Documentos de Académico
Documentos de Profesional
Documentos de Cultura
IMPLEMENTACIÓN
DEL
CONTROL INTERNO
INSTITUCIONAL
2da edición
Mayo 2018
GUÍAS PARA LA
IMPLEMENTACIÓN DEL
CONTROL INTERNO INSTITUCIONAL
0. INTRODUCCIÓN GENERAL
1. AMBIENTE DE CONTROL
2. EVALUACIÓN Y GESTIÓN DEL RIESGO
3. ACTIVIDADES DE CONTROL
4. INFORMACIÓN Y COMUNICACIÓN
5. SUPERVISIÓN Y MONITOREO
SEGUNDA EDICIÓN
MAYO 2018
Contenido
TABLA DE CONTENIDO
2.3.2. PROPÓSITO.................................................................................................................................... 97
2.3.3. CRITERIOS ...................................................................................................................................... 98
2.3.4. PRÁCTICAS OBLIGATORIAS DE IMPLEMENTACIÓN ......................................................................... 99
2.3.5. REFERENCIA LEGAL .......................................................................................................................101
2.4. INDICADORES MENSURABLES DE DESEMPEÑO .........................................................................................101
2.5. DIVULGACIÓN DE LOS PLANES...................................................................................................................101
2.5.1. RESUMEN DE LA NOGECI ..............................................................................................................101
2.5.2. PROPÓSITO...................................................................................................................................101
2.5.3. CRITERIOS .....................................................................................................................................101
2.5.4. PRÁCTICAS OBLIGATORIAS DE IMPLEMENTACIÓN ........................................................................101
2.5.5. REFERENCIA LEGAL .......................................................................................................................102
2.6. REVISIÓN DE LOS OBJETIVOS .....................................................................................................................102
2.6.1. RESUMEN DE LAS NOGECI ............................................................................................................102
2.6.2. PROPÓSITO...................................................................................................................................102
2.6.3. CRITERIOS .....................................................................................................................................103
2.6.4. PRÁCTICAS OBLIGATORIAS DE IMPLEMENTACIÓN ........................................................................103
2.6.5. REFERENCIA LEGAL .......................................................................................................................103
2.7. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS ............................................................................................104
2.7.1. RESUMEN DE LAS NOGECI ............................................................................................................104
2.7.2. PROPÓSITO...................................................................................................................................104
2.7.3. CRITERIOS .....................................................................................................................................104
2.7.3.1. IDENTIFICACIÓN DE EVENTOS QUE AFECTAN LOS OBJETIVOS INSTITUCIONALES ......................105
2.7.3.2. EVALUACIÓN Y VALORIZACIÓN DE LOS RIESGOS.......................................................................105
2.7.3.3. DETERMINACIÓN DE INDICADORES CLAVES DE RIESGO (ICR) ...................................................106
2.7.3.4. RESPUESTA A LOS RIESGOS.......................................................................................................106
2.7.4. PRÁCTICAS OBLIGATORIAS DE IMPLEMENTACIÓN ........................................................................107
2.7.5. REFERENCIAS LEGALES..................................................................................................................109
ÍNDICE DE ANEXOS
ÍNDICE DE FIGURAS
Figura 29 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco
Rector del CII de los Recursos Públicos en el componente actividades de control (3 de 3) ........................ 117
Figura 30 COSO 2013: información y comunicación ...................................................................... 149
Figura 31 COSO 2013: principios de la información y comunicación ............................................. 149
Figura 32 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco
Rector del CII de los Recursos Públicos en el componente información y comunicación (1 de 3) ............... 150
Figura 33 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco
Rector del CII de los Recursos Públicos en el componente información y comunicación (2 de 3) ............... 151
Figura 34 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco
Rector del CII de los Recursos Públicos en el componente información y comunicación (3 de 3) ............... 152
Figura 35 COSO 2013: supervisión y monitoreo ............................................................................ 165
Figura 36 COSO 2013: principios de la información y comunicación ............................................. 165
Figura 37 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos
del Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (1 de 2)166
Figura 38 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos
del Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (2 de 2)167
Figura 39 Niveles de procesos ....................................................................................................... 234
Figura 40 Mapa de procesos: tipos de procesos ........................................................................... 234
Figura 41 Mapa de procesos de nivel 0 ......................................................................................... 235
ÍNDICE DE TABLAS
Tabla 1 Relación entre los subcomponentes de la guía con los componentes y principios del COSO ERM 2017
........................................................................................................................................................ 81
Tabla 2 Actividades de control administrativas y operativas ......................................................... 127
Tabla 3 Principales procesos de la gestión de los sistemas y tecnologías de la información ......... 132
Tabla 4 Requisitos o características de la información generada .................................................. 134
Tabla 5 Criterios de control para la información generada ........................................................... 135
Tabla 6 Cuadro de indicadores y sus acciones ............................................................................... 139
Tabla 7 Ejemplo de escala de medida cualitativa de la probabilidad ............................................ 261
Tabla 8 Ejemplo de escala de medida cualitativa del impacto ...................................................... 261
Tabla 9 Ejemplo de escala cuantitativa de probabilidad ............................................................... 262
Tabla 10 Ejemplo de escala cuantitativa de impacto..................................................................... 262
La Oficina Nacional de Desarrollo Integral del Control Interno (ONADICI), dentro del ámbito de su
competencia, presenta las Guías para la implementación del Control Interno Institucional en el marco del
SINACORP 2da. Edición. La actualización ha seguido los lineamientos establecidos por los marcos rectores
emitidos por el Tribunal Superior de Cuentas y ha adoptado el estándar internacional de los informes
Control Interno – Marco Integrado 2013 y Enterprise Risk Management—Integrating with Strategy and
Performance 2017 del Committee of Sponsoring Organizations of the Treadway Commission.
Las guías son de carácter general organizada en sus cinco componentes: (i) Guía 0 Introducción general,
(ii) Guía 1 Ambiente de control, (iii) Guía 2 Evaluación y gestión de riesgos, (iv) Guía 3 Actividades de
control, (v) Guía 4 Información y comunicación, y (vi) Guía 5 Supervisión y monitoreo. Adicionalmente,
contiene anexos, figuras y tablas que facilitan su uso y comprensión.
La aplicación y adaptación de las guías por cada entidad debe hacerse de acuerdo a la naturaleza, escala
de operaciones, riesgos y enmarcada en su ley constitutiva y otras normativas vigentes en virtud que el
control interno es una política de Estado para una adecuada administración de los recursos públicos, el
cumplimiento de los objetivos institucionales y la mejora continua.
La ONADICI, como ente técnico, socializa las guías con las Máximas Autoridades Ejecutivas de las
entidades, como responsable del control interno, y demás personal proveyendo la asistencia técnica
necesaria para su implementación con la coordinación del Comité de Control Interno Institucional
(COCOIN) y el aseguramiento por parte de la Unidad de Auditoría Interna.
La actualización de las guías fue posible gracias al apoyo financiero de la Unión Europea a través del
programa "Medidas de Apoyo al Desarrollo Institucional y la Gestión de Políticas Públicas" (MADIGEP).
La ONADICI autoriza a todas las entidades, programas y proyectos la reproducción de las guías para su uso
y adaptación por ser propiedad del Estado de Honduras, estando disponibles los archivos electrónicos en
la sección “Biblioteca Virtual” de la página web de la ONADICI.
El uso adecuado, permanente y sistemático de las guías y todos sus componentes contribuye al logro del
Plan de Nación y Visión de País.
Mayo 2018.
El establecimiento del control interno, más que una obligación, debe ser un estilo de vida del servidor
público en busca de la transparencia y la rendición de cuentas
SIGLAS UTILIZADAS
Guía 0
“INTRODUCCIÓN GENERAL”
0.1. INTRODUCCIÓN
Entre los sistemas administrativos con los que cuenta el Estado se tiene el Sistema Nacional de Control de
los Recursos Públicos (SINACORP), del cual el TSC es el ente rector, que es el conjunto de principios,
preceptos, normas generales, normas técnicas específicas y demás instrumentos y mecanismos que
regulan y desarrollan la dirección, orientación, organización, ejecución y supervisión de los controles
externo e interno de los recursos públicos.
La ONADICI es la entidad creada bajo Decreto Ejecutivo n.° PCM-26-2007, y que se constituye como un
organismo técnico especializado del Poder Ejecutivo, encargado del desarrollo integral de la función de
control interno institucional y que informa jerárquicamente al presidente de la República.
Entre sus atribuciones está el desarrollo, coordinación, promoción, capacitación, evaluación, información,
asesoría y seguimiento del proceso de control interno en las entidades del Estado que, en el marco de las
normas generales o rectoras de control interno del TSC, debe establecer cada institución u organismo bajo
el ámbito de su competencia para lograr los objetivos previstos en su Plan Estratégico Institucional (PEI),
Planes Operativos Anuales (POA) y en sus respectivos Presupuestos Institucionales.
Su objetivo es asegurar razonablemente la efectividad del proceso de control interno institucional (CII) en
todas las entidades del Poder Ejecutivo en procura del logro de una gestión de la Hacienda Pública eficaz,
eficiente, responsable, transparente y proba, en el marco de la Constitución y Leyes de la República e
instrumentos que las desarrollan.
Para cumplir con su objetivo, entre sus funciones está desarrollar normatividad técnica específica de
control interno en el marco de las normas generales o rectoras emitidas o que emita el TSC y coordinar su
efectiva aplicación por los entes públicos, teniendo en cuenta las normas técnicas del Sistema de
Administración Financiera Integrada (SIAFI) del sector público y de los demás sistemas administrativos que
emitan los respectivos órganos rectores.
Por consiguiente, y en cumplimiento de las funciones que le confieren las leyes de la República de
Honduras, la ONADICI presenta la segunda edición de las “Guías para la Implementación del Control
Interno Institucional en el marco del SINACORP” (GICII) con sus cinco componentes, que reúne
lineamientos, herramientas y métodos que permitirá realizar una adecuada implementación del CII en la
gestión de las operaciones de la entidad, con la finalidad de fortalecer la organización y contribuir al logro
de los objetivos institucionales.
Las GICII han sido emitidas con base en documentos nacionales e internacionales que le proporcionan un
sólido marco conceptual de las fuentes siguientes:
• Marco Rector del Control Interno Institucional de los Recursos Públicos (MARE-CII-RP)
• INTOSAI GOV 9100 Guía para las normas de control interno del sector público
• INTOSAI GOV 9130 Guía para las Normas del Control Interno del Sector Público - Información
adicional sobre la Administración de Riesgos de la Entidad
• Control Interno – Marco Integrado (COSO 2013)
• Enterprise Risk Management—Integrating with Strategy and Performance (COSO 2017)
• Control Interno – Marco Integrado (COSO 1992).
Cabe destacar que los tres últimos documentos son de aplicación internacional tanto a la actividad privada
como pública, sea esta con o sin fines de lucro.
Las GICII están compuestas de la presente guía introductoria junto con las otras cinco por cada uno de los
componentes del CII, es decir:
Para una identificación adecuada del lector de las GICII, se ha establecido hipervínculos y la codificación
por guía, componente y sus prácticas obligatorias de implementación:
Las GICII hacen uso de términos genéricos que requieren ser puestos en el debido contexto para asegurar
una clara comprensión de su contenido en relación con lo dispuesto en otros documentos normativos.
Entre estos términos se tiene: entidad, servidor público, colaborador, responsable jerárquico e
implementar.
El término entidad es utilizado en el sentido más amplio para referirse a cualquier institución u
organización de la administración pública centralizada, instituciones desconcentradas e instituciones
autónomas descentralizadas, entre ellas las empresas públicas, así como los programas y proyectos del
Poder Ejecutivo.
El término servidor público debe entenderse en el sentido más restrictivo de su definición dado por la Ley
General de la Administración Pública en contraste con el sentido más amplio que le otorga la Constitución
de la República de Honduras. Es decir, servidor público es la persona natural que, independientemente de
su modalidad de contratación, ejerce funciones dentro de la administración pública nacional, tanto
centralizada, que incluye las entidades u órganos desconcentrados, como la descentralizada, que incluye
a las instituciones autónomas y dentro de ellas a los institutos públicos.
Para el caso específico de las empresas públicas, que al igual que los institutos públicos se encuentran
dentro de la administración pública descentralizada, se ha optado por utilizar el término colaborador para
aquella persona natural que, independientemente de su modalidad de contratación, presta sus servicios
para la empresa pública participando en sus procesos (estratégicos, operativos o de apoyo). El motivo para
distinguir y utilizar este término es estar acorde con la terminología actualmente utilizada en el ámbito
empresarial.
Se utiliza el término responsable jerárquico para referirse a aquel servidor público o colaborador de una
entidad que ocupa un cargo descrito en la estructura organizacional o en los manuales aprobados, distinto
a los de la Máxima Autoridad Institucional (MAI) y la Máxima Autoridad Ejecutiva (MAE), con capacidad
para tomar decisiones dentro de su ámbito de competencia y ejerciendo autoridad sobre otros servidores
públicos o colaboradores. Entre las diferentes denominaciones a las que hace referencia de forma genérica
se encuentran: directores, gerentes, jefes, supervisores, entre otros.
0.2. OBJETIVOS
Las “Guías para la Implementación del Control Interno Institucional en el marco del SINACORP” (GICII)
tienen como objetivo proveer de lineamientos, herramientas y métodos a las entidades del Poder
Ejecutivo para la implementación de los componentes que conforman el sistema de control interno
establecido en Marco Rector del Control Interno Institucional de los Recursos Públicos (MARE-CII-RP).
• Servir de referencia para la implementación o adecuación del CII, en concordancia con lo dispuesto
por el TSC a través del MARE-CII-RP
• Desarrollar y exponer con mayor detalle y amplitud los conceptos establecidos en el MARE-CII-RP.
Las GICII deben ser utilizadas por los servidores públicos o colaboradores de las entidades comprendidas
en el ámbito de competencia del Poder Ejecutivo, bajo la supervisión de la Máxima Autoridad Institucional
(MAI), la Máxima Autoridad Ejecutiva (MAE) y responsables jerárquicos de las áreas y unidades de la
administración gubernamental o de quienes hagan sus veces.
Las GICII ofrecen una estructura y metodología enunciativa y orientadora con las prácticas obligatorias y
sugeridas que contienen, pero no limitativa en la especificidad de cada entidad. Es decir, las entidades
deben desarrollar la implementación del CII de manera homogénea en lo general y de acuerdo con su
naturaleza, cultura organizacional, complejidad operativa, atribuciones, circunstancias, presupuesto,
infraestructura, entorno normativo y nivel de automatización que le corresponde a cada entidad pública
en lo particular.
Debe destacarse que el contenido de las GICII no interfiere ni se contrapone con las disposiciones
establecidas en la legislación actual, ni limita la normativa dictada por las entidades competentes con
respecto a los sistemas administrativos del Estado, sino que la complementa al procurar el adecuado
establecimiento e implementación del sistema de control interno.
El control interno tiene como propósito asegurar razonablemente que la gestión se está llevando a cabo
de manera adecuada, resguardando los recursos de la entidad y evitando pérdidas por errores, fraude o
negligencia, como también detectando las desviaciones de lo planificado que se presenten y que puedan
afectar al cumplimiento de los objetivos de la entidad.
“…tiene como propósito proporcionar los valores y criterios técnicos fundamentales en que debe basarse
el diseño y establecimiento del proceso de control interno de los recursos públicos al interior de los sujetos
pasivos de la Ley Orgánica del Tribunal Superior de Cuentas…”.
0.4.1.1. PROPÓSITO
Sistematizar el enfoque y contenido del marco del CII con base en la normativa emitida por el TSC,
organismo rector del control interno y externo, para la aplicación general, estructurada, técnica, uniforme
y ajustable del CII.
Ejemplo: entre los propósitos específicos del CII se pueden mencionar los siguientes:
Para ello resulta fundamental llevar a cabo un buen proceso de comunicación realizando actividades de
difusión y actualización del CII dirigidas a los servidores públicos o colaboradores a través de conferencias,
boletines de prensa y publicaciones sobre el control interno (ver ANEXO 1 y ANEXO 2).
“Los principios de control interno son los valores fundamentales, de carácter convencional, en los cuales se
basa el control de los recursos públicos al interior de los sujetos pasivos de la Ley 10‐2002‐E, Orgánica del
Tribunal Superior de Cuentas…”.
0.4.2.2. PROPÓSITO
Establecer los atributos generales de carácter filosófico humanístico, que se derivan de los valores
universales de probidad pública, los cuales son permanentes y constituyen los referentes para aplicar al
diseño e implementación del control interno.
Ejemplo: aplicar los principios de control interno en el desarrollo de los manuales de procedimientos y en
la normativa que regula el funcionamiento y operación de las entidades públicas.
“La actitud permanente de los servidores públicos acorde con la integridad, rectitud y demás valores
morales aceptados por la sociedad, constituye la base principal en que se fundamenta el control interno
institucional de los recursos públicos.”
0.4.3.2. PROPÓSITO
Mantener una actitud de cumplimiento de valores de integridad que compete al fuero interno, siendo
obligatorio, constante y concordante con el Código de Conducta Ética del Servidor Público.
Ejemplo: aceptación, implementación y práctica de los valores de integridad por todos los niveles de las
entidades públicas, por medio de la suscripción del acuerdo de compromiso con el código de conducta
ética (ver ANEXO 3).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-01: ÉTICA PÚBLICA y DECLARACIÓN TSC-PRICI-01-01. Código de
Conducta Ética del Servidor Público.
0.4.4. TRANSPARENCIA
“El conjunto de medidas de información y comunicación sobre la gestión y el acceso a ellas, son parte de
los fundamentos en que descansa un adecuado control interno institucional de los recursos públicos.”
0.4.4.2. PROPÓSITO
Comunicar la información necesaria a los grupos de interés, entre ellos los usuarios internos y externos de
los bienes y servicios que produce la entidad, no solo a solicitud sino a iniciativa de la propia gestión, de
forma continua y oportuna.
Ejemplo:
• Divulgación de los informes de gestión, así como informes acerca de la ejecución física y
presupuestaria al interior de la entidad
• Información actualizada en la página web de la entidad para consulta de los usuarios directos y de
otros organismos públicos, privados y de la sociedad civil (ver ANEXO 4).
• Para los servicios brindados a los usuarios, se debe mantener un flujo de información adecuado
para poder medir y determinar el nivel de calidad de los servicios y la satisfacción de los usuarios
(ver ANEXO 11).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-02: ÉTICA PÚBLICA y DECLARACIÓN TSC-PRICI-02-01. Ley de
Transparencia y Acceso a la Información Pública.
0.4.5. LEGALIDAD
“El acatamiento o cumplimiento de las disposiciones legales que regulan los actos administrativos y la
gestión de los recursos públicos, así como de los reglamentos, normas, manuales, guías e instructivos que
las desarrollan, es el primer propósito del control interno institucional.”
0.4.5.2. PROPÓSITO
Ejemplo:
• Los manuales deben incluir la base legal que da sustento y se relaciona con su cumplimiento al
interior de la entidad
“Responder o dar cuenta de la forma y resultados de la gestión pública, es un deber de los servidores
públicos en los diferentes niveles de responsabilidad de la estructura organizacional de los entes públicos,
cuyo adecuado cumplimiento es un propósito esencial del proceso de control interno institucional.”
Debe indicarse que la rendición de cuenta, además del sentido económico y financiero que siempre se
aplica, también debe incluirse los resultados de la gestión, es decir el logro de los objetivos encomendados.
0.4.6.2. PROPÓSITO
Ejemplo: informes de gestión institucional y de ejecución presupuestaria periódicos para uso interno y
para difusión interna y externa sobre el logro de los objetivos y el cumplimiento de las responsabilidades
asignadas a nivel institucional y aprobados por la MAE (ver ANEXO 6).
0.4.7. COMPLEMENTARIEDAD
“El proceso de control interno institucional es complementario del control externo independiente que le
corresponde ejercer al Tribunal Superior de Cuentas, TSC y viceversa.”
0.4.7.2. PROPÓSITO
Ejemplo: informes de autoevaluación del CII aplicados por la entidad que son la base para el
establecimiento de los planes de mejora continua, la evaluación de la Unidad de Auditoría Interna (UAI) y
la auditoría externa por el TSC (ver ANEXO 7).
0.4.8. PREVENCIÓN
“Prevenir los fraudes, irregularidades y errores en la gestión de los recursos públicos y el riesgo del logro
de los objetivos y metas, es el propósito primordial del control interno institucional.”
0.4.8.2. PROPÓSITO
Ejemplo: establecer por escrito en los documentos de gestión (manuales, reglamentos, entre otros) los
criterios clave de aplicación obligatoria en el autocontrol de las operaciones (ver ANEXO 8).
0.4.9. AUTORREGULACIÓN
“Los entes públicos deben tener un razonable nivel de autonomía regulatoria para el logro eficaz de los
objetivos y metas institucionales de la gestión a efecto de poder dar cuenta pública al respecto.”
0.4.9.2. PROPÓSITO
Disponer de criterios normativos específicos, claros y detallados propios para las actividades sustantivas
en la prestación de bienes y servicios.
Ejemplo: el contenido del CII específico de la entidad, enfocando los objetivos misionales y las actividades
de apoyo y asesoría para garantizar su cumplimiento (ver ANEXO 9).
0.4.10. INTEGRACIÓN
“Las técnicas, mecanismos y elementos de control interno deben estar inmersos, integrados o incorporados
en los procedimientos de los sistemas administrativos, de tal forma que sean parte natural de los mismos.”
0.4.10.2. PROPÓSITO
Asegurar que el control interno forme parte de todas las actividades que se llevan a cabo para la prestación
de bienes y servicios, internos o externos, y para el logro de los objetivos institucionales, de los procesos
y áreas de la entidad.
Ejemplo: establecer por escrito en los documentos de gestión (manuales, reglamentos, procedimientos,
entre otros) los puntos clave de control para garantizar el éxito de las operaciones y el cumplimiento de
los objetivos; generar informes acerca del desempeño de los procesos desarrollados en la entidad (ver
ANEXO 10).
0.4.11. INTEGRALIDAD
“El proceso de control interno de los recursos públicos es esencialmente integral pues su alcance debe cubrir
los aspectos de acatamiento de la legalidad, los de carácter contable financiero y los de carácter
operacional o de gestión.”
0.4.11.2. PROPÓSITO
Procesos integrados a partir de la prestación del servicio y completados con la satisfacción del usuario; es
decir, participativos, abiertamente discutidos, consensuados y socializados entre todas las áreas.
Ejemplo: mesas de trabajo en donde se discuten todos los procesos con el fin de que estos queden
establecidos de acuerdo con las necesidades de las áreas, el logro de los objetivos y de la entidad en su
conjunto otorgándole así integralidad.
0.4.12. AUTOCONTROL
“El control interno de los recursos públicos es esencialmente un proceso de auto control aplicado por los
servidores públicos, bajo su propia responsabilidad, sobre las operaciones o actividades a su cargo.”
0.4.12.2. PROPÓSITO
La alta dirección y sus colaboradores mediante un proceso de control, a iniciativa y por cuenta propia,
deben asegurar permanentemente que las transacciones y operaciones cumplan los criterios de legalidad,
veracidad, exactitud y propiedad.
Ejemplo: diseño de los procesos con base en los controles clave por área de responsabilidad para asegurar
su agilidad y garantizar la legalidad, veracidad y propiedad de las transacciones, operaciones y productos
(ver ANEXO 12).
El establecimiento de los controles se hace con base en los riesgos identificados y valorados, con criterio
técnico, y dentro del ámbito de competencia o participación de cada área en el proceso, y no como
comúnmente ocurre de un área controlando a otra.
0.4.13. AUTOEVALUACIÓN
“Los propios servidores públicos de un grupo, unidad o área específica de un ente público, deben evaluar
la efectividad de los controles internos aplicados en la gestión de las operaciones a su cargo, por convicción
de la importancia y utilidad del control.”
0.4.13.2. PROPÓSITO
Ejemplo: el taller de autoevaluación del CII realizado por la administración para conocer y evaluar el
funcionamiento del CII en la entidad, y a partir de allí formular el plan de mejoras (ver ANEXO 7 y ANEXO
13).
“El ciclo del proceso de control interno se cierra con la evaluación de su efectividad, que permanentemente
y con criterio independiente de las operaciones debe efectuar la auditoría interna.”
0.4.14.2. PROPÓSITO
Evaluar anualmente el funcionamiento del CII y emitir el dictamen independiente e informe de resultados,
de manera completa y con criterio profesional, objetivo, amplio y proactivo e informado a la MAE para la
toma de decisiones.
Ejemplo: informe de evaluación del CII a la entidad aplicado por la UAI, incluye las recomendaciones para
mejorar y comparar sus resultados con los del informe de autoevaluación de la administración activa, y en
el caso que las diferencias de calificación entre ambas evaluaciones superen ± 5% deben ser objeto de
análisis (ver ANEXO 14).
“Los preceptos de control interno de los recursos públicos son las condiciones o criterios, de carácter
técnico, a que debe ajustarse el ejercicio de la gestión pública institucional de dichos recursos.”
0.5.1.1. PROPÓSITO
Asegurar un nivel óptimo de calidad en el manejo, uso e inversión de los recursos públicos con base en
valores técnicos, una adecuada aplicación de la gerencia pública, y con un enfoque para resultados.
0.5.2. PLANEACIÓN
“El control interno de gestión de los entes públicos debe apoyarse en un sistema de planeación para
asegurar una gerencia pública por objetivos.”
0.5.2.2. PROPÓSITO
Asegurar de forma sistemática y periódica el uso eficiente y eficaz de los recursos disponibles para cumplir
los objetivos institucionales, de forma global, formalizada, ajustable y proactiva.
Ejemplo: el PEI, del cual se deben elaborar los POA, que determinan los objetivos y metas principales a
lograr en cada área por periodo y los indicadores a utilizar en la evaluación de la gestión de los resultados
alcanzados a lo largo de un año, utilizándose como base para la elaboración del correspondiente
presupuesto.
0.5.3. EFICACIA
“Asegurar la eficacia de la gestión pública en el marco de los principios y preceptos rectores de control
interno es el objetivo primordial del control de los recursos públicos y de la gerencia pública.”
0.5.3.2. PROPÓSITO
Ejemplo: establecer los objetivos relevantes de cada área y en general de la entidad dentro del marco de
las acciones coordinadas del Comité de Coordinación Institucional (ver 1.13), registrar las operaciones y
evaluar el avance en sus logros físicos y financieros, a través del monitoreo periódico del POA y el uso de
indicadores.
0.5.4. ECONOMÍA
“La economía razonable de los recursos insumidos en el logro de los objetivos y metas programadas por
los entes públicos, es uno de los resultados propios de un adecuado proceso de control interno
institucional.”
0.5.4.2. PROPÓSITO
Cumplir los objetivos misionales de la entidad al mejor costo accesible, sin sacrificar los estándares de
calidad.
Ejemplo: compra de una vacuna de excelente calidad a un precio razonable, de acuerdo con los estándares
internacionales establecidos por la Organización Mundial de la Salud (OMS), estableciendo los controles
clave de su administración y aplicación al beneficiario final (grupo objetivo).
0.5.5. EFICIENCIA
“El nivel óptimo de eficiencia en la prestación de los servicios o en el logro de los objetivos, metas o
resultados presupuestados de un ente público, es el resultado final esperado del control interno de
gestión.”
0.5.5.2. PROPÓSITO
Ejemplo: dotación de recursos equitativos según sea la entidad tipo A, B o C, y el bien o servicio que presta,
para alcanzar los objetivos con la menor cantidad de recursos.
0.5.6. CONFIABILIDAD
0.5.6.2. PROPÓSITO
Sistematizar y difundir el contenido, períodos y detalles de la información con el fin de facilitar su manejo
y asegurar que sus fuentes son reales y fidedignas, orientadas a los informes de gestión sobre la producción
institucional, los cuales deben ser formales, amplios, periódicos, públicos, comparativos y de fácil
comprensión para los usuarios.
Ejemplo: disponer de registros formales y documentados como base para la preparación de la información
periódica, oportuna, comparativa y autorizada para la toma de decisiones; incluye mantener archivos
ordenados, actualizados y de fácil acceso para los usuarios.
0.5.7. PRIORIZACIÓN
“La programación de auditorías internas debe priorizarse hacia las áreas, operaciones y actividades más
importantes con relación al logro de los objetivos institucionales y dentro de éstas a las más críticas, débiles
o de mayor riesgo.”
0.5.7.2. PROPÓSITO
La UAI debe enfocarse hacia las actividades generadoras de valor agregado, de forma selectiva, oportuna,
con calidad, orientada a resultados relevantes y con evaluación de riesgos.
Ejemplo: evaluaciones de auditoría general o especial con base en riesgos establecidos en una matriz de
riesgos y priorizadas hacia la prestación de los servicios públicos, con base en la evaluación de los controles
internos y su importancia.
0.5.8.1. PROPÓSITO
Asegurar que las actividades en la generación de productos de la entidad sean amigables con el
medioambiente, mediante la conservación de los recursos renovables y no renovables y minimizando los
efectos producidos por la contaminación y el cambio climático.
Ejemplo: reciclaje de papel, cartón y plásticos, ahorro de energía eléctrica y agua, disminución de
contaminante en aire y agua, siembra y cuidado de árboles, uso de tecnología, entre otros.
0.6.1.1. PROPÓSITO
ii) Facilitar su adecuado desarrollo por el Poder Ejecutivo y, en general, por todos los entes pasivos…
iii) Garantizar que la aplicación de los controles internos se efectúe dentro de un marco uniforme en los
entes públicos...
Ejemplo: implementación del SCI y el CII en cada entidad del Estado con base en la estructura de control
interno de cinco componentes (ambiente de control, evaluación y gestión de riesgos, actividades de
control, información y comunicación, y supervisión y monitoreo), tres categorías de objetivos y los niveles
organizacionales de la entidad, y de acuerdo con lo establecido en las GICII las normas emitidas por el TSC.
“…cada Norma General se acompaña de una explicación básica, que es parte integral de la Norma,
identificada con la palabra Declaración seguida del Código de la Respectiva Norma y de un número
consecutivo de dos dígitos para cada declaración; …”.
0.6.2.2. PROPÓSITO
Facilitar el manejo, ubicación y aplicación ordenada de las NOGECI y sus criterios técnicos en la
implementación del CII en la entidad. Asimismo, facilita la evaluación y comparación de sus avances entre
las entidades del Estado.
Ejemplo: “…en el caso de la primera Declaración sobre la primera Norma General del Capítulo II del
presente Título II el código es: Declaración TSC‐NOGECI II‐1.01‐01”.
“El control interno, de conformidad con el Artículo 2 de la Ley Orgánica del Tribunal Superior de Cuentas,
es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las
entidades públicas, con el propósito de asistir a los servidores públicos en la prevención de infracciones a
las Leyes y a la ética, con motivo de su gestión y administración de los bienes nacionales y alcanzar, de
conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos siguientes:
2) Proteger los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto
ilegal;
El control interno como proceso forma parte de un sistema administrativo denominado SINACORP, tal
como se indica en el numeral 0.7.2, del cual el TSC es el ente rector, y cuyo propósito es asegurar
razonablemente el logro de los objetivos institucionales, a través de una metodología con base en
estándares internacionales de desempeño (mejores prácticas). Asimismo, en términos más específicos se
tiene que el Sistema de Control Interno (SCI), el cual cuenta con una estructura dentro de la cual ocurre el
proceso de control interno institucional (CII), es a su vez parte fundamental de lo que conocemos como
los Sistemas de Gestión de la Entidad. A continuación, la Figura 1 resume gráficamente lo anteriormente
señalado.
Figura 1
Jerarquía del sistema de control interno
Sistemas de gestión de la
entidad
0.7.1.2. PROPÓSITO
Armonizar el concepto de control interno institucional y los objetivos de la entidad, de forma integral, con
un enfoque a resultados sustantivos, a cumplimiento legal, eficiencia y eficacia. Es decir, asegurar
razonablemente el logro de los objetivos institucionales a través de una metodología con base en
estándares internacionales de desempeño (mejores prácticas).
Ejemplo: la MAE de cada entidad difunde el CII y autoevalúa sus operaciones (ver ANEXO 15).
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-01 DEFINICIÓN Y OBJETIVOS y DECLARACIÓN TSC-NOGECI
II-01.01.
“El proceso de control interno institucional, como elemento del Sistema Nacional de Control de los Recursos
Públicos, está bajo la rectoría permanente del Tribunal Superior de Cuentas, para asegurar de manera
razonable la uniformidad en el desarrollo y aplicación de los componentes de dicho proceso y cumplir un
eficaz rol de complementariedad del control externo a posteriori del Tribunal Superior de Cuentas, en
función del adecuado recaudo manejo e inversión de los recursos y del logro de los objetivos
institucionales.”
0.7.2.2. PROPÓSITO
Establecer el ente rector y entidades competentes para regular en lo general y lo específico el CII con
criterios uniformes y de aplicación homogénea en cada entidad.
La ONADICI desarrolla, en el marco de las normas generales de control interno emitidas por el TSC, la
normativa técnica específica, la capacitación y la asesoría; todo ello a efecto de coadyuvar y velar por la
adecuada implementación del CII en las entidades en la aplicación del contenido de las Guías 0 a la 5.
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-02 RECTORÍA DEL CONTROL INTERNO y DECLARACIÓN
TSC-NOGECI II-02.01.
0.7.3.2. PROPÓSITO
La MAE debe establecer los niveles de autoridad y responsabilidad compartida para el diseño, aplicación
y evaluación continua del CII, que posibilite la asignación de funciones en la generación de los productos
institucionales.
Ejemplo: la MAI emite una política titulada POLÍTICA SOBRE RESPONSABILIDAD COMPARTIDA DEL CII (ver
ANEXO 16).
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-03 RESPONSABILIDAD POR EL CONTROL INTERNO y
DECLARACIÓN TSC-NOGECI II-03.01.
“El proceso de control interno de los entes públicos, sujetos pasivos de la LOTSC, está integrado por los
siguientes componentes:
1) Ambiente de Control,
3)Actividades de Control,
4) Información y Comunicación, y
5) Monitoreo y Seguimiento.”
0.7.4.2. PROPÓSITO
Formalizar los componentes del CII para conocimiento de todos los servidores públicos o colaboradores,
de forma sistematizada y para su aplicación obligatoria en la entidad y para conocimiento de la ciudadanía.
Ejemplo: cada entidad integra los componentes del CII en su estructura de funcionamiento (ver ANEXO
17).
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-04 COMPONENTES DEL PROCESO DE CONTROL INTERNO
y DECLARACIÓN TSC-NOGECI II-04.01.
“En el proceso de control interno institucional intervienen dos componentes orgánicos: La Administración
Activa y la Auditoría Interna.”
0.7.5.2. PROPÓSITO
Identificar a los principales ejecutores del CII en las entidades públicas, así como la autoridad, funciones
específicas y resultados de la aplicación, y el correspondiente aseguramiento a cargo de la UAI.
Ejemplo:
• La administración activa está conformada por las leyes, reglamentos y otras disposiciones
aplicables, el personal disponible, los recursos materiales, financieros y tecnológicos, y lo más
importante, los bienes o servicios que produce o presta la entidad a la comunidad.
• La auditoría interna tiene la función de aseguramiento del diseño y funcionamiento del CII, así
como la asesoría en materia de control principalmente a la MAI, como también a la MAE y a otras
instancias de gestión.
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-05 COMPONENTES ORGÁNICOS DEL CONTROL INTERNO y
DECLARACIÓN TSC-NOGECI II-05.01.
Las GICII reúnen lineamientos, herramientas y métodos que permiten realizar una adecuada
implementación del CII en la gestión de las operaciones de la entidad, con la finalidad de fortalecer la
organización y contribuir al logro de sus objetivos, siempre de acuerdo con la naturaleza de sus actividades.
Las GICII han sido elaboradas con base en los siguientes documentos nacionales e internacionales que le
proporcionan su marco conceptual:
• Marco Rector del Control Interno Institucional de los Recursos Públicos (MARE-CII-RP), Tribunal
Superior de Cuentas de la República de Honduras, 2009
• INTOSAI GOV 9100 Guía para las normas de control interno del sector público, Organización
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2016
• INTOSAI GOV 9130 Guía para las Normas del Control Interno del Sector Público - Información
adicional sobre la Administración de Riesgos de la Entidad, Organización Internacional de
Entidades Fiscalizadoras Superiores (INTOSAI), 2007
Contiene un “Modelo de gestión” que da soporte a las prácticas obligatorias incluidas en las GICII, que
contribuyen a una implementación eficaz del CII.
Después de más de veinte años de aplicación del marco integrado de control interno emitido por COSO en
1992, el cual tuvo gran aceptación y se posicionó para ser usado internacionalmente, se publicó un nuevo
marco de control interno conocido como “COSO 2013” que procura responder a las exigencias de los
cambios en los entornos de negocios y operativos de la última década.
El modelo actual de COSO 2013 ha hecho énfasis en el mejoramiento del control interno y del gobierno
corporativo, buscando responder a la necesidad pública de un mejor manejo de los recursos públicos o
privados en cualquier tipo de organización, como consecuencia de los numerosos escándalos, crisis
financieras y fraudes ocurridos en diferentes países.
En mayo de 2013, COSO emitió la actualización del marco integrado de control interno, "COSO 2013",
que sustituye al anterior del año 1992.
El marco del 2013 facilita su uso y aplicación teniendo en cuenta los cambios en el entorno y los negocios,
articulando y formalizando los principios asociados a los componentes de control interno que deben estar
presentes (los cuales ya estaban implícitos en el modelo anterior de 1992) y aclarando los requisitos de un
control interno eficaz, incentivando a los usuarios a ampliar la aplicación del sistema de control interno en
objetivos adicionales, tal como se aprecia en la Figura 2.
Figura 2
Mejoras en el marco integrado de control interno 2013
Se puede señalar cambios en dos de las dimensiones del cubo, es decir en los objetivos y la estructura de la
entidad. En el primer caso, el objetivo de los informes deja de estar relacionado únicamente con los informes
financieros para pasar a estarlo con todos los informes que se manejan en la entidad, especialmente los
relacionados con la misión de la entidad. En el segundo caso, ahora la aplicación del modelo es con todos los
niveles de la estructura de la entidad. Lo anterior se aprecia en la siguiente Figura 3 que muestra los cambios
en la estructura del cubo de COSO (estructura de control interno).
Figura 3
Cambios en cubo de COSO
El modelo actual COSO 2013 cuenta con diecisiete (17) principios fundamentales asociados a los cinco (5)
componentes, los cuales se enuncian a continuación en la Figura 4.
Figura 4
Principios que soportan los componentes del control interno
Evaluaciónde • (6) Define los objetivos para permitir la identificación y evaluación de los riesgos relacionados
• (7) Identifica y analiza los riesgos para la consecución de sus objetivos en todos los niveles de la entidad
• (8) Evalúa el riesgo de fraude
riesgos • (9) Identifica y analiza los cambios significativos
Actividades de • (10) Define y desarrolla actividades de control para mitigar riesgos y lograr objetivos
• (11) Define y desarrolla controles sobre la tecnología para el logro de los objetivos
control • (12) Despliega actividades de control para implementar políticas y procedimientos
Información y • (13) Obtiene o genera y utiliza información relevante y de calidad para el control interno
• (14) Comunica internamente
comunicación • (15) Comunica externamente
Actividades de • (16) Lleva a cabo evaluaciones continuas o independientes para determinar efectividad del sistema de control interno
supervisión • (17) Evalúa y comunica las deficiencias oportunamente a los responsables de aplicar medidas correctivas
Fuente: Resumen Ejecutivo, Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013.
Las prácticas obligatorias contenidas en las GICII se encuentran sobre la base de un modelo genérico de
gestión de las entidades del Estado que está fundamentado en los principios y preceptos del CII enunciados
en el marco rector.
El modelo de gestión tiene dos propósitos. Primero, suministra soporte para la implementación de las
GICII, dado que las actividades, transacciones y el flujo de información se encuentran representados
gráficamente en la figura del modelo de gestión.
Segundo, puede ser usado como un punto de partida para entender las actividades de gestión de la entidad
y su relación con la información que es generada y usada para el control de esas actividades. Cuando se
usa de esta manera, el modelo genérico de gestión debe ser adaptado a la medida de la entidad que va a
ser o está siendo evaluada.
La Figura 5 que se muestra a continuación da cuenta del modelo genérico de gestión de las entidades del
Estado, de acuerdo con la normativa vigente.
Figura 5
Modelo de gestión de las entidades del Estado
ORGANIZACIÓN EVALUACIÓN
PEI
Informes de
Indicadores
gestión
*
POA Presupuesto
TAECII Evaluación
separada UAI
Sistemas de información
0.8.2.1. ORGANIZACIÓN
Está referida a todos los elementos de la estructura organizacional de la entidad, incluyendo políticas,
pautas, manuales de puestos y salarios, manuales de funciones, reglamentos, procedimientos, registros,
comités, se destaca el COCOIN debido al compromiso coordinador de la implementación del CII según las
GICII.
Debe considerarse que las entidades del Estado tienen órganos de dirección de dos tipos:
a. Órgano de dirección unipersonal, como las secretarías de Estado, en cuyo caso el órgano de
dirección también es el órgano de administración y por lo tanto la Máxima Autoridad Institucional
(MAI) es también la Máxima Autoridad Ejecutiva (MAE); nótese que la Unidad de Auditoría Interna
(UAI) es un órgano de asesoramiento y consulta dependiente, estructuralmente de la MAI que es
también la MAE, pero no funcionalmente para mantener su independencia (ver Figura 6).
Figura 6
Organigrama típico de una entidad con órgano de dirección unipersonal
MAI (MAE)
UAI
Órgano de dirección colegiado, como por las entidades que cuentan con junta directiva, concejo o consejo
directivo, consejo universitario, directorios, concejo o consejo municipal, pleno de magistrados, entre
otros, se tiene que el órgano de dirección corresponde a la Máxima Autoridad Institucional (MAI) y está
separado del órgano de administración que corresponde a la Máxima Autoridad Ejecutiva (MAE); nótese
que la Unidad de Auditoría Interna (UAI) es un órgano de asesoramiento y consulta dependiente de la MAI.
Sin embargo, en este tipo de entidades la MAE es responsable de la ejecución de las políticas y decisiones
aprobadas por la MAI (ver Figura 7).
Figura 7
Organigrama típico de una entidad con órgano de dirección colegiado
MAI
UAI
MAE
Es la herramienta elaborada y aprobada por la MAE que determina los objetivos y metas de una entidad
para el largo plazo, ejecutándose el PEI a través de los POA. Su dimensión en el tiempo depende del tipo
de organización y puede variar desde cuatro (4) a más años. Se revisa y actualiza al menos una vez por
año, con el fin de ajustarlo a los cambios, limitaciones y resultados.
El PEI debe estar orientado contribuir al diseño del cumplimiento de los objetivos y metas planteados en
los instrumentos de planificación gubernamental como: Plan de Nación, Visión de País, Honduras 20 – 20
y aquellos definidos como prioridades presidenciales.
En su elaboración, se debe contar con la participación activa de los representantes de todos los niveles
jerárquicos de todas las áreas de la entidad, siendo recomendable que todas las disciplinas laborales de la
entidad estén representadas al momento su formulación con el propósito de contar con diferentes
enfoques que le proporcionen integralidad.
El PEI debe contener una visión definida de lo que la entidad quiere alcanzar durante su vigencia,
constituyéndose en una fuente de inspiración y compromiso para todos los servidores públicos o
colaboradores de la entidad. Debe ser realista y factible de lograr dentro del tiempo de su vigencia y de
acuerdo con todos los recursos y obligaciones con que cuenta la entidad.
La misión debe ser construida dentro del marco establecido en la Ley de creación de la entidad o Ley
orgánica, u otro instrumento legal que da origen a la entidad, según sea el caso. De ninguna manera puede
ser reformulada sin considerar las funciones y atribuciones definidas en la normativa señalada
anteriormente. Asimismo, esta normativa también proporciona información acerca de los objetivos y
funciones de la entidad.
Para efecto de las entidades del Poder Ejecutivo, la formulación del PEI debe cumplir con los lineamientos
técnicos y disposiciones dictados por la Secretaría de Coordinación General de Gobierno, a través de la
Dirección Presidencial de Planificación Estratégica, Presupuesto, Inversión Pública y Cooperación Externa
que es el órgano que se encarga de regular y normar el Sistema Nacional de Planificación.
Ejemplos de herramientas utilizadas para la formulación del PEI: (i) el análisis PEST o SEPTE, (ii) el análisis
SWOT o FODA, (iii) el método SMART para objetivos, (iv) el método de planeación Hoshin Kanri y
especialmente (v) la matriz de riesgos estratégicos, entre otros.
El POA es un instrumento oficial de gestión que se desprende del PEI de la entidad, su periodo de
programación y ejecución es de un (1) año.
Para su formulación, la cual está a cargo de cada una de las áreas y unidades de la entidad, se debe
coordinar con el área de planificación, que es la que se encarga de regular, guiar y orientar su formulación
y consolidación.
Cada responsable jerárquico de área o unidad elabora el POA que le corresponde con la participación y
colaboración de sus subordinados. El documento debe contener los objetivos, metas y productos del área
o unidad, los cuales aportan para el logro de los objetivos estratégicos establecidos en el PEI. Se debe
identificar y definir los objetivos, metas y productos del área o unidad, asignándoles los recursos
pertinentes, e incluyendo aquellos productos o acciones que no necesariamente están asociados a
partidas presupuestarias. Es decir, todo lo que el área o unidad debe lograr para contribuir a los objetivos
estratégicos relacionados con sus funciones en el periodo de un (1) año.
Cabe mencionar que este documento de gestión sirve como instrumento para la coordinación entre las
áreas o unidades, y las principales actividades a realizarse en la entidad.
Antes de consolidarse en un único documento institucional, debe ser discutido con la participación de la
MAE y los responsables jerárquicos de las áreas o unidades con fines de aseguramiento, coordinación y
factibilidad. La MAE es responsable de su aprobación y difusión a todo el personal de la entidad clasificado
por área. Cada responsable jerárquico de área debe asegurarse que el personal a su cargo conoce el POA
y en especial lo que corresponde a su área.
Su revisión y actualización debe ser periódica (al menos cada dos o tres meses) y se hace con base en las
revisiones del cumplimiento de objetivos, realizadas de forma bimestral (o trimestral), por los
responsables jerárquicos de las áreas con la MAE.
Adicionalmente, debe indicarse que es un instrumento esencial para la rendición de cuentas con base en
los resultados (por lo general de forma trimestral), los cuales deben ser incluidos en los informes de
gestión.
0.8.2.4. PRESUPUESTO
El presupuesto es formulado por las entidades a partir de las necesidades priorizadas de las áreas de cada
entidad tomando como base el POA (ver 0.8.2.3) y el PACC (ver 0.8.2.5) presentado por cada área en
función del cumplimiento de sus objetivos, metas y productos definidos en el POA y enviado a la Secretaría
de Finanzas (SEFIN) para su consolidación. SEFIN, una vez consolidados todos los presupuestos del Estado
es enviado al Congreso Nacional para su aprobación.
Cada entidad, con el presupuesto aprobado inicia su ejecución en función de los objetivos y metas
establecidas en el POA.
Para efectos de implementación de las GICII, el POA general de la entidad incluye al “POA-Presupuesto”
toda vez que los productos de las áreas o unidades no necesariamente están asociados a partidas
presupuestarias.
Cada responsable jerárquico de área o unidad debe ser responsable por la ejecución y cumplimiento legal
del presupuesto asignado a su área, bajo la aprobación de la MAI o la MAE, según sea el caso.
Este instrumento de gestión es elaborado con base en la Ley de Contratación del Estado y su reglamento
y los lineamientos técnicos emitidos por la Oficina Normativa de Contratación y Adquisiciones del Estado
(ONCAE), poniéndose en conocimiento de los entes que correspondan.
En este documento de gestión, cada responsable jerárquico de área o unidad, con la colaboración de su
personal, emite el requerimiento de los insumos necesarios para desarrollar las actividades que conducen
al logro de los objetivos del POA, y, en consecuencia, contribuyen al logro de los objetivos estratégicos
establecidos en el PEI.
Al igual que el POA y POA-Presupuesto, el PACC debe ser discutido y aprobado por la MAE. Para ello cada
responsable jerárquico de área o unidad debe sustentar y explicar sus requerimientos y cómo estos
permiten alcanzar los objetivos y metas propuestos en el POA, y cómo estos últimos conducen al logro de
los objetivos y metas estratégicas de la entidad.
Es necesario indicar que existe una vinculación de tipo “cadena de valor” entre el PACC, el POA-
Presupuesto, el POA y por último el PEI. Expresado de otra manera, los cuatro documentos de gestión
funcionan como engranajes que deben estar correctamente sincronizados para el logro de la visión, misión
y objetivos de la entidad en el corto, mediano y largo plazo, tal como se representa en la Figura 5.
Como producto de la formulación del PEI, POA, POA-Presupuesto y PACC, se diseñan un conjunto de
indicadores de gestión que permiten medir y darles seguimiento a su ejecución, corregir posibles
desviaciones y evaluar el avance de su implementación. Estos instrumentos permiten evaluar su alineación
y coherencia entre el PEI, POA, POA-Presupuesto y PACC.
Los indicadores de gestión proporcionan información acerca del estado situacional del cumplimiento de la
misión, objetivos, metas y productos que se han establecido en la planificación de la entidad.
Existe un dicho conocido en la administración que dice que “no se puede gestionar lo que no se puede
medir, así como tampoco se puede mejorar lo que no se mide”.
Los indicadores sirven también para identificar las fortalezas, debilidades y riesgos. Las fortalezas son
fundamentales para mantener el compromiso de todos en la organización y así preservar la reputación de
la entidad. La identificación de las debilidades puede generar resistencia entre los responsables, para lo
cual la MAE de la entidad debe mostrar habilidad en gestionar y propender a que asuman un compromiso
en el establecimiento de mejoras, otorgándoles para ello todo el apoyo que resulte necesario.
En la formulación de los indicadores y en la formulación, ejecución e interacción del PEI, POA, POA-
Presupuesto y PACC, se identifican un conjunto de riesgos que deben ser adecuadamente gestionados,
estableciendo las correspondientes actividades de control que conduzcan a asegurar razonablemente el
logro de los objetivos en todos los niveles de la organización.
Los indicadores y los riesgos proporcionan información primordial que debe ser considerada para la toma
de decisiones, siendo comunicados a la MAE por los responsables jerárquicos de las áreas y unidades a
través de los informes de gestión.
El plan anual de implementación de mejoras (PAIME) (ver ANEXO 59) es un documento de gestión, que se
elabora por la compilación de los planes de acción para deficiencias reportadas (PADE) (ver ANEXO 58),
siendo estos últimos formulados a partir de las conclusiones y recomendaciones consignadas en los
siguientes cinco (5) informes:
• Informes de gestión
El PAIME busca solucionar situaciones adversas a los objetivos y resultados esperados y también identificar
potenciales escenarios que conducirían a elevar los niveles de rendimiento de las áreas y procesos de la
entidad. En términos simples, se trata del compromiso que tiene la MAE, los responsables jerárquicos de
las áreas y unidades y todos los empleados con la entidad, sus clientes y usuarios, el Estado y la ciudadanía
en general.
0.8.2.8. PROCESOS
Los procesos son los flujos secuenciales y lógicos de insumos para lograr los productos que genera la
entidad, así como los flujos de información que hacen posible la producción de bienes y servicios en
cumplimiento de su mandato legal, a través de los actos de gestión.
Cada responsable jerárquico de las áreas o unidades es responsable de diseñar, ejecutar, evaluar y
actualizar y mejorar los procesos de su competencia. Ello facilita que cualquier nuevo personal que ingrese
al área seguirá lo establecido en los manuales de procesos y procedimientos. Estos procesos tienen que
estar identificados, formalmente documentados y aprobados por la MAE, y adecuadamente gestionados
para garantizar el logro de los objetivos previstos en el PEI y el cumplimiento de la misión institucional.
Es importante que la entidad cuente con un mapa de procesos, su descripción y diagramas de flujo
correspondientes, con el fin de poder establecer las prioridades o criticidad en los mismos. Esto es útil
para la orientación de los recursos a la implementación de un sistema integrado de gestión, un sistema de
gestión de la calidad o la gestión integral de riesgos, entre otros.
Los procesos conectan las funciones de la entidad, siendo transfuncionales y los resultados están
destinados para clientes y usuarios externos e internos, en los que se convierten a su vez en insumos de
otros procesos internos.
Es necesario mencionar que el PEI, POA, POA-Presupuesto y PACC establecidos en el modelo de gestión,
son resultados de procesos entre sí, relacionándose directamente con la formulación de indicadores para
la gestión.
Toda entidad opera con base en procesos, recomendándose como buena práctica que se tengan
prestablecido en un documento formal aprobado por la MAE, evitar desarrollar los procesos de forma
empírica e informal como sucede en algunas entidades.
• Evaluar el cumplimiento del PEI y las metas establecidas en los POA con los costos directos e
indirectos asociados con los productos
• Generar confianza en los usuarios interno y los destinatarios finales de los bienes y servicios que
produce la entidad.
La implementación del CII a través del modelo de gestión está sobre la base de la mejora continua,
siguiendo las etapas del denominado ciclo PDCA (plan-do-check-act) o PHVA (planear-hacer-verificar-
actuar), tal como se puede apreciar en la Figura 8.
La etapa de “verificar” del modelo de implementación del CII corresponde a la ejecución de las actividades
de control que tienen por propósito las conclusiones y recomendaciones de los informes emitidos por la
administración y la auditoría, externa y la ONADICI.
Para la implementación del CII se toman en consideración los siguientes documentos: (i) informe del
TAECII, (ii) informes de gestión, (iii) informe de la evaluación separada a cargo de la UAI, (iv) informes de
auditoría interna realizados por la UAI, (v) informes de auditoría externa y (vi) recomendaciones y
disposiciones de la ONADICI; tal como se muestra en la guía 5.
El TAECII es el diagnóstico de la situación del CII con base en una metodología que explica la forma en que
deben ser llenados en forma objetiva los cuestionarios y recoge la información de los encuestados
(percepción), que luego es procesada por el COCOIN procurando el cruce con las evidencias existentes en
cada caso.
Del resultado del TAECII por componente y área, y las recomendaciones de los otros informes, deben
tomarse las decisiones por la MAE para su plan de mejora con el seguimiento oportuno de cada
responsable jerárquico del área y unidad y el aseguramiento por parte de la UAI. Esta etapa corresponde
a “actuar”.
A partir de las conclusiones y recomendaciones se generan los compromisos de mejora para quienes
lideran las funciones y los procesos de la entidad, los cuales se formalizan a través de la formulación de los
correspondientes planes de acción para deficiencias reportadas (PADE) (ver ANEXO 58), en los cuales cada
responsable jerárquico formula su respectivo proyecto para subsanar o mejorar la debilidad o deficiencia
identificada y reportada. Estas actividades corresponden a la etapa de “planear”.
De la compilación de todos los PADE formulados por las respectivas áreas y unidades de la entidad, se
elabora el plan anual de implementación de mejoras (PAIME) (ver ANEXO 59), el cual es el proyecto de
mejora institucional que muestra los compromisos de mejora para el correspondiente periodo anual de
ejecución. Cabe indicar que los proyectos que incluye el PAIME pueden incluir esfuerzos que vayan más
allá del periodo anual, en cuyo caso los pendientes deben ser incluidos en la formulación del PAIME del
año siguiente hasta su término.
Luego del “hacer”, el modelo de implementación de mejoras nos lleva nuevamente al inicio del ciclo PHVA
con la ejecución del TAECII y las demás actividades de control que conducen a la formulación de
conclusiones y recomendaciones que se incluyen en los informes que luego toman conocimiento la MAI y
la MAE de la entidad.
Figura 8
Modelo de implementación de mejoras
Guía 1
“AMBIENTE DE CONTROL”
AMBIENTE DE CONTROL
Figura 9
El ambiente de control, o entorno de control, principal COSO 2013: entorno o ambiente de control
componente del control interno institucional está definido
de conformidad con el Marco Integrado de Control Interno
(2013) del Committee of Sponsoring Organizations of the
Treadway Commission (COSO), tal como se muestra en la
Figura 9, el Marco Rector del Control Interno del Sector
Público de Honduras, en la sección correspondiente a las
Normas Generales de Control Interno (NOGECI). La base
del control interno es el ambiente de control desarrollado
en las entidades y sobre el cual se sustentan los otros
cuatro componentes. El ambiente de control está definido
en diez elementos que lo conforman: (i) ambiente de
control, (ii) valores de integridad y ética, (iii) personal
competente y gestión eficaz del talento humano, (iv)
estructura organizativa, (v) delegación de autoridad, (vi)
acciones coordinadas, (vii) compromiso del personal con el Fuente: Resumen Ejecutivo, Control Interno –
control interno, (viii) adhesión a las políticas, (ix) ambiente Marco Integrado. Committee of Sponsoring
de confianza, (x) auditoría interna. Organizations of the Treadway Commission –
COSO. Mayo 2013.
A continuación, se muestra las principales relaciones entre los cinco de los diecisiete principios del Control
Interno – Marco Integrado 2013 mostrados en la Figura 10 y los diez elementos del Marco Rector del
Control Interno Institucional de los Recursos Públicos, las cuales no son exhaustivas ni concluyentes
pudiendo establecerse otras más que no se presentan en la Figura 11, Figura 12, Figura 13, Figura 14 y
Figura 15.
Figura 10
COSO 2013: principios del ambiente de control
Fuente: Resumen Ejecutivo, Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013.
Figura 11
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente ambiente de control (1 de 5)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 12
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente ambiente de control (2 de 5)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 13
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente ambiente de control (3 de 5)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 14
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente ambiente de control (4 de 5)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 15
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente ambiente de control (5 de 5)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
“La administración activa, principalmente el jerarca, debe fomentar un ambiente propicio para la
operación del control interno, mediante la generación de una cultura que promueva, entre los miembros
de la institución, el reconocimiento del control como parte integrante de los sistemas institucionales. El
jerarca, en su calidad de responsable por el sistema de control interno, debe mostrar constantemente una
actitud de apoyo a las medidas de control implantadas en la institución, mediante la divulgación de éstas
y un ejemplo continuo de apego a ellas en el desarrollo de las labores cotidianas.”
1.1.1. PRÓPOSITO
1.1.2. CRITERIOS
La MAE, con los responsables de todas las áreas o unidades, debe dictar periódicamente las políticas que
promuevan el ambiente de control propicio para la colaboración, la participación y los aportes continuos
del personal para la operación eficaz, eficiente, económica y transparente en todos los niveles de la
organización para el logro de los objetivos institucionales (ver ANEXO 22 y ANEXO 29).
AMC.1 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe propiciar y
generar condiciones favorables para la participación activa de los servidores públicos o
colaboradores en la creación de mecanismos para establecer y fortalecer el control interno y el
funcionamiento de la entidad mediante medios de difusión, de acuerdo con la normatividad
emitida por los entes rectores de los sistemas administrativos del Estado.
Estos medios o mecanismos de difusión pueden ser utilizados en los cinco componentes del CII
o cualquier otra normativa emitida por la ONADICI que requiera ser difundida y aplicada en las
diferentes entidades.
AMC.2 La MAE, con los responsables jerárquicos de todas las áreas o unidades de la entidad, debe
formalizar, apoyar y supervisar el funcionamiento eficiente de los comités conformados para
fortalecer el funcionamiento de la entidad, mediante la preparación de informes de gestión
trimestrales, en los siguientes comités: Comité de Probidad y Ética (numeral 1.5 y AMC.15),
Comité de Control Interno (COCOIN) (AMC.37), Comité de Riesgos (COR) (Análisis y gestión de
riesgos EGR.3) Comité de Coordinación Institucional (COIN) (AMC.40 y AMC.41), Comité de
Auditoría (COA) (AMC.59 y AMC.60), entre otros, de acuerdo con los recursos y características
de cada entidad.
“El sistema de organización administrativa de los entes públicos debe ser dinámico para permitir su ajuste
oportuno en función de los planes operativos anuales y del logro de las metas programadas en el respectivo
presupuesto.”
1.2.2. PROPÓSITO
Identificar el horizonte de tiempo de la entidad y transmitirlo para el conocimiento del personal y de los
usuarios de los servicios. La planificación es una herramienta relevante para la gestión institucional al
formular los planes institucionales, elaborados por la administración activa, los que son monitoreados
mediante la autoevaluación del CII y la evaluación del desempeño institucional de conformidad con los
objetivos establecidos en su ley de creación.
1.2.3. CRITERIOS
AMC.3 La MAE debe asegurarse que los procesos relacionados con la planificación y la estructura
organizativa se lleven a cabo de acuerdo con la normatividad de su ley constitutiva y las
regulaciones de los entes rectores de los sistemas administrativos.
AMC.4 La MAE, con los responsables jerárquicos de todas las áreas o unidades de la entidad, debe
formular, o si corresponde, mejorar y actualizar la propuesta de visión, valores y objetivos
estratégicos de la entidad en forma anual, de acuerdo con la normatividad emitida por el ente
rector en la materia.
AMC.5 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe revisar y
asegurarse que la misión formulada esté de acuerdo con la ley de creación de la entidad y el
marco regulatorio correspondiente. En el caso de existir contradicción de la misión con las
normas, ésta debe reformularse para estar de acuerdo con la ley de creación en primera
instancia, y luego con las normas de menor rango legal. Si la contradicción se debe a cambios en
el entorno externo a la entidad, la MAE debe promover la aplicación de los cambios legales
necesarios en las instancias según corresponda.
AMC.6 La MAE, con los responsables de todas las áreas o unidades de la entidad, en coordinación con
el COCOIN, debe difundir ampliamente al personal el Plan Estratégico Institucional, el POA y el
Presupuesto Institucional aprobado por el Congreso Nacional. Es necesario que exista plena
consistencia entre el POA y el presupuesto aprobado. En el caso que haya ampliaciones o
recortes al Presupuesto Institucional, el POA debe ser adecuado a las nuevas circunstancias.
AMC.7 Los responsables jerárquicos de todas las áreas o unidades de la entidad deben generar informes
del avance de sus metas y evaluar periódicamente el desempeño sobre la ejecución del POA,
reportando de manera formal a la MAE para la toma de decisiones. Es importante comprender
que la acumulación de los POA en los diferentes periodos fiscales da como resultado el
cumplimiento del PEI de la entidad.
AMC.8 Los responsables de las áreas de planificación y de administración financiera de la entidad, o las
que correspondan a estas funciones, deben evaluar y conciliar periódicamente el avance físico
del POA con el avance financiero de la ejecución presupuestaria con el fin de informar a la MAE
y a los entes que corresponda los logros, retrasos, principales dificultades y las sugerencias de
mejora para la toma de decisiones correspondientes.
Ley General de Administración Pública, Art. 22, atribuciones 2), 3) y 4). MARE-CII-RP, TSC-NOGECI-04
Estructura Organizativa.
“Para lograr un adecuado ambiente de control en los entes públicos, el titular y los servidores en los
diferentes niveles de responsabilidad de la estructura organizacional, deben mantener una actitud íntegra
y ética y promover permanentemente estos valores al interior del respectivo ente.”
“Con todo, la labor de la administración al respecto no acaba en la etapa de selección; por el contrario, le
corresponde asegurarse que las características de integridad y ética continúen presentes en los servidores
públicos y se manifiesten en su accionar diario”.
“Están obligados todos los servidores públicos en el ejercicio de sus funciones a demostrar lealtad a la
institución, respetando y cumpliendo las normas, los procedimientos y las políticas institucionales que se
establezcan para cumplir y velar porque se apliquen los principios y disposiciones contenidas en la
Constitución de la República y demás leyes del país”.
1.3.2.1. PROPÓSITO
El énfasis primario de los responsables jerárquicos de las áreas y unidades, servidores públicos o
colaboradores está dirigido a los objetivos estratégicos y al cumplimiento de la misión la entidad de
conformidad con su ley de creación.
1.3.2.2. CRITERIOS
“Para el cumplimiento de las funciones y responsabilidades, tanto individuales como colectivas, se espera
que todos los funcionarios y empleados públicos muestren un alto principio de honradez e integridad que
no permita cuestionamientos de los resultados producidos en los trámites y gestiones que se realicen.
Deberán profesar y demostrar que todas sus actuaciones son transparentes y que las mismas no son ni
serán, en ningún momento, objeto de negociación para influenciar en los resultados”.
1.3.3.1. PROPÓSITO
1.3.3.2. CRITERIOS
“En el ejercicio de sus funciones, tanto en su entorno de trabajo como en los espacios o instancias ante las
cuales ejercen representación institucional, deben mantener un comportamiento de buena costumbre y de
alto profesionalismo. Además, su desempeño como servidor público debe enmarcarse en el respeto y
atención de normas y procedimientos que rigen la disciplina laboral, en cuanto a mandos jerárquicos y la
conducta ética en general”.
1.3.4.1. PROPÓSITO
1.3.4.2. CRITERIOS
1.3.5. RESPONSABILIDAD
“Tener como norma permanente el cumplimiento de sus funciones con el esmero, la celeridad y la
dedicación que demanda la actividad pública. Apegarse y limitarse solamente a atribuciones que el cargo
y las leyes le confieren. Responder sobre sus actos con la seriedad y disposición que demandan sus
funciones como servidor del Estado”.
1.3.5.1. PROPÓSITO
1.3.5.2. CRITERIOS
1.3.6. PROBIDAD
“Mantener una conducta intachable en sus actuaciones al administrar recursos públicos con entrega leal y
honesta al desempeño de las tareas que le sean asignadas”.
1.3.6.1. PROPÓSITO
Actitud positiva, colaborativa y con calidad en el desempeño de las funciones específicas del personal en
todos los niveles de la entidad.
1.3.6.2. CRITERIOS
Trayectoria personal y profesional, disposición para colaborar, aporte profesional y actitud positiva al
cambio y la mejora permanente.
1.3.7. TRANSPARENCIA
1.3.7.1. PROPÓSITO
Demostrar el apego a los requerimientos legales y normativos, informando a los usuarios y beneficiarios
sobre las acciones y los resultados obtenidos.
1.3.7.2. CRITERIOS
Informativos, periódicos, amplios, comparativos y disponibles para ser difundidos en varios niveles de la
sociedad.
“Cumplir con las responsabilidades asignadas poniendo énfasis en el objeto materia de la decisión en
concordancia con el marco legal vigente, dejando de lado lo relativo al modo de pensar o de sentir de
quien toma la decisión, juzgando o procediendo con rectitud sin mostrar un designio anticipado o de
prevención en favor o en contra de alguien o algo, y mostrando un estado mental libre de influencias
internas o externas que impliquen erróneas o incorrectas actuaciones”.
1.3.8.1. PROPÓSITO
Generar o producir servicios públicos con calidad, conforme a las disponibilidades y las disposiciones
legales, reglamentarias y normativas establecidas.
1.3.8.2. CRITERIOS
“La conducta de los servidores públicos debe reflejar el alto compromiso en el cumplimiento de sus
funciones. Su actuación debe reflejar carácter en la toma de decisiones y conocimiento de sus
responsabilidades, generando respeto y credibilidad en la sociedad.”
1.3.9.1. PROPÓSITO
Enfocada hacia la calidad del servicio público, agregando valor a las acciones desarrolladas y la aceptación
de los usuarios.
1.3.9.2. CRITERIOS
Imagen positiva de la gestión que se proyecta en la sociedad con orientación del servicio hacia la eficacia,
la eficiencia y la calidad.
“En el cumplimiento de sus responsabilidades y con apego a las leyes, todo servidor público está obligado
a demostrar interés y compromiso en el desarrollo de sus actividades, las cuales se transforman en logros
de interés público, como lo mandan las leyes que se emiten para la organización de los deberes y derechos
de la ciudadanía”.
1.3.10.1. PROPÓSITO
El servicio público se califica como una actividad de elevado interés para la sociedad.
1.3.10.2. CRITERIOS
“Todo servidor público está obligado por su relación contractual a brindar lo mejor de sí mismo en la
atención a los usuarios de los servicios públicos institucionales. Debe asumir una actitud ética y profesional
que demuestre que sus conocimientos y experiencia están al servicio de la ciudadanía para cumplir con
eficiencia y eficacia sus funciones”.
1.3.11.1. PROPÓSITO
El fin primordial del servicio público que se entrega está dirigido a la atención de las necesidades de los
usuarios.
1.3.11.2. CRITERIOS
La calidad del servicio prestado debe ser permanente por todo el personal de la entidad y debe satisfacer
o superar las expectativas de los usuarios y beneficiarios.
AMC.9 La MAE, con apoyo del Comité de Probidad y Ética Pública (CPEP), dentro del marco del Código
de Probidad y Ética del Servidor Público debe definir los procedimientos para fomentar la
difusión y aplicación de los valores éticos mediante talleres y conferencias, entre otros, así como
para promover la adhesión a su aplicación permanente por todos los servidores públicos o
colaboradores, sin distinción de nivel jerárquico.
AMC.10 La MAE, a través del área de gestión del talento humano, debe asegurarse que como parte del
proceso de inducción para el personal ingresante se les haya capacitado sobre los valores y la
ética institucional.
AMC.11 El CPEP debe colaborar en la preparación de un documento de fácil acceso continuo a los
servidores públicos o colaboradores que incorpore: la misión, visión y valores de la entidad para
su difusión generalizada a todo el personal; y particularmente durante el proceso de inducción
de los nuevos servidores públicos o colaboradores que se incorporen a la entidad. Para una
mayor efectividad el CPEP debe coordinar sus acciones con el COCOIN.
AMC.12 El CPEP debe cumplir y documentar las siguientes funciones: (i) verificar periódicamente, entre
todos los servidores públicos o colaboradores, el conocimiento de los valores de integridad, la
misión, visión y objetivos estratégicos de la entidad; (ii) informar a la MAE y al responsable
jerárquico del área de gestión del talento humano, los resultados de la evaluación para
incorporarlos al expediente individual; (iii) desarrollar talleres sobre los valores de integridad
para el personal; (iv) difundir continuamente el Código de Probidad y Ética del Servidor Público;
(v) elaborar el informe anual de actividades; (vi) promover los valores de integridad al presentar
el informe.
1.4. VALORES DE INTEGRIDAD Y ÉTICA - CÓDIGO DE CONDUCTA ÉTICA DEL SERVIDOR PÚBLICO
1.4.1. RESUMEN
Todas las entidades deben adherirse al Código de Conducta Ética del Servidor Público, establecido por el
Congreso Nacional de Honduras, para la prestación de servicios eficientes, efectivos y de calidad.
1.4.2. PROPÓSITO
Mantener criterios uniformes y obligatorios para gestionar positivamente la probidad y la ética en el sector
público, como valores compartidos por todos los servidores públicos o colaboradores.
1.4.3. CRITERIOS
AMC.13 El Código de Conducta Ética del Servidor Público debe ser conocido y aceptado formalmente
mediante la suscripción de un documento por todos los servidores públicos y colaboradores de
la entidad, el cual forma parte del expediente físico o electrónico de cada servidor público y
colaborador administrado por el área de gestión del talento humano.
AMC.14 El CPEP debe actuar de oficio ante el incumplimiento del Código de Conducta Ética del Servidor
Público, y comunicando a las instancias pertinentes para la toma de acciones correctivas que
correspondan.
Código de Conducta Ética del Servidor Público, promulgado por el Congreso Nacional. MARE-CII-RP, TSC-
NOGECI III-02 Valores de Integridad y Ética, TSC-PRICI-01: ÉTICA PÚBLICA.
1.5.1. RESUMEN
El CPEP es un equipo de trabajo constituido por cinco (5) miembros propietarios representantes del
personal de la entidad. Los miembros del comité son electos en forma directa por los representantes de
la asamblea del personal de la entidad; conforme al Instructivo de Elección aprobado por el TSC. Los
miembros duran en su cargo dos años y pueden ser reelectos. Al respecto debe considerarse:
Forma de integración:
1.5.2. PROPÓSITO
Ejecutar acciones positivas para la difusión, conocimiento y aplicación del Código de Conducta Ética del
Servidor Público y las disposiciones relacionadas establecidas por el TSC.
1.5.3. CRITERIOS
AMC.15 El CPEP debe programar reuniones y documentar sus actividades mediante actas especiales que
incluyan los acuerdos y resoluciones adoptados, así como el seguimiento que corresponda, para
conocimiento de la Dirección de Probidad y Ética del TSC. El Comité de Probidad y Ética Pública
debe preparar informes trimestrales de sus actividades y resultados logrados para remitirlos a la
MAE y a la Dirección de Probidad y Ética del TSC.
El CPEP en coordinación con el COCOIN, y con el apoyo técnico del TSC, la CNA y el IAIP debe
organizar la capacitación del personal para difundir el Código de Conducta Ética del Servidor
Público y realizar las acciones contenidas en su plan de trabajo aprobado.
Código de Conducta Ética del Servidor Público, promulgado por el Congreso Nacional. MARE-CII-RP, TSC-
NOGECI III-02 Valores de Integridad y Ética, TSC-PRICI-01: ÉTICA PÚBLICA. Reglamento para la integración
y funcionamiento de los Comités de Probidad y Ética Pública.
1.6.1. RESUMEN
Todas las entidades públicas en general están sujetas a la aplicación y cumplimiento del Código de
Conducta Ética del Servidor Púbico; sin embargo, por su naturaleza pueden emitir normas específicas de
cumplimento obligatorio por todo el personal, las cuales no deben estar en contraposición al código. En
caso de discrepancia entre las normas generales de este Código y las normas específicas emitidas por una
entidad sujeta a este Código, prevalecerá siempre lo dispuesto en el presente código.
1.6.2. PROPÓSITO
1.6.3. CRITERIOS
Especialidad de los servicios que presta la entidad de conformidad con su misión, proyección de imagen
positiva hacia adentro y afuera de la entidad.
AMC.16 La MAE, con el CPEP y los responsables jerárquicos de las áreas o unidades sustantivas, en
coordinación con el COCOIN, debe promover la aplicación del Código de Conducta Ética del
Servidor Público y las normas específicas emitidas por la entidad, destacando los valores
aplicables particularmente a las operaciones sustantivas o especializadas que desarrolla la
entidad.
Código de Conducta Ética del Servidor Público promulgado por el Congreso Nacional. MARE-CII-RP, TSC-
NOGECI III-02 Valores de Integridad y Ética, TSC-PRICI-01: ÉTICA PÚBLICA.
“El control interno debe incluir las políticas y los procedimientos necesarios tanto para una apropiada
planificación y administración de los recursos humanos de la institución, de manera que asegure el
reclutamiento, la permanencia en el servicio y el desarrollo del personal competente e idóneo para el
desempeño de cada puesto de trabajo, aumentando sus conocimientos y destrezas en beneficio de la
entidad, el Estado y la sociedad.”
“…La administración de personal estará sometida a métodos científicos basados en el sistema de méritos.”
(Art. 256 de la Constitución Política de la República de Honduras).
1.7.2. PROPÓSITO
Servidores públicos y colaboradores competentes con base en prácticas contemporáneas usadas para la
gestión eficaz y eficiente del talento humano.
1.7.3. CRITERIOS
AMC.17 La MAE, con el apoyo del responsable jerárquico del área de gestión del talento humano, debe
establecer políticas documentadas para la gestión del talento humano en la entidad, y
asegurarse que este formule los procedimientos necesarios para una adecuada gestión de los
procesos de planificación de las necesidades de personal, su selección y reclutamiento,
desarrollo, evaluación, compensación, retención y desvinculación.
AMC.18 La MAE, con el responsable jerárquico del área de gestión del talento humano y con la asesoría
legal pertinente interna o externa, debe actualizar el plan de remuneraciones y formular políticas
salariales equitativas conforme a la disponibilidad presupuestaria de la entidad.
AMC.19 El área de gestión del talento humano y los responsables jerárquicos de las demás áreas o
unidades de la entidad deben elaborar o actualizar los documentos que incorporan la
clasificación y requisitos mínimos indispensables de los puestos, los que incluyen la identificación
de competencias y la descripción de las funciones correspondientes, que son aprobados por la
MAE.
AMC.20 La MAE debe establecer que el área de gestión del talento humano elabore un procedimiento de
inducción para el personal ingresante a la entidad y se asegure que todos hayan pasado por él,
AMC.21 La MAE debe instruir a los responsables jerárquicos de las áreas o unidades de la entidad para
que identifiquen las necesidades de capacitación de sus subordinados, internas o externas,
generales o especializadas para el fortalecimiento de las capacidades de los servidores públicos
y colaboradores, las cuales son evaluadas por el área de gestión del talento humano e incluidas
en Plan anual general de capacitación de la entidad. Las capacitaciones deben estar en relación
con las actividades estratégicas, operativas y administrativas, así como para el cumplimiento de
la misión y los objetivos institucionales.
AMC.22 El área de gestión del talento humano, en coordinación con el COCOIN y el COR, debe elaborar
un plan anual de capacitación de control interno, que debe formar parte del Plan anual general
de capacitación de la entidad, cuyos tiempos y fechas deben ser coordinados con los
responsables jerárquicos de todas las áreas dentro del marco de la coordinación institucional
(ver AMC.40), para todos los componentes (ver ANEXO 30).
AMC.23 La MAE y el responsable jerárquico del área de gestión del talento humano, en coordinación con
el COCOIN, deben gestionar el cumplimiento del Plan anual general de capacitación de la entidad
y la ejecución de los programas de capacitación para el fortalecimiento de las aptitudes
individuales para el desempeño de sus funciones.
AMC.24 La MAE, con el responsable jerárquico del área de gestión del talento humano y los demás
responsables de otras áreas o unidades específicas de la entidad, debe establecer los criterios
técnicos para la selección y promoción de servidores públicos y colaboradores con base en el
mérito y su capacidad profesional.
AMC.25 La MAE y el responsable jerárquico del área de gestión del talento humano deben diseñar y
establecer un sistema de reconocimiento público e incentivos no monetarios para los servidores
públicos o colaboradores, con base en el tiempo de servicio, desempeño destacable o resultados
excepcionales, al interior o fuera de la entidad, entre otros criterios, para el fortalecimiento de
la cultura institucional.
Art. 256, Constitución Política de la República de Honduras. MARE-CII-RP, TSC-NOGECI III-03 Personal
Competente y Gestión Eficaz del Talento Humano. Leyes específicas.
1.8. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO – RÉGIMEN DE SERVICIO
CIVIL
1.8.1. RESUMEN
“El régimen de Servicio Civil regula las relaciones de empleo y función pública que se establecen entre el
Estado y sus servidores, fundamentados en principios de idoneidad, eficiencia y honestidad.”
“La […] Ley [de Servicio Civil] tiene por finalidad establecer un sistema racional de administración de
personal en el servicio público regulando las relaciones entre los servidores públicos y el Estado.”
En Honduras existen varias normas que regulan las relaciones laborales entre el Estado y los trabajadores,
entre ellas el Código del Trabajo de la República de Honduras, los estatutos gremiales, regímenes
especiales, contrato colectivo, y otras normas especiales y el Reglamento Interno de Trabajo de cada
entidad.
En algunos casos de la gestión administrativa del talento humano y en la terminación de la relación laboral
entre el servidor público y colaboradores con la entidad y el Estado, existe conflicto entre leyes aplicables
al caso concreto. Para efectos de eliminar los conflictos en la aplicación de las leyes, es necesario que el
Poder Ejecutivo en Consejo de Ministros elabore un proyecto de Ley que regule los vacíos y
contradicciones en la gestión administrativa del talento humano, y lo someta al Congreso Nacional para
su aprobación y promulgación.
1.8.2. PROPÓSITO
Que las entidades del Estado dispongan de talento humano competente, motivado y especializado para
cumplir los objetivos de la entidad con eficiencia, eficacia, probidad y transparencia.
1.8.3. CRITERIOS
Cumplimiento de las leyes aplicables a la gestión del talento humano, sistema racional de gestión del
talento humano.
AMC.26 La MAE debe instruir al responsable jerárquico del área de gestión del talento humano para que
se asegure que la desvinculación o terminación de la relación laboral del personal de la entidad
se lleve a cabo siguiendo los procedimientos establecidos en cada caso, los cuales deben estar
concordancia con el régimen del Servicio Civil y demás leyes aplicables, pudiendo apoyarse en la
asesoría legal interna o externa que requiera para mitigar el riesgo de posteriores demandas que
afecten la situación financiera y la reputación de la entidad.
AMC.27 En los casos que se identifique conflicto entre las leyes aplicables al caso concreto de la
desvinculación o terminación de la relación laboral entre el servidor público o colaborador con
la entidad y el Estado, la MAI o la MAE deben ponerlo en conocimiento de las instancias que
correspondan en el Poder Ejecutivo, para que el Consejo de Ministros elabore un proyecto de
Ley que regule los vacíos y contradicciones en la gestión administrativa del talento humano, y lo
someta al Congreso Nacional para su aprobación y promulgación.
Art. 256, Constitución Política de la República de Honduras. Art. 1 de la Ley de Servicio Civil. Ley de la
Carrera Administrativa Municipal. Reglamento de la Ley de Servicio Civil. MARE-CII-RP, NOGECI III-03
Personal Competente y Gestión Eficaz del Talento Humano. Leyes específicas.
1.9. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO - CALIDAD DEL SERVIDOR
PÚBLICO
“…De la competencia de los servidores públicos depende la eficacia y eficiencia de los sistemas
administrativos, financieros y operativos, así como el logro de los objetivos institucionales...”
1.9.2. PROPÓSITO
Contar con el mejor talento humano para la entrega de los servicios a los usuarios y beneficiarios. El
servicio prestado no es un favor al usuario o beneficiario, sino que forma parte de la responsabilidad
inherente a las funciones que desarrollan los servidores públicos y los colaboradores de las empresas
públicas, y que la entidad está obligada a proveer. Para ello, el servicio debe ser prestado en forma
ininterrumpida dentro del horario de atención establecido. Cabe destacar que los servidores públicos y
colaboradores se deben a los ciudadanos, usuarios y beneficiarios, toda vez que pagan por los bienes y
servicios a través de impuestos y tasas.
1.9.3. CRITERIOS
AMC.28 La MAE debe asegurarse que todos los servidores públicos y colaboradores están sujetos a la
evaluación del desempeño por su superior jerárquico inmediato, sus pares y sus subordinados,
con base en las competencias y requisitos de cada puesto, procurando identificar y mejorar las
condiciones y dificultades que impidan alcanzar niveles de efectividad en la prestación de los
servicios y en el cumplimiento eficiente de las funciones específicas de los servidores públicos y
colaboradores. Esta evaluación debe llevarse a cabo al menos una vez al año.
AMC.29 La MAE y el responsable jerárquico del área de gestión del talento humano deben desarrollar y
aprobar la metodología para la evaluación del desempeño individual con base en competencias
y los criterios técnicos establecidos en la Ley del Sistema de Servicio Civil y Ley de la Carrera
Administrativa Municipal u otra metodología según corresponda al régimen la entidad, al menos
una vez al año y con base en un procedimiento de evaluación sistematizado y consistente,
preferiblemente automatizado.
Ley de Servicio Civil, Decreto 126. Ley de la Carrera Administrativa Municipal, Decreto 74-2010.
Reglamento de la Ley de Servicio Civil, Acuerdo Ejecutivo No. A-018-2009. MARE-CII-RP, TSC-NOGECI III-
03 Personal Competente y Gestión Eficaz del Talento Humano. Leyes específicas.
"El jerarca o titular del ente público debe crear y desarrollar una estructura organizativa que apoye
efectivamente el logro de los objetivos institucionales y por ende, la realización de los procesos, las labores
y la aplicación de los controles pertinentes."
1.10.2. PROPÓSITO
1.10.3. CRITERIOS
Estructura organizativa sistematizada, técnica, flexible, actualizada, aprobada y dirigida a los procesos
sustantivos de la entidad.
AMC.30 La MAE y los responsables jerárquicos de todas las áreas o unidades de la entidad deben definir
y formalizar una estructura organizativa adecuada estableciendo las áreas de operación clave,
las líneas de coordinación, información y control. El organigrama de la entidad, debidamente
aprobado por la MAE, debe resumir la estructura organizativa vigente y las relaciones de
autoridad formal entre los cargos de dirección, las unidades de asesoramiento, las áreas
administrativas y operativas y las correspondientes unidades que las conforman.
AMC.31 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe disponer la
elaboración o actualización de los manuales de organización y funciones y los manuales de
procesos y procedimientos conforme a su ley de creación, su misión y su reglamentación interna.
AMC.32 La MAE debe instruir a los responsables jerárquicos de todas las áreas o unidades de la entidad
para que desarrollen y proporcionen información actualizada de los servicios disponibles que la
entidad ofrece y su forma de acceso para los usuarios o beneficiarios, así como aquella
información requerida en la Ley de Transparencia y Acceso a la Información Pública para que se
incluya en el portal institucional. La información de los servicios disponibles debe colocarse
físicamente en lugares visibles dentro de las instalaciones para el conocimiento de los usuarios
o beneficiarios (ver ANEXO 23).
1.11.1. RESUMEN
1.11.2. PROPÓSITO
Identificar y gestionar los procesos en la estructura organizativa de las entidades públicas en relación al
cumplimiento de su misión y logro de la visión y objetivos, así como a la credibilidad razonable de la
ejecución financiera dentro del marco del control interno.
1.11.3. CRITERIOS
Procesos identificados y gestionados, priorizados en procesos clave, que cuentan con registro de
operaciones, informes y evaluación.
AMC.33 La MAE debe establecer la gestión por procesos en la entidad, instruyendo a los responsables
jerárquicos de las áreas o unidades de la entidad para que, en coordinación con el COCOIN,
elaboren el mapa de los procesos de la entidad identificando los procesos estratégicos,
operativos o misionales (sustantivos) y de apoyo o soporte (adjetivos), y priorizándolos en
procesos clave que determinan el logro de los objetivos estratégicos (ver ANEXO 18).
AMC.34 El responsable jerárquico del área de planificación debe asegurarse que las unidades prestadoras
de servicios que se relacionan en forma directa con los usuarios deben estar posicionadas en
forma clara en el Organigrama y en el Manual de Organización y Funciones. Ambos instrumentos
de gestión organizacional deben ser aprobados por la MAE y estar debidamente actualizados.
AMC.35 La MAE, con los responsables de todas las áreas o unidades de la entidad, deben actualizar y
conciliar las funciones y responsabilidades de las áreas operativas incluidas en el Manual de
Organización y Funciones con los objetivos del PEI, POA y de los Proyectos que administra la
entidad.
AMC.36 La MAE debe instruir a los responsables de todas las áreas o unidades de la entidad desarrollar
un Manual de Procesos y Procedimientos que defina el conjunto de operaciones y controles en
los procesos de la entidad. Este manual debe ser aprobado por la MAE y mantenerse
debidamente actualizado.
AMC.37 La MAE debe crear el COCOIN y apoyar su funcionamiento para la implementación del control
interno institucional, reflejándose ello en los instrumentos de gestión y la normativa interna.
El COCOIN es un órgano colegiado de apoyo a la MAE, con capacidad y atribuciones para la toma
de decisiones en lo correspondiente al CII, cuyo objetivo principal es coordinar, promover y
contribuir a la eficaz y eficiente implementación, mantenimiento, mejora continua y seguimiento
oportuno del CII.
La MAE es responsable de designar a los integrantes del COCOIN, los cuales deben ser
responsables jerárquicos de áreas y son juramentados por la ONADICI (ver ANEXO 19).
Está integrado de seis (6) a diez (10) miembros, y se recomienda que el coordinador sea el
responsable jerárquico del área de planificación; los demás miembros del COCOIN son los
responsables jerárquicos de las áreas de operaciones, de administración y financiera (ver ANEXO
20).
El auditor interno participa en las sesiones como veedor, es decir con voz, pero sin voto.
Asimismo, la ONADICI puede participar con sus representantes en las reuniones del comité en
calidad de asesor.
AMC.38 El COCOIN, siguiendo el modelo establecido por la ONADICI, debe elaborar su reglamento de
organización y funciones que es aprobado por la MAE (ver ANEXO 20) y su plan de trabajo anual
(ver ANEXO 21).
Ley General de la Administración Pública, Decreto No. 146-86. MARE-CII-RP, TSC-NOGECI III-04 Estructura
Organizativa.
“La delegación de funciones o tareas en un servidor público debe implicar no sólo la exigencia de la
responsabilidad por el cumplimiento de los procesos, actividades o transacciones correspondientes, sino
también la asignación de la autoridad necesaria a fin de que pueda tomar las decisiones y emprender las
acciones más convenientes para ejecutar oportunamente sus funciones de manera expedita y eficaz.”
1.12.2. PROPÓSITO
1.12.3. CRITERIOS
Documentada formalmente por escrito estableciendo los límites de alcance y tiempo de aplicación.
AMC.39 La MAE debe formalizar la delegación de autoridad por escrito y de acuerdo con las funciones
establecidas en el Manual de Organización y Funciones de la entidad. La ley de creación y el
reglamento interno constituyen la base para definir la estructura de la delegación de autoridad.
La delegación de autoridad debe generar corresponsabilidad entre quien delega y quien ejerce
la delegación. Quien delega mantiene la responsabilidad por los resultados alcanzados por la
delegación (ver ANEXO 24).
“El control interno debe contemplar los mecanismos y disposiciones requeridos a efecto de que los
servidores públicos y unidades participantes en la ejecución de los procesos, actividades y transacciones de
la institución, desarrollen sus acciones de manera coordinada y coherente, con miras a la implantación
efectiva de la estrategia organizacional para el logro de los objetivos.”
1.13.2. PROPÓSITO
Alcanzar los objetivos de la entidad a través del esfuerzo conjunto y con base en la compartición de la
información, y reportando los avances en su cumplimiento que permitan la oportuna toma de decisiones
entre las unidades operativas y de apoyo de la entidad.
1.13.3. CRITERIOS
Reuniones periódicas dirigidas por la MAE con el Comité de Coordinación Institucional (COIN),
estructurado e integrado por el nivel superior de los responsables jerárquicos de las áreas o unidades de
la entidad, cuyos acuerdos son vinculantes a la operatividad de la entidad.
AMC.40 La MAE, con el nivel superior de los responsables jerárquicos de las áreas o unidades de la
entidad, debe formalizar o crear el Comité de Coordinación Institucional (COIN) con el propósito
de intercambiar información y generar soluciones colaborativas de acuerdo con los
requerimientos institucionales.
AMC.41 La MAE, con el nivel superior de los responsables jerárquicos de las áreas o unidades de la
entidad, debe normar el funcionamiento del COIN mediante un reglamento de organización y
funcionamiento que detalle quienes lo integran, la agenda a tratar, la periodicidad de las
reuniones a realizarse, la documentación y el seguimiento de las resoluciones importantes, entre
otros requerimientos, de acuerdo con los lineamientos establecidos en el ANEXO 25.
“…debe considerarse que la coordinación tiene como fundamento a la planificación y que para su
apropiado ejercicio se requiere de una estructura orgánica idónea. Por ello, los mecanismos de
coordinación deben preverse convenientemente desde las primeras etapas del proceso planificador e
integrarse en la estrategia y las consideraciones relativas a la organización formal y las relaciones entre
los diversos puestos.”
1.14.2. PROPÓSITO
Cumplimiento del PEI y seguimiento a la ejecución del POA de la entidad, coordinando esfuerzos y
coadyuvando para el logro de los objetivos institucionales.
1.14.3. CRITERIOS
Metas y objetivos concretos, cooperación entre unidades operativas y de apoyo, mejoras en las
actividades y en el cumplimiento del POA.
AMC.42 El PEI y el POA deben constituir la base para la coordinación de las operaciones y el logro efectivo
de los objetivos institucionales, y la asignación del presupuesto y recursos pertinentes.
AMC.43 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe impulsar
mediante una política formalizada (ver ANEXO 29) la coordinación y cooperación entre las
unidades operativas y de apoyo para promover el logro eficaz y eficiente alineados con los
objetivos estratégicos institucionales.
AMC.44 La MAE y los responsables de todas las áreas o unidades de la entidad, deben hacer uso de los
POA como una herramienta para coordinar las acciones entre las áreas o unidades dentro del
contexto de la planificación.
“El titular principal o jerarca, con el apoyo de los titulares subordinados, deberá instaurar las medidas de
control propicias para que los servidores públicos reconozcan y acepten la responsabilidad que les compete
por el adecuado funcionamiento del control interno y promover su participación activa tanto en la
aplicación y mejoramiento de las medidas ya implantadas como en el diseño de controles más efectivos
para las áreas en donde desempeñan sus labores.”
“El Presidente de la República tiene la administración general del Estado; son sus atribuciones:
[…]
[…]
18. Velar, en general, por la conducta oficial de los funcionarios y empleados públicos para la seguridad y
prestigio del Gobierno y del Estado; […]” Art 245, Constitución Política de la República de Honduras.
1.15.2. PROPÓSITO
1.15.3. CRITERIOS
Contar con una política institucional de control interno emitida y socializada; tomar decisiones y acciones
con sujeción a las normas internas y externas; contar con actas de compromiso personal suscritas,
mostrando convencimiento, participación, proactividad, compromiso e incorporación al proceso
permanente del cambio.
AMC.45 La MAE debe disponer que los servidores públicos o colaboradores suscriban el acta de
compromiso personal con el CII, la cual debe ser suscrita al término de la capacitación que ha
sido coordinada por el COCOIN y con el apoyo del personal técnico de la ONADICI. Usar el modelo
incluido en el ANEXO 26.
AMC.46 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe establecer los
modelos específicos de mejora continua para el cumplimiento de los objetivos del control
interno y la gestión institucional, procurando la cultura permanente de rendición de cuentas en
la administración de los recursos públicos y los resultados obtenidos.
Los modelos específicos deben ser estandarizados y aplicados por todas las áreas y orientados a
la consecución de las metas incluidas en los planes estratégicos, planes operativos, programas y
proyectos, dentro del MARE-CII-RP y las prácticas obligatorias contenidas en las GICII.
Art. 245 y 247, Constitución Política de la República de Hondura. MARE-CII-RP, TSC-NOGECI III-07
Compromiso del Personal con el Control Interno.
“En el ejercicio de sus funciones, los servidores públicos deben observar y contribuir con sugerencias a las
políticas institucionales y a las específicas aplicables a sus respectivas áreas de trabajo, que hayan sido
emitidas y divulgadas por los superiores jerárquicos, quienes además deben instaurar medidas y
mecanismos propicios para fomentar la adhesión a las políticas por ellos emitidas.”
1.16.2. PROPÓSITO
Promover el cumplimiento de las políticas institucionales y específicas que resulten en el logro de los
objetivos institucionales de la entidad con eficacia y eficiencia.
1.16.3. CRITERIOS
Asegurar el cumplimiento en la aplicación de las políticas; formular sugerencias para su mejora; emisión y
difusión actualizada; evidenciando los mecanismos de adhesión implementados.
AMC.47 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe promover el
funcionamiento eficaz del CII como una política de Estado (ver ANEXO 20 y ANEXO 22) cuyo
cumplimiento le corresponde a todas las áreas y sus servidores públicos o colaboradores. El
cumplimiento de la política de CII debe ser conocido por todo el personal independientemente
del nivel jerárquico dentro de la entidad.
AMC.48 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe difundir las
políticas institucionales de manera formal mediante notas por escrito a todos los superiores
jerárquicos, así como su publicación en el portal institucional para conocimiento de todo el
personal de la entidad. Las políticas van en relación con la naturaleza de la entidad o de las
políticas generales de gobierno (ver ANEXO 27 y ANEXO 29).
AMC.49 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe emitir, difundir
y garantizar la aplicación de la política sobre la rendición de cuentas en todos los niveles:
estratégico (alta dirección), táctico (responsables jerárquicos de áreas y unidades) y operativo
(todos los servidores públicos o colaboradores).
AMC.50 Los responsables jerárquicos de las áreas y unidades de la entidad deben elaborar, emitir y
difundir oportunamente los informes de resultados de las operaciones, de la gestión y de la
ejecución presupuestaria para fortalecer el proceso de rendición de cuentas y la transparencia
institucional, interna y externa. Los informes, previo a su difusión deben ser aprobados por la
MAE.
“Los responsables del control interno deberán estimular entre el personal la generación y el mantenimiento
de un ambiente de confianza basado en la difusión de información veraz, la comunicación adecuada, la
delegación de funciones y técnicas de trabajo participativo y cooperativo con miras a la promoción del
desempeño eficaz y el logro de los objetivos institucionales.”
1.17.2. PROPÓSITO
Lograr un clima de seguridad interna y externa con base en datos asociados a los servicios que presta la
entidad, los cuales deben ser confiables, completos, oportunos y verificables por cualquier usuario interno
y externo.
1.17.3. CRITERIOS
Clima laboral positivo y alentador; actitud positiva del personal hacia la mejora continua del desempeño
al logro de los objetivos y en pro de los servicios prestados a la ciudadanía; propiciando la rendición de
cuentas, información disponible para la verificación, transparencia, dando respuestas oportunas a las
sugerencias y opiniones de los usuarios.
AMC.51 La MAE y los responsables jerárquicos deben difundir entre los servidores públicos o
colaboradores de la entidad las prácticas de control interno implementadas, procurando su
aplicación efectiva; su cumplimiento genera confianza en las operaciones y en la información
que es generada. Se recomienda que la MAE establezca mecanismos de reconocimiento al
esfuerzo del personal que ha demostrado logros cualitativos y cuantitativos que enaltecen el
prestigio institucional.
AMC.52 La MAE, con el apoyo de los responsables jerárquicos de todas las áreas o unidades de la entidad,
debe diseñar e implementar técnicas de trabajo participativo y cooperativo entre las unidades
operativas y administrativa financiera; para trabajar en equipos multidisciplinarios (ejemplo:
implementación del COIN).
AMC.53 La MAE, con el apoyo de los responsables jerárquicos de todas las áreas o unidades de la entidad,
debe promover la mejora continua de la cultura de control interno institucional.
“En cada ente público, como parte de un adecuado ambiente de control, debe existir una unidad de
auditoría interna eficaz, cuyo nivel de independencia funcional y de criterio debe ser respetado por el
jerarca o titular de la entidad y, en general, por la dirección superior y todos los servidores públicos de la
misma.”
1.18.2. PROPÓSITO
Aseguramiento del adecuado diseño, implementación, funcionamiento, mantenimiento y mejora del CII
en cumplimiento de los objetivos y la transparencia en la administración de los recursos públicos.
1.18.3. CRITERIOS
Auditoría interna independiente, objetiva, con criterio profesional, aplicada sistemáticamente, con
enfoque a los riesgos institucionales relevantes, evaluando el CII, emitiendo opinión sobre el estado y
aplicación del CII, brindando asesoría oportuna y formulando recomendaciones que agreguen valor a la
entidad.
AMC.54 El responsable jerárquico de la Unidad de Auditoría Interna (UAI) debe establecer lineamientos
para dimensionar la unidad con base en el tamaño, número y tipos de especialistas, equipos de
trabajo y las actividades que se deben desarrollar considerando las disposiciones establecidas en
la Guía de Organización y Funcionamiento de la UAI emitida por la ONADICI en el contexto del
Marco Rector de la Auditoría Interna del Sector Público emitido por el TSC, y supletoriamente el
Marco internacional para la práctica de la auditoría interna y las Normas Internacionales para el
Ejercicio Profesional de la Auditoría Interna (NIEPAI) publicadas por el Instituto de Auditores
Internos Global.
AMC.55 El responsable jerárquico de la UAI debe dar seguimiento oportuno e integral a las
recomendaciones de la auditoría interna, de la ONADICI y externa, preparando informes
trimestrales dirigidos a la MAE, con copia a la ONADICI y al TSC sobre el nivel de implementación
de las acciones comprometidas (ver ANEXO 28).
AMC.56 El responsable jerárquico de la UAI debe preparar el Plan General y el POA de la UAI considerando
el PEI, los riesgos, la Guía emitida por la ONADICI y las buenas prácticas internacionales,
procurando agregar valor mediante la realización de tareas de aseguramiento de las operaciones
y del funcionamiento del CII.
Debe emitir informes periódicos sobre el nivel de implementación y efectividad del CII, sobre la
información financiera, el cumplimiento de los objetivos de conformidad con las leyes y normas
vigentes y el nivel de eficacia y eficiencia de las operaciones.
MARE-CII-RP, TSC-NOGECI III-10 Auditoría Interna, TSC- NOGECI VII-06 Cumplimiento de los Estándares
Internacionales de Auditoria Interna. Marco Rector de la Auditoría Interna del Sector Público, TSC-
NOGENAIG 04 Áreas de Responsabilidad.
“La auditoría interna de entidades del Sector Público es una actividad de aseguramiento y asesoría que se
ejerce con independencia de las operaciones que audita para mejorar las operaciones de la entidad y
apoyar a la gerencia publica en el cumplimiento de los objetivos programados y presupuestados,
aportando un enfoque sistémico y disciplinado para evaluar, optimizar y agregar valor a la efectividad de
los procesos de gestión de riesgo, control y gobierno institucional garantizando la objetividad de las
conclusiones y recomendaciones formuladas en sus informes”.
La UAI es parte integral de la estructura organizacional de la entidad y como tal está en la disposición del
cumplimiento de todas las políticas internas, siempre y cuando no afecte la naturaleza e independencia
de las labores de la UAI.
1.19.2. PROPÓSITO
Promover en el ejercicio de las operaciones el cumplimiento de las leyes y normas vigentes, la confiabilidad
en la información, la eficiencia en el manejo de los recursos y la eficacia en el cumplimiento de la misión y
los objetivos institucionales.
1.19.3. CRITERIOS
UAI independiente, sistémica, disciplinada, con valor agregado, estimando los riesgos de la práctica de la
auditoría.
AMC.57 La UAI debe evaluar el funcionamiento del CII, teniendo la capacidad para prestar el servicio con
criterio profesional, independiente y objetivo para determinar la efectividad del CII.
La UAI, a través de las evaluaciones, verifica el cumplimiento de las NOGECI, de las GICII en el
marco del SINACORP y las buenas prácticas para la administración de los recursos públicos.
Marco Rector de la Auditoría Interna del Sector Público, TSC-NOGENAIG-03 Definición y Propósito. MARE-
CII-RP, TSC-NOGECI VII-06 Cumplimiento de los Estándares Internacionales de Auditoría Interna.
“Las unidades de auditoría interna de las entidades públicas, estarán ubicadas en la estructura
organizacional de las mismas al nivel de la MAE de la respectiva entidad, a la cual deben reportar. Su
organización y funcionamiento se establecerán de acuerdo con la clasificación de la misma, es decir si se
trata de una UAI Tipo‐A, Tipo‐B o Tipo C.”
Para establecer la UAI en las entidades, se debe seguir los lineamientos establecidos en la Guía de
Organización y Funcionamiento de la UAI emitida por la ONADICI, de acuerdo con la siguiente clasificación:
• Tipo A, entidades cuya relación presupuestaria del año actual sea superior al 6% del Presupuesto
de Egresos “MAYOR” asignado a una entidad en el mismo año
• Tipo B, entidades cuya relación presupuestaria del año actual se encuentre entre el 1% y el 5,99%
del Presupuesto de Egresos “MAYOR” asignado a una entidad en el mismo año
• Tipo C, entidades cuya relación presupuestaria del año actual sea inferior al 1% del Presupuesto
de Egresos “MAYOR” asignado a una entidad en el mismo año.
1.20.2. PROPÓSITO
Asegurar el adecuado nivel de asesoría a la MAE, ejerciendo las funciones de evaluación y seguimiento del
CII.
1.20.3. CRITERIOS
AMC.58 La UAI debe disponer de auditores especialistas multidisciplinarios, internos y externos cuando
la materia lo requiera, en las actividades sustantivas de la entidad. También debe contar con el
mínimo necesario de supervisores que puedan realizar el aseguramiento de la calidad de las
investigaciones que realizan.
AMC.59 La MAE de las entidades tipo A y B, o aquellas entidades que por convenio lo requieran, debe
implementar el funcionamiento del Comité de Auditoría para el conocimiento y trámite de los
resultados obtenidos en las tareas de aseguramiento desarrolladas por la UAI, conforme a las
El Comité de Auditoría debe estar integrado por un número impar de servidores públicos o
colaboradores que comprenda a un responsable de alto nivel jerárquico en representación de la
MAE, los responsables jerárquicos de cada unidad sustantiva, el responsable del área financiera
y un representante de la ONADICI. En el caso de entidades que dispongan de cuerpos colegiados,
dos de sus miembros deben estar representados en el comité. La participación de la ONADICI en
el Comité de Auditoría procura fortalecer la independencia de la UAI en cuanto al contenido de
los informes elaborados por esta unidad.
Las reuniones ordinarias del Comité de Auditoría se deben realizar cada trimestre en marzo,
junio, septiembre y diciembre de cada ejercicio fiscal, y en forma extraordinaria cuando la MAE
o la coordinación del comité lo requiera.
AMC.60 El Comité de Auditoría debe contar con el apoyo y la participación, con voz, pero sin voto, del
responsable jerárquico de la UAI. Asimismo, la UAI presentará al Comité de Auditoría el POA de
la unidad y los informes periódicos sobre las actividades realizadas en cada trimestre, además de
los informes de seguimiento de las recomendaciones. La UAI debe dar cumplimiento a los
acuerdos del comité manteniendo siempre su independencia.
AMC.61 El responsable jerárquico de la UAI debe cumplir las normas establecidas por el TSC para realizar
la auditoría; como también, las normas técnicas específicas que emita la ONADICI para tales
efectos, como son la “Guía de Organización y Funcionamiento de las UAI” y la “Guía para la
elaboración del Plan General y del Programa Operativo Anual de la UAI” que establecen los
criterios para la programación y los elementos que permiten evaluar el nivel de desempeño
logrado por la UAI, y supletoriamente las buenas prácticas internacionales.
Adicionalmente, está sujeto al cumplimiento de las normas especiales internas emitidas por la
entidad y que son de aplicación general para todo el personal de la entidad.
La auditoría interna de las entidades debe entenderse como un medio eficaz para contribuir con las MAI,
secretarios de Estado, gerentes, directores, jefes o cualquier otra denominación que se le dé como
máximas autoridades, para el logro de los objetivos y resultados institucionales mediante la evaluación de
la efectividad de los procesos de gestión de riesgo, control interno y la ejecución de auditorías internas
con un enfoque integral o de gestión.
1.21.2. PROPÓSITO
Asegurar el cumplimiento de los objetivos de la entidad sobre eficiencia en el manejo de los recursos
públicos y la eficacia en el logro de los objetivos sustantivos, confiabilidad de la información producida y
cumplimiento de las disposiciones legales.
1.21.3. CRITERIOS
AMC.62 El responsable jerárquico de la UAI debe realizar reuniones periódicas con los responsables
jerárquicos de las áreas o unidades administrativas y operativas, proyectos y programas para
asesorar y facilitar el conocimiento y aplicación de los controles internos institucionales y el
establecimiento de planes de acción para la implementación de las recomendaciones internas y
externas.
AMC.63 La UAI debe realizar la evaluación separada del CII, y en el caso que los resultados superen ± 5%
de diferencia con los resultados del TAECII, estos deben ser objeto de análisis.
Marco Rector de la Auditoría Interna del Sector Público, TSC-NOGENAIG-03 Definición y propósito. MARE-
CII-RP, TSC-NOGECI VII-06 Cumplimiento de los Estándares Internacionales de Auditoría Interna.
Guía 2
“EVALUACIÓN Y GESTIÓN DE RIESGOS”
Posteriormente, se procede con la gestión de los riesgos, los Fuente: Resumen Ejecutivo, Control Interno –
que deben ser administrados dependiendo de su naturaleza y Marco Integrado. Committee of Sponsoring
Organizations of the Treadway Commission –
complejidad, aprovechando el conocimiento y experiencia del COSO. Mayo 2013.
personal que conoce y ejecuta los procesos, actividades y
servicios.
A continuación, se muestra las principales relaciones entre los cuatro de los diecisiete principios del
Control Interno – Marco Integrado 2013 (Figura 17) y los seis elementos del Marco Rector del Control
Interno Institucional de los Recursos Públicos, en la Figura 18, Figura 19, Figura 20 y Figura 21.
Figura 17
COSO 2013: principios de la evaluación de riesgos
Fuente: Resumen Ejecutivo, Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013.
Figura 18
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente evaluación y gestión de riesgos (1 de 4)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 19
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente evaluación y gestión de riesgos (2 de 4)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 20
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente evaluación y gestión de riesgos (3 de 4)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 21
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente evaluación y gestión de riesgos (4 de 4)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
“La dirección superior de los entes públicos debe apoyarse en el proceso de gestión de riesgos
institucionales para administrar eficazmente la incertidumbre y sus riesgos y oportunidades asociadas,
mejorar la capacidad de generar o agregar valor a todos sus grupos de interés, alcanzar los objetivos
institucionales y, prevenir la pérdida de los recursos.”
Aplicando la definición de gestión de riesgos institucionales del informe “Enterprise Risk Management -
Integrating with Strategy and Performance”1, del Committee of Sponsoring Organizations of the Treadway
Commission (2017) al ámbito del control interno gubernamental y en concordancia con las NOGECI,
podemos definir que se trata de la cultura, capacidades y prácticas, integradas con el establecimiento de
estrategias y el desempeño institucional, de las que las entidades dependen para gestionar el riesgo en la
creación, preservación y obtención de valor para ellas mismas y sus grupos de interés.
Entre las prácticas destaca el proceso efectuado por las MAE, los responsables jerárquicos de las áreas o
unidades y el restante personal, aplicable a la definición de estrategias en toda la entidad y diseñado para:
(1) identificar y evaluar eventos potenciales que puedan afectar a la entidad, (2) gestionar eficazmente sus
riesgos dentro del nivel de riesgo aceptado, y (3) proporcionar una seguridad razonable sobre la
consecución de los objetivos institucionales.
En esta guía sobre el componente del proceso de control interno “evaluación y gestión de riesgos”, se ha
optado por aplicar la metodología desarrollada por el documento “Enterprise Risk Management -
Integrating with Strategy and Performance”2, del Committee of Sponsoring Organizations of the Treadway
Commission, con el fin de formalizar un sistema de control interno con base en la gestión de riesgos
institucionales.
Por lo tanto, el componente de “evaluación y gestión de riesgos” se aborda en esta guía a través de los
tres componentes interrelacionados, en cuyo marco se presentan un conjunto de doce principios según
se detalla en la Tabla 1.
1
Enterprise Risk Management - Integrating with Strategy and Performance, Executive Summary. Committee of
Sponsoring Organizations of the Treadway Commission. Junio 2017.
2
Enterprise Risk Management - Integrating with Strategy and Performance, Executive Summary. Committee of
Sponsoring Organizations of the Treadway Commission. Junio 2017.
Tabla 1
Relación entre los subcomponentes de la guía con los componentes y principios del COSO ERM 2017
Subcomponentes de esta
Componentes del COSO ERM 2017 Principios del COSO ERM 2017
guía (Marco Rector TSC)
2.2 Planificación (TSC-
NOGECI IV-02)
2.3 Indicadores
6. Analiza el contexto empresarial.
Mensurables de Desempeño
7. Define el apetito al riesgo.
(TSC-NOGECI-IV-03) Estrategia y establecimiento 8. Evalúa las estrategias alternativas.
2.4 Divulgación de los de objetivos 9. Formula los objetivos empresariales.
Planes (TSC-NOGECI-IV-04)
2.5 Revisión de los
Objetivos (TSC-NOGECI-IV-05)
10. Identifica riesgos.
11. Evalúa la severidad de los riesgos.
12. Prioriza los riesgos.
Desempeño 13. Implementa las respuestas al riesgo.
2.6 Identificación y 14. Desarrolla una visión de portafolio de
Evaluación de Riesgos riesgos.
(NOGECI IV-01)
15. Evalúa los cambios sustanciales.
16. Revisa los riesgos y el desempeño.
Revisión y corrección 17. Propone mejoras en la gestión de riesgos
empresariales.
Fuente: (1) Enterprise Risk Management - Integrating with Strategy and Performance, Executive Summary. Committee of
Sponsoring Organizations of the Treadway Commission. Junio 2017. (2) Marco Rector del Control Interno Institucional de los
Recursos Públicos. Tribunal Superior de Cuentas. 2009.
Elaboración: ONADICI, 2018.
Los principios representan conceptos fundamentales asociados con cada componente del control interno,
y constituyen acciones que deberían desarrollarse como parte de las prácticas de la gestión de riesgos
institucionales. Los principios son universales y forman parte de cualquier iniciativa efectiva de gestión de
riesgos institucionales, las MAE deben sopesar su aplicación en sus respectivas entidades.
2.1.2. PROPÓSITO
Una gestión efectiva de riesgos contribuye a prevenir la ocurrencia de futuras pérdidas o hechos derivados
de los eventos identificados y evaluados que afecten los objetivos de la entidad en cualquiera de sus
procesos o áreas. También contribuye a prevenir la corrupción en todos sus niveles y tipos, a los que
permanentemente se encuentran expuestas las entidades.
Debe considerar proyecciones o pronósticos sobre situaciones que, aunque no hayan ocurrido, no se
descarta su probabilidad de ocurrencia, siendo indispensable contar con una actitud de prevención
considerando todos los eventos posibles.
Desde el punto de vista de la gestión de riesgos institucionales, los objetivos que espera lograr una entidad
se resumen en cuatro categorías:
i. Estratégicos, de alto nivel, que están alineados con la misión, visión y valores de la entidad y las
soportan, en armonía con el Plan de Nación y Visión de país.
ii. Operacionales, relacionados con la generación de valor a partir del uso eficaz, eficiente y
económico de los recursos públicos, en las operaciones, programas y proyectos, incluyendo los
La gestión efectiva de los riesgos institucionales proporciona una seguridad razonable de que la entidad
está haciendo lo necesario para lograr el cumplimiento de los objetivos contenidos en las cuatro categorías
antes detalladas, y que las MAE, los responsables jerárquicos de las áreas y unidades, y el personal
operativo son informados oportunamente del progreso de la entidad hacia el logro de estos objetivos.
Cada responsable jerárquico de área debe gestionar los riesgos dentro de su ámbito de competencia, de
tal manera que la consolidación de los riesgos de todos los procesos y áreas se convierten en el
inventario de riesgos de la entidad.
La gestión de los riesgos institucionales proporciona el marco conceptual para la identificación, análisis,
valorización, control y gestión de las exposiciones significativas a los riesgos que pudieran afectar el normal
desarrollo de la entidad e impedir el logro de las metas y objetivos planeados en sus procesos, áreas o
unidades administrativas.
La gestión se logra a través de la generación de información que sirva de base a los niveles de decisión
para:
Las entidades deben gestionar el riesgo de sus programas, proyectos, sistemas, procesos, actividades y
productos relevantes. Además, en forma previa al lanzamiento o presentación de nuevos servicios o
productos, inicio de actividades, puesta en marcha o modificación de sistemas o procesos, también deben
comprobar que se evalúa adecuadamente sus riesgos.
Como uno de los objetivos básicos a cumplir en este punto, corresponde definir las funciones, facultades
y responsabilidades de los servidores públicos o colaboradores que participan en el proceso de gestión de
riesgos, por ejemplo, mediante instrumentos de gestión tales como manuales de: organización y
funciones, descripciones de puestos, de procesos y procedimientos por cada área, entre otros.
2.1.3. CRITERIOS
El riesgo es la posibilidad o probabilidad de que ocurra un evento interno o externo que pudiera afectar
negativamente la capacidad organizacional para alcanzar los objetivos planeados y las metas, programas
y proyectos con eficacia, eficiencia, economía, transparencia y legalidad, dentro del marco de los
principios, preceptos y normas generales de control interno. Se mide en términos del impacto esperado
y la probabilidad de ocurrencia.
El fin último de toda entidad, ya sea pública o privada, con o sin fines de lucro, siempre va a ser la creación
de valor, independientemente de la unidad de medida que utilicemos para medirla. Por consiguiente, para
poder crear valor se requiere gestionar adecuadamente la entidad, y ello necesariamente se traduce en
garantizar el logro de los objetivos propuestos. En consecuencia, partiendo de la definición de riesgo
indicada en el párrafo anterior, gestionar adecuadamente la entidad termina traduciéndose en gestionar
adecuadamente sus riesgos, lo que no se puede llevar a cabo sin el diseño e implementación de un sistema
de gestión de riesgos institucionales (SGRI), el cual a su vez se construye sobre la base del sistema de
control interno (SCI) de la entidad.
Para diseñar e implementar un SGRI es necesario fijar la cantidad de riesgo que está dispuesta a asumir la
entidad para la consecución de sus objetivos, es decir fijar el apetito al riesgo, y dentro de éste, el riesgo
aceptado, así como los niveles máximos de variación y la capacidad máxima para afrontarlos. A
continuación, la Figura 22 muestra gráficamente los conceptos anteriormente señalados.
Figura 22
Apetito, tolerancia y capacidad de riesgo
Fuente: Instituto de Auditores Internos de España. (junio de 2013). Definición e implantación de Apetito de Riesgo.
(Instituto de Auditores Internos de España, Ed.) Recuperado el 15 de enero de 2018, de La Fábrica de
Pensamiento: https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf
El apetito al riesgo se define como una ponderación de alto nivel de cuánto riesgo (cantidad de
exposición a impactos adversos potenciales) la entidad está dispuesta a aceptar para alcanzar sus
objetivos. Por ello, para posibilitar la generación de valor, las entidades deben sopesar los riesgos y las
oportunidades, y es en este contexto que el apetito al riesgo sirve de guía para la toma de decisiones y la
asignación de los recursos, alineando a toda la entidad con la consecución de los objetivos fijados y
permitiendo el seguimiento y monitoreo de los resultados y sus riesgos asociados.
En otras palabras, el apetito al riesgo hace referencia a la cantidad agregada de riesgo que la entidad
activamente desea o está dispuesta a asumir para obtener valor.
El SGRI debe estar alineado con la estrategia de la entidad y con su cultura, teniendo en cuenta la naturaleza
de sus operaciones. Los órganos de dirección y control deben apoyar e impulsar la gestión de riesgos
institucionales, asegurándose que se transmita e integre a toda la organización y sus operaciones diarias. Por
ello, la definición de roles y responsabilidades para la gestión de los riesgos institucionales resulta siendo un
factor crítico de éxito para su implementación en la entidad.
El proceso de fijación del apetito al riesgo es específico para cada entidad, proceso y área, y es
responsabilidad compartida entre la MAI, la MAE, el Comité de Riesgos (COR), y los responsables
jerárquicos de las áreas y unidades de la entidad, en coordinación con el COCOIN.
Asimismo, el concepto de apetito al riesgo se encuentra íntimamente ligado a otras dos variables y sus
intervalos: la tolerancia al riesgo y la capacidad de riesgo.
La tolerancia al riesgo se define como los límites de la variación aceptable en el desempeño relacionado
con el logro de los objetivos, es decir los límites de la desviación con respecto del apetito al riesgo o
riesgo aceptado.
La capacidad de riesgo es la máxima cantidad de riesgo que una entidad es capaz de afrontar en la
persecución de sus objetivos.
Así, la tolerancia sirve como alerta para evitar que la entidad alcance el nivel establecido en su capacidad de
riesgo, lo que podría significar un impedimento para la continuidad de las operaciones.
Cada entidad persigue varios objetivos al mismo tiempo para agregar valor a sus grupos de interés,
debiendo entender el apetito como el riesgo que desea aceptar, siempre que esté dentro de sus límites y
tenga control sobre él para alcanzar sus objetivos.
Se debe verificar que el riesgo asumido en cada momento sea aceptado al estar dentro de los límites que
marca su apetito, evitando que se acerque al nivel de tolerancia establecido, tomándose medidas lo antes
posible para reducir la exposición a ese riesgo, evitando llegar al límite de su capacidad. La Figura 23
muestra gráficamente lo señalado anteriormente.
Figura 23
Exposición al riesgo en el tiempo
El siguiente ejemplo cotidiano ilustra con claridad los conceptos tratados. Imagínese que usted está
viajando en su automóvil, y que este admite una velocidad máxima de 200 km/h. Pero teniendo en cuenta
su habilidad para conducir, el tipo y condiciones de la vía, el clima y el estado de mantenimiento del
vehículo, entre otros factores, usted considera que podría tolerar ir a 160 km/h. Así, considerando que su
objetivo es llegar a su destino lo antes posible, pero de forma segura, decide que la velocidad máxima a la
que conducirá es de 100km/h, dado que es la velocidad que le permite hacer el recorrido respetando los
límites de velocidad establecidos, en un tiempo adecuado y con comodidad. Este sería por lo tanto su nivel
de apetito al riesgo.
A continuación, la Figura 24 muestra como ejemplo el caso de una empresa que debe decidir sobre una
puja (subasta) en un concurso para la adjudicación de una licencia de explotación.
Figura 24
Ejemplo de apetito, tolerancia y capacidad de riesgo
Fuente: Instituto de Auditores Internos de España. (junio de 2013). Definición e implantación de Apetito de Riesgo.
(Instituto de Auditores Internos de España, Ed.) Recuperado el 15 de enero de 2018, de La Fábrica de
Pensamiento: https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf
Toda entidad está expuesta a riesgos en todos sus niveles y ámbitos. Los riesgos, en caso de materializarse
en eventos de pérdida, pueden provocar la debilidad financiera hasta la quiebra, ineficiencia e ineficacia
de las operaciones, la baja calidad en los servicios o productos que presta, así como deterioro de la imagen
y credibilidad que proyecta la entidad a la ciudadanía.
a. Riesgo inherente
Por ejemplo, al analizar el riesgo inherente en el caso de los sistemas y tecnologías de la información,
se tiene la certeza de que en algún momento la conectividad a la Internet presentará fallas. Por lo
tanto, la valoración que se asigne podría ser la más alta sin que ello signifique que falle en todo
momento.
Otros ejemplos de riesgos inherentes son los choques, los volcamientos y atropellos en la actividad
del transporte, o derrumbes y explosiones en la minería.
b. Riesgo aceptado
Es establecido por la alta dirección, es decir las MAE y los responsables jerárquicos de las áreas y
unidades de la entidad al definir su estrategia.
Se define como el riesgo que aceptarían a cambio de lograr sus objetivos, entre ellos agregar valor a
los bienes y servicios públicos para la satisfacción de los grupos de interés. El riesgo aceptado se
refleja en los planes estratégicos, orientando la asignación de los recursos y la definición de los
procesos y funciones, y está directamente relacionado con el apetito al riesgo dentro del que se
encuentra contenido.
Por ejemplo, en el caso de la minería, si bien sus actividades operativas conllevan un alto riesgo
inherente, la alta dirección de una empresa minera está dispuesta a iniciar las operaciones siempre
que se hayan instalado los sistemas y mecanismos de seguridad que permitan operar la mina bajo
ciertos parámetros prestablecidos y aceptados. Ello implica que aun cuando la probabilidad de
accidentes debido a errores humanos o fallas en los sistemas y materiales se encuentran presentes,
y cuyo impacto de presentarse puede ser controlado, la alta dirección empieza las operaciones
aceptando esa probabilidad e impacto por estar dentro de sus límites de gestión. Es decir, el riesgo
residual se encuentra dentro de los límites de aceptación para la gestión y las operaciones.
c. Riesgo residual
Es el riesgo que permanece después que la MAE y los responsables jerárquicos de las áreas y unidades
de la entidad determinaron la respuesta al riesgo a aplicarse y se definió e implementó las actividades
de control pertinentes, con el fin de reducir el impacto o la probabilidad de un acontecimiento
adverso.
Su análisis y valoración se realiza con base en el estado actual, es decir considerando las actividades
de control en funcionamiento y no aquellas propuestas.
El riesgo residual es aquel que después de aplicadas las actividades de control, siempre se mantiene
presente sin afectar las actividades, en tanto se encuentre dentro de los límites aceptables.
Siguiendo con el ejemplo de la minería, el riesgo residual el nivel de riesgo que queda luego de que
se han instalado los sistemas y mecanismos de seguridad en las operaciones que permiten operar la
mina bajo ciertos parámetros prestablecidos y aceptados, haciendo que el riesgo inherente de que
ocurran accidentes debido a errores humanos o fallas en los sistemas y materiales (accidentes
personales, explosiones, derrumbes, entre otros) se reduzca en la probabilidad de ocurrencia y en el
impacto que puedan ocasionar de materializarse.
d. Riesgo tolerable
Es el riesgo que se produzca un desvío relativo a la consecución de los objetivos, y que está dentro de
los niveles de tolerancia al riesgo previamente establecidos, pudiendo ser asumido por la entidad.
Esta tolerancia debe ser medible con las mismas unidades de medida que los objetivos
correspondientes.
Al fijar las tolerancias al riesgo, la MAE debe tener en cuenta la importancia relativa de los objetivos
correspondientes a cada tolerancia y alinear aquellas al riesgo aceptado.
Siguiendo con el ejemplo de la minería, el riesgo tolerable sería aquel en el que producto de las
operaciones en la mina ocurriera una falla inesperada en alguna de las máquinas procesadoras de
mineral, de forma que, para seguir operando en niveles de producción normales, se deba de
incrementar la carga en las otras máquinas o bien incrementar las horas de trabajo para compensar
la situación.
e. Riesgo de control
Es el riesgo que las actividades de control fallen. Es decir, el riesgo que una actividad de control
tendiente a mitigar un riesgo no opere en la práctica en forma eficaz y de acuerdo con el tipo de
medida de control, no prevenga la ocurrencia del evento de pérdida o mitigue su impacto, o, una vez
realizada la operación o finalizado el proceso no detecte que se ha producido una pérdida o no pueda
corregir el efecto que ese evento de pérdida ha generado en la entidad. En resumen, el control
aplicado fue nulo o muy débil.
Para poder realizar una adecuada gestión de los riesgos institucionales que enfrenta la entidad, es
necesario:
1. Tener objetivos claramente definidos, medibles, socializados y aceptados por todo el personal de la
entidad
2. Identificar por cada proceso y área todos los riesgos relevantes que pueden comprometer el logro de
los objetivos de la entidad (estratégicos, operativos, de información y de cumplimiento)
3. Cuantificar los riesgos inherentes, aceptados, residuales y tolerables, es decir, en función de su
impacto potencial y probabilidad de ocurrencia (medirlos-priorizarlos-tratarlos)
4. Evaluar la suficiencia, eficacia, eficiencia y economía de las actividades de control existentes y a
desarrollarse para mitigar los riesgos
5. Decidir sobre los riesgos residuales y documentar las decisiones
6. Identificar oportunamente nuevos riesgos.
En el numeral 2.2 se detallan los roles y responsabilidades que le corresponden a los responsables del
proceso de gestión de los riesgos institucionales de la entidad, los que deben socializados con el resto del
personal.
EGR.1 La MAE, en conjunto con los responsables jerárquicos de las áreas o unidades de la entidad
deben definir por escrito las funciones, facultades, roles, responsabilidades y perfiles que le
corresponden a cada uno de los miembros de la entidad dentro del proceso de gestión de los
riesgos institucionales (ver numeral 2.2).
EGR.2 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben garantizar que
exista y se mantenga una comunicación clara, fluida y efectiva entre los responsables de la
gestión de los riesgos de la entidad, así como la interacción proactiva con la UAI y los organismos
reguladores del Estado, dejando constancia en las actas correspondientes de las reuniones que
se realicen.
• Un miembro de la MAI, para el caso de las entidades que cuentan con órganos de
dirección colegiados,
• La MAE en el caso de las entidades con órganos de dirección colegiados; en todas las
demás que no hay órgano de dirección colegiado, participa la MAE o un designado
por la MAE, con rango gerencial y poder de decisión,
• El Responsable de Coordinación y Seguimiento de la Gestión de Riesgos,
• El responsable jerárquico del área de planificación,
• El responsable jerárquico del área de administración y finanzas,
• Los responsables jerárquicos de las unidades relacionadas con la gestión de las áreas
sustantivas de la entidad.
El Comité reporta y asesora a las MAI o a las MAE, según sea el caso, en los temas de gestión de
riesgos.
En todas las entidades debe existir la figura del Responsable de Coordinación y Seguimiento de
la Gestión de Riesgos.
Se considera recomendable la creación del COR en las entidades tipo B. En el caso de las demás
entidades, las funciones correspondientes al COR recaen directamente en la MAE.
Corresponde a cada entidad implementar una gestión eficaz de los riesgos, considerando los lineamientos
que se exponen a continuación y teniendo en cuenta las adaptaciones a realizarse en función de sus
necesidades, estructura organizativa y recursos disponibles, así como de la naturaleza de sus actividades,
complejidad de sus procesos, la magnitud de la entidad y otras circunstancias propias de ella.
Las actividades de control deben estar encaminadas a minimizar los diferentes tipos de riesgos, motivo
por el cual forman parte integral del plan de implementación del control interno y la gestión de los
riesgos en la entidad.
La MAI, MAE, responsables jerárquicos de las áreas y unidades de la entidad en general, y el Responsable
de Coordinación y Seguimiento de la Gestión de Riesgos en particular, deben evidenciar un alto grado de
compromiso tendiente a mantener una sólida cultura de gestión de riesgos institucionales y que las
actividades relacionadas con este proceso formen parte de las operaciones diarias de la entidad.
La Máxima Autoridad Institucional (MAI) es el órgano que en reuniones con votación de la mayoría de sus
miembros toman las principales decisiones sobre las políticas y gobierno de la entidad, las que quedan
registradas por el secretario (Máxima Autoridad Ejecutiva, MAE) como acuerdos en las actas respectivas;
siendo ejecutados los acuerdos bajo la coordinación de la MAE, y supervisada su ejecución mediante
informes presentados por la MAE, la UAI u otro órgano competente de la entidad. Esta supervisión se
relaciona directamente con el control interno y la gestión de riesgos.
Los miembros de la MAI que aprueban las decisiones son responsables solidarios por las mismas, excepto
cuando se han definido claramente los roles, control interno, riesgos y responsabilidades en la estructura
organizacional.
Los miembros de la MAI deben ser objetivos y capaces de tomar decisiones con base en información
confiable, veraz, oportuna y completa para el logro de los objetivos institucionales. Deben tener un
adecuado conocimiento de las actividades y del ambiente de la entidad. Asimismo, están facultados para
emplear los recursos disponibles y solicitar información sobre cualquier asunto que consideren
importante, sobre ampliaciones de la información, de manera presencial o escrita a través de los canales
debidamente establecidos.
La MAI puede cumplir con sus responsabilidades mediante comités. Su uso y centros de atención varían
de una entidad a otra, encontrándose entre éstos a los de auditoría y riesgos, entre otros.
2.2.1.1. Conocer hasta qué punto la administración de la entidad ha establecido la gestión de riesgos
institucionales
2.2.1.2. Aprobar, conocer y estar de acuerdo con el apetito y tolerancia al riesgo de la entidad
2.2.1.3. Revisar la visión de portafolio de riesgos y considerarla contra el apetito al riesgo de la entidad
2.2.1.4. Estar informado de los riesgos más significativos que enfrenta la entidad y conocer si la
administración está respondiendo adecuadamente
2.2.1.5. Otras funciones que las leyes y normas específicas pueden otorgarle.
Es responsable de que la entidad cuente con una estrategia adecuada para la gestión de riesgos. Fija la
estrategia y la implanta, se asegura de que los riesgos son gestionados, y es consciente del nivel de riesgo
aceptado, estando de acuerdo con él. Para el caso de las empresas del Estado se trata de la Gerencia
General, órgano que ejerce la representación legal de la entidad.
2.2.2.1. Aprobar el sistema que va a utilizarse para la gestión de riesgos, cuya periodicidad mínima de
revisión es anual o cada vez que se produzcan, a juicio de la entidad, hechos o situaciones de
relevancia vinculadas con los riesgos determinados.
2.2.2.2. Identificar la capacidad de riesgo de la entidad, y en función de ésta proponer al COR los niveles
de apetito y tolerancia al riesgo a ser aprobados por la MAI.
2.2.2.4. Asegurar que existan, y aprobar, procesos y procedimientos aplicables a cada área o unidad,
destinados a la gestión de los riesgos en los procesos, actividades, productos y sistemas de la
entidad.
2.2.2.5. Tener un claro conocimiento de los procedimientos para gestionar los riesgos y de su grado de
cumplimiento. Para ello debe recibir, con una periodicidad mínima semestral, información
suficiente que permita analizar el perfil general de riesgos de la entidad y verificar las
implicancias estratégicas y sustanciales para su actividad.
2.2.2.6. Asegurar que el sistema para la gestión de riesgos esté sujeto a un proceso de auditoría interna
que considere una adecuada cobertura y profundidad de las revisiones y la adopción oportuna
de medidas correctivas por parte de los responsables de las áreas auditadas.
2.2.2.7. Establecer líneas claras de autoridad, responsabilidad y comunicación con las distintas áreas y
unidades de la entidad para fomentar y mantener la asunción de responsabilidades.
2.2.2.8. Aprobar las políticas de difusión del sistema de gestión de riesgos y de capacitación, dirigidas a
todas las áreas y a todos los servidores públicos o colaboradores de la entidad.
2.2.2.9. Aprobar la política para la difusión a terceros de la información que corresponda sobre el
sistema de gestión de riesgos. El contenido de esta información y sus características serán
proporcionales al volumen, complejidad y perfil de riesgo de las operaciones de la entidad.
2.2.2.11. Garantizar que la entidad cuente con personal técnicamente calificado, así como también con
los recursos necesarios para la coordinación y seguimiento de la gestión de riesgos.
2.2.2.12. Dar instrucciones para la implementación de las acciones necesarias, dentro del marco legal
vigente, para atender las recomendaciones en materia de control interno formuladas por la
ONADICI, la auditoría interna o externa, los comités existentes en la entidad (COCOIN, COR,
COA, entre otros) y otros entes reguladores del Estado.
2.2.2.13. Dar instrucciones para la elaboración de informes, como mínimo trimestralmente, sobre la
implementación de las acciones necesarias para atender las recomendaciones indicadas en el
numeral anterior (2.2.2.12).
2.2.2.14. Establecer medidas para evitar el conflicto de intereses durante el análisis, valoración,
respuesta y monitoreo de los riesgos institucionales.
2.2.2.15. Supervisar que los responsables de las áreas y unidades de la entidad establezcan los
mecanismos de supervisión verificables que garanticen el cumplimiento de las normas,
políticas, procesos y procedimientos de la entidad y de aquellos emitidos por los entes
reguladores del Estado.
Los responsables jerárquicos de las áreas y unidades de la entidad con el personal operativo, quienes
fungen como responsables de los procesos, son los que gestionan los riesgos institucionales con el fin de
minimizar la posibilidad de que los hechos o acontecimientos que causan los eventos de pérdida (riesgos)
se materialicen, o reducir el impacto que puedan provocar en la entidad.
2.2.3.1. Aplicar en las distintas áreas y unidades, según su ámbito de competencia, los procesos y
procedimientos definidos para la gestión de los riesgos, debiendo asegurar que tanto los
procedimientos como las actividades de control sean adecuadas y eficaces.
2.2.3.2. Gestionar los riesgos institucionales dentro de sus áreas de responsabilidad y según el nivel de
riesgo aceptado, identificando y evaluando los riesgos generados en los procesos de la entidad,
apoyando la filosofía de gestión del riesgo y promoviendo el cumplimiento a la aplicación del
riesgo aceptado en la toma de decisiones.
2.2.3.4. En su gestión, cada responsable jerárquico debe mantener una comunicación fluida y efectiva
con los responsables de la gestión de otros riesgos (otros responsables de procesos), e
interactuar con la UAI y auditoría externa, cualquiera sea su origen (estatal o privado), sobre
temas que ayuden a tener una visión más general y objetiva de la gestión global de los riesgos
que enfrenta la entidad.
2.2.3.5. En su gestión, cada responsable jerárquico de área y unidad debe revisar y agregar valor a los
manuales, informes y demás documentos que emitan o fluyan a través de su área y unidad,
hacia interior o afuera de la entidad.
2.2.3.6. En su gestión, cada responsable jerárquico de área y unidad debe formular y revisar
periódicamente los indicadores de riesgo que le competen con el fin de proponer
reformulaciones en función de la naturaleza de los eventos de pérdida ocurridos.
2.2.3.7. Establecer los mecanismos de supervisión verificables que garanticen el cumplimiento de las
normas, políticas, procesos y procedimientos de la entidad y de aquellos emitidos por los entes
reguladores del Estado.
2.2.4.2. Debe apoyar y asistir a todas las unidades organizacionales de la entidad para la realización de
una buena gestión de riesgos en sus áreas de responsabilidad, propiciando acciones que
coadyuven al cumplimiento eficaz de los objetivos inherentes a su actividad y permitan alcanzar
los objetivos estratégicos de la entidad, de acuerdo con los estándares dispuestos y la adopción
de las mejores prácticas.
2.2.4.3. Participar en la elaboración y ejecución del PEI; así como apoyar en elaborar los proyectos del
POA y los proyectos internos que le sean asignados.
2.2.4.4. Proponer al COR las políticas, procedimientos y metodologías apropiadas para la Gestión de
Riesgos en la entidad, considerando adicionalmente la gestión de continuidad de negocios y
seguridad de la información, incluyendo roles y responsabilidades.
2.2.4.5. Velar por una competente gestión de riesgos, continuidad de negocios y seguridad de la
información, promoviendo el alineamiento de las medidas de tratamiento de los riesgos de la
entidad con los niveles de tolerancia al riesgo y el desarrollo de las actividades de control
adecuadas.
2.2.4.6. Guiar la integralidad entre la gestión de riesgos, los planes institucionales y las actividades de
gestión operativa de la entidad.
2.2.4.7. Coordinar las políticas de gestión de riesgos de reputación e imagen institucional, y las de
seguridad legal que comprendan el análisis, la evaluación y el tratamiento de los riesgos
relacionados.
2.2.4.8. Asegurar que los responsables jerárquicos de las áreas hayan evaluado y dado el seguimiento
a los riesgos identificados de acuerdo con la metodología establecida previo al lanzamiento de
nuevos productos o servicios.
Continuidad del Negocio de la entidad utilizando las herramientas físicas o tecnológicas de las
que se dispongan.
2.2.4.10. Promover una cultura institucional de gestión de riesgos entre los responsables jerárquicos de
las áreas y unidades, y éstos a su vez con sus subordinados, que coadyuve al cumplimiento de
los objetivos estratégicos de la entidad.
2.2.4.11. Articular los principales procesos que la entidad necesite para gestionar los riesgos, adoptando
los mecanismos que permitan una comunicación, interacción y coordinación efectiva con los
responsables de los procesos.
2.2.4.12. Recibir de los responsables jerárquicos de las áreas y unidades de la entidad, informes con los
resultados de la ejecución de los procesos y procedimientos con la periodicidad que la entidad
establezca de acuerdo con su tamaño, la naturaleza y complejidad de sus procesos y productos,
y con la magnitud de sus operaciones, la que debe ser, como mínimo, trimestral; consolidando
la información y presentándola a la MAE para la toma de decisiones.
2.2.4.13. Realizar el seguimiento eficaz de los eventos de pérdidas para facilitar la rápida detección y
corrección de las posibles deficiencias que se produzcan en sus políticas, procesos y
procedimientos de gestión de los riesgos.
2.2.4.14. Coordinar con la auditoría interna o externa, además de las áreas y unidades, para la obtención
de información sobre eventos de pérdida identificados que conduzcan a la construcción de la
base de datos de pérdida de la entidad.
2.2.4.15. Asegurar que los indicadores de riesgo de las áreas y unidades hayan sido formulados de
acuerdo con la metodología de cálculo establecida, sea cualitativa o cuantitativa.
2.2.4.16. Informar a la MAE y al COR sobre los aspectos relevantes de la gestión de riesgos para una
oportuna toma de decisiones (ejemplo: posibles deficiencias en la aplicación de las políticas,
procesos y procedimientos de la gestión de riesgos), presentando las correspondientes
propuestas para su solución, con la periodicidad establecida. El informe debe ser, como
mínimo, semestral, y una vez analizado y aprobadas las propuestas de mejora por la MAE y el
COR, se comunica a los responsables jerárquicos de las áreas y unidades afectadas para que
adopten las medidas correctivas aprobadas.
2.2.4.17. Puede coordinar y solicitar apoyo a través de la MAE al personal de otras áreas, siempre que
las responsabilidades asignadas no impliquen conflictos de intereses.
El perfil de esta función implica un conocimiento profundo de las operaciones de la entidad, así como
poseer una visión global de la misma, considerándose deseable que, entre otros, los servidores o
colaboradores con experiencia previa en áreas tales como gestión de calidad, gestión de riesgos, auditoría
interna o planificación serían los más calificados para desempeñar este rol. Para el caso de los de auditoría
interna se requiere que no se encuentren actualmente en funciones en la UAI.
La periodicidad mínima de las reuniones es trimestral, en concordancia con la revisión trimestral del POA
y reuniones extraordinarias cada vez que existan situaciones que ameriten o a solicitud de cualquiera de
sus miembros.
Los informes del COR son de conocimiento de la MAE y enviados a la MAI, quien luego de analizarlos y
aprobarlos los presenta al Comité de Auditoría para su conocimiento y seguimiento de su cumplimiento.
2.2.5.2. Revisar la propuesta de nivel de tolerancia y el grado de apetito al riesgo propuestos por la
MAE que la entidad está dispuesta a asumir en el desarrollo sus actividades, y elevarla a la MAI
para su aprobación.
2.2.5.3. Revisar y controlar la implementación de la gestión de los riesgos que realizan los responsables
jerárquicos de las áreas y unidades dentro de sus propias atribuciones.
2.2.5.4. Establecer canales de comunicación efectivos para que las áreas involucradas en la toma,
registro, identificación y administración de los riesgos tengan conocimiento de los riesgos
asumidos.
2.2.5.6. Fijar un plan de las acciones a ejecutarse para la adecuada mejora de las actividades de control
vigentes o la implementación de nuevas actividades de control viables, asignando responsables
de tareas y plazos razonables de cumplimiento, que deberán ser objeto de seguimiento
oportuno por parte del COCOIN.
institucionales de la entidad, para contribuir a garantizar que los riesgos clave se están gestionando
correctamente y que el sistema de control interno está funcionando eficazmente.
Los auditores internos pueden asesorar, cuestionar o respaldar las decisiones de la MAE y de los
responsables jerárquicos de las áreas o unidades respecto a temas de riesgos, pero no pueden tomar
decisiones, dado que la MAE y los responsables jerárquicos de las áreas y unidades son los responsables
de la gestión de los riesgos.
Como principio básico de resguardo y atendiendo a una efectiva separación de funciones, el auditor
interno no debe realizar actividades relacionadas con la gestión de riesgos que puedan afectar su
independencia y objetividad, exceptuando las correspondientes a su área.
La UAI realiza el monitoreo independiente de la gestión de riesgos y no puede, bajo ningún punto de vista,
gestionar los riesgos. En cambio, tiene funciones de asesoramiento del proceso (consultor interno).
La estructura organizacional de la UAI debe estar de acuerdo con los lineamientos establecidos en las guías
emitidas por la ONADICI.
• Actuar como facilitar en la identificación y evaluación de los riesgos por área cuando le sea
solicitado
• Asesorar a la MAI, MAE y a los responsables jerárquicos de las áreas o unidades en la etapa de
selección de la respuesta a los riesgos
• Analizar y evaluar los informes sobre riesgos consolidados presentados por el COR
• Contribuir a mantener y promover en la entidad el enfoque de gestión de riesgos institucionales
2.3. PLANIFICACIÓN
“El control interno de gestión de los entes públicos debe apoyarse en un sistema de planeación para
asegurar una gerencia pública por objetivos”.
“…dichos objetivos deben estar interrelacionados con los planes y programas de gobierno tanto de
desarrollo económico y social como de prestación de los servicios básicos a la comunidad, …”.
2.3.2. PROPÓSITO
Establecer a través de los planes estratégicos institucionales (PEI), planes operativos anuales (POA) y
presupuestos financieros de ingresos y egresos y sus correspondientes POA Presupuesto, conocidos y
aceptados por el personal, cuáles son los objetivos que se pretende lograr y controlar.
El proceso de planificación implica la definición de un PEI con premisas y políticas de carácter general que
definen la asignación de los recursos y las prioridades que es necesario atender para producir y entregar
los productos y servicios.
Al considerar las posibles formas alternativas de alcanzar los objetivos estratégicos, la dirección analiza
escenarios, identifica los riesgos asociados a una amplia gama de elecciones estratégicas y los evalúa
considerando sus implicancias.
Al fijar los objetivos específicos de la entidad, tomando como principios básicos el gerenciamiento de los
recursos públicos sobre la base del cumplimiento de los objetivos y de una gestión adecuada de los riesgos,
se está asegurando el cumplimiento de los siguientes propósitos:
(a) Proteger el patrimonio de los ciudadanos al garantizar el buen uso de los recursos aportados por
sus impuestos, protegiendo los activos financieros y no financieros del Estado
(b) Generar valor para la entidad, al mejorar la gestión de los servicios públicos
(c) Asegurar la transparencia y rendición de cuentas, al generar y difundir información confiable de
las entidades relacionada con el logro de sus objetivos
(d) Optimizar el uso de los recursos públicos, reduciendo los gastos innecesarios e invirtiendo
adecuadamente el Presupuesto Institucional, buscando optimizar la eficiencia operacional
(e) Mejorar la calidad de los servicios que se le otorga a los ciudadanos, lo cual implica alcanzar los
objetivos económicos y sociales que todo gobierno debe establecer
(f) Modernizar y transformar las entidades públicas, a través de la mejora continua de los procesos,
con eficiencia, eficacia y economía.
Los objetivos establecidos en el nivel estratégico sirven de base para la definición de los objetivos
relacionados: operacionales, de información y de cumplimiento. Los objetivos y las metas determinados
en estos ámbitos deben estar alineados con el nivel de riesgo aceptado definido por la entidad, que orienta
a su vez los niveles de tolerancia al riesgo (riesgo tolerable). Los objetivos fijados en los distintos niveles
de la entidad deben estar alineados, articulados, vinculados e integrados y ser coherentes y compatibles
entre sí.
Las entidades normalmente dejan implícitos los objetivos y metas referidos a la información y el
cumplimiento normativo, por lo que es fundamental que los mismos sean formalizados por la MAE en el
PEI y al especificarse las pautas consideradas al diseñar y desarrollar el POA, con el fin de que todas las
áreas y unidades de la entidad cumplan con el logro de tales objetivos.
Anualmente, y tomando como premisa el cumplimiento del PEI, debe diseñarse y emitirse el POA
correspondiente. “El POA debe generar metas y objetivos específicos y de corto plazo a alcanzar, que
determinen las acciones concretas a realizar e identifiquen, entre otros, los recursos disponibles, los
responsables de llevarlos a la práctica, la coordinación entre las unidades participantes y la identificación
y el análisis de los riesgos pertinentes. Dichas metas deben estar desagregadas en sub periodos para
facilitar su medición y evaluación.”
En concordancia con el POA, “El presupuesto de ingresos y egresos indica los recursos financieros
necesarios para ejecutar el POA, de conformidad con las disposiciones aplicables.”
2.3.3. CRITERIOS
“La identificación y evaluación de los riesgos, como componente esencial del proceso de control interno,
debe ser sustentado por un sistema participativo de planificación que considere la misión y la visión
institucionales, así como objetivos, metas y políticas establecidos con base en un conocimiento adecuado
de los medios interno y externo en que la organización desarrolla sus operaciones.”
La definición de los objetivos estratégicos de la entidad y la fijación de las prioridades implica determinar
la propuesta de valor que ofrece la entidad según su capacidad y especialización, poniendo énfasis en los
servicios y bienes que provee a la sociedad. Las cuatro perspectivas a considerar son las siguientes:
(a) Obtención de los mejores resultados (sociales, financieros y políticos) en función de los
requerimientos de los diferentes grupos de interés a los que la entidad debe satisfacer
(b) Atención de las necesidades, prioridades y expectativas de los ciudadanos, usuarios y clientes
(internos y externos)
(c) Mejora de los procesos internos y operacionales
(d) Innovación, aprendizaje y crecimiento del personal y la infraestructura de la entidad.
La Guía 1 “Ambiente de Control”, en el numeral 1.2.4 establece como práctica obligatoria: “AMC.4 La MAE,
con los responsables jerárquicos de todas las áreas o unidades de la entidad, debe formular, o si
corresponde, mejorar y actualizar la propuesta de visión, valores y objetivos estratégicos de la entidad en
forma anual, de acuerdo con la normatividad emitida por el ente rector en la materia.” Cabe aclarar que
en esta actividad también participa el responsable jerárquico del área de planificación. Asimismo, y al
formular tales objetivos, debe tomarse en cuenta y definirse la estrategia a aplicar a los riesgos (nivel de
riesgo aceptado, tolerancia al riesgo, umbrales de alerta, entre otros).
Tanto los objetivos definidos en el PEI y en los proyectos de mediano plazo (plurianuales), como las metas,
políticas y programas determinados en el POA, deben estar sobre la base de y estar alineados y articulados
con las normativas de mayor rango, tales como:
i. Los principios, objetivos nacionales y metas de prioridad nacional definidos en la Visión de País
ii. Los lineamientos estratégicos, objetivos e indicadores determinados en el Plan de Nación
iii. El Plan de Gobierno vigente
iv. El marco normativo que rige el funcionamiento de la entidad, el que incluye, entre otros:
• Normas de creación y reglamentación de los objetivos y actividades de la entidad
• Ley General de Administración Pública, el Reglamento de Organización, Funcionamiento y
Competencias del Poder Ejecutivo y las pautas dadas por la Secretaría de Finanzas
• Otras normas técnicas fijadas por los organismos rectores (TSC, SEFIN, SCGG, ONADICI, ONCAE,
entre otros).
Por otra parte, la aplicación de la metodología conocida como “análisis FODA o SWOT”3 para la fijación de
los objetivos y metas de la entidad, a través del análisis del entorno y de la entidad, ayudan a través de su
identificación y valorización, a la potenciación de las fortalezas, al aprovechamiento de las oportunidades,
la mitigación de las amenazas externas y la atención de las debilidades internas de las entidad,
conduciendo al establecimiento de una estrategia amplia, así como de los factores claves o críticos para el
éxito de la entidad.
En cuanto a los criterios a considerar para la formulación del POA, tal como lo indica el precepto de
Planeación del Marco Rector de Control Interno Institucional de los Recursos Públicos emitido por el TSC
(Declaración TSC-PRECI-01.01), el POA debe incluir como mínimo los siguientes siete (7) elementos:
EGR.4 La MAE y el responsable jerárquico del área de planificación, con el concurso de los responsables
jerárquicos de todas las áreas y unidades de la entidad y con la participación organizada de los
representantes de los servidores públicos o colaboradores, establecen formalmente, y revisan
como mínimo anualmente la misión, visión, valores, objetivos, metas, políticas y programas
institucionales, así como los niveles de riesgo aceptable (apetito al riesgo) y de tolerancia al
riesgo, considerando:
EGR.5 Los responsables jerárquicos de todas las áreas y unidades, con la participación organizada de
sus subordinados, y de acuerdo con los lineamientos y procedimientos establecidos por el área
de planificación, deben establecer formalmente los objetivos y metas cada área o unidad
3
FODA es el acrónimo del método de análisis estratégico para las fortalezas, oportunidades, debilidades y amenazas,
así como SWOT es el equivalente en inglés para el mismo método, cuyas letras corresponden a “strengths,
weaknesses, opportunities and threats”.
administrativa (o subobjetivos), los que deben estar alineados y articulados con los objetivos
fijados por la entidad, ser compatibles internamente, determinando los niveles de riesgo
aceptado (apetito al riesgo) y de tolerancia para los riesgos que gestionan.
EGR.6 Las MAE y los responsables jerárquicos de todas las áreas y unidades deben asegurarse de que
los objetivos y metas sean formulados en forma realista, en función de la disponibilidad prevista
de los recursos necesarios y suficientes para el logro de las metas, los que deben estar
adecuadamente proyectados, especificados, priorizados y asignados, debiendo figurar
claramente en el POA y en el Presupuesto General de Ingresos y Egresos.
EGR.7 Las MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad deben
realizar reuniones periódicas – como mínimo trimestrales, y en conjunto con la revisión del POA
– con el fin de evaluar si los objetivos y las metas han sido alcanzados.
EGR.8 La MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad, para
efectos de establecer los objetivos y metas en los distintos niveles de la entidad, deben analizar
el contexto institucional considerando sus efectos potenciales en el perfil de riesgos de la
entidad, debiendo tener en cuenta lo siguiente:
EGR.9 La MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad deben
proponer al COR el apetito y la tolerancia al riesgo dentro del contexto de la creación,
preservación y logro del valor en la entidad.
EGR.10 El COR debe revisar la propuesta del apetito y la tolerancia al riesgo formulada por la MAE, y de
considerarla adecuada, elevarla para su aprobación por la MAI.
EGR.11 LA MAI debe revisar la propuesta del apetito y la tolerancia al riesgo elevada por el COR, y
formulada por la MAE, y de considerarla adecuada, aprobarla para su aplicación en la entidad.
EGR.12 La MAE y los responsables jerárquicos de las áreas o unidades principales de la entidad deben
evaluar estrategias alternativas, así como su impacto potencial en el perfil de riesgos de la
entidad.
EGR.13 La MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad deben
considerar los riesgos mientras establecen los objetivos de la entidad en los diferentes niveles
alineados y soportados por la estrategia.
“Los planes deberán ser divulgados oportunamente entre el personal respectivo para procurar un
conocimiento y una aceptación generales y obtener el compromiso requerido para su cumplimiento”.
2.5.2. PROPÓSITO
Una vez que los planes oficiales (estratégicos, operativos anuales y presupuestarios) han sido elaborados
y están listos para entrar en vigencia, deben ser comunicados formalmente en forma oportuna (con acuse
de recibo) a todos los servidores públicos o colaboradores que laboran en la entidad, con el fin de que
sean conocidos, comprendidos y aceptados por el personal de las áreas y unidades encargadas de ejecutar
las actividades necesarias para el logro de los objetivos de la entidad, de conformidad con sus
responsabilidades y para lograr el compromiso de su parte.
La Guía 1 “Ambiente de Control”, en el numeral 1.2.4, plantea dentro de su práctica obligatoria “AMC.6 La
MAE, con los responsables de todas las áreas o unidades de la entidad, en coordinación con el COCOIN,
debe difundir ampliamente al personal el Plan Estratégico Institucional, el POA y el Presupuesto
Institucional aprobado por el Congreso Nacional. Es necesario que exista plena consistencia entre el POA y
el presupuesto aprobado. En el caso que haya ampliaciones o recortes al Presupuesto Institucional, el POA
debe ser adecuado a las nuevas circunstancias.”
2.5.3. CRITERIOS
Se requiere una comunicación formal, oportuna, eficaz y verificable (con acuse de recibo),
recomendándose la socialización de los principales objetivos y metas a través de talleres y reuniones de
sensibilización.
La difusión debe incluir los planes originales y también las modificaciones, actualizaciones y ajustes
significativos.
EGR.14 La MAE y el responsable jerárquico del área de planificación, con apoyo de los responsables de
todas las áreas y unidades de la entidad, deben comunicar formal y oportunamente al personal
de la entidad, la misión, visión, valores, objetivos, metas, políticas y programas de la entidad, los
niveles de riesgo aceptados y de tolerancia al riesgo y los planes oficiales elaborados (estratégico,
operativo anual y presupuesto).
Esta comunicación debe realizarse a través de un memorando u otro documento similar firmado
por la MAE de la entidad, física y electrónicamente. Todos los servidores públicos o
colaboradores con conocimiento de esta documentación deben evidenciar el acuse de recibo de
la comunicación, la que deberá incluirse en el archivo personal de cada uno en poder del área de
gestión del talento humano.
EGR.15 Los responsables jerárquicos de todas las áreas y unidades de la entidad deben programar y
realizar talleres y reuniones de socialización de los principales objetivos y metas fijados con el fin
que sean conocidos, comprendidos y aceptados por los servidores públicos o colaboradores,
propiciando el compromiso en su cumplimiento, de conformidad con las responsabilidades a su
cargo.
EGR.16 La difusión del PEI y los POA debe incluir los planes originales y también las modificaciones,
actualizaciones y ajustes significativos.
“El titular principal o jerarca respectivo, con el apoyo del resto del personal deberá revisar periódicamente
los objetivos de los planes e introducirles las modificaciones requeridas para que continúen siendo guías
claras para la conducción de la institución hacia su misión principal y proporcionen un sustento oportuno
al control interno institucional”.
2.6.2. PROPÓSITO
Preparar a la entidad para que pueda conocer y gestionar oportuna y adecuadamente los riesgos
provenientes del cambio, para que, en el caso de ser necesario, pueda realizar las modificaciones
pertinentes.
La MAE, con el apoyo del personal de la entidad, debe permanecer alerta y revisar periódicamente el
ambiente interno, el entorno exterior y la gestión de la entidad, a través de herramientas de gestión e
información que lo ayuden a prever, identificar y reaccionar en forma oportuna si se producen hechos,
acontecimientos o actividades que puedan generar cambios significativos que afecten el logro de los
objetivos de la entidad.
Estas herramientas de gestión del cambio deben detectar y diferenciar variaciones que sólo influyen en
forma transitoria o no significativa a la consecución de los objetivos globales o específicos de la entidad, y
que pueden ser analizados y resueltos por los responsables de la gestión de las actividades afectadas.
Los cambios que puedan afectar de una forma más significativa o permanente la gestión de la entidad
requieren la participación de los responsables jerárquicos de las áreas y unidades e inclusive la MAE,
considerando en todos los casos los efectos que pueden producir.
2.6.3. CRITERIOS
(a) Volver a realizar el análisis e identificación de los cambios en la vigencia, así como la pertinencia
de los objetivos de los planes estratégicos, operativos y presupuestarios, con el fin de ratificar o
rectificar los mismos
(b) La identificación, análisis y valorización de las oportunidades y riesgos asociados y la vigencia de
las actividades de control relacionadas
(c) El monitoreo de los indicadores de desempeño y criterios de evaluación definidos, con el fin de
determinar si es necesario modificar estrategias, señalando en qué áreas deben realizarse las
modificaciones respectivas.
En caso de que, en función de la evaluación realizada, corresponda redefinir alguno de los objetivos, metas
o planes de la entidad, y por ende la estrategia, así como la identificación y evaluación de los riesgos, la
determinación de la respuesta a los riesgos o la definición de las actividades de control, entonces se debe
retroalimentar el proceso de planificación a partir del componente que ha sufrido modificaciones. Se debe
considerar estos cambios o ajustes para el desarrollo de la gestión y la elaboración de la planificación del
año siguiente, así como para las revisiones que se hagan durante el ejercicio a los planes vigentes.
Una vez aprobado el Presupuesto Anual de Ingresos y Egresos por el Congreso Nacional, la entidad debe
revisar su POA con el fin de hacer los ajustes pertinentes a los productos programados. Si en el transcurso
del año hay otras modificaciones a los presupuestos de las entidades, se debe realizar los ajustes
pertinentes y tener una programación actualizada de acuerdo con los cambios.
EGR.17 La MAE y el responsable jerárquico del área de planificación deben revisar periódicamente el
ambiente interno, el entorno exterior y la gestión de la entidad, a través de herramientas de
gestión e información que lo ayuden a prever, identificar y reaccionar en forma oportuna si se
producen hechos, acontecimientos o actividades que puedan generar cambios significativos que
afecten el logro de los objetivos de la entidad. El periodo mínimo de revisión es anual.
EGR.18 El responsable jerárquico del área de planificación, con el apoyo de los demás responsables
jerárquicos de las demás áreas y unidades, debe desarrollar y gestionar herramientas,
procedimientos y sistemas de información y gestión que puedan captar, procesar y reportar
oportunamente información sobre los cambios registrados o inminentes que puedan surgir en el
ambiente interno y externo, así como los hechos, eventos, actividades y condiciones que generan
cambios y que pueden afectar la posibilidad de alcanzar los objetivos de la entidad, facilitando
su tratamiento y gestión oportuna.
“Los entes públicos deberán identificar y evaluar los riesgos derivados de los factores ambientales internos
y externos que puedan afectar negativamente el logro de los objetivos institucionales, así como emprender
las medidas pertinentes para afrontar y gestionar exitosamente tales riesgos”.
2.7.2. PROPÓSITO
El desempeño de una entidad o parte de ella está sujeta a riesgos potenciales causados por factores
ambientales internos o externos que, de materializarse en eventos de pérdida, pueden afectar en forma
negativa el cumplimiento de las metas y objetivos institucionales, provocando consecuencias no deseadas.
La entidad debe enfocarse prioritariamente en la atención de los riesgos en los ámbitos y niveles
relevantes, para tomar las acciones preventivas necesarias y minimizar su posibilidad de ocurrencia,
atenuando y administrando adecuadamente sus efectos o impactos. Entre los riesgos a identificar y
evaluar se encuentran aquellos relacionados con el fraude, específicamente los relativos a la información
fraudulenta y a la protección de los activos del Estado, así como los actos de corrupción y evadir los
controles por parte de la dirección.
2.7.3. CRITERIOS
No existe actividad sin riesgo. La valorización de los riesgos se mide en términos de la probabilidad de
ocurrencia de un evento de pérdida y del impacto o consecuencias que puede generar la materialización
del riesgo.
Para identificar, evaluar y gestionar los riesgos, el personal debe tener conocimiento y experiencia en los
procesos que realiza la entidad, así como en la aplicación de la normatividad legal general y específica
vigente. También resulta recomendable que conozcan la teoría y técnica contable y presupuestaria, dado
que cada riesgo debe ser analizado en detalle, considerando adicionalmente el buen juicio y sentido
común de todos los participantes en el proceso.
Una adecuada identificación y evaluación de los riesgos sirve como insumo clave para la toma de
decisiones, el diseño y la conducción de las actividades y la revisión de los planes para su ajuste a las
condiciones cambiantes del entorno y a los retos que plantean los riesgos identificados y evaluados.
Este proceso debe realizarse, como mínimo, en tres niveles: (i) global de la entidad, (ii) proceso o
programa, y (iii) actividad. A cada menor nivel, corresponde un análisis en un campo más limitado,
enfocado a los componentes de las áreas o unidades y a los objetivos clave de cada proceso y área
identificados en el análisis global de la entidad.
El proceso de evaluación y gestión de riesgos se divide, para un mejor análisis, en cuatro fases sucesivas:
La MAE y los responsables jerárquicos de todas las áreas y unidades de la entidad identifican las situaciones
posibles que, en el caso de producirse, generarán eventos que afectarán la capacidad de la entidad para
implementar la estrategia y el logro de sus objetivos. Estos eventos pueden ser oportunidades, que afectan
en forma positiva a la entidad favoreciendo el logro de los objetivos, o riesgos que influyen en forma
negativa dificultando el logro de estos. El análisis se centra en la identificación de los riesgos, es decir,
eventos que afectan negativamente el logro de los objetivos y que ocasionan pérdidas a la entidad.
Al identificar los eventos negativos o de pérdida (riesgos), los responsables jerárquicos de todas las áreas
y unidades de la entidad deben considerar una serie de factores ambientales internos (debilidades) y
externos (amenazas) que, en forma individual como combinados e interactuando, pueden ser causantes
de riesgos, influenciando el perfil de riesgos de la entidad y afectando el cumplimiento de sus objetivos.
Para tal fin deben ejecutarse las tareas de: (i) identificación y mapeo de los procesos, e (ii) identificación
de los factores causantes de los riesgos.
Una vez identificados y clasificados los riesgos por procesos y áreas, éstos deben examinarse en forma
individual o por categoría, para ser valorizados considerando dos parámetros: probabilidad o frecuencia,
e impacto (severidad o gravedad).
La evaluación y valorización de las exposiciones significativas a los riesgos se debe llevar a cabo con base
en la experiencia histórica, dada a través de datos cuantitativos o cualitativos. También se debe considerar
el grado de impacto en el logro de los objetivos de la entidad. En los casos que no se disponga de
información histórica registrada, o que la naturaleza del proceso no lo permita, se debe recurrir a la
opinión de expertos calificados en el área para establecer la correspondiente valorización. Ejemplo: si se
trata de evaluar los riesgos en la administración de vacunas, se debe recurrir a la opinión de un experto
en la administración de vacunas o experiencias en otras entidades similares, dentro o fuera del país. Para
un mayor detalle sobre el particular, se recomienda revisar el ANEXO 42.
La evaluación de los riesgos se realiza sobre dos bases. En primer término, analizando el riesgo inherente
de cada actividad, propio de la naturaleza de esta. Luego, se considera el riesgo residual de la actividad o
proceso que queda una vez que se aplican las actividades de control vigentes.
Como resultado de este proceso, se obtienen las matrices de los riesgos valorizados, que son el producto
principal que resulta de la identificación y evaluación de los riesgos. La información obtenida para cada de
Dada la limitación de recursos de una entidad, es preciso definir cuáles riesgos merecen una atención
inmediata y cuáles pueden recibir un menor esfuerzo a través de una atención periódica o porque su riesgo
residual se encuentra en niveles controlados.
Para ello, se utiliza el “Mapa de Riesgos”, el que consolida las diferentes matrices de riesgo, visualizando
el valor del riesgo inherente de cada evento con el fin de proceder a su comparación y determinar las
acciones a seguir.
Las entidades deben permanecer listas ante cambios eventuales que podrían aumentar o disminuir la
incidencia del riesgo sobre sus actividades institucionales, a través de un seguimiento o evaluación
constante, a fin de determinar la forma cómo se han modificado los riesgos y si es necesario cambiar las
actividades de control vigentes.
Con el fin de realizar una gestión preventiva de los riesgos, deben definirse indicadores clave de riesgo,
(en inglés, KRI, key risk indicators), los que reflejan las fuentes potenciales de los riesgos (rotación de
personal, interrupción de operaciones en los sistemas, entre otros) y los umbrales de tolerancia a los
riesgos. Los ICR deberán ser medidos periódicamente por las entidades. Para tal fin, deben fijarse
claramente las formas de medición, la frecuencia de estas y los responsables de realizarlas.
Los ICR son mediciones cualitativas o cuantitativas que brindan un mayor conocimiento de los riesgos
potenciales, y que se utilizan para hacer un seguimiento periódico de su comportamiento y evolución, con
el fin de observar si se mantienen dentro de los umbrales de tolerancia al riesgo preestablecidos,
alimentando un sistema de alertas para los casos en que se superen estos umbrales.
Para ser efectivos, deben estar disponibles para la dirección de manera oportuna, según la frecuencia que
se fije para consulta de esta información (en tiempo real, diario, mensual, entre otros), partiendo del
tiempo necesario para poner en marcha una acción para mitigar el riesgo. Se centran habitualmente en
operaciones diarias y se emiten sobre la base de excepciones, cuando se sobrepasa un umbral
preestablecido.
Evaluados los riesgos relevantes, la MAE y los responsables jerárquicos de las áreas y unidades de la
entidad deben definir el plan de acción necesario para afrontarlos y responder a ellos. Las respuestas
posibles son aceptar, compartir, mitigar o evitar el riesgo. Al considerar su respuesta, la dirección evalúa
su efecto sobre la probabilidad e impacto del riesgo, así como los costos y beneficios asociados, y
selecciona la alternativa que sitúe el riesgo residual dentro de los niveles de riesgo aceptados.
La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo global
de la entidad o bien una perspectiva de portafolio de riesgos, determinando si el riesgo residual global
concuerda con el riesgo aceptado por la entidad.
Cuando la entidad evalúa las opciones de respuesta para seleccionar y determinar la más viable, debe
considerar:
(a) El grado en que cada respuesta potencial reducirá el impacto o la probabilidad de ocurrencia del
riesgo, tomando en cuenta el nivel de riesgo aceptado por la entidad.
(b) Si está de acuerdo con el nivel de riesgo aceptado y la tolerancia.
(c) La relación entre el costo de implementación o inversión versus los beneficios (eficacia, eficiencia
y economía) a obtener en función de la implementación de cada potencial respuesta, tomando en
cuenta los riesgos adicionales evidentes que pueden derivarse de la aplicación de cada respuesta:
la inversión incluye el costo inicial de diseño e implementación de la respuesta (procesos, personal
y tecnología), y el costo de mantener y gestionar una respuesta continua. Los costos y beneficios
pueden medirse en forma cualitativa o cuantitativa, empleando normalmente una unidad de
medida coherente con la utilizada para establecer el objetivo y las tolerancias al riesgo
relacionadas.
(d) Los eventos y tendencias pasadas y los posibles escenarios futuros.
(e) La evaluación del portafolio de riesgo residual de la entidad y las respuestas posibles a
seleccionarse en función del nivel de propensión a la asunción de riesgos por parte de la entidad
(“apetito” ó “aversión” al riesgo), y el riesgo aceptado global respecto a sus objetivos.
(f) Las posibles oportunidades para alcanzar los objetivos de la entidad, más allá de las reducciones
de los riesgos identificados.
Las MAE deben establecer directrices y hacer esfuerzos con el fin de determinar la magnitud de los riesgos, instruyendo
a sus mandos medios y niveles operativos para la implementación de los mecanismos de control interno que los
prevengan, mitiguen o compartan, con el propósito de minimizar sus efectos.
Además, puede decidirse directamente abandonar el objetivo o la acción analizada, evitando asumir los altos
costos que conlleve su prosecución de producirse el evento de pérdida considerado, siempre que el marco
normativo propio de la entidad lo permita. Esto último es especialmente relevante en las entidades de la
administración pública en donde mucha de las veces los objetivos y el cumplimiento del rol subsidiario del Estado
llevan a las entidades públicas a realizar necesariamente actividades no rentables en términos económico-
financieros, pero si con una “rentabilidad social” significativa. Ejemplo: proyectos de electrificación, áreas de
diversión, entre otros.
EGR.19 La MAE debe establecer y gestionar políticas y procedimientos dirigidos a identificar y evaluar
los riesgos relevantes que pueden impactar negativamente o impedir el logro de los objetivos,
metas, proyectos y programas propios de las unidades administrativas u operativas involucradas
en su consecución, en el que debe incluir las etapas de:
EGR.20 La MAE debe comunicar claramente al personal las políticas y procedimientos para
“Identificación y Evaluación de los Riesgos”, así como comprobar que las mismas son conocidas
y comprendidas por los servidores públicos o colaboradores que trabajan en la entidad.
EGR.21 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben fijar la
metodología de grupos de trabajo de autoevaluación de riesgos para las etapas de:
El responsable jerárquico del área de planificación debe coordinar los grupos de trabajo y
elaborar, con apoyo de los otros responsables jerárquicos de las áreas y unidades de la entidad,
los cuestionarios estructurados de autoevaluación de riesgos. Un ejemplo de cuestionario se
adjunta en el ANEXO 35.
EGR.22 El desarrollo de la etapa relacionada con el proceso de identificación de riesgos debe considerar
los procesos y los procedimientos incluidos en los manuales de procedimientos actualizados y
aprobados por la MAE. La metodología considera la emisión de un inventario de los procesos y
sus procedimientos con identificación de los controles existentes en cada uno de ellos, los cuales
incluyen los diagramas de flujo y caracterizaciones de los procesos.
Se debe poner especial énfasis en identificar aquellos riesgos relacionados con el fraude,
específicamente los relativos a la información fraudulenta y a la protección de los activos del
Estado, así como los actos de corrupción y la elusión de controles por parte de la dirección. De
la misma manera, se debe analizar los riesgos orientados al incumplimiento de los objetivos
misionales.
EGR.23 El proceso de identificación de riesgos debe permitir el desarrollo de una visión de portafolio de
riesgos para la entidad, entendiéndose a ésta como una vista compuesta de los riesgos que la
entidad enfrenta, que coloca a la gerencia y al consejo o directorio en la posición de considerar
los tipos, severidad e interdependencias de los riesgos y cómo pueden afectar el desempeño
relativo a la estrategia y los objetivos institucionales.
EGR.24 El proceso de identificación de riesgos debe facilitar el conocimiento de los factores causantes
de riesgos, priorizarlos en función de su impacto y probabilidad de ocurrencia, sin importar su
naturaleza, y comprobar cómo los mismos se interrelacionan para influenciar el perfil o
portafolio de riesgos de la entidad. En ANEXO 36 se enuncian los principales “Factores Causantes
de Riesgos” que pueden considerarse en el análisis.
EGR.26 En el proceso de valorización de riesgos se debe establecer, mantener y gestionar las “Bases de
Datos de Eventos de Pérdida”, fijando las características del reporte, recolección, cuantificación,
registro y clasificación, almacenamiento y protección de la información de los eventos de
pérdida, tomando como base los datos fijados en el ANEXO 37.
EGR.28 La elaboración de las matrices de riesgo comprende la descripción de cada uno de los riesgos
identificados indicando la valoración de los mismos, de acuerdo con su impacto y posibilidad de
materialización o probabilidad de ocurrencia, tomando como base el mapa de riesgos del ANEXO
40, ANEXO 41 y el ANEXO 43, la matriz de riesgos del ANEXO 44 y su ejemplo de llenado del
ANEXO 45.
EGR.29 Las consolidaciones de las diferentes matrices de riesgo se integran en un “mapa de riesgos”. El
valor asignado a cada uno de los riesgos debe permitir su comparación con el resto de los
procesos a efecto de asignar la prioridad para su atención, tomando como base el modelo
previsto en el ANEXO 41.
EGR.30 La definición de los indicadores claves de riesgo debe realizarse para reflejar las fuentes
potenciales de los riesgos y los umbrales de tolerancia a los riesgos, fijando claramente las formas
de medición, la frecuencia de estas y los responsables de realizarlas.
Guía 3
“ACTIVIDADES DE CONTROL”
ACTIVIDADES DE CONTROL
Estas medidas se llevan a cabo sobre todas las transacciones, procesos, operaciones, actividades, y
acciones de los sistemas administrativo-contables, operativos o de gestión que desarrolla la entidad en
todos los niveles y funciones. Asimismo, incluyen un amplio rango de diversas actividades, las cuales
pueden ser establecidas dentro de un sistema de tecnología informática o a través de procedimientos
manuales, debiendo estar integradas en los procedimientos de los sistemas administrativos y operativos
de forma tal que sean parte natural de los mismos.
Al seleccionar o revisar las actividades de control, la administración activa debe considerar cómo éstas se
relacionan y articulan entre sí; una sola medida puede afectar a múltiples objetivos o riesgos mientras que
en otros casos se requieren varias prácticas de control de distinto tipo para dar una respuesta adecuada a
los objetivos planteados y los riesgos relacionados.
Es de notar que siempre existirá algún nivel aceptable de riesgo residual, no sólo por las limitaciones de
los recursos a aplicar, sino también por la incertidumbre del futuro y demás limitaciones inherentes a
todas las operaciones, por lo que la aplicación de las actividades de control sólo puede ofrecer una
seguridad razonable en cuanto al logro de los objetivos de la entidad.
Entre las limitaciones más frecuentes que pueden identificarse, se encuentran las siguientes:
A continuación, se muestra las principales relaciones entre los tres de los diecisiete principios del Control
Interno – Marco Integrado 2013 (Figura 26) y los veinte elementos del Marco Rector del Control Interno
Institucional de los Recursos Públicos, en las figuras siguientes (Figura 27, Figura 28 y Figura 29).
Figura 26
COSO 2013: principios de las actividades de control
Fuente: Resumen Ejecutivo, Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013.
Figura 27
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente actividades de control (1 de 3)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 28
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente actividades de control (2 de 3)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 29
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente actividades de control (3 de 3)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
“La administración debe diseñar y adoptar las medidas y las prácticas de control interno que mejor se
adapten a los procesos organizacionales, a los recursos disponibles, a las estrategias definidas para el
enfrentamiento de los riesgos relevantes y a las características, en general, de la institución y sus
funcionarios, y que coadyuven de mejor manera al logro de los objetivos y misión institucionales.”
“Las labores y los procesos organizacionales deben incorporar medidas de control que permitan saber si en
la gestión se ha actuado de conformidad con la normativa legal, técnica y administrativa aplicable, así
como determinar el grado en que el cumplimiento de los objetivos ha sido impulsado por el desarrollo de
esas labores y procesos.”
3.1.2. PROPÓSITO
Todas las actividades de control tienen como objetivo asegurar, en forma individual o conjunta, que las
tareas, acciones, operaciones o transacciones controladas, tanto administrativas como operativas, se
realicen en la forma prevista por la MAE y los responsables jerárquicos de las áreas y unidades de la
entidad, actuando de conformidad con la normativa legal, técnica y administrativa aplicable y cumpliendo
con los objetivos fijados por la entidad con el fin de salvaguardar los recursos públicos asignados y
garantizar la transparencia de su manejo. Aunque las actividades del control generalmente son
establecidas para asegurar que las respuestas a los riesgos se lleven a cabo de modo adecuado, con
respecto de ciertos objetivos también constituyen por si mismas una respuesta a los riesgos. La selección
o revisión de las actividades debe incluir la consideración sobre su relevancia y adecuación de respuesta
al riesgo y a los objetivos relacionados.
Definidas las respuestas para enfrentar los riesgos, la administración activa debe implementar y formalizar
las actividades de control que se ajusten mejor a sus posibilidades y que aseguren una adecuada gestión
de los riesgos, con el propósito de:
• Prevenir la materialización de: (a) los riesgos identificados y evaluados para los diferentes
procesos y actividades, y (b) sus eventuales consecuencias
• Tender a reducir o minimizar: (a) la posibilidad que durante la gestión se presenten errores,
omisiones, irregularidades, fraudes u otras acciones contrarias a los intereses de la entidad, o
(b) el impacto que éstos pueden tener sobre el funcionamiento de la entidad, en caso de no
poder evitarse
• Emitir información financiera, presupuestaria y operativa – tanto para uso interno como
externo – que sea confiable, completa y oportuna y que pueda ser utilizada para la adecuada
toma de las decisiones que asegure el cumplimiento de las políticas establecidas para cada
una de las operaciones de la entidad, reorientando la gestión cuando resulte necesario
• Rendir cuentas sobre la gestión de los recursos públicos a su cargo, en forma adecuada,
transparente y oportuna.
El ejercicio de estas actividades está enmarcado dentro del principio de autocontrol, es decir el control
aplicado exclusiva y directamente por los servidores públicos o colaboradores de cada área o unidad de la
entidad bajo su propia responsabilidad sobre las operaciones o actividades a su cargo, como parte de su
ejercicio o cumplimiento de sus atribuciones, funciones u operaciones a cargo antes que las mismas causen
efectos o se den por implementadas.
Este control forma parte de los procedimientos normales o rutinarios de la operación o actividad que
deben ejecutar, sin intervención de ninguna persona o dependencia externa o interna, para asegurarse
que son legales y se fundamentan en hechos ciertos, están comprendidas en los fines y objetivos de la
entidad pública respectiva y es oportuno ejecutarlas.
Como base fundamental de este principio, está el realizar cada tarea con calidad y responsabilidad, es
decir, aplicando el concepto de “hacer bien las cosas la primera vez”, planificando en forma adecuada la
tarea a realizar, ejecutándola en la forma prevista por las normas aplicables y revisando lo que se está
realizando, con el fin de evitar que se causen efectos no deseados.
Asimismo, en relación con el “autocontrol” antes mencionado, éste comprende las técnicas y
procedimientos que cada servidor público o colaborador aplica, entre otros objetivos, para validar que la
tarea a su cargo cumple con los siguientes atributos:
b. Comprobación: constatar los hechos que las originan y la documentación de soporte que la
respaldan.
Estos autocontroles deben estar integrados en los procedimientos administrativos establecidos para
desempeñar las atribuciones, funciones, operaciones o actividades a cargo de los colaboradores o
servidores públicos y deberán prever, además, las acciones a seguir por ellos cuando los resultados de su
ejercicio sean adversos al objetivo de su aplicación.
3.1.3. CRITERIOS
“Al definir cuáles mecanismos de control son los más apropiados, deben considerarse los riesgos
identificados y evaluados para los diferentes procesos y actividades; la posibilidad de que se presenten
errores, omisiones o acciones contrarias a los intereses de la organización durante el procesamiento; el
costo que implicaría la operación de los mecanismos de control en cuestión, y la capacidad del personal
para ponerlos en práctica”.
Al diseñar e implementar las actividades de control, debe validarse que las mismas cumplan con los
siguientes atributos:
b. Conveniente y viable: adecuada relación costo-beneficio, porque los resultados que deriven de su
aplicación deben ser superiores a la inversión que implica su diseño, implementación, aplicación y
mantenimiento, en términos de eficacia, eficiencia y economía en la asignación y uso de los
recursos disponibles.
c. Agrega valor: su aplicación debe incrementar la utilidad o aptitud de la transacción o proceso para
satisfacer los requerimientos que posee.
e. Sencilla: su aplicación no ofrece dificultad, de lo contrario se corre el riesgo de que no sea aplicada.
f. Comprensible: está redactada de una forma clara y que no deja lugar a ambigüedades, tanto en
cuanto a su objetivo como a su forma de aplicación.
g. Adaptada a la entidad: acorde a los procesos organizacionales, los riesgos identificados, los
recursos disponibles, las respuestas definidas para los riesgos, las características de la entidad y
sus responsables jerárquicos de las áreas y unidades, y que ayude de mejor manera al logro de los
objetivos de la entidad.
h. Aplicada por quien corresponde: capacidad, compatibilidad funcional, calificación e idoneidad del
responsable jerárquico de las áreas y unidades que la debe poner en práctica y realizarla,
anteponiendo siempre la existencia de una adecuada asignación de responsabilidades y
segregación de funciones.
ACO.1 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, una vez
determinados los objetivos de la entidad, sus riesgos asociados y las respuestas a los riesgos
elegidas, deben evaluar, seleccionar e implementar las actividades de control más adecuadas y
de mayor calidad, en términos de mitigación de los riesgos involucrados en forma eficiente,
eficaz y económica. Para ese fin, se puede utilizar como guía de apoyo el ejemplo incluido en el
ANEXO 46 para el caso general de los procesos, en especial cuando no se cuenta con procesos
documentados, así como el ANEXO 47 para el caso de los procesos que se encuentran
debidamente documentados.
ACO.2 La evaluación de las actividades de control a seleccionar deben identificar y considerar las
capacidades, requerimientos y recursos necesarios para su diseño, implementación, realización
y mantenimiento (análisis inversión/ahorro), el nivel de priorización en función de los riesgos
mitigados, así como la coordinación de decisiones y acciones entre las diferentes áreas de la
entidad y la automatización de los procesos críticos de la entidad (aplicaciones informáticas), con
el fin de que el procesamiento, la supervisión y la evaluación de sus operaciones pueda realizarse
a través de los sistemas de tecnología informática.
MARE-CII-RP, TSC-PRICI-10 Auto Control y su Declaración, TSC-NOGECI V-01 Prácticas y Medidas de Control
y su Declaración. Modificaciones al marco rector auditoría interna del sector público.
“...las consideraciones de control que se presentan en esta sección son puntos de aplicación general y no
resultan exhaustivos; por ello, cada institución debe tener presente que, dependiendo de su giro normal,
pueden existir consideraciones adicionales que beneficien su sistema de control y el logro de sus objetivos.”
3.2.2. PROPÓSITO
Las actividades de control combinan controles manuales, automatizados o una combinación de ambos,
tales como los que aseguran que la información es capturada automáticamente y procedimientos de
autorización y aprobación de las operaciones por parte de los responsables jerárquicos de las áreas y
unidades (compras, pagos, inversiones, entre otros).
Las actividades de control realizadas sobre la gestión y los resultados de las operaciones por la
administración activa, en su carácter de componente orgánico del proceso de control interno pueden
ordenarse, según su oportunidad de realización, en: (a) preventivas; (b) concurrentes; y (c) posteriores, y
dentro de éstas, en (i) de detección, y (ii) correctivas:
a. Preventivas o previas: Antes de que se inicie el proceso, tratan de advertir o evitar que ciertas
transacciones se ejecuten y que se produzcan los eventos de pérdida o desviaciones sobre los
niveles aceptados de tolerancia al riesgo, afectando el logro de los objetivos y metas de la
entidad.
Como ejemplo puede citarse el software de seguridad informática que impide los accesos no
autorizados a los aplicativos y otras herramientas de tecnología informática.
Se dividen en:
3.2.3. CRITERIOS
La enumeración que se incluye en el siguiente numeral 3.4 es enunciativa, en vista que no todas las
medidas de control detalladas pueden aplicarse a todos los procesos y operaciones de la entidad,
pudiendo existir otras herramientas relevantes fijadas por la entidad, dada naturaleza de sus operaciones
y los objetivos a lograr en los ámbitos estratégicos, operativos, de información y de cumplimiento.
Entonces resulta necesario que la entidad proponga mejoras con el fin de perfeccionar las actividades de
control vigentes, o el diseño e implementación de prácticas de control adicionales, complementarias o
supletorias a fin de minimizar los riesgos y lograr una adecuada gestión de los recursos públicos para
alcanzar los objetivos de la entidad, anteponiendo siempre los atributos que debe reunir la actividad de
control seleccionada, listados en el numeral 3.1.3 presentado con anterioridad.
A partir del principio de prevención debe priorizarse el diseño e implementación de actividades de control
de naturaleza preventiva, a fin de evitar que los eventos de pérdida se presenten o bien mitigar su
probabilidad de ocurrencia o el impacto en caso de que se materialice el riesgo. No cabe duda de que una
actividad de control preventiva trae mayores beneficios que una de detección. Además, de ser factible, las
medidas de control deben automatizarse, en la medida de lo posible, a través de su integración dentro de
los sistemas de tecnología informática.
Para un mejor tratamiento, las actividades de control se han agrupado en las siguientes categorías:
A continuación, se listan las actividades de control más comunes y mínimas aplicables sobre los sistemas
administrativos y operativos de una entidad:
La aplicación y adaptación de estos controles son generalizados para todas las entidades y sus áreas,
independiente del rubro al que se dediquen según su ley constitutiva. No obstante, cualquier entidad
puede agregar otras actividades de control según considere necesario.
“Las medidas y las prácticas de control interno diseñadas por la administración sean previas o posteriores,
deberán estar integradas o inmersas en los procesos, actividades, operaciones y acciones de los sistemas
administrativos, operativos o de gestión.” (TSC-NOGECI V-02).
Las entidades deben tender a la sistematización, ejecución, control, supervisión y evaluación de sus
operaciones a través de sus sistemas informáticos (aplicaciones automatizadas), con el fin de lograr un
mejor aprovechamiento de los recursos públicos, una adecuada gestión de la información, el
cumplimiento de las normas que le son aplicables y la garantía de una razonable transparencia y rendición
de cuentas.
Respecto de las actividades de control, el principio de integración específicamente indica que debe
tenderse a la automatización de estas a través de su inclusión en los aplicativos de los sistemas de
tecnología informática, dejando claro que la responsabilidad de la efectividad de los controles internos
automatizados sigue recayendo en los servidores públicos o colaboradores directamente responsables de
estos procesos.
“La implantación de cualquier medida, práctica o procedimiento de control debe ser precedida por un
análisis de costo/beneficio para determinar su viabilidad, su conveniencia y su contribución al logro de los
objetivos.” (TSC-NOGECI V-03).
“Como criterio elemental, debe tenerse en cuenta que ningún control debería implicar un costo mayor que
el beneficio que pueda rendir. Se habla, entonces, de la viabilidad y la conveniencia como las dos
consideraciones esenciales de si una medida de control será útil para la organización…” (Declaración TSC-
NOGECI V-03.1).
Debe tenerse en consideración que resulta necesario realizar este análisis de costo/beneficio para las
nuevas actividades de control que se propongan en la entidad y sus procesos, especialmente aquellas que
eroguen recursos financieros significativos, como por ejemplo la contratación de personal adicional o la
inversión en algún aplicativo informático, en cuyo caso se deberá considerar la metodología
correspondiente a la evaluación de costo/beneficio para alternativas de inversión en la formulación de
proyectos. Es decir, se debe cuantificar los beneficios y los costos, cualitativa o cuantitativamente, tanto
directos como indirectos, en términos monetarios o sociales para su correspondiente comparación y
determinación de la viabilidad y conveniencia.
El alcance de “…la responsabilidad por cada proceso, actividad, operación, transacción o acción
organizacional…”, “…y los parámetros con base en los cuales se evaluará su desempeño, …” “debe ser
claramente definida, específicamente asignada y formalmente comunicada al funcionario respectivo,
según el puesto que ocupa.” (TSC- NOGECI V-O4 y su Declaración TSC-NOGECI V-04.01).
Si bien se considera que la responsabilidad posee un alcance o límite, se debe procurar que no existan
vacíos o zonas indeterminadas que puedan llevar a la materialización de riesgos en la entidad,
recomendándose que cada vez que se detecten este tipo de situaciones éstas sean inmediatamente
subsanadas por medio de la delimitación correspondiente y comunicadas formalmente a los nuevos
responsables.
“Las instrucciones que se impartan a todos y cada uno de los funcionarios de la institución deben darse por
escrito…” (TSC-NOGECI V-05).
De acuerdo con lo previsto por la TSC-NOGECI V-06, deben separarse, asignarse y distribuirse entre las
diferentes áreas y puestos de trabajo, las funciones (tareas y responsabilidades) que sean incompatibles,
y que, si su desarrollo se concentrara en una misma persona podría comprometer el equilibrio de
autoridad y responsabilidad y la eficacia del control interno y de los objetivos y misión institucionales.
Para la separación de funciones se debe considerar las siguientes fases: (i) autorización, (ii) procesamiento,
(iii) revisión o aseguramiento, (iv) aprobación, (v) control, (vi) registro de operaciones, (vii) custodia y (viii)
archivo de la documentación. Estas categorías deben estar separadas, de forma que ningún individuo o
sector ejerza más de una de ellas a la vez, y que exista “oposición de intereses”, es decir, un control mutuo.
Una herramienta útil para este fin es utilizar una matriz de segregación de funciones, tal como la que se
muestra en el ANEXO 48. Esta matriz de segregación de funciones debe de formar parte de la
documentación de los procesos de la entidad.
“La ejecución de los procesos, operaciones y transacciones organizacionales deberá contar con la
autorización respectiva de parte de los funcionarios o servidores públicos con potestad para concederla…”,
a fin de que ellos puedan ejercer un control permanente sobre las mismas, asegurando que sólo se lleven
a cabo actos y transacciones que cuenten con la conformidad de quien tiene la autoridad designada, y
previniendo “…que se lleven a cabo acciones o transacciones inconvenientes o contraproducentes para la
organización, para sus recursos y, por ende, para su capacidad de alcanzar los objetivos.” (TSC-NOGECI V-
7 O4 y su Declaración TSC-NOGECI V-07.01).
“Los controles vigentes para los diferentes procesos y actividades de la institución, así como todas las
transacciones y hechos significativos que se produzcan, deben documentarse como mínimo en cuanto a la
descripción de los hechos sucedidos, el efecto o impacto recibido sobre el control interno y los objetivos
institucionales, las medidas tomadas para su corrección y los responsables en cada caso; asimismo, la
documentación correspondiente debe estar disponible para su verificación.” (TSC-NOGECI V-08).
“Los objetivos institucionales, los controles y los aspectos pertinentes sobre transacciones y hechos
significativos que se produzcan como resultado de la gestión, deben respaldarse adecuadamente con la
documentación de sustento pertinente”. (Declaración TSC-NOGECI V-08.01).
“La dirección superior y los funcionarios que ocupan puestos de jefatura deben ejercer una supervisión
constante sobre el desarrollo de los procesos, transacciones y operaciones de la institución, con el propósito
de asegurar que las labores se realicen de conformidad con la normativa y las disposiciones internas y
externas vigentes, teniendo el cuidado de no diluir la responsabilidad.” (TSC-NOGECI V-09).
“Los hechos importantes que afectan la toma de decisiones y acciones sobre los procesos, operaciones y
transacciones deben clasificarse y registrarse inmediata y debidamente.” (TSC- NOGECI V-10).
Según lo previsto por la TSC-NOGECI V-12, el acceso a los recursos, activos, registros de información y
comprobantes de la entidad debe estar claramente definido, delimitado, restringido y protegido por
mecanismos de seguridad.
“Las operaciones de la organización deben ser sometidas a revisiones de control en puntos específicos de
su procesamiento, que permitan detectar y corregir oportunamente cualquier desviación con respecto a lo
planeado.” (TSC-NOGECI V-13).
“Deberán realizarse verificaciones y conciliaciones periódicas de los registros contra los documentos fuente
respectivos, para determinar y enmendar cualquier error u omisión que se haya cometido en el
procesamiento de los datos”. (TSC-NOGECI V-14).
Además de los registros financieros, también se debe realizar la conciliación periódica en registros no
financieros. Ejemplo: el registro de los bienes, documentos, licencias u otros.
“La exactitud de los registros sobre activos y disponibilidades de la institución deberá ser comprobada
periódicamente mediante la verificación y el recuento físico de esos activos u otros como la información
institucional clave”. (TSC-NOGECI V-15).
“Deberán ser efectuados arqueos independientes y sorpresivos de los fondos y otros activos de la institución
(incluido el acopio de información clave), por funcionarios diferentes de aquellos que los custodian,
administran, recaudan, contabilizan y generan.” (TSC-NOGECI V-16).
“Deberán implantarse formularios uniformes para el procesamiento, traslado y registro de todas las
transacciones que se realicen en la institución, los que contarán con una numeración consecutiva
preimpresa que los identifique específicamente, asignada electrónicamente si el procesamiento esta
automatizado. Igualmente, se establecerán los controles pertinentes para la emisión, custodia y manejo
de tales formularios o los controles informáticos, según corresponda.” (TSC-NOGECI V-17).
“Deberá contemplarse la conveniencia de rotar sistemáticamente las labores entre quienes realizan tareas
o funciones afines, siempre y cuando la naturaleza de tales labores permita efectuar tal medida.” (TSC-
NOGECI V-18).
De conformidad con la TSC-NOGECI V-19, las políticas institucionales deben prever que “los servidores
públicos, en general, deben disfrutar oportunamente de las vacaciones que les correspondan de
conformidad con la ley y los reglamentos establecidos”, de tal modo que logren un período de descanso.
Las entidades “…deberán velar porque las personas naturales y jurídicas encargadas de recaudar, custodiar
o administrar fondos y valores propiedad de la institución, rindan caución o estén cubiertos con una fianza
individual de fidelidad a favor de del tesoro público o de la respectiva entidad, sin perjuicio de otras medidas
de seguridad que pueda emitir la propia institución.” (TSC-NOGECI V-20).
Los equipos y dispositivos mecánicos, automáticos y electrónicos utilizados “…deberán contar con
dispositivos de control y seguridad apropiados para garantizar su óptimo uso en las labores que
corresponde cumplir a institución pública...”. (TSC-NOGECI V-21).
Tabla 2
Actividades de control administrativas y operativas
Actividades de control
DESCRIPCIÓN
Preventivas Concurrentes De detección Correctivas
1. Control integrado y automatización de X X X
controles
2. Análisis de costo / beneficio X
3. Responsabilidad delimitada X
4. Instrucciones por escrito X
5. Separación de funciones incompatibles X
6. Autorización previa o aprobación de X X X X
transacciones y operaciones
7. Documentación de procesos y X X X
transacciones
8. Supervisión constante X X X
9. Clasificación y registro oportuno X X X
10. Sistema contable y presupuestario X X X X
11. Acceso a los activos y registros X X
12. Revisiones de control X X
13. Conciliación periódica de registros X X
(financieros y no financieros)
14. Inventarios periódicos X X X
15. Arqueos independientes X X
16. Formularios uniformes X
17. Rotación de labores X X X
18. Disfrute oportuno de vacaciones X X
19. Cauciones y fianzas X X
20. Dispositivos de control y seguridad X X X X
Dado que las actividades de control operan en forma dinámica y acorde al ambiente específico de la
entidad, pueden realizarse en diferentes momentos del proceso u operación o funcionar simultáneamente
como preventivas, concurrentes o posteriores (por ejemplo, la automatización de controles y clasificación
y registro oportuno).
3.4.2. PROPÓSITO
Como se ha indicado en el numeral 3.1 referido a las prácticas y medidas de control, todas las actividades
de control tienen como objetivo asegurar, en forma individual o conjunta, que las tareas, acciones,
operaciones o transacciones controladas, tanto administrativas como operativas, se realicen en la forma
prevista por la dirección, actuando de conformidad con la normativa legal, técnica y administrativa
aplicable y cumpliendo con los objetivos fijados por la entidad, a fin de salvaguardar los recursos públicos
asignados y garantizar la transparencia de su manejo.
Las actividades de control elegidas deben ser aquellas que se ajusten mejor a los recursos y posibilidades
de la entidad y que aseguren una adecuada gestión de los riesgos, a fin de asegurar en forma razonable
que se van a alcanzar los objetivos definidos por la entidad.
El ejercicio de estas actividades debe estar enmarcado dentro del principio de autocontrol, el cual es
validado por cada responsable jerárquico de las áreas y unidades, de acuerdo con sus roles y
responsabilidades, de que la tarea a realizar es legal, comprobada, conveniente y oportuna para la entidad.
3.4.3. CRITERIOS
Al diseñar e implementar las actividades de control, debe validarse que las mismas cumplan con los
atributos de ser apropiadas, convenientes y viables, agregar valor, oportunas, sencillas, comprensibles,
adaptadas a la entidad y aplicadas por quien corresponda.
ACO.3 Los responsables jerárquicos de las áreas o unidades de la entidad, al evaluar y seleccionar las
diferentes actividades de control aplicables a los sistemas administrativos y operativos, deberán
considerar, entre otras, las medidas de control enunciadas en el numeral 3.4 y desarrolladas en
el ANEXO 50.
ACO.4 La MAE debe establecer que los proyectos que deriven de la propuesta de actividades de control
que signifiquen erogaciones significativas de recursos financieros de la entidad, sean
presentados considerando la metodología correspondiente a la evaluación de costo/beneficio
para alternativas de inversión en la formulación de proyectos.
ACO.5 La MAE debe establecer que el responsable jerárquico del área o unidad de compras elabore los
procesos de conformidad con lo preestablecido en el PACC institucional, la normatividad vigente
u otra normativa interna o externa aplicable, y en coordinación con los demás responsables
jerárquicos de las áreas o unidades asociados con los procesos de compras y contrataciones.
ACO.6 Los responsables jerárquicos de las áreas o unidades de la entidad deben proponer los cambios
que resulten necesarios en los documentos de gestión de la entidad cuando detecten vacíos o
imprecisiones en la asignación de las responsabilidades en los procesos que se encuentran a su
cargo.
De acuerdo con lo manifestado precedentemente, las diferentes fases que integran un proceso,
transacción u operación (autorización, procesamiento o ejecución, revisión o aseguramiento,
aprobación, control, registro, pago, custodia y finalmente archivo), deben distribuirse
adecuadamente, con base en su grado de incompatibilidad, entre los diversos servidores
públicos o colaboradores y las áreas o unidades de la entidad. Cabe señalar que las operaciones
no financieras siguen sus propias fases independientes a las financieras (pago y custodia).
Ante las limitaciones de recursos que tengan las entidades, deberán efectuarse las separaciones
de funciones hasta donde sea posible sin elevar el costo del control más allá de límites
razonables, supliendo las eventuales deficiencias mediante la aplicación de actividades de
control complementarias o supletorias (por ejemplo, mayor supervisión constante, arqueos e
inventarios más frecuentes, entre otros).
ACO.8 La MAE debe disponer que los responsables jerárquicos de las áreas o unidades se aseguren de
contar con procesos documentados en sus correspondientes ámbitos de responsabilidad,
debiendo tomarse en consideración el modelo de estructura de procedimiento sugerido en el
ANEXO 49.
ACO.9 La MAE debe establecer que todos los responsables jerárquicos de las áreas o unidades ejerzan
una supervisión constante sobre el desarrollo de los procesos, transacciones y operaciones
dentro de su ámbito de responsabilidad, dejando evidencia documental escrita, con el propósito
de asegurar que las labores se realicen de conformidad con la normatividad y las disposiciones
internas y externas vigentes, teniendo el cuidado de no evadir la responsabilidad.
ACO.10 La MAE y todos los responsables jerárquicos de las áreas o unidades deben asegurarse de que
los hechos importantes que afectan la toma de decisiones y acciones sobre los procesos,
operaciones y transacciones se encuentren debida y oportunamente clasificados y registrados.
ACO.11 La MAE debe asegurarse de que en la entidad los sistemas de contabilidad y presupuesto
funcionan de conformidad con las disposiciones legales vigentes.
ACO.12 La MAE debe establecer que todos los responsables jerárquicos de las áreas o unidades se
aseguren de que el acceso a los recursos, activos, registros de información y comprobantes de
los procesos de la entidad, en sus respectivos ámbitos de responsabilidad, esté claramente
definido, delimitado, restringido y protegido por mecanismos de seguridad.
ACO.13 La MAE debe establecer que todos los responsables jerárquicos de las áreas o unidades se
aseguren de que las operaciones de la organización, que forman parte de los procesos en sus
respectivos ámbitos de responsabilidad, se sometan periódicamente a revisiones de control en
puntos específicos de su procesamiento, permitiendo detectar y corregir oportunamente
cualquier desviación con respecto de lo planeado. La periodicidad de las revisiones de control
debe ser establecida de acuerdo con la naturaleza, volumen de operaciones y exposición a los
riesgos de cada proceso. Asimismo, se debe dejar evidencia documental escrita.
ACO.14 La MAE y todos los responsables jerárquicos de las áreas o unidades deben disponer y asegurarse
de que el personal a su cargo realice verificaciones y conciliaciones periódicas de los registros
contra los documentos fuente respectivos, dependiendo de la naturaleza de los procesos en su
ámbito de responsabilidad, para determinar y enmendar cualquier error u omisión que se haya
cometido en el procesamiento de los datos.
ACO.15 La MAE debe establecer que el responsable del área o unidad que corresponda se asegure de
que periódicamente se realice la verificación y el recuento físico de los activos, u otros como la
información institucional clave, con el fin de comprobar la exactitud de los registros sobre activos
y su disponibilidad.
ACO.16 Los responsables jerárquicos de las áreas o unidades que tengan a su cargo la administración de
recursos financieros de la entidad deben establecer que se realicen arqueos independientes de
los fondos y otros activos a su cargo (incluido el acopio de información clave), por servidores
públicos o colaboradores diferentes de aquellos que los custodian, administran, recaudan,
contabilizan y generan.
ACO.17 La MAE debe establecer que el responsable jerárquico del área o unidad que tenga a su cargo la
función de organización y métodos se asegure de que se diseñen e implementen formularios
uniformes para el procesamiento, traslado y registro de todas las transacciones que se realicen
en la entidad, los que deben contar con una numeración consecutiva preimpresa que los
identifique específicamente, asignada electrónicamente si el procesamiento esta automatizado.
Para el procesamiento automatizado, se debe coordinar con el responsable jerárquico del área
o unidad que tenga a su cargo la gestión de los sistemas y tecnologías de la información, con el
fin de establecer los controles pertinentes para la emisión, custodia y manejo de tales
formularios o los controles informáticos, según corresponda.
ACO.18 La MAE debe establecer que el responsable jerárquico del área o unidad que tenga a su cargo la
gestión del talento humano de la entidad, en coordinación con los responsables jerárquicos de
las demás áreas o unidades, elaboren procedimientos documentados sobre la conveniencia de
rotar sistemáticamente las labores entre quienes realizan tareas o funciones afines, siempre y
cuando la naturaleza de tales labores permita efectuar tal medida.
ACO.19 LA MAE debe establecer que el responsable jerárquico del área o unidad que tenga a su cargo la
gestión del talento humano, en coordinación con todos los demás responsables jerárquicos de
las áreas o unidades, elabore el cuadro de asignación de vacaciones del personal, asegurándose
de que los servidores públicos o colaboradores en general disfruten oportunamente de las
vacaciones que les correspondan de conformidad con la ley y los reglamentos establecidos.
ACO.20 La MAE debe establecer que los responsables jerárquicos de las áreas o unidades que tengan a
su cargo recaudar, custodiar o administrar fondos y valores propiedad del Estado, rindan caución
o estén cubiertos con una fianza individual de fidelidad a favor del Tesoro Público o de la
respectiva entidad, sin perjuicio de otras medidas de seguridad que pueda emitir la propia MAE.
ACO.21 El responsable jerárquico del área o unidad que tenga a su cargo la gestión de los sistemas y
tecnologías de la información debe asegurarse de que los equipos y dispositivos electrónicos
utilizados cuenten con mecanismos de control y seguridad apropiados para garantizar su óptimo
uso en las labores que le corresponde cumplir.
ACO.22 El responsable jerárquico del área o unidad que tenga a su cargo la administración y
mantenimiento de los equipos y dispositivos mecánicos o automáticos debe asegurarse que
cuenten con mecanismos de control y seguridad apropiados para garantizar su óptimo uso en las
labores que le corresponde cumplir.
MARE-CII-RP, TSC-PRICI-06, TSC-PRICI-08, TSC-PRICI-10 y TSC NOGECI V.02 a V. 21 y sus Declaraciones. Ley
Orgánica del Presupuesto, Art. 4, 5 y Título VII.3
“En el caso de sistemas computarizados, debe tenerse presente la existencia de controles generales, de
aplicación, de operación y otros de conformidad con la normativa vigente al efecto…” (Declaración de la
TSC-NOGECI-VI-04).
Las actividades de control sobre los sistemas de tecnología informática se clasifican en: (1) actividades de
control generales, y (2) actividades de control de aplicación.
Son aquellas que están inmersas en los procesos y servicios de tecnología informática (desarrollo de
sistemas, administración de cambios, seguridad, operaciones de cómputo, entre otros) y están referidas a
los siguientes cuatro dominios o procesos principales:
c. Entregar y dar soporte: crea o recibe de fuente externa las soluciones de tecnología informática,
infraestructura y aplicaciones, y las hace disponibles para los usuarios finales. Incluye la ejecución
A continuación, la Tabla 3 detalla los principales procesos de la gestión de los sistemas y tecnologías de la
información referidos a las actividades de control. El responsable jerárquico del área o unidad de sistemas y
tecnologías de la información calificará el grado de la importancia según la naturaleza del riesgo que enfrente.
Tabla 3
Principales procesos de la gestión de los sistemas y tecnologías de la información
Actividades
Planear y organizar
Definir la arquitectura de la información
Determinar la dirección tecnológica
Administrar la inversión en TI
Administrar la calidad
Administrar proyectos
Adquirir e implementar
Identificar soluciones automatizadas
Adquirir y mantener software aplicativo
Adquirir y mantener infraestructura tecnológica
Facilitar la operación y el uso
Adquirir recursos de TI
Administrar cambios
Instalar y acreditar soluciones y cambios
Monitorear y evaluar
Garantizar el cumplimiento regulatorio
Elaboración: ONADICI 2018.
Son los controles incluidos en los programas de aplicaciones de los diferentes procesos, referidos a la
integridad e integralidad en los procesos de captura, almacenamiento, procesamiento, actualización,
consulta, seguridad, transmisión y salida de los datos. No incluye los programas de sistemas (sistema
operativo, programa de control de redes, entre otros). Las actividades de control están referidas a los
siguientes temas:
Dentro de este acápite pueden presentarse algunos riesgos frecuentes, tales como:
Es importante recalcar que las tareas de diseñar, desarrollar, automatizar e implementar los requisitos
funcionales y de control que solicita la administración activa, así como establecer las actividades de control
para mantener la integridad de las medidas de control de aplicación, son responsabilidad del área o unidad
que tiene a su cargo la gestión de los sistemas y tecnologías de la información.
Por otra parte, la responsabilidad operativa de definir apropiadamente los requisitos funcionales y de
control, así como el uso adecuado de los servicios automatizados (aplicativos), le corresponde a los
superiores jerárquicos de las diferentes áreas y unidades de la entidad, dentro de su ámbito de
competencia, con el respectivo apoyo de personal especializado.
3.5.2. PROPÓSITO
“…debe crearse una estructura adecuada para asegurar el funcionamiento correcto y continuo de los
sistemas, su seguridad física y su mantenimiento, así como la integridad, confiabilidad y la exactitud de la
información procesada y almacenada…”, y el control del proceso de los diversos tipos de transacciones,
ayudando a la toma de decisiones adecuadas por parte de la entidad. (Declaración TSC-NOGECI-VI-04.01).
3.5.3. CRITERIOS
Las actividades de control sobre los sistemas y tecnologías de la información deben asegurar
razonablemente que las transacciones se realicen de forma tal que la información generada, sea ésta
operativa o administrativo-contable, cumpla básicamente con los requisitos de efectividad, eficiencia,
Tabla 4
Requisitos o características de la información generada
Requisito Definición
Efectividad La información y sus procesos relacionados deben ser relevantes y
pertinentes a los procesos institucionales, y proporcionarse de una
manera oportuna, correcta, consistente y utilizable. Es decir, tener la
capacidad de lograr el objetivo o el efecto que se desea o se espera
(eficaz).
Eficiencia La información debe ser generada por la óptima asignación y
utilización de los recursos, a fin de lograr la mejor relación entre los
insumos utilizados y los productos obtenidos para conseguir un
efecto determinado.
Confidencialidad Se protege, salvaguarda y asegura física y lógicamente la
información, los recursos y los procesos, a través del acceso
autorizado para su ingreso, modificación, consulta, utilización,
divulgación, archivo y destrucción de acuerdo con los objetivos
previstos por la entidad mitigando el riesgo de la pérdida de su
confidencialidad.
Integridad El contenido de la información a utilizar debe ser preciso y completo,
suficiente para poder tomar decisiones adecuadas, y debe ser válido
de acuerdo con las pautas, valores y expectativas fijados por la
entidad y regulaciones externas.
Integralidad La información a utilizar debe permitir la formulación de soluciones
para la mayoría de las necesidades de la entidad.
Disponibilidad La información, ante su requerimiento, debe estar accesible y a libre
disposición en tiempo y forma para ser usados o utilizados por todos
aquellos interesados que tienen autorización para su acceso.
Cumplimiento normativo La información debe ser válida a partir del respeto y acatamiento de
las políticas y procedimientos internos y de todas las leyes,
reglamentaciones y contratos a que está sujeta la entidad.
Confiabilidad Proporcionar la información oportuna y completa para que la
gerencia tome las decisiones y ejerza sus responsabilidades en la
entidad.
Elaboración: ONADICI 2018.
Dentro de los anteriores requisitos, también es importante que la información sea autorizada y aprobada,
económica, exacta, oportuna, actualizada y transparente, como se muestra en la Tabla 5.
Tabla 5
Criterios de control para la información generada
Requisito Definición
ACO.23 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, y, en
especial, el responsable del área que tiene a su cargo la gestión de los sistemas y tecnologías de
la información, deben poner especial atención en evaluar, seleccionar, implementar y mantener
las actividades de control más adecuadas y de mayor calidad relacionadas con los sistemas de
tecnología informática. Estas deben incluir actividades de control generales y de aplicaciones.
ACO.24 El responsable jerárquico del área que tiene a su cargo la gestión de los sistemas y tecnologías
de la información debe diseñar, desarrollar, automatizar e implementar los requisitos
funcionales y de control que solicite la administración activa, así como establecer las actividades
de control necesarias para mantener la integridad e integralidad de las medidas de control de
aplicación.
ACO.25 Los superiores jerárquicos de todas las diferentes áreas y unidades de la entidad, dentro de su
ámbito de competencia, son los responsables operativos de definir apropiadamente los
requisitos funcionales y las actividades de control referidas a los procesos que se automaticen,
así como del uso adecuado de los sistemas aplicativos.
ACO.26 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, deben
impulsar en forma efectiva la sistematización, ejecución, control, supervisión y evaluación de sus
operaciones a través del uso de sistemas aplicativos de tecnología informática, y, en especial, la
automatización de las actividades de control a través de su inclusión en estos aplicativos.
Los mismos “…deberían haber sido adoptados en consenso con los funcionarios responsables de la
ejecución de dichos planes y por ende del cumplimiento de dichos indicadores.”
Las actividades de control de gestión pueden clasificarse en: (1) análisis efectuados por la alta gerencia, y
(2) indicadores clave de desempeño.
Se trata de revisiones de alto nivel que realiza la MAE y los responsables jerárquicos de las áreas o unidades
de la entidad en forma específica, involucrándose en tareas ejecutivas u operativas, fundamentalmente
debido a la importancia de los temas analizados. Dentro de las más relevantes se enuncian las siguientes
actividades de control:
La utilización y consulta de la evolución de los indicadores clave de desempeño puede ayudar en el proceso
de identificación del cambio, alertando sobre la necesidad de modificación de estrategias y orientando
respecto de los riesgos, áreas o procesos donde deben realizarse las modificaciones respectivas.
Los indicadores pueden ser evaluados por separado, mediante herramientas internas o metodologías
especializadas que permitan utilizar aplicaciones informáticas.
3.6.2. PROPÓSITO
“La administración activa debe ejercer un control permanente sobre la ejecución de los procesos, las
transacciones, operaciones y eventos para asegurarse de que se observen los requisitos normativos
jurídicos, técnicos y administrativos, vigentes; de origen interno y externo y para prevenir y corregir
cualquier eventual desviación que pueda poner en entredicho el acatamiento del principio de legalidad y
de los preceptos de eficiencia, eficacia y economía, aplicables”.
“…Durante el proceso respectivo, los indicadores de desempeño establecidos en los planes también deben
aplicarse como puntos de referencia.”
La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben realizar actividades de
control sobre la gestión de las diferentes áreas, procesos, proyectos y programas de la entidad, así como
efectuar el seguimiento y evaluación del comportamiento de los diferentes indicadores clave de
desempeño fijados, para, en caso de corresponder, retroalimentar el proceso de gestión o tomar las
decisiones en cuanto a la corrección o ajuste de las tareas en curso.
La aplicación de una política activa de evaluación del desempeño de la entidad apoya la creación de una
conciencia de control dentro ésta.
3.6.3. CRITERIOS
Los indicadores clave de desempeño, de resultado y de impacto, sean estos cuantitativos o cualitativos,
deben ser construidos y fijados de tal forma que permitan dar seguimiento y evaluar en forma oportuna
el avance en la ejecución y el cumplimiento de los planes de la entidad, y la medida en que han contribuido
a satisfacer las metas, los objetivos y la misión institucional, tomando como base el principio de que “lo
que no se mide, no se puede gestionar ni controlar”.
Además de considerar los indicadores de medición del desempeño de los factores claves de éxito
relacionados con el cumplimiento de los objetivos globales y metas por actividad fijados por la entidad,
sean estos cuantitativos (ejemplo: número de casos atendidos, cantidad de reparaciones efectuadas,
obras construidas, entre otros) o cualitativos (ejemplo: nivel de eficiencia, grado de satisfacción de los
beneficiarios, impacto social, entre otros). Adicionalmente deben tomarse en cuenta los indicadores
diseñados con base en requerimientos legales y reglamentarios fijados, entre otros, por la Secretaría de
Coordinación General de Gobierno, la Secretaría de Finanzas y los organismos reguladores del Estado.
Deben estar definidos bajo un esquema de desagregación, de lo general a lo específico, en que cada
responsable jerárquico de un área o unidad o el “responsable de un proceso” de la entidad tenga un listado
de los principales indicadores para medir la gestión de su área de responsabilidad. Al definirlos, debe
procurarse que, entre otras características, sean claros y uniformes, fácilmente aplicables, medibles, con
expresión del tiempo y lugar de su cálculo y de conocimiento general, debiendo estar consensuados con
los responsables de la ejecución de los planes y cumplimiento de estos indicadores.
En cuanto a su número, no deben ser demasiados que sean difíciles o confusos, ni tan escasos que no
permitan revelar las cuestiones clave y el perfil de la situación que se examina.
Luego estos indicadores deben sintetizarse y priorizarse, a fin de elevar a la MAE sólo los que resulten de
mayor nivel de agregación y relevancia, con el enfoque de brindar información por excepción,
preferentemente en los casos donde se han observado desvíos significativos respecto del cumplimiento
de los objetivos y las metas fijadas, y en función de los umbrales de tolerancia definidos por la entidad.
Los indicadores deben estar ajustados a las características de la entidad: tamaño, procesos, bienes y
servicios que entrega, nivel de competencia de su personal y demás elementos diferenciales que la
distingan.
b. Directivos o ejecutivos: abarca a toda la entidad en su conjunto, agrupándola por áreas o unidades
clave a fin de diagnosticar la situación global de la entidad, en especial desde el punto de vista de
su desempeño interno con mediciones de resultados a través de diferentes tipos de indicadores
clave cuantitativos y cualitativos (ejemplo: importes, porcentajes, cantidades, entre otros) de
corto, mediano o largo plazo en cumplimiento de los objetivos fijados.
Lo definen los responsables jerárquicos de las áreas o unidades con el apoyo técnico del
responsable jerárquico del área de planeamiento y el COCOIN, a partir de la información de cada
área o unidad de la entidad. Su número varía dependiendo de la naturaleza de la entidad y las
necesidades de evaluación e información para la toma de decisiones.
c. Operativos: evalúan el comportamiento de los procesos que necesitan ser monitoreados día a día
(ejemplo: presupuesto de caja, evolución de las compras y recepciones de bienes y servicios,
avances de obras, entre otros). Deben proveer información concreta, oportuna y actualizada para
tomar acciones en forma inmediata, de ser factible, en forma proactiva.
Debe haber un conjunto de indicadores por función o proceso del área, y el responsable de su
emisión y principal usuario es el superior jerárquico de cada área o unidad funcional evaluada. Su
número varía dependiendo de la naturaleza y número de los procesos de la entidad.
Cada responsable de los indiciadores debe darle seguimiento permanente y sistemático para su
cumplimiento, independientemente del tipo de indicador. Asimismo, los indicadores de desempeño
estratégico deben evaluarse y actualizarse como mínimo semestralmente. En los indicadores de naturaleza
directiva, la medición debe ser como mínimo mensual. En cuanto a los indicadores operativos,
dependiendo de su importancia y volatilidad, su actualización ser realizará en forma diaria, semanal o,
como mínimo, quincenal.
En todos los casos, de observarse desvíos que generen alertas tempranas, estos deben ser informados a
los responsables jerárquicos de las áreas y unidades de la entidad y a la MAE inmediatamente.
Esta verificación incluirá la revisión de tendencias inusuales o resultados inesperados, así como la
comparación de los resultados obtenidos con estadísticas de comportamiento y los objetivos fijados por
la entidad.
ACO.27 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben definir y
establecer los indicadores clave de desempeño, de resultado y de impacto, tanto generales como
específicos, cuantitativos o cualitativos.
Entre los indicadores de impacto se debe formular políticas y compromisos con el cuidado del
medioambiente en contribución a minimizar los efectos de la contaminación y el cambio climático,
evaluadas mediante indicadores de ecoeficiencia en la entidad. Ejemplo: construcciones ecológicas,
reciclaje de papel, cartón y plásticos, ahorro de energía eléctrica y agua, disminución de
contaminantes en aire y agua, siembra y cuidado de árboles, uso de tecnología, entre otros.
ACO.28 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben fijar
claramente las formas de medición de los indicadores de desempeño, la periodicidad de las
actualizaciones y los responsables por su diseño e implementación, el seguimiento de su
evolución, actualización, así como de la emisión de los informes y los principales usuarios de la
información emitida.
Como pauta general, según el tipo de indicador, estas definiciones deben ajustarse al siguiente
esquema de la Tabla 6:
Tabla 6
Cuadro de indicadores y sus acciones
Tipo de indicadores
Acciones
Estratégico Directivo Operativo
Diseño, • MAE
• COCOIN
implementación, • COCOIN
• UPEC Responsables jerárquicos de las
seguimiento, • UPEC
• Responsables jerárquicos de áreas
actualización • Responsables jerárquicos de
las áreas
las áreas
Emisión de • UPEC
• MAE Responsables jerárquicos de las
informes • Responsables jerárquicos de
• UPEC áreas
las áreas
Usuarios • MAI • MAE
• MAE • MAE • COCOIN
• Responsables jerárquicos de • Responsables jerárquicos de • Responsables jerárquicos de
las áreas las áreas las áreas
• Órganos contralores • Órganos contralores • Responsables de los procesos
• Ciudadanía • Órganos contralores
Cantidad de Dependiendo de la naturaleza Dependiendo de la naturaleza
Dependiendo de la naturaleza y
indicadores de la entidad y las necesidades de la entidad y las necesidades
número de los procesos del
de evaluación e información de evaluación e información
área
para la toma de decisiones para la toma de decisiones
Periodicidad de Dependiendo de la importancia
emisión y y volatilidad de los indicadores:
Semestral Mensual
actualización diaria, semanal o, como
mínimo, quincenal
Periodicidad de Dependiendo de la importancia
evaluación y y volatilidad de los indicadores:
Trimestral Mensual
análisis diaria, semanal o, como
mínimo, quincenal
Elaboración: ONADICI, 2018.
En todos los casos, de observarse desvíos que generen alertas tempranas, estos deben ser
informados a los responsables jerárquicos de las áreas y unidades de la entidad y a la MAE
inmediatamente sean conocidos para que se tomen las acciones que correspondan.
ACO.29 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, deben
comunicar en forma escrita, clara y fehaciente a todo el personal involucrado los indicadores
clave (KPI, key performance indicators) para medir el desempeño del área, unidad o proceso, así
como comprobar que son conocidos, comprendidos y aceptados por los servidores públicos o
colaboradores que trabajan en la entidad. El conjunto de los indicadores clave de desempeño
permiten la evaluación general de toda la entidad.
“El titular principal o jerarca, con el apoyo de los titulares subordinados, deberá instaurar las medidas
de control propicias para que los servidores públicos reconozcan y acepten la responsabilidad que les
compete por el adecuado funcionamiento del control interno y promover su participación activa tanto
en la aplicación y mejoramiento de las medidas ya implantadas como en el diseño de controles más
efectivos para las áreas en donde desempeñan sus labores.”
“Los propios servidores públicos de un grupo, unidad o área específica de un ente público, deben evaluar a
posteriori la efectividad de los controles internos aplicados en la gestión de las operaciones a su cargo, por
convicción de la importancia y utilidad del control.”
“No obstante, por ser el control interno un proceso dinámico, tanto el proceso como los controles deben
ser revisados constantemente aun cuando estén formalmente establecidos, a fin de introducir
oportunamente las mejoras o actualizaciones que procedan.”
3.7.2. PROPÓSITO
Evaluar si las actividades de control establecidas y vigentes están siendo aplicadas correctamente y mitigan
los riesgos en forma eficaz, eficiente y económica.
Todo el personal de la entidad debe autoevaluar la efectividad de los controles internos aplicados en la
gestión de las operaciones a su cargo y en función de su compromiso con el control interno, participando
activamente en la aplicación y mejoramiento de las actividades de control implementadas y en el diseño
de controles efectivos para las áreas en donde desempeñan sus labores.
3.7.3. CRITERIOS
Al analizar las actividades de control vigentes, deben considerarse, entre otros aspectos:
Ante condiciones o desvíos producidos respecto de la aplicación de las actividades de control vigentes,
deben considerarse y analizarse los efectos que tales variaciones generan y las causas que hayan motivado
esas diferencias.
Las propuestas de mejora en las actividades de control deben ser definidas en forma clara y precisa, ser
viables operativamente y poder implementarse en un plazo razonable, determinándose claramente un
plan de las acciones a ejecutar para su adecuada implementación y consecución, asignando responsables
de tales tareas y plazos de cumplimiento.
Como complemento, dentro de las funciones del responsable de riesgos y el Comité de Riesgos, se
encuentra el fijar un plan de las acciones a ejecutar para la adecuada implementación y consecución de
las mejoras a las actividades de control vigentes o la implementación de nuevas actividades de control
viables, asignando responsables de tales tareas y plazos razonables de cumplimiento, que deberán ser
luego objeto de un seguimiento oportuno y coordinado, correspondiendo al COCOIN el monitoreo de su
adecuada implementación.
ACO.30 La MAE debe establecer la evaluación de las actividades de control vigentes (ver ANEXO 50), así
como las propuestas de mejoras a las mismas, y la definición de actividades de control
adicionales o en reemplazo de las existentes. Esta evaluación debe considerarse en la
elaboración y presentación de las matrices y el mapa de riesgos de la entidad, afectando la
valoración final de los riesgos, hasta llegar a niveles aceptables de riesgo residual (anexos
correspondientes de la Guía 2 Evaluación y gestión de riesgos).
Este proceso de evaluación de las actividades de control debe realizarse, como mínimo, una vez
al año, o cada vez que se produzca un cambio significativo en los objetivos estratégicos o los
recursos disponibles de la entidad, y está a cargo de los responsables jerárquicos de las áreas o
unidades afectadas.
Ante las limitaciones de recursos, podrán implementarse las actividades de control que sean
factibles, compensando las eventuales deficiencias mediante la aplicación de actividades de
control complementarias o supletorias.
ACO.31 Los responsables jerárquicos de las áreas o unidades de la entidad, en coordinación con el
Responsable de Coordinación y Seguimiento de la Gestión de Riesgos y el Comité de Riesgos,
deben elaborar un plan de acción (PADE, ver ANEXO 58) a ejecutar para la adecuada
implementación y consecución de las mejoras a las actividades de control vigentes o la
“El acatamiento o cumplimiento de las disposiciones legales que regulan los actos administrativos y la
gestión de los recursos públicos, así como de los reglamentos, normas, manuales, guías e instructivos que
las desarrollan, es el primer propósito del control interno institucional.”
“Las técnicas, mecanismos y elementos de control interno deben estar inmersos, integrados o incorporados
en los procedimientos de los sistemas administrativos de tal forma que sean parte natural de los mismos”.
Este principio también es aplicable para los sistemas operativos y de gestión.
3.8.2. PROPÓSITO
Al aplicar el principio de autorregulación la entidad obtiene “…un razonable nivel de autonomía regulatoria
para el logro eficaz de los objetivos y metas institucionales de la gestión a efecto de poder dar cuenta
pública al respecto” o bien “rendir o dar cuenta de la forma como los titulares de los entes públicos han
gestionado los recursos en procura de alcanzar las metas programadas o previstas en el presupuesto
institucional…”.
“Los objetivos institucionales, los controles y los aspectos pertinentes sobre transacciones y hechos
significativos que se produzcan como resultado de la gestión, deben respaldarse adecuadamente con la
documentación de sustento pertinente”. “El primer requerimiento puede quedar satisfecho en los planes
estratégicos y operativos de la organización y en la normativa interna vigente (manuales de puestos y
procedimientos; circulares; disposiciones; acuerdos que consten en actas y se comuniquen a quien
corresponda, etc.).”
Los manuales de procesos y procedimientos e instructivos aprobados deben estar disponibles en forma
física o electrónica (ejemplo: página web o intranet) para su consulta y aplicación por los distintos
usuarios.
3.8.3. CRITERIOS
“...la elaboración de los reglamentos internos y manuales específicos de los sistemas administrativos,
teniendo tanto las normas técnicas de los dichos sistemas emitidas por los respectivos órganos
rectores, como los principios, preceptos y normas generales o rectoras de control interno emitidas por el
TSC y las normas específicas de la ONADICI, son un deber de los correspondientes directores y/o jefes de
departamento, división, sección o unidad de cada ente público y su emisión una responsabilidad del titular
de la respectiva institución u organismo público.”
a. Legalidad, considerando la ley constitutiva de la entidad, los marcos normativos de los entes
rectores que rigen los diferentes sistemas administrativos y procesos de la entidad, y leyes
especiales según su obligatoriedad de aplicación
b. Describir la secuencia lógica de las actividades (operaciones y transacciones) y sus puntos clave
del proceso que conforman los sistemas administrativos y de producción de bienes y servicios
c. Estar adaptados los cambios de la realidad, tamaño, naturaleza y complejidad de sus servicios,
productos y procesos, magnitud de sus operaciones, estructura organizacional y las atribuciones y
responsabilidades legales aplicables de la entidad
d. Incorporar en los procedimientos las técnicas, mecanismos y elementos de control interno que
garanticen el logro de los objetivos propuestos
e. Asegurar la adecuada separación de funciones en las actividades expuestas a riesgos
f. Incluir las actividades de control definidas, vigentes y aplicables, haciendo énfasis en la aplicación
de controles preventivos.
Además, al redactar los manuales de procesos y procedimientos o instructivos de la entidad, debe tomarse
en cuenta en forma específica que se cubran todas las características principales que debe reunir una
actividad para estar adecuadamente diseñada, formalizada e implantada a fin de garantizar su
aplicabilidad. El ANEXO 49 proporciona una estructura sugerida para la redacción de los correspondientes
procedimientos. Así, en cada procedimiento se debe responder a las siguientes preguntas:
a. Porqué: causa o motivo por el que se realiza la actividad de control (riesgo identificado, analizado
y valorado)
b. Qué: materia controlable
c. Cómo: acción específica a realizar
d. Quién: responsable directo o ejecutor de la actividad de control, el que debe tener la suficiente
capacidad para ponerla en práctica
e. Cuándo: oportunidad de su ejecución (momento y periodicidad)
f. Dónde: lugar en que se ejecuta la actividad de control
g. Para qué: objetivo que se busca lograr con su aplicación (operativo, de información o de
cumplimiento). Debe ayudar a asegurar el logro de los objetivos y misión institucionales.
La entidad deberá formular e implementar los principales manuales de procesos y procedimientos para
los sistemas administrativos y operativos en cumplimiento de la normatividad emitida por ONADICI y
siguiendo el cumplimiento de lo dispuesto por los entes normativos, como son la SEFIN; el TSC; la ONADICI;
la ONCAE, la Comisión Nacional de Bancos y Seguros (CNBS), el Servicio Civil o equivalente, entre otros,
según corresponda.
a. Procesos y sistemas referidos a las actividades sustantivas que hacen al cumplimiento de los
objetivos estratégicos, metas, proyectos y programas que realiza la entidad
b. Sistemas de Administración Financiera y los subsistemas articulados:
i. Planeación y programación
ii. Inversión pública
iii. Presupuesto
iv. Tesorería
v. Crédito público
vi. Contabilidad
vii. Contratación administrativa
viii. Administración de recursos humanos.
ACO.32 La MAE, con todos los responsables jerárquicos de las áreas y unidades de la entidad debe
formular, implementar y mantener actualizados los principales manuales de procesos y
procedimientos e instructivos para los sistemas administrativos y operativos en cumplimiento de
la normatividad emitida por ONADICI los demás entes normativos, como son la SEFIN; el TSC; la
ONADICI; la ONCAE, la CNBS, el Servicio Civil o equivalente, entre otros, según corresponda.
i. Planeación y programación
ii. Inversión pública
iii. Presupuesto
iv. Tesorería
v. Crédito público
vi. Contabilidad
vii. Contratación administrativa
viii. Administración de recursos humanos.
ACO.33 El responsable jerárquico del área o unidad a cargo de la función de organización y métodos de
la entidad debe coordinar y proporcionar el apoyo técnico para que los responsables jerárquicos
de las áreas y unidades elaboren los correspondientes manuales de procedimientos e
instructivos tomando en consideración el tamaño de la entidad, la naturaleza y complejidad de
sus servicios, productos y procesos, la magnitud de sus operaciones, su estructura organizacional
y las atribuciones y responsabilidades establecidas en las leyes y reglamentos que en cada caso
sean aplicables, para luego someterlos a la aprobación de la MAE a través del COCOIN.
ACO.34 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, debe
comunicar formalmente por escrito y dejar disponibles en forma física o electrónica (ejemplo:
página web o intranet) para su consulta y aplicación por los distintos usuarios, todos los
manuales de procedimientos e instructivos de la entidad, debiendo comprobar que son
Guía 4
“INFORMACIÓN Y COMUNICACIÓN”
INFORMACIÓN Y COMUNICACIÓN
A continuación, se muestra las principales relaciones entre los tres de los diecisiete principios del Control
Interno – Marco Integrado 2013 (Figura 31) y los seis elementos del Marco Rector del Control Interno
Institucional de los Recursos Públicos, en la Figura 32, Figura 33 y Figura 34.
Figura 31
COSO 2013: principios de la información y comunicación
Fuente: Resumen Ejecutivo, Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013.
Figura 32
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente información y comunicación (1 de 3)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 33
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente información y comunicación (2 de 3)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 34
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente información y comunicación (3 de 3)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
“Los entes públicos deben establecer y mantener un sistema de información y comunicación para obtener,
procesar, generar y comunicar de manera eficaz, eficiente y económica, la información financiera,
administrativa, de gestión y de cualquier otro tipo, requerida tanto en el desarrollo de sus procesos,
transacciones y actividades, como en la operación del proceso de control interno con miras al logro de los
objetivos institucionales.”
Los sistemas de información y comunicación que se diseñen e implanten deberán concordar con los planes
estratégicos y operativos, debiendo ajustarse a sus características y necesidades y al ordenamiento jurídico
vigente.
4.1.2. PROPÓSITO
Disponer de datos e información oportunos, completos y veraces para la toma de decisiones y que
coadyuven a rendir cuentas sobre el manejo de los recursos públicos de manera transparente, dentro del
contexto de la política de Estado abierto en Honduras.
4.1.3. CRITERIOS
ICO.1 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe diseñar y
establecer mecanismos de comunicación que permitan asegurar la disponibilidad de información
por períodos (ejemplo: diario, mensual, trimestral, anual, entre otros, según las necesidades de
cumplimiento) conteniendo datos acumulados de las actividades institucionales, los cuales
deben ser conocidos por el personal al interior de la entidad y disponible a los usuarios externo
según corresponda:
a. Resultados de las actividades realizadas en los procesos por las unidades clave tales como
operaciones, recursos humanos, compras y contrataciones, planeamiento, entre otras.
b. Información sobre la ejecución del POA, la ejecución presupuestaría y los informes
financieros de la entidad (Tesorería, Administración de Bienes, Deuda Pública, Contabilidad)
y de las unidades operativas (Bienes y Servicios).
c. Información sobre el personal (cantidad, puestos, sueldos, honorarios, evaluación del
desempeño, equidad de género, personal con limitaciones especiales).
ICO.2 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe generar informes
periódicos acumulativos sobre los servicios prestados o bienes producidos, avance del POA, la
ejecución presupuestaria, los estados financieros y otras relacionadas.
ICO.3 La MAE debe ordenar a los responsables jerárquicos de las áreas y unidades la elaboración de
información sobre la gestión institucional del ejercicio terminado que incluya:
ICO.4 Todos los responsables de las áreas o unidades que generan información interna para la toma
de decisiones deben asegurarse de que la información generada sea completa, oportuna y
pertinente antes de difundirla a las unidades relacionadas y a la MAE.
ICO.5 Todos los responsables de las áreas o unidades de la entidad deben incluir en sus manuales de
procedimientos o instructivos la estructura y contenido de los informes relevantes sobre las
operaciones ejecutadas y que son comunicadas tanto a los usuarios internos como externos.
ICO.6 La MAE debe ordenar que los responsables jerárquicos de las áreas y unidades identifiquen las
necesidades de información interna y externa para la toma de decisiones y el logro de los
objetivos en los planes a nivel institucional y de las áreas o unidades de la entidad.
ICO.7 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe implementar una
política de puertas abiertas a las inquietudes de los colaboradores y la mejora continua de la
comunicación organizacional, en concordancia con la política de Estado abierto.
“El control interno debe contemplar los mecanismos necesarios que permitan asegurar la confiabilidad,
calidad, suficiencia, pertinencia y oportunidad de la información que se genere y comunique.”
La calidad de la información que brindan los sistemas facilite que las MAI y las MAE tomen decisiones
adecuadas para informar el cumplimiento de los objetivos de la entidad, con información confiable que
conduzca a la confianza y credibilidad de los usuarios internos y externos.
4.2.2. PROPÓSITO
Disponer de información oportuna, suficiente y relacionada con las principales operaciones de la entidad,
sobre los servicios prestados, la ejecución del PEI y el POA, y de demás planes y sus resultados financieros.
4.2.3. CRITERIOS
ICO.8 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe asegurarse que
se completen y cumplan los requerimientos de información técnica, como formatos, contenidos,
fechas de entrega, comparación, detalle de datos y otros, establecidos por los organismos
rectores de los sistemas de administrativos y otros entes reguladores.
La MAE, con todos los responsables de las áreas o unidades de la entidad, debe implementar los
mecanismos de aseguramiento necesarios que permitan contar con los informes y reportes requeridos
para los períodos establecidos (mensual, trimestral, anual y otros) y en los plazos definidos en las
disposiciones legales y normativas vigentes, considerando además lo establecido en la Ley de
Transparencia y Acceso a la Información Pública - LTAIP - (ver ANEXO 51).
ICO.9 La MAE debe asegurar que la información contenida en la página web de la entidad cumpla con
los requerimientos establecidos en la LTAIP, delegando la responsabilidad por su actualización y
contenidos en un responsable (oficial de información), debiendo cumplir los plazos de su
actualización, así como definir una estructura de contenidos que priorice la información sobre la
prestación de los servicios a los usuarios.
ICO.10 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe incorporar
controles clave para mantener los contenidos, la calidad del registro, control e información
procesada, considerando lo siguiente:
ICO.11 La MAE y todos los responsables de las áreas o unidades administrativas y operativas de la
entidad deben determinar las necesidades de información a considerarse en los sistemas de
información para la generación de reportes de operaciones, reportes de gestión y reportes
financieros.
ICO.12 La MAE y todos los responsables de las áreas o unidades de la entidad deben asegurarse de que
todos los servidores públicos o colaboradores, independientemente de la naturaleza de su
vínculo laboral, entiendan que los datos y la información, así como los procesos que los crean,
almacenan, procesan y utilizan, son propiedad de la entidad y que su uso compartido interno y
con terceros, debe estar sometida a consideraciones legales.
ICO.13 La MAE debe asegurar que el área correspondiente, de acuerdo con la naturaleza propia de sus
funciones, se encargue de evaluar la calidad de los datos e información que se crean, almacenan,
procesan y utilizan en la entidad, con el propósito de salvaguardar la adecuada toma de
decisiones.
“El sistema de información que diseñe e implante la entidad pública deberá ajustarse a las características
y ser apropiado para satisfacer las necesidades de ésta.”
El sistema de información y comunicación debe estar constituido mediante métodos establecidos por la
entidad para registrar, procesar, resumir e informar sobre las operaciones técnicas, administrativas y
financieras de una entidad.
4.3.2. PROPÓSITO
Disponer de una herramienta ágil y segura para el registro de las operaciones, y de manera especial para
la generación de información relevante que favorezca y dé soporte a la gestión eficiente y efectiva, a la
transparencia, así como a la rendición oportuna de cuentas a la sociedad.
4.3.3. CRITERIOS
Solidez del sistema información, desarrollado o ajustado a la medida de las necesidades institucionales y
que produzca información relevante para la administración eficiente y efectiva, y que sea de interés para
los usuarios de los servicios.
ICO.14 La MAE debe considerar que los sistemas de registro e información computarizados, manuales o
una combinación de ambos, cumplan con las siguientes características:
a. El diseño del sistema de información debe ser validado y administrado por una unidad
técnica especializada de la entidad.
b. El registro oportuno de la prestación de los servicios.
c. Los programas informáticos, de preferencia, deben ser integrados evitando la duplicidad de
registros.
d. Deben ser desarrollados de manera específica para las operaciones de la entidad,
considerando que existen otros programas generales a ser utilizados para el manejo
financiero como el Sistema de Administración Financiera Integrada (SIAFI) y otros.
e. Debe considerar la posibilidad que sus sistemas sean compatibles para interconectarse con
otros de la entidad debido a que los sistemas son cambiantes en el contexto global.
f. Los servidores públicos o colaboradores encargados del uso del sistema de información
deben ser capacitados en el procesamiento, consulta y generación de información.
g. Los usuarios internos deben considerar la importancia de los beneficios que genera la
información oportuna del sistema y su contribución a la toma de decisiones.
h. La entrega en tiempo y forma de informes resumidos de las operaciones a un momento de
corte determinado.
ICO.15 La MAE debe disponer que la unidad técnica especializada de la entidad se encargue de formular
un Plan Estratégico de Tecnologías de la Información (PETI) en las entidades tipo A y B, que es el
documento que define la estrategia bajo la cual se espera que las tecnologías de la información
(TI) se integren con la misión, visión y objetivos organizacionales definidos en el PEI de la entidad.
El modelo de estructura del PETI se muestra en el ANEXO 52. En el caso de las demás entidades
la necesidad de formulación del PETI dependerá del grado de implementación de las TI/SI en la
entidad y su correspondencia con objetivos establecidos en sus correspondientes PEI y POA.
“Los sistemas de información deberán contar con controles adecuados para garantizar la confiabilidad, la
seguridad y una clara administración de los niveles de acceso a la información y datos sensibles.”
La utilización de sistemas automatizados para procesar la información implica varios riesgos que necesitan
ser considerados por la administración de la entidad. Estos riesgos están asociados especialmente con los
cambios tecnológicos por lo que se deben establecer controles especiales de seguridad en evitar:
1. Modificaciones en el sistema
2. Modificaciones en las bases de datos
3. Modificaciones en el procesamiento de los datos.
Estos controles de seguridad están orientados a garantizar la confiabilidad de la información generada por
la entidad.
4.4.2. PROPÓSITO
Asegurar el ingreso de los datos e información y correcto procesamiento como parte de las operaciones,
así como la validación de los registros y la generación de informes de resultados oportunos y completos
para la toma de decisiones.
4.4.3. CRITERIOS
Acceso autorizado, claves de ingreso, registro interno completo para efectos de auditoría, respaldo
continuo, mantenimiento preventivo y medidas contra contingencias.
ICO.16 El superior jerárquico de la unidad técnica especializada de la entidad debe asegurarse del diseño
e implementación de controles de validación en sus procesos sobre:
ICO.17 Los responsables jerárquicos de las unidades técnicas especializadas de la entidad y de la UAI,
deben contribuir a asegurar el correcto y continuo funcionamiento del sistema de información
cumpliendo con los siguientes aspectos:
ICO.18 La MAE y todos los responsables de las áreas o unidades de la entidad deben asegurarse de que
todos los servidores públicos o colaboradores, independientemente de la naturaleza de su
vínculo laboral, entiendan que los sistemas de información de la entidad, incluyendo los
programas, aplicaciones y archivos electrónicos, sólo pueden utilizarse para fines estrictamente
oficiales y por requerimientos legales. Los sistemas de información y las herramientas asociadas,
como el correo electrónico e Internet, sólo pueden ser utilizados por personal debidamente
autorizado. Es responsabilidad de cada responsable de área o unidad definir las tareas que
impliquen acceso a tales herramientas.
ICO.19 La MAE y todos los responsables de las áreas o unidades de la entidad deben asegurarse de que
todos los servidores públicos o colaboradores, independientemente de la naturaleza de su
vínculo laboral, entiendan que la información desarrollada, transmitida o almacenada en los
sistemas de información de la entidad es propiedad del Estado, aplicándoseles todas las
disposiciones legales sobre documentos públicos. La divulgación de la información está regula
por la LTAIP, con excepción de la información orientada a la seguridad nacional.
ICO.20 La MAE debe establecer el diseño e implementación de las medidas de seguridad necesarias para
proteger la información personal de los servidores públicos, colaboradores o ciudadanos
contenidos en sus sistemas de información, conforme a la legislación aplicable.
ICO.21 La MAE y todos los responsables de las áreas o unidades de la entidad deben asegurarse de que
todos los servidores públicos o colaboradores, independientemente de la naturaleza de su
vínculo laboral, entiendan que los documentos generados o contenidos en los sistemas de
información son parte de los expedientes oficiales de la entidad.
ICO.22 LA MAE debe disponer que la unidad técnica especializada se asegure de que los programas y
recursos utilizados en los sistemas de información de la entidad cuenten con la licencia vigente
o autorización de uso. Estos programas sólo pueden ser instalados por el personal autorizado
para tales efectos.
ICO.23 Los sistemas de información de las entidades tipo A y B deben evaluarse al menos cada año, para
introducir mejoras o actualizaciones. Las entidades tipos C, lo hacen dependiendo de su
existencia y complejidad.
La entidad dispone de canales abiertos de comunicación que permitan a los usuarios aportar información
de valor sobre el diseño y la calidad de los productos y servicios brindados a los grupos de interés.
4.5.2. PROPÓSITO
4.5.3. CRITERIOS
Disponibilidad oportuna, ágil, fácil acceso, mediante el uso de la intranet, internet, página web
institucional, entre otros procedimientos que contribuyan a mejorar la comunicación.
ICO.24 La MAE debe establecer que el responsable jerárquico de la unidad técnica especializada de la
entidad elabore procedimientos e instructivos para el flujo de la información para uso interno y
externo, sean estos electrónicos (ejemplo: servicios de internet, intranet, correo electrónico y
sitio WEB de la entidad), impresos o audiovisuales siguiendo las normas establecidas en el
Estado.
ICO.25 La MAE y los superiores jerárquicos de las unidades deben establecer canales de información y
comunicación que promuevan la transparencia en:
a. Datos de uso interno disponible para todos los servidores públicos o colaboradores de la
entidad
b. Reportes para los niveles de dirección
c. Información para la MAE, accediendo directamente al sistema
d. Disponibilidad de la información para las usuarios internos y externos, entre ellos el
ciudadano.
ICO.26 La MAE y los superiores jerárquicos de las unidades deben aplicar controles clave para fomentar
la comunicación ágil y oportuna hacia el exterior, como los siguientes:
a. Todo informe hacia usuarios externos debe estar aprobado por la MAE y el responsable
jerárquico de su emisión
b. La información emitida para uso interno debe incluir la fecha de emisión y ser validada por
el responsable jerárquico de la unidad que la genera
“Los entes públicos, sujetos pasivos de la Ley Orgánica del Tribunal Superior de Cuentas (TSC), deberán
implantar y aplicar políticas y procedimientos de archivo apropiados para la preservación de los
documentos e información que deban conservar en virtud de su utilidad o por requerimiento técnico o
jurídico, incluyendo los informes y registros contables, administrativos y de gestión con sus fuentes de
sustento o soporte; y, permitir el acceso sin restricciones a los archivos al personal del TSC y de la Unidad
de Auditoría Interna, en cualquier tiempo y lugar”.
4.6.2. PROPÓSITO
4.6.3. CRITERIOS
ICO.27 La MAE debe asegurarse que las funciones correspondientes a la gestión de los procesos
asociados con el archivo institucional se encuentren adecuadamente asignadas a una unidad
técnica especializada de la entidad, la misma que debe contar con los recursos humanos
especializados, materiales y financieros necesarios, para cumplir con las funciones que le
correspondan, tomando en consideración lo establecido en la Ley de Transparencia y Acceso a
la Información Pública y otras que sean aplicables.
ICO.28 La MAE debe establecer que el responsable jerárquico del área o unidad técnica especializada
elabore los procedimientos e instructivos necesarios para la administración y uso del archivo
institucional (físico y digital).
ICO.29 La MAE con el responsable jerárquico del área o unidad técnica especializada, deben asegurarse
de que los documentos sean conservados en locales adecuados que tengan, como mínimo,
dispositivos especiales para almacenamiento y equipos contra siniestros naturales o provocados.
En el caso de los archivos digitales contar con los respaldos necesarios que permitan su
restauración o disponibilidad razonable.
ICO.30 La MAE debe disponer que el responsable jerárquico de la unidad técnica especializada
reglamente y estandarice la organización, como también la utilización y conservación de la
información contenida en los archivos de la entidad, considerando los siguientes componentes:
ICO.31 La MAE debe formalizar la responsabilidad directa por el manejo de los diferentes tipos de
archivos institucionales, individualizando la responsabilidad de los servidores públicos o
colaboradores y la de los responsables jerárquicos de las áreas y unidades administrativas y
operativas que generan y gestionan la información que debe ser almacenada y custodiada en los
archivos correspondientes.
ICO.32 La MAE y los responsables jerárquicos de las áreas o unidades de la entidad, en tanto la unidad
técnica especializada elabore y emita los procedimientos e instructivos para la gestión del
archivo físico, deben organizar los archivos considerando los siguientes períodos:
ICO.33 La MAE y los superiores jerárquicos de las áreas o unidades deben facilitar el acceso amplio y
abierto a todos los archivos institucionales a todos los usuarios internos y externos.
ICO.34 La MAE debe asegurar el acceso en forma permanente y sistemática el uso de los archivos
institucionales a los usuarios.
ICO.35 Se debe digitalizar los documentos importantes incluidos en los archivos organizados por áreas
de operación para facilitar el acceso a los datos por pantalla y el uso eficiente de los espacios
físicos.
MARE-CII-RP, TSC-NOGECI VI-06. Decreto Ejecutivo Número PCM-26-2007 (Creación ONADICI), Artículo 1.
Guía 5
“SUPERVISIÓN Y MONITOREO”
(ONADICI)
SUPERVISIÓN Y MONITOREO
A continuación, se muestra las principales relaciones entre los dos de los diecisiete principios del Control
Interno – Marco Integrado 2013 (Figura 36) y los seis elementos del Marco Rector del Control Interno
Institucional de los Recursos Públicos, en la Figura 37 y Figura 38.
Figura 36
COSO 2013: principios de la información y comunicación
Fuente: Resumen Ejecutivo, Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013.
Figura 37
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (1 de 2)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
Figura 38
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (2 de 2)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.
Elaboración: ONADICI, 2018.
“Deberá observarse y evaluarse el funcionamiento de los diversos controles, con el fin de determinar la
vigencia y la calidad del control interno y emprender las modificaciones que sean pertinentes para
mantener su efectividad”.
“El control interno de los recursos públicos es esencialmente un proceso de auto control aplicado por los
servidores públicos, bajo su propia responsabilidad, sobre las operaciones o actividades a su cargo”.
“Puesto que el control, en su naturaleza previa y posterior, forma parte de todas las actividades
organizacionales, es preciso analizar cuál es su efecto sobre las diversas fases de los procesos respectivos,
tomando en consideración los criterios de viabilidad y conveniencia de tales controles, así como la
posibilidad de mejorar y perfeccionar el sistema de control interno”.
“Establecer controles claves para los principales procesos de operación definidos en la entidad”.
5.1.2. PROPÓSITO
Evaluar la existencia, difusión, aplicación y funcionamiento del sistema de control interno, especialmente
en los controles clave, según la prioridad de los riesgos en las áreas y procesos de la entidad.
5.1.3. CRITERIOS
Acciones aplicadas durante el proceso completo de las operaciones enfocadas al funcionamiento de los
componentes del control interno: (1) ambiente de control, (2) evaluación y gestión de riesgos, (3)
actividades de control, (4) información y comunicación. La supervisión y monitoreo puede ser aplicado en
forma individual a cada componente o en su conjunto. La calidad del servicio se puede definir como la
ejecución en el primer intento de las funciones individuales asignadas en cada área de la entidad.
SYM.1 La MAE debe asegurarse que los responsables jerárquicos de las áreas o unidades, con la
coordinación del COCOIN, que se han elaborado reglamentos, manuales de organización y
funciones, manuales de procesos y procedimientos, manual de puestos y salarios, políticas,
instructivos, entre otros, con base en los principios de autorregulación y autocontrol.
SYM.2 La MAE es responsable de la organización y de las normas internas que la regulan, así como de
la aplicación de los marcos normativos aplicables a la entidad, asegurándose de la eficacia de su
cumplimiento.
SYM.3 Todos los responsables jerárquicos de las áreas que realizan funciones de supervisión continua
tienen la responsabilidad de documentar su participación en las operaciones y transacciones
ejecutadas, dejando evidencia escrita, física o electrónica sobre el particular.
SYM.4 Todos los responsables jerárquicos de las áreas o unidades deben autoevaluar el cumplimiento
de sus principales actividades de control diseñadas y en operación (ver ANEXO 56 y ANEXO 57),
así como la elaboración de un informe sobre las fortalezas y las deficiencias de control interno
de su área de operación en la entidad (ver ANEXO 53, ANEXO 54 y ANEXO 55) y elaborar
propuestas de mejora o subsanación, el cual debe ser de conocimiento y apoyo de la MAE.
SYM.5 La MAE debe aprobar la herramienta de autoevaluación a propuesta del COCOIN, la cual se
elabora a la medida de las características de la entidad (como referencia se puede tomar el
cuestionario de ejemplo del ANEXO 55).
SYM.6 La MAE debe difundir los resultados de la autoevaluación en la entidad, ya sea por medios físicos
o electrónicos, o por requerimiento u obligación de entes externos.
SYM.7 La MAE tiene la responsabilidad de supervisar y asegurar la eficacia del control interno tomando
como insumos los informes de las autoevaluaciones realizadas (ver ANEXO 53, ANEXO 54 y
ANEXO 55) y los informes de la UAI, así como también tomando conocimiento mediante la
aprobación de los informes periódicos de las áreas o unidades operativas y administrativas de la
entidad, considerando los criterios de oportunidad, confiabilidad, legalidad, comparación e
integridad.
SYM.8 La UAI, mediante la evaluación separada, contribuye a la mejora del diseño y funcionamiento del
control interno, elaborando informes objetivos, profesionales e independientes que son
comunicados a la MAE y otros entes externos (ejemplo: ONADICI, TSC).
“El titular principal o jerarca y todos los funcionarios que participan en la conducción de las labores de la
institución, deben efectuar una evaluación permanente de la gestión, con base en los planes
organizacionales y las disposiciones normativas vigentes, para prevenir y corregir cualquier eventual
desviación que pueda poner en entredicho el acatamiento del principio de legalidad y de los preceptos de
eficiencia, eficacia y economía, aplicables.”
5.2.2. PROPÓSITO
5.2.3. CRITERIOS
La evaluación del desempeño institucional es una actividad estratégica, periódica, oportuna, proactiva y
participativa en todos los niveles de la organización y en todos los componentes del CII. La evaluación se
realiza sobre la base del PEI y el POA institucional, los cuales fijan los objetivos en el largo y corto plazo, el
presupuesto y el PACC que se derivan de ellos, así como los indicadores de desempeño que proporcionan
información acerca de la ejecución de los procesos y sus resultados, y los informes de gestión que dan
cuenta acerca del cumplimiento de los planes y los objetivos.
SYM.9 La MAE y todos los superiores jerárquicos de las áreas o unidades deben conocer los informes
de evaluación o de gestión sobre el avance en la ejecución de los planes, el grado de
cumplimiento de los objetivos estratégicos y las decisiones tomadas. El informe trimestral sobre
la ejecución del POA institucional y el de cada unidad debe incluir los resultados de la evaluación
del desempeño institucional.
SYM.10 Todos los superiores jerárquicos de las áreas o unidades deben producir información específica
sobre el grado de cumplimiento de los objetivos dentro de su ámbito de competencia para
evaluar el desempeño institucional. La evaluación del cumplimiento del POA por unidad
operativa es el insumo principal para la evaluación del desempeño institucional.
SYM.11 La MAE debe establecer que el área de planificación de la entidad se encargue de elaborar la
metodología de evaluación para el desempeño institucional para ser sometido a su aprobación,
siguiendo los lineamientos que emita la ONADICI.
SYM.12 La MAE debe asegurarse que el método para evaluar el desempeño institucional sea aplicado en
forma consistente por cada unidad operativa y que los resultados acumulados a nivel
institucional por cada trimestre sean reportados utilizando el registro de la información generada
por el POA y las evaluaciones del CII.
SYM.13 La MAE y todos los responsables jerárquicos de las áreas o unidades deben definir los indicadores
del desempeño e integrarlos al POA. Asimismo, deben asegurarse de que éstos sean
ampliamente difundidos en todas las áreas o unidades que constituyen los puntos clave de
control para evaluar el desempeño y las propuestas de mejora.
SYM.14 La MAE y todos los responsables jerárquicos de las áreas o unidades deben participar y conocer
el informe de evaluación al desempeño, asegurando su difusión interna y externa según sea el
caso, y que incluya al menos el siguiente contenido:
SYM.15 La MAE y todos los responsables jerárquicos de las áreas o unidades deben revisar
periódicamente los indicadores con el fin de actualizarlos y garantizar su eficacia. Asimismo, el
área de planificación debe encargarse de su clasificación por áreas estratégicas, administrativas
y operativas con la finalidad de contar con una mejor identificación, una comprensión clara y una
aplicación expedita que facilite su cumplimiento, además de encargarse de su correspondiente
difusión.
SYM.16 La MAE y todos los responsables jerárquicos de las áreas o unidades deben rendir cuentas de
forma obligatoria sobre el nivel de cumplimiento en el logro de los objetivos operativos de sus
respectivos ámbitos de responsabilidad y competencia, así como de su contribución al logro de
los correspondientes objetivos estratégicos, utilizando como referencia la información de los
periodos anteriores para efecto de análisis, comparación y proyección.
SYM.17 La MAE y todos los superiores jerárquicos de las áreas o unidades deben retroalimentar las
operaciones sobre la base de los resultados de la evaluación del desempeño institucional y el
cumplimiento del POA para orientar efectivamente las operaciones en caso de desviaciones
importantes o significativas.
“Las deficiencias y desviaciones de la gestión de cualquier naturaleza y del control interno, deben ser
identificadas oportunamente y comunicadas de igual modo al funcionario que posea la autoridad suficiente
para emprender la acción preventiva o correctiva más acertada en el caso concreto”.
“…que los controles hayan sido adecuadamente definidos a la luz de las características institucionales y los
recursos disponibles.”
5.3.2. PROPÓSITO
Identificar, registrar y comunicar de manera oportuna las deficiencias detectadas, a través de reportes
periódicos, con la finalidad que se tomen acciones preventivas y correctivas en las actividades y
operaciones de la entidad.
Implementar procedimientos eficaces para informar oportunamente a los responsables jerárquicos de las
áreas y unidades con autoridad para tomar acciones efectivas de mejora y ajustes en el proceso de
ejecución de las operaciones.
5.3.3. CRITERIOS
Formalizar la emisión de informes periódicos y oportunos sobre las deficiencias identificadas en las
acciones de supervisión y monitoreo y en la evaluación del desempeño institucional por la administración
activa para la toma de acciones preventivas y correctivas o promover mejoras a cargo de la MAE, los
responsables jerárquicos de las áreas o unidades, y por cualquier otro servidor público o colaborador con
autoridad en la entidad.
SYM.18 Constituyen reportes de deficiencias todos aquellos informes o reportes emitidos por cualquier
instancia de la entidad, que por su naturaleza y objetivos tengan por finalidad poner en
conocimiento de los responsables respectivos deficiencias o desviaciones de la gestión o del
control interno. Entre los principales reportes de deficiencias se tienen: informes y reportes
elaborados por el área de planificación, informes elaborados por la UAI, informes elaborados por
la auditoría externa.
SYM.19 La MAE debe establecer y asegurarse que los reportes de deficiencias incorporen los resultados
de la evaluación de todos los niveles de la organización en forma trimestral; no obstante, cuando
se requiera información por períodos menores, estos pueden elaborarse.
SYM.20 El responsable jerárquico del área de planificación debe preparar informes formales, periódicos
y oportunos producto de las acciones de supervisión y monitoreo y de la evaluación del
desempeño institucional que identifiquen las deficiencias relevantes y prioritarias para mitigar
los riesgos institucionales en las operaciones y en el logro de los objetivos de la entidad.
SYM.21 La MAE debe comunicar oportunamente a las unidades directamente relacionadas y a sus
responsables jerárquicos, las deficiencias clasificadas por unidades para corregir los
procedimientos y mejorarlos.
SYM.22 La MAE, los responsables jerárquicos de todas las unidades y todos los servidores públicos o
colaboradores de la entidad deben promover, apoyar y fortalecer el compromiso de rendir
cuentas y el autocontrol en las operaciones, generando información válida, completa y oportuna
sobre las tareas realizadas y los resultados obtenidos.
“Cuando el funcionario responsable con autoridad al efecto detecte alguna deficiencia o desviación en la
gestión o en el control interno, o sea informado de ella, deberá determinar cuáles son sus causas y las
opciones disponibles para solventarla y adoptar oportunamente la que resulte más adecuada a la luz de
los objetivos y recursos institucionales.”
5.4.2. PROPÓSITO
5.4.3. CRITERIOS
Considerar las causas y efectos de las deficiencias, definir las prácticas de control aplicables y gestionar las
operaciones para su mitigación, promoviendo mejoras para el cumplimiento efectivo, eficiente y
económico de los objetivos estratégicos de la entidad.
SYM.23 La MAE, con base en los informes recibidos, debe promover la solución oportuna de las
deficiencias o desviaciones comunicadas en los informes generados por la propia administración
(informes de gestión), mediante la autoevaluación del control interno, la evaluación del
desempeño institucional, la evaluación separada aplicada por la UAI y la auditoría externa
realizada. Al respecto, se deben corregir las deficiencias comunicadas en el menor tiempo
posible, a través de las unidades encargadas de las operaciones.
SYM.24 Todos los responsables jerárquicos de las áreas o unidades a los cuales se les ha comunicado las
deficiencias que les corresponde deben responder realizando las aclaraciones que consideren
pertinentes y adjuntando las propuestas de “Planes de acción para deficiencias reportadas”
(PADE) (ver ANEXO 58) para corregirlas, procurando la mejora de los procesos, procedimientos
y tareas relacionadas; las cuales deben ser aprobadas por la MAE.
SYM.25 La MAE debe aprobar el plan de acción (PADE) propuesto (ver ANEXO 58) por los responsables
jerárquicos de las áreas o unidades para aplicar las recomendaciones y dar solución a las
deficiencias identificadas en los informes de evaluación recibidos, asegurando los recursos
necesarios y asignando la función de seguimiento e información continua a los responsables de
las unidades relacionadas con las deficiencias.
SYM.26 Los responsables jerárquicos de todas las unidades operativas y de apoyo encargadas de las
actividades relacionadas con las deficiencias informadas deben dar cumplimiento al plan de
acción (ver ANEXO 58) correspondiente. Al finalizar cada trimestre se debe presentar la
información sobre la aplicación de las recomendaciones recibidas, clasificando su estado de
avance de conformidad con lo previsto en el “Sistema de Seguimiento de Recomendaciones de
Auditoría” (SISERA) del TSC.
SYM.27 El responsable jerárquico de cada área o unidad líder de sus correspondientes PADE (ANEXO 58)
debe asegurarse que éstos sean incluidos en el POA del año siguiente del área o unidad a su
cargo.
SYM.28 El responsable jerárquico del área de planificación, en coordinación con el COCOIN, debe
elaborar el “Plan anual de implementación de mejoras” (PAIME) (ver ANEXO 59), el cual
consolida los PADE elaborados por los responsables jerárquicos de las áreas o unidades y
aprobados por la MAE. Una copia del PAIME es enviada a la ONADICI dentro los diez (10) días
posteriores a su aprobación por la MAE.
SYM.30 Los responsables jerárquicos de las áreas y unidades y los servidores públicos o colaboradores
que identifiquen situaciones negativas relevantes sobre las cuales carezcan de autoridad para
dar solución, deben trasladar la información por escrito al nivel inmediato superior y en el menor
tiempo posible.
SYM.31 En el caso que la MAE conozca el informe de la UAI que incluya medidas correctivas y se dilate la
decisión, la UAI debe comunicar el hecho al TSC y a la ONADICI, en un plazo no mayor de quince
(15) días calendario para que estos entes le hagan las recomendaciones directas a la MAE sobre
su cumplimiento.
“Cuando la entidad estime oportuno contratar asesores externos cuyo servicio o producto final conlleve la
emisión de recomendaciones orientadas a fortalecer el control interno, deberá coordinar con la unidad de
auditoría interna a fin de obtener criterios que coadyuven para el éxito de la contratación y sus resultados,
se eviten duplicidades, ineficiencias u otros posibles inconvenientes en el uso de los recursos destinados a
la fiscalización. Los asesores deberán cumplir con las normas de auditoría y, en general, acatar el marco
rector del control externo”.
5.5.2. PROPÓSITO
En los casos que la entidad tenga limitaciones para aplicar la supervisión y monitoreo del control interno
institucional a las operaciones, puede contratar los servicios de consultores externos experimentados para
cumplir de manera objetiva, profesional e independiente sobre el diseño y funcionamiento del control
interno de la entidad.
5.5.3. CRITERIOS
En los servicios profesionales con base en concursos públicos deberá prevalecer la competencia de los
consultores y la calidad de los productos, los cuales serán los principales factores a utilizar en la decisión
para contratar el servicio de supervisión y monitoreo del control interno institucional (CII), mismo que
incorpora los principios de autorregulación, autocontrol y autoevaluación.
SYM.32 La MAE en caso de optar por la asesoría externa para la supervisión y monitoreo del CII en los
casos que la entidad tenga limitaciones para su aplicación práctica debido a la carencia de
personal con conocimientos especializados, ausencia de manuales de procedimientos e informes
de autoevaluación, presencia de errores importantes en los informes de supervisión y monitoreo
continuo, ausencia de informes de evaluación del desempeño institucional con base en el POA,
entre otros, debe supervisar en forma conjunta con el COCOIN el cumplimiento de la asesoría
contratada para la entidad.
SYM.33 La asesoría externa contratada debe cumplir los criterios normativos establecidos por el TSC y
ONADICI para el ejercicio de la auditoría gubernamental, de manera especial las normas
generales y profesionales.
“El ejercicio profesional de la Auditoría Interna en los sujetos pasivos de la Ley Orgánica del Tribunal
Superior de Cuentas (TSC), deberá cumplir con el presente marco rector del control interno y los estándares
internacionales adaptados y/o adoptados por el TSC.”
5.6.2. PROPÓSITO
Aplicar el principio TSC-PRICI-12 Evaluaciones Separadas con base en el marco legal, técnico y profesional
actualizado de la función de auditoría interna de las entidades del sector público y las mejores prácticas
desarrolladas y publicadas por el Instituto de Auditores Internos Global (IIA-G).
5.6.3. CRITERIOS
El Marco Rector de la Auditoría Interna del Sector Público, así como la “Guía para la Elaboración del Plan
General y del Programa Operativo Anual de las Unidades de Auditoría Interna” y la “Guía de Organización
y Funcionamiento de las Unidades de Auditoría Interna” emitidas por la ONADICI, constituyen los
referentes locales para la planificación, organización, funcionamiento y la generación de productos
resultantes de la función de auditoría interna.
En el contexto internacional aplica las Normas Internacionales para el Ejercicio Profesional de la Auditoría
Interna (NIEPAI) publicadas por el Instituto de Auditores Internos Global (www.TheIIA.org) (ver ANEXO
60).
SYM.34 El responsable jerárquico de la UAI debe cumplir las disposiciones del Marco Rector de la
Auditoría Interna del Sector Público, la Guía para la Elaboración del Plan General y del Programa
Operativo Anual de las Unidades de Auditoría Interna, la Guía de Organización y Funcionamiento
de las Unidades de Auditoría Interna, ambas emitidas por la ONADICI, en el marco del Sistema
Nacional de Control de los Recursos Públicos a cargo del TSC, y supletoriamente el Marco
internacional para la práctica de la auditoría interna y las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna (NIEPAI) publicadas por el Instituto de Auditores Internos
Global (www.TheIIA.org) (ver ANEXO 60).
ANEXOS GUÍA 0
“INTRODUCCIÓN GENERAL”
ANEXO 2. PROGRAMA DEL TALLER DE DIFUSIÓN DEL CONTROL INTERNO INSTITUCIONAL (CII)
Difusión sugerida
TALLER SOBRE LAS GUÍAS –CII (Conferencia 1,5 horas, talleres de 4 y 8 horas)
ENTIDAD: ______________________
PERIODO: _________________________
I. OBJETIVOS
Proporcionar, a los responsables jerárquicos y servidores públicos o colaboradores de las áreas y unidades
operativas y administrativas, el conocimiento teórico y práctico sobre la aplicación y manejo de las Guías
para la Implementación del Control Interno Institucional en el marco del SINACORP (GICII) y la normativa
específica elaborada.
Concientizar, sensibilizar y capacitar a los niveles directivos, técnicos y administrativos en la cultura del
control interno, gestión de riesgos y gestión institucional.
Reconocen y están familiarizados con los principales conceptos, componentes y elementos del CII con base
en los criterios técnicos emitidos por el TSC y la ONADICI, así como las NOGECI y las GICII y su aplicación
en la entidad.
Comprenden que el establecimiento del proceso de CII de los recursos públicos proporciona varias
herramientas útiles para la administración gubernamental, a la vez que motiva al personal y ayuda a
obtener una seguridad razonable de alcanzar los objetivos previstos en el art. 46 de la LOTSC siguientes:
(a) procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios; (b)
proteger los recursos públicos; (c) cumplir las leyes, reglamentos y otras normas gubernamentales; y, (d)
elaborar información operativa y financiera válida, confiable y transparente presentada con oportunidad.
• Incorporan a su cultura personal e institucional los conceptos y prácticas del control interno y la
gestión de riesgos.
• Normas sobre el marco de CII, incluyendo las NOGECI, las GICII y la normativa específica
• Diapositivas utilizadas para la presentación del taller, por cada unidad académica
El horario puede ser en la mañana o en la tarde, cuatro horas por día como mínimo, con intermedio de
descanso y refrigerio cada dos horas.
VII. INSTRUCTORES:
• Sr. M.M. responsable jerárquico miembro del COCOIN que colabora como facilitador del taller.
Asimismo, me comprometo a revisar y actualizar mis conocimientos de las veinte (20) normas de conducta
ética, contenidas en el artículo 6 del Código de Conducta Ética del Servidor Público, que inicia con “1)
conocer, respetar y hacer cumplir la constitución de la república, el presente código de conducta ética del
servidor público, las leyes, los reglamentos y demás normativa aplicable al cargo que desempeña.”
Firma: ________________________________
- Recursos humanos
- Compras y contrataciones
• Informe de avance del POA (mensual, trimestral y comparativo con el año anterior)
• Fechas de aprobación:
- Mensuales: diez (10) días después del último día hábil del mes anterior
- Trimestrales: doce (12) días después del último día hábil del mes anterior
- Anuales: hasta el último día laborable del mes de febrero del año siguiente al informado.
B. AMBIENTE DE CONTROL
D. ACTIVIDADES DE CONTROL
E. INFORMACIÓN Y COMUNICACIÓN
F. SUPERVISIÓN Y MONITOREO
_________________________
Firma Coordinador del COCOIN
Los procedimientos para el trámite de las transacciones administrativas, financieras y operativas deben
incluir de manera clara al menos cuatro (4) momentos de control clave que son los siguientes:
Luego, se tienen las actividades de aseguramiento, de control, custodia y archivo, según sea el caso (ver
ANEXO 48). La evaluación del control interno no permite validar el funcionamiento de los controles
establecidos y que generen información relevante para la toma de decisiones.
Los organismos públicos se crean con el propósito de prestar servicios o producir bienes, autorregulándose
para cumplir con su misión según su ley de creación. El CII debe estar enfocado en el desarrollo de los
principales procesos y áreas relacionados con la generación de valor agregado. Entre ellas se tiene las
siguientes:
• Servicios instalados
Las actividades relacionadas con el desarrollo de tecnología, las mejores prácticas, la administración del
talento humano en forma eficiente, así como la planificación estratégica de los objetivos institucionales
resultan también de vital importancia.
• Producción de las unidades para la toma de decisiones; ejemplo: cantidad de aulas de computación
construidas
• Actividades sustantivas o misionales; ejemplo: mejorar la infraestructura y acondicionamiento
tecnológico para los estudiantes
• Gestión administrativa y gerencial; ejemplo: adquirir los servicios y equipamiento para las aulas de
conformidad con estándares internacionales
• Informes presupuestarios y financieros; ejemplo: presentar el costo y la documentación de sustento
de acuerdo con las normas vigentes para las compras y contrataciones.
Los informes que se elaboren y presenten van de acuerdo con la naturaleza y la misión de la entidad.
La evaluación de la calidad de los servicios por los usuarios directos es la mejor forma de establecer la
satisfacción en relación a los servicios públicos que presta la entidad. Para esto es importante detallar y
comunicar a los clientes y usuarios los siguientes aspectos en forma obligatoria y continua:
• Dirección domiciliaria, números de teléfono, dirección de la página Web, enlaces a redes sociales
(Facebook, WhatsApp, Twitter, entre otros) y correo electrónico.
El registro periódico de las transacciones y operaciones sustantivas de la organización clasificado por las
actividades importantes generadoras de valor agregado debe realizarse de acuerdo a los servicios que
presta la entidad. La generación de reportes se hace por períodos de las operaciones, pudiendo ser diarios,
semanales y mensuales para monitorear las actividades e incorporar acciones para la mejora continua en
la prestación de los servicios al ciudadano.
Adicionalmente, deben registrarse las operaciones de apoyo para la generación de valor y el logro de los
objetivos institucionales.
Ejemplo: los autocontroles establecidos en el diseño del CII permiten enfocar los temas de mayor
importancia para la prestación de los servicios a los usuarios que los requieran, contemplando la
disponibilidad de recursos adicionales para los períodos de mayor demanda por ciclos de operación.
ENTIDAD: __________________________
TALLER DE AUTOEVALUACIÓN
FECHAS: ______________________________
Día 1
08:15 a 09:00 horas Presentación del Marco Rector de Control Interno Facilitador
Institucional y del Modelo de Gestión
Día 2
11:45 a 12:15 horas Elaboración del resumen del taller Facilitador y participantes
B. AMBIENTE DE CONTROL
D. ACTIVIDADES DE CONTROL
E. INFORMACIÓN Y COMUNICACIÓN
F. SUPERVISIÓN Y MONITOREO
________________________________
Firma responsable jerárquico de la UAI
Las unidades clave de la entidad deben difundir el contenido y enfoque del CII entre su personal y aplicable
en sus operaciones, evaluando mediante herramientas la calidad del control interno que está operando
en esta unidad.
Los resultados compilados y discutidos por el grupo invitado al TAECII de la unidad generan el informe
sobre la operación de los cinco componentes y los veinticinco elementos del control interno aplicables,
para lo cual se incluyen comentarios, opiniones y recomendaciones para la administración de la unidad.
Se debe seguir el procedimiento propuesto en el
ANEXO 53.
La estructura del informe a desarrollar se adapta con base en el ANEXO 7 que detalla los contenidos
globales de los resultados.
El CII de cada entidad es responsabilidad de su respectiva MAE con la participación de los niveles de
dirección de las áreas operativa, de gestión, financiera y sistemas de información, así como los servidores
públicos o colaboradores que laboran en estas unidades.
La política que se diseñe debe ser comunicada al TSC, ONADICI u otro ente normativo según sea la
naturaleza de la entidad.
CONTENIDO CANTIDAD
ASPECTOS BÁSICOS GENERALES 3
PRINCIPIOS RECTORES DE CONTROL INTERNO INSTITUCIONAL DE LOS RECURSOS 12
PÚBLICOS
PRECEPTOS DE CONTROL INTERNO INSTITUCIONAL 6
ASPECTOS BÁSICOS DE LAS NORMAS 2
NORMAS GENERALES SOBRE ASPECTOS BÁSICOS DEL CONTROL INTERNO 5
NORMAS GENERALES RELATIVAS AL AMBIENTE DE CONTROL 10
NORMAS GENERALES RELATIVAS A LA EVALUACIÓN Y GESTIÓN DE RIESGOS 6
NORMAS GENERALES RELATIVAS A LAS ACTIVIDADES DE CONTROL 20
NORMAS GENERALES RELATIVAS A LA INFORMACIÓN Y COMUNICACIÓN 6
NORMAS GENERALES RELATIVAS AL MONITOREO 6
GUÍAS PARA LA IMPLEMENTACIÓN DEL CII (incluyendo esta Guía 0) 6
DOCUMENTOS SOBRE AUTORREGULACIÓN SOBRE EL CII Varios
ANEXOS GUÍA 1
“AMBIENTE DE CONTROL”
Estratégico
Operativo
Apoyo
Escala para la calificación del nivel de contribución del proceso al logro de los objetivos estratégicos
Alto Mediano Bajo Nulo
3 2 1 0
(1) Nombre de la entidad: colocar el nombre de la entidad que está realizando la identificación de los
procesos clave
(2) Nombre del responsable jerárquico: colocar el nombre de la persona que está llenando el
formulario
(3) Nombre del área: área de la cual es responsable jerárquico
(4) Macroproceso: clasificación en el mapa de procesos en los cuales se clasifican y agrupan estos
(5) Procesos: colocar los nombres de los procesos de acuerdo con su nivel de agrupación en 0, 1 ó 2 de
acuerdo con el mapa de procesos
(6) Calificación del nivel de contribución del proceso al logro de los objetivos estratégicos: colocar la
calificación de 0 a 3 en relación con el nivel de contribución del proceso al logro de cada uno de los
objetivos estratégicos, de acuerdo con la escala provista
(7) Sumatoria: realizar la suma horizontal (por filas) de las calificaciones asignadas a cada objetivo
estratégico
(8) Criticidad (PC=proceso crítico, NC=no crítico): calificación de cada proceso como crítico o no crítico
por la sumatoria de puntos alcanzada y de acuerdo con la escala provista.
I. Objetivo
Regular la organización y funcionamiento del Comité de Control Interno Institucional (COCOIN) para
contribuir a su mejor desempeño para la implementación y mantenimiento del CII.
II. Alcance
Este reglamento cubre aspectos importantes referidos a la organización y funcionamiento del COCOIN,
relacionados con:
• Integrantes
• Organización
• Régimen de reuniones
• Reportes a elaborar
• AMC.2
• AMC.37
El COCOIN es un órgano colegiado de apoyo a la MAE, con capacidad y atribuciones para la toma de
decisiones en la entidad, cuyo objetivo principal es promover y contribuir la eficaz y eficiente
implementación, mantenimiento y mejora continua del CII, siendo para ello una importante instancia de
coordinación, asesoramiento, consulta y seguimiento oportuno.
4.2 Integrantes
Los integrantes del COCOIN son responsables jerárquicos formalmente designados por la MAE de la
entidad, quien junto con el documento de nombramiento hace entrega a cada integrante del presente
reglamento.
• El responsable jerárquico de la UAI, quien participará con voz, pero sin voto.
En los casos debidamente justificados de inasistencia, los integrantes del COCOIN pueden designar,
mediante declaración expresa, a un responsable jerárquico de área o unidad en su representación. Al
respecto, la responsabilidad derivada de las decisiones adoptadas por estos últimos, son asumidas por el
integrante titular que los designó.
Adicionalmente, la ONADICI a través del especialista de control interno designado en cada entidad, puede
participar como observador en las reuniones que celebre el COCOIN.
Finalmente, las decisiones se toman por mayoría absoluta de los presentes (la mitad más uno) y en caso
de empate la MAE o su representante tiene el voto dirimente.
4.3.1 Elaborar el “Plan anual de trabajo del COCOIN” (ver ANEXO 21) y someterlo a la aprobación de la
MAE, identificando como mínimo: actividades, plazos de ejecución, responsables, productos o
resultados esperados, entre otros. Cabe resaltar que entre las actividades a incluir en este plan
deben considerarse, como mínimo, aquellas relacionadas con las funciones del comité descritas
en el presente documento, así como políticas, pautas y otros instrumentos emitidos por la
ONADICI para la implementación de las GICII.
4.3.2 Remitir a la ONADICI copia del “Plan anual de trabajo del COCOIN” debidamente aprobado por la
MAE de la entidad, antes de finalizar el mes de enero de cada año.
4.3.3 Elaborar informes semestrales sobre el grado de avance en el cumplimiento del “Plan anual de
trabajo del COCOIN”, el cual una vez aprobado por la Máxima Autoridad Ejecutiva de la entidad
deberá ser remitido a la ONADICI dentro de los primeros diez (10) días hábiles posteriores al
semestre calendario que se está informado.
4.3.4 Promover y coordinar la realización oportuna de talleres de autoevaluación, procurando siempre
su complementación con las evaluaciones separadas.
4.3.5 Promover y coordinar la actualización de los talleres de autoevaluación sobre la base de los
“Seguimientos al plan de implementación” realizados.
4.3.6 Coordinar con la unidad de planificación para la elaboración y consolidación en el “Plan anual de
implementación de mejoras” (PAIME) de los planes de acción para deficiencias reportadas (PADE)
a partir de la información obtenida de cada unidad organizacional como resultado de los talleres
de autoevaluación u otras fuentes de información.
4.3.7 Remitir a la ONADICI copia del PAIME debidamente aprobado por la MAE de la entidad.
4.3.8 Velar por la adecuada implementación de las prácticas obligatorias contenidas en las GICII y otras
guías emitidas por la ONADICI.
4.3.9 Exigir y revisar trimestralmente el grado de avance de los PADE como parte del PAIME.
4.3.10 Elaborar y remitir a la MAE (para su aprobación y posterior remisión a ONADICI) un informe
trimestral en el cual se exponga el grado de avance en el cumplimiento del PAIME y PADE
correspondiente a cada unidad organizacional. Dicho Informe deberá ser remitido a la ONADICI
dentro de los primeros diez (10) días hábiles posteriores al trimestre calendario que se está
informado.
4.3.11 Promover y coordinar el desarrollo de actividades tendientes a difundir y concientizar al personal
de la entidad sobre la importancia de mantener un adecuado control interno institucional.
4.3.12 Proponer a la MAE de la entidad la capacitación necesaria para facilitar la adecuada
implementación y mantenimiento del control interno.
4.3.13 Proponer a la MAE de la entidad la contratación de las consultorías necesarias para el desarrollo y
aplicación del plan de implementación y las prácticas obligatorias de implementación del control
interno (PO), siempre y cuando en la entidad no exista personal competente disponible para
hacerlo o no se disponga del tiempo suficiente para ello.
4.3.14 Formular y proponer a la MAE políticas o pautas orientadas al desarrollo y aplicación de los
diferentes elementos y componentes del control interno.
4.3.15 Coordinar la elaboración, conjuntamente con el área de comunicación institucional o su
equivalente, un “Boletín Trimestral de Promoción del Control Interno Institucional” en el cual se
incluyan aspectos relacionados con buenas prácticas de control interno, actividades desarrolladas
por el COCOIN, actividades de difusión y concientización sobre el control interno, informes de
autoevaluación de las unidades organizacionales, avance en la ejecución de planes de
implementación, entre otros.
4.3.16 Dar seguimiento oportuno a la implementación del plan de acción establecido por el COR de la
entidad e informar al respecto a la MAE de entidad y a la ONADICI.
4.3.17 Elaborar actas de reunión por cada sesión realizada en donde consten, entre otros temas, los
compromisos asumidos y los responsables por su cumplimiento en tiempo y forma.
4.3.18 Otras funciones que establezca la ONADICI.
Los cargos del COCOIN son ad-honorem, de confianza y no inhabilitan para el desempeño de las demás
funciones ni el ejercicio inherente de su cargo en la entidad, así como en la actividad pública o privada.
EL COCOIN debe reunirse, mínimamente, de manera mensual un día hábil de cada mes y, en forma
extraordinaria, cuando el comité así lo decida, o bien sea requerido de manera fundamentada por alguno
de sus integrantes, a recomendación de la MAE o la ONADICI.
Los integrantes del COCOIN están obligados a asistir a las reuniones del Comité, salvo en situaciones
debidamente justificadas formalmente y con anticipación, hasta en un máximo de dos (2) oportunidades.
De ocurrir la anterior situación, el integrante debe designar a un suplente para que asista en su
representación y lo mantenga informado de lo tratado y actuado en la sesión. La comunicación de la
justificación y la correspondiente designación del suplente debe hacerse mediante comunicación escrita
dirigida al Coordinador del Comité, hasta un (1) día antes de la reunión.
4.7 Organización
Para llevar a cabo adecuadamente sus funciones, el COCOIN puede contar con el apoyo de un secretario
de actas y en el caso de las entidades tipo A y B, según se considere necesario, con un Equipo de Trabajo
Operativo de Control Interno (ETOCI).
La función de secretario de actas es ejercida por uno de los integrantes del COCOIN designado por el
coordinador.
El ETOCI puede estar conformado por personal de las áreas que integran el COCOIN. Para este fin, los
integrantes del COCOIN designan a este personal mediante comunicación formal dirigida al Coordinador
del COCOIN.
El ETOCI es un equipo multidisciplinario que brinda soporte y apoyo al COCOIN en el cumplimiento de sus
funciones, y sus integrantes deberán estar capacitados en temas de control interno, gestión por procesos
y gestión de riesgos.
Para su adecuado funcionamiento, los integrantes del ETOCI pueden contar con un coordinador, el cual es
designado por el Coordinador del COCOIN.
El COCOIN debe elaborar y presentar a la MAE de la entidad y a la ONADICI, entre otros, los siguientes
informes y documentos:
La MAE de la entidad debe instruir oficialmente a los integrantes del COCOIN acerca de la necesidad de
organización en su tiempo para atender sus responsabilidades y funciones de manera apropiada, en
procura de alcanzar eficazmente los objetivos para los cuales se creó el comité.
V. Responsabilidades
En el plazo de quince (15) días contados a partir de la emisión de las GICII, la MAE de la entidad debe:
5.1.1 Designar oficialmente a los integrantes del COCOIN (si antes no se hizo).
5.1.2 Contribuir y velar por el estricto cumplimiento del “Plan anual de trabajo del COCOIN” asignando
los recursos que resulten necesarios.
5.1.3 Asistir a las reuniones del COCOIN cuando sea convocado.
5.1.4 Velar por el logro de los objetivos del COCOIN, considerando que la MAE de la entidad es el
principal responsable institucional por la implementación, mantenimiento y mejora continua del
control interno.
5.2.5 Remitir a la ONADICI los informes y documentos establecidos en este reglamento y otros que por
su naturaleza se consideren apropiados.
5.2.6 Proponer temas de agenda que por sus características merecen ser tratados en el COCOIN.
5.2.7 Realizar las acciones necesarias para el cumplimiento de los acuerdos del comité que
correspondan al área de su competencia.
5.2.8 Participar activamente en los temas de agenda que sean materia de análisis y deliberación.
5.2.9 Atender los requerimientos de información que se le solicite.
5.2.10 Velar por el logro de los objetivos del COCOIN.
Entidad: ________________________________
Logo Plan Anual de Trabajo del Comité de Control Interno (COCOIN)
Año: _______
Semestre 1 Semestre 2
No. Actividades Producto Responsable
Ene Feb Mar Abr May Jun Jul Ago Set Oct Nov Dic
1
2
3
4
5
6
7
8
9
10
11
12
___________________________________ _________________________________
ENTIDAD: _________________________
Con base en el “Marco Rector del Control Interno Institucional de los Recursos Públicos” y
fundamentalmente en el principio “TSC-PRICI-07: AUTO REGULACIÓN”, la Máxima Autoridad de la
Ejecutiva (MAE) de las entidades es responsable de la gestión y establece la política pública prioritaria para
la implementación del proceso de control interno institucional en todas las unidades que la conforman,
reconociendo que este proceso es indispensable para asegurar en forma razonable el logro de los objetivos
institucionales, fortaleciendo la rendición de cuentas en todos los niveles y promoviendo la transparencia
institucional.
La MAE extiende su apoyo a la mejora continua de los controles internos con el compromiso que asumen
los superiores jerárquicos de las unidades de operación, administración y finanzas, implementando en
forma oportuna y continua de las Normas Generales de Control Interno (NOGECI) y las Guías para la
Implementación del Control Interno Institucional en el Marco del SINACORP (GICII) mediante la aplicación
de las prácticas obligatorias de implementación del CII (PO) detalladas en las GICII y emitida por la Oficina
Nacional de Desarrollo Integral del Control Interno (ONADICI), responsable del desarrollo integral del
control interno institucional.
La política de control interno institucional es de aplicación obligatoria en todos los niveles organizativos
de la entidad y en el proceso de control interno participan todos los servidores públicos o colaboradores
sin exclusión alguna.
La MAE, con el apoyo técnico de la ONADICI, coordinará la implementación ordenada de las prácticas
obligatorias mediante el esfuerzo conjunto del Comité de Control Interno (COCOIN) y los responsables
jerárquicos bajo la dirección y el compromiso de la MAE.
La MAE aprobará y remitirá trimestralmente a la ONADICI el informe del COCOIN, incluyendo los avances
en la implementación de las prácticas obligatorias.
Con base en lo anterior, se instruye a todos los responsables jerárquicos de las áreas y unidades de la
<ENTIDAD> a aplicar las presentes políticas, así como toda la normativa técnica específica emitida por la
ONADICI, que se fundamenta en los marcos rectores y disposiciones emitidas por el Tribunal Superior de
Cuentas, para facilitar la implementación y procurar el fortalecimiento del CII.
El acceso a las instalaciones físicas o virtuales de las entidades debe privilegiar la prestación de los servicios
para los cuales se crearon, incorporando información que comunique y oriente a los usuarios de los
servicios y la ubicación de las diversas modalidades de acceso instaladas en su ámbito de operación.
Las instalaciones físicas para los usuarios de los servicios deben contar con un área de información pública
de los servicios instalados y los requerimientos para acceder a los mismos. Para el personal de la entidad,
las instalaciones deben reunir las condiciones necesarias para cumplir en forma oportuna, eficiente y
efectiva las funciones asignadas.
El acceso a las instalaciones por medio del portal institucional debe privilegiar la siguiente información:
• Institucional, sobre los servicios instalados y los requerimientos para el acceso de los usuarios, sea
a través del portal institucional, mediante la comunicación telefónica o la visita a las instalaciones,
en los casos necesarios.
Información de conocimiento y acceso público bajo los criterios definidos en la Ley de Libre de
Transparencia y Acceso a la Información Pública, actualizada conforme a las fechas establecidas
en las disposiciones de los organismos rectores de los procesos o de los sistemas.
La autoridad ejercida por los servidores públicos o colaboradores se origina en las disposiciones legales y
en sus diferentes niveles a partir de la Constitución de la República y las leyes de creación de las entidades.
El reglamento de la ley de creación y la normativa interna sobre la estructura organizativa y funcional
establecen los niveles de autoridad y responsabilidad de las unidades administrativas de la organización,
y es el fundamento para la delegación de autoridad y la asunción de la responsabilidad en el cumplimiento
de las actividades asignadas a los responsables jerárquicos de las áreas y unidades con autoridad para
decidir.
La MAE de la entidad, por regla general, tiene facultad para delegar su autoridad para el cumplimiento de
las metas y objetivos institucionales, los superiores jerárquicos de las áreas o unidades de la estructura
organizativa institucional tienen autoridad y responsabilidad para cumplir los requerimientos de cada
área. La delegación de autoridad en el segundo nivel de la escala administrativa es competencia y
responsabilidad del superior jerárquico que delega autoridad a los servidores públicos o colaboradores
que laboran bajo su ámbito de supervisión directa y, por lo tanto, comparten la responsabilidad por los
resultados obtenidos.
I. Objetivo
Regular la organización y funcionamiento del Comité de Coordinación Institucional (COIN) para asegurar
la adecuada coordinación entre las áreas o unidades, así como proveer soporte y asesoramiento a la MAE
en la toma de decisiones y la mejora en el desempeño institucional.
II. Alcance
Este reglamento cubre aspectos importantes referidos a la organización y funcionamiento del COIN,
relacionados con:
• Integrantes
• Organización
• Régimen de reuniones
• Reportes a elaborar.
• AMC.40
• AMC.41.
El COIN es un órgano colegiado cuyo principal objetivo es contribuir al eficaz y eficiente logro de los
objetivos de la entidad, mediante la oportuna y adecuada coordinación, participación y suma de aportes
de las distintas áreas o unidades organizacionales, proveyendo soporte y asesoramiento a la MAE para
una mejor toma de decisiones y mejora del desempeño institucional.
El COIN representa una instancia de consulta, cooperación, apoyo y valor agregado entre la MAE y las
áreas o unidades.
4.2 Integrantes
Los integrantes del COIN pertenecen al nivel superior de los responsables jerárquicos de las áreas o
unidades de la entidad sin excepción. La MAE designa a uno de los integrantes para que desempeñe el rol
de secretario del Comité.
En los casos debidamente justificados de inasistencia, los integrantes del COIN pueden designar, mediante
declaración expresa, a un responsable jerárquico de área o unidad subordinada en su representación. Al
respecto, la responsabilidad derivada de las decisiones adoptadas por estos últimos, son asumidas por el
integrante titular que los designó.
Adicionalmente, la ONADICI a través del especialista de control interno designado en cada entidad, puede
participar como observador en las reuniones que celebre el COIN.
Dependiendo de las decisiones que se sometan al COIN, se pueden tomar por mayoría absoluta de los
presentes (la mitad más uno). En caso de empate la MAE o su representante tiene el voto dirimente.
4.3.1 Velar por la mejora continua para la coordinación, cooperación y sinergia de las distintas unidades
organizacionales, en procura de un mejor desempeño y logro de los objetivos institucionales.
4.3.2 Dar seguimiento al cumplimiento del Programa Operativo Anual (POA).
4.3.3 Analizar conjuntamente cualquier desviación a la ejecución del POA y adoptar las decisiones
necesarias, debidamente coordinadas, para su adecuado cumplimiento.
4.3.4 Tratar temas relacionados con limitaciones, falta de coordinación, ausencia de cooperación o
cualquier otro impedimento existente, ya sea de origen interno o externo, que pudiera estar
afectando el adecuado desempeño de una o varias áreas o unidades organizacionales; lo anterior
con el propósito de adoptar acciones uniformes tendientes a su solución.
4.3.5 Evaluar panoramas o escenarios previsibles (ya sea a favor o en contra de los objetivos de la
entidad) con el propósito de tomar decisiones comunes y coordinadas para su tratamiento por
parte de las áreas o unidades organizacionales involucradas.
4.3.6 Tratar y decidir sobre aspectos económico-financieros relacionados con necesidades de las áreas
o unidades organizacionales, tomando acciones oportunas para subsanar las mismas
(transferencias presupuestarias, solicitudes de ampliación, entre otras).
4.3.7 Intercambiar información útil entre las unidades organizacionales, establecer la necesaria y
acordar el entendimiento de nuevas políticas.
4.3.8 Conocer las necesidades de personal o las sobrecargas de trabajo existentes originadas en
situaciones especiales y debidamente fundamentadas, con el propósito de establecer medidas
temporales (ejemplo: préstamos temporales de personal entre áreas) para sanear las necesidades
presentadas y cumplir con los compromisos u objetivos vinculados a las mismas.
4.3.9 Conocer, de parte de las áreas o unidades organizacionales, las limitaciones o debilidades
existentes en el funcionamiento del control interno institucional, a efecto de tomar decisiones,
EL COIN debe reunirse, mínimamente, de manera trimestral la última semana de cada mes y, en forma
extraordinaria, cuando el Comité así lo decida, o bien sea requerido de manera fundamentada por alguno
de sus integrantes, a recomendación de la MAE o la ONADICI.
Los integrantes del COIN están obligados a asistir a las reuniones del Comité, salvo en situaciones
debidamente justificadas formalmente y con anticipación, hasta en un máximo de una (1) oportunidad.
De ocurrir la anterior situación, el integrante debe designar a un responsable jerárquico de área o unidad
subordinada como suplente para que asista en su representación y lo mantenga informado de lo tratado
y actuado en la sesión. La comunicación de la justificación y la correspondiente designación del suplente
debe hacerse mediante comunicación escrita dirigida a la MAE, hasta un (1) día antes de la reunión.
El COIN debe elaborar y presentar a la MAE de la entidad, entre otros, los siguientes informes y
documentos:
• Agendas de las reuniones coordinadas por el secretario del Comité, en donde se incluya, como
mínimo: objetivo de la reunión, temas a tratar y resultados esperados, tiempo y responsable por
tema, información o documentos de lectura previa o para llevar a la reunión, entre otros.
• Actas de reunión por cada sesión realizada incluyendo, entre otros: temas tratados, acuerdos
tomados, responsables, fechas de cumplimiento.
V. Responsabilidades
En el plazo de quince (15) días contados a partir de la emisión de las GICII, la MAE de la entidad debe:
5.1.1 Designar oficialmente a los integrantes del COIN (si antes no se hizo).
5.1.2 Convocar a las reuniones del COIN y aprobar la agenda respectiva.
5.1.3 Asistir y presidir las reuniones del COIN.
5.1.4 Velar por el logro de los objetivos y finalidades del COIN.
Quien suscribe, [nombres y apellidos completos del servidor público o colaborador], en mi condición de
[puesto o cargo del servidor público o colaborador] de la [nombre de la entidad], declaro que conozco la
importancia, necesidad y beneficios de la implementación del control interno, a la vez hago público,
mediante el presente documento, mi compromiso y apoyo a la implementación del control interno
institucional en la [nombre de la entidad], de acuerdo con lo estipulado en los artículos 245 y 247 de la
Constitución Política de la República de Honduras; la TSC-NOGECI III-07 Compromiso del Personal con el
Control Interno del Marco Rector del Control Interno Institucional de los Recursos Públicos; y el artículo
[número del artículo, en este caso 2214] de las disposiciones generales del Presupuesto General de Ingresos
y Egresos de la República, Ejercicio Fiscal [año, en este caso 2018], aprobadas mediante el Decreto
Legislativo [número, en este caso 141-2017], mediante la cual se dispuso la obligación de todas las
entidades del Poder Ejecutivo, para que en la ejecución del presupuesto se establezcan los procesos de
control interno de conformidad con las políticas establecidas en las normas generales emitidas por el
Tribunal Superior de Cuentas y la normativa desarrollada por la Oficina Nacional de Desarrollo Integral del
Control Interno.
Suscribo en señal de conformidad en la ciudad de [nombre de la ciudad] a las [hh:mm] horas del [día] de
[mes] de [año].
4
Es necesario mantener actualizada la referencia al artículo correspondiente del Presupuesto General de Ingresos y
Egresos de la República para cada año. En este caso, para el año 2018 en que se elaboró las GICII, la norma vigente
para este ejercicio presupuestario es el Decreto No. 141-2017, publicado en La Gaceta el 19 de enero de 2018. Por
lo tanto, el artículo 221 es el que hace referencia al establecimiento de los procesos de control interno en la ejecución
del presupuesto, y al rol que le toca cumplir a la ONADICI y al COCOIN.
La fortaleza del CII es evidente cuando la participación y contribución de los servidores públicos o
colaboradores es activa y propositiva con el funcionamiento eficiente, eficaz y económico de la entidad,
en general, y de las áreas de operación donde colaboran o participan directamente.
La MAE y los responsables jerárquicos de las áreas o unidades de operación, para promover el eficiente
funcionamiento de la entidad, deben emitir políticas dirigidas a fortalecer los controles para promover el
cumplimiento de los objetivos estratégicos de la entidad y de las áreas de operación, al iniciar el período
fiscal como parte del Plan Operativo Anual, actualizándolas o promoviendo nuevas políticas para que sean
conocidas, aplicadas y promovidas en la entidad, constituyéndose en promotores de la calidad del trabajo
ejecutado.
La adhesión a las políticas de la administración activa de las entidades debe ser evaluada al menos una vez
año, cuando se aplique la autoevaluación del CII a nivel de unidades y consolidada para la organización en
su conjunto.
Un resumen de las políticas institucionales debe estar disponible para el personal de la entidad y que sean
comunicadas ampliamente al iniciar el ejercicio.
Las políticas deben resaltar la eficiente rendición de cuentas a nivel institucional, la cual se fundamenta en
la oportunidad y el nivel de información comunicada a los ciudadanos, a los servidores públicos o
colaboradores de las entidades públicas relacionadas y a otras organizaciones de la sociedad civil sobre el
destino y la forma en que se utilizarán los recursos públicos y los resultados logrados en la gestión frente
a las metas programadas y el presupuesto asignado.
La función de seguimiento a las recomendaciones es competencia de las UAI, situación que se fundamenta
en la independencia de criterio y su experiencia y conocimiento de la entidad, que deviene del contacto
permanente con las acciones de evaluación del control interno institucional que debe aplicar en forma
continua, generando cuatro informes trimestrales y uno anual.
Considerando los enfoques del “Marco Rector del Control Interno Institucional de los Recursos Públicos”
y el “Marco Rector de la Auditoría Interna del Sector Público” de Honduras, la función de seguimiento al
plan de aplicación de las recomendaciones incorporadas en los informes de auditoría y la generación del
reporte trimestral para conocimiento de la MAE, del TSC y de la ONADICI, es responsabilidad de la UAI de
cada entidad; ello sin perjuicio de las evaluaciones que el TSC pueda realizar como parte de su facultad de
auditoría y control como organismo rector del sistema.
La política se elabora con el fin de que tenga aplicación a largo plazo y guíe el desarrollo de normas o
criterios más específicos.
Cuando una entidad define su política, lo que realiza es la declaración formal de principios generales de la
entidad para un área determinada, por ejemplo: política de gestión del talento humano, política de
responsabilidad social, política de control interno, entre otras.
A continuación, se muestra las partes del documento que contiene las políticas aprobadas de la entidad:
1. Considerandos legales, en donde se hace referencia a la base normativa vigente que da sustento
a la emisión de las políticas institucionales
2. Exposición de motivos, en donde se hace una breve descripción de la necesidad que subyace al
acto normativo, así como de los propósitos y fines que persigue para la entidad, la sociedad o el
Estado
3. Declaración de las políticas, en donde se detallan los principios generales o lineamientos que
constituyen las políticas institucionales
4. Cierre, en donde se realiza un llamado o instruye a los servidores públicos o colaboradores el
acatamiento de las políticas formuladas.
ANEXO 30. MODELO DEL PLAN DE SENSIBILIZACIÓN Y CAPACITACIÓN EN CONTROL INTERNO INSTITUCIONAL
Alcance: _______________________
Ítem Denominación Objetivos Indicadores Participantes n.° de participantes Fuente de Duración Fecha Fecha Costo por Inversión
n.° de la actividad objetivo financiamiento (horas de de fin participante total
de Hombres Mujeres lectivas) inicio (Lempiras) (Lempiras)
capacitación
Resumen:
Gestión del talento Administración
Total de personal de la entidad H M Total humano
• Entidad Y: L. 27.900.734.572
Entidad que se requiere conocer el tipo de UAI:
• Entidad X: L. 9.368.400.000
Cálculo:
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑋 9.368.400.000
= = 0,3358 = 33,58% ≥ 6%
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑌 27.900.734.572
En consecuencia, a la entidad X le corresponde el tipo de UAI “A”.
Ejemplo 2
Entidad centralizada con el presupuesto de egresos “MAYOR” asignado en el año:
• Entidad Y: L. 27.900.734.572
Entidad que se requiere conocer el tipo de UAI:
• Entidad X: L. 1.003.199.257
Cálculo:
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑋 1.003.199.257
= = 0,0360 = 3,60% → 1% ≤ 3,60% < 6%
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑌 27.900.734.572
En consecuencia, a la entidad X le corresponde el tipo de UAI “B”.
Ejemplo 3
Entidad centralizada con el presupuesto de egresos “MAYOR” asignado en el año:
• Entidad Y: L. 27.900.734.572
Entidad que se requiere conocer el tipo de UAI:
• Entidad X: L. 22.755.502
Cálculo:
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑋 22.755.502
= = 0,0008 = 0,08% < 1%
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑌 27.900.734.572
En consecuencia, a la entidad X le corresponde el tipo de UAI “C”.
I. Objetivo
Establecer las responsabilidades, normas internas y actividades del Comité de Auditoría (COA) del/de la
[nombre de la entidad], contribuyendo a la objetividad, competencia e independencia de las funciones de
la Unidad de Auditoría Interna (UAI).
II. Alcance
Este reglamento cubre aspectos importantes referidos a la organización y funcionamiento del COCOIN,
relacionados con:
• Integrantes
• Organización
• Régimen de reuniones
• Reportes a elaborar
Debe destacarse que los aspectos cubiertos en estos lineamientos representan el insumo para la
elaboración del “Reglamento de Organización y Funcionamiento” del COA.
• AMC.59
• AMC.60
El COA es un órgano colegiado que representa una instancia de consulta, asesoría y apoyo al órgano de
dirección, individual o colegiado, cuyos objetivos son:
Superior de Cuentas (TSC) y a la Oficina Nacional de Desarrollo integral del Control Interno
(ONADICI).
4.1.2 Contribuir al logro de los objetivos del control interno institucional (CII)
4.1.3 Ser veedores informados, vigilantes y efectivos del proceso de información financiera y de los
controles internos, en el marco de la misión, visión y objetivos de entidad.
En ambos casos, se debe identificar y nombrar al responsable, presidente o similar del COA. También debe
contar con un secretario que elabore las actas de cada reunión, el que será designado de entre sus
miembros por mayoría absoluta, es decir por la mitad más uno de los votos de sus miembros.
A efectos de su conformación, el COA debe estar integrado por un número impar de servidores o
colaboradores, ello con el fin de evitar posibles los empates en las votaciones para aprobar acuerdos.
• La MAE o el responsable jerárquico que ésta designe, que ejerce la posición de presidente
del comité
• Los responsables jerárquicos de las áreas o unidades sustantivas
• El responsable jerárquico del área financiera
• Un representante de la ONADICI (en apoyo a la independencia de la UAI)
• El responsable jerárquico de la UAI (con voz, en calidad de apoyo, pero sin voto).
• Dos miembros del órgano colegiado, preferiblemente uno con experiencia en control
interno o auditoría y otro con experiencia en finanzas o contabilidad y, en ambos casos,
que no ejerzan funciones operativas o administrativas dentro de la entidad; uno de ellos
ejerce la posición de presidente del comité
• La MAE
• Los responsables jerárquicos de las áreas o unidades sustantivas
• El responsable jerárquico del área financiera
• Un representante de la ONADICI (en apoyo a la independencia de la UAI)
• El responsable jerárquico de la UAI (con voz, en calidad de apoyo, pero sin voto).
EL COA debe reunirse mínimamente de manera trimestral a fines de marzo, junio, septiembre y diciembre
de cada año fiscal y en forma extraordinaria cuando el responsable del comité así lo decida, o bien sea
requerido de manera fundamentada por alguno de sus integrantes.
Sin embargo, puede reunirse extraordinariamente cuando se requiera la discusión, evaluación, manejo y
corrección de situaciones urgentes o consideradas de alto riesgo para la entidad o cuando existan cambios
sustanciales en las políticas internas o la normatividad que regula las actividades de la entidad.
El Comité de Auditoría sesiona cuando existe quórum con base en la mayoría absoluta (al menos la mitad
más uno de sus miembros) y aprueba los acuerdos cuando existe mayoría simple. El presidente del comité
convoca y preside las sesiones y tiene voto dirimente en caso de empate.
A las reuniones del comité pueden ser citados cualesquiera de los servidores públicos o colaboradores de
la entidad, a través de la MAE, con la frecuencia necesaria y con el fin de suministrar las explicaciones que
sean requeridas acerca de asuntos relacionados con las responsabilidades y funciones del Comité de
Auditoría y el CII.
4.5.1 Plan de trabajo anual que le permita enfocarse hacia las situaciones o áreas más relevantes de
la entidad. En tal sentido, este documento debe incluir como mínimo: actividades de trabajo,
insumos o recursos, productos o resultados, reuniones previstas, plazos y responsables.
4.5.2 Presupuesto anual necesario para desarrollar las actividades previstas del plan de trabajo anual.
4.5.3 Informes de ejecución sobre el cumplimiento del plan de trabajo anual y presupuesto.
4.5.4 Agenda de las sesiones o reuniones a cargo del presidente del comité, en donde se incluya, como
mínimo: objetivo de la reunión, temas a cubrir y resultados esperados, tiempo y responsable por
tema, información o documentos de lectura previa o para llevar a la sesión, entre otros.
4.5.5 Actas de reunión por cada sesión realizada, incluyendo entre otros: temas tratados, conclusiones
o acuerdos arribados, responsables, fechas de cumplimiento y de corresponder,
recomendaciones formuladas.
4.5.6 Seguimiento al cumplimiento de las decisiones o recomendaciones formuladas en la última
sesión y contempladas en el acta respectiva. Generalmente en este punto es el primero a tratar
al inicio de cada sesión.
4.5.7 Cuando se presenten situaciones de alto riesgo o que revistan importancia significativa para la
entidad, el comité debe remitir un informe especial a la MAE de la entidad.
Los miembros del COA permanecen en sus funciones por un periodo mínimo de un (1) año. Los miembros
del comité pueden ser reelegidos indefinidamente y son de libre nombramiento y remoción por parte de
la MAI o la MAE. Si al finalizar el período para el cual fueron designados no hubieran sido cambiados,
continúan en sus cargos hasta que su reemplazo sea designado.
La MAI o la MAE, según sea el caso, debe asignar oficialmente el tiempo suficiente a los integrantes del
COA para atender sus responsabilidades y funciones de manera apropiada en procura de alcanzar
eficazmente los objetivos para los cuales se creó el comité.
V. Responsabilidades
Para el cumplimiento del presente reglamento para la “Organización y Funcionamiento del Comité de
Auditoría”, se establecen las siguientes responsabilidades:
En el plazo de 15 días contados a partir de la emisión de las GICII, la MAI o la MAE debe:
5.1.1 Designar oficialmente a los integrantes del COA y su presidente. Asimismo, comunicar la
importancia de la dedicación del tiempo necesario para cumplir con sus responsabilidades y
funciones como miembros del comité.
5.1.2 Solicitar al COA la elaboración o actualización del “Reglamento de Organización y Régimen de
Funcionamiento del Comité de Auditoría”, con base como en los presentes lineamientos.
5.1.3 Aprobar, de corresponder, el Reglamento mencionado en el numeral anterior.
5.1.4 Asistir a las reuniones programadas del COA en el caso de ser miembro designado.
5.3.1 Asistir a las reuniones del COA, coadyuvando a su adecuado funcionamiento y a la independencia
de la función de auditoría interna.
ANEXOS GUÍA 2
“EVALUACIÓN Y GESTIÓN DE RIESGOS”
En esta etapa se busca identificar y evaluar los eventos de pérdida (riesgos), tanto los que se han
materializado en el pasado como los que pueden suceder en el futuro, pudiendo aplicarse en la entidad a
nivel global o a un nivel de detalle como el de proceso y actividad.
Este proceso se debe realizar en orden sucesivo en tres niveles: (a) global de la entidad, (b) del proceso o
programa, y (c) de la actividad. A cada menor nivel le corresponde un alcance más limitado, enfocado a
los componentes de las áreas o unidades y a los objetivos clave de cada proceso y área identificados en el
análisis global de la entidad.
1. Identificación de los eventos que afecten los objetivos institucionales, paso que a su vez se divide en
dos tareas principales:
1.1 Identificación y mapeo de los procesos
1.2 Identificación y análisis de los factores causantes de los riesgos.
Se debe identificar los procesos que se llevan a cabo en la entidad (comenzando por los procesos clave) y
posteriormente se elabora un mapa de los procesos considerando e identificando por niveles los
macroprocesos o procesos de nivel cero (0), los procesos de nivel uno (1), los procesos de nivel (2) y así
hasta llegar a los procesos de nivel n o actividades de cada área, las actividades de control vigentes para
cada proceso y los sistemas asociados (de existir). Lo anterior se ilustra en la siguiente Figura 39:
Figura 39
Niveles de procesos
Cabe indicar que los procesos identificados se clasifican y agrupan en los siguientes tipos: (i) estratégicos,
(ii) operativos o misionales, y (iii) de apoyo o soporte, tal como se muestra a continuación:
Figura 40
Mapa de procesos: tipos de procesos
A continuación, se elabora el mapa de procesos de nivel cero (0) que da cuenta de los macroprocesos de
la entidad, tal como se muestra en la siguiente figura:
Figura 41
Mapa de procesos de nivel 0
Adicionalmente, el mapeo de los procesos en sus diferentes niveles implica la especificación de los
procesos y puntos clave o críticos a nivel de la entidad, los programas, los proyectos o las actividades que
sean significativos para el logro de los objetivos generales y particulares fijados. Algunos de ellos pueden
no estar formalmente determinados o explicitados. El resultado final de esta tarea será la emisión de un
“mapa de procesos” detallado, con los controles vigentes asociados a cada proceso.
Sin embargo, para efecto de empezar a gestionar los riesgos en la entidad, no es necesario esperar a contar
con un “mapa de procesos” completo y detallado, sino que se debe empezar a trabajar con los procesos
clave o sustantivos, siguiéndose para ello las actividades que se indican a continuación.
a. Identificación de los procesos de la entidad, comenzando con los procesos clave o críticos, es decir,
los que se relacionan con el cumplimiento de los objetivos estratégicos de la misma (procesos
sustantivos).
Se debe elaborar mapas de procesos de alto nivel que incluyan los procesos de las áreas funcionales
con el fin de tener una visión general de los procesos de la entidad y sus relaciones. Para ello, en
primer término, se debe:
i. Determinar las partes que se relacionan con el sistema de la gestión de la entidad: proveedores,
usuarios y otros participantes con los que la entidad mantiene una relación que es relevante para
el adecuado funcionamiento de su sistema de gestión, tales como todos los grupos de interés de
la entidad y, en definitiva, el ciudadano y la sociedad. También debe considerarse los recursos con
los que cuenta la entidad: de infraestructura, sistemas de tecnología informática, entre otros.
Estas partes son las que definen los requisitos de los servicios y productos que debe brindar la
entidad (input) y a los que se debe satisfacer sus demandas y necesidades (output).
ii. Identificar la “cadena de valor”, “línea operativa” o secuencia de los procesos operativos y
estratégicos clave de la entidad, es decir, aquellos procesos sustantivos involucrados en el
cumplimiento de los objetivos estratégicos de la entidad y los requerimientos de sus grupos de
interés, en función de la naturaleza de su actividad (servicios o productos a brindar a sus usuarios
o a la comunidad). Pueden dividirse en procesos estratégicos y procesos operativos.
Como ejemplos de procesos o puntos clave de la entidad pueden enunciarse los siguientes:
- Procesos críticos para la supervivencia de la entidad: procesos misionales
- Actividades responsables de la entrega de partes importantes de servicios a la ciudadanía
- Área sujeta a leyes, decretos o reglamentos de estricto cumplimiento, con amenazas de severas
sanciones por incumplimiento.
- Área de vital importancia estratégica para el Gobierno (ejemplo: defensa, investigaciones
tecnológicas de avanzada, entre otros).
iii. Añadir los procesos de apoyo o soporte a la secuencia de procesos clave de la entidad, y los de
dirección. Los de apoyo propiamente incluyen a todos los procesos que son responsabilidad de
áreas que proveen de capital o recursos a esta “cadena de valor”: talento humano, planificación,
tecnología informática, compras y contrataciones, administración y finanzas, coordinación y
seguimiento, gestión de riesgos, entre otros. Los de dirección son, por ejemplo, planificación
estratégica o empresarial.
iv. Por último, deberán considerarse aquellos que realizan asesoramiento o consultoría interna, tales
como las áreas de asesoría legal o jurídica y auditoría interna.
b. Análisis del flujo de los procesos, que implica la representación esquemática de un proceso con
el objetivo de comprender las interrelaciones entre las entradas, tareas, salidas y
responsabilidades de sus componentes. También debe detallarse los sistemas de tecnología
informática empleados y que son necesarios para realizar la actividad o proceso.
Una vez realizado este esquema, las actividades y operaciones incluidas en el proceso pueden ser
identificadas y consideradas frente a los objetivos del proceso.
Se debe realizar narrativas o descripciones de los procesos, indicando las operaciones, actividades
de control y las áreas por las que pasan según su secuencia lógica. Se recomienda que estén
acompañados de diagramas de bloque o diagramas de flujo por actividad o proceso.
En esta etapa se determina quien es el “responsable o dueño del proceso”, es decir el área o unidad
que por sus funciones está más involucrada en cada proceso, dada su participación y su
responsabilidad en el diseño y liderazgo de este, y por ende en el logro de los objetivos fijados
para ese proceso.
Como resultado de estas actividades se obtendrá un inventario de los procesos de la entidad, con
identificación de las actividades de control existentes y vigentes y los sistemas aplicativos de tecnología
informática asociados al proceso.
Una vez identificados y mapeados los procesos críticos o sustantivos de la entidad, corresponde realizar la
determinación de los eventos de pérdida (riesgos) a partir de los objetivos de cada proceso, así como la
identificación de los factores causantes de los riesgos.
La identificación y priorización de los factores que contribuyen a elevar el riesgo o a que éste se
materialice, se realiza a partir de un análisis de las circunstancias internas (debilidades) y externas
(amenazas) en las que se desarrolla la gestión institucional y el proceso, para identificar y determinar
cuáles son generadores o conllevan algún grado de riesgo, y si existe alguna interrelación entre ellos.
Es importante considerar las metas e iniciativas estratégicas de la entidad que pueden modificar la
priorización de los factores causantes de los riesgos o las causas subyacentes que deben ser atacadas. Se
debe realizar talleres de autoevaluación, con grupos de trabajo definidos para cada proceso. El ANEXO 34
proporciona la “metodología de grupos de trabajo de autoevaluación de riesgos”. Asimismo, el ANEXO 35
presenta un modelo de “cuestionario de autoevaluación de riesgos”. De la misma forma, el ANEXO 36
propone algunos “factores causantes de riesgos” a considerar al realizar este análisis.
En esta etapa, también es importante realizar una primera estimación del impacto de las pérdidas
potenciales directas, a partir de los datos aportados por la “base de datos de eventos de pérdida”. El
ANEXO 37 brida las indicaciones sobre cómo se construye la base de datos.
La información obtenida por cada tipo de evento se incluirá en el “formulario de identificación de eventos
y valorización de riesgos”, que se muestra en ANEXO 38 y ANEXO 39.
Una vez identificados, clasificados y registrados los eventos de pérdida, los riesgos significativos deben
examinarse en forma individual o por categoría, para luego ser valorizados considerando los siguientes
dos parámetros: probabilidad de ocurrencia o frecuencia, e impacto (severidad o gravedad).
La evaluación y valorización de las exposiciones significativas a los riesgos se debe llevar a cabo con base
en la experiencia histórica, dada a través de datos cuantitativos o cualitativos, teniendo en cuenta su
importancia a partir de comprender el alcance sobre cómo estos eventos potenciales de riesgo pueden
impactar en el logro de los objetivos institucionales. Normalmente, se utiliza una combinación de métodos
y técnicas cualitativas y cuantitativas que se presentan en el ANEXO 42.
Para la valorización cuantitativa (cuantificación), tanto del impacto como la probabilidad de ocurrencia,
no se debe considerar exclusivamente la información aportada por la base de datos histórica de eventos
de pérdidas producidas. Dado que los riesgos que se están calculando son los que potencialmente se
pueden producir en el futuro, también debe tomarse en cuenta las proyecciones que, con base numérica
o estadística, se realizan en cuanto al impacto que se estima podría tener un evento en el caso que se
materialice.
Para la estimación cuantitativa de la frecuencia en que se presenta un evento, se puede usar bases
estadísticas, según experiencia previa y las proyecciones de escenarios futuros.
Es importante indicar que la unidad de medición de los riesgos y los horizontes de tiempo considerados
deben ser los mismos que los de los objetivos a los que afectan.
Para la valorización de los riesgos y la elaboración de las matrices de riesgo se debe utilizar la metodología
de talleres o grupos de trabajo, uno por cada proceso, la misma que ya fue aplicada para la identificación
y priorización de los factores causantes de riesgos.
El ANEXO 42 detalla las “metodologías para la valorización de los riesgos” más comunes.
La evaluación de los riesgos se realiza sobre dos bases: en primer término, analizando el riesgo inherente
de cada actividad, propio de la naturaleza de la actividad desarrollada que corresponde al riesgo en su
estado puro, sin que se encuentre afectado por ninguna actividad de control. Luego, se considera el riesgo
residual de la actividad o proceso, riesgo que queda una vez que se aplican las actividades de control
vigentes. Lo anterior se aprecia en el ANEXO 40 que muestra la reducción del riesgo residual en el mapa
de riesgos.
Al analizar los riesgos que afectan a los procesos, actividades, áreas y funciones de la entidad, deben
considerarse los actualmente relevantes, considerando si van a seguir siendo significativos o si pudieran
dejar de serlo en el futuro, ya sea por la mejora de los procesos o por la pérdida de relevancia o suspensión
de la actividad. De la misma forma, también debe tomarse en cuenta los riesgos actualmente inexistentes
pero potenciales, que cobrarán importancia en el futuro en función de los objetivos planteados en la
gestión de la entidad.
Con el fin de calcular el daño potencial, se diseñan matrices de doble entrada en las que se refleja el nivel
de exposición al riesgo, en términos del impacto esperado y la probabilidad de ocurrencia de los riesgos.
El detalle de la matriz de riesgos se puede ver en el ANEXO 43 para el mapa de riesgos y en el ANEXO 44
para la matriz de riesgo. En el mapa de riesgo también se mostrará la curva del nivel de riesgos aceptable
para la entidad en cada riesgo específico, y para el portafolio de riesgos, la cual debe orientar la necesidad
de generar respuestas al riesgo y actividades de control con el fin de minimizar los riesgos inherentes, y
haciendo que el riesgo residual se encuentre dentro del nivel de riesgo aceptado.
Una vez que se hayan recopilado las conclusiones de los grupos de trabajo, y se haya valorado el impacto
y la probabilidad de ocurrencia de los eventos de pérdida, se elaboran las matrices de
impacto/probabilidad que van a permitir una visión global del nivel de vulnerabilidad de las áreas y
procesos, así como elaborar un mapa general de los principales riesgos priorizados que van a recibir
tratamiento o atención inmediata.
La matriz de riesgos es el producto principal que resulta de la identificación y evaluación de los riesgos.
Debido a que los recursos son limitados en toda entidad, resulta imprescindible distinguir los riesgos que
merecen una atención inmediata de aquellos que pueden recibir un menor esfuerzo, a través de una
atención periódica o porque su riesgo residual se encuentra en niveles controlados. Para ello, se prevé
utilizar el “mapa de riesgos” como herramienta que consolida las diferentes matrices de riesgo y permite
visualizar el valor del riesgo inherente de cada evento o riesgo con el fin de determinar las acciones a
seguir.
Debe indicarse que, en ausencia de datos cuantitativos para la valoración de la probabilidad de ocurrencia
y el impacto, se debe hacer uso del análisis y los métodos cualitativos en los que prima la opinión del
experto en el proceso, tanto para la valorización final del riesgo inherente como para el cálculo del riesgo
residual.
Una vez obtenidos los valores del riesgo residual, resulta necesario establecer la prioridad en la atención
de los riesgos, teniendo en consideración que los valores altos de riesgo no implican necesariamente una
atención prioritaria como sería de esperar. Por el contrario, se debe indicar que el criterio profesional del
experto en el proceso es el que prima para el establecimiento de la prioridad de atención, criterio que
debe quedar registrado por escrito. El ANEXO 45 presenta un ejemplo simplificado acerca de la evaluación
y valorización de los riesgos.
Los indicadores clave de riesgo deben ser variables cuantificables que tengan una demostrada correlación
positiva entre su incremento y el aumento de la exposición al riesgo de la entidad. Funcionan como un
sistema de alerta frente a la probabilidad de ocurrencia de eventos de pérdida.
Además, debe definirse la unidad con la que se medirá el indicador y el umbral de puntuación (alerta) que
permita a la entidad tomar las acciones correctivas necesarias para regularizar su situación.
c. Porcentaje de pérdidas (en lempiras) por cheques emitidos y pagados por importes superiores a los
autorizados (si el parámetro de tolerancia es en función del porcentaje sobre el importe total de las
transacciones realizadas en un período determinado de tiempo)
d. Importe de pérdidas (en lempiras) por sustracción de bienes de uso (si el parámetro de medición está
referido al impacto de los eventos de pérdida producidos en un período determinado de tiempo,
independientemente del importe total del universo de operaciones realizadas o de la cantidad de
transacciones involucradas).
Conjuntamente con los indicadores clave de riesgo, se deberá definir los umbrales de tolerancia al riesgo
para cada uno de ellos, determinando el parámetro a partir del cual se deberá emitir la alerta temprana
con el fin de tomar las acciones y controles correspondientes para que el nivel máximo de tolerancia al
riesgo no sea traspasado.
Por ejemplo, si el nivel máximo de tolerancia al riesgo de errores en la emisión de órdenes de pago es del
0,5% mensual, el umbral de alerta debería definirse en el 0,3% para que cuando se traspase este umbral
se emita una alerta que pueda activar la toma de acciones correctivas y la redefinición de las actividades
de control. Ello con el fin de no llegar al nivel de tolerancia máximo fijado y poder restaurar las operaciones
dentro de los niveles normales.
La determinación de los indicadores clave de riesgo debe incluir, como mínimo, las siguientes definiciones:
Para la determinación de los indicadores claves de riesgo, también se aplicará la metodología de talleres
o grupos de trabajo.
Los talleres de grupos de trabajo se realizarán en el nivel de proceso, con los mismos integrantes que
realizaron los tres anteriores, en una secuencia lógica de tareas. Debe tenerse en consideración que al
tratarse de un proceso dinámico y de retroalimentación, las conclusiones obtenidas en un taller pueden
luego generar modificaciones en la validez o alcance de las conclusiones dadas en talleres previos.
De esta forma, se realizan los diferentes talleres para cada proceso con un único grupo de trabajo de
niveles intermedios, en el que se trata en forma sucesiva los siguientes temas:
colaboración y compromiso de las áreas de la entidad involucradas en cada proceso, haciendo más
eficiente el uso del tiempo y los resultados de la tarea, estos últimos dependen fundamentalmente del
grado de compromiso que tienen los participantes con el proyecto, así como de la profundidad y amplitud
de la información que aportan.
4. RESPUESTA AL RIESGO
Las diferentes decisiones que la MAE y los responsables jerárquicos de las áreas y unidades de la entidad
pueden tomar como respuesta al riesgo son, por ejemplo:
a) Aceptar o tomar el riesgo: cuando las pérdidas esperadas son menores que el costo de la gestión del
riesgo, la entidad asume el riesgo y no emprende ninguna acción que afecte la probabilidad o el
impacto de este.
La aceptación de riesgos puede implicar que los responsables jerárquicos de las áreas o unidades
decidan asumir el riesgo de no corregir una situación, por razones de costo u otras consideraciones
convenientes para la entidad.
La MAE debe ser informada de tales decisiones referidas a todos los riesgos residuales significativos
que se consideren que no están dentro de los niveles de riesgo aceptables, con el fin de determinar
en forma concreta y formal si está de acuerdo con la respuesta seleccionada, caso contrario, ordenar
que se vuelva a analizar.
b) Compartir total o parcialmente el riesgo: cuando el costo de mitigación del riesgo es mayor que la
pérdida esperada y existe un tercero dispuesto a aceptar trasladarle el riesgo (compañías de seguros)
o un socio estratégico con el cual compartir parte de este (“joint venture”). Ejemplos de tales
esquemas son la contratación de seguros y la tercerización de actividades. Estas técnicas
complementan, pero no sustituyen el control interno.
c) Mitigar el riesgo: fortalecer los controles existentes o desarrollar nuevos. Cuando el valor de la
pérdida esperada es mayor que la inversión a realizar para mantener, fortalecer o desarrollar nuevas
acciones y actividades de control para reducir significativamente la frecuencia, probabilidad o el
impacto de las pérdidas.
La metodología de talleres o grupos de trabajo está sobre la base del principio de autoevaluación
establecido en el “Marco Rector de Control Interno Institucional de los Recursos Públicos” (TSCPRICI-11).
En este caso consiste en involucrar a los servidores públicos de la entidad en el proceso de identificación
y evaluación de riesgos, así como en el de análisis de las actividades de control existentes y las propuestas
de mejora a los procesos, valorando y respetando a los participantes y a sus capacidades creativas para el
análisis de los procesos, sistemas y operaciones de la entidad.
Los talleres participativos deben estar estructurados bajo la filosofía de que: (a) la mejora continua de la
calidad de los procesos se puede aplicar a todos los procesos de la entidad (operativos, administrativos,
de tecnología informática, de gestión), los que interactúan entre sí para que los objetivos institucionales
se logren consistentemente y, (b) puede ser aplicada y puesta en práctica por todo servidor público o
colaborador de una entidad, en función de su compromiso con el control interno institucional, y su previo
entrenamiento en la metodología.
La autoevaluación es una característica del ejercicio del control interno voluntario, consciente y por
convicción de los propios servidores públicos o colaboradores en cuanto a la importancia y utilidad de este
para la mejora permanente de sus condiciones de trabajo, la eficiencia en el desempeño de sus
responsabilidades y el logro de los objetivos institucionales.
El esquema autoevaluativo implica que los grupos de trabajo integrados por personal de las diferentes
áreas que participan en el proceso analizado, con la ayuda de facilitadores formados al interior de las
entidades (en especial, personal de las áreas de soporte como planificación, control, organización y
métodos o áreas afines con las anteriores), puedan analizar los temas que se les asignan a partir de ciertas
consignas, contando para ello con cuestionarios estructurados de autoevaluación, y así llegar a
conclusiones válidas referidas a los procesos y actividades de los que son responsables.
El número de responsables jerárquicos de áreas y unidades a participar en cada grupo no debe ser superior
a ocho, debiendo existir representantes de todas las áreas o unidades involucradas en el proceso que se
analiza. Se recomienda utilizar un esquema de trabajo similar al de los círculos de calidad usados en gestión
de la calidad o mejora continua, con el fin de aprovechar el conocimiento y sinergia colectivo del grupo.
Para la selección del personal que participará de los talleres, si bien es imprescindible que se trate de
grupos interdisciplinarios e interfuncionales, se debe dar prioridad a aquellos que laboran en los ámbitos
donde se crea y agrega valor a través del trabajo diario, debido a que conocen y están en contacto con las
actividades sustantivas de la entidad. De esta forma se potencia la posibilidad que, por ejemplo, se
identifiquen los factores de riesgo que afectan a sus tareas y al logro de las metas propuestas para su
actividad, y por lo tanto puedan evaluarlos y proponer mejoras en los controles y calidad de los procesos
en los que participan, reduciendo la posibilidad de ocurrencia de errores o eventos de pérdida, así como
su impacto. Los pasos sugeridos en el desarrollo de los talleres son los siguientes:
1. Las áreas que van a realizar la coordinación de los talleres (planificación, organización y métodos, entre
otras), con la colaboración de los responsables jerárquicos de las diferentes áreas y unidades de la
entidad, definen y elaboran “cuestionarios estructurados de autoevaluación” para obtener y desarrollar
la información solicitada como consigna (por ejemplo, los factores causantes del riesgo). El ANEXO 35
proporciona un ejemplo de “cuestionario de autoevaluación”.
2. Luego, se realizan dos talleres consecutivos de autoevaluación. Uno con cada nivel de responsables
jerárquicos de las áreas y unidades para obtener conclusiones validadas tanto por los de nivel
intermedio como por los de mayor nivel.
3. El primer grupo de trabajo debe estar formado por responsables jerárquicos de nivel intermedio de las
áreas y unidades involucradas en cada proceso, en especial aquellos con conocimiento, experiencia y
preparación en las operaciones específicas que se analizan. Ello en razón de que cada proceso y riesgo
debe ser analizado en detalle, considerando el buen juicio y sentido común de los participantes en este
proceso. Al no participar del taller el personal superior de las áreas y unidades, se da una mayor
oportunidad para que exista un intercambio franco, abierto y transparente entre los participantes
evitando que, por temor u obediencia a sus superiores jerárquicos, no se manifiesten los problemas o
inconvenientes que se observan en el proceso bajo análisis.
4. El segundo grupo de trabajo estará formado por representantes de las áreas organizativas de la entidad
(coordinación y gestión de riesgos, organización y métodos, planificación, auditoría interna) además de
los responsables jerárquicos de cada una de las áreas involucradas en el proceso o actividad que se
analiza y, en especial, el responsable jerárquico del área responsable del proceso. Este grupo utiliza
como insumo la información correspondiente a las conclusiones obtenidas por el primer grupo.
5. Finalizados los dos talleres anteriores, y obtenidas y validadas las conclusiones a las que se arribó en los
mismos, el área coordinadora del proyecto procede a realizar el análisis global de las mismas obteniendo
la lista definitiva respecto de la información que se quería obtener y desarrollar.
6. En ambos talleres, los facilitadores, pertenecientes al área o áreas que realizan la coordinación del
proyecto, son quienes ordenan la labor del grupo, dan las consignas, aclaran las dudas, orientan el
desarrollo del taller con el fin de que todos los participantes puedan emitir sus opiniones y comentarios,
todo lo cual queda registrado en un acta junto con las conclusiones a las que se arriba. Asimismo, en el
caso de quedar temas pendientes de definición por falta de documentación o por necesidad de mayor
información y análisis, se debe indicar los responsables de las tareas asignadas, los plazos en que deben
cumplimentarse y la fecha de la próxima reunión.
Otras herramientas que pueden utilizarse y complementar el análisis realizado son, por ejemplo:
a) Los inventarios o listados de eventos posibles en el tipo de entidad o industria de que se trate, o en el
proceso o área funcional específica, a partir de datos de referencia del mercado (benchmarking). Estos
listados pueden ser: (i) realizados por personal interno, o (ii) listados generados externamente que
pueden adaptarse a los procesos y actividades de la entidad.
b) Entrevistas para averiguar los puntos de vista y conocimientos del entrevistado en relación al tema bajo
análisis, pudiendo ser realizadas por uno o dos entrevistadores para cada persona entrevistada.
c) Cuestionarios y encuestas, que direccionan una amplia gama de aspectos que los participantes deben
considerar, centrando su reflexión en el tema bajo análisis. Las preguntas pueden ser abiertas o
cerradas, según sea el objetivo de la encuesta. Pueden dirigirse a un individuo, a varios o bien pueden
emplearse en conexión con una encuesta de base más amplia, ya sea dentro de la entidad o que esté
dirigida a ciudadanos, usuarios, clientes, proveedores u otros terceros.
d) Taller de trabajo para la alta dirección, en el que algunas entidades para el establecimiento de objetivos
realizan talleres en que sólo participan los responsables jerárquicos de las diferentes áreas o unidades
de la entidad, y algunos casos, también la MAE. En estos se identificarían eventos que podrían afectar
al logro de los objetivos estratégicos.
e) Identificación continua de eventos posibles en conexión con las actividades diarias propias del negocio.
Como ejemplo de ello puede citarse los distintos medios para obtener información:
- Conferencias sectoriales / técnicas
- Sitios web de entidades afines y campañas publicitarias
- Grupos de presión política
- Congresos sobre gestión de riesgos
- Resultados de benchmarking
- Procesos legales
- Índices externos clave
- Índices internos clave / medidas de riesgo y rendimiento / tableros de control
- Nuevas decisiones legales
- Informes en los medios
- Informes de analistas
- Informes mensuales de la dirección
- Boletines electrónicos y servicios de notificaciones
- Publicaciones sectoriales y profesionales
- Perfil de las llamadas al servicio de usuarios / clientes / ciudadanos
- Información en tiempo real sobre la evolución y comportamiento de los factores externos clave
que influyen en la actividad de la entidad.
1) ¿Existe un manual de políticas y procedimientos que regule por escrito las operaciones de la entidad?
Si Parcialmente No
2) ¿Al dar de alta la cuenta de un proveedor, se realizan los controles fijados por la ley de compras y
contrataciones?
Si Parcialmente No
Si Parcialmente No
Si Parcialmente No
Si Parcialmente No
Si Parcialmente No
Si Parcialmente No
Si Parcialmente No
1. Económicos y financieros:
- Financiación, o falta de fuentes de financiamiento
- Tipos de cambio
- Tasas de interés
- Morosidad
- Iliquidez o falta de disponibilidad de fondos
- Tasa de inflación
- Crisis o ajustes fiscales
- Programas de ajuste económico
- Competencia privada (en caso de existir)
- Acciones de los proveedores, tal como crisis de suministros
- Acciones de los usuarios.
2. Políticos y Legales:
- Modificaciones a las disposiciones legales y normativas o circunstancias presupuestarias que
afectan el erario o Tesoro Público o conduzcan a cambios forzosos en la estrategia y
procedimientos d la entidad
- Cambios en la naturaleza jurídica de la entidad
- Aprobación del Plan Operativo Anual con ajustes o modificaciones respecto del elaborado por la
entidad, en temas de objetivos, metas o recursos asignados
- Normas tributarias
- Leyes ambientales
- Juicios, sanciones, entre otros
- Cambio de gobierno
- Cambio de autoridades
- Inestabilidad en los niveles de dirección y en los servidores públicos o colaboradores.
3. Sociales:
- Cambios en las necesidades y expectativas del ciudadano/usuario
- Decisiones de estilo de vida
- Comportamientos sociales
- Cambio de necesidades o reclamos de la comunidad de ciudadanos / clientes / usuarios /
proveedores / ONG / entre otros
- Movimientos o reclamos sindicales.
4. Tecnológicos:
- Proceso continuado de modernización de la gestión pública
- Utilización de nuevas tecnologías en la implementación de sistemas administrativos o en los
procesos productivos de bienes o servicios
- Sistemas de seguridad de acceso a la información
- Cambios tecnológicos que pueden provocar obsolescencia organizacional
- Tecnologías disponibles.
5. Medioambientales:
6. Operacionales:
- Fraude externo, referido a la realización de actividades no autorizadas, hurtos y otro tipo de
fraudes
- Daños a activos físicos, por acontecimientos adversos a la seguridad pública o daños maliciosos.
1. Reputación:
- Imagen corporativa
- Transparencia
- Rendición permanente de cuentas.
2. Infraestructura:
- Recursos económicos y físicos
- Daño malicioso a bienes
- Magnitud de los recursos financieros-presupuestarios asignados
- Grado de liquidez o convertibilidad de los activos.
3. Personal:
- Clima ético inadecuado
- Falta de sistemas de motivación
- Presión por el cumplimiento de objetivos
- Estructura organizacional adoptada (centralizada, descentralizada, entre otros)
- Métodos para capacitación, actualización y motivación del personal
- Reorganizaciones o reestructuraciones
- Reducciones de personal
- Alta rotación del personal
- Características del personal (mandos superiores y resto del personal): cantidad, calidad, perfil,
competencia profesional, adecuación, compromiso e integridad
- Tasa de retención de empleados
- Prácticas de empleo
- Temas sindicales
- Seguridad e higiene en el trabajo
- Temas de diversidad y discriminación
- Políticas de incremento salarial vinculadas a resultados.
4. Tecnología:
- Complejidad de los sistemas
- Falta o escasez de medios de tecnología informática y comunicación
- Falta de actualización de los sistemas de información tecnológica
- Falta de sistemas adecuados de protección física y lógica de datos (seguridad y acceso a la
información)
“Debe darse especial atención a la valoración de riesgos en periodos de cambio originados en múltiples
motivos, tales como: nuevas disposiciones legales o circunstancias presupuestarias que afectan el erario
o tesoro público, cambios de gobierno por resultados electorales o por crisis políticas que generan
inestabilidad en los niveles de dirección y en general en los servidores públicos, proceso continuado en la
modernización de la gestión pública que conduce a utilizar tecnología de punta en la implantación de
nuevos sistemas administrativos o en los procesos productivos de bienes o servicios, crecimiento o
expansión de la prestación de bienes y servicios de una entidad pública, reestructuraciones y cambios en
la naturaleza jurídica de un ente público y, en general, las crisis económicas y los ajustes fiscales.
En cualquiera de estas circunstancias o de cualquiera otra que provoque cambios, la valoración de los
riesgos debe comprender tanto la identificación de los mismos como su análisis prospectivo y progresista
para poder establecer las medidas necesarias para su gestión durante el periodo de cambio y considerar
o ponderar los costos relacionados con el manejo y control de los riesgos, que se hayan originado en el
cambio, tal como lo prevé la conceptualización COSO.” (DECLARACIÓN TSCNOGECI IV01.01
IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS).
El objetivo de crear y mantener una base de datos histórica de eventos de pérdida es contribuir a reducir
los incidentes y sus montos de pérdidas, así como mejorar la calidad del servicio y de los productos, al
ayudar a la entidad a identificar los acontecimientos reales pasados que generaron un impacto negativo y
a cuantificar las pérdidas asociadas, con el fin de predecir futuros sucesos.
Para la cuantificación del impacto de los riesgos, si bien la información brindada por esta base de datos es
básica para relacionar las estimaciones de riesgo de la entidad a su historial de pérdidas efectivas, para
esta cuantificación no se debe considerar exclusivamente la información aportada por una base de datos
de pérdidas producidas, debido a que los riesgos son fundamentalmente potenciales y no sólo están sobre
la base del conocimiento de lo que sucedió sino también de las previsiones de lo que podría suceder.
También es importante aclarar que las bases de datos de eventos de pérdida tienen limitaciones en cuanto
a que no todas las pérdidas son plenamente cuantificables, tal es el caso de los riesgos que pueden afectar
la imagen institucional y que no necesariamente son conciliables con la información contable, pudiendo
existir eventos que no han sido contabilizados o que se encuentran registrados con una diferente
valuación, por aplicación de distintos sistemas de valuación contables.
El proceso de recolección de datos debe ser acompañado de una política que permita fomentar su registro,
promoviendo una cultura organizacional para el reporte de datos y de controles que contribuyan a la
verificación del cumplimiento de los requisitos de consistencia, integridad, seguridad y confidencialidad.
La entidad debe establecer un procedimiento para obtener información homogénea, donde los eventos
deben estar adecuadamente registrados y clasificados por categorías, en función del factor de riesgo
considerado, el proceso y área al que está vinculado, la frecuencia con que se producen y otros datos que
la entidad considere importantes para dotar de uniformidad a la información, asegurar su correcta
identificación y facilitar su relación con los mapas de riesgo.
Las fuentes de información para la recolección de los datos de todas las áreas de la entidad sobre los
eventos producidos y el monto de las pérdidas pueden ser automatizadas o manuales. Entre las fuentes
más comunes a considerar se encuentran: (a) el sistema contable; (b) las áreas jurídicas de la entidad; (c)
el área de atención al usuario/ciudadano/cliente, en especial en cuanto a los reclamos recibidos; (d) la
información del área de coordinación y seguimiento de la gestión de los riesgos; y (e) la información
existente en las restantes áreas y unidades de la entidad.
También pueden existir bases de datos externas, desarrolladas y mantenidas por proveedores de servicios,
las que pueden ser útiles para complementar la información generada internamente; en particular para
eventos posibles con una baja probabilidad de ocurrencia (que es altamente improbable que la empresa
haya experimentado en el pasado) pero con un alto impacto.
Muchas veces la cuantificación del importe total de la pérdida producida por un evento no es fácil calcular,
en razón que debe ser igual al importe necesario para retrotraer la situación de la entidad al momento
previo al acaecimiento del suceso. Por ese motivo, normalmente sólo se consideran para su cálculo el
monto de las pérdidas directas, siendo más difícil calcular los costos de oportunidad y otras pérdidas
derivadas o colaterales al mismo evento.
Por ejemplo, si la pérdida involucra algún activo con valor de mercado conocido, se utilizará este valor,
más los gastos adicionales que correspondan, y netas del recupero que se obtenga (pagos de seguros,
entre otros). Otro caso puede ser el de pérdidas que, por esquemas contables, pueden ser activadas y
luego amortizadas en varios ejercicios. En este caso, no por estar activadas dejan de ser pérdidas, por lo
que igual debe considerárselas.
A continuación, se enuncian los datos mínimos que deben registrarse en la “base de datos de eventos de
pérdida”. La entidad podrá ampliarlos o modificarlos, siempre que la información pueda seguir siendo
correctamente clasificada para su fácil identificación.
3. Monto / importe.
4. Descripción, es decir factores causantes del riesgo (causas que le dieron origen a la pérdida).
5. Fechas a reportar:
- De alta, descubrimiento o conocimiento, obligatoriamente
- De inicio y finalización, de conocerse
- De recolección, registro contable / imputación, cuando corresponda. En este caso, informar
también la partida contable dónde se imputó.
6. Tipo y subtipo de evento según la clasificación que haya fijado la entidad, por ejemplo,
Administrativo, Compras y Contrataciones, Pago a Proveedores, entre otros.
7. Área / Unidad / Centro de costos afectado, al que se asignó la pérdida, el recupero o donde se haya
detectado la pérdida contingente, según se trate. Si se asignó a un área o unidad distinta de dónde se
generó la pérdida, informar también el área donde se generó.
% involucrado, en importes
5
Aclarar si es información cuantitativa o proviene de evaluaciones cualitativas.
6
Cantidad de años a considerar no debe ser menor a 5 años.
Datos generales:
- N.° de formulario: número correlativo seguido de un separador y el año al que corresponde, es decir
001-2017
- Fecha de emisión: fecha en la que se llena el formulario siguiendo el formato día/mes/año
1. Evento de pérdida:
1.1. Código del evento: código alfanumérico que indica el proceso de nivel 1 al cual pertenece el evento
de pérdida seguido de un separador (.), la letra “R” para identificar que se trata de un riesgo, seguido
de un separador (.) y el número correlativo que lo identifica, es decir A.R.01
1.2. Tipo de evento (según clasificación): indica si se trata de una pérdida directa o indirecta
1.3. Denominación del evento de pérdida: descripción corta o abreviada del riesgo
1.4. Descripción del evento de riesgo: descripción detallada de la ocurrencia del riesgo
1.5. Proceso involucrado: denominación del proceso en el cual ocurre el riesgo
1.6. Tipo de proceso: indicar si se trata de un proceso operativo, administrativo (soporte o apoyo) o
estratégico
1.7. Tipo de riesgo: indicar si se trata de un riesgo operativo, de información, financiero o estratégico
1.8. Área responsable: indicar el área que es la dueña del proceso
2. Cuantificación del impacto del riesgo (según información de la Base de Datos, datos cualitativos luego
transformados en cuantitativos, o cálculo de impactos potenciales):
2.1. Pérdidas directas anuales: importe total anual, medido en lempiras identificando datos para el último
año, valor máximo registrado y valor promedio de los últimos años
2.2. Cantidad de eventos de pérdida anuales producidos: indicando datos (frecuencia) para el último año,
valor máximo registrado y valor promedio de los últimos años
2.3. Impacto promedio de cada evento de pérdida: indicando datos medidos en lempiras para el último
año, valor máximo registrado y promedio de los últimos años.
Cuando no se disponga de información cuantitativa, se debe indicar que los datos fueron obtenidos a partir
de evaluaciones cualitativas. En cuanto al uso de valores promedio, cada entidad podrá fijar el período
máximo a considerar, el que, en una entidad con un nivel medio de madurez, bajo aplicación de esta
metodología, no debe ser menor a cinco (5) años.
3.3. Importe total de las operaciones realizadas: indicando el monto en lempiras para el último año, valor
máximo registrado y valor promedio de los últimos años
3.4. Porcentaje involucrado (en importes): indicando el porcentaje calculado para los datos del último año,
datos promedio de los últimos años y valores máximos registrados, según la siguiente fórmula:
Se debe indicar si la información fue obtenida a partir de datos cuantitativos (estadísticas, entre otros.) o
a partir de una evaluación cualitativa.
4.1. Puntaje del riesgo (en caso de tratarse de una valoración cualitativa): de acuerdo con la escala
predefinida
4.2. Porcentaje de cobertura por seguros: de acuerdo con lo definido por la entidad.
ANEXO 39. EJEMPLO DE LLENADO DEL FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y VALORIZACIÓN DE RIESGOS
Denominación del evento de pérdida: pago en más de un cheque a un proveedor (pago por una suma superior a la debida).
Descripción del evento de riesgo: se emitió un cheque por un importe mayor al correspondiente, por falta de control de las notas de crédito recibidas.
Puntaje del Riesgo: 4 (de conformidad con escala Porcentaje de cobertura por seguros: 40%
predefinida).
7
Aclarar si es información cuantitativa o proviene de evaluaciones cualitativas
8
Cantidad de años a considerarse no debe ser menor a 5 años.
En el año 2017 se han emitido 1.000 cheques para pago a proveedores, de los cuales 3 han sido por un
importe superior al que correspondía.
La causa del pago erróneo fue que el área de Tesorería no tomó en cuenta las notas de crédito del
proveedor, que tenía bajo archivo esta área.
En el último año los importes abonados de más en estos cheques fueron: uno por L. 200.000, uno por L.
60.000 y el restante por L. 40.000, por lo que el importe total anual de pérdidas fue de L. 300.000.
La entidad posee un seguro por fallas de la caja que cubre el 40% de los importes pagados de más, hasta
un monto total anual de L. 500.000.
ANEXO 40. MAPA DE RIESGO: REDUCCIÓN DEL RIESGO INHERENTE Y RIESGO RESIDUAL
Para realizar la valorización del riesgo inherente de una actividad o proceso, deben calcularse su impacto
y la probabilidad de ocurrencia de este.
Cada uno de ellos puede calcularse a partir de datos cualitativos o cuantitativos, de acuerdo con la
información que la entidad posee.
La obtención de datos e información cualitativa se realiza de acuerdo con el conocimiento que posee el
personal más familiarizado con el proceso donde se han identificado los riesgos que se quieren valorar.
Esta información es aportada por los responsables jerárquicos de nivel intermedio, los principales
responsables jerárquicos de las áreas y unidades y los responsables jerárquicos de las áreas
organizativas, a través de la utilización de las técnicas de identificación y evaluación de eventos (ver
ANEXO 33), las que pueden ser combinadas con el uso de métodos cualitativos, como los detallados en el
presente anexo.
En cuanto a la información cuantitativa, en el caso de los datos referidos al impacto, se pueden obtener a
partir de la información existente en la “base de datos de eventos de pérdida” (experiencia histórica).
Con el fin de cuantificar adecuadamente los eventos que hayan generado pérdidas o hayan sido
provisionados contablemente, su valor debe calcularse en función del importe necesario para retrotraer
la situación de la entidad al momento previo al acaecimiento del evento, considerando los siguientes
criterios:
a) Si la pérdida involucra algún activo con valor de mercado conocido, se registrará por este valor más los
gastos adicionales que correspondan.
b) Para pérdidas provisionadas contablemente, el monto de previsión registrada y sus posteriores ajustes.
c) También deben incluirse las erogaciones que se activen contablemente.
Respecto de los datos cuantitativos relacionados con la probabilidad de ocurrencia del evento, se pueden
obtener a partir de la información resultante de la aplicación de métodos cuantitativos como los indicados
en el presente anexo.
Para valorizar la pérdida esperada (en forma cualitativa o expresándola en lempiras por año) se debe
considerar el impacto (en términos cualitativos o cuantificado en lempiras) para cada caso en que el riesgo
se concrete multiplicado por la probabilidad de ocurrencia (en términos cualitativos o cuantificado en
porcentajes) entendida como las veces probables en que el riesgo inherente se concrete en el año.
La información obtenida se refleja en la “matriz de riesgos”, con el fin de tener una visión global del nivel
de vulnerabilidad de las áreas y procesos y priorizar las respuestas oportunas para aceptar, compartir,
mitigar o evitar los riesgos.
C.1. INTRODUCCIÓN
La dirección aplica generalmente técnicas cualitativas cuando los riesgos no se prestan por sí mismos a la
cuantificación o cuando no están disponibles datos suficientemente creíbles para una evaluación
cuantitativa, o la obtención y análisis de ellos no resulte efectivo por su costo.
Las técnicas cuantitativas típicamente aportan más precisión y se usan en actividades más complejas y
sofisticadas, para complementar las técnicas cualitativas.
Al estimar la probabilidad e impacto de posibles eventos, ya sea sobre la base del riesgo inherente o el
residual, se debe aplicar alguna forma de medición.
Se pueden establecer, a modo de ejemplo, cuatro tipos generales de mediciones: nominal, ordinal, de
intervalo y de proporción o ratio. Las dos primeras se consideran técnicas cualitativas y las otras dos
cuantitativas.
A continuación, se presentan las escalas que pueden implementarse para analizar los riesgos.
Las escalas a utilizar estarán en razón de la evaluación de la probabilidad e impacto de los riesgos. La
evaluación de probabilidad de los riesgos investiga la posibilidad de ocurrencia de cada riesgo específico.
La evaluación del impacto de los riesgos investiga el posible efecto sobre los objetivos, como tiempo, costo,
alcance o calidad.
Para cada riesgo identificado se evalúan los niveles de probabilidad e impacto. Los riesgos pueden ser
evaluados en entrevistas o reuniones con participantes seleccionados por su familiaridad con las
categorías de riesgo y su experiencia en los procesos, áreas y funciones analizados.
Tabla 7
Ejemplo de escala de medida cualitativa de la probabilidad
ALTA Es muy frecuente la materialización del riesgo o se presume que llegará a 4-5
PROBABILIDAD materializarse
MEDIANA Es frecuente la materialización del riesgo o se presume que posiblemente se podrá 2-3
PROBABILIDAD materializar
Elaboración: Oficina Nacional de Desarrollo Integral del Control Interno – ONADICI. 2018.
Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las
categorías y la descripción, tal como se muestra en el siguiente ejemplo.
Tabla 8
Ejemplo de escala de medida cualitativa del impacto
ALTO IMPACTO Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad 4-5
MEDIANO Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad 2-3
IMPACTO
BAJO IMPACTO Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad 1
Elaboración: Oficina Nacional de Desarrollo Integral del Control Interno – ONADICI. 2018.
Los equipos de trabajo, en coordinación con el COCOIN, pueden construir sus propias escalas de acuerdo
con la naturaleza de la entidad y a las características de los procesos y procedimientos, de forma que estas
escalas se ajusten al análisis de los riesgos identificados, pero se recomienda utilizar las escalas propuestas
anteriormente.
Representa los valores numéricos para la elaboración de tablas de registro de riesgos; la calidad del análisis
depende de la precisión y de cuan completas estén las cifras utilizadas. La forma en la cual la probabilidad
y el impacto son expresadas y las formas por las cuales ellos se combinan para proveer el nivel de riesgo
puede variar de acuerdo al tipo de riesgo. En este tipo de análisis, se recomienda medir el impacto en
unidades monetarias como unidad de medida común cuantificable, no obstante, dependiendo del riesgo
que está siendo evaluado se puede asumir otra unidad de medida que resulte más adecuada.
Tabla 9
Ejemplo de escala cuantitativa de probabilidad
ALTA 4-5
71%- 100%
PROBABILIDAD
MEDIANA 2-3
26%- 70%
PROBABILIDAD
BAJA 1
0% – 25%
PROBABILIDAD
Elaboración: Oficina Nacional de Desarrollo Integral del Control Interno – ONADICI. 2018.
Tabla 10
Ejemplo de escala cuantitativa de impacto
MEDIANO 2-3
25001- 70.000
IMPACTO
Al igual que en el caso de las escalas cualitativas, el diseño de las escalas cuantitativas deberá contar con
la participación de las personas encargadas de los procesos y con el grupo encargado de liderar la
administración de riesgos, en especial al definir el impacto en lempiras.
C.2.1.1. NOMINAL: Implica el agrupamiento de eventos por categorías (económica, tecnológica, entre
otros), sin situar a un acontecimiento por encima de otro. Los números asignados en la medición nominal
sólo tienen una función de identificación y los elementos no pueden ser ordenados, clasificados ni
agregados.
C.2.1.2. ORDINAL: Los eventos se describen en orden de importancia (alta, media, baja, o a lo largo de una
escala). La dirección determina cuál elemento es más importante que otro o tiene más probabilidad de
ocurrencia.
Otras formas de clasificación serían, por ejemplo, para la probabilidad de ocurrencia: muy probable,
probable, posible, improbable y muy improbable; y para el impacto relativo: insignificante, leve,
moderado, grave y catastrófico.
C.2.2.1 DE INTERVALO: Utiliza una escala de distancias numéricamente iguales para determinar el impacto
de cada evento de pérdida.
C.2.2.2. POR RATIOS: Una escala de este tipo permite concluir que, si al impacto posible de un evento se
le asigna 3 y al otro se le asigna un 6, el segundo acontecimiento presenta un posible impacto el doble de
importante que el primero.
Las técnicas cuantitativas pueden utilizarse cuando existe información suficiente, válida y precisa para
estimar la probabilidad o el impacto del riesgo, sea esta de fuente interna o externa.
c) Benchmarking: Algunas entidades utilizan estas técnicas para evaluar un riesgo específico en
términos de probabilidad e impacto, en el caso de que la dirección aspire a mejorar sus decisiones
de respuesta al riesgo para reducir la probabilidad o el impacto. La información así obtenida puede
proporcionar a la dirección un conocimiento profundo de la probabilidad e impacto de riesgos, con
base en las experiencias de otras entidades. También se emplea con respecto a actividades de un
proceso de negocio, para intentar identificar oportunidades de mejora de este. Los tipos de
benchmarking incluyen: interno, competitivo/sectorial y líderes del sector.
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……………………………………………………(2)
NOMBRE DEL PROCESO NIVEL 1: ……………………………………………………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17)
Proceso Riesgo Evaluación del riesgo inherente Respuesta al riesgo Residual
Subproceso / Objetivo Número de Código Descripción Tipo de Impacto Probabi Valor Respuesta Código de Actividad Responsable Riesgo Ranking
Actividad / actividad del del riesgo riesgo lidad del la actividad de de la actividad residual (Prioridad)
Etapa (según riesgo detectado riesgo de control control de control
flujograma) (flujograma)
Identificación y evaluación de riesgos Análisis actividades de control Propuesta nuevas actividades de Revisión
(18.1) vigentes (18.2) control (18.3): (18.4)
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……GESTIÓN ESTRATÉGICA………………………………………….……(2)
NOMBRE DEL PROCESO NIVEL 1: ……GESTIÓN DEL PLAN ESTRATÉGICO INSTITUCIONAL………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17)
Proceso Riesgo Evaluación del riesgo inherente Respuesta al riesgo Residual
Subproceso / Objetivo Número de Código Descripción Tipo de Impac Probabili Valor del Respues Código de la Actividad de control Responsable Riesgo Ranking
Actividad / actividad del del riesgo riesgo to dad riesgo ta actividad de de la residual (Prioridad)
Etapa (según riesgo detectado control actividad de
flujograma) (flujograma) control
Formulación y Contar con el PEI Entrada sin GPE.R.1 Que la Operativo, 5 2 10 Mitigar GPE.C.1 El Supervisor de Supervisor de 2
aprobación adecuadamente número: información Cumplimien Planeamiento obtiene la Planeamiento
formulado y Información utilizada como to información necesaria
aprobado. (proveedores input para la para la elaboración del
internos y elaboración del PEI del sistema comercial,
externos) PEI se EEFF auditados, entre
encuentre otros y valida esa
desactualizada información.
o incompleta.
1 GPE.R.2 Que el Operativo 4 1 4 Mitigar GPE.C.2.1 (GPE.C.2.1) Especialista Especialista / 4
consultor GPE.C.2.2 elabora los TDR con el Supervisor de
seleccionado perfil requerido, tanto para Planificación /
como la formación académica y Jefe del Área
facilitador para los conocimientos como de
la elaboración para las experiencias Planeamiento
del PEI no necesarias para ser
cuente con el facilitador en la
perfil y la formulación del PEI, los
experiencia mismos que son revisados
adecuadas por el Supervisor de
para la Planificación antes de su
realización del envío al Jefe de
PEI. Planeamiento.
(GPE.C.2.2) Jefe de
Planeamiento evalúa la
propuesta de TDR y de
facilitador y la aprueba de
considerarla adecuada.
4 GPE.R.3 Que la Operativo 4 1 4 Mitigar GPE.C.3 Jefe de Planeamiento Jefe del Área 3
propuesta de revisa la propuesta de de
metodología y metodología de trabajo y Planeamiento
cronograma de de los talleres, y la
talleres aprueba de considerarla
contengan adecuada.
errores.
…
…
Identificación y evaluación de riesgos Análisis actividades de control Propuesta nuevas actividades de Revisión
(18.1) vigentes (18.2) control (18.3): (18.4)
Ranking: 1-6
bajo
7- 14
medio
15-25
alto
Inicio
Inform ación de:
ventas, crecimi ento de
clientes, compra s, A
producción, sist em as
de infor ma ción Lineamientos del
sector
GPE.R.2 GPE.C.2.1 GPE.C.8.4
Gestión de No
No GPE.C.2.2
Informa ción 18. V°B° a l GPE.C.10
Estadística 3. Aprueba proyecto de PEI
No
Sí 21. Aprueba
A
proyecto de PEI
Sí
GPE.C.8.4
32.
Recibe y
archiva
copia
del PE
GPE.C.16
PROCESO NIVEL 0: GESTIÓN DEL PLAN ESTRATÉGICO
35. Analiza la
34. Dispone la
Seguim iento y 33. Difusión del PEI estructura orgánica
revisión de la
control del PE I aprobado vigente y propone
estructura orgánica
cambios para
para cumplimiento
cumplimiento del
del PEI
PEI
GPE.R.9 GPE.C.9 GPE.C.9.2
GPE.R.16
Fin
ANEXOS GUÍA 3
“ACTIVIDADES DE CONTROL”
ANEXO 46. RELACIÓN GENERAL ENTRE OBJETIVOS DE CONTROL, RIESGOS ASOCIADOS Y ACTIVIDADES DE CONTROL SUGERIDAS
Con el fin de aplicar el esquema del cuadro de referencia para gestionar los riesgos y alcanzar los objetivos previstos, se presenta un
ejemplo práctico, referido al proceso de “planificación y programación operativa anual” (en adelante “planificación”). Este proceso
está diseñado para ser aplicado y evaluado por todas las entidades y por todas las áreas componentes del CII con el fin de lograr cumplir
con los objetivos de la entidad en general y de cada área en particular. Para ello, se ha considerado como antecedente el esquema
propuesto por el informe COSO – ICIF (también conocido como COSO I) en la parte de “manual de referencia: actividades”, el cual ha
sido complementado de acuerdo con la experiencia nacional.
ONADICI 273
Anexos de la Guía 3
ANEXO 47. RELACIÓN ESPECÍFICA ENTRE OBJETIVOS DEL PROCESO, RIESGOS IDENTIFICADOS Y ACTIVIDADES DE CONTROL EXISTENTES Y
SUGERIDAS (TOMADO DEL ANEXO 13 DE LA GUÍA 2 EVALUACIÓN DE RIESGOS)
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……GESTIÓN ESTRATÉGICA………………………………………….……(2)
NOMBRE DEL PROCESO NIVEL 1: ……GESTIÓN DEL PLAN ESTRATÉGICO INSTITUCIONAL………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (12) (13) (14) (15)
Proceso Riesgo Respuesta al riesgo
Subproceso / Objetivo Número de Código Descripción del riesgo detectado Tipo de Respuesta Código de la Actividad de control Responsable de
Actividad / actividad (según del riesgo actividad de la actividad de
Etapa flujograma) riesgo control control
(flujograma)
Formulación y Contar con el PEI Información GPE.R.1 Que la información utilizada como Operativo, Mitigar GPE.C.1 Supervisor de planeamiento obtiene la información Supervisor de
aprobación adecuadamente (proveedores input para la elaboración del PEI se Cumplimiento necesaria para la elaboración del PEI del sistema Planeamiento
formulado y internos y externos) encuentre desactualizada o comercial, EEFF auditados, entre otros y valida esa
aprobado. incompleta. información.
1 GPE.R.2 Que el consultor seleccionado como Operativo Mitigar GPE.C.2.1 (GPE.C.2.1) Especialista elabora los TDR con el Especialista /
facilitador para la elaboración del PEI GPE.C.2.2 perfil requerido, tanto para la formación académica supervisor de
no cuente con el perfil y la experiencia y los conocimientos como para las experiencias planeamiento /
adecuadas para la realización del necesarias para ser facilitador en la formulación del jefe del área de
PEI. PEI, los mismos que son revisados por el supervisor planeamiento
de planeamiento antes de su envío al jefe de
planeamiento.
(GPE.C.2.2) Jefe de planeamiento evalúa la
propuesta de TDR y de facilitador y la aprueba de
considerarla adecuada.
4 GPE.R.3 Que la propuesta de metodología y Operativo Mitigar GPE.C.3 Jefe de Planeamiento revisa la propuesta de Jefe del área de
cronograma de talleres contengan metodología de trabajo y de los talleres, y la aprueba planeamiento
errores. de considerarla adecuada.
…
…
Inicio
Inform ación de:
ventas, crecimi ento de
clientes, compra s, A
producción, sist em as
de infor ma ción Lineamientos del
sector
GPE.R.2 GPE.C.2.1 GPE.C.8.4
Gestión de No
No GPE.C.2.2
Informa ción 18. V°B° a l GPE.C.10
Estadística 3. Aprueba proyecto de PEI
No
Sí 21. Aprueba
A
proyecto de PEI
Sí
GPE.C.8.4
32.
Recibe y
archiva
copia
del PE
GPE.C.16
PROCESO NIVEL 0: GESTIÓN DEL PLAN ESTRATÉGICO
35. Analiza la
34. Dispone la
Seguim iento y 33. Difusión del PEI estructura orgánica
revisión de la
control del PE I aprobado vigente y propone
estructura orgánica
cambios para
para cumplimiento
cumplimiento del
del PEI
PEI
GPE.R.9 GPE.C.9 GPE.C.9.2
GPE.R.16
Fin
Símbolos utilizados:
Riesgo identificado
Principales
Autorización Procesamiento Aseguramiento Aprobación Control Registro Custodia Archivo
actividades
Colocar el
nombre de
Puesto 1 Puesto 2 Puesto 3 Puesto 4 Puesto 5 Puesto 6 Puesto 7 Puesto 8
la actividad
del proceso
ONADICI 280
Anexos de la Guía 3
Esta integración se debe realizar considerando que las actividades de control forman parte indisoluble de
una transacción, a fin de que la misma sea realizada en la forma correcta y con la calidad que se requiere.
De esta forma, al diseñar un proceso, un procedimiento o una actividad, esta debe incluir las actividades
de control tanto previas como concurrentes o posteriores.
Todos los controles deben ser integrados a los diferentes procesos o transacciones, pudiendo, por lo tanto,
incluirse las diferentes clases de actividades de control: preventivas (ejemplo: la autorización previa),
concurrente (por ej. la utilización de un dispositivo de control o seguridad), o posterior (por ej. la
conciliación periódica de los registros).
Como ejemplo, el art. 4 de la Ley Orgánica del Presupuesto (Decreto n.° 832004), hace claras referencias
a la integración de mecanismos y elementos de control interno en los subsistemas de administración
financiera del sector público tales como presupuesto, crédito público, tesorería y contabilidad
gubernamental.
El Art. 118, numeral 2) del Decreto n.° 832004 mencionado anteriormente, indica que “además de las
normas generales que al respecto emita el TSC, el Órgano Rector seguirá los principios básicos siguientes:
Las verificaciones y controles de naturaleza numérica y de carácter repetitivo se incorporarán a los sistemas
automatizados de gestión financiera…”.
2. ANÁLISIS DE COSTO/BENEFICIO
La relación entre el costo o inversión que existe por el diseño, implementación, aplicación y
mantenimiento en el tiempo de una actividad de control (procesos y recursos – personal, tecnología e
infraestructura-), debe compararse con las contribuciones o ahorros a obtener en función de su aplicación
(conveniencia, eficacia, eficiencia y economía). Dentro de este análisis, deben tomarse en cuenta, además,
los riesgos adicionales evidentes o no que pueden derivarse de la aplicación de cada actividad de control.
La evaluación de los costos incluye la inversión inicial en el diseño e implementación de una actividad de
control, y el costo de aplicar y mantener una medida de control en forma continua y con el mismo nivel
de calidad a lo largo del tiempo, así como la viabilidad de su implementación y aplicación en función de la
disponibilidad de los recursos y de personal capacitado y del grado de automatización de los procesos y
supervisión.
Estos costos y beneficios pueden medirse en forma cualitativa o cuantitativa, empleando normalmente
una unidad de medida coherente con la utilizada para establecer los riesgos a controlar y las tolerancias al
riesgo definidas. En el caso de las nuevas actividades de control propuestas, especialmente aquellas que
eroguen recursos financieros significativos, como por ejemplo la contratación de personal adicional o la
Entre los ítems a evaluar, deben considerarse si se poseen los recursos suficientes para llevar a cabo en
forma satisfactoria las medidas de control propuestas.
3. RESPONSABILIDAD DELIMITADA
La asignación de la responsabilidad y de la autoridad necesaria para decidir y accionar debe estar definida
en forma clara en la descripción de puestos en manuales o compendios, o por medio de instrucciones
impartidas por escrito y en términos claros y específicos. Esos manuales de puestos, funciones,
competencias u otros deben estar a disposición de todo el personal para que puedan utilizarlos como
referencia y capacitación.
Las instrucciones por escrito deben emitirse de forma clara, fácilmente comprensible y concisa, indicando,
como mínimo, la orden explicita que se da, las tareas involucradas, las responsabilidades asignadas y la
periodicidad de su realización.
Las órdenes e instrucciones más específicas y relacionadas con asuntos particulares deben emitirse
mediante nota o memorando dirigido a los responsables jerárquicos de las áreas y unidades
comprometidos con su cumplimiento, exigiendo el compromiso y el acuse de recibo correspondiente.
Las diversas fases que integran un proceso, transacción u operación, como ser: autorización, generación,
ejecución o recaudación, aprobación, administración, registro (contable u operativo), pago y revisión de
las transacciones y hechos, así como las de custodia de recursos, deben distribuirse adecuadamente, con
base en su grado de incompatibilidad, entre los diversos responsables jerárquicos, servidores públicos y
colaboradores de las áreas y unidades de la entidad, procurando un control cruzado entre quienes las
desempeñan, reduciendo de esta forma la posibilidad de un conflicto de intereses.
Ante las limitaciones de recursos que tengan las entidades, “…deberán efectuarse las separaciones
referidas hasta donde sea posible sin elevar el costo del control más allá de límites razonables, y suplir las
eventuales deficiencias mediante la aplicación de medidas alternas, como puede ser una supervisión más
estrecha, el requerimiento de informes más frecuentes, la ejecución de arqueos en lapsos menores,
etcétera.” (TSC-NOGECI V-06).
La ejecución de los procesos, operaciones y transacciones organizacionales debe contar con la autorización
previa o aprobación concurrente o posterior de parte de los responsables jerárquicos de las áreas y
unidades con potestad y competencia para concederla. Estas deben estar debidamente documentadas y
comunicadas a los responsables de su ejecución.
Los resultados de la gestión deben someterse al conocimiento de niveles jerárquicos superiores, que, por
su capacidad técnica y designación formal, cuenten con autoridad para otorgar la aprobación
correspondiente, así como evaluar los resultados del desempeño para proceder conceder o no la
aprobación o validación posterior o emprender medidas destinadas a corregir cualquier producto
insatisfactorio.
Se promueve y alienta a que las aprobaciones puedan ser concurrentes e integradas al proceso de
ejecución de la gestión, a fin de validar las transacciones antes de concluir el proceso.
“…las autorizaciones previas solo deben establecerse en puntos estrictamente claves de los procesos, por
aspectos en que la responsabilidad efectiva de su ejecución recae en quien se le otorga la atribución de
autorizarlos, a efecto que, en ningún caso, la aplicación de estos controles signifique una evasión del
ejercicio o aplicación de los auto controles o, lo que es más grave, en una dilución de la responsabilidad del
funcionario ejecutor de las operaciones.” (TSC-NOGECI V-07)
Entre las transacciones y documentaciones que deben ser autorizadas o aprobadas, pueden enunciarse
las siguientes: (a) emisión de órdenes de pago, (b) emisión de cheques o realización de pagos en efectivo,
(c) emisión de órdenes de compra, (d) registros; (e) movimientos de bienes, entre otros.
La estructura del sistema de control interno de la entidad, las actividades de control vigentes para los
diferentes procesos y actividades de la entidad, así como todas las transacciones y hechos significativos
que se produzcan como resultado de la gestión, deben tener la documentación de soporte adecuada,
como mínimo en cuanto a los objetivos, estructura y procedimientos de control, la descripción de los
hechos sucedidos, el efecto o impacto sobre el control interno y los objetivos institucionales, las medidas
tomadas para su corrección y los responsables en cada caso.
La documentación debe tener un propósito claro y ser apropiada para alcanzar los objetivos de la
organización, y ser la necesaria y suficiente para respaldar la operación realizada o la decisión tomada, de
forma tal que un tercero independiente que no participó en el proceso pueda llegar a las mismas
conclusiones y decisiones a las que arribó quien participó en la gestión, sin aclaraciones adicionales de
este último.
Los objetivos de la entidad deben quedar documentados en sus planes estratégicos y operativos.
Las actividades de control deben figurar en la normativa interna vigente (manuales de puestos, manuales
de funciones, manuales de procedimientos; circulares; disposiciones; acuerdos que consten en actas y se
comuniquen a quien corresponda, entre otros).
Las transacciones y hechos significativos deben figurar en la documentación fuente y en los comprobantes
de tales transacciones y operaciones.
El artículo 125 de la Ley Orgánica del Presupuesto, indica que “Las operaciones que se registren en el
Sistema de Administración Financiera del Sector Público deberán tener su soporte en los documentos que
le dieron origen, los cuales serán custodiados adecuadamente…”.
8. SUPERVISIÓN CONSTANTE
La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben ejercer una supervisión
posterior y constante sobre el desarrollo de los procesos, transacciones y operaciones de la entidad, así
como del personal que las realiza, sin obstruir el proceso operativo, y para asegurar que las labores se
propongan y realicen según lo planeado y de conformidad con la normativa y las disposiciones internas y
externas vigentes, teniendo el cuidado de no diluir la responsabilidad.
Los datos sobre transacciones y hechos importantes que afectan la toma de decisiones y acciones sobre
cualquier etapa de los procesos, operaciones y transacciones deben clasificarse y registrarse en forma
inmediata, adecuada y debida, para garantizar que oportuna y continuamente se produzca y transmita a
la máxima autoridad ejecutiva, a los responsables jerárquicos de las áreas y unidades de la entidad y a las
gerencias informes y estados financieros confiables, inteligibles, útiles y relevantes para el control de
operaciones y para la adecuada toma de decisiones.
Con ese fin, debe establecerse la organización y efectuarse el procesamiento necesario para registrar
oportunamente la información generada durante la gestión organizacional y para elaborar los reportes
operativos, presupuestarios y administrativo-contables que se requieran. A tal efecto deber tenerse en
cuenta que el registro de los hechos y transacciones realizados por la entidad pueden ser afectados, entre
otros, por los siguientes riesgos:
• Falta de control sobre la existencia de los hechos o bienes registrados (identificación), o de la propiedad
de los bienes registrados por la entidad
• Falta de integridad de los registros (incompletos)
• Hechos o transacciones no valuadas según las normas y principios contables
• Incumplimiento de leyes y regulaciones sobre hechos y bienes registrados
• Clasificación inadecuada de los hechos o transacciones
• Registros inexactos, incorrectos o inadecuados
• Falta de registración, aplicación o proceso oportuno de los hechos y transacciones
• Falta de autorización o aprobación de las transacciones realizadas y registradas
• Falta de documentación de soporte suficiente y necesaria.
Ambos sistemas de forma integral resultan herramientas útiles como fuente de información para la toma
de decisiones, la transparencia y como componentes de la rendición de cuentas.
El acceso a los recursos, activos, registros de información y comprobantes de la entidad debe estar
claramente definido, delimitado, restringido y protegido por mecanismos de seguridad, de modo que sólo
lo obtengan los responsables jerárquicos de las áreas y unidades autorizados en razón de su cargo y de las
responsabilidades y funciones correspondientes, quienes estarán obligados a rendir cuentas por su
custodia y utilización. Por ejemplo, dentro de este punto se incluye la determinación clara de las facultades
para la corrección y aplicación de ajustes contables.
Este tema es particularmente importante en relación con archivos muy sensibles en virtud de su facilidad
de sustracción o eventual abuso o uso inadecuado; como en los casos del efectivo y de la información
confidencial o sensible o bien que no pueda considerarse de carácter público según la legislación vigente.
Es preciso contemplar el efecto de los sistemas informáticos sobre el acceso a los recursos,
particularmente en cuanto a las aplicaciones que se utilizan para conceder autorizaciones y aprobaciones,
siendo necesario implementar herramientas de seguridad informática, tales como las claves y los niveles
de accesos pertinentes, así como los controles de uso como bitácoras y pistas de auditoría, que permitan
seguir el rastro en el uso de las facilidades de cómputo e informática para conocer lo actuado por los
responsables jerárquicos de las áreas y unidades con acceso a los sistemas y para determinar su
procedencia y legitimidad.
• Falta de restricciones de acceso a recursos, activos físicos, medios de pago o registros contables u
operativos
• Falta de control de los sistemas de información, comunicación y, en general de tecnología informática
• Problemas de seguridad física.
Las transacciones, procesos y operaciones de la entidad deben ser sometidos a revisiones de control
concurrentes en puntos específicos de su procesamiento, identificados por la administración, y que
permitan asegurar el avance correcto y legítimo de las actividades organizacionales, así como detectar y
corregir oportunamente cualquier desviación con respecto a lo planeado (conciliación de anotaciones,
verificación de datos, revisión de resultados intermedios).
Estos procesos pueden ser manuales o automatizados electrónicamente y relacionar de manera biunívoca,
múltiple o interna los elementos a conciliar.
La falta de conciliaciones periódicas de los registros y de revisión, son los eventos de riesgo más
importantes referidos en este punto.
Las conciliaciones deben ser realizadas por personal con funciones compatibles que no pertenezcan al
mismo departamento (ejemplo; una conciliación de almacenes no debe ser realizada por quien custodia
los bienes) y, además, deben ser aprobadas por personal jerárquico competente.
Todo activo valioso y movible (efectivo, títulos valores, mobiliario y equipo, vehículos, suministros
almacenados; así como la información y el conocimiento clave para la entidad) debe ser asignado a un
responsable por su mantenimiento, conservación y custodia, contando con adecuada protección, a través
de seguros, sistemas de alarma, accesos restringidos.
En la determinación del nivel de seguridad pretendido deberán ponderarse los riesgos emergentes
(omisión de anotaciones, contabilización o custodia erróneas, robo, despilfarro, mal uso, destrucción,
entre otros) y los costos (en tiempo y dinero) a incurrir en los mecanismos de protección.
ANEXOS GUÍA 5
“SUPERVISIÓN Y MONITOREO”
ONADICI 299
Anexos de la Guía 5
A. INTRODUCCIÓN
En los últimos años se ha definido, difundido y aplicado en varios países los nuevos conceptos de control
interno con el propósito de unificar criterios y presentarlos en términos sencillos y de fácil comprensión y
aplicación para el personal interdisciplinario que realiza las operaciones, los usuarios de los servicios
públicos y terceros interesados en las actividades de las entidades (organizaciones de la sociedad civil e
instituciones de control, evaluación, auditoría y seguimiento).
Por otra parte, el Marco Rector del Control Interno del Sector Público en la República de Honduras (MRCI-
SP) incorpora las Normas Generales de Control Interno (NOGECI) y sistematiza el diseño mediante la
definición de cinco componentes y cuarenta y ocho elementos claves del control interno. Asimismo,
incorpora nuevos enfoques para la evaluación y los controles formales fijados en disposiciones normativas
y establece la aceptación generalizada e incluso obligatoria para autoevaluar el control interno. Las
condiciones señaladas abren oportunidades para su desarrollo y conocimiento amplio, el diseño y la
utilización global como una herramienta dirigida a fortalecer las actividades ejecutadas por las entidades
y promover la participación activa del personal ejecutor en los procesos de actualización o rediseño,
difusión e implementación, así como su posterior evaluación y mejora continua.
El taller de autoevaluación del control interno institucional es una herramienta que promueve la
participación de una muestra representativa del personal de la entidad o unidad y corresponde a todos
los niveles de la organización o de la unidad o programa a evaluar respecto al conocimiento y aplicación
por el personal ejecutor sobre al diseño, aplicación y funcionamiento en las operaciones, llegando a
identificarlo, analizarlo, comentarlo, calificarlo y aportar recomendaciones útiles y factibles para su mejora
y fortalecimiento. El taller de autoevaluación no busca medir el nivel de conocimiento teórico de los
participantes sobre el control interno, sino el nivel de eficacia de la entidad en relación con el control
interno y por ende con la gestión.
La pirámide de control interno muestra de manera clara la interrelación de los cinco componentes y su
integración como un conjunto total, así mismo, el cubo en tres dimensiones producido por el Informe
COSO I las relaciona en tres objetivos, cinco componentes y cuatro niveles de aplicación. El cubo que
identifica las tres dimensiones en el COSO II ERM, (Gestión de Riesgos Empresariales) incorpora cuatro
objetivos, incluyendo el estratégico, establece ocho componentes del control interno, al desglosar la
evaluación de riesgos en cuatro (establecer objetivos, identificación de eventos, evaluación del riesgo y
respuesta al riesgo) y en el nivel de aplicación se mantiene las cuatro posibilidades, parte de la aplicación
institucional, pasando por las gerencias, los departamentos y las unidades descentralizadas.
B. OBJETIVOS
El taller ha sido desarrollado como una herramienta dirigida a cumplir cinco objetivos principales:
• Promover la calificación del control interno por el personal ejecutor de las operaciones, respecto
al diseño y funcionamiento del control interno de la organización
• Difundir el marco normativo vigente entre el personal de las entidades y otros organismos para
la gestión eficiente y eficaz, así como las prácticas obligatorias contenidas en las GICII
• Difundir entre el personal el estado del seguimiento a las recomendaciones formuladas por ellos
mismos en talleres anteriores.
Mientras se acuerdan los términos, alcance y fechas para realizar el taller, los integrantes del COCOIN
interactúan con los demás servidores o colaboradores de la entidad y observan la forma cómo se ejecutan
las operaciones. Al seleccionar la muestra de participantes, la cual debe estar compuesta principalmente
por personal operativo, se conoce la estructura de personal y se obtiene datos a manera de un diagnóstico
preliminar que permite orientar el inicio del taller con información y hechos para identificar las
posibilidades reales para aplicar el Marco Rector del Control Interno y autoevaluarlo de manera adecuada,
promoviendo un enfoque de honestidad en beneficio de la entidad y sus integrantes, área, unidad o
programa.
Los integrantes del COCOIN se reúnen para elaborar o adaptar el cuestionario de autoevaluación de
acuerdo con la naturaleza de la entidad, escala de operaciones, número de trabajadores, objetivos
estratégicos y operativos, problemática propia de la entidad, entre otros factores a considerarse para este
fin. Para la elaboración del cuestionario, los integrantes del COCOIN deben contar con el asesoramiento
del especialista de control interno de la ONADICI asignado a la entidad, así como asegurar la participación
del auditor interno, el cual es miembro con voz, pero sin voto del comité. En el caso de las preguntas que
tengan ver con temas de responsabilidad de otros comités de la entidad, se debe de contar con la
participación de estos en la redacción de las preguntas correspondientes (por ejemplo, Comité de Ética).
Debe tenerse en cuenta que no existe un cuestionario único aplicable a todas las entidades, porque éstas
difieren entre si y la calidad de la información que se obtenga guarda relación directa con la calidad de las
preguntas incluidas en el cuestionario. En este sentido, al redactar las preguntas, debe ponerse especial
cuidado en que tengan un sentido positivo y no negativo, toda vez que la calificación está sobre la base de
la adición de los puntajes y no de su sustracción.
Para la elaboración del cuestionario se puede tomar como referencia el ejemplo propuesto en el ANEXO
55, el cual es solo un ejemplo y no debería ser aplicado tal cual se presenta en el anexo. Pero en todos los
casos debe mantener el esquema de los cinco componentes y veinte y cinco elementos que han sido
concentrados para facilitar el procedimiento, a partir de los 48 incluidos en las NOGECI.
Una vez que se tenga listo el proyecto de cuestionario de autoevaluación, éste debe ser puesto en
conocimiento para su aprobación por la MAE, toda vez que se trata de una herramienta que utilidad para
la toma de decisiones a nivel de entidad y de procesos de la entidad.
Los integrantes del COCOIN deben de organizarse para la ejecución del taller, asignando los roles de
facilitadores, expositor, apoyo, entre otros como acto previo a la ejecución del taller.
Con el fin de promover el buen ambiente de trabajo y una actitud positiva y favorable hacia el control
interno institucional, se recomienda la participación de la MAE en la inauguración del taller, como muestra
de su compromiso con el CII y estímulo a los participantes en la importancia de la actividad, la cual está
dirigida a la mejora de la entidad.
Cabe precisar que la ejecución del taller se realiza con la presencia del especialista de control interno de
la ONADICI asignado a la entidad.
C.2.2 PRESENTACIÓN DEL MARCO RECTOR DE CONTROL INTERNO INSTITUCIONAL Y DEL MODELO DE
GESTIÓN
En esta parte inicial del taller, el expositor designado por el COCOIN se encarga de realizar una
presentación de los contenidos normativos y conceptuales acerca del control interno. Asimismo, realiza la
presentación del modelo de gestión, el cual es el referente contra el cual los participantes al taller medirán
y calificarán el accionar de la entidad. El modelo de gestión a presentarse es el que se incluye en la “Guía
0: Introducción general”.
En ningún caso debe exponerse los objetivos institucionales, toda vez que el conocimiento de estos forma
parte de la evaluación misma a realizarse. Asimismo, bajo ninguna circunstancia debe de orientarse las
respuestas de los participantes con comentarios acerca posibles respuestas a las preguntas del
cuestionario.
El control interno, de conformidad con el artículo 2 de la Ley Orgánica del Tribunal Superior de Cuentas
“Es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las
entidades públicas y privadas, con el propósito de asistir a los servidores públicos en la prevención de
infracciones a las leyes y a la ética, con motivo de su gestión y administración de los bienes nacionales”. Y
alcanzar, de conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos siguientes:
“1) Procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios;
2) Proteger los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto
ilegal;
La responsabilidad por el diseño y funcionamiento del control interno institucional está relacionada con la
administración superior de las entidades públicas. Dentro de los ámbitos de trabajo y colaboración los
servidores públicos o colaboradores son responsables del cumplimiento de las prácticas de control
interno, en forma solidaria con la MAE y los superiores jerárquicos de las áreas o unidades de la
organización.
ii) El componente evaluación y gestión de riesgos está integrado por seis (6) elementos:
3. Responsabilidad delimitada
4. Instrucciones por escrito
5. Separación de funciones incompatibles
6. Autorización previa o aprobación de transacciones y operaciones
7. Documentación de procesos y transacciones
8. Supervisión constante
9. Clasificación y registro oportuno
10. Sistema contable y presupuestario
11. Acceso a los activos y registros
12. Revisiones de control
13. Conciliación periódica de registros
14. Inventarios periódicos
15. Arqueos independientes
16. Formularios uniformes
17. Rotación de labores
18. Disfrute oportuno de vacaciones
19. Cauciones y fianzas
20. Dispositivos de control y seguridad.
iv) El componente información y comunicación está integrado por seis (6) elementos:
El expositor designado por el COCOIN explica que el taller está dirigido a evaluar los cinco componentes
(5) y los cuarenta y ocho elementos (48) del marco de control interno institucional bajo los cuales se
estructura el cuestionario general de evaluación que los participantes en el taller valoran y califican en
forma individual, anónima, real, sincera y sin temor a represalias, considerando los conocimientos y la
información que tengan estos en relación a las actividades de la entidad contrastándolas con el modelo
de gestión.
Aquí se realiza la entrega del cuestionario, la familiarización con el mismo y la comprensión del contenido
con los participantes mediante ejemplos relacionados con la entidad, a propuesta de los participantes,
explicando el método de calificación.
Cada participante debe responder individualmente las preguntas detalladas para cada elemento y valorar
en la escala de 4 a 1 puntos, de conformidad con la siguiente tabla:
El expositor debe hacer hincapié en que no se debe dejar de responder ninguna de las preguntas, en la
medida de lo posible.
VALOR EN
COMO DEFINE LA CALIFICACIÓN
PUNTAJE
Sí, excelente, un modelo de operación 5
Sí, muy buena, aplicación eficiente de los procesos 4
Sí, aceptable, cumple con los requerimientos mínimos 3
No, regular, bajo el nivel de aceptación, pero susceptible de mejora 2
No, deficiente, no cumple requerimientos mínimos y dificultades para 1
mejorar
El cuestionario y sus preguntas se explican a los participantes, realizando pruebas aleatorias de respuesta
para una o varias preguntas y la calificación que potencialmente asignaría cada participante en la escala
de 5 a 1 puntos. Una opción recomendada para los ejemplos es aplicarlo al taller en ejecución, como
actividad evaluada.
El cuestionario incluye en promedio seis preguntas por cada uno de los elementos que completan los cinco
componentes del CII y es la base para calificar y opinar sobre el control interno de la entidad.
Asimismo, el expositor explica que los cuestionarios utilizados han sido adaptados a las actividades propias
de la entidad, es decir a la realidad de ésta.
Una vez concluidas todas las intervenciones, se procede a la aplicación del cuestionario a los participantes
del taller.
Al terminar de responder el cuestionario (ver ANEXO 55), éste se deposita en un lugar previamente
definido. Luego de ello, el participante está disponible para continuar con sus labores cotidianas, no sin
antes avisarle que está citado para la reunión del siguiente día. Una vez que se hayan entregado todos los
cuestionarios debidamente respondidos, el facilitador intercambia las posiciones de estos y los numera
consecutivamente para garantizar así el anonimato.
Al promediar los resultados y preparar la matriz de elementos – cuestionarios con los datos obtenidos, se
validan los resultados, considerando los siguientes lineamientos:
• Todas las preguntas respondidas como S/R (sin respuesta) se eliminan para el cálculo de los
promedios.
• Al analizar la matriz elementos-cuestionarios, los promedios por elemento deben ser al menos
del 50% de los participantes en el taller y validar cada elemento, de lo contrario es eliminada.
• Al analizar la matriz de elementos - cuestionarios los participantes deben calificar al menos el 50%
de los elementos para ser considerado el componente en el promedio total.
Al iniciar la segunda reunión del taller, el facilitador solicita la participación de los asistentes para
identificar las fortalezas y limitaciones institucionales, las que deben ser registradas por los facilitadores.
El propósito de identificar las fortalezas y las limitaciones importantes de la entidad, área, unidad o
programa sujeto a la autoevaluación permite determinar su impacto en el manejo eficiente de sus recursos
y el cumplimiento de las actividades para alcanzar sus objetivos eficazmente y tomar las decisiones
respecto a las acciones a seguir.
• Fortalezas y condiciones positivas que aportan elementos para lograr los objetivos principales de
la entidad, como el apoyo de la MAE y de los otros niveles del gobierno para su estructuración,
aplicación y funcionamiento.
• Limitaciones, elementos o situaciones que reducen la capacidad de la entidad para alcanzar sus
objetivos, pueden ser internos o externos.
Una vez identificadas las fortalezas y las limitaciones institucionales se relacionarán con los resultados
obtenidos del procesamiento de los cuestionarios, los cuales se exponen en la presentación de la matriz
de elementos – cuestionarios. Cabe indicar que las fortalezas y limitaciones institucionales identificadas
son un insumo que debe ser tomado en consideración al momento de redactar las conclusiones y
recomendaciones en el informe indicado en el ANEXO 54.
En esta etapa el facilitador presenta los resultados compilados de los cuestionarios, analizan los resultados
tabulados y explican el proceso de validación aplicado, principalmente sobre:
a. La validación de las calificaciones con base en los puntos de control para eliminar las que no
presenten el 50% de respuestas en cada elemento en la matriz. Al depurar la matriz se obtienen
los promedios definitivos por elementos, por componente y para el marco de CII global.
b. Se identifican los cuestionarios que presentan el promedio individual: (1) mayor, (2) menor, y,
(3) el más cercano a la media aritmética de todos los participantes. Estos tres cuestionarios sirven
para documentar el taller una vez completado el informe de resultados. El resto de los
cuestionarios son destruidos al completar el informe del taller, toda vez que ya cumplieron con
su finalidad, garantizando así el anonimato de las respuestas recogidas. También se identifica el
número de cuestionarios con promedios por encima del promedio y por debajo del mismo, para
determinar la tendencia general en la calificación realizada por los participantes.
Una serie de indicadores estadísticos se pueden incorporar en el análisis a fin de determinar las
características de la muestra utilizada para el taller, incluyendo la media aritmética, la mediana, la moda,
la varianza, la desviación estándar y una representación gráfica de la distribución promedio obtenida.
Este análisis de resultados, en conjunto con las fortalezas y las debilidades institucionales identificadas
están dirigidos a obtener comentarios, opiniones y recomendaciones de los participantes sobre cada uno
de los factores incluidos en la matriz.
La parte más importante del taller, tanto en el tiempo de dedicación como por los aportes obtenidos, es
el destinado a discutir en un diálogo abierto, amplio y sincero respecto al control interno institucional
donde colaboran y presentan propuestas para mejorar sus actividades. Uno de los facilitadores designados
por el COCOIN dirige la reunión con los participantes y el otro facilitador va registrando los comentarios,
opiniones y recomendaciones propuestas.
Uno de los facilitadores modera la reunión utilizando el resumen de calificaciones por componentes y
elementos, motivando a los participantes para que emitan comentarios, opiniones y sugerencias y así
obtener la aceptación consensuada del grupo por mayoría. El segundo facilitador anota las intervenciones
de los participantes organizándolas por componente y elemento del informe modelo (ver ANEXO 54),
clasificados en comentarios, opiniones y recomendaciones para posterior análisis, evaluación y
consideración a cargo del COCOIN.
Cuando las opiniones de los participantes son limitadas, el facilitador encargado de la moderación
introducirá preguntas generales a partir de la calificación de los elementos para promover la participación
de los asistentes, o bien buscando el consenso en la justificación y validación de los resultados obtenidos.
La duración sugerida para esta parte del taller es de dos (2) horas académicas, siendo el tiempo más amplio
destinado a un segmento del taller, por tanto, resulta el más importante dado que en él se logra la
obtención de información fundamental para la posterior discusión y preparación del informe de resultados
de autoevaluación que pasará a conocimiento de la MAE y posteriormente difundido a todos los
trabajadores de la entidad.
Los comentarios, opiniones y sugerencias de los participantes constituyen un insumo importante que debe
ser evaluado por el COCOIN, de forma que contribuya al análisis posterior a res realizado en el informe y
que debe conducir a la formulación de conclusiones y recomendaciones que se incluyen en el ANEXO 54.
Los facilitadores hacen un resumen de los aspectos positivos del taller que está concluyendo y de los
aspectos que podrían ser mejorados, para lo cual se requiere que los facilitadores y los participantes
mantengan una actitud abierta y que sean puntuales en sus intervenciones, promoviendo la confianza en
el proceso y la colaboración de todos.
Finalmente, uno de los facilitadores solicita el reconocimiento para todos los participantes por la
colaboración y buenos resultados del taller, mediante aplausos u otra acción similar. Esta última acción es
muy importante porque promueve el buen ambiente de trabajo y una actitud positiva y favorable haca el
control interno institucional, siendo recomendable la participación de la MAE tanto al inicio del taller,
como en el cierre de este, como muestra de su compromiso con el CII.
Culminado el taller, los integrantes del COCOIN inician el proceso de preparación y documentación del
informe de resultados de autoevaluación del control interno institucional, utilizando el formato sugerido
que incluye el esquema por componentes del control interno.
Los integrantes del COCOIN deben contar con el asesoramiento del especialista de control interno de la
ONADICI asignado a la entidad para esta etapa de elaboración del informe. Durante esta etapa se
analizarán, discutirán y sopesarán las conclusiones y recomendaciones de mejora, tanto propuestas por
los participantes como por los integrantes del COCOIN. Debe de tenerse siempre en consideración de que
se trata de un informe de carácter gerencial, orientado a lograr la mejora institucional, por cuanto deberá
enfocarse en los aspectos más importantes y prioritarios relacionados con la gestión y los objetivos
institucionales.
El informe debe ser entregado y puesto en conocimiento de la MAE en un plazo máximo de dos días
laborables posteriores a la terminación del taller con el fin de garantizar su oportunidad y solicitar la
difusión entre los participantes en el taller.
ANEXO 54. FORMATO DEL INFORME DE RESULTADOS DE AUTOEVALUACIÓN DEL CONTROL INTERNO
ENTIDAD __________________
FORMATO DEL
FACILITADORES:
1. Nombres y apellidos
2. Nombres y apellidos
3. Nombres y apellidos
4. Nombres y apellidos
PARTICIPANTES:
[Lugar y fecha]
ÍNDICE
B. AMBIENTE DE CONTROL………………………………………………………………………
Recomendaciones…………………………………………………………………………………………….
Recomendaciones…………………………………………………………………………………………….
D. ACTIVIDADES DE CONTROL………………………………………………………………….
Recomendaciones………………………………………………………………………………………………
E. INFORMACIÓN Y COMUNICACIÓN………………………………………………………..
Recomendaciones…………………………………………………………………………………………….
F. SUPERVISIÓN Y MONITOREO…………………………………………………………………………………………
Recomendaciones…………………………………………………………………………………………….
ENTIDAD: ____________________________________
La evaluación del control interno institucional (CII) aplicado a [nombre de la entidad] se realizó a través del
taller de autoevaluación del control interno en el que participaron [cantidad en números] servidores
públicos/colaboradores de la entidad (incluye a los responsables jerárquicos de áreas y unidades),
representando el [número de porcentaje]% del personal, durante los días [días del mes en números] de
[nombre del mes] de 20[XX], utilizando las “Normas Generales de Control Interno” (NOGECI) incluidas en
el “Marco Rector del Control Interno Institucional de los Recursos Públicos” emitido por el Tribunal Superior
de Cuentas (TSC), las “Guías de implementación del control interno institucional” (GICII) elaboradas por la
Oficina Nacional de Desarrollo Integral del Control Interno (ONADICI) y las mejores prácticas en la materia.
La autoevaluación del marco de control interno se enfocó en las actividades desarrolladas en el [número
del trimestre] trimestre de 20[XX], tomando como referencia las NOGECI, las prácticas obligatorias
contenidas en las GICII y las buenas prácticas internacionales, que incluye los siguientes componentes:
• Ambiente de control
• Evaluación y gestión de riesgos
• Actividades de control
• Información y comunicación
• Supervisión y monitoreo.
La comprensión y revisión de los controles internos implantados para las principales actividades de la
entidad se ejecutó en dos reuniones:
1. La primera dirigida a compartir los nuevos conceptos, componentes y factores del sistema de control
interno, analizar el formato y contenido del cuestionario de evaluación y el método para calificar y
valorar las respuestas, así como la recepción, validación, tabulación y análisis después de ser
completadas.
2. En la segunda reunión se presentaron los resultados acumulados y el análisis estadístico de los datos
de los [número de cuestionarios] cuestionarios recibidos. De inicio se expusieron los resultados del
proceso de autoevaluación global del control interno institucional, de los cinco componentes y los
veinticinco elementos agrupados. Se motivó a los participantes para comentar, opinar y recomendar
acciones a base de los resultados promedios del grupo, siguiendo el orden de presentación de los
componentes. Se explicó el método utilizado para calificar el cuestionario y los criterios básicos
empleados para validar las respuestas por cada elemento.
Los comentarios, opiniones y sugerencias presentadas en la segunda reunión del taller se realizaron en
forma directa por un grupo de [número de participantes] participantes, que representa el [número de
porcentaje]% del total. La invitación y participación en el taller contó con el apoyo del (cargo) [MAE o
denominación del cargo del responsable jerárquico designado], responsable jerárquico de primer nivel,
hecho que contribuyó a concretar importantes propuestas de mejora y cambio en las operaciones.
Las calificaciones obtenidas y el análisis de los resultados incluidos en las opiniones y recomendaciones
más importantes para actualizar y mejorar el diseño, la aplicación y el funcionamiento del control interno
se detallan en el capítulo III de este informe.
La metodología utilizada para la evaluación fue la división de cinco grupos, dirigidos a cada uno de los
componentes del Control Interno.
Los resultados del análisis están sobre la base de la percepción de cada uno de los participantes.
El enfoque para el diseño y aplicación del CII, así como la autoevaluación está orientado a conocer y aplicar
los controles suaves (pueden no estar definidos por escrito, pero se aplican efectivamente y generan valor
agregado) para cumplir los objetivos del/de la [nombre de la entidad]. No obstante, las guías de control
interno incluyen el diseño formal del control interno y de las actividades sustantivas con base en el Marco
Rector del Sistema Nacional de Control de los Recursos Públicos.
El control interno, de conformidad con el artículo 2 de la Ley Orgánica del Tribunal Superior de Cuentas
“Es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las
entidades públicas y privadas, con el propósito de asistir a los servidores públicos en la prevención de
infracciones a las leyes y a la ética, con motivo de su gestión y administración de los bienes nacionales”. Y
alcanzar, de conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos siguientes:
“1) Procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios;
2) Proteger los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto
ilegal;
La autoevaluación se realizó sobre las actividades y operaciones que ejecuta el personal en las áreas y
unidades de la entidad en cumplimiento de las funciones y responsabilidades asignadas para el logro de
objetivos.
Tabla A
1. Ambiente de control
2. Evaluación y gestión de riesgos
3. Actividades de control
4. Información y comunicación
5. Supervisión y monitoreo
TOTAL
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados de los componentes en
general y es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe, con
posterioridad a la clausura del taller].
B. AMBIENTE DE CONTROL
[Este contenido corresponde una introducción del componente y es redactado por los integrantes del
COCOIN en la reunión para la elaboración del informe, con posterioridad a la clausura del taller].
Tabla B
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados del componente
mostrados en la Tabla B, tomando en consideración los comentarios recogidos de los participantes y
arribando a conclusiones que permitan el desarrollo del literal siguiente de recomendaciones. Es redactado
por los integrantes del COCOIN en la reunión para la elaboración del informe, con posterioridad a la
clausura del taller].
[Las conclusiones deben estar numeradas en forma correlativa en todo el informe, para que su numeración
sea utilizada como referencia para la redacción de las recomendaciones].
B.2. Recomendaciones
[Este contenido es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe,
con posterioridad a la clausura del taller].
[Las recomendaciones deben hacer referencia a las conclusiones que les dan soporte para asegurar su
adecuada fundamentación].
[Las recomendaciones deben estar numeradas en forma correlativa en todo el informe, para que su
numeración sea utilizada como referencia en la implementación].
[Este contenido corresponde una introducción del componente y es redactado por los integrantes del
COCOIN en la reunión para la elaboración del informe, con posterioridad a la clausura del taller].
Tabla C
EVALUACIÓN Y GESTIÓN DE
VALORACIÓN CALIFICACIÓN %
RIESGOS
1. Identificación y evaluación de
riesgos
2. Planificación e indicadores
mensurables del desempeño
3. Divulgación de los planes
4. Revisión de los objetivos
5. Gestión de riesgos institucionales
TOTAL
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados del componente
mostrados en la Tabla C, tomando en consideración los comentarios recogidos de los participantes y
arribando a conclusiones que permitan el desarrollo del literal siguiente de recomendaciones. Es redactado
por los integrantes del COCOIN en la reunión para la elaboración del informe, con posterioridad a la
clausura del taller].
[Las conclusiones deben estar numeradas en forma correlativa en todo el informe, para que su numeración
sea utilizada como referencia para la redacción de las recomendaciones].
C.2. Recomendaciones
[Este contenido es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe,
con posterioridad a la clausura del taller].
[Las recomendaciones deben hacer referencia a las conclusiones que les dan soporte para asegurar su
adecuada fundamentación].
[Las recomendaciones deben estar numeradas en forma correlativa en todo el informe, para que su
numeración sea utilizada como referencia en la implementación].
D. ACTIVIDADES DE CONTROL
[Este contenido corresponde una introducción del componente y es redactado por los integrantes del
COCOIN en la reunión para la elaboración del informe, con posterioridad a la clausura del taller].
Tabla D
TOTAL
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados del componente
mostrados en la Tabla D, tomando en consideración los comentarios recogidos de los participantes y
arribando a conclusiones que permitan el desarrollo del literal siguiente de recomendaciones. Es redactado
por los integrantes del COCOIN en la reunión para la elaboración del informe, con posterioridad a la
clausura del taller].
[Las conclusiones deben estar numeradas en forma correlativa en todo el informe, para que su numeración
sea utilizada como referencia para la redacción de las recomendaciones].
D.2. Recomendaciones
[Este contenido es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe,
con posterioridad a la clausura del taller].
[Las recomendaciones deben hacer referencia a las conclusiones que les dan soporte para asegurar su
adecuada fundamentación].
[Las recomendaciones deben estar numeradas en forma correlativa en todo el informe, para que su
numeración sea utilizada como referencia en la implementación].
E. INFORMACIÓN Y COMUNICACIÓN
[Este contenido corresponde una introducción del componente y es redactado por los integrantes del
COCOIN en la reunión para la elaboración del informe, con posterioridad a la clausura del taller].
Tabla E
TOTAL
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados del componente
mostrados en la Tabla E, tomando en consideración los comentarios recogidos de los participantes y
arribando a conclusiones que permitan el desarrollo del literal siguiente de recomendaciones. Es redactado
por los integrantes del COCOIN en la reunión para la elaboración del informe, con posterioridad a la
clausura del taller].
[Las conclusiones deben estar numeradas en forma correlativa en todo el informe, para que su numeración
sea utilizada como referencia para la redacción de las recomendaciones].
E.2. Recomendaciones
[Este contenido es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe,
con posterioridad a la clausura del taller].
[Las recomendaciones deben hacer referencia a las conclusiones que les dan soporte para asegurar su
adecuada fundamentación].
[Las recomendaciones deben estar numeradas en forma correlativa en todo el informe, para que su
numeración sea utilizada como referencia en la implementación].
F. SUPERVISIÓN Y MONITOREO
[Este contenido corresponde una introducción del componente y es redactado por los integrantes del
COCOIN en la reunión para la elaboración del informe, con posterioridad a la clausura del taller].
Tabla F
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados del componente
mostrados en la Tabla F, tomando en consideración los comentarios recogidos de los participantes y
arribando a conclusiones que permitan el desarrollo del literal siguiente de recomendaciones. Es redactado
por los integrantes del COCOIN en la reunión para la elaboración del informe, con posterioridad a la
clausura del taller].
[Las conclusiones deben estar numeradas en forma correlativa en todo el informe, para que su numeración
sea utilizada como referencia para la redacción de las recomendaciones].
F.2. Recomendaciones
[Este contenido es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe,
con posterioridad a la clausura del taller].
[Las recomendaciones deben hacer referencia a las conclusiones que les dan soporte para asegurar su
adecuada fundamentación].
[Las recomendaciones deben estar numeradas en forma correlativa en todo el informe, para que su
numeración sea utilizada como referencia en la implementación].
Atentamente,
ENTIDAD: _______________________________
ÁREA: _______________________________
Instrucciones para la respuesta: Es anónimo, no requiere identificación, entrega obligatoria. Lea los
enunciados y valore la respuesta en la escala de 5 a 1 (si es positiva 3 puntos hasta 5, si es negativa
2 o 1), respecto a las operaciones que sean de su conocimiento. Si el conocimiento es insuficiente,
responda S/R (sin respuesta). El nivel mínimo de aceptación es 3/5 puntos, representa el 60%. Así:
COMPONENTES/Elementos/Prácticas Obligatorias
Valo
r 5/1
o
S/R.
1. AMBIENTE DE CONTROL: (21=7)
1.1.3 Con base en los lineamientos del Comité de Probidad y Ética Pública (CPEP), ¿se fomenta los
valores éticos en todos los servidores públicos/colaboradores y de ser el caso, emite sanciones
conforme a lo establecido en el Código de Probidad y Ética del Servidor Público?
1.1.4 ¿Se difunde ampliamente la misión, visión y valores institucionales entre los servidores
públicos/colaboradores de su área?
1.1.7 ¿Son ampliamente difundidos por el CPEP a todo el personal de la entidad la misión, visión y
valores en los que la entidad fundamenta el logro de los objetivos?
1.1.8 ¿Todos los empleados de la entidad han firmado un compromiso de cumplimiento de Código de
Conducta Ética del Servidor Público?
1.2.2 ¿Conoce el Plan Operativo Anual (POA) y el Presupuesto anual aprobado para la entidad y
específicamente el de su área?
1.2.3 ¿Se genera información sobre el avance de las metas y se evalúa el desempeño mensual sobre
la ejecución del POA para la toma de acciones correctivas?
1.2.4 ¿Todo el personal de la entidad conoce si la estructura organizacional está definida y formalizada
por áreas de operación clave? (Organigrama)
1.2.7 ¿Difunde la entidad la información actualizada de los servicios ofrecidos a través de la página
Web para conocimiento de los usuarios?
1.2.8 ¿Existe orden en los expedientes y documentos en el archivo institucional, y son manejados por
personal experto que demuestre conocimientos, organización, transparencia y resultados?
1.2.9 ¿Están definidas las unidades prestadoras de servicios estratégicos de forma clara y amplia?
1.2.10 ¿Considera que se actualizan y concilian con los responsables de las áreas clave los objetivos
de POA y de los proyectos que administra la entidad?
1.2.11 ¿Se realiza en su área, la gestión de los procedimientos clave aplicando estrictamente los
manuales de procesos y procedimientos?
1.2.12 ¿l COCOIN y el CPEP reciben total apoyo de la MAE para su adecuado funcionamiento?
1.3.1 ¿Conoce si todo el personal recibe inducción inmediatamente después de ser contratado o
nombrado en la entidad? (antes de comenzar con su gestión)
1.3.2 ¿El jefe inmediato superior aplica anualmente la evaluación del desempeño al personal bajo su
cargo con base en criterios técnicos?
1.3.3 ¿Se cuenta en la entidad con planes continuos de capacitación para el personal?
1.3.4 ¿La selección del personal, previo a la contratación del mismo, se lleva a cabo atendiendo a un
manual de funciones con perfiles profesionales de puestos definidos adecuadamente?
1.3.5 ¿Cuenta la entidad con un plan de remuneraciones que genere una política salarial interna?
1.3.6 ¿Se cuenta con una política de promoción con base en méritos para los servidores
públicos/colaboradores?
1.4.1 ¿La MAE formaliza la delegación de autoridad por escrito, generando corresponsabilidad, entre
quien delega y quien la ejerce?
1.4.2 ¿El PEI y el POA son la base para la coordinación de las operaciones y el logro efectivo de los
objetivos?
1.4.3 ¿Existe, y de ser así, está formalizada una política que favorezca la cooperación entre las
unidades operativas y de apoyo para promover el logro eficaz, eficiente y coordinado de los objetivos
estratégicos de la entidad?
1.4.4 ¿Existe una verdadera coordinación en la ejecución de los procesos y procedimientos en los que
intervienen dos o más áreas?
1.5.1 ¿Están claramente definidos los estándares específicos de mejora continua y el cumplimiento
de los objetivos del control interno y de la gestión institucional?
1.5.2 ¿Considera que con la implementación del CII se fortalece la gestión de su área y se obtendrán
efectivamente los objetivos fijados?
1.5.3 ¿Se difunde todas las políticas institucionales de manera formal mediante notas por escrito a
todo el personal de su área?
1.5.4 ¿Se elabora, emite y difunde oportunamente los informes de resultados de las operaciones, de
la gestión y de la ejecución presupuestaria para fortalecer al proceso de rendición de cuentas y la
transparencia institucional, tanto interna como externa?
1.6.1 ¿Se difunde a los empleados de su área las prácticas de control interno implementadas para su
aplicación efectiva, cuyo cumplimiento genera confianza en las operaciones y en la información
generada sobre las operaciones?
1.6.2 ¿Diseña e implementa técnicas de trabajo participativo y cooperativo entre las unidades
operativas, administrativa y financiera, trabajando en equipo con participación interdisciplinaria?
1.7.1 El jefe de la Unidad de Auditoría Interna (UAI) ha establecido criterios normativos para determinar
el alcance, tamaño, especialistas, equipo y actividades que se desarrollan según el funcionamiento de
la unidad?
1.7.2 ¿Se da seguimiento oportuno e integral a las recomendaciones de auditoría externa e interna?
1.7.3 ¿Conoce si se prepara el Plan General y el POA de la UAI, considerando la Guía emitida por la
ONADICI?
1.7.4 ¿Conoce si la UAI evalúa el funcionamiento del CII mediante una evaluación separada del control
interno?
1.7.5 ¿Se dispone de auditores especialistas para las actividades sustantivas de la entidad y dependen
del jefe de la UAI?
1.7.7 ¿Considera que el Comité de Auditoría debe contar con la participación con voz, pero sin voto
del jefe de la UAI?
1.7.8 ¿El jefe de la UAI cumple las normas establecidas por el TSC para realizar la auditoría, así como
las normas técnicas específicas que emita la ONADICI para tales efectos?
2.1.1 ¿Están definidas por escrito las funciones, facultades, roles, responsabilidades y perfiles que
le corresponde a cada uno de los miembros de la entidad dentro del proceso de gestión de riesgos?
(por ejemplo, en los manuales de procesos y procedimientos)
2.1.2 ¿Se actualizan anualmente como mínimo los manuales de la entidad atendiendo a los riesgos
en los procesos?
2.1.3 ¿Se cuenta con matrices de riesgos para todos los procesos clave de la entidad?
2.1.4 ¿Se actualizan anualmente como mínimo, las matrices de riesgos de los procesos clave de la
entidad?
2.2 Planificación
2.2.1 ¿Se establece y revisa, como mínimo anualmente la misión, visión, valores, objetivos, metas
políticas y programas institucionales?
2.2.2 ¿Se establecen los objetivos y metas de cada área o unidad, alineados y articulados con los
objetivos fijados en el PEI y POA de la entidad?
2.2.3 ¿Se formulan los objetivos y metas en forma realista, en función de la disponibilidad prevista de
recursos necesarios y suficientes para el logro de los mismos?
2.2.4 ¿Se realizan reuniones periódicas, como mínimo trimestralmente en conjunto con la MAE y los
responsables jerárquicos de la entidad para la revisión del POA, con el fin de evaluar el cumplimiento
de los objetivos y metas?
2.2.5 ¿Se comunica a todo el personal los resultados de las evaluaciones periódicas del desempeño
de la entidad?
2.2.6 ¿Se comunica oportunamente al personal, los cambios en la planificación (en caso de ocurrir)?
2.3.1 ¿Están establecidos los indicadores claves del desempeño, de resultado y de impacto, tanto
generales como específicos, cuantitativos como cualitativos?
2.3.2 ¿Se ha fijado claramente las formas de medición de los indicadores de desempeño, la
periodicidad de las actualizaciones y los responsables por el diseño e implantación de los índices de
desempeño?
2.3.3 ¿Los indicadores clave del desempeño institucional son revisados anualmente como mínimo,
contando con la participación activa de personal de todas las áreas?
2.4.2 ¿Es conocido por el personal la metodología utilizada para la evaluación y gestión de riesgos,
incluyendo los niveles de riesgo aceptado por la MAE?
2.5.1 ¿Se revisa periódicamente los objetivos institucionales, captando, procesando y reportando en
forma oportuna información relacionada con los cambios registrados e inminentes en el ambiente
interno y externo?
2.5.2 ¿Se revisa formalmente la planificación y se reformulan o reafirman los objetivos cuando ocurre
una modificación presupuestaria (recorte o ampliación)?
2.6.1 ¿Se han establecido y gestionado políticas y procedimientos dirigidos a identificar y evaluar los
riesgos relevantes que puedan impactar negativamente o impedir el logro de los objetivos, metas
proyectos y programas propios, incluyendo las siguientes etapas de: (1) identificación de eventos, (2)
evaluación y valorización de riesgos, (3) indicadores claves de riesgo, (4) respuesta a los riesgos
(actividades de control)?
2.6.2 ¿Se comunica claramente al personal las políticas y procedimientos para la “identificación y
evaluación de los riesgos”, comprobándose que son conocidas y comprendidas por los servidores
públicos/colaboradores?
2.6.3 ¿Se fija la metodología de grupos de trabajo de autoevaluación de riesgos, para: (1) identificar
los factores causantes de riesgos, (2) matrices de riesgo y valoración de riesgos, e (3) indicadores de
claves de riesgos?
2.6.4 ¿Ha sido emitido un inventario de los procesos y sus procedimientos identificando los controles
existentes para cada uno de ellos?
2.6.5 ¿Se ha facilitado el conocimiento para la identificación de los factores causantes de los riesgos,
priorizando en función de su impacto y probabilidad de ocurrencia?
2.6.6 ¿Se establece, mantiene y gestiona las “Bases de datos de Eventos de Pérdida” fijando las
características del reporte, recolección, cuantificación registro y clasificación, ¿almacenamiento y
protección de la información de eventos de pérdida?
2.6.7 ¿Se han elaborado matrices de riesgo con la descripción de cada uno de los riesgos identificados
en los procesos clave de la entidad?
3. ACTIVIDADES DE CONTROL
3.1.1 Una vez determinados los objetivos de la entidad, sus riesgos asociados y las respuestas a los
riesgos elegidos ¿se evalúan, seleccionan e implantan las actividades de control más adecuadas y de
mayor calidad, en términos de mitigación de los riesgos involucrados en forma eficiente, eficaz y
económica?
3.1.3 ¿Se comunica formalmente por escrito y en forma fehaciente, y dejan disponibles para el
personal (en papel y, de ser factible, en la intranet de la entidad), todos los manuales de
procedimientos o instructivos, debiendo también comprobar que los mismos son conocidos,
comprendidos y aceptados por los funcionarios de la entidad que se encuentran involucrados en la
gestión de los procesos en cuestión?
3.1.4 ¿Los jefes de área supervisan constantemente que los empleados del área desarrollen sus
actividades respetando estrictamente los manuales de procesos y procedimientos?
3.2.1 ¿Se separan las funciones incompatibles como control general y preventivo que permita un
control cruzado a partir de la asignación de responsabilidades y funciones en las distintas áreas o
unidades?
3.2.2 ¿Se incluyen las matrices y el mapa de riesgos de la entidad afectando la valoración final de los
riesgos hasta llegar a niveles aceptables de riesgo residual?
3.3.1 ¿Se pone atención en evaluar, seleccionar, implantar y mantener las actividades de control más
adecuadas y de mayor calidad relacionadas con los sistemas de tecnología informática?
3.3.3 ¿Los procedimientos en los que intervienen dos o más área de la entidad, son discutidos,
consensuados y revisados en conjunto por los responsables jerárquicos de las áreas involucradas?
3.3.4 ¿Se realizan reuniones periódicas con el fin de evaluar el funcionamiento de los procesos clave
de la entidad?
3.4.1 ¿El responsable del área de tecnología informática, pone especial atención en evaluar,
seleccionar, implantar y mantener las actividades de control más adecuadas y de mayor calidad en
los sistemas informáticos?
3.4.2 ¿Se diseña, desarrolla, automatiza e implementa los requisitos funcionales y de control que
solicite la administración activa?
3.4.3 ¿Los superiores jerárquicos son los responsables operativos de definir apropiadamente los
requisitos funcionales y las actividades de control referidas a los procesos?
3.4.4 ¿Se impulsa en forma efectiva la sistematización, ejecución, control supervisión y evaluación de
sus operaciones a través del uso de sistemas aplicativos de tecnología informática?
3.4.5 ¿Considera que en los procesos que usted ejecuta utilizando sistemas informáticos, existe la
cantidad y calidad justa y necesaria de controles automatizados?
3.4.6 ¿Se realizan reuniones periódicas coordinadas por el superior jerárquico de la unidad de
tecnología de la información, y con la participación de los responsables de las áreas, a fin de evaluar
el funcionamiento de los sistemas informáticos y, en caso de corresponder, realizar propuestas de
mejora?
4.1.1 ¿Se dispone y genera informes por períodos (mensuales, trimestrales, entre otros) de bienes
producidos, avance del POA, ejecución presupuestaria, estados financieros, autoevaluación del CII e
informe de evaluación del CII de la UAI de la entidad?
4.1.2. ¿La información antes mencionada es difundida a las áreas relacionadas y la misma se
considera para validar o reformular la estrategia y la planificación?
4.1.3 ¿Se cumple con los requerimientos de información (formatos, contenidos, fechas de entrega,
comparación, entre otras), establecidas por los organismos rectores de los sistemas administrativos y
en los períodos establecidos?
4.1.4 ¿La MAE ha dispuesto que la información contenida en la web de la entidad cumpla con los
requisitos de la Ley de Transparencia y Acceso a la Información (LTAI)?
4.1.5 ¿Se incorporan controles clave para mantener los contenidos, la calidad del registro, control e
información procesada, determinando las necesidades para el sistema de información?
4.1.6 ¿Considera Ud. que la información, tanto en calidad como suficiencia, que debe ser tenida en
cuenta para la toma de decisiones es emitida oportunamente permitiendo a los tomadores de
decisiones tener en todo momento un panorama claro de las situaciones tanto internas como externas
que afectan o favorecen el entorno operativo de la entidad?
4.2.1 ¿La MAE considera que los sistemas de registro e información sean computarizados, manuales
o una mezcla, a fin de que el diseño del sistema procure que la información permita tomar decisiones,
medir resultados y controlar el avance en la consecución de objetivos institucionales?
4.2.2 ¿TI incluye controles de validación a fin de asegurar el funcionamiento correcto y continuo de
los sistemas de información?
4.2.3 ¿Considera que los sistemas de la entidad están actualizados y responden a las necesidades y
a su vez contienen controles efectivos que garanticen la seguridad de la información?
4.2.4 ¿El personal que utiliza los sistemas informáticos de la entidad es considerado para evaluar el
funcionamiento de los mismos?
4.3.1 ¿Se utiliza los canales de información y comunicación (intranet local) para promover su
transparencia y a su vez aplicar controles clave para fomentar la comunicación ágil y oportuna?
4.3.2 ¿Considera que la información cargada en la intranet local o enviada por el correo electrónico
institucional llega oportunamente a todo el personal de la entidad?
4.3.3 Cuando se emiten lineamientos internos en la entidad, ¿esta información llega oportunamente a
todo el personal que involucra su cumplimiento?
4.4.2 ¿Se organiza los archivos en: ¿activo (últimos cinco años), pasivo (de cinco a diez años) e
histórico (más de diez años)?
4.4.3 ¿Se facilita el acceso amplio y abierto a todos los archivos de la entidad, a los auditores internos
y externos y al personal de la ONADICI?
4.4.4 ¿En su área trabajo se digitalizan los documentos importantes incluidos en los archivos
organizados?
5. SUPERVISIÓN Y MONITOREO
5.1.1 ¿Se fomentan, actualizan y elaboran las normas, políticas y manuales de procedimientos
de la entidad y se difunden ampliamente?
5.1.2 ¿Los superiores jerárquicos documentan las funciones de supervisión y evaluación tanto
de las operaciones como de las transacciones ejecutadas, que sirven como base para realizar
una autoevaluación?
5.1.3 ¿Considera que el COCOIN realiza actividades de monitoreo y autoevaluación del CII?
5.1.4 ¿La UAI realiza una evaluación separada de control interno de la entidad y a su vez
retroalimenta a las áreas evaluadas para llevar a cabo un plan de acción y atender las
recomendaciones de la UAI?
5.2.1 ¿Conoce los informes gerenciales referente al avance en la ejecución de los planes, el
grado de cumplimiento de los objetivos estratégicos y las decisiones tomadas por la MAE?
5.2.3 ¿Se realiza un informe trimestralmente sobre el grado de cumplimiento de los objetivos de
acuerdo a los indicadores de desempeño integrados al POA?
5.2.4 ¿Se revisan, actualizan y aprueban periódicamente los indicadores clasificándolos por
áreas estratégicas, administrativas y operativas para la rendición de cuentas?
5.2.7 ¿Se rinde cuenta sobre el nivel de logro de los objetivos estratégicos de la entidad?
5.3.1 ¿Se preparan informes periódicos y oportunos, producto de las acciones de monitoreo y
de la evaluación del desempeño?
5.3.2 ¿La MAE comunica en forma efectiva y oportuna las deficiencias reportadas para corregir
los procedimientos y mejorarlos?
5.3.3 ¿Los responsables de las áreas o unidades a los cuales se les han comunicado las
deficiencias correspondientes, hacen las aclaraciones pertinentes, adjuntando planes de
acción?
5.4.1 ¿Conoce si la entidad ha contratado el servicio de asesoría externa para el monitoreo del
CII?
5.4.2 ¿La UAI utiliza y aplica la Guía para la Elaboración del Plan General y del Programa
Operativo Anual?
A fin de indicar la secuencia de los pasos a seguir en una adecuada evaluación de las actividades de control
vigentes, se detallan las tareas a realizar con ese objetivo. La documentación de los pasos realizados se
realizará a través del uso del formulario incluido en ANEXO 57. MATRIZ DE EVALUACIÓN DE LAS
ACTIVIDADES DE CONTROL.
1. Identificar y describir las actividades de control existentes y vigentes, así como los factores que sin ser
controles promueven la aplicación de éstas, determinando la suficiencia (documentada y efectiva),
deficiencia (no documentada o ineficaz) o inexistencia de la actividad de control para gestionar y
mitigar el riesgo.
2. Identificar las causas subyacentes que generan los riesgos inherentes a fin de que los efectos que
generan sean mitigados, ya sea reduciendo su probabilidad de ocurrencia o su impacto.
3. Evaluar la calidad de la actividad de control vigente, en cuanto a mitigar los riesgos analizados, ya sea
reduciendo la probabilidad de ocurrencia o su efecto o impacto en el proceso revisado. Esta tarea
incluye evaluar cómo el ejercicio de este control afecta la calidad de servicio percibida por el usuario
o el cliente interno o externo (demora en tiempo de respuesta, entre otros), y cuantificar la adecuación
(suficiencia, eficacia, eficiencia y economía) de las actividades de control existentes, a partir de la
fijación y seguimiento del comportamiento de los indicadores de desempeño (gestión) y de resultado
(impacto) de las mismas.
5. Este ejercicio modifica el armado y presentación de las matrices y el mapa de riesgos de la entidad,
afectando la valoración final de los eventos de riesgo, hasta llegar a niveles aceptables de riesgo
residual.
6. En caso de que el riesgo residual una vez consideradas las actividades de control vigentes se mantenga
en niveles inaceptables, deberán describirse los efectos que pueden generarse de materializarse el
riesgo, al no estar debidamente controlado.
7. De mantenerse el riesgo residual en niveles inaceptables debido a que las actividades de control
vigentes no están mitigando los riesgos inherentes en forma debida, ya sea por su deficiencia o su
inexistencia, será necesario que la entidad proponga mejoras a fin de perfeccionar las actividades de
control vigentes, o el diseño e implementación de actividades de control adicionales, supletorias o en
reemplazo de las existentes, las que deben ser descritas en las respectivas matrices de riesgo,
generando una nueva determinación del nivel de riesgo residual una vez implementadas las
actividades de control propuestas, así como el tipo de atención a brindar a los eventos de riesgo en
función de la valorización del riesgo residual considerando la implementación de las actividades de
control propuestas.
8. Las propuestas de mejora a las actividades de control vigentes, así como las nuevas medidas de control
definidas también deberán ser valoradas en cuanto a su calidad y adecuación, así como su relación
costo/beneficio, en cuanto a su contribución a la reducción de la probabilidad de ocurrencia o del
impacto esperado de los riesgos detectados para lograr un riesgo residual aceptable, y a la inversión
en recursos necesaria para su diseño, implementación, cumplimiento efectivo y mantenimiento,
comparándola con el ahorro que se producirá por su aplicación.
11. El proceso de evaluación deberá realizarse, como mínimo, una vez al año, en caso de actividades con
riesgos residuales que se encuentren controlados, y semestralmente en el caso de riesgos residuales
que requieran de un seguimiento periódico (zona amarilla de la matriz de riesgos).
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……………………………………………………(2)
NOMBRE DEL PROCESO NIVEL 1: ……………………………………………………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17) (18)
Evaluación del diseño de la Eficacia
Proceso Riesgo Evaluación del funcionamiento de la actividad de control
actividad de control general de
Subproceso / Objetivo Número de Código Descripción Periodi Oportunid Automa Descrip Referencia Métodos de Fecha de Nombre y Deficiencias Observacio la actividad
Actividad / actividad del del riesgo cidad ad tización ción de documentac prueba la prueba cargo del observadas/ nes de control
Etapa (según riesgo detectado la ión de la evaluador mejoras adicionales
flujograma) prueba prueba propuestas del revisor
Evaluación de las actividades de Revisión de la evaluación de las Superior jerárquico del área o unidad
control vigentes (19.1) actividades de control (19.2) (dueño del proceso) (19.3):
ONADICI 335
Anexos de la Guía 5
Entidad: ________________
Objetivo • Descripción de lo que se busca lograr o situación que se busca superar de forma permanente.
Objetivo(s) estratégico(s) Indicar el objetivo u objetivos estratégicos del PEI relacionados con los resultados a alcanzar con el
relacionado(s) PADE
• Nivel 0: Colocar el nombre del proceso de nivel 0
Proceso al que pertenece • Nivel 1: Colocar el nombre del proceso de nivel 1
• Nivel 2: Colocar el nombre del proceso de nivel 2, si corresponde
Lista detallada de las acciones a llevarse a cabo para alcanzar el objetivo propuesto.
ONADICI 337
Anexos de la Guía 5
[Nombre de la entidad]
1. RESUMEN EJECUTIVO
2. INTRODUCCIÓN
3. OBJETIVOS
4. PLANES DE ACCIÓN PARA DEFICIENCIAS REPORTADAS (PADE) CLASIFICADOS POR OBJETIVOS
ESTRATÉGICOS
4.1. Objetivo estratégico 1
4.1.1.PADE 1
4.1.2.PADE 2
4.1.3.…
4.1.4.PADE w
4.2. Objetivo estratégico 2
4.2.1.PADE 1
4.2.2.PADE 2
4.2.3.…
4.2.4.PADE x
4.3. Objetivo estratégico 3
4.3.1.PADE 1
4.3.2.PADE 2
4.3.3.…
4.3.4.PADE y
4.4. …
4.5. Objetivo estratégico N
4.5.1.PADE 1
4.5.2.PADE 2
4.5.3.…
4.5.4.PADE z
5. CONCLUSIONES
6. RECOMENDACIONES
7. ANEXOS (si los hubiera)
Glosario
A
Ambiente externo: cualquier cosa por fuera de la entidad que influencia la habilidad de la entidad para
lograr la estrategia y los objetivos institucionales.
Alta Dirección: son los directivos con más alto cargo en una organización de una entidad y está conformada
por la MAI, la MAE, el secretario general y los directores, según sea el caso.
Apetito al riesgo: es una ponderación de alto nivel de cuánto riesgo (cantidad de exposición a impactos
adversos potenciales) la empresa está dispuesta a aceptar para alcanzar sus objetivos.
Autocontrol: capacidad o cualidad que debe poseer cada servidor público o colaborador para controlar su
trabajo, detectar desviaciones y efectuar correctivos.
Autoevaluación: capacidad que deben tener las entidades, unidades, áreas y los servidores públicos o
colaboradores para evaluar la efectividad de los controles internos aplicados en la gestión de las
operaciones a su cargo, por convicción de la importancia y utilidad del control.
Autorregulación: capacidad o nivel de autonomía razonable que deben tener las entidades para crear y
emitir su propia normativa que regule sus procesos, de manera espontánea y sin la intervención de
agentes externos.
B
Balanced scorecard: ver cuadro de mando integral.
C
Capacidad de riesgo: es la máxima cantidad de riesgo que una entidad es capaz de afrontar en la
persecución de sus objetivos.
Complementariedad: cualidad del CII de completar el control gubernamental con el control externo
independiente ejercido por el TSC.
ONADICI 341
Glosario
Confiabilidad: cualidad o característica que procura el CII y que debe poseer la información financiera y
operativa derivada de la gestión de los entes públicos.
Contexto institucional: las tendencias, eventos, relaciones y otros factores que pudieran influenciar,
aclarar o cambiar la estrategia presente o futura de una entidad y sus objetivos institucionales.
Control interno institucional: “es un proceso permanente y continuo realizado por la dirección, gerencia y
otros empleados de las entidades públicas, con el propósito de asistir a los servidores públicos en la
prevención de infracciones a las Leyes y a la ética, con motivo de su gestión y administración de los bienes
nacionales y alcanzar, de conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos
siguientes:
2) Proteger los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto
ilegal;
Cuadro de mando integral (Balanced scorecard): es una metodología y herramienta de gestión que
traduce la estrategia de las organizaciones en un conjunto coherente de indicadores agrupados en cuatro
categorías de negocio: financieras, clientes, procesos internos y aprendizaje.
Cultura: las actitudes, comportamientos y comprensión acerca de los riesgos, positivos y negativos, que
influencian las decisiones de la gerencia y el personal y que refleja la misión, visión y valores institucionales
de la organización.
E
Economía: capacidad de obtener los resultados correctos a costos de aprovisionamiento razonables, sin
sacrificar calidad.
Eficacia: capacidad de respuesta para alcanzar un objetivo o resultado determinado, o para producir un
efecto esperado, sin considerar el uso o costo de los recursos.
Eficiencia: es la capacidad de realizar un proceso, actividad o tarea haciendo el mejor uso de los recursos
disponibles.
Entidad: cualquier forma de organización con o sin fines de lucro, gubernamental o no.
Estructura de control interno: se refiere a los componentes del control interno, a saber: ambiente de
control, evaluación y gestión de riesgos, actividades de control, información y comunicación, y supervisión
y monitoreo.
Ética pública: La actitud permanente de los servidores públicos o colaboradores acorde con la integridad,
rectitud y demás valores morales aceptados por la sociedad, constituye la base principal en que se
fundamenta el control interno institucional de los recursos públicos.
Evaluación separada: evaluación de la efectividad del control interno, permanente y con criterio
independiente de las operaciones realiza la UAI.
G
Gestión de riesgos institucionales: la cultura, capacidades y prácticas, integradas con el establecimiento
de estrategias y el desempeño, de las que las entidades dependen para para gestionar el riesgo en la
creación, preservación y obtención de valor para ellas mismas y sus grupos de interés.
Grupos de interés (stakeholders): grupo o parte que tiene interés en la entidad, sea genuino o establecido.
Grupos de interés externos: cualquier grupo que no está directamente involucrado con las operaciones
de la entidad pero que se ve afectado por ella, y que influencia directamente el entorno institucional o
que influencia su reputación, marca y confianza.
I
Impacto: es el resultado o el efecto de un riesgo. Puede existir un rango de posibles impactos asociados
con un riesgo. El impacto de un riesgo puede ser positivo o negativo en relación con la estrategia o los
objetivos institucionales.
Indicador: es la expresión cuantitativa que relaciona dos o más variables, permitiendo evaluar el
comportamiento o desempeño de algún fenómeno o entidad, cuyo resultado, al es comparado con algún
nivel de referencia previamente establecido.
Indicador clave de desempeño (key performance indicator, KPI): indicador de gestión de un proceso que
se relaciona con los factores críticos de éxito para la consecución de los objetivos de la entidad.
Indicador clave de riesgo (key risk indicator, KRI): es una medición cualitativa o cuantitativa que brinda
un mayor conocimiento de los riesgos potenciales, y que se utiliza para hacer un seguimiento periódico de
su comportamiento y evolución, con el fin de observar si se mantienen dentro de los umbrales de
tolerancia al riesgo preestablecidos, alimentando un sistema de alertas para los casos en que se superen
estos umbrales.
tomarán acciones correctivas o preventivas según el caso; son un subconjunto de los indicadores porque
sus mediciones están relacionadas con el modo en que los servicio o productos son generados por una
entidad.
Integración: característica o cualidad que deben poseer los sistemas administrativos al incluir las técnicas,
mecanismos y elementos del control interno como parte natural de sus procedimientos.
Integralidad: cualidad o característica del control interno institucional por el cual su alcance debe cubrir
todos los aspectos, en especial el de acatamiento de la legalidad, los de carácter contable financiero y los
de carácter operacional o de gestión.
K
Key performance indicator: ver indicador clave de desempeño.
L
Legalidad: el acatamiento o cumplimiento de las disposiciones legales que regulan los actos
administrativos y la gestión de los recursos públicos, así como de los reglamentos, normas, manuales, guías
e instructivos que las desarrollan, es el primer propósito del control interno institucional.
M
Mapa de riesgo: es la representación gráfica de los riesgos identificados y valorados en un plano cartesiano
que combina probabilidad con impacto, permitiendo la ubicación de estos y su visualización en las zonas
de aceptación o rechazo definidas.
Modelo de gestión: representación gráfica, genérica y simplificada de la forma en que funciona o debe
funcionar una entidad del Estado, de las actividades administrativas y sus correspondientes documentos
de gestión y flujos de información para la correcta gestión de ella.
O
Objetivos institucionales: aquellas etapas medibles que la organización toma para lograr su estrategia.
Perfil de riesgos de la entidad: es una vista compuesta de los riesgos asumidos en un nivel determinado
de la entidad, o aspecto de la actividad medular de la entidad, que coloca a la gerencia en la posición de
considerar los tipos, severidad e interdependencias de los riesgos y cómo pueden afectar el desempeño
relativo a la estrategia y los objetivos institucionales.
Prevención: preparar y disponer lo necesario para evitar o estar listo para la ocurrencia de eventos o
situaciones adversas que puedan afectar la gestión pública y el logro de los objetivos y metas.
R
Rendición de cuenta: responder o dar cuenta de la forma y resultados de la gestión pública, es un deber
de los servidores públicos o colaboradores en los diferentes niveles de responsabilidad de la estructura
organizacional de los entes públicos, cuyo adecuado cumplimiento es un propósito esencial del proceso
de control interno institucional.
Riesgo: es la posibilidad de que ocurra un evento adverso que afecte el logro de los objetivos.
Riesgo aceptado: es el nivel de riesgo fijado por la MAE y que se está dispuesto a aceptar a cambio de
lograr los objetivos.
Riesgo tolerable: es el riesgo de que se produzca un desvío relativo a la consecución de los objetivos y que
está dentro la tolerancia al riesgo establecida.
Riesgo residual: riesgo remanente después de haber aplicado una respuesta al riesgo.
S
Sistema de control interno: es el conjunto de acciones, actividades, planes, políticas, normas, manuales,
registros, procedimientos y métodos, incluido el entorno y actitudes que desarrollan las autoridades y su
personal a cargo, con el objetivo de prevenir la materialización de los riesgos que afectan a una entidad.
Se compone del CII (proceso) y la estructura de control interno (componentes).
T
Tolerancia al riesgo: son los límites de la variación aceptable en el desempeño relacionado con el logro de
los objetivos, es decir los límites de la desviación con respecto del apetito al riesgo.
V
Valores institucionales: son las creencias e ideales de la entidad acerca de lo bueno y lo malo, aceptable
o inaceptable, que influencia el comportamiento de los miembros de la organización.
Visión de portafolio de riesgos: es una vista compuesta de los riesgos que la entidad enfrenta, que coloca
a la gerencia y al consejo o directorio en la posición de considerar los tipos, severidad e interdependencias
de los riesgos y cómo pueden afectar el desempeño relativo a la estrategia y los objetivos institucionales.