CONTRALORÍA GENERAL DE LA REPÚBLICA
R-CO-64-2005.—Despacho de la Contraloría General
en ejercicio, a las once horas del primero de julio del dos mil cinco.
Considerando:
1º—Que los artículos 183 y 184 de la
Constitución Política de la República de Costa Rica establecen a la Contraloría
General de la República como institución auxiliar de la Asamblea Legislativa en
la vigilancia de la Hacienda Pública, y que los artículos 1º y 12 de la Ley
Orgánica de la Contraloría General de la República Nº 7428, del 7 de setiembre
de 1994, la designan como órgano rector del Sistema de Control y Fiscalización Superiores
de la Hacienda Pública.
2º—Que el referido artículo 12 de la Ley Nº 7428
confiere a la Contraloría General facultades para emitir disposiciones, normas,
políticas y directrices de acatamiento obligatorio dirigidas a que los sujetos
pasivos hagan un uso correcto de los fondos públicos.
3º—Que de acuerdo con el artículo 7º de la Ley
General de Control Interno Nº 8292 del 31 de julio del 2002, la Contraloría General
de la República y los órganos sujetos a su fiscalización deberán disponer de sistemas
de control interno y proporcionar seguridad en el cumplimiento de esas
atribuciones y competencias institucionales.
4º—Que el artículo 18 de dicha Ley Nº 8292 dispone
que todo ente u órgano, sujeto a dicha Ley, deberá contar con un Sistema
Específico de Valoración del Riesgo Institucional, el cual permita identificar
de forma adecuada el nivel de riesgo institucional y adoptar los métodos de uso
continuo y sistemático, a .n de analizar y administrar el nivel de dicho riesgo.
5º—Que de conformidad con el citado artículo 18
de la Ley Nº 8292, a la Contraloría General de la República le corresponde emitir
los criterios y directrices generales que servirán de base para el establecimiento
y funcionamiento del Sistema Específico de Valoración del Riesgo Institucional,
sin menoscabo de los deberes que, en relación con la valoración del riesgo,
corresponden cumplir al jerarca y a los titulares subordinados, contenidos en
el artículo 14 de dicha Ley.
6º—Que el artículo 19 de dicha Ley Nº 8292
establece que el jerarca y los titulares subordinados son responsables por el
funcionamiento del SEVRI y que de acuerdo con el artículo 39 de esa misma Ley,
el incumplimiento de este deber será causal de responsabilidad administrativa y
civil.
7º—Que, efectuados los estudios técnicos
respectivos y con fundamento en la Ley General de Control Interno y el Manual
de normas generales de control interno para la Contraloría General de la
República y las entidades y órganos sujetos a su fiscalización, se resuelve
emitir las siguientes:
DIRECTRICES GENERALES PARA EL
ESTABLECIMIENTO
Y FUNCIONAMIENTO DEL SISTEMA
ESPECÍFICO
DE VALORACIÓN DEL RIESGO
INSTITUCIONAL (SEVRI)
D-3-2005-CO-DFOE
1. Glosario.
1.1. Conceptos utilizados. Para los efectos de
las presentes directrices, se aplicarán las siguientes definiciones:
Administración de riesgos. Cuarta
actividad del proceso de valoración del riesgo que consiste en la
identificación, evaluación, selección y ejecución de medidas para la
administración de riesgos. (En normativas técnicas esta actividad
también se denomina “tratamiento de riesgos”).
Actividades de control. Políticas
y procedimientos que permiten obtener la seguridad de que se llevan a cabo las
disposiciones emitidas por la Contraloría General de la República, por los
jerarcas y los titulares subordinados para la consecución de los objetivos,
incluyendo específicamente aquellas referentes al establecimiento y operación
de las medidas para la administración de riesgos de la institución.
Análisis de riesgos. Segunda
actividad del proceso de valoración del riesgo que consiste en la
determinación del nivel de riesgo a partir de la probabilidad y
la consecuencia de los eventos identificados.
Análisis cualitativo. Descripción
de la magnitud de las consecuencias potenciales, la probabilidad
de que esas consecuencias ocurran y el nivel de riesgo asociado.
Análisis cuantitativo. Estimación
de la magnitud de las consecuencias potenciales, de la probabilidad
de que esas consecuencias ocurran y del nivel de riesgo asociado.
Atender riesgos. Opción
para administrar riesgos, que consiste en actuar ante las consecuencias de
un evento, una vez que éste ocurra.
Comunicación de riesgos. Actividad
permanente del proceso de valoración del riesgo que consiste en la
preparación, la distribución y la actualización de información oportuna sobre
los riesgos a los sujetos interesados.
Consecuencia. Conjunto
de efectos derivados de la ocurrencia de un evento expresado cualitativa o
cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias.
Documentación de riesgos. Actividad
permanente del proceso de valoración del riesgo que consiste en el
registro y la sistematización de información asociada con los riesgos.
Estructura de riesgos. Clases
o categorías en que se agrupan los riesgos en la institución, las
cuales pueden definirse según causa de riesgo, área de impacto, magnitud
del riesgo u otra variable.
Evaluación de riesgos. Tercera
actividad del proceso de valoración del riesgo que consiste en la
determinación de las prioridades para la administración de riesgos.
Evento. Incidente o
situación que podría ocurrir en un lugar específico en un intervalo de tiempo
particular.
Factor de riesgo. Manifestación,
característica o variable mensurable u observable que indica la presencia de un
riesgo, lo provoca o modi.ca su nivel.
Identificación de riesgos. Primera
actividad del proceso de valoración del riesgo que consiste en la
determinación y la descripción de los eventos de índole interno y
externo que pueden afectar de manera significativa el cumplimiento de los
objetivos fijados.
Institución. Entidad
u órgano integrante de la Administración Pública.
Magnitud. Medida,
cuantitativa o cualitativa, de la consecuencia de un riesgo.
Medida para la administración de
riesgos. Disposición razonada definida por la institución previo
a la ocurrencia de un evento para modificar, transferir, prevenir, atender o
retener riesgos.
Modificar riesgos. Opción
para administrar riesgos que consiste en afectar los factores de riesgo asociados
a la probabilidad y/o la consecuencia de un evento, previo a que
éste ocurra.
Nivel de riesgo. Grado
de exposición al riesgo que se determina a partir del análisis de la probabilidad
de ocurrencia del evento y de la magnitud de su consecuencia
potencial sobre el cumplimiento de los objetivos fijados, permite establecer la
importancia relativa del riesgo.
Nivel de riesgo aceptable. Nivel de
riesgo que la institución está dispuesta y en capacidad de
retener para cumplir con sus objetivos, sin incurrir en costos ni efectos
adversos excesivos en relación con sus beneficios esperados o ser incompatible
con las expectativas de
los sujetos
interesados.
Parámetros de aceptabilidad de
riesgos. Criterios que permiten determinar si un nivel de riesgo
específico se ubica dentro de la categoría de nivel de riesgo aceptable.
Población objetivo. Grupo
humano que se pretende atender con la acción institucional.
Política de valoración del riesgo
institucional. Declaración emitida por el jerarca de la
institución que orienta el accionar institucional en relación con la valoración
del riesgo.
Prevenir riesgos. Opción
de administración de riesgos que consiste en no llevar a cabo el proyecto,
función o actividad o su modificación para que logre su objetivo sin verse
afectado por el riesgo.
Probabilidad. Medida
o descripción de la posibilidad de ocurrencia de un evento.
Retener riesgos. Opción
de administración de riesgos que consiste en no aplicar los otros tipos de
medidas (atención, modificación, prevención o transferencia) y estar en
disposición de enfrentar las eventuales consecuencias.
Revisión de riesgos. Quinta
actividad del proceso de valoración del riesgo que consiste en el
seguimiento de los riesgos y de la eficacia y eficiencia de las medidas
para la administración de riesgos ejecutadas.
Riesgo. Probabilidad de
que ocurran eventos que tendrían consecuencias sobre el
cumplimiento de los objetivos fijados.
Sistema Específico de Valoración del
Riesgo Institucional (SEVRI). Conjunto organizado de
elementos que interaccionan para la identificación, análisis,
evaluación, administración, revisión, documentación y
comunicación de los riesgos institucionales.
Sujetos interesados. Personas
físicas o jurídicas, internas y externas a la institución, que pueden afectar o
ser afectadas directamente por las decisiones y acciones institucionales.
Transferir riesgos. Opción
de administración de riesgos, que consiste en que un tercero soporte o
comparta, parcial o totalmente, la responsabilidad y/o las consecuencias potenciales
de un evento.
Valoración del riesgo. Identificación,
análisis, evaluación, administración y revisión de
los riesgos institucionales, tanto de fuentes internas como externas,
relevantes para la consecución
de los objetivos. (En normativas técnicas
este proceso también se denomina “gestión de riesgos”).