La Ley General de Control Interno, No. 8292, estableció la obligatoriedad para la Contraloría General de la República y todos los entes u órganos sujetos a su fiscalización contar con un sistema de control interno.
El artículo 18 indica que:
“Todo ente u órgano deberá contar con un Sistema Específico de Valoración del Riesgo Institucional y adoptar los métodos de uso continuo y sistemático, a fin de analizar y administrar el nivel de dicho riesgo”.
La valoración de los riesgos permite la identificación y el análisis de los riesgos que enfrenta la institución para la consecución de los objetivos, tanto de fuentes internas como externas relevantes.
La Gestión de Riesgos se constituye en un tema primordial en el quehacer institucional, al permitir de una forma sistemática, objetiva y mensurable la identificación, análisis, evaluación, administración y revisión de la probabilidad de que ocurran eventos, que tendrían consecuencias (negativas primordialmente) sobre el debido cumplimiento de los objetivos institucionales.
La Gestión del Riesgo Institucional, se vincula al proceso de la formulación del Plan Anual Operativo, por ende la Valoración de Riesgos es realizada a partir de la formulación de los Planes de Acción de las Vicerrectorías, Dirección de Sede y Centros Académicos, vinculados al Plan Estratégico Institucional, según corresponda.
La valoración de riesgos es aplicada a todas las metas estratégicas y operativas, con excepción de la meta de funciones ordinarias y la meta relacionada a equipo e infraestructura, de forma tal que las dependencias o grupos consultivos identifiquen los posibles eventos que podrían influir en el cumplimiento de las mismas.
Durante el desarrollo de este proceso, se brinda el acompañamiento personalizado de la Unidad Especializada de Control Interno hacia las dependencias o grupos consultivos de cada programa y subprograma.
La gestión de riesgos en el TEC se basa en tres etapas: la valoración del riesgo, la definición de respuestas al riesgo y la implementación de acciones de respuesta.
I. Etapa de valoración del riesgo
Identificación de riesgos: identificar cuáles situaciones podrían afectar el cumplimiento de un determinado proyecto y su respectiva documentación. El qué, por qué y cómo pueden surgir las cosas como base para análisis posterior.
Análisis de riesgos: analizar los controles existentes y riesgos en términos de causas y consecuencias, considerando las probabilidades y el impacto de la materialización de los riesgos sobre la actividad.
Evaluación de riesgos: Posibilita que los riesgos sean ordenados, permitiendo identificar prioridades para su administración. Si los niveles de riesgo establecidos son bajos, los riesgos podrían caer en una categoría aceptable y no se requeriría un tratamiento, caso contrario si los riesgos son altos o muy altos requerirán la elaboración de un plan de acción.
Comunicar: Informar sobre los riesgos a los entes interesados.
II. Etapa de definición de respuestas al riesgo
Establecer para los riesgos con niveles de superiores a los aceptables, actividades de respuesta al riesgo para evitar o mitigar dicho nivel, así como el establecimiento de responsables y plazos de ejecución.
Estas serán incorporadas dentro de las actividades del Plan Anual Operativo correspondiente.
III. Etapa de implementación de acciones de respuesta
El seguimiento a la ejecución de las actividades de respuesta al riesgo será en conjunto con la evaluación del Plan Anual Operativo.