Auditoría de carácter especial en la Caja Costarricense de Seguro Social sobre la gestión de riesgos financieros y su actualización ante la pandemia del Covid-2019
AUD-287 #ReporteCGR N.º 1
7 de diciembre de 2020
15 minutos de lectura
Gestión de Riesgos: Componentes y actividades para una adecuada valoración de riesgos financieros en la CCSS
Generalidades
Objetivo
La fiscalización realizada tiene como objetivo determinar si la gestión de riesgos financieros llevada a cabo por la Caja Costarricense de Seguro Social (CCSS) y su actualización ante la pandemia del Covid-19[1] se ajustan al marco normativo, jurídico y técnico aplicable. Específicamente el presente documento tiene como propósito comunicar las oportunidades de mejora que se identificaron en los componentes previos y las actividades relacionadas con dicha valoración de riesgos.
Alcance y período
Este reporte contempla el análisis de la gestión de riesgos financieros[2] que ha efectuado la institución durante el 2020 y la actualización requerida ante la pandemia ocasionada por el Covid-19 para los regímenes del Seguro de Enfermedad (SEM) y Maternidad y el Seguro de Invalidez, Vejez y Muerte (IVM). Se analizaron las siguientes dimensiones del proceso de valoración de riesgos:
Figura N.º1
Valoración de riesgo: componentes y actividades
Este es el primer reporte de la Auditoría; durante el proceso de fiscalización se emitirá un informe final.
Relevancia
La gestión de riesgos favorece la identificación de amenazas, obstáculos y oportunidades, aumentando las posibilidades de alcanzar los objetivos institucionales, ya que los procesos que tengan más seguimiento y control tienden a ser más exitosos, lo cual indudablemente genera mayor valor público en la ejecución de las actividades relacionadas. Asimismo, la legislación vigente y las directrices emitidas por el Órgano Contralor promueven la identificación, análisis, evaluación, administración y revisión de los riesgos institucionales que amenazan el cumplimiento de los objetivos propuestos.
Particularmente, los riesgos en materia financiera son relevantes de controlar para prevenir su materialización, de manera que le permita a las instituciones mantener la liquidez y solvencia financiera para brindar sus servicios optimizando el uso de los recursos públicos.
En el caso de la CCSS lo anterior resulta de vital importancia, pues una administración adecuada de los riesgos financieros contribuye a salvaguardar la salud de la población, en situaciones que ameritan acciones rápidas, como la que vive el país a raíz de la emergencia nacional del coronavirus.
De manera que, se destaca la relevancia de desarrollar una gestión de riesgos financieros oportuna y adecuada que permita administrar los riesgos generados a raíz de la pandemia y minimizar la probabilidad de ocurrencia de los eventos y su impacto, con el fin de cumplir con los objetivos institucionales.
Marco contextual
El Área de Gestión de Control Interno de la Dirección de Sistemas Administrativos es la instancia de la CCSS encargada de la asesoría, capacitación, diseño, aplicación y evaluación de los instrumentos que apoyan el cumplimiento de la normativa vigente vinculada tanto con los temas de Autoevaluación de la Gestión, como con la Valoración de Riesgos. Esto a su vez permite que las diferentes jefaturas de la CCSS identifiquen los temas vulnerables en sus respectivas áreas, desarrollen la valoración de riesgo e
implementen medidas de administración de riesgos oportunas.
En el contexto de la pandemia provocada por el Covid-19, la CCSS es una de las instituciones que se encuentran en la primera línea de atención de la emergencia, lo cual, por un lado, ha desencadenado un aumento en los gastos institucionales, mientras que por otro lado, el impacto económico que ha sufrido el país y en específico la contracción del mercado laboral, han afectado directamente la situación financiera de la CCSS, en vista de que posee una estructura de financiamiento que depende principalmente de las contribuciones sociales que realizan los asegurados, situación que amerita de un seguimiento adecuado y oportuno.
Áreas de mejora identificadas
Desde la planificación estratégica de la CCSS[3] se visualiza que la institución está trabajando en el fortalecimiento de la gestión de riesgos, proponiendo un modelo articulado para contribuir a la toma de decisiones y al abordaje de riesgos de una manera integral.
También la CCSS ha definido una estructura organizacional en apoyo de la operación del Sistema Específico de Valoración del Riesgo Institucional (SEVRI) y en procura de lograr una mejora en el direccionamiento del tema, la institución valora formalizar[4] una nueva Dirección de Riesgos Institucional.
Asimismo, ha promovido una cultura favorable al efecto y ha impulsado la definición de una metodología[5] y de los recursos necesarios para apoyar el proceso de valoración de los riesgos financieros, los sujetos interesados y las herramientas para la administración de la información.
Aunado a lo anterior, se evidenció como aspecto positivo que la Administración Activa valoró riesgos financieros bajo el contexto Covid-19, y ligado al mapeo de riesgos creó el “Plan Contingencial para la Atención de la Emergencia Sanitaria por el Covid-19 y la continuidad de los servicios” de marzo 2020; por ende se rescata la característica de flexibilidad del SEVRI, la cual indica que el sistema debe ajustarse periódicamente a los cambios tanto externos como internos.
No obstante lo aquí señalado, se observan oportunidades de mejora en el proceso de valoración de riesgos financieros que se comentan de seguido.
Elementos relevantes de la valoración de riesgos financieros presentan oportunidades de mejora.
Las instituciones deben establecer[6] previo al funcionamiento del SEVRI, un marco orientador para el proceso; respaldado en un ambiente de apoyo para la operación del sistema y las herramientas para la administración de la información que permitan7 identificar y registrar información confiable, relevante, pertinente y oportuna.
De igual forma, el sistema de valoración de riesgos institucional debe[8] estar articulado con el resto de los sistemas de la entidad y apoyar la toma de decisiones cotidianas en todos los niveles organizacionales, para lograrlo deben estar claramente definidas las responsabilidades y existir mecanismos de coordinación y comunicación entre las unidades internas[9].
Por otra parte, las instituciones deben establecer los parámetros de aceptabilidad de los riesgos, mediante un perfil de riesgos[10] que contemple al menos el nivel de riesgo que la entidad está dispuesta a asumir (apetito de riesgo), la variación aceptable de dicho nivel (tolerancia al riesgo) y el nivel máximo de riesgo e la entidad puede asumir (capacidad de riesgo).
Además, para un adecuado reconocimiento de riesgos financieros es necesario identificar por áreas, sectores, actividades o tareas los eventos que podrían afectar de manera significativa el cumplimiento de los objetivos institucionales.
Para determinar como el establecimiento del SEVRI apoya la valoración de riesgos financieros, la
Contraloría General valoró el grado de cumplimiento de los componentes y actividades asociados a este sistema, según se muestra a continuación:
Cuadro 1
Valoración de riesgo: componentes y actividades
Fuente: Elaboración propia, noviembre 2020.
Considerando los resultados obtenidos, se observa que la CCSS presenta oportunidades de mejora en los elementos que componen el proceso de valoración de riesgos financieros.
Sobre el particular, se determinó que la CCSS mantiene dos estructuras diferenciadas para valoración de riesgos financieros entre los Regímenes del Seguro de Enfermedad y Maternidad (SEM) y del Seguro de Invalidez, Vejez y Muerte (IVM), presentando brechas considerables en elementos que apoyan la gestión de riesgos financieros en toda la institución.
Al respecto, se visualiza que para el Régimen del Seguro de Invalidez, Vejez y Muerte (IVM) existe una declaración de apetito al riesgo oficializada para la cartera de inversiones en títulos valores y créditos hipotecarios en la que se establecen parámetros cuantitativos que incluyen apetito, tolerancia y capacidad del riesgo. No obstante, dichos parámetros o indicadores no se han definido para los demás procesos del régimen, lo cual resulta significativo en temas como facturación y cobros que son relevantes en la captación de ingresos de la institución, así como en asignación y optimización de recursos financieros para un mejor uso de estos y que apoyen la eficiencia y eficacia de la entidad.
Al contrario, en el Régimen del Seguro de Enfermedad y Maternidad (SEM) no se cuenta con un perfil de riesgos financieros el cual considere indicadores cuantitativos que le permitan determinar si un riesgo financiero específico se ubica dentro de la categoría de nivel de riesgo aceptable, siendo esto fundamental para que la administración logre un balance adecuado entre los riesgos y su desempeño en relación con los objetivos financieros de la institución.
Asimismo, para ambos regímenes se determinó, que no existe una integración entre la valoración de riesgos financieros sobre las inversiones institucionales que realiza el Área de Administración del Riesgo de la Dirección Actuarial y Económica y la valoración de riesgos institucional liderada por el Área de Gestión de Control Interno (AGCI) de la Dirección de Servicios Administrativos, de forma que esta integración permita brindar una respuesta al riesgo alineada con los desafíos del contexto institucional para el cumplimiento de sus objetivos.
Adicionalmente, la valoración de riesgos financieros efectuada en el contexto Covid-19 no se ha integrado en el sistema de información que posee para la gestión de riesgos institucional, de manera que el tomador de decisiones pueda tener la información integrada en un mismo instrumento, que le permita obtener un panorama integral de los riesgos que amenazan a la institución, no solamente en su labor ordinaria, sino conjuntamente con la afectación de la pandemia.
Por otra parte, se evidenció la existencia de un catálogo de riesgos institucional donde únicamente se contemplan dos riesgos asociados a la categoría de financieros[11] a saber: presupuesto insuficiente e inadecuada gestión del presupuesto, sin que se consideren otros tipos de riesgos financieros, como por ejemplo: liquidez, solvencia, sostenibilidad, crédito, mercado, entre otros. La ausencia de estos en el catálogo institucional de riesgos, incide en una identificación limitada de los riesgos reales de la entidad, y a su vez en el no tratamiento de los mismos, lo cual podría afectar el cumplimiento de objetivos.
Además, se determinó que la institución cuenta con indicadores cuantitativos y cualitativos documentados y oficializados, pero solo para inversiones, sin que se hayan definido indicadores relacionados con liquidez, solvencia, sostenibilidad, crédito, entre otros, en procesos como facturación y cobros, así como con asignación y optimización de recursos financieros, lo cual requiere atención ya que son la base para una adecuada evaluación de los riesgos y/o amenazas en materia financiera.
Resulta significativo destacar que los indicadores cuantitativos en el proceso de valoración de riesgos financieros son la herramienta fundamental para determinar el nivel de exposición al riesgo de manera razonable así como para efectuar una priorización que facilite la administración de los riesgos más relevantes, por lo que la existencia de dichos indicadores resulta de gran importancia en el proceso de valoración de riesgos.
Por último, se visualizan oportunidades de mejora en la valoración de riesgos que realizan las unidades ejecutoras, ya que en la revisión de riesgos del período 2020 el AGCI identificó un alto porcentaje de riesgos (42%) con problemas en la redacción o identificación de causas y consecuencias vinculadas. Por lo que el Informe de Resultados Valoración de Riesgos Nivel Operativo de Setiembre 2020, presenta conclusiones parciales sobre la revisión de las herramientas de mapeo de riesgos, considerando tan solo 58% de los riesgos contenidos en las herramientas.
Asimismo, se determinó que las funciones sustantivas del AGCI[12] se limitan al diseño de los instrumentos requeridos para la implementación del sistema de control interno de las unidades de trabajo, el asesoramiento y la capacitación en la aplicación de los mismos; sin estar facultada para cuestionar si los riesgos identificados por las unidades ejecutoras están acorde con sus actividades, procesos o proyectos,[13] siempre en el entendido de que las unidades ejecutoras son las dueñas de los procesos. Es decir, el AGCI realiza una revisión de las herramientas de mapeo de riesgos solamente en cuanto a la forma, lo cual limita el enriquecimiento de las señaladas herramientas.
Dentro de este contexto, es criterio de esta Contraloría General que, aun cuando, la CCSS ha avanzado en el fortalecimiento de la gestión de riesgos institucional, con respecto a la valoración de riesgos financieros, se observa la ausencia de una estructura uniforme e integral para ambos regímenes, lo cual dificulta el establecimiento de manera adecuada y completa de los riesgos financieros, así como el proceso de gestión de dichos riesgos, situación que puede llevar a conclusiones erróneas basado en los resultados obtenidos en el proceso de valoración, y por ende no apoye una toma de decisiones orientada al cumplimiento de objetivos, especialmente en época de pandemia por el Covid-19 donde se vuelve esencial mantener la liquidez y solvencia financiera para brindar sus servicios maximizando el uso de los recursos públicos.
Notas al pie:
[1] Enfermedad respiratoria generada por el Coronavirus SARS-COV-2 y originada en diciembre 2019.
[2] En normas técnicas este proceso también se denomina “Valoración de Riesgos”
[3] Plan Estratégico Institucional aprobado por Junta Directiva en sesión N.° 9010, celebrada en fecha 10 de enero de 2019.
[4] Según acuerdo cuarto de sesión N.° 9025, celebrada en fecha 28 de marzo de 2019.
[5] Metodología plasmada en la Guía Institucional de Valoración de Riesgos y Política Institucional de Riesgos.
[6] (D-3-2005-CO-DFOE) Resolución N° 64 del 01 de julio de 2005. Publicado en la Gaceta N° 134 del 12 de julio de 2005. Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI). Apartado 3.
[7] Ley General de Control Interno Nro. 8292 del 31 de julio de 2002. Publicado en la Gaceta Nro. 169 del 04 de setiembre de
2002. Artículo 16 Sistemas de Información.
[8] Directrices SEVRI: apartado 2.6 y 3.6 características del SEVRI y Herramienta de apoyo para la administración de información.
[9] Directrices SEVRI: apartado 3.3 Ambiente de apoyo.
[10] Directrices SEVRI: apartado 3.2 Marco orientador e Informe de Gestión del Riesgo Empresarial- integrando estrategia y desempeño de junio de 2017, publicado por el Committee of Sponsoring Organizations of the Treadway Commission (COSO) principio 7.
[11] Se destaca que la CCSS actualmente se encuentra en un proceso de actualización del catálogo de riesgos institucional donde se ampliará la cantidad de riesgos financieros contemplados.
[12] Documento: Rediseño Organizacional de la Dirección de Sistemas Administrativos, marzo 2004.
[13] Las Directrices SEVRI señalan en el artículo 3.3, inciso d, que las instituciones deben otorgar responsabilidades a los funcionarios para un adecuado funcionamiento del SEVRI.
01_AUD-287 #ReporteCGR 1.docx01_AUD-287 #ReporteCGR 1.pdf