Gestión de Riesgos
Propósito
Apoyar la consecución de los objetivos, metas y estrategias institucionales, por medio de la ejecución de un proceso de gestión de riesgos continuo y sistemático.
Alcance
Este procedimiento es aplicable para todas los procesos y Unidades de la Municipalidad de San Carlos.
Responsable
Titular del Departamento de Control Interno
Sistemas de apoyo
Herramienta SEVRI
Control de cambios
Ninguno
Participantes
5 registros| Rol | Nombre / Puesto |
|---|---|
| — | |
| — | |
| — | |
| — | |
| — |
Políticas de operación
18 registrosEl proceso de Gestión de Riesgos se basa en la Metodología para el Establecimiento y Funcionamiento del SEVRI.
El orden de ejecución es: Identificación, Análisis, Evaluación, Tratamiento, Revisión, Documentación y Comunicación.
El nivel de riesgo se clasifica en: Muy alto (5), Alto (4), Medio (3), Bajo (2) y Muy bajo (1).
El apetito de riesgo institucional será definido por el Jerarca y los Titulares Subordinados.
Los riesgos se clasificarán en: Estratégicos, Operacionales, Financieros, Tecnológicos, Cumplimiento y Reputacionales.
Cada unidad funcional debe mantener actualizado su perfil de riesgo.
Los planes de tratamiento deben definir acciones, responsables y plazos.
Se debe realizar seguimiento periódico a los riesgos identificados.
Los riesgos nuevos deben ser comunicados al DCI en un plazo de 5 días hábiles.
El DCI consolidará la información de riesgos de todas las unidades.
Se utilizarán herramientas estandarizadas para el registro y análisis.
La comunicación de riesgos se realizará mediante informes periódicos.
Se procurará la capacitación continua en gestión de riesgos.
Los riesgos de nivel Muy alto y Alto requieren planes de tratamiento inmediatos.
La documentación del proceso debe ser accesible y estar actualizada.
Se revisará la efectividad de los controles existentes.
Los riesgos residuales deben ser monitoreados continuamente.
El proceso debe ser integrado con la planificación estratégica institucional.
Normativa aplicable
3 registrosMetodología para el Establecimiento y Funcionamiento del SEVRI
ISO 31000:2018 Gestión de Riesgos
COSO ERM 2017
Conceptos
5 registrosNivel de riesgo que la institución está dispuesta a aceptar.
Variación aceptable respecto a los objetivos.
Representación agregada de los riesgos identificados.
Riesgo remanente después de aplicar tratamientos.
Sistema Específico de Valoración de Riesgo Institucional.
Indicadores
2 registros| Indicador |
|---|
Perfiles de riesgo actualizados Unidades con perfil actualizado / Total unidades * 100 |
Planes de tratamiento implementados Acciones implementadas / Total planificadas * 100 |
Descripción del procedimiento
78 pasos| Sec. | Descripción |
|---|---|
| 1 | Ajustar el perfil de riesgo de la unidad al contexto actual. |
| 1 | Recibir la información proveniente de cada una de las etapas de gestión de riesgos: • Identificación, análisis y evaluación de riesgos. • Tratamiento de riesgos. • Seguimiento y monitoreo de riesgos. |
| 1 | Identificar el control al que se le dará seguimiento. |
| 1 | Analizar la priorización de los riesgos identificados. |
| 1 | Identificar la causa o consecuencia a la que se le dará seguimiento. |
| 1 | Identificar los eventos que podrían causar incertidumbre en el cumplimiento de los objetivos institucionales establecidos. |
| 2 | Establecer un indicador clave de riesgo (KRI) para cada causa y consecuencia. |
| 2 | Identificar las consecuencias derivadas de la potencial materialización de los riesgos previamente identificados. |
| 2 | Comunicar información con las partes interesadas la |
| 2 | Proveer a la gestión de riesgos de información para fortalecer los análisis de riesgos y la analítica del sistema. |
| 2 | Analiza el nivel de cada uno de los riesgos. |
| 2 | Establecer un indicador clave (KCI) para cada control existente. |
| 3 | Establecer un peso porcentual para las consecuencias asociadas a cada riesgo, determinando si tendrán mayor, menor o igual impacto. |
| 3 | ◆ Decisión¿Decide tratar el riesgo? ✓ Sí: Continúa en el paso 4. ✗ No: Justifica las razones por las que no tratará el riesgo. Fin de procedimiento. |
| 3 | Indicar la fuente de información de donde se obtendrán los datos para calcular el indicador. |
| 3 | Indicar la fuente de información de donde se obtendrán los datos para calcular el indicador. |
| 3 | ◆ Decisión¿Tiene observaciones con respecto a la información recibida? ✓ Sí: Comunicar propuestas de mejora. ✗ No: Continúa en el paso 5. |
| 3 | Analizar la probabilidad de los riesgos de forma permanente con base en los indicadores asociados a las diferentes causas. |
| 4 | Establecer la regla de negocio con la cual se puede calcular el indicador. |
| 4 | Considerar propuestas de mejora de las partes |
| 4 | Seleccionar el riesgo al que le dará tratamiento. |
| 4 | Analizar el impacto de los riesgos de forma permanente con base en los indicadores asociados a las diferentes consecuencias. |
| 4 | Establecer la regla de negocio con la cual se puede calcular el indicador. |
| 4 | Identificar los KRI asociados a las consecuencias. |
| 5 | Documentar y comunicar las decisiones tomadas. |
| 5 | Calcular el nivel de impacto a partir de la sumatoria de los KRI asociados a las consecuencias, multiplicado por su peso. |
| 5 | Asignar un responsable de generar el indicador. |
| 5 | Asignar un responsable de generar el indicador. |
| 5 | Seleccionar la mejor alternativa de tratamiento: • Evitar el riesgo. • Aumentar el riesgo. • Modificar el riesgo. • Compartir el riesgo. • Retener el riesgo. |
| 5 | Comparar los resultados y beneficios obtenidos de la gestión de riesgos, con la estrategia de gestión de riesgos para identificar las oportunidades de mejora. |
| 6 | Diseñar el Plan de Tratamiento de Riesgos y una estrategia adecuada a cada riesgo con base en la alternativa seleccionada. |
| 6 | Asignar la frecuencia de medición del indicador. |
| 6 | Identificar las causas que potencialmente originan los riesgos previamente identificados. |
| 6 | Asignar la frecuencia de medición del indicador. |
| 6 | Analizar y evaluar la efectividad de los controles implementados, con base en los indicadores asociados. |
| 7 | Analizar y evaluar el efecto mitigador de los planes de tratamiento implementados, con base en los indicadores asociados. |
| 7 | Determinar el nivel actual en el que se encuentra el KCI a partir del cálculo realizado. |
| 7 | Asignar un responsable para la implementación del plan. |
| 7 | Establecer un peso para las causas asociadas a cada riesgo, determinando si tendrán mayor, menor o igual impacto. |
| 7 | Establecer los criterios de medición del indicador (muy bajo, bajo, medio, alto y muy alto) con los que se definen las métricas de aceptabilidad. |
| 8 | Identificar los KRI asociados a las causas. |
| 8 | Determinar el nivel actual en el que se encuentra el KRI a partir del cálculo realizado y los criterios de medición. |
| 8 | Comparar los resultados y beneficios obtenidos del Sistema de Control Interno con el plan integral de riesgos para identificar las oportunidades de mejora. |
| 8 | ◆ Decisión¿El plan de tratamiento es técnica, legal y presupuestariamente viable? ✓ Sí: Continúa en el paso 9. ✗ No: Regresa al paso 6. |
| 8 | Ejecutar la implementación del KCI. Inicio. |
| 9 | Continuar con el subproceso “Documentación y Comunicación de Riesgos”. |
| 9 | Calcular el nivel de probabilidad a partir de la sumatoria de los indicadores de riesgo asociados a las causas, multiplicado por su peso. |
| 9 | Realizar la implementación del KRI. |
| 9 | Establecer los costos en los que debe incurrir para la implementación del plan de tratamiento. |
| 10 | Seleccionar el avance del plan de tratamiento, a saber: • Terminado. • En proceso. • No iniciado. |
| 10 | Obtener el nivel de riesgo inherente al calcular el promedio simple del nivel de probabilidad e impacto, redondeado a la unidad mayor. |
| 11 | Establecer el porcentaje de completitud del plan de tratamiento. |
| 11 | Identificar los controles existentes o posibles, asociados a las causas y consecuencias previamente identificadas. |
| 12 | Establecer el porcentaje de significancia de cada control. |
| 12 | Establecer el porcentaje de significancia del plan de tratamiento sobre el riesgo. |
| 13 | Identificar los KCI asociados a cada control. |
| 13 | Asignar los recursos de forma prioritaria para la implementación del tratamiento de los riesgos. |
| 14 | Calcular el porcentaje de efectividad de los controles para mitigar probabilidad e impacto. |
| 14 | Incluir el plan de tratamiento en la Planificación Institucional. |
| 15 | Calcular el efecto mitigador (EM) de los controles multiplicando la significancia del control por la efectividad del control. |
| 15 | Implementar el plan de tratamiento diseñado. |
| 16 | Calcular el KRI ajustado asociado a las consecuencias multiplicando el KRI inicial por uno menos el efecto mitigador del control, redondeado a la unidad mayor. |
| 16 | Establecer los indicadores adecuados para medir la efectividad del plan de tratamiento. |
| 17 | Calcular el porcentaje de efectividad del plan de tratamiento de acuerdo con el indicador de medición. |
| 17 | Calcular el KRI ajustado asociado a las causas multiplicando el KRI inicial por uno menos el efecto mitigador del control, redondeado a la unidad mayor. |
| 18 | Calcular el nivel de impacto ajustado a partir de la sumatoria de los KRI ajustados asociados a las consecuencias, multiplicado por su peso. |
| 18 | Establecer el efecto mitigador del plan de tratamiento multiplicando la significancia por la efectividad del plan. |
| 19 | Obtener el nivel de riesgo planificado. |
| 19 | Calcular el nivel de probabilidad ajustada a partir de la sumatoria de los KRI ajustados asociados a las consecuencias, multiplicado por su peso. |
| 20 | Continuar con el subproceso “Seguimiento y Monitoreo de Riesgos”. |
| 20 | Determinar el nivel de riesgo residual calculando el promedio simple de la probabilidad ajustada y el impacto ajustado, redondeado a la unidad mayor. |
| 21 | Analizar el nivel residual de los riesgos previamente identificados. |
| 22 | Priorizar los riesgos identificados con base en el nivel de severidad, para tratar los riesgos de mayor nivel. |
| 23 | Notificar al Departamento de Control Interno la completitud de los registros. |
| 24 | Dar revisión a los registros de la unidad solicitante. |
| 25 | ◆ Decisión¿Es necesario hacer ajustes a los registros de la unidad solicitante? ✗ No: tificar observaciones al Titular responsable. Ir al paso 26. No: Informar al Titular que no hay observaciones. Ir al paso 27. |
| 26 | Aplicar las observaciones emitidas por el Departamento de Control Interno. Ir al paso 23. |
| 27 | Continuar con el subproceso “Tratamiento de Riesgos”. Inicio. |