Post on 15-Apr-2020
transcript
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
1
SUBSISTEMA CONTROL DE LA EVALUACIÓN
Informe
Subsistema Control Estratégico
MODELO DE MADUREZ DEL SEVRI 2016
Presentado por: Licda. Sonia Murillo Hurtado
Noviembre 2016
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
2
INFORME 1- ANTECEDENTES Atendiendo lo que establece la normativa en el artículo No. 14, 18 y 19 de
la Ley General de Control Interno el cual indica lo siguiente:
“... Artículo 14.—Valoración del riesgo. En relación con la valoración del riesgo, serán deberes del jerarca y los titulares subordinados, entre otros, los siguientes:
a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos. b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos. c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable. d) Establecer los mecanismos operativos que minimicen el riesgo en las acciones por ejecutar.
Artículo 18.—Sistema específico de valoración del riesgo institucional. Todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo.
La Contraloría General de la República establecerá los criterios y las directrices generales que servirán de base para el establecimiento y funcionamiento del sistema en los entes y órganos seleccionados, criterios y directrices que serán obligatorios y prevalecerán sobre los que se les
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
3
opongan, sin menoscabo de la obligación del jerarca y titulares subordinados referida en el artículo 14 de esta Ley.
Artículo 19.—Responsabilidad por el funcionamiento del sistema. El jerarca y los respectivos titulares subordinados de los entes y órganos sujetos a esta Ley, en los que la Contraloría General de la República disponga que debe implantarse el Sistema Específico de Valoración de Riesgo Institucional, adoptarán las medidas necesarias para el adecuado funcionamiento del Sistema y para ubicarse al menos en un nivel de riesgo institucional aceptable....”
Y en cumplimiento del acuerdo de Junta Directiva 2016-225 el cual
indica lo siguiente:
“…Se instruya a los Titulares Subordinados para en coordinación con la Unidad de Control realicen la evaluación del Modelo de Madurez del SEVRI, para determinar el nivel de madurez institucional según instrumento del ente fiscalizador y se presente el resultado en el mes de diciembre del año 2016….”
Me permito hacer del conocimiento del Jerarca los resultados del
instrumento diseñado por la Contraloría General de la República denominado
Modelo de Madurez del SEVRI y aplicado a nivel institucional.
2- METODOLOGÍA UTILIZADA
Se aplicó el instrumento diseñado por la Contraloría General de la República
denominado Modelo de Madurez del SEVRI, cuyo objetivo es el de ofrecer una
visión global del sistema de valoración de riesgo institucional, permitiendo
identificar el estado de desarrollo en que se encuentran cada uno de tres aspectos
a considerar en el SEVRI, a saber: aspectos generales del SEVRI,
establecimiento del SEVRI, funcionamiento del SEVRI.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
4
Para tales efectos, se establecen cinco posibles estados de madurez que en su
orden evolutivo son: incipiente, novato, competente, diestro y experto.
El instrumento estuvo dirigido a los Titulares de Gerencia y Subgerencia General,
Subgerentes de Área, Directores de UEN, Directores Regionales, Directores
Nacionales y Titulares Subordinados de Unidades Ejecutoras. Se utilizó el SACI
como herramienta automatizada para facilitar el tabulado del proceso.
3- PARTICIPANTES DEL PROCESO
Por lo extenso del instrumento y para facilitar la participación se realizó en tres
etapas las cuales se indican a continuación:
Aspectos generales Mes de julio 100% Participación
Establecimiento del SEVRI Mes de agosto 100% Participación
Funcionamiento del SEVRI Mes de setiembre 97% Participación
En el anexo No. 1 se encuentran los reportes de participación, en el caso del
tercer aspecto en donde se obtuvo un 97%, se indica que el Titular Subordinado
del área que pudo completar los cuestionarios se encentraba incapacitado y en el
anexo No. 2 se encuentra el reporte por comentarios.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
5
4- RESULTADOS DEL INSTRUMENTO
4.1. ASPECTOS GENERALES
1. Aspectos generales
1.1 Objetivos/productos del
SEVRI INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
1.1.1
Existencia y uso de la información sobre los riesgos institucionales en la toma de decisiones.
No existe información sobre los riesgos relevantes de la organización.
La información generada sobre la valoración de riesgos no se utiliza para la toma de decisiones.
La información generada se usa para la toma de decisiones aun cuando no se considera que no sean las más relevantes.
Los funcionarios utilizan la información generada para apoyar las decisiones que considera las más relevantes.
La información sobre los riesgos institucionales se encuentra en proceso de mejoramiento continuo para garantizar el apoyo a la toma de decisiones más relevantes.
1.1.2
Grado en que la valoración del riesgo permite ubicar a la institución bajo un nivel de riesgo aceptable.
No se han definido los parámetros que se deben aplicar para determinar el nivel de riesgo aceptable para la organización.
Existen parámetros de aceptabilidad de riesgos definidos en la organización que deberán ser utilizados por los funcionarios para definir las medidas de administración de riesgos.
Se diseñan medidas de administración de riesgos orientadas a ubicar a la Institución bajo un nivel de riesgo aceptable de acuerdo con los parámetros de aceptabilidad definidos.
Las medidas de administración de riesgos establecidas para ubicar a la organización bajo un nivel de riesgo aceptable son aplicadas por los funcionarios responsables.
Se evalúa periódicamente la eficacia y eficiencia de las medidas de administración de riesgos implementadas en función de lo que contribuyen a mantener a la organización en un nivel de riesgo aceptable.
DISTRIBUCIÓN POR
RESPUESTA 3 9 14 15 1
1.1.3
Grado en que la valoración del riesgo contribuye al logro de los objetivos institucionales.
La valoración del riesgo que se realiza en la organización se hace sin considerar los objetivos institucionales formulados en los planes de corto, mediano y largo plazos.
La valoración del riesgo se realiza en función de los objetivos institucionales formulados en los planes de corto, mediano y largo plazos.
Las medidas de administración de riesgos se establecen en función de los riesgos relevantes para el cumplimiento de los objetivos institucionales, realizando un análisis de costo beneficio.
Las actividades de control del Sistema de Control Interno se establecen en función de las medidas de administración de riesgos relevantes para el cumplimiento de los objetivos institucionales.
Se verifica periódicamente que las actividades de control se ajustan a los cambios en las medidas de administración de riesgos.
DISTRIBUCIÓN POR
RESPUESTA 4 9 14 15 0
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Existencia y uso de la información sobre los riesgos
institucionales en la toma de decisiones 60 COMPETENTE
Grado en que la valoración del riesgo permite ubicar a la
institución bajo un nivel de riesgo aceptable. 49 COMPETENTE
Grado en que la valoración del riesgo contribuye al logro de
los objetivos institucionales. 52 COMPETENTE
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
6
Como se observa en las tablas anteriores, el resultado en lo correspondiente al
primer criterio de este aspecto se ubica en un nivel de competente, lo que indica
que el SEVRI se encuentra un nivel que apenas está produciendo información que
apoya la toma de decisiones y que además, esta información permite conocer el
estado del portafolio de riesgos de nivel institucional y por dependencias, para
proponer las diferentes medidas de administración que deberán incorporarse en
los diferentes planes institucionales, que propicien alcanzar el logro de los
objetivos del AyA bajo un escenario de riesgos razonable. Sin embargo, existen
todavía oportunidades de mejora para hacer más eficientes los proceso.
1.2. Insumos para el SEVRI
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
1.2.1.
Suficiencia de la información sobre el entorno interno (información interna) para la valoración del riesgo en la organización.
No se ha identificado la información interna necesaria para la valoración del riesgo en la institución.
Se está elaborando la información interna para que los funcionarios realicen la valoración del riesgo.
Los funcionarios cuentan con alguna información interna para la valoración del riesgo.
Los funcionarios cuentan con la información interna suficiente para la valoración del riesgo.
La información interna con que cuenta los funcionarios para la valoración de riesgos es suficiente y se mejora continuamente.
DISTRIBUCIÓN
POR RESPUESTA 0 3 24 11 4
1.2.2.
Suficiencia de la información sobre el entorno externo (información externa) para la valoración del riesgo en la organización.
No se ha identificado la información externa necesaria la valoración del riesgo en la institución.
Se está elaborando la información externa para que los funcionarios realicen la valoración del riesgo.
Los funcionarios cuentan con alguna información externa para la valoración del riesgo.
Los funcionarios cuentan con la información externa suficiente para la valoración del riesgo.
La información externa con que cuenta los funcionarios para la valoración de riesgos es suficiente y se mejora continuamente.
DISTRIBUCIÓN
POR RESPUESTA 0 6 23 10
3
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Suficiencia de la información sobre el entorno interno
(información interna) para la valoración del riesgo en la
organización. 60 COMPETENTE
Suficiencia de la información sobre el entorno externo
(información externa) para la valoración del riesgo en la
organización.
46 COMPETENTE
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
7
Como se observa en las tablas anteriores, el resultado en lo correspondiente al
segundo criterio de este aspecto se ubica en un nivel de competente, lo que indica
que el SEVRI se encuentra un nivel que apenas está produciendo información
sobre el análisis interno y externo para el establecimiento y funcionamiento
basados en los planes nacionales, sectoriales e institucionales y sus
correspondientes evaluaciones, observancia en la normativa tanto interna como
externa, así como en la revisión de documentos de operación diaria y evaluación
del desempeño del mismo SEVRI. Sin embargo, existen todavía oportunidades
de mejora con el fin de mejorar el nivel de madurez del SEVRI.
1.3. Respon-sabilidad
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
1.3.1.
Nivel de apoyo del jerarca y titulares subordinados a la valoración de riesgo.
No hay evidencia de que el jerarca y titulares subordinados estén apoyando de alguna manera la valoración del riesgo institucional.
El jerarca y titulares subordinados apoyan la valoración del riesgo de forma pasiva.
El jerarca y titulares subordinados apoyan la valoración del riesgo de forma activa.
El jerarca y los titulares subordinados muestran un liderazgo activo en relación con la valoración del riesgo institucional y participan de forma directa en la administración de los riesgos institucionales que merecen atención prioritaria.
El jerarca y titulares subordinados por su actitud y compromiso incentivan a que los funcionarios de la institución refuercen su capacidad en la valoración de riesgos y lo consideren un proceso prioritario de su organización.
0 5 17 14 6
1.3.2
El jerarca y titulares subordinados rinden cuentas en relación con el SEVRI.
El jerarca y los titulares subordinados no conocen los riesgos relevantes para la institución.
En todo momento el jerarca y los titulares subordinados conocen los riesgos institucionales relevantes y las medidas que se han tomado para administrarlos, pero no los dan a conocer a los sujetos interesados internos o externos.
El jerarca y titulares subordinados conocen los riesgos institucionales relevantes y las medidas que se han tomado para administrarlos, lo cual dan a conocer a los sujetos interesados internos.
El jerarca y titulares subordinados conocen los riesgos institucionales relevantes y las medidas que se han tomado para administrarlos, lo cual dan a conocer a los sujetos interesados internos y externos.
El jerarca y titulares subordinados dan seguimiento a la valoración de riesgos y responden por la eficacia y eficiencia de las medidas de administración de riesgos.
0 4 19 6 13
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
8
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Nivel de apoyo del jerarca y titulares subordinados a la
valoración de riesgo. 62 DIESTRO
El jerarca y titulares subordinados rinden cuentas en relación
con el SEVRI. 67 DIESTRO
Como se observa en las tablas anteriores, el resultado en lo correspondiente al
segundo criterio de este aspecto se ubica en un nivel de diestro, el Jerarca y los
Titulares Subordinados están tomando acciones para fortalecer y perfeccionar el
sistema, se han instaurado procesos de mejora continua para el oportuno ajuste y
fortalecimiento permanente del sistema, pero se deben generan acciones para
que la esta herramienta de gestión, apoye la toma de decisiones.
4.2 ESTABLECIMIENTO DEL SEVRI
2. Establecimiento del SEVRI
2.1. Marco Orientador INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
2.1.1.
Disposición de una política de valoración del riesgo
La institución cuenta con una política de valoración del riesgo institucional.
En la institución se está elaborando la política de valoración del riesgo institucional.
Se ha emitido una política de valoración del riesgo, sin embargo, no es utilizada por los funcionarios de la institución.
La política de valoración del riesgo emitida por el jerarca es utilizada por los funcionarios de la Institución.
La política se revisa periódicamente y se ajusta ante los cambios en el entorno interno y externo a la organización.
0 2 13 21 0
2.1.2.
Disposición de estrategia de valoración del riesgo
La institución no cuenta con una estrategia del SEVRI.
En la institución se está elaborando la estrategia del SEVRI.
La institución cuenta con la estrategia del SEVRI pero no se aplica.
La estrategia es aplicada por los responsables en la organización, pero no se actualiza periódicamente.
La estrategia del SEVRI se evalúa periódicamente y se actualiza de acuerdo con la etapa en que se encuentre el SEVRI: establecimiento, funcionamiento, evaluación o perfeccionamiento.
0 5 8 18 11
2.1.3.
Disposición de una normativa para la valoración del riesgo
La institución no cuenta con una normativa interna para la valoración del riesgo institucional.
En la institución de está elaborando la normativa de la valoración de riesgos.
Se ha establecido la normativa institucional para la valoración del riesgo, pero no se ha divulgado ampliamente.
La normativa de valoración del riesgo es utilizada pero no se ajusta de acuerdo con las necesidades de las unidades.
La normativa se revisa periódicamente y se ajusta de acuerdo con las necesidades de las unidades y los resultados de su aplicación.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
9
1 3 13 14 11
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Disposición de una política de valoración del riesgo 68 DIESTRO
Disposición de estrategia de valoración del riesgo 70 DIESTRO
Disposición de una normativa para la valoración del riesgo 68 DIESTRO
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto, se ubica en un nivel de diestro, lo que indica que a
nivel institucional se dispone y se conoce de la política, estrategia y normativa de
valoración del SEVRI, pero su implementación es discreta. Es importante que
estos elementos normativos se refinen hasta un nivel de mejor práctica.
2.2. Ambiente de apoyo
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
2.2.1.
Nivel de convencimiento sobre la importancia de la valoración del riesgo en la organización.
Los funcionarios perciben que la valoración del riesgo constituye una distracción al funcionamiento de la organización.
Los funcionarios tienen la percepción de que la valoración de riesgos tiene un valor agregado para la organización.
Los funcionarios consideran que la valoración del riesgo agrega valor significativo a las funciones de la organización, pero no lo incorpora en la metas de la institución.
Los funcionarios consideran que la valoración del riesgo agrega valor significativo a las funciones y la institución incluye metas específicas sobre los riesgos institucionales relevantes.
Se verifica el cumplimiento de las metas sobre los riesgos relevantes y se toman medida pertinentes.
0 5 17 16 0
2.2.2.
Uniformidad en el significado del concepto de riesgo,
No hay uniformidad en el significado del concepto de riesgo por parte de los funcionarios de la institución.
El significado del concepto de riesgo es uniforme a lo interno de algunos grupos o unidades de la organización, pero no en toda la institución.
El significado del concepto de riesgo es uniforme en toda la institución, pero no es ampliamente compartido.
El significado del concepto de riesgo es uniforme en toda la institución y ampliamente compartido por sus funcionarios.
El significado del concepto de riesgo se actualiza en función de los cambios en el entorno y, particularmente, en las normativas legales técnicas.
0 5 23 11 3
2.2.3.
Actitud de la organización ante la valoración del riesgo.
Los funcionarios administran sus riesgos sin comprenderlos previamente.
Los funcionarios administran sus riesgos con algún grado de comprensión sobre los mismos.
Los funcionarios están dispuestos a administrar sus riesgos de acuerdo con un análisis estructurado de los riesgos.
Los funcionarios administran sus riesgos con base en un análisis estructurado.
Los funcionarios administran los riesgos con base en un análisis estructurado y considerando la experiencia obtenida.
3 16 14 6 3
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
10
2.2.4.
Adecuación de la estructura organizativa al proceso de valoración del riesgo.
La estructura organizativa no se ha evaluado en función de los requerimientos del proceso de valoración del riesgo.
Se han evaluado las diversas formas en que se puede organizar la institución para realizar la valoración del riesgo de acuerdo con los requerimientos normativos.
Se está ejecutando los ajustes necesarios a la estructura organizativa en función de los requerimientos del proceso de valoración del riesgo.
Los ajustes a la estructura organizativa se han completado en función de los requerimientos del proceso de valoración de riesgos.
La estructura organizativa se revisa periódicamente en función de los requerimiento del proceso de valoración del riesgo.
3 16 14 6 3
2.2.5.
Cumplimiento de las responsabilidades relacionadas con el SEVRI.
Las responsabilidades en relación con el SEVRI no se han definido.
Las responsabilidades en relación con el SEVRI están en proceso de definición.
Las responsabilidades en relación con el SEVRI están definidas pero no todo el personal tiene claridad de ellas.
Las responsabilidades están definidas y todo el personal tiene claridad de ellas pero no se cumplen.
Las responsabilidades en relación con el SEVRI se cumplen y ajustan de acuerdo con cambios en el entorno interno y externo.
0 3 21 9 9
2.2.6
Consolidación de mecanismos de coordinación y comunicación relacionados con el SEVRI.
No hay mecanismos definidos para la coordinación y la comunicación en relación con el SEVRI.
La institución está estableciendo los mecanismos de coordinación y comunicación en relación con el SEVRI.
La institución tiene establecidos los mecanismos de coordinación y comunicación, sin embargo no son utilizados por los funcionarios de manera sistemática.
La institución tiene establecidos los mecanismos de coordinación y comunicación y se utilizan por los funcionarios de manera sistemática. Sin embargo, no se conoce su efectividad.
Los canales de coordinación y comunicación se revisan periódicamente y se mejoran ante recomendaciones.
0 11 21 11 7
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Nivel de convencimiento sobre la importancia de la valoración del riesgo en la organización.
61 DIESTRO
Uniformidad en el significado del concepto de riesgo, 57 COMPETENTE
Actitud de la organización ante la valoración del riesgo. 60 COMPETENTE
Adecuación de la estructura organizativa al proceso de valoración del riesgo.
44 COMPETENTE
Cumplimiento de las responsabilidades relacionadas con el SEVRI. 64 DIESTRO
Consolidación de mecanismos de coordinación y comunicación relacionados con el SEVRI.
63 DIESTRO
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto, se ubica en un nivel de competente a diestro. Lo que
indica es que se está instaurando una estructura organizacional, que está
respondiendo a la operación del SEVRI, construyendo una cultura que favorece la
gestión de riesgos institucional, sin embargo, no se conoce el nivel de impacto que
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
11
se tiene sobre los procesos. La Institución debe trabajar en las oportunidades de
mejora de este criterio, con el fin de lograr niveles superiores de madurez.
2.4. Interesados del SEVRI
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
2.4.1. Participación de los sujetos interesados de la institución.
No se conoce cuáles son los sujetos interesados de la institución.
Se están identificando cuáles son los sujetos interesados de la institución.
Los sujetos interesados, sus y percepciones, se han identificado, pero no se han incorporado en el diseño del SEVRI.
Se incorpora al diseño del SEVRI los objetivos y percepciones de los sujetos interesados más importantes para la organización.
Los sujetos interesados participan activamente en el proceso de valoración del riesgo.
0 6 20 8 8
2.4.2. Participación de los sujetos interesados en el SEVRI
Los sujetos interesados no participan en el funcionamiento del SEVRI.
Los únicos sujetos interesados que participan en el funcionamiento del SEVRI son los funcionarios de la institución y no se está valorando la participación de otros sujetos interesados.
Los únicos sujetos interesados que participan en el funcionamiento del SEVRI son los funcionarios y se está valorando la participación de otros sujetos interesados.
Los sujetos internos y externos más importantes para la institución participan en el funcionamiento del SEVRI (incluyendo los sujetos de derecho privado que sean custodios o administradores de fondos públicos y los fiduciarios encargados de administrar fideicomisos constituidos con fondos públicos).
Los interesados internos y externos más importantes evalúan de forma periódica el funcionamiento del SEVRI y proponen mejoras.
0 8 18 10 6
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Participación de los sujetos interesados de la institución. 61 COMPETENTE
Participación de los sujetos interesados en el SEVRI 58 COMPETENTE
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto, se ubica en un nivel competente. Lo que indica que
los sujetos interesados se encuentran identificados, pero todavía no ha sido
posible incorporarlas en la gestión institucional, por lo que será necesario que se
generen acciones que permitan integrarlos y actualizarlos de conformidad con la
madurez del sistema.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
12
2.5.
Herramienta para la administración de información
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
2.5.1.
Establecimiento de una herramienta para la administración de información del SEVRI.
No se cuenta con una herramienta para la administración de información del SEVRI.
La herramienta para la administración de información se encuentra en proceso de elaboración.
La herramienta para la administración del SEVRI ha sido creada sin embargo no se utiliza.
Se cuenta con una herramienta institucional y se utiliza, pero no se actualiza.
La herramienta se evalúa y ajusta periódicamente.
0 5 12 18 7
2.5.2.
Alcance de la herramienta para administración de la información del SEVRI.
No se ha definido el alcance de la herramienta para la administración de la información del SEVRI
Se ha definido el alcance de la herramienta para la administración de información del SEVRI, pero no está en función de la política institucional.
Se ha definido el alcance de la herramienta para la administración de información del SEVRI, pero no está en función de la política institucional y metodología institucional.
Se ha definido el alcance de la herramienta para la administración de información del SEVRI de acuerdo con lo definido en la política y metodología institucional.
Se evalúa periódicamente el alcance de la herramienta en función de la normativa externa e interna y se realizan ajustes.
1 7 10 20 4
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Establecimiento de una herramienta para la administración de información del SEVRI.
66 DIESTRO
Alcance de la herramienta para administración de la información del SEVRI.
61 DIESTRO
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto, se ubica en un nivel diestro, sin embargo, se ha
demostrado a través de los ciclos de revisión que únicamente el proceso de
actualización de la información se realiza únicamente cuando se acercan los
ciclos de revisión, por lo que se hace necesario que se generen acciones que
permitan realizarlo en forma periódica.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
13
4.3. FUNCIONAMIENTO DEL SEVRI
3. Funcionamiento del SEVRI
3.1. Identificación de riesgos
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
3.1.1.
Grado de formalidad en la ejecución de la actividad de identificación de riesgos.
La identificación de riesgos se realiza de manera informal, sin seguir procedimientos establecidos en la unidad o a nivel institucional.
Algunas unidades ejecutan la actividad de acuerdo con la normativa, pero de forma intermitente.
Algunas unidades ejecutan la actividad de acuerdo con la normativa y de forma continua.
Todas las unidades de la organización ejecutan la actividad de forma continua.
Se evalúa periódicamente esta actividad, se identifican las mejores prácticas en las diferentes unidades y se promueven en el resto de la organización.
0 5 16 15 5
3.1.2.
Integralidad en la identificación de riesgos.
No se identifican los eventos que podrían afectar de forma significativa el cumplimiento de los objetivos institucionales establecidos en los planes de corto, mediano y largo plazos.
Se identifican al menos los eventos que podrían afectar de forma significativa el cumplimiento de los objetivos institucionales establecidos en los planes de corto, mediano y largo plazos.
Adicionalmente se identifican causas y posibles formas de ocurrencia de los riesgos relevantes.
Adicionalmente, se identifican las medidas de administración de riesgos con que cuenta la organización para administrar los riesgos identificados.
La identificación de todos los elementos mencionados se realiza periódicamente.
0 3 19 14 5
3.1.3.
Utilización de la información del monitoreo del entorno y la evaluación institucional en la identificación de riesgos.
La identificación de riesgos no utiliza como insumo la información que genera el monitoreo y evaluación institucionales.
Se está definiendo cómo utilizar que genera el monitoreo y evaluación institucionales para la identificación del riesgo.
Se ha definido cómo utilizar que genera el monitoreo y evaluación institucionales para la identificación del riesgo.
Se utiliza la información del monitoreo del entorno y de la evaluación institucional en la identificación de riesgos.
Se evalúa la utilidad de la información del monitoreo del entorno y la evaluación institucional para la identificación de riesgos.
3 6 16 11 3
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Grado de formalidad en la ejecución de la actividad de identificación de riesgos.
62 DIESTRO
Integralidad en la identificación de riesgos. 63 DIESTRO
Utilización de la información del monitoreo del entorno y la evaluación institucional en la identificación de riesgos.
53 COMPETENTE
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto, se ubica en un nivel de competente a diestro, la
actividad de identificación de riesgos se ejecuta de conformidad con lo que
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
14
establece la normativa, sin embargo, es necesario fortalecer las acciones para
proveer el valor agregado que se genera con esta herramienta de gestión en la
toma de decisiones.
3.2. Análisis de riesgos INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
3.2.1. Grado de formalidad de ejecución de la actividad de análisis de riesgos.
El análisis de riesgo se realiza de manera informal, sin seguir procedimientos establecidos en la unidad o a nivel institucional.
Se ejecuta de acuerdo con lo establecido en la normativa interna para el análisis de riesgos, en algunas áreas, sectores, actividades o tareas de la organización pero de forma intermitente.
Se ejecuta de acuerdo con lo establecido en la normativa interna en algunas áreas, sectores, actividades o tareas de la organización y de forma continua.
Se ejecuta de acuerdo con lo establecido en la normativa interna en todas las áreas, sectores, actividades o tareas de la institución de forma continua. Sin embargo no se conoce la efectividad del análisis,
Se evalúa periódicamente esta actividad, se identifican las mejores prácticas en las diferentes unidades y se promueven en de la organización.
0 3 18 16 4
3.2.2. Integralidad en el análisis de riesgo
No se determinan factores de riesgo, posibilidad y consecuencia de los eventos ni el nivel de riesgo.
En el análisis de riesgos se identifican los factores de riesgo y la posibilidad de ocurrencia de los eventos identificados.
Adicionalmente, en al análisis de riesgos se determina la consecuencia de los eventos, considerando tanto aspectos positivos como negativos.
Adicionalmente, en el análisis de riesgo se determina el nivel de riesgo de los riesgos relevantes.
El análisis de todos los elementos mencionados se realiza periódicamente.
0 2 21 13 5
3.2.3. Tipo de análisis que se utiliza en esta actividad.
No se han definido las técnicas de análisis que se utilizará para los diferentes riesgos.
Se están definiendo las técnicas de análisis de riesgo que se deberán aplicar.
Se han definido las técnicas de análisis de riesgo que se deberán aplicar, pero no se basa en un análisis costo beneficios.
Se han definido las técnicas de análisis de riesgo que deberán aplicar en el análisis de riesgo, y su definición se basa en un análisis costo beneficio.
Las técnicas de análisis de riesgo se mejoran continuamente.
0 2 21 15 3
3.2.4. Escenarios considerados en el análisis de riesgos.
No se ha definido el uso de escenarios para el análisis de riesgo.
Se está definiendo el uso de escenarios para el análisis de riesgos.
Los procedimientos establecen que se debe hacer el análisis considerando los escenarios con medidas de administración de riesgos y sin estas medidas.
El análisis bajo los dos escenarios permite establecer la eficacia de las medidas de administración de riesgos.
El análisis bajo los dos escenarios permite establecer la eficiencia de las medidas de administración existentes.
2 1 17 18 3
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
15
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto se ubica en un nivel diestro, Como se observa en las
tablas anteriores, el resultado en lo correspondiente a este criterio de este
aspecto, se ubica en un nivel diestro, el análisis que se le aplica a los riesgos
identificados se realiza siguiendo la normativa existente, sin embargo, es
necesario generar acciones que permitan evaluar la efectividad de las medidas
implementadas con el fin de conocer si es necesario reformularlas, replantearlas u
otra opción.
3.3. Evaluación de riesgos INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
3.3.1.
Grado de formalidad de ejecución de la actividad de evaluación de riesgos.
La evaluación de riesgos se realiza de manera informal, sin seguir procedimientos establecidos en la unidad o a nivel institucional.
Se ejecuta de acuerdo con lo establecido en la normativa interna para la evaluación de riesgos, en algunas áreas, sectores, actividades o tareas de la organización pero de forma intermitente.
Se ejecuta de acuerdo con lo establecido en la normativa interna de evaluación de riesgos en algunas áreas, sectores, actividades o tareas de la organización y de forma continua.
Se ejecuta de acuerdo con lo establecido en la normativa interna de evaluación de riesgos en todas las áreas, sectores, actividades o tareas de la institución de forma continua. Sin embargo no se conoce la efectividad de esta actividad.
Se evalúa periódicamente esta actividad, se identifican las mejores prácticas en las diferentes unidades y se promueven en de la organización.
0 4 15 17 5
3.3.2.
Utilización de criterios de priorización de riesgos y parámetros de aceptabilidad de riesgos.
No se cuenta con criterios priorización de riesgos, ni parámetros de aceptabilidad de riesgos.
Se están definiendo los criterios de priorización de riesgos y los parámetros de aceptabilidad de riesgos.
Se han definido los criterios de priorización de riesgos y los parámetros de aceptabilidad de riesgos. Entre los criterios de priorización están :a) el nivel de riesgo b) grado de influencia sobre los factores de riesgo; c) la importancia de la política, proyecto, función o actividad y d) la eficacia y eficiencia de las medidas para la administración de riesgo existentes.
Los criterios de priorización se utilizan para determinar los riesgos prioritarios y los parámetros de aceptabilidad se aplican para valorar la retención de riesgos aceptables.
La aplicación de los criterios priorización de riesgos y aceptabilidad se revisa periódicamente y se introducen mejoras.
0 6 14 17 4
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
16
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Grado de formalidad de ejecución de la actividad de evaluación de riesgos
64 DIESTRO
Utilización de criterios de priorización de riesgos y parámetros de aceptabilidad de riesgos. 62 DIESTRO
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto se ubica en un nivel diestro, los riesgos se evalúan
de conformidad con los cambios del entorno y se priorizan de acuerdo a la
información analizada del ambiente interno y externo. Es necesario que esa
evaluación sea integrada a la planificación institucional con el fin de que madure el
sistema.
3.4. Administración de riesgos
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
3.4.1.
Grado de formalidad de ejecución de la actividad de administración de riesgos.
La administración de riesgos se realiza de manera informal, sin seguir procedimientos establecidos en la unidad o a nivel institucional.
Se ejecuta de acuerdo con lo establecido en la normativa interna para la administración de riesgos, en algunas áreas, sectores, actividades o tareas de la organización pero de forma intermitente.
Se ejecuta de acuerdo con lo establecido en la normativa interna de administración de riesgos en algunas áreas, sectores, actividades o tareas de la organización y de forma continua.
Se ejecuta de acuerdo con lo establecido en la normativa interna de administración de riesgos en todas las áreas, sectores, actividades o tareas de la institución de forma continua. Sin embargo no se conoce la efectividad de esta actividad.
Se evalúa periódicamente esta actividad, se identifican las mejores prácticas en las diferentes unidades y se promueven en de la organización.
0 4 19 14 4
3.4.2. Opciones de administración de riesgos.
No se han definido los tipos de medidas de administración que los funcionarios deberán considerar.
Se están estableciendo las opciones de administración de riesgos que deberán considerarse.
Se han definido las opciones de administración de riesgos que los funcionarios deberán considerar.
Se han definido las opciones de administración de riesgos que los funcionarios deberán considerar, dentro de las cuáles se incluyen las dirigidas a atender, modificar, transferir, prevenir o retener riesgos.
Las opciones de administración de riesgos que deben considerar los funcionarios se revisan periódicamente.
0 6 17 14 4
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
17
3.4.3.
Criterios de evaluación de las medidas de administración de riesgos.
No se han establecido institucionalmente los criterios de evaluación de las medidas de administración de riesgos.
Se están definiendo los criterios de evaluación de las medidas de administración de riesgos.
Se han establecido los criterios de evaluación de las medidas de administración de riesgos e incluyen: a) su relación costo-beneficio, b) la capacidad e idoneidad de los entes participantes internos y externos a la institución para administrar riesgos, c) el cumplimiento del interés público y el resguardo de la hacienda pública; y d) su viabilidad jurídica, técnica y operacional.
Se aplican los criterios de evaluación de las medidas de administración de riesgos y con base en estas se recomienda la mejor medidas para cada riesgo.
Se revisa periódicamente que se apliquen los criterios de evaluación de medidas de administración de riesgos y se realizan mejoras a los criterios.
1 9 13 14 4
3.4.4.
Integración de las medidas de administración de riesgos a los planes institucionales.
No se han seleccionado las medidas de administración de riesgos para los riesgos relevantes de la organización.
Se han seleccionado las medidas de administración de riesgo que aplicará la organización, pero no se han definido para cada una los resultados esperados en tiempo y espacio, los recursos necesarios y responsables para llevarlas a cabo.
Se han seleccionado las medidas de administración de riesgos y se ha determinado para cada una los resultados esperados en tiempo y espacio, los recursos necesarios y los responsables para llevarlas a cabo. Las medidas de administración de riesgos se integran a los planes institucionales.
Las medidas de administración de riesgos se ejecutan de acuerdo con lo establecido en los planes institucionales.
Se revisa periódicamente que los planes operativos contengan las medidas de administración de riesgos definidas por la institución.
1 10 14 14 2
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Grado de formalidad de ejecución de la actividad de administración de riesgos.
61 COMPETENTE
Opciones de administración de riesgos. 60 COMPETENTE
Criterios de evaluación de las medidas de administración de riesgos. 57 COMPETENTE Integración de las medidas de administración de riesgos a los planes institucionales
54 COMPETENTE
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
18
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto se ubica en un nivel competente, se han
implementado medidas de administración a los riesgos asignados, sin embargo,
estas medidas según el resultado de los seguimientos necesitan incorporarse de
manera más dinámica en los planes operativos, de presupuesto y procesos
normales que se ejecutan en la Institución. Los Titulares Subordinados deben
establecer en sus planes de trabajo, programas de monitoreo que permitan dar
mantenimiento y perfeccionamiento al sistema con el fin de que la gestión del
riesgo se convierta una actividad normal del en los procesos que apoyan la toma
de decisiones.
3.5. Revisión de riesgos INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
3.5.1.
Grado de formalidad de ejecución de la revisión de riesgos.
La revisión de riesgos se realiza de manera informal, sin seguir procedimientos establecidos en la unidad o a nivel institucional.
Se ejecuta de acuerdo con lo establecido en la normativa interna para la revisión de riesgos, en algunas áreas, sectores, actividades o tareas de la organización pero de forma intermitente.
Se ejecuta de acuerdo con lo establecido en la normativa interna de revisión de riesgos en algunas áreas, sectores, actividades o tareas de la organización y de forma continua.
Se ejecuta de acuerdo con lo establecido en la normativa interna de revisión de riesgos en todas las áreas, sectores, actividades o tareas de la institución de forma continua. Sin embargo no se conoce la efectividad de esta actividad.
Se evalúa periódicamente esta actividad, se identifican las mejores prácticas en las diferentes unidades y se promueven en de la organización.
0 6 15 17 3
3.5.2.
Integralidad en la revisión de riesgos.
No se da seguimiento al nivel de riesgo, los factores de riesgo, el grado de ejecución de las medidas de administración de riesgos, la eficacia y eficiencia de las medidas de administración de riesgos ejecutadas.
Se da seguimiento al nivel de riesgo y los factores de riesgos.
Adicionalmente, se da seguimiento a el grado de ejecución de las medidas de administración de riesgos.
Adicionalmente, se da seguimiento a la eficacia y eficiencia de las medidas de administración de riesgos ejecutadas.
El seguimiento de todas las variables mencionadas se realiza de forma continua.
0 7 21 11 2
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
19
3.5.3. Utilización de la información que se genera en la revisión de riesgos.
No se ha definido cuáles son los usos de la información que se genera en la revisión de riesgos.
Se están definiendo los usos que se debe dar la información que se genera en la valoración de riesgos.
Se han definido los usos de la información que genera la revisión de riesgos e incluyen: a) elaboración de reportes, b) ajuste de medidas de administración de riesgos y c) evaluar y ajustar los objetivos y metas institucionales. Insumo de autoevaluaciones de control interno y para mejorar el diseño y operación del SEVRI.
La información que genera esta actividad se utiliza de acuerdo con los usos definidos.
Se evalúa que la información que suministra el SEVRI cumpla con los usos previstos.
0 8 18 14 1
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Grado de formalidad de ejecución de la revisión de riesgos 60 COMPETENTE
Integralidad en la revisión de riesgos. 55 COMPETETNTE
Utilización de la información que se genera en la revisión de riesgos. 55 COMPETENTE
Como se observa en las tablas anteriores, el resultado en lo correspondiente a
este criterio de este aspecto se ubica en un nivel competente, tanto los riesgos
como sus medidas se revisan de conformidad con la normativa, sin embargo, al
igual que el ciclo del SEVRI, debe incorporarse de manera más dinámica en los
planes operativos, de presupuesto y procesos normales que se ejecutan en la
Institución. Los Titulares Subordinados necesariamente deben establecer en sus
planes de trabajo, las 6 actividades del sistema.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
20
3.6. Comunicación del riesgo
INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
3.6.1.
Grado de formalidad de ejecución de la comunicación de riesgos.
La comunicación de riesgos se realiza de manera informal, sin seguir procedimientos establecidos en la unidad o a nivel institucional.
Se ejecuta de acuerdo con lo establecido en la normativa interna para la comunicación de riesgos, en algunas áreas, sectores, actividades o tareas de la organización pero de forma intermitente.
Se ejecuta de acuerdo con lo establecido en la normativa interna de comunicación de riesgos en algunas áreas, sectores, actividades o tareas de la organización y de forma continua.
Se ejecuta de acuerdo con lo establecido en la normativa interna de comunicación de riesgos en todas las áreas, sectores, actividades o tareas de la institución de forma continua. Sin embargo no se conoce la efectividad de esta actividad.
Se evalúa periódicamente esta actividad, se identifican las mejores prácticas en las diferentes unidades y se promueven en de la organización.
0 6 19 15 1
3.6.2.
Requerimientos de información para los reportes.
No se ha definido la información que requieren periódicamente los sujetos interesados.
Se está determinando cuáles son los requerimientos de información de los sujetos interesados.
Se está elaborando reportes que contienen la información que requieren los sujetos involucrados.
Adicionalmente, a los reportes periódicos se establecen mecanismos para que los sujetos interesados puedan hacer consultas sobre los riesgos institucionales.
Se ajustan los reportes en función de cambios de los requerimientos de información de los interesados.
0 5 21 12 3
3.7. Documentación del riesgo INCIPIENTE NOVATO COMPETENTE DIESTRO EXPERTO
3.7.1.
Grado de formalidad de ejecución de la comunicación de riesgos.
La documentación de riesgos se realiza de manera informal, sin seguir procedimientos establecidos en la unidad o a nivel institucional.
Se ejecuta de acuerdo con lo establecido en la normativa interna para la documentación de riesgos, en algunas áreas, sectores, actividades o tareas de la organización pero de forma intermitente.
Se ejecuta de acuerdo con lo establecido en la normativa interna de comunicación de riesgos en algunas áreas, sectores, actividades o tareas de la organización y de forma continua.
Se ejecuta de acuerdo con lo establecido en la normativa interna de comunicación de riesgos en todas las áreas, sectores, actividades o tareas de la institución de forma continua. Sin embargo no se conoce la efectividad de esta actividad.
Se evalúa periódicamente esta actividad, se identifican las mejores prácticas en las diferentes unidades y se promueven en de la organización.
0 7 13 16 5
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
21
3.7.2.
Grado de documentación de los riesgos.
No se han definido los elementos mínimos sobre los riesgos que hay que documentar.
Se están definiendo los elementos mínimos sobre los riesgos que hay que documentar.
Están definidos los elementos mínimos sobre los riesgos, considerando como mínimo, la posibilidad y consecuencia de ocurrencia de los riesgos, el nivel de riesgos y las medidas de administración de la institución.
Los elementos mínimos se documentan utilizando el registro de riesgos definido en la herramienta de administración de riesgos.
Se verifica que se estén documentando las variables definidas.
0 1 15 17 8
3.7.3.
Disposición de la información documentada.
La información que se documenta no está a disposición de los interesados.
Está a disposición de los interesados pero no está completa.
La información está disponible, es completa pero no es comprensible para personas distintas de las que la generan.
La información está disponible, completa y comprensible.
Esa información se evalúa periódicamente y se ajusta de acuerdo con los requerimientos.
1 1 15 18 6
Los resultados por criterios son los siguiente
CRITERIO RESULTADO ESTADO
Grado de formalidad de ejecución de la comunicación de riesgos 57 COMPETENTE
Requerimientos de información para los reportes. 58 COMPETENTE
Grado de formalidad de ejecución de la comunicación de riesgos. 62 DIESTRO
Grado de documentación de los riesgos. 70 DIESTRO
Disposición de la información documentada. 66 DIESTRO
Como se observa en las tablas anteriores, los resultados en lo correspondiente a
estos criterios se ubican de un de nivel competente a diestro, se deben analizar
en forma conjunta por la naturaleza de la actividad. El resultado de la evaluación
muestra que si bien es cierto el proceso se ejecuta moderadamente, es necesario
que la comunicación y documentación sea compartida en todos los niveles de la
Institución, con el fin de poder identificar, por ejemplo: riesgos afines entre
procesos y las posibles medidas que se puedan compartir o bien, poder contar
con una visión global del estado de los riesgos tanto a nivel institucional como a
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
22
nivel de Dependencias y apoyar la toma de decisiones en contribución de la
eficiente planificación organizacional.
5- RESULTADOS INSTITUCIONALES
A nivel general este es el resultado institucional:
ASPECTO/CRITERIO RESULTADO NIVEL
ASPECTOS GENERALES 58 Competente
Objetivos/productos del SEVRI 53 Competente
Insumos 57 Competente
Responsabilidad del Jerarca y Titulares Subordinados en relación con la valoración de Riesgos 64 Diestro
ESTABLECIMIENTO DEL SEVRI 60 Competente
Marco Orientador del SEVRI 68 Diestro
Ambiente de Apoyo del SEVRI 58 Competente
Recursos del SEVRI 56 Competente
Interesados del SEVRI 59 Competente
Herramienta para la administración de información del SEVRI 63 Diestro
FUNCIONAMIENTO DEL SEVRI 59 Competente
Identificación de riesgos 58 Competente
Análisis de riesgos 61 Diestro
Evaluación de riesgos 62 Diestro
Administración de riesgos 57 Competente
Revisión de riesgos 56 Competente
Comunicación del riesgo 56 Competente
Documentación del riesgo 65 Diestro
RESULTADO INSTITUCIONAL 59 Competente
El resultado institucional muestra que el sistema de valoración de riesgos
institucional, está en proceso de estandarización, se encuentra documentado, se
ha divulgado en todos los niveles, debido a que todas las áreas participan en el
proceso. La herramienta de gestión funciona conforme a las necesidades de la
institución y del marco regulador definido internamente. Por lo que se debe
instaurar los procesos de mejora continua para el oportuno ajuste y fortalecimiento
permanente del sistema, en procura de una implementación natural de las
operaciones y las actividades rutinarias de la Dependencia.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
23
6- CONCLUSIONES
Respecto a los aspectos generales, estos se orientan establecer el contexto
del ambiente de apoyo sobre el cual se desarrolla el modelo de gestión,
según el instrumento aplicado ya se perciben los resultados sobre la
conciencia que tienen los funcionarios sobre la valoración de riesgos en
función del para el cumplimiento de los objetivos institucionales, se trabaja
sobre un marco uniforme de concepto del riesgo, los mecanismos de
coordinación y comunicación a nivel de administración del sistema se dan
de manera fluida y consistente, sin embargo, a través de los seguimientos
realizados todavía existen se percibe a nivel de Titulares Subordinados, que
actúan moderadamente en el proceso de mantenimiento y
perfeccionamiento, aún y cuando existe una responsabilidad inherente
según lo indica la norma, lo que indica que no ha sido posible que el
proceso lo integren de manera normal en el desarrollo de sus actividades.
En lo referente al establecimiento del SEVRI, se percibe que a nivel de
Dependencias en lo correspondiente al marco orientador y la herramienta
para la administración han alcanzado un nivel de madurez bastante
aceptable, sin embargo, es importante reconocer que en estos dos criterios
básicamente participan los Enlaces de Riesgos como responsables directos
de su aplicación, sin embargo, en los otros criterios que intervienen los
Titulares Subordinados es necesario un mayor involucramiento de su parte
para lograr que la información que se produzca en este sistema apoye la
toma de decisiones y favorezca las buenas prácticas en busca del logro de
los objetivos.
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
24
En lo correspondiente al procedimiento del SEVRI y de conformidad con los
seguimientos, se puede concluir las actividades ya fueron asimiladas por
los participantes, se ejecutan de forma sistémica y se evidencian acciones
de planificación. Sin embargo, al verificar si se incorporan en los planes y
programas se concluye que se realizan de manera aislada y se considera
como un proceso independiente en algunas ocasiones a la gestión.
7- RECOMENDACIONES
Se recomienda instruir a cada Titular Subordinado analizar los resultados
del modelo de madurez, con el fin de generar las acciones respectivas para
poder alcanzar el siguiente nivel de madurez.
Se recomienda instruir hacer un recordatorio a los Titulares Subordinados
considerar los resultados de los ciclos de revisión, con la vinculación de la
planificación de cada dependencia de conformidad con lo que establece la
norma 3.3. la cual indica textualmente lo siguiente:
“…La valoración del riesgo debe sustentarse en un proceso de planificación que considere la misión y la visión institucionales, así como objetivos, metas, políticas e indicadores de desempeño claros, medibles, realistas y aplicables, establecidos con base en un conocimiento adecuado del ambiente interno y externo en que la institución desarrolla sus operaciones y, en consecuencia, de los riesgos correspondientes. Asimismo, los resultados de la valoración del riesgo deben ser insumos para retroalimentar ese proceso de planificación, aportando elementos para que el jerarca y los titulares subordinados estén en capacidad de revisar, evaluar y ajustar periódicamente los enunciados y supuestos que sustentan los procesos de planificación estratégica y operativa institucional, para determinar su validez ante la dinámica del entorno y de los riesgos internos y externos….”
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
25
ANEXO No. 1
REPORTE PARTICIPACIÓN
INSTITUTO COSTARRICENSE DE ACUEDUCTOS Y ALCANTARILLADOS San José, Costa Rica
PRESIDENCIA EJECUTIVA Unidad de Control Interno
26
ANEXO No. 2
REPORTE COMENTARIOS