Auditoría Interna

Auditoría Interna
INFORME AI-INF-AA-16-08
Evaluación del riesgo institucional, 2016
1- Introducción
1.1-
Origen del estudio
Este informe corresponde a un estudio programado, conforme el Plan Anual de
Trabajo para el 2016.
1.2-
Objetivo del estudio
Contar con un instrumento que permita un enfoque técnico de la planeación de la
Auditoría Interna.
1.3-
Alcance
La evaluación del riesgo se enfocó para el año 2016.
1.4-
Antecedentes
A partir de la entrada en vigencia de la Ley General de Control Interno Nº 8292, del
31 de julio del 2002, la Contraloría General de la República y los órganos sujetos a
su fiscalización, deberían contar con sistemas de control interno adecuados, para
proporcionar seguridad en el cumplimiento de las atribuciones y las competencias
institucionales.
En esa línea, el Cosevi ha tratado de establecer un sistema específico de valoración
de riesgo institucional (SEVRI) y así dar cumplimiento a las directrices emitidas en
esa materia, por el ente contralor, sin embargo no ha logrado concretar las acciones
que permitan implementarlo, aspectos señalados en varios informes de esta
Auditoría Interna.
Para el 2016,la Unidad de Control Interno y Valoración del Riesgo Institucional
(UCIVRI),está estableciendo un cronograma de actividades para tener en el mes de
junio, la valoración de riesgo institucional, y proceder a la presentación de resultados
ante los directivos del Cosevi.
Sobre si el Cosevi cuenta con una valoración del riesgo relativa al POI y su
presupuesto del año 2016, el Lic. Gustavo Céspedes Ruiz, en fecha 25-01-2016,
manifestó lo siguiente:
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 1 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
“Actualmente no se ha podido vincular los riesgos con el POI y el Presupuesto, debido a las mejoras
que estamos realizando en el nuevo Marco Orientador del SEVRI para el 2016. El Cosevi ha
efectuado un cronograma de actividades para atender el proceso de cumplir con la Valoración del
Riesgo y todos los requerimientos solicitados por la Contraloría General de la República de Costa
Rica.”
La UCIVRI conjuntamente con el Área de Planificación y Evaluación, han estado
trabajando para obtener un detalle de dos procesos por cada una de las unidades
administrativas del Cosevi, que serán incorporados en el Sistema denominado
SIVARI.
1.5- Modelo para la evaluación del riesgo institucional 2016, utilizado por la
Auditoría Interna
Ante tal situación, la Auditoría Interna convencida de la necesidad de generar
instrumentos técnicos que faciliten la detección ágil y oportuna de prácticas que
afecten o pongan en riesgo la gestión de los servicios que brinda el Cosevi a la
población, en materia de seguridad vial, así como hacia lo interno; la adecuada
coordinación y operación de los sistemas, decidió implementar el modelo de
valoración de riesgo, con el propósito identificar las áreas organizacionales que
presentan mayor vulnerabilidad, y así obtener un insumo técnico y actualizado para
planificar los estudios de auditoría e impulsar de manera preventiva y proactiva las
acciones de mejora que correspondan para el logro de los objetivos institucionales.
Para tal efecto se procedió con lo siguiente:
 Actualización de los procesos y proyectos relativos al quehacer del Cosevi, de
lo cual resultó un total de 73 actividades, correspondientes a 60 procesos
definidos por la Administración y a 13 proyectos contemplados en el POI
2016.
 Definición de los riesgos institucionales. En primera instancia, se estableció el
nivel denominado origen del riesgo (nivel 1), el cual consta de dos opciones,
fuente interna y fuente externa; tiene la utilidad de procurar que en el ejercicio
de identificación del riesgo para cada uno de los procesos o proyectos, se
haga una consideración más integral de la realidad interna y externa, en la
que opera la organización. En el nivel 2, se establecieron 10 riesgos
específicos; son áreas más concretas que los ámbitos externo e interno,
mismos que se describen a continuación:
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 2 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
a)
Fuentes Externas:Aquellas que provienen del ambiente, de elementos estructurales
de la sociedad en general y del funcionamiento del Estado o de la cosa pública en particular
y que, por ese origen, escapan al control inmediato o directo de la organización.
i.
Decisiones políticas:Incluye la posibilidad que grupos políticos ejerzan acciones
de poder para influir en la organización y accionar de la institución.
ii.
Recursos monetarios: Considera la probabilidad que los recursos monetarios
otorgados no cubran las necesidades, conforme las responsabilidades asignadas al
Consejo de Seguridad Vial y/o que decisiones del gobierno (restricciones presupuestarias,
eliminación de ingresos y otros), afecten la consecución de los objetivos institucionales.
iii.
Gobernabilidad: Se refiere al grado de empoderamiento que tiene la Institución
para fungir como ente rector, en el área de la seguridad vial.
iv.
Subordinación: Corresponde al riesgo que genera el hecho de no tener autoridad
sobre unidades no subordinadas, que ejecutan fondos del Consejo de Seguridad Vial,
conforme lo establece la Ley, como las Direcciones de Ingeniería de Tránsito, Policía de
Tránsito y Educación Vial, o aquellas que reciben transferencias como las
municipalidades y el Poder Judicial.
v.
Ambiente externo:Se refiere al riesgo de daño material y humano que puede
ocasionar un desastre natural (sismos, incendios, tornados y otros) o terceras personas (robo,
vandalismo, precarismo, incumplimiento contractual y otros ).
b)
Fuentes Internas:Aquellas que se relacionan con los componentes funcionales
del Sistema de Control Interno.
i.
Potencial humano:Se refiere a la probabilidad que actuaciones indebidas de los
funcionarios, por error, negligencia, falta de idoneidad, integridad o ética, afecten la
actividad.
ii.
Administración del riesgo:Se refiere a la posibilidad de que la gestión en esa
materia no mantenga al Consejo de Seguridad Vial, prevenido ante la ocurrencia de
eventos internos o externos, que afecten el cumplimiento de sus objetivos.
iii.
Operativo:Se refiere a la posibilidad que por la forma como se realizan los
trámites y procedimientos, sea por una condición inherente al ser humano, por falta de
capacitación o por el establecimiento de procedimientos ineficientes, se incurra en
errores que afectan la actividad.
iv.
Tecnologías de la información:Contempla la posibilidad que la insuficiente
cantidad e inadecuada calidad del equipo de cómputo existente y deficiencias en los
sistemas de información automatizados, afecten la actividad.
v.
Sistemas de información y comunicación:Es el riesgo que posibles deficiencias
en los sistemas de información y comunicación, afecten la actividad.
 Designación de 16 funcionarios, todos encargados de realizar labores
profesionales de auditoría, para el llenado de las encuestas de evaluación del
riesgo.
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 3 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
 Realización de la encuesta por cada funcionario (anotación para cada actividad, del
valor de la probabilidad y del impacto de 1 a 3).
 Tabulación de los datos de las encuestas y cálculo del riesgo para cada
actividad, siguiendo las acciones establecidas en el modelo para el 2016, que
incluye el uso de una tabla Excel con las operaciones matemáticas
necesarias.
1.6-
Proceso de validación
El 4 de marzo del 2016 se llevó a cabo un proceso de validación los resultados de la
evaluación de riesgos-2016,por parte de representantes de la Administración.
Para tal efecto se entregó el Anexo N° 1 Valoración del riesgo institucional y la
definición de los riesgos y se realizó la exposición del análisis de esos datos,
contenida en este informe.
En la misma se hicieron observaciones que no variaron los resultados, según se
observa en el Adendum.
Con el consentimiento de los asistentes, la grabaciónde dicha sesión de trabajo,
consta en un archivo digital.
El cuadro siguiente contiene el nombre de los funcionarios invitados y asistentes:
Unidad administrativa
Invitados
Asistentes
Dirección Ejecutiva
Germán Valverde
González
(Ausente)
Dirección de Proyectos
Roy Rojas Vargas
Roy Rojas Vargas
Dirección de Logística
Sara Soto Benavides
Ausente; envió nota
explicativa sobre su
ausencia.
Dirección Financiera
Sergio Valerio Rojas
Sergio Valerio Rojas
Dirección Financiera
Estéban Guevara
Rojas
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 4 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
Unidad administrativa
Invitados
Asistentes
Asesoría en Tecnología de la
Información
Rocío Gamboa Gamboa
Vinicio Ureña Irola
Unidad de Control Interno y de
Valoración del Riesgos
Gustavo Céspedes Ruiz
Gustavo Céspedes
Ruiz
2- Resultados del estudio
2.1-
Detalle de la valoración del riesgo institucional
En el Anexo N° 1 se presenta el resultado de la valoración del riesgo institucional,
llevado a cabo por la Auditoría Interna para el período 2016; el mismo consiste en un
detalle de las 73actividades y de los 10 riesgos identificados, con sus respectivas
puntuaciones en probabilidad e impacto y el puntaje total, el cual permitió la
calificación del riesgo y su correspondiente nivel.
2.2-
Resumen del riesgo por nivel
En el siguiente cuadro se muestra la cantidad de actividades por cada nivel de
riesgo.
Cuadro N° 1
Nivel de riesgo de las actividades
Febrero, 2016
Nivel
Alto
Medio
Bajo
Total
Cantidad
4
40
29
73
Valor %
5%
55%
40%
100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna.
Nota: En el Gráfico N° 1 se incluye la representación de los datos
(Anexo N° 2).
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 5 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
En los resultados de la Evaluación del riesgo institucional 2016, se observa lo
siguiente:
A.
Riesgo alto
i.
De las 73 actividades institucionales, 4 son las que obtuvieron la clasificación
de nivel de riesgo “Alto”, las cuales representan un 5% de las 73
actividades(Anexo N° 2).
ii.
Se observa que de las 4 actividades consideradas con nivel de riesgo “Alto”, 3
obtuvieron una calificación de 70, el límite más bajo para dicho nivel y la otra
obtuvo un 80, dato que se acerca más al límite inferior que al superior de ese
nivel.
iii.
Las actividades institucionales cuya vulnerabilidad a la materialización de
riesgos es alta (Anexo N° 1), fueron:
Análisis, Control y Seguimiento de la Gestión Institucional (Proceso de la Dirección Ejecutiva).
Calificación del Riesgo 70%.
Remate de vehículos detenidos por Multa Fija según Ley de Tránsito 9078(Proceso del Área de
Donación y Remate de vehículos detenidos).Calificación del Riesgo 70%.
Gestión y fiscalización de la administración de obras civiles en construcción, remodelación y/o
mantenimiento (Proceso del Departamento de Servicios Generales).Calificación del Riesgo 70%.
Gestión de la recepción, verificación y traslado de las impugnaciones de las boletas de
citación por infracciones a la Ley de Tránsito por Vías Públicas Terrestres y Seguridad Vial
N°9078, en la Unidad de Plataforma de Servicio de San José(Procesos de la Unidad de Plataforma
de Servicio al Usuario).Calificación del Riesgo 80%.
B.
Riesgo medio
i.
Las actividades que obtuvieron la clasificación de nivel de riesgo “Medio”,
constituyen 40, de las 73 existentes, lo que representa un 55% del total de las
actividades, en el Cuadro N° 2, se muestra la distribución de este riesgo:
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 6 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
Cuadro N° 2
Distribución del riesgo medio
Febrero, 2016
Detalle
Cantidad
actividades
Valor %
de
Riesgo
40% a
49%
Riesgo
50% a
59%
Riesgo
60% a
69%
Total
22
14
4
40
55%
35%
10%
100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna.
Nota: En el Gráfico N° 2 se incluye la representación de los datos (Anexo N° 3).
ii.
Es importante destacar que del total de las actividades con riesgo medio;
seaactividades que se encuentran en el rango de 40% a 69%, existen 4
actividadesque se acercan más allímite para ser consideradas de riesgo Alto:
Análisis Financiero (Procesos de la Dirección Financiera). Calificación del Riesgo 61%.
Recolección y descarga de los datos levantados por los oficiales de tránsito de Delegación
Central y Corredor 5 (Zurquí), UCR y Municipalidades (Procesos de la Unidad de Registro de Multas y
Accidentes). Calificación del Riesgo 66%.
Donación de vehículos detenidos por Multa Fija según Ley de Tránsito 9078 (Procesos del área
de Donación y Remate de vehículos detenidos ). Calificación del Riesgo 66%.
Ingreso, custodia y salida de vehículos detenidas en la Unidad de Custodia de Placas y
Vehículos Detenidos. (Procesos de la Unidad de Custodia de Placas y Vehículos Detenidos) Calificación
del Riesgo 68%.
C.
Riesgo bajo
i.
Las actividades que resultaron con un nivel de riesgo “Bajo”, corresponden en
términos absolutos a 29 de las 73 actividades, y representan un valor
porcentual de un 40% del total, en el siguiente cuadro, se muestra la
distribución de ese riesgo.
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 7 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
Cuadro N° 3
Distribución del riesgo bajo
Febrero, 2016
Detalle
Cantidad
actividades
Valor %
Riesgo
0% a 19%
Riesgo
20% a
29%
Riesgo
30% a
39%
Total
1
8
20
29
3%
28%
69%
100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna.
Nota: En el Gráfico N° 3 se incluye la representación de los datos (Anexo N° 4).
ii.
D.
En el grupo del riesgo “Bajo”, existen20 actividades que tienen una tendencia
hacia el nivel de riesgo medio,mismas que se pueden observar en el Anexo
N° 1.
Riesgos con puntaje máximo
A nivel general hay riesgos que resultaron con el puntaje máximo, esto es por
cuanto se les otorgó una probabilidad de ocurrencia de 3 (Alto) y un impacto del
riesgo de 3 (Alto).En concreto, de los 730 puntajes máximos posibles (totalidad de
riesgos x actividades), se observan 57casos con el puntaje máximo,entre los cuales
destaca el riesgo de fuente interna denominado Administración del Riesgo (Se
refiere a la posibilidad de que la gestión en esa materia no mantenga al Consejo de Seguridad
Vial, prevenido ante la ocurrencia de eventos internos o externos, que afecten el cumplimiento de
sus objetivos), el cual registra un dato de 44%(Anexo N° 5).
Cuadro N° 4
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 8 de 9
Auditoría Interna
INFORME AI-INF-AA-16-08
Riesgos con puntaje máximo, según cantidad de actividades
(Estructura del riesgo nivel 2)
Febrero, 2016
Gobernabilidad
Subordinación
Ambiente
externo
Potencial
humano
Administración
del riesgo
Operativo
Tecnologías de
la información
Sist. de inf. y
comunicación
Puntaje
8
máximo
Valor % 14%
INTERNOS
Recursos
monetarios
Detalle
Decisiones
políticas
EXTERNOS
0
6
1
0
5
25
0
4
8
0%
11%
2%
0%
9%
44%
0%
7%
Total
57
14% 100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna.
Nota: En el Gráfico N° 4 se incluye la representación de los datos (Anexo N° 5).
E.
Riesgos internos según componentes del Sistema de control interno
En el siguiente cuadro se refleja una relación entre los riesgos internos y los
componentes del Sistema de control interno, mostrándose también el valor total de
cada riesgo, sea la sumatoria del valor del riesgo correspondiente, para cada una de
las actividades.
Cuadro N° 5
Riesgos internos según componentes del sistema de control interno
Febrero, 2016
Componentes del sistema de
control interno
Riesgos internos
Ambiente de control
Potencial humano
302
19%
Valoración del riesgo
Administración del riesgo
440
27%
Actividades de control
Operativo
Tecnologías de la
información
Sistemas de información
y comunicación
301
19%
265
16%
314
19%
1622
100%
Sistemas de información
Seguimiento del sistema de
control interno
Total
Riesgo
Porcentaje
total
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna.
Nota: En el Gráfico N° 5 se incluye la representación de los datos (Anexo N° 6).
Teléfonos: 2522-0912
Fax: 2522-0869
www.csv.go.cr
Página 9 de 9