuario superen la capacidad de respuesta del servicio oficial que brinda la institución. ⑥ Coordinación Es la posibilidad de que no se dé la integración de interinstitucional. las diferentes instituciones del Sector Agropecuario y otras instancias, en la atención a la clientela. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Nivel A Fuente de Riesgo General Versión: 01 Revisión: 02 Nivel B Fuente de Riesgo Por área ⑦ Innovación tecnológica. Riesgos Operativos Es el ① Financieros riesgo que surge diariamente en la medida que se procesan las transacciones. Se refiere a ineficiencia de operaciones, información inexacta, procesos inadecuados e insuficientes, uso inapropiado e ineficiente de recursos. Es el riesgo de que la puesta en marcha de la política Institucional esté condicionada por procesos y procedimientos inadecuados. Riesgos Operativos Página 26 de 28 Descripción de la fuente de riesgo La posibilidad de que los avances en materia tecnológica no estén acordes con el nivel alcanzado por la institución en este campo. La probabilidad de que ocurra eventos o situaciones relacionados con el flujo de efectivo, la pérdida total o parcial de un valor dado en garantía, no contar con efectivo en forma oportuna para cumplir con compromisos y adquirir bienes y servicios, así como la posibilidad de que no existencia un adecuado análisis de costos y que se produzca una inadecuada relación del presupuesto con los planes y objetivos institucionales, eventos que atenten contra la rapidez para realizar transferencias, etc. ② Alineamiento estratégico Posibilidad de que la visión del nivel jerárquico superior no sea compatible con las competencias institucionales. ③ Cumplimiento Posibilidad de eventos que transgredan u omitan el ordenamiento técnico o jurídico (políticas, procedimientos, leyes y regulaciones) que compete al MAG ④ Planificación. La probabilidad de que los procedimientos de planificación que realizan las diferentes departamentos o unidades de la institución no estén debidamente articulados con procesos similares que se realizan en otros ámbitos del sector público, así como en concordancia con las exigencias de los entes contralores como Ministerio de Hacienda, MIDEPLAN y Contraloría General de la República, lo que puede afectar la definición de prioridades y cumplimiento de objetivos y metas y su relación con el presupuesto así como el seguimiento a los planes y proyectos. Asimismo que la planificación no incluya los elementos de la planeación estratégica. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Nivel A Fuente de Riesgo General Página 27 de 28 Versión: 01 Revisión: 02 Nivel B Fuente de Riesgo Por área Descripción de la fuente de riesgo ⑤ Competencias internas y Es la posibilidad de que ocurra eventos o límites de autoridad situaciones como producto de una inadecuada definición de los límites del accionar de cada dependencia y de sus funcionarios (Principio de legalidad). Puede causar conflictos internos por extralimitación u omisión de funciones entre áreas de trabajo o entre departamentos o unidades. ⑥ Satisfacción del cliente Posibles situaciones que se generan relacionadas con la oportunidad y conformidad del producto o servicio que se brinda con respecto a las necesidades del cliente y que afectan la satisfacción y la imagen institucional. ⑦ Capacidad de gestión La eventual incapacidad del órgano o dependencia para cumplir con sus competencias, tiene que ver con la capacidad instalada para producir el bien o servicio y que amenaza el cumplimiento de los objetivos. Riesgo de Capital Humano: ① Gestión Son los riesgos relacionados humano con el recurso humano de la institución tanto en su selección, desarrollo y desempeño como en el ambiente en que se desarrolla y el impacto de esas variables en el cumplimiento de los objetivos institucionales. Riesgos de Capital Humano del recurso La posibilidad de que se genere una inapropiada planificación, selección, motivación, ubicación, formación y evaluación del personal, para el logro de los objetivos del SFE. ② Liderazgo y dirección La probabilidad de que los titulares subordinados, así como los funcionarios en general, no sean bien dirigidos por el superior en jerarquía. ③ Desempeño Posibilidad de que no exista adecuada la eficiencia, eficacia y aptitud del personal para el desempeño de las funciones. ④ Condiciones laborales La posibilidad de que exista o se genere un clima inadecuado para el desempeño laboral, y que haya políticas de rendimiento y compensación para el personal inapropiadas o del todo no existan en la organización. PCCI-CI-G-02 Rige a partir de Enero, 2014 Instructivo para la implementación del Sistema Específico de Valoración de Riesgos en el SFE Nivel A Fuente de Riesgo General Página 28 de 28 Versión: 01 Revisión: 02 Nivel B Fuente de Riesgo Por área ⑤ Integridad Riesgos de Información: Son ① Disponibilidad los riesgos relacionados con la información calidad, cantidad, los medios de transmisión y custodia de la información que afectan las transacciones, operaciones y toma de decisiones. Incluye riesgos potenciales de pérdida o uso indebido. ② Almacenaje información. Descripción de la fuente de riesgo La posibilidad de que se den acciones personales que atentan contra los deberes como funcionarios y que afectan el cumplimiento de objetivos institucionales. de La probabilidad de que no se disponga de la información adecuada en cantidad y calidad que sustente la toma de decisiones en los diferentes procesos. de La probabilidad que ocurran eventos o situaciones que generan perdida de información por uso y manejo inadecuado u archivo. Incumplimiento de políticas en cuanto a manejo de la información necesaria para la toma de decisiones. ③ Comunicación La posibilidad de eventos relacionados con el uso de canales ineficientes e inadecuados de comunicación que pueda distorsionar la información. O bien, suministro de información por parte de funcionarios en forma diferente a las políticas institucionales. ④ Interrupción del servicio La ocurrencia de eventos que afecten la disponibilidad de la información. ⑤ Infraestructura La probabilidad de que la institución no disponga de recursos tecnológicos para el cumplimiento de los objetivos; así como la existencia de sistemas de control mal diseñados e información dudosa, que faciliten el fraude y amenace la integridad de los sistemas. ⑥ Acceso a la información La posibilidad de que se dé un acceso no autorizado a datos (intercambio de claves de acceso), que propicie su uso contrario al interés público, desaparición o simple fuga de información.
