El artículo 18 de la ley indica que todo ente u órgano deberá contar con un sistema específico de valoración del riesgo institucional por áreas, sectores, actividades o tarea que, de conformidad con sus particularidades, permita identificar el nivel de riesgo institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo. La norma 3.2 indica que el jerarca y los titulares subordinados, según sus competencias, deben establecer y poner en funcionamiento un sistema específico de valoración del riesgo institucional (SEVRI).
Casos
A continuación, se le presenta una serie de casos o situaciones que ejemplifican la importancia de aplicar el SEVRI. Valórelo y analícelo.
En la oficina de Laura se dedican a elaborar folletos y artículos de publicidad, allí trabajan 15 personas en un espacio muy pequeño y no tienen una sala de reuniones. A esta oficina ingresan muchas personas, pues siempre los solicitantes de algún trabajo deben reunirse con las personas que les están elaborando el material. Laura necesita hacer un folleto para un proyecto que está realizando la organización por lo que se debe reunir con el líder del proyecto constantemente y necesita concentrarse para lograr el mejor producto, lo cual no es posible debido a que a la oficina ingresan constantemente personas a reunirse con compañeros de Laura y todos hablan a la vez, lo cual implica mucho ruido que no la deja concentrarse, adicionalmente las sillas que utiliza el personal están en muy mal estado causando problemas de salud, y cuando se reúne con el usuario siempre es muy incómodo porque no cuenta con un espacio adecuado, todo esto lleva a un atraso en la entrega final del producto. Adicionalmente al ingresar constantemente personas ajenas a la oficina se han dado casos de pérdida de objetos tanto personales como de la organización.
El lugar donde está ubicada la ventanilla de atención al público donde se da información de los trámites para matricularse a una carrera, se encuentra en un pasillo al aire libre y por su ubicación siempre que llueve se moja, debido a la dirección del viento. En una oportunidad uno de los usuarios no se percató de que el piso estaba mojado y se resbaló cayendo al suelo por lo que fue necesario llevarlo al hospital ya que se fracturó un brazo con la caída, la organización tuvo que cubrir los gastos del accidente ya que no contaba con una póliza para cubrir este tipo de eventualidades.
SEVRI
El 12 de julio del 2005 la CGR emitió las Directrices generales para el establecimiento y funcionamiento del sistema específico de valoración del riesgo institucional (SEVRI) D-3-2005-CO-DFOE, las cuales definen el objetivo, productos, insumos, características y responsabilidades del SEVRI, como también hace una descripción total del sistema, sus componentes y las etapas para su aplicación.
a. Definición del SEVRI:
Según la directriz 2.2 se entenderá como Sistema Específico de Valoración del Riesgo Institucional al conjunto organizado de componentes de la Institución que interaccionan para la identificación, análisis, evaluación, administración, revisión, documentación y comunicación de los riesgos institucionales relevantes.
b. Objetivo del SEVRI
La directriz 2.3 establece que el SEVRI deberá producir información que apoye la toma de decisiones orientada a ubicar a la institución en un nivel de riesgo aceptable y así promover, de manera razonable, el logro de los objetivos institucionales.
c. Productos del SEVRI
La directriz 2.4 define como productos del SEVRI dos cosas:
- Información actualizada sobre los riesgos institucionales relevantes asociados al logro de los objetivos y metas, definidos tanto en los planes anuales operativos, de mediano y de largo plazos, y el comportamiento del nivel de riesgo institucional.
- Medidas para la administración de riesgos adoptadas para ubicar a la institución en un nivel de riesgo aceptable.
d. Insumos del SEVRI
La directriz 2.5 define que el SEVRI deberá utilizar como insumo información interna y externa, suficiente y actualizada para su establecimiento y funcionamiento.
e. Características del SEVRI
La directriz 2.6 establece que el SEVRI debe tener las siguientes características:
Continuidad: Los componentes y actividades del SEVRI se establecen de forma permanente y sus actividades se ejecutan de manera constante.
Enfocado a resultados: Los componentes y actividades del sistema se establecen y desarrollan para coadyuvar a que la institución cumpla sus objetivos.
Economía: Los componentes y actividades del Sistema se establecen y ejecutan, de forma prioritaria, vinculando las herramientas y procesos existentes en la institución y aprovechando al máximo los recursos con que se cuenta.
Flexibilidad: El Sistema se deberá diseñar, implementar y ajustar periódicamente a los cambios externos e internos de acuerdo con las posibilidades y características de cada institución.
Integración: El Sistema se articula con el resto de los sistemas institucionales y apoya la toma de decisiones cotidiana en todos los niveles organizacionales.
Capacidad: El Sistema deberá procesar de forma ordenada, consistente y confiable todos los datos, internos y externos, requeridos para cumplir el objetivo del Sistema con un nivel de seguridad razonable.
f. Responsabilidad del SEVRI
La directriz 2.7 define que el jerarca y los respectivos titulares subordinados de la institución son los responsables del establecimiento y funcionamiento del SEVRI. Para lo cual deberán:
- Establecer y disponer los componentes del Sistema.
- Definir y ejecutar las actividades del Sistema.
- Evaluar y dar seguimiento al Sistema para verificar su eficacia y eficiencia.
- Verificar el cumplimiento de las responsabilidades establecidas en relación con el Sistema.
- Tomar las medidas necesarias tendientes a fortalecer y perfeccionar el Sistema y al cumplimiento de la presente normativa.
- Comunicar a los sujetos interesados el estado del SEVRI y de las medidas que ha tomado para su fortalecimiento.
a) Marco orientador: este es el documento que guía el accionar del SEVRI, está compuesto por la política de valoración del riesgo que debe tener cada institución, los objetivos, lineamientos para la definición de los niveles de aceptación de riesgos, la estrategia para implementar el SEVRI que incluya las acciones para su establecimiento, mantenimiento y mejora como los responsables de estas actividades e indicadores para su evaluación y la normativa que lo regula dentro de la institución incluyendo sus procedimientos, la estructura de riesgos y los parámetros de aceptabilidad de riesgo.
Este documento en la UNED se denomina “Orientaciones generales para la implementación del sistema específico de valoración de riesgo institucional (SEVRI) en la UNED” el cual se actualiza periódicamente y es aprobado por el CONRE para su aplicación en toda la institución. Este documento incluye todos los aspectos detallados en las directrices como también el procedimiento para la aplicación de la metodología de valoración del riesgo en la UNED. Puede descargar este documento para su lectura al final de esta sección.
b) Ambiente de apoyo: para el funcionamiento del SEVRI es necesaria la existencia de una estructura organizacional como de una cultura que lo apoye, para lo cual se requiere: conciencia en los funcionarios sobre su importancia, actitud proactiva, responsabilidades con respecto al SEVRI y mecanismos de comunicación adecuados.
En la UNED existe en la estructura organizativa el Programa de Control Interno (PROCI) quien es la instancia asesora en la implementación del SEVRI, como también se ofrece el curso de Introducción al control interno, el cual busca aportar en la creación de la cultura que requiere el SEVRI.
c) Recursos: para que el SEVRI funcione se requieren recursos financieros, humanos y técnicos entre otros y los recursos que se asignen deberán obtenerse de forma prioritaria. El presupuesto institucional deberá contemplar los recursos financieros para la implementación de la estrategia del SEVRI y lo requerido para la ejecución de las medidas para la administración de riesgos.
d) Sujetos interesados: estos deben tenerse en cuenta en todas las actividades del SEVRI y la institución debe tomar en cuenta los objetivos y percepciones de estos sujetos en el diseño del SEVRI. Estos dependen del tipo de institución. Estos sujetos pueden ser interno o externos a la institución y deberán incluir al menos a: población objetivo, funcionarios de la institución, sujetos de derecho privado que sean custodios o administradores de fondos públicos otorgados por la institución y fiduciarios encargados de administrar fideicomisos constituidos con fondos públicos.
En el caso de la UNED los sujetos interesado son principalmente los estudiantes y funcionarios.
e) Herramienta de apoyo para la administración de información: se requiere una herramienta para la gestión y documentación de la información que utilizará y generará el SEVRI. Esta deberá registrar la información histórica de los riesgos institucionales. Para diseñar la herramienta es necesario tener en cuenta: relación costo beneficio, volumen de información, complejidad de los procesos y presupuesto.
En el caso de la UNED actualmente se cuenta con una herramienta desarrollada en Excel que permite levantar y valorar los riesgos de toda la institución. Adicionalmente se cuenta con bases de datos, también en Excel, en las cuales se va almacenando toda la información recopilada.
A continuación, puede descargar el documento “Orientaciones generales para la implementación del Sistema Específico de Valoración de Riesgo Institucional (SEVRI) en la UNED”.
Casos
A continuación, se le presenta una serie de casos o situaciones que ejemplifican la importancia de aplicar el SEVRI. Valórelos y analícelos.
Juan es oficial de seguridad y tiene a cargo el cuido de 50 carros de una organización, sin embargo, por problemas de presupuesto no lo han dotado de todas las herramientas para que pueda desempeñar su labor de la mejor manera, pues no cuenta con un arma. Una noche llegaron unos antisociales e ingresaron a la fuerza a las instalaciones y Juan no pudo reaccionar pues no contaba con un arma, lo que generó que se robaran unos vehículos.
La entrada del edificio donde se encuentra localizada una organización es custodiada por Roberto, quien es oficial de seguridad, a la hora de almuerzo muchos de los empleados de la organización piden comida a domicilio por lo que llegan algunos mensajeros a entregar la comida a quienes la compraron, la organización ha establecido una directriz para que ninguna persona ajena ingrese a las oficinas sin el acompañamiento de a quién va a visitar, ya que se han presentado pérdida de activos y de objetos personales de los empleados, sin embargo, cuando llegan los mensajeros con los pedidos los empleados les indican que ingresen solos a llevarles los alimentos, a lo cual Roberto se opone y trata de evitar que estos ingresen. En una oportunidad uno de estos mensajeros se puso violento e ingresó sin autorización a las instalaciones de la organización.
Posterior al establecimiento de los componentes descritos anteriormente se deben ejecutar las siete etapas de la valoración del riesgo: identificación, análisis, evaluación, administración, revisión, documentación y comunicación. La documentación y comunicación debe ejecutarse desde el inicio del proceso.
Estas etapas, para la UNED, están descritas en el procedimiento incluido en las “Orientaciones generales para la implementación del sistema específico de valoración de riesgo institucional (SEVRI) en la UNED” Este procedimiento puede ser descargado al final de esta sección para su lectura.
a) Identificación de riesgos: esta primera etapa se deberá ejecutar por áreas, sectores, actividades o tareas y para esto se deben identificar los eventos que podrían afectar de forma significativa el cumplimiento de los objetivos institucionales. Estos eventos se organizan de acuerdo con la estructura de riesgos (este es un listado que categoriza los posibles riesgos que se puedan presentar en una organización) que debe existir en cada institución. Posteriormente, se definen las posibles causas de estos eventos y las posibles consecuencias si estos llegan a ocurrir, sobre el cumplimiento de los objetivos.
En la UNED se tiene definida una estructura de riesgos, la cual incluye todos los posibles riesgos que puedan afectar a la institución, organizados por categorías. Como está incluido en el procedimiento para la aplicación del SEVRI en la UNED, esta identificación se realiza con cada uno de los responsables de los procesos o de los planes institucionales.
b) Análisis de riesgos: posterior a la identificación se debe determinar: posibilidad de ocurrencia, magnitud de su consecuencia, nivel de riesgo y controles actuales. El nivel de riesgo se debe obtener de dos maneras: sin controles actuales y con controles actuales. Este análisis puede ser cuantitativo, cualitativo o una combinación de los dos. Se debe tener en cuenta la relación costo beneficio para definir cual aplicar.
La metodología utilizada para la UNED es una combinación entre el análisis cualitativo y el cuantitativo, pero no incluye datos presupuestarios en las escalas de consecuencias, en esta parte el análisis es totalmente cualitativo. El procedimiento tiene definidas las escalas de probabilidad y consecuencia que se aplican como la fórmula para la definición del nivel de riesgo antes de controles existentes, llamado riesgo puro, y después de analizar los controles actuales, llamado riesgo residual.
c) Evaluación de riesgos: posterior al análisis de los riesgos, estos deben ser priorizados de acuerdo con su nivel, la importancia de los mismos en la política, función o actividad afectada y la eficiencia de los controles actuales. Al obtener el nivel de riesgo residual se debe definir cuales se aceptan y cuáles no, esto depende de los parámetros de aceptabilidad definidos por la institución en el marco orientador. Los riesgos aceptados se pueden retener manteniéndolos revisados, documentados y comunicados. Todos los demás riesgos deben ser administrados.
En el marco orientador de la UNED se tienen definidos y aprobados los parámetros de aceptabilidad de los riesgos, el cual indica que solo se aceptan los riesgos de nivel bajo, todos los demás se deben administrar.
d) Administración de riesgos: en esta etapa se seleccionan las medidas para la administración de cada riesgo, esto teniendo en cuenta: la relación costo-beneficio, la capacidad e idoneidad de quienes participan en la medida, el cumplimiento del interés público y el resguardo de la hacienda pública y la viabilidad jurídica, técnica y operacional de cada opción. Se deben valorar medidas para la atención, modificación, transferencia y prevención de riesgos. En el caso que no sea posible implementar una medida de administración de un riesgo, este se puede retener. Las medidas de administración del riesgo deben: servir de base para el establecimiento de las actividades de control, integrarse a los planes institucionales y ejecutarse y evaluarse de forma continua.
En la metodología establecida para el SEVRI de la UNED se define como última etapa la definición de medidas de administración del riesgo para los riesgos no aceptados, estas medidas deben finalizar con un control a aplicar, adicionalmente deben tener definidos responsables y fechas de ejecución. A todos los riesgos se les deben definir medias para ser atendidos, modificados o para prevenirlos.
e) Revisión de riesgos: posterior a la identificación y valoración de los riesgos se debe dar seguimiento a su nivel, factores de riesgo, ejecución, eficacia y eficiencia de las medidas para administrarlos. Esta revisión se debe ejecutar de forma continua y ser insumo para elaborar informes del SEVRI, ajustar medias de administración de riesgo y evaluar y ajustar objetivos y metas institucionales.
En la metodología para el funcionamiento del SEVRI de la UNED se tiende definida una acción de revisión periódica de los riesgos valorados, en la cual se vuelve a valorar su nivel de riesgo y se reconoce si las medidas de administración del riesgo realmente aportaron a su mitigación. En esta revisión también se identifican nuevos riesgos, en el caso de requerirse. Adicionalmente el PROCI realiza seguimiento a la ejecución de dichas medidas de administración del riesgo, por parte de cada responsable.
f) Documentación de riesgos: se debe documentar toda la información sobre los riesgos valorados y sobre las medidas definidas para administrarlos. Estos registros deben incluir información sobre su probabilidad, consecuencia, nivel de riesgo y toda la información necesaria sobre las medidas de administración. Se debe garantizar que los registros sean accesibles, comprensibles y completos y que la documentación se realice de forma continua, oportuna y confiable.
En el SEVRI de la UNED cada responsable de dependencia o de algún plan cuenta con la información de la valoración del riesgo de su proceso o plan, como también PROCI mantiene bases de datos con esta información.
g) Comunicación de riesgos: se debe dar información sobre los riesgos institucionales a sujetos interesados ya sean internos o externos. Se deben elaborar periódicamente informes de resultados y de seguimiento. La información a comunicar debe ajustarse a los requerimientos de a quién se dirija y debe servir de base para la rendición de cuentas institucional.
El PROCI elabora informes periódicos sobre los riesgos valorados. Estos son adaptados a las poblaciones a quienes van dirigidos.
A continuación, puede descargar el documento “Gestión de los procesos de Valoración del Riesgo, Autoevaluación del Sistema de Control Interno y Seguimiento PUNED PROCI 02”.
Casos
A continuación, se le presenta una serie de casos o situaciones que ejemplifican la importancia de aplicar el SEVRI. Valórelos y analícelos.
El lugar donde está ubicada la oficina de María no es apto para laborar ni para atender usuarios, debido a que el mismo solo tiene una entrada, no cuenta con salida de emergencia, no cuenta con ventanas por lo que no tiene ventilación natural ni artificial, por lo que el ambiente es muy pesado y se concentran los olores. Adicionalmente en el pasillo hay ubicada una gran cantidad de equipos y materiales, algunos que no se usan y otros que no se tiene donde guardar, pues no cuentan con una bodega. En ocasiones en que se han presentado temblores la evacuación es muy complicada ya que solo hay una salida y todos quieren salir al mismo tiempo, es un lugar muy riesgoso, en caso de un incendio o algún otro evento no sería posible la evacuación oportuna de las personas.
Josué trabaja como misceláneo en una oficina, debido a problemas con la contratación de personal no han contratado a una persona que se encargue del mantenimiento de las instalaciones. Un día se presentó un problema con la luz de la ventanilla donde se atiende a los usuarios y esa luz es indispensable para una buena atención ya que las instalaciones no tienen una buena iluminación natural. Debido a que no se contaba con una persona de mantenimiento el jefe de Josué decide darle la orden de tratar de reparar la luz ya que es muy urgente su reparación. Josué busca algunas herramientas para hacer la reparación, sin embargo, él le indica a su jefe que no conoce mucho sobre electricidad a lo que el jefe le dice que de igual manera trate de arreglarlo. Cuando Josué estaba tratando de hacer el arreglo toca un cable y se genera una pequeña descarga eléctrica que deja a toda la oficina sin electricidad y lo afecta a el lanzándolo al suelo, lo que llevó a que se diera un fuerte golpe y fuera necesario llamar a una ambulancia y que lo llevaran de urgencia al hospital. El servicio a los usuarios quedó suspendido el resto del día y adicionalmente la organización tuvo que pagar los gastos médicos de Josué, pues su póliza de riesgos del trabajo no incluía este tipo de actividad.