Guía Conceptual y Metodología para La Implementación Del SEVRI

Instituto Nacional de Estadstica y
Censos
Gua conceptual y metodologa para la
implementacin del SEVRI
Elaborado por: Unidad de Planificacin Institucional
Versin 1. Revisada por Licda. Olga Mora Prado
Noviembre de 2014
Gua conceptual y metodologa para la implementacin el SEVRI
Contenido
i. Presentacin .......................................................................................................................... 3
I. Marco conceptual .................................................................................................................. 5
1. Definiciones ........................................................................................................................... 5
2. Caractersticas del SEVRI ........................................................................................................ 8
3. Abreviaturas........................................................................................................................... 9
II. Marco orientador ................................................................................................................. 10
1. Poltica de valoracin de riesgos ........................................................................................... 10
2. Objetivo general................................................................................................................... 11
3. Objetivos especficos ............................................................................................................ 11
4. mbito de aplicacin ............................................................................................................ 12
5. Marco normativo ................................................................................................................. 12
6. Responsabilidades................................................................................................................ 12
7. Parmetros de aceptabilidad de riesgos ............................................................................... 19
III. Ambiente de apoyo .......................................................................................................... 21
IV. Recursos........................................................................................................................... 21
1. Recursos financieros ............................................................................................................ 21
2. Recursos humanos ............................................................................................................... 22
3. Recursos tcnolgicos .......................................................................................................... 22
4. Recursos materiales ............................................................................................................. 22
V. Sujetos interesados .............................................................................................................. 23
VI. Insumos, herramientas y productos del SEVRI .................................................................. 23
1. Insumos del SEVRI ................................................................................................................ 23
2. Herramientas del SEVRI ........................................................................................................ 24
3. Productos del SEVRI ............................................................................................................. 25
VII. Estructura de riesgos institucionales ................................................................................. 25
VIII. Implementacin del SEVRI ................................................................................................ 29
1. Matriz N 1: Identificacin del riesgo .................................................................................... 30
2. Instructivo para el llenado de la Matriz N 1: Identificacin del riesgo .................................. 32
3. Valoracin del nivel de riesgo ............................................................................................... 36
4. Instructivo para el llenado de la Tabla N 1: Valoracin del nivel de riesgo ........................... 37
1
5. Valoracin de controles existentes ....................................................................................... 40

6. Instructivo de llenado de la Tabla N 5: Valoracin de los controles existentes. .................... 41
7. Matriz N 2: Anlisis y evaluacin de factores de riesgo. ....................................................... 44
8. Instructivo de llenado de la Matriz N 2: Anlisis y evaluacin del riesgo .............................. 46
9. Matriz N 3: Tratamiento del riesgo ...................................................................................... 49
10. Instructivo de llenado de la Matriz N 3: Tratamiento del riesgo ....................................... 51
11. Matriz N 4: Seguimiento de las acciones .......................................................................... 54
12. Instructivo de llenado de la Matriz N 4: Seguimiento de las acciones ............................... 56
13. Documentacin ................................................................................................................ 58
14. Comunicacin................................................................................................................... 58
IX. Bibliografa ....................................................................................................................... 59
X. Anexos ................................................................................................................................. 60
Anexo N 1 Definicin de cada riesgo ........................................................................................... 60
Anexo N3 Ejemplo de llenado de Matriz del SEVRI ...................................................................... 68
2
i. Presentacin
Todas las organizaciones, independientemente de su naturaleza o tamao, estn

expuestas a diferentes riesgos, los que podemos entender como aquellos factores
o situaciones que podran afectar el logro de los objetivos institucionales.
La valoracin del riesgo es un componente del Sistema de Control Interno que se
entiende como una serie de acciones que la administracin activa disea para
proteger el patrimonio pblico de cualquier prdida, despilfarro, uso indebido,
irregularidad o acto ilegal; para exigir confiabilidad y oportunidad de la informacin,
garantizar eficiencia y eficacia de las operaciones y cumplir con el ordenamiento
jurdico y tcnico. De esta forma, la valoracin de riesgos conlleva la existencia de
un sistema de deteccin y valoracin de los riesgos derivados del ambiente, que
permite a la administracin efectuar una gestin eficaz y eficiente por medio de la
toma de acciones vlidas y oportunas para prevenir y enfrentar las posibles
consecuencias de la eventual materializacin de esos riesgos, la que se entiende
como que el perjuicio al logro de los objetivos institucionales por esos riesgos deje
de ser probable y se convierta en una realidad.
La administracin deber identificar y evaluar los riesgos derivados de los factores
tanto internos como externos que afecten a la institucin as como emprender las
medidas pertinentes para que esta sea capaz de afrontar exitosamente los
riesgos. Mediante controles eficaces en los procesos se busca la reduccin de
esos riesgos, garantizando en cierta medida que los objetivos institucionales sern
alcanzados.
El Sistema Especfico de Valoracin del Riesgo (SEVRI) es un proceso que consta
de una secuencia de actividades que se van desarrollando con la ayuda de
herramientas que facilitan un desarrollo lgico y sistemtico al identificar, analizar,
evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad.
La informacin producida por el SEVRI orientar la toma de decisiones y
fortalecer los procesos en procura de mejorar el quehacer institucional, adems
de cumplir con la normativa de referencia en virtud de la Ley General de Control
Interno N 8292, misma que en su Captulo 1, Artculo 2, inciso f, la que establece
3
que la Valoracin del riesgo responde a la identificacin y anlisis de los riesgos

que enfrenta la institucin, tanto de fuentes internas como externas relevantes
para la consecucin de los objetivos; y debe ser realizado por el jerarca y los
titulares subordinados con el fin de determinar cmo se deben administrar dichos
riesgos.
Esta gua establece el marco conceptual y el marco orientador del Sistema
Especfico de Valoracin del Riesgo y provee la metodologa y las herramientas
necesarias para que el proceso se lleve a cabo.
4
I. Marco conceptual
1. Definiciones
Administracin de riesgo: actividad del proceso de valoracin del riesgo que

consiste en la identificacin, evaluacin, seleccin y ejecucin de medidas para la
administracin de riesgos. (En normativas tcnicas esta actividad tambin se
denomina tratamiento de riesgos).
Actividades de control: polticas y procedimientos que permiten obtener la
seguridad de que se llevan a cabo las disposiciones emitidas por la Contralora
General de la Repblica, por los jerarcas y los titulares subordinados para la
consecucin de los objetivos, incluyendo especficamente aquellas referentes al
establecimiento y operacin de las medidas para la administracin de riesgos de la
institucin.
Anlisis de riesgos: segunda actividad del proceso de valoracin del riesgo que
consiste en la determinacin del nivel de riesgo a partir de la probabilidad y la
consecuencia de los eventos identificados.
Anlisis cualitativo: descripcin de la magnitud de las consecuencias
potenciales, la probabilidad de que esas consecuencias ocurran y el nivel de
riesgo asociado.
Anlisis cuantitativo: estimacin de la magnitud de las consecuencias
potenciales, de la probabilidad de que esas consecuencias ocurran y del nivel de
riesgo asociado.
Atender riesgos: opcin para administrar riesgos, que consiste en actuar ante las
consecuencias de un evento, una vez que ste ocurra.
Comunicacin de riesgos: actividad permanente del proceso de valoracin del
riesgo que consiste en la preparacin, la distribucin y la actualizacin de
informacin oportuna sobre los riesgos a los sujetos interesados.
5
Consecuencia: conjunto de efectos derivados de la ocurrencia de un evento

expresado cualitativa o cuantitativamente, sean prdidas, perjuicios, desventajas o
ganancias.
Documentacin de riesgos: actividad permanente del proceso de valoracin del
riesgo que consiste en el registro y la sistematizacin de informacin asociada con
los riesgos.
Estructura de riesgos: clases o categoras en que se agrupan los riesgos en la
institucin, las cuales pueden definirse segn causa de riesgo, rea de impacto,
magnitud del riesgo u otra variable.
Evaluacin de riesgos: tercera actividad del proceso de valoracin del riesgo que
consiste en la determinacin de las prioridades para la administracin de riesgos.
Evento: incidente o situacin que podra ocurrir en un lugar especfico en un
intervalo de tiempo particular.
Experto(a): persona que conoce el proceso y tiene criterio para valorar y decidir
sobre los riesgos que ataen a las diferentes actividades del proceso.
Factor de riesgo: manifestacin, caracterstica o variable mensurable u
observable que indica la presencia de un riesgo, lo provoca o modifica su nivel.
Identificacin de riesgos: primera actividad del proceso de valoracin del riesgo
que consiste en la determinacin y la descripcin de los eventos de ndole interno
y externo que pueden afectar de manera significativa el cumplimiento de los
objetivos fijados.
Institucin: entidad u rgano integrante de la Administracin Pblica (INEC).
Magnitud: medida, cuantitativa o cualitativa, de la consecuencia de un riesgo.
Medida para la administracin de riesgos: disposicin razonada definida por la
institucin previa a la ocurrencia de un evento para modificar, transferir, prevenir,
atender o retener riesgos.
Modificar riesgos: opcin para administrar riesgos que consiste en afectar los
factores de riesgo asociados a la probabilidad y/o la consecuencia de un evento,
previo a que ste ocurra.
Nivel de riesgo: grado de exposicin al riesgo que se determina a partir del
anlisis de la probabilidad de ocurrencia del evento y de la magnitud de su
6
consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite

establecer la importancia relativa del riesgo.
Nivel de riesgo aceptable: nivel de riesgo que la institucin est dispuesta y en
capacidad de retener para cumplir con sus objetivos, sin incurrir en costos ni
efectos adversos excesivos en relacin con sus beneficios esperados o ser
incompatible con las expectativas de los sujetos interesados.
Parmetros de aceptabilidad de riesgos: criterios que permiten determinar si un
nivel de riesgo especfico se ubica dentro de la categora de nivel de riesgo
aceptable.
Poblacin objetivo: grupo humano que se pretende atender con la accin
institucional.
Poltica de valoracin del riesgo institucional: declaracin emitida por el jerarca
de la institucin que orienta el accionar institucional en relacin con la valoracin
del riesgo.
Prevenir riesgos: opcin de administracin de riesgos que consiste en no llevar a
cabo el proyecto, funcin o actividad o su modificacin para que logre su objetivo
sin verse afectado por el riesgo.
Probabilidad: medida o descripcin de la posibilidad de ocurrencia de un evento.
Retener riesgos: opcin de administracin de riesgos que consiste en no aplicar
los otros tipos de medidas (atencin, modificacin, prevencin o transferencia) y
estar en disposicin de enfrentar las eventuales consecuencias.
Revisin de riesgos: quinta actividad del proceso de valoracin del riesgo que
consiste en el seguimiento de los riesgos y de la eficacia y eficiencia de las
medidas para la administracin de riesgos ejecutadas.
Riesgo: probabilidad de que ocurran eventos que tendran consecuencias sobre el
cumplimiento de los objetivos fijados.
Sistema Especfico de Valoracin del Riesgo Institucional (SEVRI-INEC):
conjunto organizado de componentes de la Institucin que interaccionan para la
identificacin, anlisis, evaluacin, administracin, revisin, documentacin y
comunicacin de los riesgos institucionales.
7
Sujetos interesados: personas fsicas o jurdicas, internas y externas a la

institucin, que pueden afectar o ser afectadas directamente por las decisiones y
acciones institucionales.
Transferir riesgos: opcin de administracin de riesgos, que consiste en que un
tercero soporte o comparta, parcial o totalmente, la responsabilidad y/o las
consecuencias potenciales de un evento.
Valoracin del riesgo: identificacin, anlisis, evaluacin, administracin y
revisin de los riesgos institucionales, tanto de fuentes internas como externas,
relevantes para la consecucin de los objetivos. (En normativas tcnicas este
proceso tambin se denomina gestin de riesgos).
Fuente: Contralora General de la Repblica. D-3-2005-CO-DF-OE, 2005.
2. Caractersticas del SEVRI
El SEVRI rene las siguientes caractersticas:

Continuidad: Los componentes y actividades del SEVRI se establecen de forma
permanente y sus actividades se ejecutan de manera constante.
Enfocado a resultados: Los componentes y actividades del sistema se
establecen y desarrollan para coadyudar a que la institucin cumpla sus objetivos.
Economa: Los componentes y actividades del Sistema se establecen y ejecutan,
de forma prioritaria, vinculando las herramientas y procesos existentes en la
institucin y aprovechando al mximo los recursos con que se cuenta.
Flexibilidad: El Sistema se deber disear, implementar y ajustar peridicamente
a los cambios externos e internos de acuerdo con las posibilidades y las
caractersticas de cada institucin.
Integracin: El Sistema se articula con el resto de los sistemas institucionales y
apoya la toma de decisiones cotidiana en todos los niveles organizacionales.
8
Capacidad: El Sistema deber procesar de forma ordenada, consistente y

confiable todos los datos, internos y externos, requeridos para cumplir el objetivo
del Sistema con un nivel de seguridad razonable.
Fuente: Contralora General de la Repblica. D-3-2005-CO-DF-OE, 2005.
3. Abreviaturas
INEC: Instituto Nacional de Estadstica y Censos
SEVRI: Sistema Especfico de Valoracin del Riesgo Institucional
9
II. Marco orientador
1. Poltica de valoracin de riesgos
En el Instituto Nacional de Estadstica y Censos nos comprometemos a desarrollar

y mejorar nuestros procesos, en forma paulatina, por etapas y de manera
participativa; aplicando, apoyando y fortaleciendo continuamente el Sistema
Especfico de Valoracin de Riesgo del INEC con el fin de contribuir en la toma de
decisiones que permitan ubicar a la institucin en un nivel de riesgo aceptable.
Poltica Descripcin de la poltica

En el Instituto Nacional de En el Instituto Nacional de Estadstica y
Estadstica y Censos nos Censos existe el compromiso de establecer
comprometemos a desarrollar y en forma paulatina, por etapas, participativa,
mejorar nuestros procesos, en dentro de la gestin institucional, procesos de
forma paulatina, por etapas y de trabajo, eficientes y eficaces.
manera participativa;
aplicando, apoyando y Aplicando el Sistema Especfico de
fortaleciendo continuamente el Valoracin de Riesgos del INEC con el fin de
Sistema Especfico de que apoye la toma de decisiones y poder
Valoracin de Riesgo del INEC ubicar a la institucin en un nivel de riesgo
con el fin de contribuir en la aceptable y as de una manera razonable
toma de decisiones que desarrollar las acciones para fortalecer los
permitan ubicar a la institucin objetivos de la institucin.
en un nivel de riesgo La valoracin de riesgo se realizar tomando
aceptable. como base los procesos claves, alineados
directamente con las acciones estratgicas de
la institucin. Gestionando el riesgo en las
actividades relevantes para la consecucin de
los objetivos institucionales.
10
2. Objetivo general
Producir informacin tanto interna como del entorno que apoye la toma de
decisiones orientada a ubicar al Instituto Nacional de Estadstica y Censos en un
nivel de riesgo aceptable y as promover, de manera razonable, el logro de los
objetivos Institucionales.
3. Objetivos especficos
Adoptar las medidas necesarias para el establecimiento y funcionamiento

del Sistema Especfico de Valoracin del Riesgo Institucional (SEVRI).
Garantizar el cumplimiento de los objetivos institucionales del INEC, a
travs de la prevencin y administracin de los riesgos.
Implementar un sistema de valoracin de riesgo que permita identificar,
analizar, evaluar, tratar, darle seguimiento y comunicar los riesgos y las
medidas que se adopten en el mbito institucional.
Contar con personal calificado para el desarrollo y aplicacin de los
instrumentos de valoracin de riesgos, que se adopten en el mbito
institucional.
Hacer partcipes a todas las personas colaboradoras de la institucin en la
bsqueda y aplicacin de controles y acciones encaminadas a prevenir los
riesgos.
Velar porque los niveles de riesgo que se determinen como aceptables para
los procesos, permitan el resguardo y mejor manejo de los fondos pblicos.
Impulsar y mantener una cultura de valoracin de riesgo en todos los
procesos.
Revisar continuamente el SEVRI, para tomar oportunamente las medidas
correctivas.
Asegurar el cumplimiento de normas, leyes y regulaciones.
11
4. mbito de aplicacin
En el INEC existe el compromiso de encaminar a la institucin hacia una gestin

por procesos, en la cual la administracin del riesgo debe estar integrada con la
definicin de los procesos y actividades que se realizan a lo interno de las reas,
Unidades, Procesos y Operaciones Estadsticas del INEC, se implementar en
forma paulatina, conforme se vaya dando el levantamiento de los procesos y
procedimientos de la institucin y de acuerdo con las prioridades institucionales.
5. Marco normativo
Ley 8292 Ley General de Control Interno.

Normas de control interno para el sector pblico (N-2-2009-CO-DFOE).
Manual de Normas Generales de Control Interno para la Contralora General
de la Repblica y las entidades y rganos sujetos a su fiscalizacin. Publicado
en La Gaceta N 107 del 5 de junio, 2002.
Directrices generales para el establecimiento y funcionamiento del sistema
especfico de valoracin de riesgo institucional SEVRI, (D-3-2005-CO-DFOE).
6. Responsabilidades
Toda institucin pblica deber establecer y mantener en funcionamiento un

Sistema Especfico de Valoracin del Riesgo Institucional (SEVRI) por reas,
sectores, actividades o tareas, de acuerdo, como mnimo, con lo establecido en
las directrices generales emitidas por la CGR y que sern de acatamiento
obligatorio.
Conforme lo establece la Ley de Control Interno en su artculo 14, Valoracin del
riesgo, sern deberes del jerarca y los titulares subordinados, entre otros, los
siguientes: a) Identificar y analizar los riesgos relevantes asociados al logro de los
objetivos y las metas institucionales, definidos tanto en los planes anuales
12
operativos como en los planes de mediano y de largo plazos. b) Analizar el efecto

posible de los riesgos identificados, su importancia y la probabilidad de que
ocurran y decidir las acciones que se tomarn para administrarlos. c) Adoptar las
medidas necesarias para el funcionamiento adecuado del sistema de valoracin
del riesgo, para ubicarse por lo menos en un nivel de riesgo organizacional
aceptable. d) Establecer los mecanismos operativos que minimicen el riesgo en
las acciones por ejecutar.
As mismo el artculo N 19, establece que el jerarca y los respectivos titulares
subordinados de la institucin, son los responsables del establecimiento y
funcionamiento del SEVRI.
El jerarca, los titulares subordinados y los dems colaboradores(as) pblicos que
debiliten con sus acciones el SEVRI u omitan las actuaciones necesarias para
establecerlo, mantenerlo, perfeccionarlo y evaluarlo, segn la normativa tcnica,
estarn sujetos al rgimen sancionatorio establecido en la Ley General de Control
Interno, N 8292 en el artculo 39 causales de responsabilidad administrativa.
13
En el mbito institucional las responsabilidades del establecimiento, la gestin,

aplicacin, evaluacin y seguimiento del SEVRI se distribuyen entre:
Consejo Directivo
Gerencia
Unidad de Planificacin Institucional
Titulares subordinados(as)
Grupo de Expertos(as)
Otros funcionarios(as) de la Institucin
Para tal efecto se defini la siguiente estructura organizativa:
Diagrama
Diagrama 1:
1: Estructura
Estructura organizativa
organizativa del
del SEVRI
SEVRI
Consejo Directivo
Gerencia
Unidad de Planificacin
Institucional (gestora del
riesgo institucional)
Titulares subordinados(as)
Otros funcionarios (as) de la

Institucion
Fuente:
Fuente: Unidad
Unidad de
de Planificacin
Planificacin Institucional
Institucional
A continuacin se detallan las responsabilidades para cada uno de los

responsables del INEC, involucradas en el SEVRI.
14
Consejo Directivo
Ser el encargado de establecer la filosofa en relacin con la Administracin del

Riesgo y que tendr las siguientes funciones:
Aprobar las polticas y los lineamientos estratgicos con relacin a la
Administracin de los Riesgos.
Aprobar los parmetros de aceptabilidad de los riesgos, congruente con los
objetivos estratgicos.
Establecer el nivel de tolerancia (Alta, considerable, media, moderada y baja)
sobre la valoracin de riesgos.
Delegar la responsabilidad sobre el Sistema de Gestin de Riesgos al
Despacho Gerencial.
Aprobar las desviaciones en los parmetros de riesgo cuando sea pertinente.
Validar la Estructura de Riesgos Institucional enfocada al INEC.
Verificar que la administracin acte de acuerdo a la normativa existente tanto
legal como institucional.
Velar por el cumplimiento del componente Valoracin de Riesgo, de la Ley
General de Control Interno.
Conocer peridicamente los informes o reportes presentados por la Gerencia
sobre el Sistema de Gestin de Riesgos Institucional (SEVRI-INEC).
Aprobar las metodologas y tcnicas que se van a implementar con relacin al
Sistema de Gestin de Riesgos.
15
Despacho gerencial
Ejecutar la poltica y los lineamientos estratgicos aprobados por el Consejo

Directivo.
Fortalecer una cultura organizativa de Gestin de Riesgo Institucional.
Informar peridicamente al Consejo Directivo sobre el Sistema de Gestin de
Riesgos.
Monitorear las actividades del SEVRI y de los titulares subordinados en cada
uno de los procesos.
Desarrollar la estructura de riesgos, aprobando la definicin de riesgos que
enfrenta la institucin.
Establecer los niveles de responsabilidad relacionados con el Sistema de
Gestin de Riesgos de toda la organizacin.
Verificar el cumplimiento por parte de la institucin de las polticas, estrategias,
estructura de riesgo y parmetros de aceptabilidad, aprobados por el Consejo
Directivo.
Unidad de Planificacin Institucional
Coordinar con los procesos y los titulares subordinados, la implementacin del

Sistema de Gestin de Riesgo Institucional.
Velar por el cumplimiento de los procedimientos y polticas internas en materia
de administracin de riesgo en la institucin.
Mejorar la metodologa y tcnicas a aplicar en los diferentes procesos y
conocer los aportes de los mismos en cuanto al tema de riesgos.
Analizar los resultados de la evaluacin de los riesgos en los procesos
seleccionados.
Evaluar los planes de accin para minimizar el nivel de riesgo seleccionado y
evaluado.
Solicitar informes preliminares y finales a los titulares subordinados, sobre el
Sistema de Valoracin de Riesgo Institucional.
16
Mantener un archivo con las minutas de las reuniones con los titulares
subordinados en donde se evidencien los acuerdos obtenidos.
Asesorar al Despacho Gerencial con el fin de incorporar en las actividades de
la institucin el tema de la administracin de riesgos y cumplir as con la
estrategia de riesgos institucional.
Titulares subordinados
Los Coordinadores de rea, Unidad y Encargados(as) de proceso u operacin

estadstica sern responsables del cumplimiento de las polticas y lineamientos
estratgicos de la administracin de los riesgos.
Debern establecer desarrollar las acciones necesarias para la identificacin,
anlisis y evaluacin de los riesgos y que sean congruentes con los objetivos
estratgicos.
Definir las acciones necesarias con el fin de administrar y tratar el riesgo, las
cuales debern quedar plasmadas en su Plan de Accin para la
administracin de Riesgos.
Proponer los parmetros de los riesgos asociados a los procesos y sus
controles a los cuales estn expuestos, de acuerdo a las polticas de riesgo
establecidas, a fin de ubicar el riesgo en un nivel organizacional aceptable.
Se responsabilizar por el adecuado funcionamiento del Sistema de Valoracin
de Riesgo dentro de su mbito de competencias; promoviendo los mecanismos
operativos que conlleva a minimizar el riesgo implcito en las actividades, para
el logro de los objetivos institucionales.
Monitorear el Sistema de Gestin de Riesgos de acuerdo a los parmetros y
lineamientos establecidos.
Proporcionar todo tipo de informacin que le sea requerido para facilitar el
trabajo conjunto con miras al mejoramiento del Sistema.
17
Grupo de expertos(as)
Sern responsables de identificar, analizar y evaluar los riesgos institucionales,

mediante un proceso planificado y participativo.
Apoyar a los titulares subordinados en la elaboracin de los planes de accin

para minimizar los riesgos.
Otros funcionarios(as) de la Institucin
Sern responsables de contribuir en todo momento al funcionamiento y

fortalecimiento del SEVRI.
18
7. Parmetros de aceptabilidad de riesgos
Los riesgos se clasifican en dos categoras que son: riesgos aceptables y

riesgos no aceptables, los que se desagregan en categoras menores segn se
explicar en prrafos siguientes. As mismo segn sean los resultados de la
valoracin o evaluacin de los riegos, estos debern ser Administrados (aceptar
y monitorear los riesgos) o Tratados (desarrollar e implementar un plan de accin
especfico para cada riesgo).
Riesgos aceptables
Cuando los riesgos han sido valorados y calificados con un nivel BAJO y
MODERADO significa que como resultado de la evaluacin se debern
Administrar. Ello considera que el riesgo siempre est presente en la
actividad del proceso pero de una manera controlada. Puede considerarse que
estos riesgos se encuentran en una zona de riesgo bajo.
Tambin los riesgos pueden ser calificados con un nivel MEDIO en cuyo caso
podrn ser Riegos aceptables en la medida en que la institucin justifique la
imposibilidad de adoptar medidas para minimizarlos, bajo el principio que
busca reducir los riesgos tanto como sea razonablemente alcanzable,
buscando siempre una relacin costo-beneficio, en cuyo caso debern ser slo
Administrados.
Por el contrario, si la institucin determina que bien puede tomar medidas para
minimizar los riesgos calificados con nivel MEDIO, estos se ubicarn dentro de
la categora de No Aceptables y por lo tanto la institucin deber Tratar el
riesgo.
Como se ve producto del resultado de la evaluacin los riesgos con nivel
MEDIO pueden clasificarse tanto en la opcin Administrar o Tratar, esto
depender de la posibilidad real de minimizarlos o no. Puede considerarse que
estos riesgos se encuentran en una zona de riesgo medio.
19
Riesgos no aceptables
Son los riesgos calificados con un nivel CONSIDERABLE y ALTO, por tanto
tendrn que ser Tratados para minimizar su materializacin. Puede
considerarse que estos riesgos se encuentran en una zona de alto riesgo.
El siguiente cuadro ayuda a comprender cmo se han determinado los parmetros

de aceptabilidad de los riesgos de la institucin, estos criterios son los que
permiten ubicar si un nivel de riesgo especfico se ubica en una categora
aceptable o no aceptable.
Cuadro N 1. Clasificacin de los riesgos por zona de riesgo, nivel de riesgo,

aceptabilidad y resultado de la evaluacin.
RESULTADO DE
ZONA NIVEL DE RIESGO ACEPTABILIDAD
LA EVALUACIN
Bajo
Zona de riesgo bajo Riesgos aceptable Administrar
Moderado
Riesgos aceptables
Zona de riesgo
Medio o Riesgos no Administrar o Tratar
medio
aceptables
Considerable
Riesgos no
Zona de alto riesgo Tratar
aceptables
Alto
20
III. Ambiente de apoyo
Para propiciar un ambiente de apoyo al SEVRI el INEC realizar las siguientes

acciones:
Promover entre los funcionarios(as) del INEC la importancia del SEVRI, para el
logro de los objetivos institucionales, mediante la ejecucin de un plan de
induccin a nivel institucional.
Se brindar a las reas, Unidades, Procesos u Operaciones Estadsticas,
acompaamiento y asesora para el abordaje del SEVRI.
Se dispondr de la Gua conceptual y metodologa para la implementacin del
SEVRI en el INEC, en la cual sern abordados criterios unificados para facilitar
la comprensin del SEVRI por parte de los funcionarios(as) de la institucin.
Se dispondr de mecanismos de coordinacin y comunicacin entre los
funcionarios(as) y las unidades internas del INEC, para implementar el SEVRI,
mediante la puesta en marcha de la estructura organizacional definida para tal
efecto.
IV. Recursos
El SEVRI contar con los recursos financieros, humanos, tcnicos, materiales y

dems necesarios para su establecimiento, operacin, perfeccionamiento y
evaluacin, segn lo dispuesto en la normativa CGR D-3-2005-CO-DFOE, a
continuacin se describe cada uno.
1. Recursos financieros
Los recursos que se asignen al SEVRI debern obtenerse, de forma prioritaria, de

los existentes en la institucin en el momento de determinar su requerimiento. En
21
caso de no contar con un recurso particular el INEC los deber adquirir, en tanto
sus beneficios excedan los costos, cumpliendo los procesos presupuestarios y
contractuales respectivos, segn los lineamientos del CGR D-3-2005-CO-DFOE.
2. Recursos humanos
La Unidad de Planificacin ser la encargada de impartir las charlas y brindar

acompaamiento-asesora a los procesos para la implementacin del SEVRI, se
deber capacitar a los funcionarios(as) de esta dependencia para que puedan
asumir esta labor. A la vez cada proceso deber designar las personas expertas,
que tendrn a su cargo la identificacin, valoracin y tratamiento de los riesgos.
3. Recursos tecnolgicos
Para la implementacin del SEVRI el INEC proveer los recursos tecnolgicos

necesarios que se describen a continuacin:
Computadora
Impresora
Microsoft Excel
Proyector (para las charlas de induccin)
3 Gigas de espacio en el servidor (para mantener el sistema automatizado y la
metodologa del SEVRI, de igual forma para preservar los registros y
evaluaciones del SEVRI).
4. Recursos materiales
El INEC proveer los materiales bsicos: como artculos de oficina, ampos, papel
y tintas para la impresora, entre otros.
22
V. Sujetos interesados
Los sujetos interesados del SEVRI lo pueden conformar tanto los funcionarios(as)
del INEC como la poblacin usuaria externa a la institucin. Bajo esta perspectiva
se debe considerar la incorporacin de las opiniones o sugerencias de estos
sujetos promoviendo su participacin de forma directa en el diseo, ejecucin,
evaluacin y seguimiento de las actividades del SEVRI.
A continuacin se presentan los sujetos interesados:
Instituciones pblicas, organizaciones no gubernamentales

Cmaras empresariales
Organizaciones sindicales
Estudiantes e investigadores de universidades nacionales y extranjeras
Medios de comunicacin colectiva
Ciudadana en general
Consejo directivo
Despacho gerencial
Titulares subordinados
Personal del INEC
VI. Insumos, herramientas y productos del SEVRI
1. Insumos del SEVRI
El SEVRI utilizar como insumo informacin interna y externa, suficiente y

actualizada para su establecimiento y funcionamiento. Para estos efectos, se
deber considerar al menos lo siguiente:
23
Planes nacionales, sectoriales e institucionales.

Anlisis del entorno interno y externo.
Evaluaciones institucionales.
Descripcin de la organizacin (procesos, presupuesto, sistema de control
interno).
Normativa externa e interna asociada con la institucin.
Documentos de operacin diaria y de la evaluacin peridica del desempeo
del mismo SEVRI. (Directrices Generales para el establecimiento y
funcionamiento del SEVRI, D-3-2005-CO-DFOE).
2. Herramientas del SEVRI
El Instituto Nacional de Estadstica y Censos recin concluy el proceso mediante

el cual se defini la metodologa de su Sistema de Valoracin de Riesgo, para lo
cual se consider entre otros, las experiencias de instituciones pblicas que han
avanzado en el tema, los conocimientos tericos y prcticos obtenidos mediante la
participacin en cursos y talleres sobre SEVRI as como lo indicado en la
normativa que rige la materia.
Para la implementacin del SEVRI se utilizarn los siguientes instrumentos
metodolgicos:
Gua conceptual y metodologa para la implementacin del SEVRI en el
Instituto Nacional de Estadstica y Censos.
Procedimiento para la aplicacin del SEVRI.
Matriz N 1: Identificacin del riesgo.
Matriz N 2: Anlisis y evaluacin de factores de riesgo.
Matriz N 3: Tratamiento del riesgo.
Matriz N 4: Seguimiento de las acciones.
24
3. Productos del SEVRI
El SEVRI deber constituirse en un instrumento de gestin que apoye de forma

continua los procesos institucionales. Se deber generar a travs del SEVRI:
Informacin actualizada sobre los riesgos institucionales relevantes asociados
al logro de los objetivos y metas, definidos tanto en los planes anuales
operativos, de mediano y de largo plazo, y el comportamiento del nivel de
riesgo institucional.
Medidas para la administracin de riesgos adoptadas para ubicar a la
institucin en un nivel de riesgo aceptable. (Directrices Generales para el
establecimiento y funcionamiento del SEVRI, D-3-2005-CO-DFOE).
VII. Estructura de riesgos institucionales
El Instituto Nacional de Estadstica y Censos propone su estructura de riesgos

acorde con las actividades institucionales, sin excluir la posibilidad de que en el
proceso de identificacin de riesgos se incluyan otros, es decir, se puede utilizar
como una gua para los titulares subordinados(as), pero sin perder de vista que la
identificacin de riesgos es propia de los procesos objeto de investigacin y que
en conjunto formara parte de los riesgos institucionales. El titular subordinado(a)
utilizar esta clasificacin como ayuda para identificar y evaluar los riesgos,
aunque la informacin no es total y las actividades puedan requerir informacin
adicional.
La clasificacin propuesta es la siguiente:
25
Marco de organizacin integral de los riesgos

Estructura de riesgos
Cdigo Categora del riesgo
I. RIESGOS DEL ENTORNO
R001 Demandas / Necesidades de los usuarios
R002 Imagen institucional
R003 Innovacin tecnolgica
R004 Sensibilidad
R005 Disponibilidad de recurso econmico
R006 Poltico
R007 Legal
R008 Regulatorio
R009 Prdida catastrfica
II. RIESGOS DE PROCESOS
1. Riesgos de operaciones
R010 Satisfaccin del usuario
R011 Recurso humano
R012 Capital de conocimiento
R013 Desarrollo de nuevos servicios/productos
R014 Eficiencia
R015 Capacidad instalada
R016 Brecha de desempeo
R017 Tiempo de ciclo
R018 Abastecimiento
R019 Convenios
R020 Cumplimiento
R021 Interrupcin de operaciones
R022 Falla de productos / servicios
R023 Falla en los procesos
R024 Obsolescencia / dao en activos fijos
26
R025 Medio ambiente

R026 Salud y seguridad ocupacional
2. Riesgos financieros
R027 Determinacin de costos
R028 Tasa de inters
R029 Tipo de cambio
R030 Precio de bienes y servicios
R031 Instrumentos financieros
R032 Liquidez
R033 Costo de oportunidad
R034 Rapidez en realizar transacciones
R035 Garantas
3. Riesgos de direccin
R036 Liderazgo
R037 Autoridad / lmites de autoridad
R038 Indicadores de desempeo
R039 Disposicin al cambio
R040 Comunicaciones
4. Riesgos de Tecnologas de Informacin
R041 Fallas en los sistemas
R042 Relevancia
R043 Integridad
R044 Acceso
R045 Disponibilidad
R046 Infraestructura
R047 Inversin en TI
R048 Apropiamiento de los proyectos
5. Riesgos de integridad
R049 Fraude de personal
R050 Actos ilegales
27
R051 Uso no autorizado

R052 Reputacin
III. RIESGOS DE INFORMACIN PARA LA TOMA
DE DECISIONES
1. Riesgos de Informacin Operativa
R053 Compromiso contractual
R054 Medicin operativa
R055 Alineamiento
2. Riesgos de Informacin de Gestin
R056 Presupuesto y planeamiento
R057 Informacin contable
R058 Evaluacin del reporte financiero
R059 Evaluacin de inversiones
R060 Reporte regulatorio
3. Riesgos de informacin estratgica
R061 Monitoreo del entorno
R062 Modelo de institucin
R063 Portafolio de administracin
R064 Valuacin
R065 Estructura organizativa
R066 Medicin del desempeo
R067 Asignacin de recursos
R068 Planeamiento
R069 Ciclo de vida
Fuente: adaptacin de ProtivitiRiskModelSM y acuerdo SUGEF 2-10 Reglamento sobre la administracin integral del riesgo.
Refirase el Anexo N 1: Definicin de cada riesgo, para consultar el significado de

cada riesgo.
28
VIII. Implementacin del SEVRI
Con la finalidad de identificar, analizar, evaluar, tratar y darle seguimiento a los

riesgos, se ha diseado una herramienta sistematizada en formato Excel,
mediante el cual se registrar el SEVRI en cada proceso.
El proceso del SEVRI consiste en el desarrollo e implementacin de una serie de
actividades que se muestran en la siguiente figura:
Figura N 1: Proceso del SEVRI
Identificar los riesgos Matriz N 1: Identificacin del

riesgo
Informacin externa e Analizar los riesgos Matriz N 2: Anlisis y evaluacin

interna del proceso de factores de riesgo
Evaluar los riesgos
Proceso Matriz N 3: Tratamiento del riesgo
Tratar los riesgos
Matriz N 4: Seguimiento de las
Revisar los riesgos acciones
Comunicacin Documentacin
Fuente: Elaboracin Unidad de Planificacin Institucional
Para entender mejor el procedimiento del SEVRI consulte el documento EVGE-

CONT-PR-02 Procedimiento del SEVRI.
29
1. Matriz N 1: Identificacin del riesgo
Como insumo importante para la identificacin de los riesgos se debe consultar el

diagrama de flujo del proceso, pues bajo su enfoque se irn analizando cada una
de las actividades y as determinar cules pueden presentar riesgos tanto internos
como externos.
Antes de iniciar la identificacin de riesgos utilice la estructura de riesgos
institucionales, para estudiar la categora en que se agrupan los tipos de riesgos
en la Institucin y facilitar la identificacin de los riesgos relevantes en su proceso.
Esta estructura inicial ayuda a comprender los riesgos en los que puede incurrir la
Institucin, sin embargo esto no imposibilita que se hagan ajustes de esta
estructura, segn vaya madurando el proceso del SEVRI.
Luego se identifican los riesgos, esto consiste en la determinacin y la descripcin
de los eventos de ndole interno y externo que de materializarse, pueden afectar
de manera significativa el cumplimiento de los objetivos fijados.
La identificacin de los riesgos debe ser un proceso planificado y participativo que
se realiza en equipo, en el cual el grupo de expertos(as) debe responder a las
preguntas, Qu puede suceder? (riesgo), Por qu puede suceder? (factores de
riesgo) y Cules pueden ser los efectos o el impacto? (consecuencias del
riesgo).
Es importante que todos los riesgos del proceso se identifiquen en esta etapa,
sean bajos o no, ya que los riesgos potenciales que no se identifican en esta
primera etapa son excluidos de las etapas posteriores, provocando que puedan
materializarse sin tener las acciones para administrar o tratar. Esta actividad es
constante debido a que los eventos no son estticos y estn cambiando a travs
del tiempo, de manera que lo que hoy no es un riesgo, en un futuro puede
convertirse en un riesgo y viceversa.
La identificacin de los riesgos y su relacin con las actividades de los procesos
as como su categorizacin, factores de riesgo, las consecuencias del riesgo y la
identificacin de la materializacin del riesgo en el proceso se har en la Matriz N
1: Identificacin del riesgo, que se muestra a continuacin:
30
Matriz N 1: Identificacin del riesgo

Men
Proceso:
Propsito del proceso:
Fecha:
Tipo de riesgo Consecuencias Materializacin del riesgo

Actividades donde se pueden Riesgo Factores de riesgo Por del riesgo
No de riesgo Se ha Cantidad de
presentar los riesgos Nivel 1 Nivel 2 Qu puede suceder? qu puede suceder? Cules pueden materializado el Periodicidad
veces
ser los efectos o riesgo?
Expertos(as):
Aprobacin del Encargado(a) de Aprobacin del Encargado(a)

Proceso Nivel 1 o Nivel 2 de Proceso Nivel 0
Para ingresar informacin
31
Gua para la implementacin del Sistema Especfico de Valoracin de Riesgo
2. Instructivo para el llenado de la Matriz N 1: Identificacin del

riesgo
A continuacin se detalla cada una de los tems o columnas que estn contenidas
en la Matriz N 1: Identificacin del riesgo.
Proceso: transcribir de la ficha de proceso el nombre del proceso al cual se va a

aplicar el SEVRI.
Propsito del proceso: transcribir de la ficha de proceso, tal y como est escrito,
ya que ah se define lo que se desea alcanzar o cumplir en el proceso.
Fecha: fecha de llenado de la matriz.
Actividades donde se pueden presentar los riesgos: de las actividades

descritas en el diagrama de flujo del proceso, se deber analizar y seleccionar
cules de ellas tienen implcitos los riesgos del proceso. A la vez, para cada
actividad seleccionada se deber valorar y determinar si los riesgos asociados van
a ser administrados o tratados (al ser prioritarios), pues podra darse el caso de
ciertos riesgos que, si bien estn latentes, no lo son. En caso positivo se deber
anotar la actividad en el espacio respectivo y continuar realizando el llenado del
resto de variables en forma horizontal.
Asegrese de transcribir en la columna respectiva la descripcin de la actividad tal
y como est descrita en el diagrama de flujo. Puede continuar enlistando la
segunda actividad hasta que haya terminado de completar toda la informacin
solicitada para la primera, y as continuar en lo sucesivo.
N de riesgo: consiste en asignar un cdigo alfa numrico que identifique cada

uno de los riesgos. Ese cdigo estar constituido por tres partes: Cdigo del
proceso + guin + nmero consecutivo. Es importante sealar que cada proceso
tiene asignado un cdigo que lo identifica de los otros.
32
As por ejemplo el primer riesgo del proceso de planificacin se construye de la

siguiente manera:
PLAN-001, esto se puede leer como el riesgo N 1 del proceso de planificacin.
Tenga en cuenta que una misma actividad puede tener ms de un riesgo, en cuyo
caso se deber habilitar un cdigo diferente para cada uno. Asigne el N de riesgo
segn sea el caso, registrando cada riesgo en renglones diferentes.
Tipo de riesgo
Nivel 1: analice y ubique el riesgo en la estructura de riesgos institucional; esto

con el fin de tener una referencia de los riesgos potenciales de la Institucin.
Asigne la categora del riesgo segn corresponda (Riesgos del entorno, Riesgos
del proceso y Riesgos de informacin para la toma de decisiones).
Nivel 2: analice y ubique el riesgo en la estructura de riesgos institucional; esto

con el fin de tener una referencia de los riesgos potenciales de la institucin.
Asigne el cdigo de riesgo segn corresponda.
Riesgo: es la probabilidad de que ocurran eventos que tendran consecuencias

sobre el cumplimiento de los objetivos fijados, en otras palabras es la posibilidad
que suceda algo interno o externo que pueda tener un impacto sobre los objetivos
y dificultar desarrollo normal de las funciones de la institucin.
Para establecer los riesgos se deber utilizar la pregunta: Qu puede suceder?
En todos los casos el riesgo representar una prdida financiera, si el riesgo ha
sido bien identificado este se puede cuantificar en trminos financieros, de manera
contraria, no ser posible cuantificarlo en trminos de una prdida financiera.
Determine y registre los riesgos en cada actividad, segn corresponda.
Factores de riesgo: responde a la identificacin de las causas entendidas como

manifestaciones, caractersticas o variables mensurables u observables que
podran propiciar que se genere el riesgo identificado. Es responder a la pregunta
33
Por qu puede suceder? Hay muchas formas en que se puede iniciar un evento,
no se deben omitir las causas significativas. El factor de riesgo puede ser el mismo
para diferentes riesgos. Se deben considerar los factores de riesgo para definir la
accin de tratamiento del riesgo (Matriz N 3: Tratamiento del riesgo). Determine y
registre los factores de riesgo segn corresponda.
Consecuencias del riesgo: si el riesgo llegara a materializarse puede generar

una serie de consecuencias en el proceso. Para facilitar la identificacin de las
consecuencias se deber responder a la pregunta Cules pueden ser los efectos
o el impacto, si el riesgo llegara a materializarse? se puede construir una serie de
escenarios de posibles consecuencias. Tenga muy presente que las
consecuencias se definen de acuerdo al riesgo y no al factor de riesgo.
Determine cules son las consecuencias que se tendran en caso de que
determinado riesgo se llegara a materializar y asigne la informacin en el espacio
correspondiente.
Materializacin del riesgo
Se ha materializado el riesgo?: responda a la pregunta y anote SI; cuando el

riesgo se ha materializado, o NO cuando el riesgo no se ha materializado.
En caso de que el riesgo se haya materializado se deber continuar con los
siguientes dos tems Cantidad de veces y Periodicidad. En caso contrario,
proceda a realizar el mismo procedimiento para las siguientes actividades.
Cantidad de veces: si el riesgo se ha materializado registre la cantidad de veces

que esta situacin se ha dado.
Periodicidad: de igual forma si el riesgo se ha materializado seleccione la

periodicidad de ocurrencia del evento segn los siguientes periodos:
Da
Semana
34
Quincena
Mes
Trimestre
Semestre
Ao
Expertos(as): escriba el nombre de las personas que participan en el proceso del

SEVRI, estas personas han de ser aquellas que participan y que tienen un
conocimiento amplio de las actividades que se realizan en el proceso.
Aprobacin del Encargado(a) de Proceso Nivel 1 o Nivel 2: registre el nombre

y firma del Encargado(a) de Proceso Nivel 1 o Nivel 2.
Aprobacin del Encargado(a) de Proceso Nivel 0: registre el nombre y firma del

Encargado(a) de Proceso Nivel 0.
Una vez completada la Matriz N 1: Identificacin de riesgos, se deber proceder

con el llenado de la Tabla N 1: Valoracin del nivel de riesgo. A continuacin el
detalle.
35
3. Valoracin del nivel de riesgo
Para hacer la valoracin del nivel del riesgo se ha definido que cada una de las
personas que conforman el grupo de expertos(as), realicen una sesin de trabajo
conjunta y califiquen los riesgos identificados anteriormente en la Matriz N 1:
Identificacin del riesgo. La valoracin del riesgo se deber trabajar directamente
en la Tabla N 1: Valoracin del nivel de riesgo, Para realizar tal ejercicio,
adicionalmente se dispone de tres tablas de consulta; a saber: la Tabla N 2:
Criterios para la probabilidad de ocurrencia; la Tabla N 3: Criterios para el
impacto; as como la informacin suministrada en la Tabla N 4: Nivel de riesgo.
Una vez consultada dicha informacin se puede proceder a realizar el llenado de
la Tabla N 1: Valoracin del nivel de riesgo.
En el caso del INEC al no existir datos histricos que permitan valorar los riesgos,
dichas valoraciones se debern realizar a partir de estimaciones subjetivas que
reflejan el grado de conviccin (de un individuo o grupo) de que podr ocurrir un
evento o resultado particular.
Como se adelant la valoracin del nivel de riesgo se realiza en la Tabla N 1, en
la cual (automticamente) aparecern enlistados en la primera columna los
riesgos que fueron identificados anteriormente en la Matriz N 1. A la vez la tabla
contiene un espacio para que las personas expertas valoren la probabilidad y el
impacto y un ltimo espacio denominado medicin, en el cual se reflejar
(automticamente) el promedio, la calificacin y el nivel de riesgo resultante
producto de la medicin realizada.
Seguidamente se presenta la Tabla N 1.
36
Tabla N1: Valoracin del nivel de riesgo
Valoracin de nivel de
riesgo por parte de Medicin
Riesgo
grupo de expertos(as)
A B C D E F Promedio Calificacin
Probabilidad 0
Impacto 0
Nivel de riesgo
4. Instructivo para el llenado de la Tabla N 1: Valoracin del nivel

de riesgo
A continuacin se detalla cada una de los tems o columnas que estn contenidas
en la Tabla N 1: Valoracin del nivel de riesgo.
Riesgo: la informacin sobre los riesgos se registra automticamente en esta

columna proveniente de la Matriz N 1: Identificacin del riesgo.
Valoracin de expertos(as): cada una de las personas expertas estar

representada por las letras A, B, C, D, E, F. Esto quiere decir que la valoracin de
la probabilidad de ocurrencia y del impacto, podr ser realizada como mximo por
seis personas expertas.
Cada una de estas personas expertas, de acuerdo con su experiencia y
conocimiento del proceso en cuestin, asignar un valor tanto a la probabilidad
como al impacto, segn los criterios establecidos en la Tabla N 2 y en la Tabla N
3, que encontrar ms adelante. Estas personas expertas debern ser las mismas
que trabajaron la Matriz N 1.
Probabilidad: es la medida o descripcin de la posibilidad de ocurrencia de un

evento. Para cada uno de los riesgos se deber definir y registrar en los espacios
correspondientes, el valor (cdigo numrico) correspondiente al nivel de la
37
probabilidad de ocurrencia del evento. (Ver Tabla N 2: Criterios para la

probabilidad de ocurrencia).
Para determinar el nivel de la probabilidad tome en cuenta los siguientes criterios:

Rara vez: probabilidad casi nula de que ocurra el evento.
Poco probable: probabilidad baja de que ocurra el evento.
Probable: probabilidad media de que ocurra el evento.
Muy probable: probabilidad media-alta de que ocurra el evento.
Casi seguro: probabilidad alta de que ocurra el evento.
A continuacin se presenta la Tabla N 2: Criterios para la probabilidad de
ocurrencia, que contiene el valor que le corresponde (cdigo numrico) a cada uno
de los niveles de la probabilidad de ocurrencia; adems esta tabla muestra el
rango o puntaje en el que se mueve cada uno de los niveles.
Tabla N 2: Criterios para la probabilidad de ocurrencia
Criterios para probabilidad Tabla de clculo para

de ocurrencia probabilidad de ocurrencia
Valor Nivel Rango

1 Rara vez 0,00 1,00
2 Poco probable 1,01 2,00
3 Probable 2,01 3,00
4 Muy probable 3,01 4,00
5 Casi seguro 4,01 5,00
Impacto: se refiere al producto de un evento, expresado cualitativa o

cuantitativamente. Refleja este una prdida, perjuicio o desventaja. Para cada uno
de los riesgos se deber definir y registrar en los espacios correspondientes, el
valor (cdigo numrico) correspondiente al nivel de impacto. (Ver Tabla N 3:
Criterios para el impacto).
38
Para determinar el nivel del impacto tome en cuenta los siguientes criterios:
Bajo: un evento, que si ocurre, no tendra efecto en el proceso, no hay
prdida financiera.
Moderado: un evento, que si ocurre, tendra efectos leves en el proceso,
muy leve prdida financiera.
Medio: un evento, que si ocurre, tendra un efecto sobre el proceso que
imposibilita que se lleguen a cumplir los objetivos planteados, el producto
es entregado con fallas de calidad, con prdida financiera media.
Considerable: un evento, que si ocurre, causara fallas en el proceso, esto
hara que el proceso cumpla a medias con los objetivos propuestos, puede
provocar que el producto se d a medias y con prdida financiera mayor.
Alto: un evento, que si ocurre, causara graves fallas en el proceso, esto
hara que el proceso no cumpla con los objetivos propuestos, puede
provocar que el producto no se d y con una enorme prdida financiera.
A continuacin se presenta la Tabla N 3: Criterios para el impacto, que contiene
el valor que le corresponde (cdigo numrico) a cada uno de los niveles del
impacto; adems esta tabla muestra el rango o puntaje en el que se mueve cada
uno de los niveles.
Tabla N 3: Criterios para el impacto
Tabla de clculo del

Criterios para impacto
impacto
Valor Nivel Rango

1 Bajo 0,00 1,00
2 Moderado 1,01 2,00
3 Medio 2,01 3,00
4 Considerable 3,01 4,00
5 Alto 4,01 5,00
Promedio: se calcula automticamente en las celdas respectivas, de acuerdo con

los valores que le fueron asignados a la probabilidad y al impacto, por parte de las
personas expertas.
39
Calificacin: una vez haya sido calculado el promedio (de la probabilidad o del
impacto), automticamente se calcular la calificacin en las celdas respectivas.
Nivel de riesgo: el nivel de riesgo se entiende como el grado de exposicin al

riesgo que se determina a partir del anlisis de la probabilidad de ocurrencia del
evento y de la magnitud de su consecuencia potencial (impacto) sobre el
cumplimiento de los objetivos fijados.
El nivel de riesgo se calcular automticamente en la celda respectiva, a partir de
la siguiente frmula:
Nivel de riesgo = promedio de la probabilidad x el promedio del impacto
El nivel de riesgo resultante ser ubicado dentro de uno de los rangos propuestos
en la Tabla N 4: Nivel de riesgo, que se presenta a continuacin, determinando si
el grado de exposicin al riesgo es bajo, moderado, medio, considerable o alto.
Tabla N 4: Nivel de riesgo
Tabla de clculo para

el nivel de riesgo
Rango Nivel
0- 5 Bajo
6 - 10 Moderado
11-15 Medio
16-20 Considerable
21-25 Alto
5. Valoracin de controles existentes
Una vez identificado el nivel de riesgo se procede a analizar y valorar los controles
existentes previamente documentados para el proceso, mismos que se deben
consultar en la ficha de cada proceso.
40
Puede ser que para el riesgo identificado no se haya definido ningn control previo
o que el mismo sea deficiente.
El control documentado permite tener un parmetro con qu comparar los
resultados obtenidos con respecto a lo planificado y evidencia la implementacin
de las actividades realizadas.
Para la valoracin de los controles existentes se han definido dos tablas, las
cuales se describen a continuacin.
Tabla N 5: Valoracin de controles existentes
Tabla N 6: Criterios para controles existentes
La valoracin de los controles existentes se realiza en la Tabla N 5, en la cual se

puede encontrar: en la primera columna el riesgo identificado en la Matriz N 1, en
la segunda columna un espacio para escribir el control existente para ese riesgo
(descrito en la ficha de cada proceso); en la penltima columna encontrar el
espacio para que las personas expertas valoren el control existente y en la ltima
la medicin resultante de la valoracin.
Tabla N 5: Valoracin de los controles existentes
Valoracin de controles
existentes por parte de Medicin
Riesgo Control existente sobre el riesgo
expertos(as)
0
6. Instructivo de llenado de la Tabla N 5: Valoracin de los

controles existentes.
Riesgo: se registra automticamente el riesgo proveniente de la Matriz N 1.
Control existente sobre el riesgo: se deber registrar (anotar) el tipo de control

existente sobre el riesgo, tomado de la ficha de proceso.
41
Valoracin de los controles existentes por parte de los expertos(as): cada

una de las personas expertas estar representada por las letras A, B, C, D, E, F.
Esto quiere decir que la valoracin de los controles existentes podr ser realizada
como mximo por seis personas expertas.
Cada una de estas personas expertas, de acuerdo con su experiencia y
conocimiento del proceso en cuestin, valorar cada uno de los controles
existentes, asignando un valor (entre 1 y 5), segn los criterios establecidos en la
Tabla N 6: Criterios para los controles existentes. Estas personas expertas
debern ser las mismas que trabajaron la Matriz N 1.
Para determinar la calidad del control existente tome en cuenta las siguientes
definiciones:
Malo: no existe ningn control que ayude a minimizar la ocurrencia del
evento.
Regular: existe control pero es deficiente, no se aplica en el proceso o es
totalmente manual.
Bueno: existe el control, se aplica en el proceso pero tiene carencias para
minimizar la ocurrencia del evento.
Muy bueno: existe el control, se aplica en el proceso, se aplica en la
periodicidad adecuada, est automatizado.
Excelente: el control cumple con todas las normas de control interno,
descritas en las categoras anteriores.
De acuerdo con la descripcin anterior y teniendo en cuenta los valores asignados

en la Tabla N 6 Criterios para controles asigne el valor segn corresponda.
42
Tabla N 6: Criterios para controles existentes.
Tabla para valorar

Criterios para
controles
controles existentes
existentes
Valor Nivel Rango
1 Malo 0,00 1,00
2 Regular 1,01 2,00
3 Bueno 2,01 3,00
4 Muy bueno 3,01 4,00
5 Excelente 4,01 5,00
Promedio: se calcula automticamente en las celdas respectivas, de acuerdo con

los valores que le fueron asignados a los controles existentes, por parte de las
personas expertas.
Calificacin: una vez haya sido calculado el promedio del control existente,
automticamente se calcular la calificacin (malo, regular, bueno, muy bueno,
excelente), en las celdas respectivas.
43
7. Matriz N 2: Anlisis y evaluacin de factores de riesgo.
El objetivo del anlisis es separar los riesgos de la zona baja considerados como
aceptables de la zona de alto riesgo considerado como no aceptables, decidir
sobre donde ubicar los riesgos de la zona de riesgo medio y proveer datos para la
posterior decisin de administrar o tratar el riesgo.
Para ello se analiza el riesgo combinando estimaciones de impactos y
probabilidades en el contexto de los controles existentes.
Este anlisis permite que a los riesgos se les pueda determinar prioridades de
administracin. Si los niveles de riesgo son bajos o moderados, los riesgos
podran estar dentro de una categora aceptable y no se requerira un tratamiento
del riesgo, sin embargo se deben tomar las medidas necesarias para que los
riesgos sean monitoreados y revisados peridicamente para asegurar que se
mantienen aceptables. Si los riesgos caen en una categora alta o considerable se
debe establecer un plan especfico para atender ese riesgo, tal como se ver ms
adelante.
Los objetivos y metas de la institucin ayudan a definir los criterios mediante los
cuales se decide si un riesgo es aceptable o no, y constituye la base para las
opciones de tratamiento de esos riesgos. La decisin de tratar un riesgo o no
tambin debe valorarse considerando la necesidad de balancear costos,
beneficios y oportunidades.
Tambin esas decisiones de aceptabilidad o de administracin del riesgo pueden
evaluarse con base en criterios operativos, tcnicos, financieros, legales, sociales,
entre otros.
En el anlisis y evaluacin de los factores de riesgo, Matriz N 2, se va a
determinar el nivel de riesgo, identificacin y valoracin del control existente
relacionado al riesgo y el resultado de la evaluacin.
44
Matriz N 2: Anlisis y evaluacin de factores de riesgo Men principal
Proceso:
Fecha:
Nivel en que el
Valoracin del Nivel de
Factores de riesgo Por Nivel de Control existente proceso puede
Probabilidad Impacto control Categora de riesgo Tratamiento importancia de la Justificacin
qu puede suceder? riesgo sobre el riesgo afectar los
existente actividad afectada
factores riesgos
Expertos(as):
Aprobacin del
Aprobacin del Encargado(a) de
Encargado(a) de Proceso
Proceso Nivel 0
Nivel 1 o Nivel 2
Se ingresa automticamente
45
8. Instructivo de llenado de la Matriz N 2: Anlisis y evaluacin

del riesgo
Las primeras seis columnas de la matriz se llenan automticamente segn el

detalle que se presenta a continuacin:
Proceso: este campo se llena automticamente y proviene de la Matriz N 1:

Identificacin del riesgo.
Propsito: este campo se llena automticamente y proviene de la Matriz N 1:

Factores de riesgo: este campo se llena automticamente y proviene de la Matriz

N 1: Identificacin del riesgo.
Probabilidad: este campo se llena automticamente y proviene de la Tabla N 1:

Valoracin del riesgo.
Impacto: este campo se llena automticamente y proviene de la Tabla N 1:

Valoracin del riesgo.
Nivel de riesgo: este campo se llena automticamente y proviene de la Tabla N

1: Valoracin del riesgo.
Control existente sobre el riesgo: este campo se llena automticamente y

proviene de la Tabla N 5: Valoracin de controles existentes.
Valoracin del control existente: este campo se llena automticamente y

proviene de la Tabla N 5: Valoracin de controles existentes.
46
Las siguientes columnas han de ser llenadas por los colaboradores(as)

encargados del proceso:
Categora del riesgo: se debe determinar cul es el resultado de la evaluacin

del riesgo, indicando en este espacio si el riesgo es aceptable o no aceptable,
segn lo establecido anteriormente en el Apartado 7. Parmetros de aceptabilidad
de riesgos, (ver Cuadro N 1: Clasificacin de los riesgos por zona de riesgo, nivel
de riesgo, aceptabilidad y resultado de la evaluacin).
Al decir que el riesgo es aceptable se refiere a que este siempre est presente en
la actividad del proceso, pero se est controlando de manera adecuada lo que
implica que se reduce la probabilidad del evento y el impacto que puede generar a
la hora de materializarse. No aceptable en cambio, se refiere a tomar medidas
para reducir el nivel de riesgo en una, dos, tres o cuatro posiciones.
Es preciso analizar las diferentes opciones, tomando en cuenta los siguientes
elementos:
Los riesgos son tcnicamente factibles de administrar o tratar?
Cul es el costo de implementar un plan de accin?
Se cuenta con alguna normativa o instrumentos de otra ndole?
Cul es el aporte que har al cumplimiento de los objetivos estratgicos?
Tratamiento: las opciones presentadas para la administracin de los riesgos se

describen a continuacin.
Evitar: esta opcin es la menos viable porque evitar riesgos
inadecuadamente puede ocurrir por una actitud de aversin al riesgo y esto
puede aumentar la significacin de otros.
Reducir: implica tomar medidas para reducir la probabilidad (medidas de
prevencin) o reducir el impacto (medidas de proteccin). Al disminuir uno o
ambos factores se estar reduciendo el nivel de riesgo. Estas medidas
generalmente involucra la optimizacin de los procesos o la mejora en los
controles.
47
Transferir: esta opcin conlleva a que otra instancia soporta o comparte el

riesgo, esta se da cuando existen contratos con otras partes, por lo que la
transferencia del riesgo, reducir su impacto en la institucin, pero no
disminuye el nivel de riesgo general. Hay que tener en cuenta no obstante
que cuando el riesgo se transfiere total o parcialmente, la Institucin ha
adquirido un nuevo riesgo, este se refiere a que la instancia que soporta o
comparte el riesgo no sea capaz de administrarlo adecuadamente.
Retener: seleccione esta opcin si el riesgo es aceptable, consiste en no
aplicar los otros tipos de medidas, el riesgo est presente en la actividad
pero de una manera controlada.
Se deber anotar en el espacio correspondiente la opcin elegida para tratar el

riesgo en cuestin.
Nivel en que el proceso puede afectar los factores riesgos: esta opcin
establece un nivel de conformidad con el criterio del Grupo de expertos(as),
tomando en consideracin los recursos disponibles en el proceso para
implementar la opcin de administracin del riesgo. Asigne alto, medio o bajo
segn corresponda.
Nivel de importancia de la actividad afectada: no todas las actividades tienen

un mismo nivel de importancia, dentro del proceso puede encontrar actividades
crticas y no crticas, esta opcin permite priorizar las actividades segn su nivel
de importancia. Asigne alto, medio o bajo segn corresponda.
Justificacin: para respaldar el resultado de la evaluacin es necesario hacer una

justificacin que permita aclarar la decisin sobre si el riesgo es aceptable o no
aceptable.
Adicionalmente encontramos al pie de la matriz los siguientes campos:
48
Expertos(as): este campo se llena automticamente y proviene de la Matriz N 1:

Aprobacin del Encargado(a) de Proceso Nivel 1 o Nivel 2: este campo se

llena automticamente y proviene de la Matriz N 1: Identificacin del riesgo.
Aprobacin del Encargado(a) de Proceso Nivel 0: este campo se llena

automticamente y proviene de la Matriz N 1: Identificacin del riesgo.
Una vez efectuado el anlisis y evaluacin de los factores de riesgo se procede a

realizar el plan de tratamiento del riesgo.
9. Matriz N 3: Tratamiento del riesgo
Este paso involucra una gama de opciones disponibles para tratar los riesgos
preparando el plan para su administracin y para implementar esas acciones con
el fin de disminuir el nivel de riesgo identificado en la etapa anterior.
A continuacin se presenta la Matriz N 3: Administracin del riesgo.
49
Matriz N 3: Tratamiento del riesgo

Men principal
Proceso:
Fecha:
Factores de riesgo Por qu Nivel de Accin para Insumos para la Resultado Relacin Costo / Responsable de Responsable del Fecha de
Costo estimado
puede suceder? riesgo tratar el riesgo accin esperado Beneficio la ejecucin monitoreo cumplimiento
Expertos(as):

Aprobacin del Encargado(a) de Proceso Nivel 0
Proceso Nivel 1 o Nivel 2
50
10. Instructivo de llenado de la Matriz N 3: Tratamiento del

riesgo

Propsito: este campo se llena automticamente y proviene de la Matriz N 1:

Factores de riesgo: este campo se llena automticamente y proviene de la Matriz

N 1: Identificacin del riesgo.
Nivel de riesgo: este campo se llena automticamente y proviene de la Matriz N

2: Anlisis y evaluacin de los factores de riesgo.
Accin para tratar el riesgo: la accin para tratar el riesgo puede definirse sobre
la base del alcance de la reduccin del mismo, los costos y beneficios. La
seleccin de la opcin ms apropiada involucra hacer un balance entre el costo y
el beneficio, pues lo que se busca con esto es tomar acciones que representen un
mayor beneficio a un menor costo. Se debe, considerar la viabilidad institucional
para llevarlo a cabo, no pretenda hacer un plan de accin no viable.
Tambin es importante tomar en cuenta la magnitud de esa accin, principalmente
por el tiempo que hay que dedicarle.
Tenga en cuenta que el planteamiento de la accin para tratar el riesgo debe estar
en funcin de los factores de riesgos identificados en la Matriz N1: Identificacin
del riesgo. Anote las acciones segn corresponda.
Insumos para la accin: son los recursos necesarios para llevar a cabo la accin,
pueden ser materiales, humanos y/o econmicos. Anote segn corresponda.
51
Costo estimado: calcule el monto en colones que puede costar la accin para
tratar el riesgo y anote segn corresponda.
Resultado esperado: es el resultado que se espera al aplicar la accin para tratar

el riesgo, puede entenderse como el beneficio esperado despus de aplicar el
plan. Anote segn corresponda.
Relacin costo / beneficio: esta opcin tiene por objetivo mostrar en forma
cuantitativa la relacin que existe entre los potenciales beneficios y los costos de
aplicar una medida de tratamiento de riesgos. Para ello, se calculan los ingresos
esperados de la accin y se dividen entre los egresos actualizados de la misma; si
la relacin es mayor que uno, los beneficios exceden los costos y si es menor que
uno, los costos exceden los beneficios.
En esta primera etapa de la implementacin del SEVRI la Relacin costo /
beneficio se asignar de forma cualitativa, siguiendo el criterio del Grupo de
expertos(as); posteriormente se implementar el clculo matemtico.
Responsable de la ejecucin: la responsabilidad por el tratamiento del riesgo

debe ser llevada a cabo por aquellas personas que pueden controlar el riesgo
desde la actividad en el proceso. Anote el nombre de la persona responsable
segn corresponda.
Responsable del monitoreo: persona responsable de velar por que las acciones
se lleven a cabo segn lo acordado en el plan de accin y en la fecha establecida.
Debe velar por el compromiso individual adquirido en cada una de las acciones,
monitoreando de acuerdo a las especificaciones. Anote el nombre de la persona
responsable segn corresponda.
Fecha de cumplimiento: fecha o momento previsto en el cual debe estar lista la

accin para tratar el riesgo. Anote segn corresponda.
52



Por ltimo para darle seguimiento al plan de accin se ha definido una actividad
llamada seguimiento de las acciones, la cual se detalla a continuacin.
53
11. Matriz N 4: Seguimiento de las acciones
Es necesario realizar un seguimiento sobre la implementacin del plan de accin

para medir la efectividad de aplicacin de cada una de las acciones definidas en la
Las medidas deben ser monitoreadas para asegurar que las circunstancias no
alteren las prioridades sobre el tratamiento de los riesgos identificados.
Es importante entonces estar revisando la vigencia del plan porque los riesgos no
se mantienen estticos, de ah que una vez establecido el plan, debe ejecutarse
en poco tiempo porque las probabilidades o consecuencias de un resultado
pueden alterar los factores valorados anteriormente.
Para el seguimiento de las acciones se dise la Matriz N 4: Seguimiento de las
acciones, donde se mide el estado y nivel de cumplimiento, el medio de
verificacin para validar ese estado y observaciones sobre el estado de
cumplimiento.
54
Matriz N 4: Seguimiento de las acciones Men principal
Proceso:
Fecha:
Medio de verificacin
Factores de riesgo Por Nivel de Accin para Resultado Estado Nivel de
(referencias, Observaciones
qu puede suceder? riesgo tratar el riesgo esperado cumplimiento cumplimiento
documentos)
Expertos(as):
Aprobacin del Encargado(a) Aprobacin del Encargado(a) de Proceso

de Proceso Nivel 1 o Nivel 2 Nivel 0
55
12. Instructivo de llenado de la Matriz N 4: Seguimiento de las

acciones

Propsito del proceso: este campo se llena automticamente y proviene de la

Matriz N 1: Identificacin del riesgo.
Riesgo: este campo se llena automticamente y proviene de la Matriz N 1:

Nivel de riesgo: este campo se llena automticamente y proviene de la Matriz N

2: Anlisis y evaluacin de factores de riesgo.
Accin para tratar el riesgo: este campo se llena automticamente y proviene de

la Matriz N 3: Tratamiento del riesgo.
Resultado esperado: este campo se llena automticamente y proviene de la

Estado de cumplimiento: para medir el estado de cumplimiento del plan de

accin se han establecido tres niveles.
No ejecutada: la accin no se ha implementado. En observaciones se debe
anotar la razn por la cual la accin no ha sido ejecutada.
En proceso: la accin ya se ha iniciado pero puede ser que muestre un
avance satisfactorio o insatisfactorio de acuerdo con la fecha de
cumplimiento establecida en la Matriz N 3: Tratamiento del riesgo.
Ejecutada: la accin ya se concret.
56
Anote el estado de cumplimiento segn corresponda.
Nivel de cumplimiento: si la accin muestra un estado de cumplimiento en

proceso, se registra satisfactorio o insatisfactorio, dependiendo del avance que
se tenga del plan de tratamiento del riesgo. De lo contrario, si el estado de
cumplimiento es no ejecutada o ejecutada no es necesario registrar nada en el
nivel de cumplimiento, porque no ejecutada representa un nivel de cumplimiento
de 0% y ejecutada representa un nivel de cumplimiento del 100%.
Medio de verificacin: este espacio se utiliza cuando la accin ha sido ejecutada.

El medio de verificacin es un documento o registro que haga constancia del
cumplimiento de la accin.
Observaciones: se utiliza para anotar alguna observacin con respecto al estado

de cumplimiento. Cuando la accin est en estado de cumplimiento no
ejecutada, es un requisito registrar una justificacin del porqu la misma no ha
dado inicio.



Una vez finalizado el proceso introduzca nuevamente el archivo en la carpeta

compartida.
Ver Anexo N 2: Ejemplo de llenado de Matriz del SEVRI
57
13. Documentacin
Cada una de las etapas del proceso del SEVRI debe documentarse en las cuatro
matrices de riesgo, esta documentacin proveer informacin del desarrollo de la
identificacin y anlisis del riesgo, as como del plan de accin y seguimiento.
Tambin provee informacin base para posteriores aplicaciones del SEVRI.
14. Comunicacin
Se estar implementando un plan de comunicacin para que las personas que

participan en el proceso y los interesados externos tengan informacin de cada
una de las etapas del proceso, la comunicacin efectiva asegura que los
responsables por implementar la administracin de riesgos, comprenden la base
sobre la cual se toman las decisiones y porqu se requieren ciertas acciones en
particular.
58
IX. Bibliografa
Contralora General de la Repblica. Ley General de Control Interno N8292. San

Jos, Costa Rica, 2002.
Contralora General de la Repblica. Manual de normas generales de control

interno para la Contralora General de la Repblica y las entidades y
rganos sujetos a su fiscalizacin. San Jos, Costa Rica, 2002.
Contralora General de la Repblica. Directrices Generales para el establecimiento

y funcionamiento del Sistema Especfico de Valoracin del Riesgo
Institucional. San Jos, Costa Rica, 2005.
Superintendencia General de Entidades Financieras. Reglamento sobre

administracin integral del riesgo. San Jos, Costa Rica, 2010.
PROVITITI. (s.f.). PROVITITI RiskModel. Recuperado el 10 de octubre del 2013 de

http://cours2.fsa.ulaval.ca/cours/gsf-
60808/Protiviti%20Risk%20ModelSM.pdf
59
X. Anexos
Anexo N 1 Definicin de cada riesgo
I RIESGOS DEL ENTORNO
El riesgo del entorno surge cuando hay condiciones externas que pueden afectar
en forma importante en el cumplimiento de los objetivos y servicios del INEC.
R001-Demandas / Necesidades de los usuarios: Las necesidades y deseos de

la poblacin usuaria cambian y la Institucin es consciente de ello.
R002-Imagen institucional: La imagen es un factor determinante en la posicin

de las personas, esta puede verse afectada negativamente en la percepcin de la
poblacin usuaria potencial o real.
R003-Innovacin Tecnolgica: La Institucin aplica los avances en la tecnologa

en su modelo de negocios para lograr o sostener su ventaja competitiva, o se
expone las acciones de sustitutos que s lo hacen, obteniendo un mejor
desempeo en cuanto a calidad, costo y oportunidad en sus productos, servicios y
procesos.
R004-Sensibilidad: El compromiso excesivo de los recursos y flujos de caja

esperados amenaza la capacidad de la Institucin para soportar cambios en las
fuerzas del entorno que estn fuera de su control, por ejemplo, tasas de inters,
demanda de la poblacin usuaria, cambios en las regulaciones, entre otros.
R005-Disponibilidad de recurso econmico: Acceso insuficiente al capital

amenaza la capacidad de la Institucin de crecer, ejecutar su modelo de
desarrollo.
R006-Poltico: Acciones polticas adversas amenazan la Institucin.
R007-Legal: Es la posibilidad de prdidas econmicas debido a la inobservancia o

aplicacin incorrecta o inoportuna de disposiciones legales o normativas,
instrucciones emanadas de los organismos de control, sentencias, resoluciones
jurisdiccionales, administrativas adversas y a la falta de claridad o redaccin
deficiente en los textos contractuales que pueden afectar la formalizacin o
ejecucin de actos, contratos o transacciones.
R008-Regulatorio: Regulaciones cambiantes amenazan la posicin competitiva

de la Institucin y su capacidad de operar eficazmente.
60
R009-Prdida Catastrfica: Un desastre significativo amenaza la habilidad de la

Institucin de sostener sus operaciones para proporcionar productos y servicios
esenciales o recuperar sus costos de operacin.
II. RIESGOS DE PROCESO
Los riesgos de proceso son los riesgos de que los procesos de la institucin no
estn bien definidos, no estn alineados con los objetivos estratgicos o no
satisfagan las necesidades de la poblacin usuaria.
1. RIESGOS DE OPERACIONES
El riesgo de que las operaciones sean ineficientes e ineficaces para satisfacer a la

poblacin usuaria y alcanzar la calidad deseada y el cumplimiento de los objetivos
a tiempo.
Es la posibilidad de una prdida econmica debido a fallas o debilidades de
procesos, personas, sistemas internos y tecnologa, as como eventos imprevistos.
R010-Satisfaccin del Usuario: La falta de enfoque en la poblacin usuaria por

medio de la gestin de los procesos amenaza la capacidad de la Institucin para
cumplir o exceder las expectativas de la poblacin usuaria.
R011-Recursos Humanos: Falta de conocimientos, habilidades, tcnicas y

experiencias requeridas entre el personal clave de la Institucin amenaza la
ejecucin de su modelo de administracin y el logro de sus objetivos crticos.
R012-Capital de Conocimiento: Los procesos para capturar e institucionalizar el

aprendizaje a travs de la Institucin son inexistentes o ineficaces, produciendo un
tiempo de respuesta lento, costos altos, errores repetidos, lento desarrollo de
competencias, restricciones en el crecimiento y personal desmotivados.
R013-Desarrollo de nuevos Servicios/Productos: El ineficaz desarrollo de

nuevos servicios o productos, amenaza la habilidad de la Institucin para cubrir o
exceder las necesidades deseos de la poblacin usuaria.
R014-Eficiencia: Operaciones ineficientes amenazan la capacidad de la

Institucin de producir bienes o servicios a un menor costo.
R015-Capacidad instalada: La capacidad instalada insuficiente amenaza la

habilidad de la Institucin de cubrir las demandas de la poblacin usuaria. La
capacidad instalada excesiva amenaza la habilidad de la Institucin de ser
eficiente.
R016-Brecha de desempeo: La incapacidad para operar a niveles competitivos

en trminos de calidad, costo y/o tiempo debido a procesos operativos inferiores
61
y/o a relaciones externas, amenazan la demanda para los productos o servicios de

la institucin.
R017-Tiempo de ciclo: Las actividades innecesarias amenazan la capacidad de

la Institucin de desarrollar, producir y entregar bienes o servicios de manera
oportuna.
R018-Abastecimiento: Insumos de buena calidad y a tiempo amenazan la

capacidad de la Institucin para producir los productos / servicios de calidad y de
manera oportuna.
R019-Convenios: Convenios con otras entidades externas ineficientes e

inefectivas afectan a la institucin en la ejecucin de esos convenios al no
aprovechar las oportunidades y beneficios que se pueden generar a partir de esos
acuerdos.
R020-Cumplimiento: El incumplimiento con los requerimientos de la poblacin

usuaria, polticas y procedimientos organizacionales, leyes y regulaciones pueden
producir baja calidad, costos de produccin ms altos, retrasos innecesarios, entre
otros.
R021-Interrupcin de operaciones: Las interrupciones de operaciones que

provienen de la no disponibilidad de insumos, tecnologa de informacin, personal
experimentado, instalaciones u otros recursos amenazan la capacidad de la
Institucin de llevar a cabo sus actividades.
R022-Falla de productos / servicios: Productos o servicios defectuosos exponen

a la Institucin a quejas de los usuarios, prdidas de ingresos e imagen
institucional.
R023-Falla en los procesos: procesos inadecuados o insuficientes, procesos mal

definidos, falta de controles, entre otros.
R024-Obsolescencia / dao en activos fijos: La obsolescencia o el dao en los

activos fijos expone a la institucin a no poder realizar sus operaciones con
eficiencia o eficacia.
R025-Medio ambiente: Actividades dainas al medio ambiente exponen a la

Institucin a obligaciones por daos personales, daos materiales, costo de
reparacin y remocin, entre otros.
R026-Salud y seguridad ocupacional: No proporcionar un ambiente de trabajo

seguro al personal expone la Institucin a compensacin por daos, prdida de
reputacin y otros costos.
62
2. RIESGOS FINANCIEROS
Se relaciona con el flujo de efectivo y los riesgos financieros que no sean

manejados eficientemente para maximizar la disponibilidad del efectivo. Se
relaciona con las exposiciones financieras de la institucin. El manejo del riesgo
financiero toca actividades de tesorera, presupuesto, contabilidad y reportes
financieros, entre otros.
R027-Determinacin de costos: Una inadecuada determinacin de los costos de

proyectos y procesos puede provocar solicitudes incorrectas de fondos, una mala
formulacin del presupuesto y falta de recursos para terminar las actividades.
R028-Tasa de inters: Es la posibilidad de que ocurra una prdida econmica

debido a variaciones adversas en las tasas de inters, esto expone a la Institucin
a mayores costos financieros y menores valores en los activos.
R029-Tipo de Cambio: Es la posibilidad de que ocurra una prdida econmica

debido a variaciones en el tipo de cambio.
R030-Precio de bienes y servicios: Las fluctuaciones en los precios de bienes y

servicios exponen a la Institucin a diferencias entre lo presupuestado lo
ejecutado, provocando deficiencias en los requerimientos de los procesos y
proyectos.
R031-Instrumentos financieros: La exposicin a costos de administracin

excesivos o prdidas debido a complejidad o las consecuencias imprevistas de las
estructuras de instrumentos financieros.
R032-Liquidez: Es la posibilidad de una prdida econmica debido a la escasez

de fondos que impedira cumplir las obligaciones en los trminos pactados.
R033-Costo de Oportunidad: El uso de fondos de una manera que lleva a la

prdida de valor econmico, incluyendo tiempo y costos de transaccin.
R034-Rapidez en realizar transacciones: Los cierres en los estados financieros

exponen a un riesgo de incumplimiento de obligaciones o la inadecuada ejecucin
del presupuesto.
R035-Garantas: La prdida de valor o incapacidad para tomar control de un

activo proporcionado a la Institucin como colateral.
3. RIESGOS DE DIRECCION
Tanto los jefes de rea o Unidad como las dems personas, no son bien dirigidos,
no saben qu hacer cuando se les presenta problemas y exceden los lmites de
sus responsabilidades.
63
R036-Liderazgo: El personal de la Institucin no es liderado eficazmente, lo que

puede resultar en una falta de direccin, falta de enfoque en el cliente, falta de
motivacin, falta de credibilidad y falta de confianza en la gerencia.
R037-Autoridad/Lmite de Autoridad: lneas de autoridad no efectivas pueden

causar que los jerarcas y personal hagan cosas que no deben hacer o no dejen de
hacer lo que deberan. El no establecer o verificar el cumplimiento de lmites en las
acciones del personal puede causar que los empleados cometan actos no
autorizados o no ticos, o asuman riesgos no autorizados o inaceptables.
R038-Indicadores de desempeo: Indicadores de desempeo irreales, mal

entendidos, subjetivos o no accionadles pueden causar que jerarcas y personal
acten de manera inconsistente con los objetivos, estrategias y valores de la
institucin.
R039-Disposicin al cambio: El personal de la Institucin puede implementar

mejoras a procesos y productos/servicios lo suficientemente rpido como para
guardar el paso con los cambios en el mercado.
R040-Comunicaciones: Canales de comunicacin ineficaces pueden producir

mensajes que son inconsistentes con las responsabilidades autorizadas o los
indicadores de desempeo establecidas.
4. RIESGOS DE TECNOLOGIA DE INFORMACION (TI)
El riesgo de TI es la posibilidad de prdidas econmicas derivadas de un evento

relacionado con el acceso o uso de la tecnologa, que afecta el desarrollo de los
procesos del negocio y la gestin de riesgos de la entidad, al atentar contra la
confidencialidad, integridad, disponibilidad, eficiencia, confiabilidad y oportunidad
de la informacin.
R041-Fallas en los sistemas: Las fallas en los sistemas de informacin pueden

llevar a la institucin a prdidas econmicas y no poder cumplir con los
compromisos adquiridos por la poblacin usuaria.
R042-Relevancia: Informacin irrelevante creada o resumida por cualquier

sistema aplicativo puede afectar negativamente las decisiones.
R043-Integridad: Todos los riesgos asociados con la autorizacin, integridad y

exactitud de las transacciones que son ingresadas, procesadas, resumidas y
reportadas por los distintos sistemas aplicativos de la empresa.
R044-Acceso: El no restringir el acceso a la informacin (datos o programas)

adecuadamente, puede producir el conocimiento y uso no autorizado de
informacin confidencial. La excesiva restriccin del acceso a la informacin,
puede impedir que el personal realice sus tareas asignadas eficaz y
eficientemente.
64
R045-Disponibilidad: La no disponibilidad de informacin importante cuando se

le necesita, amenaza la continuidad de las operaciones y procesos crticos de la
institucin.
R046-Infraestructura: El riesgo de que la Institucin tenga la infraestructura de

tecnologa de informacin: hardware, redes, software, procesos y personal; que
necesita para soportar eficazmente los requerimientos de informacin de negocios
actuales y futuros, de manera eficaz, a bajo costo, efectiva y bien controlada.
R047-Inversin en TI: El riesgo de que el dinero invertido en TI falle en proveer

valor (retorno de la inversin) o se gaste de manera excesiva (se desperdicie),
considerando el portafolio de inversiones de TI como un todo.
R048-Apropiamiento de los proyectos: El riesgo de que los proyectos de TI

fracasen en cumplir sus objetivos debido a la falta de responsabilidad y
compromiso por parte de sus propietarios.
5. RIESGOS DE INTEGRIDAD
El riesgo de integridad es el riesgo de fraude de personal, actos ilegales actos no

autorizados, los cuales pueden solos o en conjunto causar prdidas monetarias o
de reputacin en el entorno que opera la institucin.
R049-Fraude de personal: Actividades fraudulentas perpetradas por personal de

la Institucin, poblacin usuaria o proveedores o terceros contra la Institucin para
beneficio personal, exponen la Institucin a la prdida financiera.
R050-Actos ilegales: Actos ilegales cometidos por jerarcas o empleados exponen

a la Institucin a multas, sanciones y prdida de usuarios.
R051-Uso no autorizado: El uso no autorizado de los activos fsicos, financieros

e informacin de la Institucin por los empleados u otros la exponen al gasto
innecesario de recursos y la prdida financiera.
R052-Reputacin: El dao a la reputacin de la Institucin puede exponerla a la

prdida de imagen o usuarios.
III. RIESGOS DE INFORMACION PARA LA TOMA DE DECISIONES
El riesgo de informacin para la toma de decisiones es el riesgo de que la

informacin utilizada para apoyar la ejecucin del modelo de administracin, la
generacin de reportes internos y externos sobre el desempeo y la evaluacin
continua de la efectividad del modelo de administracin de la Institucin sea
relevante o confiable. Estos riesgos se relacionan con todos los aspectos de las
actividades de creacin de valor de la institucin.
65
1. RIESGOS DE INFORMACION OPERATIVA
R053-Compromiso Contractual: La falta de informacin relevante y/o confiable

respecto a los compromisos contractuales vigentes en un momento puede
producir decisiones de compromiso contractuales incrementales subsecuentes
que no estn corresponden al mejor inters de la institucin.
R054-Medicin operativa: Indicadores inexistentes, irrelevantes y/o no

confiables, pueden causar evaluaciones y conclusiones errneas acerca del
desempeo operativo.
R055-Alineamiento: El no alinear los objetivos de los procesos institucionales y

las medidas de desempeo con objetivos y estrategias, puede producir actividades
antagnicas y descoordinados en toda la institucin.
2. RIESGOS DE INFORMACION DE GESTION
R056-Presupuesto y planeamiento: Informacin de planeamiento y

presupuestaria inexistente, poco realista, irrelevante o no confiable puede causar
decisiones y conclusiones financieras incorrectas.
R057-Informacin contable: nfasis excesivo en la informacin de contabilidad

financiera para administrar a la Institucin puede producir la manipulacin de
resultados para lograr los objetivos financieros a costa de cubrir los objetivos de
satisfaccin al usuario, calidad y eficiencia.
R058-Evaluacin del reporte financiero: No compilar informacin externa e

interior relevante y confiable para evaluar si se requieren ajustes o revelaciones en
los estados financieros puede producir la emisin de informes financieros
engaosos a interesados externos.
R059-Evaluacin de inversiones: La falta de informacin relevante y/o confiable

que soporte las decisiones de inversin y enlace los riesgos asumidos con el
capital en riesgo, puede producir malas decisiones de inversin.
R060-Reporte regulatorio: El reporte incompleto, inexacto e/o inoportuno de

informacin financiera y operativa requerida por entidades regulatorias pueden
exponer la Institucin a multas, penalidades y sanciones.
3. RIESGOS DE INFORMACIN ESTRATEGICA
R061-Monitoreo del entorno: La falta de monitoreo del entorno o la formulacin

de supuestos poco realistas o errneos sobre los riesgos del entorno puede
causar la Institucin retenga estrategias a pesar que se hayan vuelto obsoletas.
R062-Modelo de Institucin: La Institucin tiene un modelo de administracin

obsoleto y no lo reconoce y/o falta la informacin necesaria para hacer una
66
evaluacin del modelo actual y construir un caso de administracin convincente

para modificarlos oportunamente.
R063-Portafolio de administracin: La falta de informacin relevante y confiable

que permita la Gerencia priorizar sus productos eficazmente o equilibrar la
administracin en un contexto estratgico puede evitar que una organizacin
diversificada maximice su desempeo general.
R064-Valuacin: La falta de informacin de valoracin relevante y confiable

puede evitar que los jerarcas efecten una evaluacin informada del valor de la
Institucin y sus segmentos significativos dentro de un contexto estratgico.
R065-Estructura organizativa: Los jerarcas carecen de la informacin necesaria

para evaluarla efectividad de la estructura orgnica de la institucin, lo que
amenaza su capacidad para el cambio o para lograr sus estrategias de largo
plazo. La estructura no sustenta las estrategias de la institucin.
R066-Medicin de desempeo: Indicadores de desempeo inexistentes,

irrelevantes, no confiables e inconsistentes con las estrategias de administracin
establecidas amenazan la habilidad de la Institucin de ejecutar sus estrategias.
R067-Asignacin de recursos: Un proceso de asignacin de recursos e

informacin de soporte inadecuados puede evitar que la Institucin establezca y
sustente una ventaja competitiva o maximice su valor.
R068-Planeamiento: Un proceso de la planificacin estratgica falto de

imaginacin e innecesariamente complejo puede producir informacin irrelevante,
amenazando la capacidad de la Institucin para formular estrategias de
administracin viables.
R069-Ciclo de vida: La falta de informacin relevante y confiable que permita a la

gerencia gestionar el movimiento de sus lneas de servicios y/o productos y
monitorear la evolucin de su institucin a lo largo del ciclo de vida, amenaza la
capacidad dela Institucin de permanecer competitiva.
Fuente: adaptacin de ProtivitiRiskModelSM y acuerdo SUGEF 2-10 Reglamento

sobre la administracin integral del riesgo.
67
Anexo N 2 Ejemplo de llenado de Matriz del SEVRI
Matriz N 1: Identificacin del riesgo

Men
Proceso: Organizacin e implementacin de la capacitacin
Propsito del proceso: Contar con las condiciones y elementos necesarios para el desarrollo ptimo de la capacitacin
Fecha: 24/03/2014
Tipo de riesgo Consecuencias Materializacin del riesgo

Factores de riesgo
Actividades donde se pueden Riesgo del riesgo Cules
No de riesgo Por qu puede Se ha Cantidad de
presentar los riesgos Nivel 1 Nivel 2 Qu puede suceder? pueden ser los efectos materializado el Periodicidad
suceder? veces
o impacto? riesgo?
Seleccin del lugar para la ENCU-01 Riesgos del R019 Posibilidad de no contar con El INEC solo tiene una >Incurrir en el costo NO 0
capacitacin proceso el lugar para la capacitacin opcin para impartir la econmico no
capacitacin. programado en el alquiler
del nuevo lugar.
>Invertir tiempo adicional
en la gestin del alquiler.
Expertos(as): Greivin Chavarra, Eddy Madrigal, Walter Chanto, Mizael Corera
Aprobacin del Encargado(a) de Aprobacin del Encargado(a)

Greivin Chavarra Eddy Madrigal
Proceso Nivel 1 o Nivel 2 de Proceso Nivel 0
68
Tabla N 1: Valoracin del Nivel de Riesgo Men principal
Valoracin de nivel de
riesgo por parte de Medicin
Riesgo
grupo de expertos(as)
No contar con el lugar para la capacitacin Probabilidad 3 1 5 4 3,3 Muy probable
Impacto 5 5 5 5 5,0 Alto
Nivel de riesgo 16,3 Considerable
Tabla N 5: Valoracin de controles existentes Men principal
Valoracin de controles
existentes por parte de Medicin
Riesgo Control existente sobre el riesgo
expertos(as)
No contar con el lugar para la Acto administrativo sobre la solicitud
3 4 3 2 3,0 Bueno
capacitacin de las aulas
69
Matriz N 2: Anlisis y evaluacin de factores de riesgo Men principal
Fecha:
Nivel en que el
Valoracin del Nivel de
Factores de riesgo Por Nivel de Control existente proceso puede
Probabilidad Impacto control Categora de riesgo Tratamiento importancia de la Justificacin
qu puede suceder? riesgo sobre el riesgo afectar los
existente actividad afectada
factores riesgos
El INEC solo tiene una opcin Muy probable Alto Considerable Acto administrativo Bueno No aceptable Reducir Alto Alto
para impartir la capacitacin. sobre la solicitud de las
aulas
Aprobacin del
Aprobacin del Encargado(a) de Proceso
Encargado(a) de Proceso Greivin Chavarra Eddy Madrigal
Nivel 0
Nivel 1 o Nivel 2
70
Matriz N 3: Tratamiento del riesgo

Men principal
Fecha: 24/03/2014
Factores de riesgo Por qu Nivel de Accin para Insumos para la Resultado Relacin Costo / Responsable de Responsable del Fecha de
Costo estimado
puede suceder? riesgo tratar el riesgo accin esperado Beneficio la ejecucin monitoreo cumplimiento
El INEC solo tiene una opcin para Considerable Levantar un catlogo >Requisitos que 95.000,00 Alternativas Greivin Chavarra Eddy Madrigal 10/04/2014
impartir la capacitacin. con otras alternativas debe cumplir el definidas
viables espacio requerido.
>Tiempo necesario
para el
levantamiento del
catlogo y la visitia
de los lugares.
>Transporte para
visita de los
lugares.

Greivin Chavarra Aprobacin del Encargado(a) de Proceso Nivel 0 Eddy Madrigal
Proceso Nivel 1 o Nivel 2
71
Matriz N 4: Seguimiento de las acciones Men principal
Fecha: 04/04/2014
Medio de verificacin
Factores de riesgo Por Nivel de Accin para Resultado Estado Nivel de
(referencias, Observaciones
qu puede suceder? riesgo tratar el riesgo esperado cumplimiento cumplimiento
documentos)
El INEC solo tiene una opcin Considerable Levantar un catlogo Alternativas definidas En proceso Satisfactorio
para impartir la capacitacin. con otras alternativas
viables
Aprobacin del Encargado(a) Aprobacin del Encargado(a) de Proceso

Greivin Chavarra Eddy Madrigal
de Proceso Nivel 1 o Nivel 2 Nivel 0
72

Guía Conceptual y Metodología para La Implementación Del SEVRI

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guía Conceptual y Metodología para La Implementación Del SEVRI

Transféré par

Droits d'auteur :

Formats disponibles

Instituto Nacional de Estadstica y

Elaborado por: Unidad de Planificacin Institucional

Versin 1. Revisada por Licda. Olga Mora Prado

5. Valoracin de controles existentes ....................................................................................... 40

Todas las organizaciones, independientemente de su naturaleza o tamao, estn

que la Valoracin del riesgo responde a la identificacin y anlisis de los riesgos

Administracin de riesgo: actividad del proceso de valoracin del riesgo que

Consecuencia: conjunto de efectos derivados de la ocurrencia de un evento

consecuencia potencial sobre el cumplimiento de los objetivos fijados, permite

Sujetos interesados: personas fsicas o jurdicas, internas y externas a la

Fuente: Contralora General de la Repblica. D-3-2005-CO-DF-OE, 2005.

2. Caractersticas del SEVRI

El SEVRI rene las siguientes caractersticas:

Capacidad: El Sistema deber procesar de forma ordenada, consistente y

Fuente: Contralora General de la Repblica. D-3-2005-CO-DF-OE, 2005.

INEC: Instituto Nacional de Estadstica y Censos

SEVRI: Sistema Especfico de Valoracin del Riesgo Institucional

II. Marco orientador

1. Poltica de valoracin de riesgos

En el Instituto Nacional de Estadstica y Censos nos comprometemos a desarrollar

Poltica Descripcin de la poltica

Adoptar las medidas necesarias para el establecimiento y funcionamiento

En el INEC existe el compromiso de encaminar a la institucin hacia una gestin

Ley 8292 Ley General de Control Interno.

Toda institucin pblica deber establecer y mantener en funcionamiento un

operativos como en los planes de mediano y de largo plazos. b) Analizar el efecto

En el mbito institucional las responsabilidades del establecimiento, la gestin,

Para tal efecto se defini la siguiente estructura organizativa:

Otros funcionarios (as) de la

A continuacin se detallan las responsabilidades para cada uno de los

Ser el encargado de establecer la filosofa en relacin con la Administracin del

Ejecutar la poltica y los lineamientos estratgicos aprobados por el Consejo

Unidad de Planificacin Institucional

Coordinar con los procesos y los titulares subordinados, la implementacin del

Los Coordinadores de rea, Unidad y Encargados(as) de proceso u operacin

Sern responsables de identificar, analizar y evaluar los riesgos institucionales,

Apoyar a los titulares subordinados en la elaboracin de los planes de accin

Otros funcionarios(as) de la Institucin

Sern responsables de contribuir en todo momento al funcionamiento y

7. Parmetros de aceptabilidad de riesgos

Los riesgos se clasifican en dos categoras que son: riesgos aceptables y

El siguiente cuadro ayuda a comprender cmo se han determinado los parmetros

Cuadro N 1. Clasificacin de los riesgos por zona de riesgo, nivel de riesgo,

III. Ambiente de apoyo

Para propiciar un ambiente de apoyo al SEVRI el INEC realizar las siguientes

El SEVRI contar con los recursos financieros, humanos, tcnicos, materiales y

Los recursos que se asignen al SEVRI debern obtenerse, de forma prioritaria, de

La Unidad de Planificacin ser la encargada de impartir las charlas y brindar

Para la implementacin del SEVRI el INEC proveer los recursos tecnolgicos

A continuacin se presentan los sujetos interesados:

Instituciones pblicas, organizaciones no gubernamentales

VI. Insumos, herramientas y productos del SEVRI

1. Insumos del SEVRI

El SEVRI utilizar como insumo informacin interna y externa, suficiente y

Planes nacionales, sectoriales e institucionales.

2. Herramientas del SEVRI

El Instituto Nacional de Estadstica y Censos recin concluy el proceso mediante

3. Productos del SEVRI

El SEVRI deber constituirse en un instrumento de gestin que apoye de forma

VII. Estructura de riesgos institucionales

El Instituto Nacional de Estadstica y Censos propone su estructura de riesgos

Marco de organizacin integral de los riesgos

R025 Medio ambiente