santotomas.gob.sv€¦ · web viewla municipalidad de santo tomás, como toda organización, se...
TRANSCRIPT
MGRI Manual de Gestión Institucional de Riesgos de la Municipalidad de
Santo Tomás.
Edición 1 Revisión 0 Fecha: 24-09-2018 Modificación 0
MANUAL DE GESTIÓN INSTITUCIONAL DE RIESGOS DE LA MUNICIPALIDAD DE SANTO
TOMÁS, DEPARTAMENTO DE SAN SALVADOR.
Elaboró: Revisó:
Daniel Alexander Escobar Pineda Licda. Maritza Maricela Polanco de Rivas Jefe Interino de la Unidad de Planificación Gerente
Administrativa y miembros de la
y Gestión Comisión para la elaboración de las NTCIE
Aprobó:
Concejo MunicipalActa:Acuerdo:Fecha:
2
ContenidoINTRODUCCIÓN..................................................................................................................................1
I. JUSTIFICACIÓN...........................................................................................................................2
II. OBJETIVOS DEL MANUAL...........................................................................................................2
OBJETIVO GENERAL:.......................................................................................................................2
OBJETIVOS ESPECÍFICOS:................................................................................................................2
III. BASE LEGAL............................................................................................................................3
IV. ÁMBITO DE APLICACIÓN........................................................................................................4
V. MARCO CONCEPTUAL................................................................................................................4
1. CONCEPTO DE RIESGO............................................................................................................4
2. SISTEMA DE CONTROL INTERNO............................................................................................5
3. COMPONENTES DEL MARCO DE CONTROL INTERNO COSO 2013..........................................6
4. TIPOS DE RIESGO....................................................................................................................9
VI. METODOLOGÍA PARA LA GESTIÓN DEL RIESGO INSTITUCIONAL..........................................11
1. ELEMENTOS BÁSICOS PARA UNA ADECUADA GESTIÓN DEL RIESGO...................................11
2. ETAPAS DE LA METODOLOGÍA.............................................................................................12
3. IDENTIFICAR OBJETIVOS ESTRATÉGICOS..............................................................................12
4. FASE I – IDENTIFICACIÓN DE RIESGOS:.................................................................................13
4.1 Técnicas para la identificación de riesgos...........................................................................14
4.2 Clasificación de los Riesgos.................................................................................................16
4.3. Registro de los riesgos identificados..................................................................................16
5. FASE II - ANÁLISIS Y EVALUACIÓN DE RIESGOS IDENTIFICADOS...........................................17
5.1 Análisis del Riesgo..............................................................................................................17
5.2 Evaluación del Riesgo.........................................................................................................18
6. FASE III - DETERMINACIÓN E IMPLEMENTACIÓN DE ACCIONES...........................................20
6.1 Priorización del riesgo........................................................................................................23
7. FASE IV – EVALUACIÓN DE CONTROLES EXISTENTES............................................................23
8. INFORME AL CONCEJO MUNICIPAL SOBRE LA GESTIÓN DE LOS RIESGOS............................24
GLOSARIO.........................................................................................................................................26
i
INTRODUCCIÓN
La Municipalidad de Santo Tomás, como toda organización, se encuentra expuesta a todo tipo de riesgos, que podrían afectar de manera directa las operaciones que a diario realizan las Unidades Organizativas, provocando de esta manera un ambiente de no cumplimiento a los objetivos y metas institucionales, cuya consecución garantiza alcanzar la visión institucional y una eficiente prestación de servicios.
La gestión de riesgos es un componente del Sistema de Control Interno, que tiene por finalidad analizar y evaluar la probabilidad de ocurrencia y el impacto de los riesgos institucionales; determinar las acciones necesarias para mitigar el impacto de estos, asignara responsables específicos, obtener la matriz de riesgos respectiva, y, en breve, hacer de la gestión de riesgos una realidad funcional en la operación cotidiana de la institución.
La Municipalidad de Santo Tomás, guarda la firme convicción que, la mejora del control interno es uno de los ejes indispensables para elevar la eficiencia y economía de la gestión municipal, así como un elemento imprescindible para reducir efectivamente la posibilidad de que las consecuencias de la materialización de los riesgos erosionen la capacidad de la municipalidad para resolver las demandas ciudadanas más urgentes, a través de la prestación de los servicios municipales, en por ello, que el presente Manual de Gestión Institucional de Riesgos de la Municipalidad de Santo Tomás, tiene el propósito de que la municipalidad este en la posibilidad de realizar el registro de los riesgos que enfrenta, a través de la gestión de los mismos, que de manera consecuente, contribuirá a elevar la productividad y la buena marcha de los procesos administrativos y operativos, fortaleciendo de esta manera el sistema de control interno, es por ello que presenta la metodología y procedimientos de la Gestión de Riesgos Institucional, la cual se basa en lo establecido por las actuales Normas Técnicas de Control Interno específicas de esta institución, emitidas por la Corte de Cuentas de la República, bajo la conceptualización del Informe COSO (Committee of Sponsoring Organizations of the Treadway Commission).
El Informe COSO es un documento que especifica un modelo común de control interno, con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno, para asegurar que éstos se mantengan funcionales, eficaces y eficientes.
La gestión de riesgos, se realizará a través de la Unidad de Planificación y Gestión, en conjunto con la Gerente Administrativa y
1
Jefaturas, bajo el método de planificación participativa y tendrán la responsabilidad de cumplir y hacer cumplir las medidas y acciones que se tomarán para minimizar el nivel de ocurrencia e impacto de los riesgos, dentro del área de su competencia.
Por el carácter oficioso de su contenido, el Manual de Administración de Riesgos se podrá encontrar en la página Web de la municipalidad para su consulta, de conformidad a lo establecido en la Ley de Acceso a la Información Pública, en sus artículos 10 y 17.
I. JUSTIFICACIÓN La naturaleza de las organizaciones, su cultura, el talento humano, el manejo de sus recursos materiales y financieros, la complejidad de sus operaciones y demás, pueden desencadenar eventos que pueden obstaculizar el habitual desarrollo de sus funciones y logro de sus objetivos estratégicos. La administración moderna ha desarrollado el concepto de gestión de riesgos, constituyéndose en un importante componente del sistema de control interno que pretende identificar, analizar y controlar de forma permanente los riesgos organizacionales, pero más aún, que permita la prevención sobre la ocurrencia de dichos eventos. La Municipalidad de Santo Tomás no puede estar ajena al tema de riesgos, que sin duda alguna estará presentes en algún momento de su gestión; por lo que debe estar prevenida, saber cómo manejarlos y establecer en base a ellos planes de mejora y seguimiento que permitan controlar y/o, eliminar las fallas detectadas. De ahí la necesidad de contar con un instrumento que sirva de guía para la efectiva gestión de los mismos, ya que el compromiso, independientemente de los riesgos que existan, es brindar soluciones a los habitantes del municipio a través de un servicio oportuno y de calidad.
II. OBJETIVOS DEL MANUAL OBJETIVO GENERAL: Disponer de una metodología para la gestión institucional de riesgos, que sirva de apoyo a los funcionarios y empleados para identificar, analizar y gestionar los riesgos que inciden de manera relevante en la consecución de los objetivos y metas institucionales, logrando de esta manera la materialización de la visión institucional.
2
OBJETIVOS ESPECÍFICOS: Diseñar e implementar una herramienta que facilite a los servidores municipales de Santo Tomás, la adecuada gestión de los riesgos inherentes a sus labores.
1. Generar una visión compartida entre todos los niveles jerárquicos, acerca de la importancia de los riesgos, para lograr la participación activa de estos en la aplicación de la metodología contenida en el presente manual.
2. Establecer los lineamientos estratégicos que orientan las decisiones de la administración municipal, frente a los riesgos que puedan afectar el cumplimiento de sus objetivos.
3. Promover una cultura de registro, evaluación y seguimiento de estos, enfocada en un proceso de mejora continua, en camino a lograr mayor eficiencia de los procesos y procedimientos institucionales.
4. Estandarizar el proceso para la identificación, análisis y evaluación de los riesgos.
5. Involucrar y comprometer a todos los servidores de la municipalidad en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.
6. Proteger los recursos de la municipalidad resguardándolos contra la materialización de los riesgos.
7. Apoyar el desarrollo de una gestión municipal exitosa y transparente.
8. Establecer una base confiable para la toma de decisiones y la planificación.
III. BASE LEGAL Código Municipal con énfasis a los Artículos 4, 30,32-35, 60-109 Ley y Reglamento del FODES Ley General Tributaria Municipal Ley de Ética Gubernamental (LEG) Ley de Adquisiciones y Contrataciones de la Administración
Pública Manual de procedimientos para el ciclo de gestión de
adquisiciones y contrataciones de las instituciones de la administración pública
Ley Orgánica de Administración Financiera del Estado Ley de la Corte de Cuentas de la República Código Penal Ley de la Carrera Administrativa Municipal Reglamento interno Ordenanzas de Tasas Tarifa de Arbitrios Municipales
3
Reglamento de Normas Técnicas de Control Interno Específicas de la Municipalidad de Santo Tomás, en los Artículos siguientes literalmente establece:
Definición del Sistema de Control InternoArt. 2.- Se entiende por Sistema de Control Interno, el conjunto de procesos continuos e interrelacionados realizados por el Concejo Municipal, jefaturas y empleados de la Municipalidad, diseñados para proporcionar seguridad razonable en la consecución de sus objetivos.
Objetivos del Sistema de Control InternoArt. 3.- El Sistema de Control Interno, tiene como finalidad coadyuvar con la Municipalidad en el cumplimiento de los siguientes objetivos:a) Lograr eficiencia, efectividad y eficacia de las operaciones;b) Obtener confiabilidad y oportunidad de la información; yc) Cumplir con leyes, reglamentos, disposiciones administrativas y otras regulaciones aplicables.
Seguridad RazonableArt. 6.- El Sistema de Control Interno, proporciona una seguridad razonable para el cumplimiento de los objetivos de la Municipalidad.El Sistema de Control Interno, para que sea razonable, deberá contar con los mecanismos de control adecuados a la Municipalidad, lo cual permitirá presentar informes periódicos al Concejo Municipal y a la ciudadanía, sobre su gestión y uso efectivo de los recursos.
Identificación de RiesgosArt. 24.- El Concejo Municipal, elaborará una matriz de riesgos, la cual deberá tener definidos e identificados de forma metódica los diversos niveles de riesgos internos y externos, encaminados al logro de objetivos que se hayan proyectado institucionalmente, procurando un estricto grado de cumplimiento.
Análisis de Riesgos IdentificadosArt. 25.- El Concejo Municipal, jefaturas y empleados, deberán elaborar e implementar métodos que permitan analizar los riesgos en cuanto a su impacto económico, político, social y legal.
Gestión de RiesgosArt. 26.- El Concejo Municipal, deberá implantar las políticas y procedimientos que den los instrumentos a seguir para prevenir, detectar y corregir las acciones de todas las áreas de la Municipalidad para minimizar los niveles de riesgo.
4
Adicionalmente, la Ley de la Corte de Cuentas de la República de El Salvador, en su Artículo 26, literalmente establece: “Cada entidad y organismo del sector público establecerá su propio Sistema de Control Interno Financiero y Administrativo, previo, concurrente y posterior, para tener y proveer seguridad razonable: 1) En el cumplimiento de sus objetivos con eficiencia, efectividad, y economía; 2) En la transparencia de la gestión; 3) En la confiabilidad de la información; 4) En la observancia de las normas aplicables”.
IV. ÁMBITO DE APLICACIÓN Es aplicable y de carácter obligatorio para todas las unidades organizativas de la Municipalidad de Santo Tomás y servirá para orientar y coordinar las actividades relacionadas con el proceso de gestión institucional de riesgos.
El Concejo Municipal conformará un equipo multidisciplinario asociado al proceso, para integrar un grupo de mejora, este se llamara Comité Institucional de Riesgos, integrado por empleados y funcionarios de diferentes áreas de la composición organizacional de la municipalidad, quienes ayudarán al Concejo Municipal, Gerencia Administrativa y Jefaturas a la identificación, análisis de riesgo y la determinación e implementación de acciones para mitigar su impacto, aplicando la metodología establecida en este Manual.
V. MARCO CONCEPTUAL 1. CONCEPTO DE RIESGO
Un riesgo no se puede medir con precisión absoluta, pero sí puede ser estimado con suficiente aproximación. El análisis y evaluación de riesgos es un intento para ponderar y comparar las consecuencias de un evento no deseado, contra la probabilidad de que ocurra. La clave de la eficiencia de los sistemas de control interno, está en el manejo de los riesgos, es decir: el propósito principal del control es la reducción de los mismos, buscando que el proceso y sus controles garanticen de manera razonable que los riesgos están minimizados o se están reduciendo y, por lo tanto, que los objetivos de la institución van a ser alcanzados.
En este sentido, es que se ha introducido en las organizaciones el concepto de gestión del riesgo, teniendo en cuenta que todas ellas, independientemente de su naturaleza, tamaño y razón social, están permanentemente expuestas a diferentes riesgos que pueden en un
5
momento determinado poner en peligro la consecución de sus objetivos y metas institucionales. El propósito principal de la gestión de riesgos es, lograr de manera razonable que dichos riesgos sean reducidos y minimizados, para garantizar que los objetivos organizacionales serán alcanzados.
En una organización pública como las municipalidades, es posible identificar las áreas, procesos, procedimientos, estilos de dirección y demás dentro de los cuales puede incurrirse en riesgos que atentan contra la obtención de resultados adecuados para la satisfacción de los contribuyentes y usuarios de los servicios municipales, fortaleciendo el sistema de control interno institucional.
2. SISTEMA DE CONTROL INTERNO En el orden internacional, existen diversas asociaciones profesionales especializadas que han emitido documentos y recomendaciones para establecer programas de administración de riesgos, con el propósito de impulsar el logro de los objetivos de los planes, programas y proyectos estratégicos de las organizaciones, sean del sector público o privado. Destacan como modelos de control, por su uso extendido y su probada eficacia, los siguientes: COSO en los Estados Unidos de América (Marco Integrado), COCO en Canadá, Cadbury y Turnbull en el Reino Unido, ACC en Australia y MECI en Colombia.
Sin embargo, el modelo de control interno de mayor aceptación y ampliamente utilizado en todo el mundo es el emitido por The Committee of Sponsoring Organizations of the treadway Commission (COSO) 1, incluyendo a El Salvador que, a través de la Corte de Cuentas de la República ha adoptado este marco en el sector Público, instancia rectora del Sistema Nacional de Control y Auditoría de la Gestión Pública que incluye el control interno de las instituciones del Estado Salvadoreño, en este marco ha diseñado las Normas Técnicas de Control Interno que sirven de marco básico de adopción.
El Marco Integrado de Control Interno COSO, presentado por primera vez en el año 1992, se convirtió en un marco líder en diseño, implementación y conducción de control interno y evaluación de su efectividad.
En mayo de 2013 se presenta el Marco Integrado de Control interno COSO (2013) que prevee un enfoque integral y herramientas para la implementación de un sistema de control interno efectivo y en pro de la 1 Comité de Organizaciones Patrocinadoras de la Comisión Treadway, integrada por la Asociación Américana de Contabilidad (AAA), el Instituto Americano de Contadores Públicos Certificados (AICPA), los Ejecutivos de Finanzas Internacionales (FEI), el Instituto de Contadores Administrativos (IMA), y por el Instituto de Auditores Internos (IIA), todas siglas en inglés y organizaciones de los Estados Unidos de América
6
mejora continua. Está diseñado para controlar los riesgos que puedan afectar el cumplimiento de los objetivos, reduciendo dichos riesgos a un nivel aceptable, afirmando que el control interno proporciona razonables garantías para que las instituciones puedan lograr sus objetivos, y mantener y mejorar su rendimiento. Sin embargo, cada organización debe tener su propio sistema de control interno, considerando sus características como por ejemplo leyes y regulaciones pertinentes, tamaño y naturaleza, entorno externo.
Con el enfoque de control interno descrito se puede definir al Control Interno como un proceso llevado a cabo por el concejo de administración, la dirección y el resto de personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos relacionados con las operaciones, la información y el cumplimiento2, adicionalmente, permite la mejora continua en las administraciones públicas, al proveer de un sistema que es capaz de detectar y mitigar las circunstancias que impiden el logro de los objetivos de la institución.
Esta definición refleja ciertos conceptos fundamentales, sobre el control interno:
1. Está orientado a la consecución de objetivos en una o más categorías-operaciones, información y cumplimiento.
2. Es un proceso que consta de tareas y actividades continuas – es un medio para llegar a un fin, y no un fin en sí mismo.
3. Es efectuado por las personas, no se trata solamente de manuales, políticas, sistemas y formularios, sino de personas y las acciones que éstas aplican en cada nivel de la organización para llevar a cabo el control interno.
4. Es capaz de proporcionar una seguridad razonable – no es una seguridad absoluta, a la alta dirección.
5. Es adaptable a la estructura de la entidad – flexible para su aplicación al conjunto de la entidad, unidad operativa o proceso en particular.
3. COMPONENTES DEL MARCO DE CONTROL INTERNO COSO 2013.
El control interno es un proceso dinámico e integrado, por ello, consta de 5 componentes que, adicionalmente se integran de principios:
1. Entorno de Control 2. Evaluación de Riesgo3. Actividades de Control
2 Concepto retomado del Resumen Ejecutivo de Control Interno – Marco Integrado The Committee of Sponsoring Organizations of the treadway Commission (COSO)
7
4. Información y comunicación 5. Actividades de Supervisión.
1. Entorno de Control: Este componente, comprende la integridad, los valores éticos y la conducta institucional en la organización, es decir, los parámetros que permiten a los titulares llevar a cabo sus responsabilidades de supervisión; determinar la estructura orgánica y la asignación de autoridad y responsabilidad; administrar los recursos humanos a fin de asegurar la atracción, desarrollo y retención de personal competente, y el rigor en torno a medidas de desempeño, estímulos y recompensas para fomentar la rendición de cuentas y la mejora del desempeño.
2. Evaluación de Riesgos: Este componente consiste en el proceso para identificar los riesgos a los que están expuestas las instituciones en el desarrollo de sus actividades y analizar los distintos factores, internos y externos, que pueden provocarlos, con la finalidad de definir las estrategias que permitan administrarlos y, por lo tanto, contribuir razonablemente al logro de los objetivos, metas y programas.
Para la administración de riesgos, es fundamental que el titular de la institución y los mandos superiores de las diversas unidades administrativas promuevan y respalden una cultura de gestión de riesgos; mediante mensajes claros que involucren como responsables a todos los servidores públicos en su ámbito de responsabilidad, al buscar la participación activa de los diferentes niveles de autoridad en la gestión de riesgos.
El riesgo está presente en todas las operaciones de cualquier entidad del sector público y se materializa mediante eventos adversos que detonan en pérdidas directas o indirectas, costos por daño reputacional o de imagen, ineficiencia de procesos internos, deficiencia en la administración de personas, anomalías en sistemas automatizados, entre otras consecuencias inesperadas.
La administración del riesgo operacional se distingue de otros tipos de riesgos, debido a que comprende cualquier limitación, amenaza o problema intrínseco de todas las actividades y procesos inherentes a las operaciones de los entes gubernamentales que, a través de diversos mecanismos de sistemas de mejora de control interno y de prevención del riesgo, busca proteger y fortalecer el patrimonio de las entidades ante posibles desviaciones o pérdidas económicas por la exposición al riesgo que se tiene. En este sentido, es fundamental que la institución desarrolle una efectiva gestión de riesgos que le
8
permita enfrentar o evitar pérdidas económicas, eficientizar las operaciones, generar información financiera y no financiera y cumplir con el marco legal y normativo aplicable.
3. Actividades de Control: Este componente comprende las medidas establecidas en las políticas y manuales de procedimientos para asegurar que la gestión pueda mitigar los riesgos que afectan el cumplimiento y logro de los objetivos de la institución. Las actividades de control se llevan a cabo en todos los niveles de la institución, en los distintos procesos institucionales, mediante controles preventivos o detectivos que en su naturaleza pueden abarcar una amplia gama de actividades manuales o automatizadas, tales como autorizaciones y aprobaciones, conciliaciones, evaluaciones de desempeño, entre otros.
4. Información y Comunicación: La información es necesaria para que las instituciones lleven a cabo las responsabilidades de control interno en apoyo al logro de sus objetivos. La comunicación se genera tanto interna como externamente; proporciona a la organización la información necesaria para llevar a cabo el control diario, y permite al personal comprender las responsabilidades del control interno y su importancia para el logro de los objetivos institucionales
5. Actividades de Supervisión: Busca asegurar que los controles operen como se requiere y que sean modificados apropiadamente de acuerdo con los cambios en las condiciones de cada institución a fin de, cumplir con oportunidad y eficiencia las metas y objetivos previstos en sus respectivos programas, conforme a lo dispuesto en la normativa aplicable.
Es de relevante importancia mencionar que, la presente guía se enfoca específicamente al componente de evaluación de riesgos; sin embargo, debe señalarse, que los cinco componentes deben existir, funcionar e interactuar entre sí.
A continuación, se presenta un esquema de la estructura que debe guardar un sistema de control interno con cada uno de sus componentes y principios:
9
SISTEMA DE CONTROL INTERNO
10
EN
TOR
NO
DE
C
ON
TRO
L
Compromiso con la integridad y los valores éticos.
Supervisión del sistema de control
internoEstructura, líneas de
reporte o de comunicación,
autoridad y responsabilidad
Compromiso con la competencia del talento humano
Cumplimiento de responsabilidades
EVA
LUAC
ION
DE
R
IESG
OS
Establecimiento o identificación de
objetivos institucionales Identificacion y análisis de los
riesgos para el logro de los objetivos
Evaluación del riesgo de fraude
Identificación, análisis y evaluación
de cambios que impactan el sistema de control interno
Figura 1. Fuente: Elaboración propia
4. TIPOS DE RIESGO. Los riesgos se dividen en dos tipos:
4.1 Riesgo Estratégico: Es cualquier obstáculo externo o interno que no le permita cumplir con sus objetivos.
11
INFO
RM
ACIÓ
N Y
C
OM
UN
ICAC
IÓN
Informacion relevante y de
calidad
Comunicacion Interna
Comunicacion externa
ACTI
VID
ADES
DE
CO
NTR
OL
Selección y desarrollo de actividades de
control Selección y
desarrollo de controles generales
sobre tecnologia Emisión de políticas y procedimientos de
control interno
ACTI
VID
ADE
S D
E
SUPE
RV
ISIÓ
N Evaluaciones
continuas e independientes del sistema de control interno
Evaluación y comunicación de deficiencias de control interno
Este tipo de riesgos es usualmente detectado y analizado por la alta dirección y los puestos involucrados en la operatividad: Gerencias y Jefaturas.
El riesgo estratégico se clasifica en dos factores que le influyen:
Los FACTORES EXTERNOS son aquellos que atentan contra la naturaleza misma de las organizaciones, derivados del entorno social, cultural, económico, político y legal, tales como:
Cambios en las políticas y normativas dictaminadas por el gobierno central.
Cambios jurisprudenciales que en un momento determinado puedan afectar las funciones específicas de una institución pública.
Reformas y recortes presupuestarios que reducen la capacidad de gestión.
Reducción o eliminación del presupuesto de inversión, que implica un grave riesgo para la institución al no poder cumplir con sus objetivos.
Los FACTORES INTERNOS son aquellos que se generan dentro de las organizaciones, y que pueden en un momento determinado afectar el cumplimiento de su misión y objetivos; entre ellos encontramos:
Los controles, procesos y procedimientos existentes. La disponibilidad presupuestaria. El manejo de los recursos materiales y financieros. Los intereses de las máximas autoridades. El nivel de motivación del talento humano. La forma como se vinculan las personas con la institución.
Es por ello que se hace necesaria la identificación de los riesgos estratégicos y operativos a los que está expuesta la municipalidad, y el análisis, valoración e implementación de un plan para su apropiado tratamiento.
4.2 Riesgo Operacional: Este riesgo se desarrollará más ampliamente, es aquel que puede provocar pérdidas financieras en las organizaciones, debido a errores humanos, procesos internos inadecuados, defectuosos o insuficientes, fallos en los sistemas informáticos y/o la presencia de acontecimientos externos imprevistos. Será parte de esta clasificación el riesgo legal, riesgo de imagen (riesgo de reputación), riesgos tecnológicos entre otras situaciones que se detallan a continuación.
12
Recurso Humano: Negligencia del personal en el desempeño de sus labores, errores intencionales, sabotaje, fraude, robo, paralización de labores, lavado de dinero, inapropiadas relaciones interpersonales, ambiente laboral desfavorable, insuficiencia de personal, inadecuada capacitación del personal, falta de ética profesional y laboral, accidentes de trabajo, prácticas débiles de contratación.
Procesos Internos: Posibilidad de pérdidas financieras relacionadas con el diseño inapropiado de los procesos, políticas y procedimientos inadecuados o inexistentes, errores en las transacciones, errores en la información contable, incorrecta evaluación de contratos, insuficiencia de recursos, incumplimiento de plazos, excesiva burocracia. Todo esto pone en riesgo el eficiente desarrollo de las operaciones y la prestación de servicios.
Tecnología Informática: Inadecuada inversión en tecnología y sistemas informáticos, errores de implementación por incompatibilidad de los sistemas informáticos, fallas en el hardware, fallas en el software, información no disponible, vulnerabilidad de información confidencial, interrupción de los sistemas por falta de energía eléctrica, fallas internas de telecomunicación, inadecuada protección de los sistemas, presencia de virus. Todo esto atenta contra la confidencialidad, integridad y disponibilidad de la información.
Eventos Externos: Posibilidad de pérdidas financieras derivadas de la ocurrencia de eventos ajenos al control de la organización, que pueden alterar el desarrollo de sus actividades al afectar al personal, a los procesos y a la tecnología de información, tales como contingencias legales, fallas en los servicios públicos provistos por terceros, actos delictivos, atentados terroristas, fuego, ocurrencia de desastres naturales, repentino cambio en las leyes y regulaciones del país, riesgo político del país.
Riesgo legal: la posibilidad de pérdida financiera en que incurre una organización al ser multada, sancionada u obligada a reparar daños, como resultado de haber incumplido normas legales u obligaciones de los contratos. También se origina por deficiencias en la ejecución de contratos y transacciones como resultado de actuaciones malintencionadas, negligencia o descuido.
Riesgo de reputación: Se entiende como la posibilidad de disminución de ingresos económicos en que incurre una organización debido a su mala imagen, desprestigio y publicidad negativa. Aunque no sea cierto, su reputación queda en entredicho.
13
VI. METODOLOGÍA PARA LA GESTIÓN DEL RIESGO INSTITUCIONAL.
La gestión institucional de riesgos en la Municipalidad de Santo Tomás, se realizará con la participación de todos los niveles organizacionales. La metodología será dirigida por la Unidad de Planificación y Gestión en coordinación con el Comité Institucional de Riesgos, que se hubiese integrado; la gestión institucional del riesgo se aplicará por lo menos una vez al año, previo a iniciar el proceso de planificación institucional del período fiscal próximo, con el propósito de proporcionar elementos que ayuden a considerar el trabajo a realizar; adicionalmente, y considerando la finalidad de la gestión de riesgos, puede aplicarse cuantas veces la administración municipal lo considere pertinente y dependerá de las circunstancias propios de cada momento.
1. ELEMENTOS BÁSICOS PARA UNA ADECUADA GESTIÓN DEL RIESGO.
PRINCIPIO CONCEPTOCompromiso Para el éxito de la gestión de riesgos, es
indispensable el compromiso de máxima autoridad de la institución y las jefaturas de cada unidad administrativa para promover una cultura de identificación y prevención de riesgos, así como definir políticas relacionadas con la gestión de riesgos.
Conformación de equipo técnico.
Es importante que la administración municipal cuente con un equipo responsable de la implementación del proceso de gestión de riesgos, el cual cuente con un canal de comunicación directo con el titular y jefaturas de las unidades administrativas. Es recomendable que los integrantes de este equipo cuenten con conocimientos amplios sobre la institución y sobre control interno, administración de riesgos e integridad en el sector público; con la finalidad que se facilite la identificación y análisis de riesgos, y la determinación de medidas y acciones de mitigación.
Capacitación sobre el MGRI.
El equipo responsable de la implementación del proceso de gestión de riesgos, debe de capacitarse en el contenido del presente manual.
14
2. ETAPAS DE LA METODOLOGÍA.
Figura 2. Fuente: Elaboración Propia
3. IDENTIFICAR OBJETIVOS ESTRATÉGICOS.Los objetivos estratégicos que contenga el Plan Estratégico Institucional (PEI), Plan Estratégico Participativo (PEP) de esta municipalidad, deben guiar a la organización para el logro de la misión y visión. A partir de estos se establecen los objetivos operativos, que promueven el logro de los estratégicos, así como las metas específicas para las diferentes unidades administrativas, que estarán contenidas en los Planes Operativos Anuales de cada una y en el consolidado institucional.
Las diversas alternativas o actividades para alcanzar el cumplimiento de los objetivos estratégicos, involucran la actividad clave de identificar los riesgos asociados al alcance de los mismos al considerar sus implicaciones y determinar hasta qué punto la institución puede aceptar o asumir determinado riesgo.
Establecer y prestar atención a que los niveles de tolerancia al riesgo proporcionen mayor confianza en que los riesgos que enfrentan los objetivos permanezcan en un nivel de riesgo aceptado, y a su vez,
15
FASE I: Identificación del riesgo.
FASE II:Análisis de los riesgos identificados
FASE III: Determinación e implementación de acciones de control para mitigar el impacto de los riesgos.
FASE IV: Control y monitoreo del riesgo.
Objetivos Estratégic
os de la institución
Cumplimiento de
Objetivos
provee una mayor seguridad de que los resultados esperados serán obtenidos.
En esta etapa del proceso es importante que los responsables de la implementación de la gestión de riesgos, conozcan el funcionamiento general de la institución, así como las metas y objetivos estratégicos de la misma. Para lograr lo anterior, se recomienda que dichos servidores públicos revisen:
Documentos básicos como el Plan Estratégico Institucional (PEI), Plan Estratégico Participativo (PEP), Plan Operativo Anual de la institución (POA), misión, visión, valores y directrices generales de la institución.
La estructura orgánica de la institución, así como las atribuciones en el ámbito de su competencia (Manuales de Organización y Funciones y Descriptor de Cargos y Categorías)
La vinculación de las metas y objetivos particulares de cada Unidad Administrativa con las metas y objetivos estratégicos.
Para implementar la metodología de gestión de riesgos, es necesario que los empleados de los diferentes puestos de trabajo que integran a la institución conozcan la planificación estratégica y operativa, la metodología debe atenderse de manera integrada con la planificación y los objetivos institucionales, es decir, no debe funcionar de manera aislada, esto puede lograrse comunicando y divulgando en la institución la importancia de la identificación y control de los riesgos, como una herramienta que proporciona seguridad en el cumplimiento de las metas planificación y el alcance de los objetivos.
4. FASE I – IDENTIFICACIÓN DE RIESGOS: Consiste en determinar los tipos de riesgos existentes y cuál es su influencia o relación con las actividades de la institución, es de destacar que sin una identificación de riesgos apropiada es muy difícil que se logre una gestión de riesgos exitosa, que nos permita, al finalizar, el logro de los objetivos estratégicos. Para esta etapa es clave el conocimiento de las fuentes de riesgos y se requiere que se enlisten en la Matriz de Identificación de riesgos (MATRIZ 1) - la redacción de los riesgos debe ser clara y precisa, sin lugar de ambigüedades y no debe de contener implícito ningún tipo de sesgo que oriente a una solución en particular-, posteriormente, se deben analizar las causas de los eventos que lo generan y las posibles consecuencias. La identificación representa una de las actividades clave dentro del proceso de gestión de riesgo, debido a que dicha actividad debe iniciar con reconocer los procesos y subprocesos, y las áreas de mayor relevancia por los cuales se cumplen los objetivos institucionales.
16
En razón de la cantidad considerable de operaciones que se realizan y la complejidad de los procesos y procedimientos, es necesario identificar las áreas, procesos o actividades más vulnerables a la ocurrencia de riesgos que atenten contra el logro de los objetivos. Para ello se debe de clasificar los diferentes tipos de riesgos que existen en los siguientes grupos: estratégico, financiero, operativo (prestación de servicios), legal, tecnológico, a la integridad y a la reputación o imagen.
Como se ha mencionado antes, la identificación de riesgos es el primer procedimiento de la gestión de riesgos e incluye la revisión de factores tanto internos como externos que podrían influir en la adecuada implementación de la planificación institucional y logro de objetivos. Además, los responsables de la implementación del proceso de gestión de riesgos, con el apoyo de los mandos superiores, identifican las relaciones entre los riesgos y su clasificación para crear un lenguaje de riesgos común en la institución.
4.1 Técnicas para la identificación de riesgos A continuación, se muestran y describen de manera breve las técnicas para identificar riesgos que se pueden aplicar en la Municipalidad de Santo Tomás:
Figura 3. Fuente: Elaboración Propia
17
Técnicas para identificación
de riesgos
1. Talleres de Trabajo
2. Análisis de Procesos
7. Registro de Riesgos Materializa
dos
6. Cuestionarios dirigidos a Jefaturas, Gerencia y
Concejo Municipal
3. Análisis de entorno
4. Lluvia de ideas
5. Entrevistas
con Jefaturas, Gerencia y
Concejo Municipal
1. Talleres de trabajo: Consisten en reuniones de trabajo con servidores públicos de diferentes niveles jerárquicos que desempeñen actividades claves en la entidad; con el objetivo de identificar los riesgos, analizar y evaluar su posible impacto en el cumplimiento de los objetivos y proponer acciones para su mitigación, se pueden utilizar herramientas como el análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas) o la construcción de un árbol de problemas, donde se analizan las causas y consecuencias de un posible riesgo.
2. Análisis de procesos: Esta técnica consiste en revisar los procesos de las operaciones e identificar los puntos críticos que podrían implicar un riesgo. Para efectuarla es necesario que se encuentren documentados todos los procesos de la institución.
3. Análisis de entorno: Consiste en la revisión de cambios en marco legal, entorno económico o cualquier factor externo que podría amenazar el cumplimiento de los objetivos.
4. Lluvia de ideas: Se trata de una técnica grupal en la que participan actores de diferentes niveles jerárquicos para exponer ideas o sensaciones de riesgos, causas, eventos o impactos que pueden poner en peligro el logro de los objetivos, una persona designada por el grupo lleva el registro de estas.
5. Entrevistas: Éstas consisten en realizar una serie de preguntas relacionadas con los eventos que amenazan el logro de los objetivos. Se aplican a servidores públicos de diferentes niveles jerárquicos de una o varias unidades administrativas, las entrevistas deben elaborarse y las preguntan que se realizarán dependerán del área o unidad donde se desarrolle la entrevista, esta técnica es aplicada por personal que conozca la gestión de riesgos, especialmente el proceso de identificación.
6. Cuestionarios: Consisten en una serie de preguntas enfocadas a detectar las preocupaciones de los servidores públicos a nivel de Concejo Municipal, Gerencia y Jefaturas sobre riesgos que se perciben en las actividades que desempeñan, los cuestionarios deben elaborarse y las preguntan que contendrán dependerán del área o unidad donde se contestarán o llenarán
7. Registros de riesgos materializados: Consiste en bases de datos con los riesgos materializados en el pasado en la
18
institución. Estos registros deben contener la descripción del evento, fecha, monto de pérdida, si se llevó a cabo alguna recuperación y qué control se estableció para mitigar el riesgo y que cierta situación vuelva a repetirse.
Una de las herramientas que funciona de manera más adecuada para la identificación de riesgos son los talleres de trabajo, ya que permite un análisis profundo para la identificación de riesgos, al trabajar con personas que están ejerciendo funciones claves en la administración, otra forma de formar estos grupos de trabajo son por áreas, por ejemplo: financiera, administración de personal, prestación de servicios, entre otras; sin embargo, las otras técnicas pueden utilizarse como complemento, de tal forma que mediante la combinación de varias herramientas se logre una cobertura más amplia en la identificación de riesgos.
Durante el proceso de identificación de riesgos es preciso clasificarlos en primera instancia de acuerdo con su tipología, con el fin de comprender las causas e impacto que dichos riesgos pueden tener en caso de materializarse.
Quedará a discreción técnica, de parte del Comité de Riesgo Institucional y el Jefe de la Unidad de Planificación, utilizar la técnica, que dependiendo de las circunstancias de momento, asegure que los riesgos identificados son los que en realidad al momento de analizarlos, pueden afectar negativamente la consecución de los objetivos estratégicos y operativos de la municipalidad.
4.2 Clasificación de los Riesgos El proceso de identificación incluye la clasificación de los riesgos considerando por lo menos las siguientes categorías:
1. Estratégico: Se asocia a los asuntos relacionados con la misión y el cumplimiento de los objetivos estratégicos.
2. Operativo: Este rubro considera los riesgos relacionados con fallas en los procesos, en los sistemas o en la estructura de la institución.
Financiero: Se relaciona con los recursos económicos de la institución, principalmente de la eficiencia y transparencia en el manejo de los recursos.
Legal: Afecta la capacidad de la entidad para dar cumplimiento a la legislación y obligaciones contractuales.
19
Tecnológico: Se relaciona con la capacidad de la institución para que las herramientas tecnológicas soporten el logro de los objetivos estratégicos.
A la integridad: Son aquellas situaciones o eventos que, en caso de materializarse, impactarían en mayor o menor medida al entorno de valores y principios éticos de la institución.
A la reputación o imagen: Se refleja en un impacto de la materialización de cualquier tipo de riesgo, pués podría implicar presencia en cualquiera de las categorías de riesgo descritas anteriormente.
4.3. Registro de los riesgos identificados
Los riesgos identificados con las técnicas anteriores, se registran en la matriz siguiente, con los elementos que esta contenga.
MATRIZ 1: Matriz de Identificación de Riesgos.
Páginas: 1 de 1 MATRIZ DE IDENTIFICACIÓN DE
RIESGOS Fecha: Revisión: Área o Unidad Organizativa:
No. Riesgo
Objetivo estratégi
co u operativo asociado
Descripción del Riesgo
CausaConsecu
enciaInterna
Externa
Descripción
Consideraciones:
La identificación de los riesgos debe ser acorde a su causa primaria; es decir, aquellas que los originan dentro del proceso o subproceso, en
20
especial debe cuidarse separar eventos transferidos por otras áreas o procesos.
La matriz de identificación de riesgos permite que las instituciones lleven el registro de los riesgos detectados, para contar con un inventario de los mismos, al determinar el objetivo, proceso o plan que puede verse afectado por un determinado riesgo, así como las causas y el impacto posible.
Durante el desarrollo de la etapa de identificación de riesgos, la municipalidad debe dar prioridad a los procesos críticos y los riesgos más relevantes.
5. FASE II - ANÁLISIS Y EVALUACIÓN DE RIESGOS IDENTIFICADOS
El análisis y evaluación es la etapa subsecuente a la identificación de riesgos, en la cual se valora la probabilidad de ocurrencia del riesgo y el impacto que puede producir en caso de que se materialice o suceda, que consisten en valorar la probabilidad desde una perspectiva de juicio con base a criterios establecidos en las tablas siguientes.
5.1 Análisis del Riesgo El propósito de un proceso de análisis de riesgos es valorizar o ponderar el riesgo para establecer:
a) El impacto o gravedad que los riesgos identificados representan para el logro de los objetivos y resultados esperados, se valora considerando las consecuencias que puede ocasionar a la institución en casos que el riesgo se materialice o suceda; al evaluar el impacto de un riesgo, se deben considerar aspectos tales como capacidad de presentación de servicios, continuidad de las operaciones, credibilidad institucional, pérdidas económicas, pérdidas de bienes, transparencia, integridad, entre otros. El impacto se pondera con la tabla denominada IMPACTO DEL RIESGO.
b) La probabilidad de ocurrencia, se valora con base en la frecuencia; es decir, cuantas veces podría ocurrir el riesgo identificado, considerando los factores internos o externos. LA PROBABILIDAD DE OCURRENCIA se pondera con la tabla del mismo nombre.
Tabla 1. IMPACTO DEL RIESGO.
IMPACTO VALORACI CRITERIO O CARACTERISTICA.
21
ÓNLEVE 1 Podría atrasar la ejecución de las operaciones,
cuyos efectos pueden superarse en poco tiempo; es posible cumplir con la misión y alcanzar los objetivos, además de los resultados o productos esperados.
MODERADO 2 Permite realizar las operaciones, pero bajo condiciones de desempeño reducidas o que pueden generar atrasos en su ejecución, el riesgo obstaculiza el logro de los objetivos, podría dañar de manera significativa el patrimonio de la institución, estos daños se pueden superar en un período de tiempo menor, al que se necesita para superar un impacto catastrófico.
CATASTRÓFICO
3 Las operaciones podrían ser interrumpidas o no ejecutadas, ante un riesgo que, por las consecuencias negativas, se convierte en una amenaza sería para el logro de la visión, misión y objetivos, con esta circunstancia se pueden incumplir regulaciones legales, así mismo puede implicar pérdida patrimonial o daño a la imagen, falta de efectivo, emisión de información errónea para la toma de decisiones, afectando la implementación de programas, ejecución de proyectos y la prestación de servicios municipales.Por lo general, los daños causados se superan en un período importante de tiempo.
Tabla 2. PROBABILIDAD DE OCURRENCIA
PROBABILIDAD
VALORACIÓN
CRITERIO O CARACTERISTICA.
POCO PROBABLE
1 Existe una remota posibilidad que ocurra.
PROBABLE 2 Existe la posibilidad que ocurra, o se ha producido alguna vez en el pasado.
OCURRENTE 3 Se tiene la seguridad que ocurra, o se ha producido en muchas ocasiones, sin que se tomarán medidas de control al respecto.
22
5.2 Evaluación del Riesgo Con la valoración y ponderación del impacto y probabilidad de ocurrencia de los riesgos identificados, se procede a calcular el nivel de riesgo.
Tabla 3. Nivel de Riesgos
NIVEL DE RIESGO PROBABILIDAD
IMPACTO POCO PROBABLE
PROBABLE OCURRENTE
LEVE 1 2 3MODERADO 2 4 6
CATASTRÓFICO 3 6 9
NIVEL DE RIESGO PROBABILIDAD
IMPACTO POCO PROBABLE
PROBABLE OCURRENTE
LEVE Zona de riesgo ACEPTABLE -Asumir o aceptar
Zona de riesgo TOLERABLE-Reducir-Compartir o transferir
Zona de riesgo MODERADO-Reducir -Compartir o transferir
MODERADO Zona de riesgo TOLERABLE - Asumir o aceptar- Reducir el riesgo
Zona de riesgo MODERADO-Reducir o eliminar-Evitar- Compartir o transferir
Zona de riesgo IMPORTANTE-Reducir o eliminar-Evitar-Compartir o transferir
CATASTRÓFICO Zona de riesgo MODERADO-Evitar
Zona de riesgo IMPORTANTE-Reducir o eliminar
Zona de riesgo INACEPTABLE-Eliminar-Evitar
23
IMPACTO PROBABILIDADNIVEL DE RIESGONivel Escala
LEVE (1)
POCO PROBABLE (1)
BAJO 1 - 2 – 3
MODERADO (2)
PROBABLE (2)
MEDIO 4 – 6
CATASTRÓFICO (3)
OCURRENTE (3)
ALTO 9
-Evitar-Compartir o transferir
-Compartir o transferir
En este cuadro, adicionalmente, se relaciona la capacidad de la administración municipal de responder a los riesgos de conformidad al impacto y la probabilidad de ocurrencia de estos, con políticas de consideración a sus efectos, tales como ACEPTABLE, TOLERABLE, MODERADO, IMPORTANTE e INACEPTABLE, y la respuesta que a cada uno le corresponde, analizando la eficiencia, su oportunidad y pertinencia, a continuación, se relacionan las zonas de riesgo con las posibles respuestas.
Si el riesgo se ubica en la zona de riesgo aceptable, significa que su probabilidad de ocurrencia es poco probable y su impacto leve, lo que permite a la institución asumirlo o aceptarlo.
Si el riesgo se ubica en la zona de tolerable, es decir se encuentra en la zona media del impacto y la probabilidad, por lo tanto, debe vigilarse o reducirlo, esto dependerá del análisis particular que por cada riesgo que se encuentre en esta zona y se debe considerar el costo beneficio.
Si el riesgo se ubica en las zonas de riesgo moderado o importante, se debe de considerar medidas que eviten, reduzcan a aceptable o se comparta o transfiera el riesgo.
Si el riesgo se ubica en la zona de riesgo inaceptable, su probabilidad es ocurrente y su impacto es catastrófico; por tanto, se debe eliminar la actividad que genera el riesgo en la medida de lo posible. De lo contrario, se deben implementar controles para transferir o compartir (en la medida de lo posible), eliminar, reducirlo a aceptable o evitarlo.
6. FASE III - DETERMINACIÓN E IMPLEMENTACIÓN DE ACCIONES
La municipalidad cuenta con una serie de procesos para ejecutar varias operaciones, las cuales, en un esquema general de procesos, consisten en las entradas – el proceso – salidas. Mientras los riesgos pueden afectar esa dinámica, estos tienen que contra restarse por controles efectivos.
24
Riesgos
Entradas Salidas
Figura 4. Fuente: Elaboración propia.
Para responder a los riesgos evaluados, la institución analiza y determina las acciones correspondientes que deben emprenderse, considerando el impacto y la probabilidad determinada, con el fin de mitigar el impacto y su ocurrencia.
La municipalidad debe analizar diversas alternativas para emprender posibles respuestas a los riesgos, incluyendo las que se enfocan en asumirlos, vigilarlos, evitarlos, transferirlos, mitigarlos y compartirlo. Es muy importante realizar un análisis del beneficio ante el costo en la mitigación de los riesgos para que se establezcan medidas de control efectivas.
Asumir o aceptar el riesgo: Una vez analizado el grado de impacto que el riesgo tiene sobre los objetivos estratégicos y que se concluye que no está en condiciones de afectarlo razonablemente, se decide asumir o aceptar el riesgo y no ejecutar acción alguna, es decir, no existe la necesidad de establecer medidas de control adicionales a las que se tienen. Esta estrategia deberá usarse sólo para riesgos de impacto leve y poca probabilidad de ocurrencia.
Vigilar el riesgo: En este supuesto, debe darse seguimiento periódico al riesgo para determinar su probabilidad de ocurrencia conforme transcurre el tiempo. Si la probabilidad de ocurrencia se incrementa, los responsables de gestionar los riesgos deberán actuar de manera inmediata implementando acciones para mitigarlo. Este tipo de estrategias es aplicable para riesgos de impacto moderado y poca probabilidad de ocurrencia. Se recomienda crear un plan para mitigarlo sólo si aumenta la probabilidad de ocurrencia.
25
Procesos
Controles
Reducir el riesgo: Esta estrategia aplica cuando un riesgo ha sido identificado y representa una amenaza para el cumplimiento de los objetivos estratégicos, proceso o áreas, por lo que la institución deberá establecer acciones dirigidas a disminuir la probabilidad de ocurrencia y el impacto, tales como medidas específicas de control interno y optimización de procedimientos
Eliminar o Evitar el riesgo: Este tipo de respuesta se refiere a eliminar el factor o los factores que están provocando el riesgo; es decir, si una parte del proceso tiene alto riesgo, el segmento completo recibe cambios sustanciales por mejora, rediseño o eliminación, si fuera posible y la institución estuviera en la facultad legal para realizarlo.
Transferir el riesgo: Esta respuesta consiste en trasladar el riesgo mediante la responsabilización de un tercero (tercerización especializada). La responsabilidad será del tercero y asumirá los impactos o pérdidas derivadas de su materialización. En la actualidad la estrategia de transferencia de riesgos es una de las más utilizadas; se realiza a través del aseguramiento que significa pagar una prima (el precio del seguro) para que en caso de tener pérdidas estas sean asumidas por la aseguradora.
Compartir el Riesgo: Se refiere a distribuir el riesgo y las posibles consecuencias, también puede entenderse como transferencias parciales, en las que el objetivo no es deslindarse completamente, sino segmentarlo y canalizarlo a diferentes unidades administrativas o personas, las cuales se responsabilizarán de la parte del riesgo que les corresponda.
El efecto de adoptar la estrategia o combinación de éstas, tendrá como resultado un riesgo remanente o residual, el cual debe asumirse responsablemente por los titulares de las unidades administrativas de que se trate, además todas las medidas deben de aplicarse considerando no llegar a tener en la municipalidad riesgos calificados en zonas inaceptables.
26
MATRIZ GENERAL DEL RIESGOMATRIZ 2: MATRIZ GENERAL DEL RIESGO
Páginas: 1 de 1 MATRIZ GENERAL DE RIESGOS Fecha:
Revisión: Área o Unidad Organizativa:
ETAPA I: IDENTIFI CACIÓNETAPA II: ANÁLISIS Y
EVALUACIÓN
FASE III: DETERMINACIÓN E IMPLEMENTACIÓN DE ACCIONES
No. Riesgo
Objetivo estratég
ico u operativ
o asociad
o
Descripción del Riesgo
Causa
Consecuencia
Impacto
Probabilidad
Escala
Evaluación
Acción de
Respuestas
TiempoResponsabl
e de implementa
ción
Indicador
Interna
Externa
Descripción
Inicio
Final
27
28
6.1 Priorización del riesgoLa priorización del riesgo, dependerá del resultado de establecer el nivel de riesgo, de manera que, los riesgos que tengan un nivel ALTO serán los primeros en registrarse en la MATRIZ GENRERAL DE RIESGOS, le seguirán los de nivel MEDIO y sucesivamente los de nivel BAJO. La finalidad de la priorización de los riesgos es, ordenarlos de conformidad a la relevancia de sus consecuencias y mitigar, primeramente, los de mayor urgencia.
7. FASE IV – EVALUACIÓN DE CONTROLES EXISTENTESUna vez que se han identificado, evaluado y priorizado los riesgos; es necesario revisar las actividades de control que existen para mitigarlos; asimismo, es importante evaluar qué tan efectivos son los controles que se encuentran establecidos tanto en su operatividad como en su diseño; así como su implementación, esta actividad es clave, ya que la existencia de controles inadecuados o inefectivos manifiestan una gestión de riesgos nula.
A continuación, se muestra la matriz de valoración básica de los controles asociados a los riesgos identificados y evaluados, para identificar y analizar los controles existentes:
MATRIZ 3: Controles existentesCONTROLES
Nombre de
control.
Tipo de
control.
Frecuencia de
ejecución.
Responsable del control
Evidencia de la
ejecución
Efectividad del control
¿Existencia de riesgo
residual?.
Aclaraciones para el llenado de la MATRIZ:
1. Nombre del control: Se redacta el nombre de la actividad, acción, documento o estrategia que se tiene para mitigar el impacto del riesgo.
2. Tipo de control: Los tipos de controles pueden agregarse en dos categorías: Controles preventivos y Controles correctivos.
3. Frecuencia de ejecución: Se refiere a la periodicidad con la que se aplica el control.
29
4. Responsable del control: Es la persona, unidad organizativa o el área que ejecuta el control.
5. Evidencia de la ejecución: Documentación que respalda la implementación del control.
6. Efectividad del control: Se determina la efectividad de las medidas de control ejecutadas por la institución en un rango de mayor a menor, donde él menor se puntúa con 1 y el mayor se califica con un valor de 5, de la forma siguiente:
Medida EscalaNinguno 1Bajo 2Medio 3Alto 4Destacado 5
Aclaración de escalas:
Ninguno: Significa que los controles para el riesgo, son inexistentes, se mantiene el nivel del riesgo evaluado. Se deben diseñar controles.
Bajo: Existen controles que al aplicarlos no ayudan a mitigar el impacto del riesgo, es decir, no cambian el nivel del riesgo evaluado. Se deben diseñar controles.
Medio: La ejecución o aplicación de controles existentes ayudan a mitigar en alguna medida el impacto del riesgo, pueden cambiar el nivel del riesgo evaluado. Se deben fortalecer los controles existentes o diseñar controles adicionales.
Alto: La ejecución o aplicación de controles existentes ayudan a mitigar en gran medida el impacto del riesgo, después de la aplicación existe en menor grado el riesgo a nivel ACEPTABLE o TOLERABLE, al que llamaremos riesgo residual. Se deben implementar los controles existentes o fortalecerlos para lograr controles destacados.
Destacado: Los controles existentes son suficientes para mitigar totalmente el impacto y las consecuencias de los riesgos,
30
únicamente hay que nombrar a responsables para que los ejecuten correctamente, (en caso que no los haya).
7. Riesgo Residual: Esta columna debe completarse con respuestas cerradas de “si” o “no”, y debe comprenderse al riesgo residual como aquel que persiste a un nivel bajo, después de que la municipalidad ha implementado las controles para responder a los riesgos y mitigar el impacto de estos.
8. INFORME AL CONCEJO MUNICIPAL SOBRE LA GESTIÓN DE LOS RIESGOS.
En el proceso de implementación de las etapas de la gestión de riesgos, se debe informar al Concejo Municipal en dos momentos:
1. Informe ejecutivo que identifique las etapas ejecutadas para la identificación, análisis-evaluación y la determinación de acciones (controles) para mitigar el impacto de los riesgos, se adjuntará la matriz general de riesgos. Este informe debe prepararlo el jefe de la Unidad de Planificación y Gestión, en conjunto con el Comité Institucional de Riesgo, posterior a la ejecución del proceso descrito en este Manual.
2. Informe de implementación de las acciones para mitigar el impacto de los riesgos, con el cumplimiento de los indicadores respectivos, se adjuntará el listado de los riesgos residuales y su nivel o priorización, dependiendo del resultado. Este informe debe prepararlo el jefe de la Unidad de Planificación y Gestión, en conjunto con el Comité Institucional de Riesgo, posterior a que, los responsables implementen las acciones de control. Se elaborará con los insumos que proporcionen los responsables.
31
GLOSARIO Se incluye el siguiente glosario para mayor precisión en las definiciones relacionadas con el proceso de gestión del riesgo:
Término DescripciónControl (es) (Acción (es) de mejora).
Las actividades determinadas e implantadas por los titulares y demás servidores públicos de las instituciones para fortalecer el Sistema de Control Interno Institucional, así como prevenir, disminuir, administrar y/o eliminar los riesgos que pudieran obstaculizar el cumplimiento de objetivos y metas.
Gestión de Riesgos
El proceso sistemático que deben de realizar las instituciones para evaluar y dar seguimiento al comportamiento de los riesgos a que están expuestas en el desarrollo de sus actividades, mediante el análisis de los distintos factores que pueden provocarlos, con la finalidad de definir las estrategias y acciones que permitan controlarlos y asegurar el logro de los objetivos y metas de una manera razonable.
Análisis de Costo-beneficio
Una herramienta de Administración de Riesgos usada para tomar decisiones sobre las técnicas propuestas por el grupo para la gestión de los riesgos, en la cual se valoran y comparan los costos, financieros y económicos, de implementar la medida, contra los beneficios generados por la misma. Una medida de administración de riesgos será aceptada siempre que el beneficio valorado supere al costo.
Causa Son los medios, circunstancias y agentes precursores de los riesgos o que originan a estos.
Comité de Riesgos
Contribuye al cumplimiento de los objetivos y metas institucionales; a impulsar el establecimiento y actualización del Sistema de Control Interno, a través de la implementación de la gestión institucional de riesgos.
Control Correctivo
El mecanismo específico de control que opera en la etapa final de un proceso, el cual permite identificar y corregir o subsanar en algún grado, omisiones o desviaciones.
Control Detectivo
El mecanismo específico de control que opera en el momento en que los eventos o transacciones están ocurriendo, e identifican las omisiones o desviaciones antes de que concluya un proceso determinado.
Control El mecanismo específico de control que tiene el
32
Preventivo propósito de anticiparse a la posibilidad de que ocurran situaciones no deseadas o inesperadas que pudieran afectar al logro de los objetivos y metas.
Control Interno
El proceso que tiene como fin proporcionar un grado de seguridad razonable en la consecución de los objetivos de la institución.
Costo Se entiende por costo las erogaciones, directas e indirectas en que incurre la entidad en la producción, prestación de un servicio o manejo de un riesgo, por ejemplo, adquirir de una póliza de fidelidad para transferir el riesgo de fraude por un costo.
Evaluación de Riesgos
Determinar el impacto y la probabilidad del riesgo. Dependiendo de la información disponible pueden emplearse desde modelos de simulación, hasta técnicas colaborativas.
Economía Los términos y condiciones bajo los cuales se adquieren recursos, en cantidad y calidad apropiada y al menor costo posible para realizar una actividad determinada, con la calidad requerida.
Eficacia El cumplimiento de los objetivos y metas establecidos, en lugar, tiempo, calidad y cantidad.
Eficiencia El logro de objetivos y metas programadas con la menor cantidad de recursos.
Estrategia para manejar el riesgo
Actividades determinadas y específicas que elige la entidad para evitar o prevenir, reducir, dispersar, transferir y asumir riesgos.
Evaluación del Sistema de Control Interno
El proceso mediante el cual se determina el grado de eficacia y de eficiencia con que se cumplen los elementos de control del Sistema de Control Interno Institucional en sus tres niveles: Estratégico, Directivo y Operativo, para asegurar el cumplimiento de los objetivos del Control Interno institucional.
Grado de madurez de la Administración de Riesgos Institucional
El número de controles suficientes establecidos con relación al número de riesgos inventariados.
Identificación de riesgos
Establecer la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: toda la entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humilde operativo.
Impacto o efecto
Las consecuencias negativas que se generarían en la institución, en el supuesto de materializarse el
33
riesgo.Indicador Es la valoración de una o más variables que informa
sobre una situación y soporta la toma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa.
Matriz General de Riesgos.
El tablero de control que refleja el diagnóstico general de los riesgos para contar con un panorama de los mismos e identificar áreas de oportunidad en la Institución.
Nivel de Riesgo
Es el resultado de correlacionar el impacto y la posibilidad, también conocido como la exposición al riesgo.
Nivel (es) de Control Interno
La implementación y actualización de los elementos de Control Interno que integran las cinco Normas Generales de Control Interno, que realizan los servidores públicos adscritos a las Instituciones de acuerdo al ámbito de su competencia y nivel jerárquico y se clasifican en: Estratégico, Directivo y Operativo, en apego a los numerales 14 y 16 del Acuerdo por el que se emiten las Disposiciones en Materia de Control Interno.
Oportunidad La generación y entrega de la información y documentación en el tiempo requerido para su uso.
Corte de Cuentas de la República
La instancia facultada para realizar la revisión, supervisión, evaluación, control y seguimiento del ejercicio de los recursos públicos de acuerdo a las disposiciones legales, reglamentarias y normas administrativas, así como del cumplimiento de los objetivos contenidos en planes y programas institucionales, con el propósito de detectar desviaciones, prevenir, corregir, mejorar y/o sancionar.
Plan de Contingencia
Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.
Planeación estratégica
El ejercicio periódico que facilita la identificación de fortalezas, oportunidades, debilidades y amenazas, a través del cual se integra un programa de trabajo que permite establecer las palancas o acciones estratégicas o prioritarias, en virtud de que son las que derivan el mayor impacto en resultados, satisfacción y confianza de la sociedad.
Probabilidad o posibilidad de ocurrencia
Una medida (expresada como porcentaje o razón) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su frecuencia histórica
34
mediante modelos estadísticos de mayor o menor complejidad.
Responsables Son los servidores públicos encargados de monitorear un riesgo y dar seguimiento a planes de acción propuestos.
Riesgo El evento adverso e incierto (externo o interno) que derivado de la combinación de su probabilidad de ocurrencia y el posible impacto pudiera obstaculizar o impedir el logro de los objetivos y metas institucionales.
Riesgo inherente
Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto
Riesgo Residual
Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.
Seguimiento Recolección regular y sistemática sobre la ejecución del plan, que sirven para actualizar y mejorar la exposición a riesgos.
Seguridad Razonable
El escenario en el que la posibilidad de materialización del riesgo disminuye, y la posibilidad de lograr los objetivos se incrementa.
35