CONTRALORÍA GENERAL DE LA REPÚBLICA
R-CO-64-2005.-Despacho de la Contraloría General
en ejercicio, a las once horas del primero de julio del dos mil cinco.
Considerando:
1º-Que los artículos 183 y 184 de la
Constitución Política de la República de Costa Rica establecen a la Contraloría
General de la República como institución auxiliar de la Asamblea Legislativa en
la vigilancia de la Hacienda Pública, y que los artículos 1º y 12 de la Ley
Orgánica de la Contraloría General de la República Nº 7428, del 7 de setiembre
de 1994, la designan como órgano rector del Sistema de Control y Fiscalización Superiores
de la Hacienda Pública.
2º-Que el referido artículo 12 de la Ley Nº 7428
confiere a la Contraloría General facultades para emitir disposiciones, normas,
políticas y directrices de acatamiento obligatorio dirigidas a que los sujetos
pasivos hagan un uso correcto de los fondos públicos.
3º-Que de acuerdo con el artículo 7º de la Ley
General de Control Interno Nº 8292 del 31 de julio del 2002, la Contraloría General
de la República y los órganos sujetos a su fiscalización deberán disponer de sistemas
de control interno y proporcionar seguridad en el cumplimiento de esas
atribuciones y competencias institucionales.
4º-Que el artículo 18 de dicha Ley Nº 8292 dispone
que todo ente u órgano, sujeto a dicha Ley, deberá contar con un Sistema
Específico de Valoración del Riesgo Institucional, el cual permita identificar
de forma adecuada el nivel de riesgo institucional y adoptar los métodos de uso
continuo y sistemático, a .n de analizar y administrar el nivel de dicho riesgo.
5º-Que de conformidad con el citado artículo 18
de la Ley Nº 8292, a la Contraloría General de la República le corresponde emitir
los criterios y directrices generales que servirán de base para el establecimiento
y funcionamiento del Sistema Específico de Valoración del Riesgo Institucional,
sin menoscabo de los deberes que, en relación con la valoración del riesgo,
corresponden cumplir al jerarca y a los titulares subordinados, contenidos en
el artículo 14 de dicha Ley.
6º-Que el artículo 19 de dicha Ley Nº 8292
establece que el jerarca y los titulares subordinados son responsables por el
funcionamiento del SEVRI y que de acuerdo con el artículo 39 de esa misma Ley,
el incumplimiento de este deber será causal de responsabilidad administrativa y
civil.
7º-Que, efectuados los estudios técnicos
respectivos y con fundamento en la Ley General de Control Interno y el Manual
de normas generales de control interno para la Contraloría General de la
República y las entidades y órganos sujetos a su fiscalización, se resuelve
emitir las siguientes:
DIRECTRICES GENERALES PARA EL
ESTABLECIMIENTO
Y FUNCIONAMIENTO DEL SISTEMA
ESPECÍFICO
DE VALORACIÓN DEL RIESGO
INSTITUCIONAL (SEVRI)
D-3-2005-CO-DFOE
1. Glosario.
1.1. Conceptos utilizados. Para los efectos de
las presentes directrices, se aplicarán las siguientes definiciones:
Administración de riesgos. Cuarta
actividad del proceso de valoración del riesgo que consiste en la
identificación, evaluación, selección y ejecución de medidas para la
administración de riesgos. (En normativas técnicas esta actividad
también se denomina "tratamiento de riesgos").
Actividades de control. Políticas
y procedimientos que permiten obtener la seguridad de que se llevan a cabo las
disposiciones emitidas por la Contraloría General de la República, por los
jerarcas y los titulares subordinados para la consecución de los objetivos,
incluyendo específicamente aquellas referentes al establecimiento y operación
de las medidas para la administración de riesgos de la institución.
Análisis de riesgos. Segunda
actividad del proceso de valoración del riesgo que consiste en la
determinación del nivel de riesgo a partir de la probabilidad y
la consecuencia de los eventos identificados.
Análisis cualitativo. Descripción
de la magnitud de las consecuencias potenciales, la probabilidad
de que esas consecuencias ocurran y el nivel de riesgo asociado.
Análisis cuantitativo. Estimación
de la magnitud de las consecuencias potenciales, de la probabilidad
de que esas consecuencias ocurran y del nivel de riesgo asociado.
Atender riesgos. Opción
para administrar riesgos, que consiste en actuar ante las consecuencias de
un evento, una vez que éste ocurra.
Comunicación de riesgos. Actividad
permanente del proceso de valoración del riesgo que consiste en la
preparación, la distribución y la actualización de información oportuna sobre
los riesgos a los sujetos interesados.
Consecuencia. Conjunto
de efectos derivados de la ocurrencia de un evento expresado cualitativa o
cuantitativamente, sean pérdidas, perjuicios, desventajas o ganancias.
Documentación de riesgos. Actividad
permanente del proceso de valoración del riesgo que consiste en el
registro y la sistematización de información asociada con los riesgos.
Estructura de riesgos. Clases
o categorías en que se agrupan los riesgos en la institución, las
cuales pueden definirse según causa de riesgo, área de impacto, magnitud
del riesgo u otra variable.
Evaluación de riesgos. Tercera
actividad del proceso de valoración del riesgo que consiste en la
determinación de las prioridades para la administración de riesgos.
Evento. Incidente o
situación que podría ocurrir en un lugar específico en un intervalo de tiempo
particular.
Factor de riesgo. Manifestación,
característica o variable mensurable u observable que indica la presencia de un
riesgo, lo provoca o modi.ca su nivel.
Identificación de riesgos. Primera
actividad del proceso de valoración del riesgo que consiste en la
determinación y la descripción de los eventos de índole interno y
externo que pueden afectar de manera significativa el cumplimiento de los
objetivos fijados.
Institución. Entidad
u órgano integrante de la Administración Pública.
Magnitud. Medida,
cuantitativa o cualitativa, de la consecuencia de un riesgo.
Medida para la administración de
riesgos. Disposición razonada definida por la institución previo
a la ocurrencia de un evento para modificar, transferir, prevenir, atender o
retener riesgos.
Modificar riesgos. Opción
para administrar riesgos que consiste en afectar los factores de riesgo asociados
a la probabilidad y/o la consecuencia de un evento, previo a que
éste ocurra.
Nivel de riesgo. Grado
de exposición al riesgo que se determina a partir del análisis de la probabilidad
de ocurrencia del evento y de la magnitud de su consecuencia
potencial sobre el cumplimiento de los objetivos fijados, permite establecer la
importancia relativa del riesgo.
Nivel de riesgo aceptable. Nivel de
riesgo que la institución está dispuesta y en capacidad de
retener para cumplir con sus objetivos, sin incurrir en costos ni efectos
adversos excesivos en relación con sus beneficios esperados o ser incompatible
con las expectativas de
los sujetos
interesados.
Parámetros de aceptabilidad de
riesgos. Criterios que permiten determinar si un nivel de riesgo
específico se ubica dentro de la categoría de nivel de riesgo aceptable.
Población objetivo. Grupo
humano que se pretende atender con la acción institucional.
Política de valoración del riesgo
institucional. Declaración emitida por el jerarca de la
institución que orienta el accionar institucional en relación con la valoración
del riesgo.
Prevenir riesgos. Opción
de administración de riesgos que consiste en no llevar a cabo el proyecto,
función o actividad o su modificación para que logre su objetivo sin verse
afectado por el riesgo.
Probabilidad. Medida
o descripción de la posibilidad de ocurrencia de un evento.
Retener riesgos. Opción
de administración de riesgos que consiste en no aplicar los otros tipos de
medidas (atención, modificación, prevención o transferencia) y estar en
disposición de enfrentar las eventuales consecuencias.
Revisión de riesgos. Quinta
actividad del proceso de valoración del riesgo que consiste en el
seguimiento de los riesgos y de la eficacia y eficiencia de las medidas
para la administración de riesgos ejecutadas.
Riesgo. Probabilidad de
que ocurran eventos que tendrían consecuencias sobre el
cumplimiento de los objetivos fijados.
Sistema Específico de Valoración del
Riesgo Institucional (SEVRI). Conjunto organizado de
elementos que interaccionan para la identificación, análisis,
evaluación, administración, revisión, documentación y
comunicación de los riesgos institucionales.
Sujetos interesados. Personas
físicas o jurídicas, internas y externas a la institución, que pueden afectar o
ser afectadas directamente por las decisiones y acciones institucionales.
Transferir riesgos. Opción
de administración de riesgos, que consiste en que un tercero soporte o
comparta, parcial o totalmente, la responsabilidad y/o las consecuencias potenciales
de un evento.
Valoración del riesgo. Identificación,
análisis, evaluación, administración y revisión de
los riesgos institucionales, tanto de fuentes internas como externas,
relevantes para la consecución
de los objetivos. (En normativas técnicas
este proceso también se denomina "gestión de riesgos").
2. Aspectos generales del Sistema Específico de
Valoración del Riesgo Institucional.
2.1. Ámbito
de aplicación. Toda institución
pública deberá establecer y mantener en funcionamiento un Sistema Específico
de Valoración del Riesgo Institucional (SEVRI) por áreas, sectores,
actividades o tareas, de acuerdo, como mínimo, con lo establecido en estas
directrices generales que serán de acatamiento obligatorio. Se exceptúa de su
aplicación a las instituciones de menor tamaño, entendidas como aquellas que
dispongan de un total de recursos que ascienda a un monto igual o inferior a
seiscientas mil unidades de desarrollo y que cuenten con menos de treinta
funcionarios, incluyendo al jerarca, los titulares subordinados, y todo su
personal, quienes deberán observar lo que al efecto establecen las "Normas de
control interno para el sector público.
(Así
reformado mediante resolución N° R-CO-9 del 26 de enero del 2009).
2.2. Concepto del SEVRI. Se entenderá
como Sistema Específico de Valoración del Riesgo Institucional al conjunto
organizado de componentes de la Institución que interaccionan para la identificación,
análisis, evaluación, administración, revisión, documentación y comunicación de
los riesgos institucionales relevantes.
En el anexo Nº 1 de esta normativa se presenta
un diagrama del SEVRI.
2.3. Objetivo del SEVRI. El SEVRI deberá
producir información que apoye la toma de decisiones orientada a ubicar a la
institución en un nivel de riesgo aceptable y así promover, de manera
razonable, el logro de los objetivos institucionales.
2.4. Productos del SEVRI. El SEVRI deberá
constituirse en un instrumento que apoye de forma continua los procesos
institucionales.
En este sentido, se deberá generar a través del
SEVRI:
a) Información actualizada sobre los riesgos
institucionales relevantes asociados al logro de los objetivos y metas, definidos
tanto en los planes anuales operativos, de mediano y de largo plazos, y el
comportamiento del nivel de riesgo institucional.
b) Medidas para la administración de riesgos
adoptadas para ubicar a la institución en un nivel de riesgo aceptable.
2.5. Insumos del SEVRI. El SEVRI deberá
utilizar como insumo información interna y externa, suficiente y actualizada
para su establecimiento y funcionamiento de acuerdo con los requerimientos de
la presente normativa. Para estos efectos, se deberá considerar al menos la
siguiente:
a) Planes nacionales, sectoriales e
institucionales.
b) Análisis del entorno interno y externo.
c) Evaluaciones institucionales.
d) Descripción de la organización (procesos,
presupuesto, sistema
de control interno).
e) Normativa externa e interna asociada con la
institución.
f) Documentos de operación diaria y de la
evaluación periódica del desempeño del mismo SEVRI.
2.6. Características del SEVRI. El SEVRI
que se establezca en cada institución deberá reunir características como las
siguientes:
Continuidad: Los
componentes y actividades del SEVRI se establecen de forma permanente y sus
actividades se ejecutan de manera constante.
Enfocado a resultados: Los
componentes y actividades del sistema se establecen y desarrollan para
coadyuvar a que la institución cumpla sus objetivos.
Economía: Los
componentes y actividades del Sistema se establecen y ejecutan, de forma
prioritaria, vinculando las herramientas y procesos existentes en la
institución y aprovechando al máximo los recursos con que se cuenta.
Flexibilidad: El
Sistema se deberá diseñar, implementar y ajustar periódicamente a los cambios
externos e internos de acuerdo con las posibilidades y características de cada
institución.
Integración: El
Sistema se articula con el resto de los sistemas institucionales y apoya la
toma de decisiones cotidiana en todos los niveles organizacionales.
Capacidad: El
Sistema deberá procesar de forma ordenada, consistente y confiable todos los
datos, internos y externos, requeridos para cumplir el objetivo del Sistema con
un nivel de seguridad razonable.
2.7. Responsabilidad del SEVRI. El
jerarca y los respectivos titulares subordinados de la institución son los
responsables del establecimiento y funcionamiento del SEVRI. Para lo anterior
deberán:
a) Establecer y disponer los componentes del
Sistema indicados en la sección 3.
b) Definir y ejecutar las actividades del
Sistema indicados en la sección 4.
c) Evaluar y dar seguimiento al Sistema para
verificar su eficacia y eficiencia en relación con el objetivo indicado en la
directriz 2.3.
d) Verificar el cumplimiento de las
responsabilidades establecidas en relación con el Sistema referidas en las
directrices 3.2. y 3.3.
e) Tomar las medidas necesarias tendientes a
fortalecer y perfeccionar el Sistema y al cumplimiento de la presente
normativa.
f) Comunicar a los sujetos interesados el estado
del SEVRI y de las medidas que ha tomado para su fortalecimiento.
Ficha articulo
3. Establecimiento del Sistema Específico de
Valoración del Riesgo Institucional.
3.1. Descripción general. Se deberán
establecer, previo al funcionamiento del SEVRI, los siguientes componentes:
a) Marco orientador.
b) Ambiente de apoyo.
c) Recursos.
d) Sujetos interesados.
e) Herramienta para la administración de
información.
Se deberá iniciar con el componente de marco
orientador del SEVRI, específicamente con la política del riesgo institucional
y la estrategia del SEVRI. El componente de herramienta para la administración de
información deberá instituirse sólo cuando el resto de los componentes se hayan
establecido.
3.2. Marco orientador. El marco
orientador del SEVRI debe comprender la política de valoración del riesgo
institucional, la estrategia del SEVRI y la normativa interna que regule el
SEVRI.
La política de valoración del riesgo
institucional deberá contener, al menos:
a) el enunciado de los objetivos de valoración
del riesgo el compromiso del jerarca para su cumplimiento,
b) lineamientos institucionales para el
establecimiento de niveles de riesgo aceptables, y
c) la definición de las prioridades de la
institución en relación con la valoración del riesgo.
La estrategia del SEVRI deberá especificar las
acciones necesarias para establecer, mantener, perfeccionar y evaluar el SEVRI
y los responsables de su ejecución. También deberá contener los indicadores que
permitan la evaluación del SEVRI tanto de su funcionamiento como de sus
resultados.
La normativa interna que regule el SEVRI deberá
contener en el ámbito institucional, al menos: los procedimientos del Sistema,
los criterios que se requieran para el funcionamiento del SEVRI, la estructura
de riesgos institucional y los parámetros de aceptabilidad de riesgo.
3.3. Ambiente de apoyo. En cada
institución deberá existir una estructura organizacional que apoye la operación
del SEVRI, así como promoverse una cultura favorable al efecto. Para lo
anterior, se deberá promover al menos:
a) Conciencia en los funcionarios de la
importancia de la valoración del riesgo para el cumplimiento de los objetivos
institucionales.
b) Uniformidad en el concepto de riesgo en los
funcionarios de la institución.
c) Actitud proactiva que permita establecer y
tomar acciones anticipando las consecuencias que eventualmente puedan afectar el
cumplimiento de los objetivos.
d) Responsabilidades definidas claramente en
relación con el SEVRI para los funcionarios de los diferentes niveles de la
estructura organizacional.
e) Mecanismos de coordinación y comunicación
entre los funcionarios y las unidades internas para la debida operación del SEVRI.
3.4. Recursos. El SEVRI deberá contar con
los recursos financieros, humanos, técnicos, materiales y demás necesarios para
su establecimiento, operación, perfeccionamiento y evaluación, según lo
dispuesto en esta normativa.
Los recursos que se asignen al SEVRI deberán
obtenerse, de forma prioritaria, de los existentes en la institución en el
momento de determinar su requerimiento. En caso de no contar con algún recurso particular,
deberá adquirirse en tanto sus beneficios excedan los costos cumpliendo los
procesos presupuestarios y contractuales respectivos.
En el diseño, operación, evaluación y
seguimiento del SEVRI se deberán seleccionar y capacitar los recursos humanos
que garanticen el cumplimiento del objetivo del Sistema.
El presupuesto institucional deberá contemplar
los recursos financieros necesarios para la implementación de la estrategia del
SEVRI y las provisiones y reservas para la ejecución de las medidas para la
administración de riesgos.
3.5 Sujetos
interesados. Los sujetos interesados deberán ser contemplados
en el diseño, ejecución, evaluación y seguimiento de las actividades del SEVRI.
Dentro de estas consideraciones, la institución
deberá tomar en cuenta los objetivos y percepciones de estos sujetos en el
diseño del SEVRI. También deberá valorar la participación de estos sujetos de forma
directa en el establecimiento, funcionamiento, evaluación y perfeccionamiento
del SEVRI.
Para estos efectos, cada institución podrá
realizar consultas de oficio a estos grupos o, bien, considerará la
incorporación de opiniones o sugerencias que éstos le hagan llegar.
Los sujetos interesados pueden ser internos o
externos a la institución, y dentro de éstos, deberán incluirse al menos los
siguientes grupos:
a) población objetivo de la institución,
b) funcionarios de la institución, y
c) sujetos de derecho privado que sean custodios
o administradores de fondos públicos otorgados por la institución,
d) fiduciarios encargados de administrar fideicomisos
constituidos con fondos públicos.
Los sujetos que forman parte de c) y d) deberán,
al menos:
a) Brindar de forma periódica la información que
requiera la institución que otorga los fondos o la que actúe como fideicomitente,
para determinar los riesgos asociados a dichos recursos.
b) Estar anuentes a establecer las medidas para
la administración de riesgos en relación con los recursos que recibe, según lo
defina la institución que otorga los fondos o la que actúe como fideicomitente.
3.6. Herramienta de apoyo para la
administración de información. Se deberá establecer una herramienta para la
gestión y documentación de la información que utilizará y generará el SEVRI, la
cual podrá ser de tipo manual, computadorizada o una combinación de ambos.
Esta herramienta deberá contar con un sistema de
registros de información que permita el análisis histórico de los riesgos institucionales
y de los factores asociados a dichos riesgos.
El diseño de la herramienta, en términos de su
naturaleza y complejidad, deberá contemplar, al menos los siguientes aspectos:
a) relación costo beneficio,
b) volumen de información que debe procesar,
c) complejidad de los procesos organizacionales,
y
d) presupuesto institucional.
En relación con este componente se deberá
considerar lo establecido en el artículo 16 de la Ley General de Control
Interno sobre los Sistemas de Información y, en caso de optar por el uso de
sistemas de información computadorizados, se deberán también aplicar las normas
dictadas al efecto por la Contraloría General de la República.
Ficha articulo
4. Funcionamiento del Sistema Específico de
Valoración del Riesgo Institucional.
4.1. Descripción general. Una vez
establecidos los componentes del SEVRI, se deberán ejecutar las actividades
para la identificación, análisis, evaluación, administración, revisión,
documentación y comunicación de los riesgos institucionales.
El orden de ejecución de las actividades debe
obedecer al establecido en la presente normativa. Las actividades para la
documentación y comunicación de riesgos deberán realizarse, desde el inicio de operación
del SEVRI, de forma continua y paralela al resto de las actividades que ejecuta
el SEVRI.
4.2. Identificación de riesgos. Se deberá
identificar por áreas, sectores, actividades o tareas, de conformidad con las
particularidades de la institución, lo siguiente:
a) Los eventos que podrían afectar de forma
significativa el cumplimiento de los objetivos institucionales. Estos deberán organizarse
de acuerdo con la estructura de riesgos institucional previamente establecida.
b) Las posibles causas, internas y externas, de
los eventos identificados y las posibles consecuencias de la ocurrencia de dichos
eventos sobre el cumplimiento de los objetivos.
c) Las formas de ocurrencia de dichos eventos y
el momento y lugar en el que podrían incurrir.
d) Las medidas para la administración de riesgos
existentes que se asocian con los riesgos identificados.
La identificación de riesgos debe vincularse con
las actividades institucionales de planificación presupuestación, estrategia, evaluación
y monitoreo del entorno.
4.3. Análisis de riesgos. Para los
eventos identificados se deberá determinar:
a) su posibilidad de ocurrencia,
b) la magnitud de su eventual consecuencia,
c) su nivel de riesgo,
d) sus factores de riesgo, y
e) las medidas para su administración.
El análisis de la consecuencia de los eventos
identificados deberá considerar los posibles efectos negativos y positivos de
dichos eventos.
El nivel de riesgo deberá obtenerse bajo dos
escenarios básicos: sin medidas para la administración de riesgos y con
aquellas existentes en la institución.
El análisis que se realice puede ser
cuantitativo, cualitativo o una combinación de ambos. En cualquier caso, los
beneficios del tipo de análisis que se utilice deberán ser mayores que sus
costos de aplicación.
4.4. Evaluación de riesgos. Los riesgos
analizados deberán ser priorizados de acuerdo con criterios institucionales
dentro de los cuales se deberán considerar, al menos los siguientes:
a) el nivel de riesgo,
b) grado en que la institución puede afectar los
factores de riesgo;
c) la importancia de la política, proyecto,
función o actividad
afectado; y
d) la eficacia y eficiencia de las medidas para
la administración de riesgo existentes.
En relación con los niveles de riesgo, deberá
determinarse cuáles se ubican dentro de la categoría de nivel de riesgo
aceptable por medio de la aplicación de los parámetros de aceptabilidad de riesgos
institucionales previamente definidos. Cuando esto ocurra, se podrá optar por
la retención de dichos riesgos siempre y cuando sean revisados, documentados y
comunicados de acuerdo con lo establecido en las Directrices 4.6, 4.7 y 4.8 de
esta normativa.
Los niveles de riesgo que no se ubiquen dentro
de la categoría de riesgo aceptable deberán administrarse de acuerdo con lo
establecido en la Directriz 4.5.
4.5. Administración de riesgos. A partir
de la priorización de riesgos establecida, se debe evaluar y seleccionar la o
las medidas para la administración de cada riesgo, de acuerdo con criterios
institucionales que deberán contener al menos los siguientes:
a) la relación costo-beneficio de llevar a cabo
cada opción;
b) la capacidad e idoneidad de los entes
participantes internos y externos a la institución en cada opción;
c) el cumplimiento del interés público y el
resguardo de la hacienda pública; y
d) la viabilidad jurídica, técnica y operacional
de las opciones.
Se deberá valorar medidas dirigidas a la
atención, modificación, transferencia y prevención de riesgos. En los casos en
que sea imposible utilizar este tipo de medidas o las disponibles impliquen un
costo mayor a su beneficio, la administración podrá retener dichos riesgos.
Las medidas para la administración de riesgos
seleccionadas deberán:
a) Servir de base para el establecimiento de las
actividades de control del sistema de control interno institucional.
b) Integrarse a los planes institucionales
operativos y planes de mediano y largo plazos, según corresponda.
c) Ejecutarse y evaluarse de forma continua en
toda la institución.
4.6. Revisión de riesgos. En relación con
los riesgos identificados, se deberá dar seguimiento, al menos, a:
a) el nivel de riesgo;
b) los factores de riesgo;
c) el grado de ejecución de las medidas para la
administración de riesgos;
d) la eficacia y la eficiencia de las medidas
para la administración de riesgos ejecutadas.
La revisión de riesgos deberá ejecutarse de
forma continua y la información que se genere en esta actividad deberá servir
de insumo para:
a) elaborar los reportes del SEVRI;
b) ajustar de forma continua las medidas para la
administración de riesgos; y
c) evaluar y ajustar los objetivos y metas
institucionales.
4.7. Documentación de riesgos. Se deberá
documentar la información sobre los riesgos y las medidas para la
administración de riesgos que se genere en cada actividad de la valoración del
riesgo (identificación, análisis, evaluación, administración y revisión).
Deberá de establecerse registros de riesgos que
incluyan, como mínimo, la información sobre su probabilidad, consecuencia,
nivel de riesgo asociado y medidas seleccionadas para su administración.
En relación con las medidas para la
administración de riesgos deberá documentarse como mínimo su descripción, sus
resultados esperados en tiempo y espacio, los recursos necesarios y
responsables para llevarlas a cabo.
Se deberá velar por que los registros sean
accesibles, comprensibles y completos y que la documentación se realice de
forma continua, oportuna y confiable.
Toda esta información deberá servir de base para
la elaboración de los reportes del SEVRI dirigidos a los sujetos interesados y
podrá ser requerida por la Contraloría General de la República o la auditoría interna,
por lo que deberá de estar actualizada en todo momento.
4.8. Comunicación
de riesgos. Se deberá brindar información a los sujetos
interesados, internos y externos, y a la institución en relación
con los riesgos institucionales.
La comunicación deberá darse en ambas
direcciones, mediante informes de seguimiento y de resultados del SEVRI que se
elaboran periódicamente y mediante la operación de mecanismos de consulta a
disposición de los sujetos interesados.
La información que se comunique deberá ajustarse
a los requerimientos de los grupos a los cuales va dirigida y servir de base para
el proceso de rendición de cuentas institucional.
Los reportes del SEVRI deberá contener como
mínimo la información que de acuerdo con la Directriz 4.7., debe documentarse y
debe estar disponible para los sujetos interesados.
Ficha articulo