Story Transcript
Auditoría Interna INFORME AI-INF-AA-16-08
Evaluación del riesgo institucional, 2016 1- Introducción 1.1-
Origen del estudio
Este informe corresponde a un estudio programado, conforme el Plan Anual de Trabajo para el 2016. 1.2-
Objetivo del estudio
Contar con un instrumento que permita un enfoque técnico de la planeación de la Auditoría Interna. 1.3-
Alcance
La evaluación del riesgo se enfocó para el año 2016. 1.4-
Antecedentes
A partir de la entrada en vigencia de la Ley General de Control Interno Nº 8292, del 31 de julio del 2002, la Contraloría General de la República y los órganos sujetos a su fiscalización, deberían contar con sistemas de control interno adecuados, para proporcionar seguridad en el cumplimiento de las atribuciones y las competencias institucionales. En esa línea, el Cosevi ha tratado de establecer un sistema específico de valoración de riesgo institucional (SEVRI) y así dar cumplimiento a las directrices emitidas en esa materia, por el ente contralor, sin embargo no ha logrado concretar las acciones que permitan implementarlo, aspectos señalados en varios informes de esta Auditoría Interna. Para el 2016,la Unidad de Control Interno y Valoración del Riesgo Institucional (UCIVRI),está estableciendo un cronograma de actividades para tener en el mes de junio, la valoración de riesgo institucional, y proceder a la presentación de resultados ante los directivos del Cosevi. Sobre si el Cosevi cuenta con una valoración del riesgo relativa al POI y su presupuesto del año 2016, el Lic. Gustavo Céspedes Ruiz, en fecha 25-01-2016, manifestó lo siguiente: Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 1 de 9
Auditoría Interna INFORME AI-INF-AA-16-08
“Actualmente no se ha podido vincular los riesgos con el POI y el Presupuesto, debido a las mejoras que estamos realizando en el nuevo Marco Orientador del SEVRI para el 2016. El Cosevi ha efectuado un cronograma de actividades para atender el proceso de cumplir con la Valoración del Riesgo y todos los requerimientos solicitados por la Contraloría General de la República de Costa Rica.”
La UCIVRI conjuntamente con el Área de Planificación y Evaluación, han estado trabajando para obtener un detalle de dos procesos por cada una de las unidades administrativas del Cosevi, que serán incorporados en el Sistema denominado SIVARI. 1.5- Modelo para la evaluación del riesgo institucional 2016, utilizado por la Auditoría Interna Ante tal situación, la Auditoría Interna convencida de la necesidad de generar instrumentos técnicos que faciliten la detección ágil y oportuna de prácticas que afecten o pongan en riesgo la gestión de los servicios que brinda el Cosevi a la población, en materia de seguridad vial, así como hacia lo interno; la adecuada coordinación y operación de los sistemas, decidió implementar el modelo de valoración de riesgo, con el propósito identificar las áreas organizacionales que presentan mayor vulnerabilidad, y así obtener un insumo técnico y actualizado para planificar los estudios de auditoría e impulsar de manera preventiva y proactiva las acciones de mejora que correspondan para el logro de los objetivos institucionales. Para tal efecto se procedió con lo siguiente: Actualización de los procesos y proyectos relativos al quehacer del Cosevi, de lo cual resultó un total de 73 actividades, correspondientes a 60 procesos definidos por la Administración y a 13 proyectos contemplados en el POI 2016. Definición de los riesgos institucionales. En primera instancia, se estableció el nivel denominado origen del riesgo (nivel 1), el cual consta de dos opciones, fuente interna y fuente externa; tiene la utilidad de procurar que en el ejercicio de identificación del riesgo para cada uno de los procesos o proyectos, se haga una consideración más integral de la realidad interna y externa, en la que opera la organización. En el nivel 2, se establecieron 10 riesgos específicos; son áreas más concretas que los ámbitos externo e interno, mismos que se describen a continuación:
Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 2 de 9
Auditoría Interna INFORME AI-INF-AA-16-08 a) Fuentes Externas:Aquellas que provienen del ambiente, de elementos estructurales de la sociedad en general y del funcionamiento del Estado o de la cosa pública en particular y que, por ese origen, escapan al control inmediato o directo de la organización. i. Decisiones políticas:Incluye la posibilidad que grupos políticos ejerzan acciones de poder para influir en la organización y accionar de la institución. ii.
Recursos monetarios: Considera la probabilidad que los recursos monetarios otorgados no cubran las necesidades, conforme las responsabilidades asignadas al Consejo de Seguridad Vial y/o que decisiones del gobierno (restricciones presupuestarias, eliminación de ingresos y otros), afecten la consecución de los objetivos institucionales.
iii. Gobernabilidad: Se refiere al grado de empoderamiento que tiene la Institución para fungir como ente rector, en el área de la seguridad vial. iv.
Subordinación: Corresponde al riesgo que genera el hecho de no tener autoridad sobre unidades no subordinadas, que ejecutan fondos del Consejo de Seguridad Vial, conforme lo establece la Ley, como las Direcciones de Ingeniería de Tránsito, Policía de Tránsito y Educación Vial, o aquellas que reciben transferencias como las municipalidades y el Poder Judicial.
v. Ambiente externo:Se refiere al riesgo de daño material y humano que puede ocasionar un desastre natural (sismos, incendios, tornados y otros) o terceras personas (robo, vandalismo, precarismo, incumplimiento contractual y otros ). b) Fuentes Internas:Aquellas que se relacionan con los componentes funcionales del Sistema de Control Interno. i. Potencial humano:Se refiere a la probabilidad que actuaciones indebidas de los funcionarios, por error, negligencia, falta de idoneidad, integridad o ética, afecten la actividad. ii.
Administración del riesgo:Se refiere a la posibilidad de que la gestión en esa materia no mantenga al Consejo de Seguridad Vial, prevenido ante la ocurrencia de eventos internos o externos, que afecten el cumplimiento de sus objetivos.
iii. Operativo:Se refiere a la posibilidad que por la forma como se realizan los trámites y procedimientos, sea por una condición inherente al ser humano, por falta de capacitación o por el establecimiento de procedimientos ineficientes, se incurra en errores que afectan la actividad. iv.
Tecnologías de la información:Contempla la posibilidad que la insuficiente cantidad e inadecuada calidad del equipo de cómputo existente y deficiencias en los sistemas de información automatizados, afecten la actividad.
v. Sistemas de información y comunicación:Es el riesgo que posibles deficiencias en los sistemas de información y comunicación, afecten la actividad.
Designación de 16 funcionarios, todos encargados de realizar labores profesionales de auditoría, para el llenado de las encuestas de evaluación del riesgo. Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 3 de 9
Auditoría Interna INFORME AI-INF-AA-16-08
Realización de la encuesta por cada funcionario (anotación para cada actividad, del valor de la probabilidad y del impacto de 1 a 3). Tabulación de los datos de las encuestas y cálculo del riesgo para cada actividad, siguiendo las acciones establecidas en el modelo para el 2016, que incluye el uso de una tabla Excel con las operaciones matemáticas necesarias. 1.6-
Proceso de validación
El 4 de marzo del 2016 se llevó a cabo un proceso de validación los resultados de la evaluación de riesgos-2016,por parte de representantes de la Administración. Para tal efecto se entregó el Anexo N° 1 Valoración del riesgo institucional y la definición de los riesgos y se realizó la exposición del análisis de esos datos, contenida en este informe. En la misma se hicieron observaciones que no variaron los resultados, según se observa en el Adendum. Con el consentimiento de los asistentes, la grabaciónde dicha sesión de trabajo, consta en un archivo digital. El cuadro siguiente contiene el nombre de los funcionarios invitados y asistentes: Unidad administrativa
Invitados
Asistentes
Dirección Ejecutiva
Germán Valverde González
(Ausente)
Dirección de Proyectos
Roy Rojas Vargas
Roy Rojas Vargas
Dirección de Logística
Sara Soto Benavides
Ausente; envió nota explicativa sobre su ausencia.
Dirección Financiera
Sergio Valerio Rojas
Sergio Valerio Rojas
Dirección Financiera
Estéban Guevara Rojas Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 4 de 9
Auditoría Interna INFORME AI-INF-AA-16-08 Unidad administrativa
Invitados
Asistentes
Asesoría en Tecnología de la Información
Rocío Gamboa Gamboa
Vinicio Ureña Irola
Unidad de Control Interno y de Valoración del Riesgos
Gustavo Céspedes Ruiz
Gustavo Céspedes Ruiz
2- Resultados del estudio 2.1-
Detalle de la valoración del riesgo institucional
En el Anexo N° 1 se presenta el resultado de la valoración del riesgo institucional, llevado a cabo por la Auditoría Interna para el período 2016; el mismo consiste en un detalle de las 73actividades y de los 10 riesgos identificados, con sus respectivas puntuaciones en probabilidad e impacto y el puntaje total, el cual permitió la calificación del riesgo y su correspondiente nivel. 2.2-
Resumen del riesgo por nivel
En el siguiente cuadro se muestra la cantidad de actividades por cada nivel de riesgo. Cuadro N° 1 Nivel de riesgo de las actividades Febrero, 2016 Nivel Alto Medio Bajo Total
Cantidad 4 40 29 73
Valor % 5% 55% 40% 100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna. Nota: En el Gráfico N° 1 se incluye la representación de los datos (Anexo N° 2).
Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 5 de 9
Auditoría Interna INFORME AI-INF-AA-16-08
En los resultados de la Evaluación del riesgo institucional 2016, se observa lo siguiente:
A.
Riesgo alto i.
De las 73 actividades institucionales, 4 son las que obtuvieron la clasificación de nivel de riesgo “Alto”, las cuales representan un 5% de las 73 actividades(Anexo N° 2).
ii.
Se observa que de las 4 actividades consideradas con nivel de riesgo “Alto”, 3 obtuvieron una calificación de 70, el límite más bajo para dicho nivel y la otra obtuvo un 80, dato que se acerca más al límite inferior que al superior de ese nivel.
iii.
Las actividades institucionales cuya vulnerabilidad a la materialización de riesgos es alta (Anexo N° 1), fueron: Análisis, Control y Seguimiento de la Gestión Institucional (Proceso de la Dirección Ejecutiva). Calificación del Riesgo 70%. Remate de vehículos detenidos por Multa Fija según Ley de Tránsito 9078(Proceso del Área de Donación y Remate de vehículos detenidos).Calificación del Riesgo 70%. Gestión y fiscalización de la administración de obras civiles en construcción, remodelación y/o mantenimiento (Proceso del Departamento de Servicios Generales).Calificación del Riesgo 70%. Gestión de la recepción, verificación y traslado de las impugnaciones de las boletas de citación por infracciones a la Ley de Tránsito por Vías Públicas Terrestres y Seguridad Vial N°9078, en la Unidad de Plataforma de Servicio de San José(Procesos de la Unidad de Plataforma de Servicio al Usuario).Calificación del Riesgo 80%.
B.
Riesgo medio i.
Las actividades que obtuvieron la clasificación de nivel de riesgo “Medio”, constituyen 40, de las 73 existentes, lo que representa un 55% del total de las actividades, en el Cuadro N° 2, se muestra la distribución de este riesgo:
Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 6 de 9
Auditoría Interna INFORME AI-INF-AA-16-08
Cuadro N° 2 Distribución del riesgo medio Febrero, 2016
Detalle Cantidad actividades Valor %
de
Riesgo 40% a 49%
Riesgo 50% a 59%
Riesgo 60% a 69%
Total
22
14
4
40
55%
35%
10%
100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna. Nota: En el Gráfico N° 2 se incluye la representación de los datos (Anexo N° 3).
ii.
Es importante destacar que del total de las actividades con riesgo medio; seaactividades que se encuentran en el rango de 40% a 69%, existen 4 actividadesque se acercan más allímite para ser consideradas de riesgo Alto: Análisis Financiero (Procesos de la Dirección Financiera). Calificación del Riesgo 61%. Recolección y descarga de los datos levantados por los oficiales de tránsito de Delegación Central y Corredor 5 (Zurquí), UCR y Municipalidades (Procesos de la Unidad de Registro de Multas y Accidentes). Calificación del Riesgo 66%. Donación de vehículos detenidos por Multa Fija según Ley de Tránsito 9078 (Procesos del área de Donación y Remate de vehículos detenidos ). Calificación del Riesgo 66%. Ingreso, custodia y salida de vehículos detenidas en la Unidad de Custodia de Placas y Vehículos Detenidos. (Procesos de la Unidad de Custodia de Placas y Vehículos Detenidos) Calificación del Riesgo 68%.
C.
Riesgo bajo i.
Las actividades que resultaron con un nivel de riesgo “Bajo”, corresponden en términos absolutos a 29 de las 73 actividades, y representan un valor porcentual de un 40% del total, en el siguiente cuadro, se muestra la distribución de ese riesgo.
Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 7 de 9
Auditoría Interna INFORME AI-INF-AA-16-08
Cuadro N° 3 Distribución del riesgo bajo Febrero, 2016
Detalle Cantidad actividades Valor %
Riesgo 0% a 19%
Riesgo 20% a 29%
Riesgo 30% a 39%
Total
1
8
20
29
3%
28%
69%
100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna. Nota: En el Gráfico N° 3 se incluye la representación de los datos (Anexo N° 4).
ii.
D.
En el grupo del riesgo “Bajo”, existen20 actividades que tienen una tendencia hacia el nivel de riesgo medio,mismas que se pueden observar en el Anexo N° 1.
Riesgos con puntaje máximo A nivel general hay riesgos que resultaron con el puntaje máximo, esto es por cuanto se les otorgó una probabilidad de ocurrencia de 3 (Alto) y un impacto del riesgo de 3 (Alto).En concreto, de los 730 puntajes máximos posibles (totalidad de riesgos x actividades), se observan 57casos con el puntaje máximo,entre los cuales destaca el riesgo de fuente interna denominado Administración del Riesgo (Se refiere a la posibilidad de que la gestión en esa materia no mantenga al Consejo de Seguridad Vial, prevenido ante la ocurrencia de eventos internos o externos, que afecten el cumplimiento de sus objetivos), el cual registra un dato de 44%(Anexo N° 5).
Cuadro N° 4 Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 8 de 9
Auditoría Interna INFORME AI-INF-AA-16-08 Riesgos con puntaje máximo, según cantidad de actividades (Estructura del riesgo nivel 2) Febrero, 2016
Gobernabilidad
Subordinación
Ambiente externo
Potencial humano
Administración del riesgo
Operativo
Tecnologías de la información
Sist. de inf. y comunicación
Puntaje 8 máximo Valor % 14%
INTERNOS
Recursos monetarios
Detalle
Decisiones políticas
EXTERNOS
0
6
1
0
5
25
0
4
8
0%
11%
2%
0%
9%
44%
0%
7%
Total
57
14% 100%
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna. Nota: En el Gráfico N° 4 se incluye la representación de los datos (Anexo N° 5).
E.
Riesgos internos según componentes del Sistema de control interno
En el siguiente cuadro se refleja una relación entre los riesgos internos y los componentes del Sistema de control interno, mostrándose también el valor total de cada riesgo, sea la sumatoria del valor del riesgo correspondiente, para cada una de las actividades. Cuadro N° 5 Riesgos internos según componentes del sistema de control interno Febrero, 2016 Componentes del sistema de control interno
Riesgos internos
Ambiente de control
Potencial humano
302
19%
Valoración del riesgo
Administración del riesgo
440
27%
Actividades de control
Operativo Tecnologías de la información Sistemas de información y comunicación
301
19%
265
16%
314
19%
1622
100%
Sistemas de información Seguimiento del sistema de control interno Total
Riesgo Porcentaje total
Fuente: Encuestas practicadas a funcionarios de la Auditoría Interna. Nota: En el Gráfico N° 5 se incluye la representación de los datos (Anexo N° 6).
Teléfonos: 2522-0912 Fax: 2522-0869 www.csv.go.cr Página 9 de 9