INFORME GESTION RIESGOS

Transcripción

1 INFORME GESTION RIESGOS INSTITUTO MIXTO DE AYUDA SOCIAL

2 1. METODOLOGÍA PARA LA ADMINISTRACION DEL RIESGO EN EL IMAS En atención a lo dispuesto en el artículo 14 de la Ley General de Control Interno en el que se señalan los deberes del jerarca y los titulares subordinados en materia de valoración del riesgo, les corresponde a los mismos: a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos. b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos. c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable. d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar. Aparejado a la implementación del SEVRI el IMAS tiene objetivos institucionales para el desarrollo de su correcto accionar, de manera que mediante los programas y proyectos se obtenga el cumplimiento de estos. Se realiza una serie de acciones para evitar que estos objetivos se puedan ver afectados por la presencia de eventuales riesgos. Mediante la implementación del SEVRI, como un conjunto organizado de elementos que interacciona para realizar las actividades de identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales. Además, comprende la interacción de los cinco componentes del SEVRI: Marco Orientador, Ambiente de Apoyo, Recursos, Sujetos Interesados y Herramienta para la Administración de Riesgos. La valoración del riesgo consta de tres etapas: Identificación y análisis, Evaluación y el seguimiento de los riesgos, y actualización. Estas etapas son de singular interés para desarrollar con éxito la administración del riesgo; para cada una de ellas se debe tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las

3 personas que ejecutan los procesos para lograr que las acciones determinadas alcancen los niveles de efectividad esperados. 1.1 Etapas de la Valoración de Riesgos Previo al desarrollo de cada una de estas etapas, se realiza un análisis de la situación del entorno mediante un diagnostico inicial. El proceso de valoración de riesgo se realiza con la participación del personal de las distintas Unidades Institucionales para el analices y revisión de los objetivos a la luz de las políticas y objetivos institucionales planteado en los Planes Institucionales estratégico y operativo, leyes relacionadas con el quehacer institucional y todos aquellos insumos que se consideren necesarios en el desarrollo de su correcta gestión. Mediante técnicas como la elaboración de un árbol de problemas, lluvia de ideas, o incluso la combinación de algunas de ellas que permita actualizar los objetivos de acuerdo al análisis de lo interno (este consiste en el análisis de los factores claves que han condicionado el desempeño pasado, la evaluación de dicho desempeño y la identificación de las fortalezas y debilidades que presenta la organización en su funcionamiento y operación en relación con la misión), lo externo(se refiere a la identificación de los factores exógenos, más allá de la organización, que condicionan su desempeño, tanto en sus aspectos positivos (oportunidades), y factores negativos o amenazas. Para realizar el ejercicio descrito es necesario hacerlo de una forma participativa por lo que se requiere contar con el mayor número de funcionarios involucrados en el quehacer de la instancia que se trate. Otro insumo consiste en revisar los factores internos que afectan el cumplimiento de objetivos de la Institución, desde el punto de vista operativo, financiero y de cumplimiento legal (incumplimiento de objetivos en el pasado, la calidad del personal, dispersión geográfica de las actividades, complejidad de los procesos, falta de apoyo logístico para la ejecución de las labores, presupuesto insuficiente o la calidad de los servicios). Una vez realizado el análisis de los objetivos generales y específicos que se tienen en el Plan Operativo Institucional, se debe proceder utilizando la información recolectada con las siguientes etapas: de identificación y Análisis de los riesgos, Evaluación y administración y Revisión de Riesgo y evaluación de medidas. A continuación un diagrama de las etapas en mención:

4 1.1.1 Etapa 1. Identificación y Análisis del Riesgo. Según las Directrices de la Contraloría General de la República 1, se debe identificar los riesgos por áreas, sectores, actividades o tareas, de conformidad con las particularidades de la Institución. El proceso de la identificación del riesgo es permanente e interactivo e integrado al proceso de planificación de la Unidad. Ayuda a este proceso que al momento de realizar la identificación de Riesgos se tienda a preguntar y responder qué (qué es lo que puede ocurrir), cómo y porqué (la causa) se puede originar hechos que influyen en el cumplimiento de los objetivos institucionales. Es importante tener en cuenta los factores que pueden incidir en la aparición de los riesgos, que pueden ser externos e internos y pueden llegar a afectar la actividad de la Institución en cualquier momento. Definiéndose riesgos como el evento o situación que podría presentarse y afectar el logro de objetivos de manera significativa. Para su identificación se muestra a continuación el instrumento que permitió a las unidades señalar sus objetivos, procesos, riesgos (mediante tres elementos la causa generadora del riesgo, el evento que puede generarse a partir de ella y una consecuencia para el logro de los objetivos; conformándose así la descripción de ese Riesgo) y controles existentes. 1 Directrices Generales para el establecimiento y funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI), publicadas en el Diario Oficial La Gaceta No. 134 del 12 de julio del 2005

5 Objetivo de la Unidad: Proceso: Riesgos Identificados Efectividad control (Evento- Causa-consecuencia) Nº Causa Evento Consecuencia (sobre objetivo) Evaluación Impacto Evaluación Probabilidad Controles existentes (para cada riesgo) Clave Evaluación Para cada riesgo identificado, se realiza el análisis del mismo, la evaluación de la probabilidad de la ocurrencia y consecuencia del evento, con base en los criterios de evaluación, lo anterior para establecer el nivel de riesgo absoluto o inherente (sin medidas de control). Como parte de esta primera etapa o fase fueron identificados los controles existentes para cada riesgo. Previo se realizó el análisis entre la consecuencia absoluta por la probabilidad absoluta para obtener un resultado cuantitativo (evaluación de riesgo absoluto), de manera que refleje el puntaje de riesgo y por lo tanto, se definió la exposición al riesgo que se tiene y permite la priorización de este. La valoración se realizará de forma cualitativa y cuantitativa, asignando un valor de 1 a 5, para lo cual se establecen los siguientes criterios: Probabilidad (evaluación cualitativa) Criterios para el Análisis del Riesgo Escala de Probalidad Consecuencia o Impacto Escala (evaluación cuantitativa) Muy Alta 5 Catastrófica 5 Alta 4 Alta 4 Media 3 Media 3 Baja 2 Baja 2 Nula o muy baja 1 Insignificante 1 Criterios para evaluar la probabilidad y consecuencia:

6 PROBABILIDAD Muy alta(5) Alta (4) Media(3) Baja(2) Nula o muy baja(1) CONSECUENCIA DESCRIPCIÓN La posibilidad de que ocurra algún evento, situación y/o acción que entorpezca el logro de los objetivos se da en la todas las circunstancias. La posibilidad de que ocurra algún evento, situación y/o acción que entorpezca el logro de los objetivos se da en la mayoría de las circunstancias. La posibilidad de que ocurra algún evento, situación y/o acción que entorpezca el logro de los objetivos en la mitad de los casos. La posibilidad de que ocurra algún evento, situación y/o acción que entorpezca el logro de los objetivos se da solo en algunas circunstancias. La posibilidad de que ocurra algún evento, situación y/o acción que entorpezca el logro de los objetivos se da solo bajo circunstancias excepcionales. DESCRIPCIÓN Catastrófica (5) Alta (4) Media(3) Baja(2) Insignificante (1) El impacto de la consecuencia produce o produciría un efecto extremadamente perceptible y daños catastróficos para la administración y sus sujetos interesados, al impedirle por completo cumplir con sus objetivos institucionales. El impacto de la consecuencia produce o produciría un efecto altamente perceptible y daños mayores para la administración y sus sujetos interesados, al impedirle cumplir con sus objetivos institucionales de manera razonable. El impacto de la consecuencia produce o produciría un efecto perceptible y daños moderados para la administración y sus sujetos interesados al afectar procesos críticos. El impacto de la consecuencia produce o produciría un efecto imperceptible y daños menores para la administración y sus sujetos interesados, pues ni los procesos críticos y compromisos internos y externos de la entidad se ven comprometidos. El impacto de la consecuencia produce o produciría un efecto es imperceptible y daños inofensivos para la administración y sus sujetos interesados Etapa 2. Evaluación de los Controles Existentes: Los controles existentes son los mecanismos o medidas implementadas en la Institución, que permiten aminorar la ocurrencia del riesgo. Una vez que se

7 identifica el control que se tiene implementado para minimizar o prevenir el riesgo, se procede a realizar una comprobación de la eficacia de esos controles de manera que permita definir el nivel de riesgos controlado y posterior priorización de atención al mismo. Para evaluar los controles se utilizaron los siguientes criterios de manera que permitieran evaluar la eficacia y eficiencia de estos: a) Evaluación de la eficacia: Control Clave o no Clave: Primeramente se evalúa si el control es un control clave o no clave, entendiéndose como clave cuando tiene incidencia directa en el riesgo, es decir si ese control es absolutamente necesario para evitar la ocurrencia del Evento y mantener controlada la causa incidiendo en la probabilidad, la consecuencia o en ambas simultáneamente. Cuando se evalúa como no clave ese control únicamente sirve de apoyo al ambiente de control. b) Evaluación de su efectividad: Sin Controles o Controles Pobres, significará, independientemente de si son claves o no, que el ambiente de control actual no está colaborando en la reducción de la consecuencia o probabilidad del riesgo asociado, por lo que la evaluación absoluta se mantendrá invariable en la evaluación del riesgo controlado. Cuando la mayoría de controles claves cuentan con una evaluación Existen Controles pero no han sido probados o Controles Fuertes, significa que el ambiente de control actual está colaborando en la reducción de la consecuencia o probabilidad del riesgo asociado, por lo que la evaluación absoluta se verá disminuida en un grado en la evaluación de riesgo controlado. En el caso de que la mayoría de controles claves cuentan con una evaluación Controles Herméticos, significará que el ambiente de control está colaborando al máximo en la reducción de la consecuencia o probabilidad del riesgo asociado, por lo que la evaluación absoluta de la consecuencia o de la probabilidad se verá reducida en dos el nivel en la evaluación de riesgo controlado. Para la evaluación de los controles se utilizó un formato preestablecido por la Herramienta informática, en donde se muestra la descripción del riesgo identificado y se realiza una pregunta concreta para poder evaluar de su respuesta si el control es clave y cómo afecta el ambiente de control, para lo cual el formato de la matriz permite escoger las opciones de calificación: c) Priorización de los riesgos Realizada la evaluación de los controles y nivel de riesgo residual, (con análisis de los controles existentes), mediante el análisis del ambiente de control identificado por parte de la Unidad de Control Interno, se obtiene la

8 priorización de los riesgos en el orden conforme se ubiquen en el mapa térmico que arroja la herramienta informática. Para lo que se generaron los informes de SEVRI de cada unidad, para su conocimiento y posterior definición de medidas para la administración de los mismos por parte de las unidades Etapa 3. Selección y análisis de medidas Administración de los riesgos: Conforme se señala en el Marco Orientador, cada titular subordinado con su equipo de trabajo definió las medidas de administración para los riesgos prioritariamente ubicados en el nivel de extremo y alto (cuadrantes rojos y cuadrantes naranja, definiéndolas acciones factibles y efectivas. Para determinar la viabilidad de la medida, cada titular en coordinación con la Unidad de Control Interno, realizó la valoración de las acciones propuestas que pueden ser llevadas a cabo, determinando y analizando lo siguiente: La relación costo-beneficio de llevar a cabo cada opción La capacidad y competencia de los participantes, tanto internos como externos para ejecutar esa opción establecida. La viabilidad técnica, jurídica y operacional de la opción. El cumplimiento del interés público y el resguardo de la hacienda pública De igual forma todas aquellas medidas de administración de nivel extremo por su ámbito de su competencia requerían ser presentadas al nivel superior correspondiente, para su respectivo análisis y aval.

9 2. RESULTADOS De acuerdo a lo expuesto anteriormente la valoración de riesgos se compone de etapas que son cíclicas, por tanto los resultados se despliegan en dos tiempos para facilitar su comprensión. Lo anterior considerando que las unidades debieron dar seguimiento a la administración de los riesgos identificados en el y el inicio de un ciclo nuevo de identificación de riesgos Resultados de la Administración del riesgo Durante los años 2010 y 2011 se implementaron las medidas de administración de riesgos con el fin de disminuir los niveles de riesgos identificados en el período (en probabilidad de ocurrencia o severidad de las consecuencias de ocurrencia). Dichos riesgos fueron priorizados para su administración en dos niveles: Nivel Gerencial de mayor prioridad. Nivel medio para las medidas a implementar por parte de los titulares subordinados en las distintas unidades del nivel funcional. Del total de 152 medidas a implementarse en la Institución, al año 2012, se obtuvo un 85% de medidas concluidas, un 5% se encuentran en proceso de ejecución y un 10% se encuentran pendientes. A continuación los números absolutos: Medidas de Administración Nivel Gerencial Nivel Funcional Concluidas En proceso 12 7 Pendientes 7 13 Totales Gráfico representando los porcentajes de cumplimiento de Medidas de Administración por nivel

10 Lo anterior permite determinar que las medidas fueron implementadas en un alto porcentaje por parte de los responsables, sin embargo es el Nivel Gerencial quien presenta el menor porcentaje de cumplimiento Nivel Funcional: Se realizaron dos seguimientos en el año Mediante el seguimiento se revisa el grado de implementación de las medidas de administración de riesgos y revisión del nivel de riesgo cuando las mismas se dan por concluidas. Dichos seguimientos se realizaron en el primer trimestre del 2011 y en el tercer trimestre 2011 y producto estos seguimientos de los 188 riesgos identificados. Para un total de 121 Medidas de Administración concluidas correspondientes a 62 riesgos revisados, de las cuales únicamente 11 no se convierten en controles permanentes de las unidades, dado que su ejecución agotó satisfactoriamente la atención de los riesgos administrados. En el cuadro siguiente se podrá consultar los números absolutos y porcentajes de riesgos ubicados por nivel en el año 2010 y En el mimo se podrá observar que el nivel más relevante es el extremo pues se paso de veinte riesgos a uno solo. Riesgos

11 Absoluto Porcentaje Absoluto Porcentaje Extremo 20 32,3% 1 1,6% Alto 32 51,6% 15 24,2% Moderado 10 16,1% 15 24,2% Bajo 0 0,0% 31 50% Total % % A manera de síntesis, en el siguiente gráfico, se muestra la evaluación del nivel de riesgo de los 62 riesgos revisados en la efectividad de las medidas de administración: Evaluación de riesgos 2010 Evaluación de Riesgos Riesgos Extremo Alto Moderado Bajo Según lo anterior y de acuerdo con la revisión de riesgos 2012, se obtuvo un efecto positivo en la disminución de los niveles de riesgo al comparar los resultados 2010 y 2011, con el seguimiento a la implementación de las medidas de administración de riesgos. Del total de 188 riesgos para el año 2012, persistían un total de 131 sin la correspondiente revisión por parte de las Unidades propietarias de los mismos, siendo que de 149 tratamientos que existen 121 tratamientos se encuentran concluidos y 28 no han sido completados (16 pendientes y 12 en proceso) y que una vez terminados corresponderá su revisión para determinar si se varió el nivel de los riesgos tratados. Se ha obtenido variación según lo que reportan las Unidades para 27 riesgos únicamente, lo que nos lleva a un aproximado de no respuesta de las Unidades de un 34 % al seguimiento. Posterior a los seguimientos durante el 2012 se evidencia un movimiento positivo en la ubicación de los riesgos. En la gráfica siguiente se ilustran los cambios por año.

12 La gráfica anterior nos indica que se dio una disminución de riesgos pasándose de 188 a 141 en total y que en el año 2010, esta disminución se debe a la revisión efectuada en el año 2012, donde cada Unidad realizó una revisión de sus riesgos y procesos. De los riesgos restantes del ciclo anterior, 75 se encontraban ubicados en el nivel extremo y para el 2012, solamente se ubican 26. La tendencia de reducir el nivel de riesgo, se repite en la categoría alto; ya que en el año 2010, se ubicaban 68 riesgos y para el 2012, solamente 21 riesgos permanece en dicha categoría. Los datos anteriores ponen en evidencia que las medidas de administración se convirtieron en controles, mejorando así el ambiente de control para la aceptabilidad de los riesgos la cual es de 67% (nivel moderado o bajo), el restante corresponde a medidas de administración que no fueron implementadas por las unidades. Riesgos del nivel funcional En apego a la normativa interna de control interno, del total de riesgos identificados por las unidades, 112 deberán ser administrados. Dichos riesgos, fueron categorizados según la estructura de riesgos definida en la Institución considerando los factores generadores. En el gráfico siguiente se despliega la categorización de los riesgos 2012.

13 Por tanto de los 112 riesgos, 60 se ubican en nivel extremo y 52 en el nivel alto y ubicados por categoría sobresale la categoría operaciones, debido a que 77 pertenecen a dicha categoría, los cuales, corresponden principalmente a las unidades ejecutores ubicadas en área social (total de 56 riesgos). 3. Análisis y Evaluación de Riesgos Posterior a la identificación de riesgos y su categorización, se procede a clasificarlos, de acuerdo al nivel de riesgo, con una metodología cruzada entre consecuencia y probabilidad. Para ello se han definido cuatro niveles, a saber: Nivel Bajo: Nivel Moderado: Exposición al riesgo está mínimamente comprometido, los controles se podrían mantener, ya que el logro de los objetivos no se vería afectado de forma significativa. Exposición al riesgo está parcialmente comprometido, de modo que si se fortalecen aun más los controles que inciden en los riesgos, se podría llegar a alcanzar los objetivos.

14 Nivel Alto: Nivel Extremo: El grado de exposición al riesgo está altamente comprometido, de tal forma que si no se incide en los riesgos a través de la definición de controles más adecuados, no se podría llegar a alcanzar los objetivos. El grado de exposición al riesgo es total, lo que implica a una situación totalmente vulnerable para la consecución de los objetivos fijados. Es necesaria una atención inmediata en el establecimiento de controles adecuados. Dicha clasificación permite identificar si los riesgos deberán ser administrados. A continuación, se presentan los resultados para la consecuencia y la probabilidad absoluta (nivel de riesgo inherente), y el valor de estas controlada (con controles existentes), lo que permitió obtener el nivel de riesgo residual, y priorizar las acciones para la administración de los riesgos. Los niveles de riesgos obtenidos a partir de la evaluación de la probabilidad y la consecuencia, se muestran en el siguiente gráfico donde se indica la cantidad de riesgos para cada nivel en ambos escenarios (inherente y controlado). La primer columna representa el riesgo inherente y la segunda columna representa el nivel de riesgos con controles controlados ). Primera columna: Inherentes Segunda columna: Controlados La priorización de acciones para la administración se centra en los niveles de extremo y alto, donde cada titular responsable de los riesgos elabora el plan de medidas de administracion (plan de prevención o mitigacion de riesgos) de

15 acuerdo con los criterios definidos para la administracion y aceptabilidad del riesgos. De la valoración del riesgos se determina la prioridad de administración de riesgos, que se ubican en el nivel extremo y alto para un total de 115 riesgos, el porcentaje de aceptabilidad según los criterios previamente definidos es de un 42 %, siendo los no aceptados un 58%, sobre estos últimos se definieron las medidas de administración de riesgos a implementarse en el año A continuación un gráfico que ilustra por porcentaje la ubicación de los riesgos. No Aceptados 58% Aceptados 42% 4. Evaluacion del Ambiente de Control Se evalua el ambiente de control para determinar el grado en que se minimiza la posibilidad o consecuencia de la materialización de los riesgos y así determinar la prioridad de atencion de los riesgos que de acuerdo a su nivel requieran la implementación de acciones de prevención o mitigación. En el gráfico siguiente los resultados de la evaluación de los controles existentes de la identificación de riesgos 2012:

16 En el gráfico anterior se evidencia que de la evaluación de controles se obtuvo un 49% que contribuyen con un adecuado ambiente de control al ubicarse como Controles suficientes, lo que representan actividades de control incorporadas en la gestiones de las distintas unidades que previenen o minizan la ocurrencia de los riesgos identificados. Por otra parte se encuentra que un 63% de los controles con una evaluación de intermedios y un 12% como insufientes donde será necesario como parte de la administracion de los riesgos fortalecer el ambiente de control con actividades para revisar y mejorar dichos controles. Un alto porcentaje de controles evaluados como intermedios (63%), lo que indica que los mismos no se encuentran integrados a la gestión o procesos de las unidades, que son aplicados pero no son documentados o comunicados formalmente. 5. Nivel de Riesgo Institucional A partir de los resultados de la evaluación y análisis de riesgos, se determinan áreas institucionales con mayores grado de riesgo, por medio de la herramienta informática de apoyo Enterprise Risk Asesor (ERA), la cual arroja el score o promedio de riesgo para cada unidad o nivel de riesgo de acuerdo con los eventos identificados y la evaluación de la probabilidad y consecuencia. Lo que permite determinar áreas de riesgos y prioridad institucional. Siendo que el nivel de riesgo más alto que pueda alcanzarse es de CONCLUSIONES GENERALES DE LA GESTIÓN DE RIESGOS El seguimiento realizado en la implementación de las medidas de administración, ha permitido determinar cambios en los niveles de riesgos,

17 convirtiendo en controles propios de cada Unidad mejorando de esa forma el ambiente de control. Las medidas del nivel 1, correspondiente al Ciclo , que se encuentran en proceso de implementación deberán ser revaloradas en el ciclo a iniciarse en el año Durante la revisión de riesgos 2012, las unidades realizaron una revisión de sus objetivos y riesgos, además de identificar sus procesos claves generando de esta manera una gestión de riesgos más integrada en la gestión institucional. Como parte del fortalecimiento del SEVRI, es recomendable que se establezca prioritariamente acciones de atención para las unidades con mayores niveles de riesgo, según se mostro en el apartado 3.4. Para un mejor ambiente de control, los controles identificados y evaluados como insuficientes o intermedios, fueron revisados por las Unidades para determinar las acciones para fortalecerlos como parte de la administración del riesgo. Las medidas de administración que cada unidad implementará, deberá ser revisadas y evaluada en su eficacia y efectividad, como parte de la administración de los riesgos. Lo que permitirá revisar el grado en que afecta los riesgos. Todas las medidas de administración tienden afectar la probabilidad de ocurrencia de los eventos, para lo que si algún evento se materializa en la ejecución de estas, el titular responsable deberá comunicar a la Unidad de Control Interno, para la debida atención del riesgo. Es responsabilidad de cada titular la implementación de las medidas de administración según su competencia y por lo que brindarán los informes de avance y seguimiento. Limitaciones presentadas en el seguimiento a la implementación de las medidas de administración y revisión de riesgos: Una de las grandes limitaciones presentadas en las actividades que realiza la Unidad de Control Interno, es la entrega extemporánea de la información solicitada a las dependencias durante los procesos de valoración de riesgos y definición de las medidas de administración de riesgos, lo que provoca retrasos que el análisis y elaboración de informes de resultados. Igualmente, durante las sesiones de trabajo convocadas por la Unidad de Control Interno, no se contó con la participación de todos los titulares subordinados convocados, por lo que es necesario realizar reuniones posteriores incidiendo en una mayor inversión de tiempo durante las actividades programadas