El componente Gestión y Prevención de Riesgos establece las bases para la identificación y análisis de los riesgos que enfrentan los órganos, organismos, organizaciones y demás entidades para alcanzar sus objetivos.
Una vez clasificados los riesgos en internos y externos, por procesos, actividades y operaciones, y evaluadas las principales vulnerabilidades, se determinan los objetivos de control y se conforma el Plan de Prevención de Riesgos para definir el modo en que habrán de gestionarse. Existen riesgos que están regulados por disposiciones legales de los organismos rectores, los que se gestionan según los modelos de administración previstos.
El componente se estructura en las siguientes normas:
a) identificación de riesgos y detección del cambio: en la identificación de los riesgos, se tipifican todos los que pueden afectar el cumplimiento de los objetivos. La identificación de riesgos se nutre de la experiencia derivada de hechos ocurridos, así como de los que puedan preverse en el futuro y se determinan para cada proceso, actividad y operación a desarrollar. Los factores externos incluyen los económico-financieros, medioambientales, políticos, sociales y tecnológicos y los internos incluyen la estructura organizativa, composición de los recursos humanos, procesos productivos o de servicios y de tecnología, entre otros. La identificación de riesgos se realiza de forma permanente, en el contexto externo pueden presentarse modificaciones en las disposiciones legales que conduzcan a cambios en la estrategia y procedimientos, alteraciones en el escenario económico financiero que impacten en el presupuesto y de ahí en sus planes y programas, y desarrollos tecnológicos que en caso de no adoptarse provocarían obsolescencia técnica, entre otros; en el contexto interno, variaciones de los niveles de producción o servicios, modificaciones de carácter organizativo y de estructura u otros. Toda entidad debe disponer de procedimientos capaces de captar e informar oportunamente los cambios registrados o inminentes en su ambiente interno y externo, que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas. Una vez identificados los riesgos se procede a su análisis, aplicando para ello el principio de importancia relativa, determinando la probabilidad de ocurrencia y en los casos que sea posible, cuantificar una valoración estimada de la afectación o pérdida de cualquier índole que pudiera ocasionarse.
b) determinación de los objetivos de control: los objetivos de control son el resultado o propósito que se desea alcanzar con la aplicación de procedimientos de control, los que deben verificar los riesgos identificados y estar en función de la política y estrategia de la organización. Luego de identificar, evaluar y cuantificar, siempre que sea posible, los riesgos por procesos, actividades y operaciones, la máxima dirección y demás directivos de las áreas, con la participación de los trabajadores, realizan un diagnóstico y determinan los objetivos de control, dejando evidencia documental del proceso. El diagnóstico se realiza en reuniones por colectivos de áreas, direcciones o departamentos según corresponda, las cuales son presididas por la máxima autoridad del lugar, el dirigente sindical y los representantes de las organizaciones políticas; debe estar presente al menos uno de los integrantes del grupo que realizó la identificación y análisis de riesgos a nivel de la organización, con la información y antecedentes específicos del área. En estas reuniones se realiza entre todos un diagnóstico con los objetivos de control a considerar y se definen las medidas o procedimientos de control a aplicar, las mismas serán antecedidas de un trabajo de información y preparación de los trabajadores en asamblea de afiliados donde se les explica el procedimiento a seguir para su desarrollo.
c) prevención de riesgos: esta norma constituye un conjunto de acciones o procedimientos de carácter ético-moral, técnico-organizativos y de control, dirigidas de modo consciente a eliminar o reducir al mínimo posible las causas y condiciones que propician los riesgos internos y externos, así como los hechos de indisciplinas e ilegalidades, que continuados y en un clima de impunidad, provocan manifestaciones de corrupción administrativa o la ocurrencia de presuntos hechos delictivos. En función de los objetivos de control determinados de acuerdo con los riesgos identificados por los trabajadores de cada área o actividad y las medidas o acciones de control necesarias, se elabora el Plan de Prevención de Riesgos, cuyos aspectos más relevantes tributan al del órgano, organismo, organización o entidad, el que de forma general incluye los riesgos que ponen en peligro el cumplimiento de los objetivos y la misión. Los planes elaborados son evaluados por el Comité de Prevención y Control y aprobados por el órgano colegiado de dirección. El Plan de Prevención de Riesgos constituye un instrumento de trabajo de la dirección para dar seguimiento sistemático a los objetivos de control determinados, se actualiza y analiza periódicamente con la activa participación de los trabajadores y ante la presencia de hechos que así lo requieran. Es necesario que los resultados de los análisis de causas y condiciones efectuados, sobre los hechos que se presenten y las valoraciones realizadas en cuanto a la efectividad del Plan de Prevención de Riesgos, sean divulgados, en el interés de trasmitir la experiencia, y el alerta que de ello se pueda derivar, a todo el sistema. El Plan de Prevención de Riesgos se estructura por áreas o actividad y el de la entidad. En su elaboración se identifican los riesgos, posibles manifestaciones negativas; medidas a aplicar; responsable; ejecutante y fecha de cumplimiento de las medidas. El autocontrol se considera como una de las medidas del Plan de Prevención de Riesgos para medir la efectividad de estas y de los objetivos de control propuestos.