análisis y administración del riesgo en los archivos administrativos

Anuncio
MEMORIA - XX Congreso Archivístico Nacional - 2008
ANÁLISIS Y ADMINISTRACIÓN DEL RIESGO EN LOS
ARCHIVOS ADMINISTRATIVOS AL
TENOR DE LAS DISPOSICIONES EN LA
LEY GENERAL DE CONTROL INTERNO
Juan Luis Villegas Palma 1
Jorge Arturo Arias Eduarte 2
La Ley General de Control Interno del año 2002 estableció la obligatoriedad de
toda institución pública de contar con un sistema de control interno, entendido este
como aquellas acciones que la Administración planifica y ejecuta con la finalidad
de garantizar la confiabilidad y oportunidad de la información, el cumplimiento de
la normativa técnica específica de cada institución, la protección de activos, entre
otros.
El control interno bajo este enfoque se visualiza de una manera más integral, al
hacerse extensivo a las áreas sustantivas de una institución y las de carácter
logístico, en la que se ubican la archivos administrativos de todas las
organizaciones y, ya no solo a los aspectos contables, presupuestarios, financieros
y de contratación administrativa.
El control interno es por tanto inherente y vinculante a los archivos
administrativos de las instituciones públicas, según lo establece la Ley 8292,
norma que establece una serie de componentes funcionales de ese sistema, a saber,
el ambiente de control, actividades de control, sistemas de información, aspectos
generales de la norma, seguimiento de las actividades del sistema y la valoración
de riesgos.
Es en este último componente, la valoración de riesgo que se circunscribe el
denominado Sistema Específico de Valoración del Riesgo Institucional
(denominado por sus siglas como SEVRI), cuya obligatoriedad se establece en el
artículo 18 de la Ley. Para facilitar su cumplimiento, la Contraloría General de la
República emitió en el año 2005 las directrices que establecen una serie de
medidas para el establecimiento y funcionamiento del SEVRI.
1. Licenciado en Administración de Negocios con énfasis en Gestión Organizacional, Encargado del Área de
Planificación del Archivo Nacional de Costa Rica.
2. Máster en Computación con énfasis en Sistemas de Información. Funcionario del Departamento de
Cómputo del Archivo Nacional de Costa Rica.
173
ARCHIVO NACIONAL DE COSTA RICA
Seguidamente se analizan diversos apartados de la directriz, procurando siempre
enfocarlo hacia el quehacer de los archivos administrativos, hasta presentar a
manera de referencia, una herramienta para trabajar las diferentes etapas de la
administración de riesgos. Es necesaria esta aclaración, por cuanto cada institución
pública define su propia metodología de trabajo y siendo el archivo administrativo
parte integrante de esta, para efectos formales le rige la metodología de trabajo que
defina la citada organización.
Para empezar es necesario clarificar una serie de definiciones, cuyos conceptos
se utilizarán a lo largo de esta exposición y, han sido extraídos tanto de la Ley
como de las directrices de la Contraloría General.
1. DEFINICIONES.
Riesgo: Es la probabilidad de que ocurran ciertos eventos que den al traste con
los objetivos de una institución. Es decir, todos aquellos eventos que puedan
impedir a un archivo administrativo cumplir objetivos relacionados con la
prestación de sus servicios.
Probabilidad: Posibilidad de que se de ese evento y se materialice el riesgo.
Para tales efectos, son de utilidad datos históricos de referencia así como el criterio
experto de los funcionarios del archivo administrativo.
Impacto: Es el efecto que tendría sobre la organización y por ende en el archivo,
la materialización de ese riesgo.
SEVRI: Es un conjunto organizado de componentes que interaccionan para la
identificación, análisis, evaluación, administración, revisión, documentación y
comunicación de los riesgos institucionales relevantes y tiene como objetivo
apoyar el cumplimiento de la misión, visión, políticas y objetivos a través de la
identificación, análisis, valoración y administración de los riesgos.
2. ASPECTOS GENERALES
El SEVRI permite a un archivo administrativo prever de manera anticipada qué
objetivos estratégicos u operativos podrían no cumplirse total o parcialmente por
situaciones que podrían presentarse y que impactarían su desempeño, lo que le
permitiría actuar en consecuencia. Con ello, logra apoyar el cumplimiento de la
misión, visión, políticas institucionales, programas, proyectos, todo en función de
un marco legal.
174
MEMORIA - XX Congreso Archivístico Nacional - 2008
De previo al establecimiento y funcionamiento de ese SEVRI, el archivo
administrativo tiene que considerar una serie de aspectos generales indispensables.
En primera instancia debe tener claro que los productos que generará la
aplicación de la metodología de administración de riesgos serán fundamentalmente dos, el Mapa de Riesgos de ese archivo y el Plan de Tratamiento del Riesgo.
Para generar esos productos, requerirá de insumos como lo son planes estratégicos
y operativos, informes periódicos de evaluación, todo tipo de manuales, así como
el criterio experto de los funcionarios del archivo administrativo.
Podrá aplicarse el SEVRI por áreas, sectores, actividades, procesos o tareas
según como esté estructurado su trabajo y la conveniencia institucional.
Importante destacar que según la Ley 8292, son responsables por el
funcionamiento del sistema, el jerarca o titular subordinado o jefes y, dado que la
mayoría de archivos administrativos existen como unidades administrativas
consolidadas y cuentan con una jefatura, es sobre éstos en quienes recae parte de
la citada responsabilidad.
En esta fase de diseño es indispensable tener presentes las características que
deberá reunir el SEVRI. En primer lugar como sistema es continuo, ya que la
administración de riesgos es una actividad constante; se enfoca a resultados en el
tanto busca dar un tratamiento a los riesgos de mayor probabilidad e impacto; debe
considerar la parte económica, en el sentido de tener presente siempre la relación
costo-beneficio; flexible por cuanto como sistema está expuesto a los cambios del
entorno del archivo; es integral al abarcar todo el ámbito del quehacer de la unidad
y debe ser capaz de generar los productos esperados, debe ser viable.
3. ESTABLECIMIENTO DEL SEVRI
Para el establecimiento del sistema, se requerirá de la formulación de la política
institucional en materia de riesgos, que defina cuál será el nivel de riesgos
aceptable, es decir, aquél que asume la organización en su quehacer dados los
controles existentes.
Debe definirse igualmente la estrategia, clarificando la metodología de trabajo y
deberá establecerse y documentarse la normativa interna que dará solidez al
sistema.
Para aplicar de manera exitosa la metodología de trabajo sobre riesgos, es
necesario contar con un ambiente de control sano en la organización, una
identificación de las autoridades superiores para con la política institucional
establecida en esta materia.
175
ARCHIVO NACIONAL DE COSTA RICA
Se debe además contar con recursos para llevar a cabo la labor, considerando
desde luego, las condiciones de muchas instituciones públicas, de escasos recursos
financieros y humanos. Pese a ello se debe hacer el esfuerzo.
El archivo administrativo puede también considerar para efectos del diseño a
grupos interesados, tanto internos como externos. Por ejemplo, otras unidades
administrativas de la institución ó externos como lo son sus usuarios u otros
grupos organizados que tuvieran interés.
Para el establecimiento del sistema será necesario el diseño de una herramienta
manual o automatizada, que coadyuve y facilite la descripción, análisis,
valoración, tratamiento y evaluación de riesgos y que permita documentar.
4. FUNCIONAMIENTO DEL SERVI
4.1. Clasificación de riesgos
Para el funcionamiento del SEVRI se requiere establecer una clasificación y
definición de riesgos, externos e internos, a los que está expuesto el archivo
administrativo en su quehacer. A manera de ejemplo se citan algunos: riesgo
natural (eventos de la naturaleza que podrían impedir que el archivo preste sus
servicio); riesgo de infraestructura (referido a aquellas limitaciones o carencias en
esta materia que de igual forma afecten el archivo); riesgo de control (ausencia de
controles eficaces, exceso de éstos u otras posibilidades al respecto); riesgo
operativo (relacionado con la estructura de la organización, sus procesos y
procedimientos), etc.
4.2. Niveles de riesgos
Establecida la clasificación se deben definir los niveles de riesgos con los que se
trabajará, los que surgirán de la combinación de opciones de probabilidad e
impacto. En una matriz pueden relacionarse ambas variables para facilitar esta
tarea y asignarles un valor cuantitativo.
Por ejemplo, la probabilidad de ocurrencia (alta, media o baja) se lista en forma
vertical y el impacto (alto, medio o bajo) en forma horizontal. Al nivel “alto” se le
asigna un valor de 3; al nivel “medio” un valor de 2 y al nivel “bajo” un valor de
1, en donde 3 es el nivel superior, 2 el nivel intermedio y 1 el nivel inferior.
Según la metodología escogida, pueden relacionarse ambas variables mediante
la multiplicación o suma, lo que arroja 6 o 5 niveles de riesgos respectivamente.
En algunas organizaciones se trabaja incluso con solo 3. Esos niveles deben de
renombrarse a conveniencia de la institución.
176
MEMORIA - XX Congreso Archivístico Nacional - 2008
A continuación se ejemplifica la metodología para el establecimiento de los
niveles de riesgo, mediante la combinación de una escala cualitativa y cuantitativa
y sumando los valores relacionados.
Probabilidad
Baja (1)
Impacto
Bajo (1) Medio (2) Alto (3)
2
3
4
Media (2)
3
4
5
Alta (3)
4
5
6
Nótese que se generan 5 posibilidades de ocurrencia de un riesgo. El valor
inferior es 2 y solo se presenta en una ocasión (probabilidad baja + impacto bajo).
El valor siguiente en ascenso es el 3, el cual se presenta en dos ocasiones
(probabilidad media + impacto bajo ó probabilidad baja + impacto medio). El
tercer valor es el 4 el cual presenta tres posibles combinaciones (probabilidad alta
+ impacto bajo ó probabilidad media + impacto medio ó probabilidad baja +
impacto alto). El cuarto valor lo es el 5 el cual surge de dos posibles
combinaciones (probabilidad alta + impacto medio ó probabilidad media +
impacto alto). Finalmente está el valor más alto, el 6 el cual tiene una única posible
combinación (probabilidad alta + impacto alto).
Seguidamente se les debe asignar una nomenclatura a cada nivel; existe en la
literatura información variada que puede servir de gran ayuda. A manera de
ejemplo y siguiendo con el caso anterior, se tienen los siguientes niveles de riesgo:
Probabilidad
Impacto
Bajo (1)
Medio (2)
Alto (3)
Baja (1)
Trivial
Tolerable
Moderado
Media (2)
Tolerable
Alta (3)
Moderado Importante
Moderado Importante Intolerable
Cada nivel de riesgo probable tiene sus implicaciones para un archivo
administrativo y demandará soluciones inmediatas, de corto o largo plazo ó bien,
pueden asumirse, según el nivel de riesgo aceptable definido en la política.
Siguiendo con el ejemplo, si un archivo administrativo “x” determina como su
nivel de riesgo aceptable el nivel trivial y tolerable, ello significa que no requerirá
de medidas adicionales para tratar el riesgo, este se asume dado que los
177
ARCHIVO NACIONAL DE COSTA RICA
mecanismos de control existentes son suficientes. Para los restantes niveles de
riesgo, moderado, importante e intolerable deberán establecerse acciones para
disminuir la probabilidad de ocurrencia o el impacto ó si fuera el caso, trasladar el
riesgo a quien corresponda. La diferencia entre uno y otro, vendrá dada por la
inmediatez de las acciones, es decir, un riesgo intolerable demandaría
prácticamente paralizar el trabajo hasta tanto el riesgo no disminuya. El riesgo
importante requiere acciones a muy corto plazo y el moderado, acciones a ejecutar
en un plazo prudencial. Los riesgos se jerarquizan según su importancia y en
consideración de la limitante de recursos.
4.3. Etapas del proceso
Como proceso que es, la administración de riesgos tiene varias fases, para lo
cual se hará uso de un modelo de herramienta diseñada en hoja electrónica, a
manera de ejemplo.
La primera etapa es la identificación, en ella se anota en la primera celda la
clasificación de riesgo en cuestión, seguidamente se anota en la celda ubicada a la
derecha la actividad, área, tarea o proceso en análisis y finalmente se describe, es
decir, en forma sucinta se indica en qué consiste el riesgo para el archivo
administrativo.
Etapa 1:
Identificación
Riesgo
Área,
actividad,
tarea, proceso, Descripción
etc.
La siguiente fase o etapa es el análisis, en donde siguiendo con la misma línea
anterior, se determinan las causas (origen), efectos en la organización y los
controles existentes, si existen.
Etapa 2:
Análisis
Causa
178
Efecto
Controles
existentes
MEMORIA - XX Congreso Archivístico Nacional - 2008
La tercera etapa es la valoración del riesgo, para el que será de gran utilidad los
niveles de riesgos antes descritos. En esta fase se determina la probabilidad de
ocurrencia e impacto en el archivo administrativo de ese riesgo y se establece
-según el valor obtenido- el nivel de riesgo propiamente dicho.
Etapa 3:
Valoración
Probabilidad
Alta (3)
Media (2)
Nivel de
riesgo
Impacto
Baja (1)
Alto (3)
Medio (2)
Bajo (1)
La cuarta etapa es la administración del riesgo y consiste en establecer acciones
para el tratamiento del riesgo (eliminarlo si es factible, sino, disminuir su
probabilidad o impacto ó trasladarlo), estableciendo responsables por actividad y
fijando un cronograma.
Etapa 4:
Tratamiento del riesgo
Acción para
tratar el riesgo
Responsable
Plazo de
ejecución
La quinta etapa es la evaluación. Cada archivo establecerá el plazo prudencial de
evaluación, según su conveniencia. Básicamente se deberá evaluar a partir de la
meta programada y en caso de que su nivel de eficacia no alcance el 100% según
las condiciones previstas, justificar la razón, información insumo para la toma de
decisiones que corresponda.
Etapa 5:
Evaluación
Resultados
Justificación
obtenidos
179
ARCHIVO NACIONAL DE COSTA RICA
5. EJEMPLO DE APLICACIÓN DE LA HERRAMIENTA EN UN
ARCHIVO ADMINISTRATIVO (CASOS HIPOTÉTICOS)
A manera de ejemplo y con el propósito de orientar a los funcionarios que
trabajan en los archivos administrativos, se presentan algunos ejemplos sencillos
en donde se aplica la herramienta de trabajo ya descrita.
180
MEMORIA - XX Congreso Archivístico Nacional - 2008
181
Descargar