Guias para La Implementacion Del Control Interno Institucional ONADICI 2da Edicion

GUÍAS PARA LA
IMPLEMENTACIÓN
DEL
CONTROL INTERNO
INSTITUCIONAL
2da edición
Mayo 2018
GUÍAS PARA LA
IMPLEMENTACIÓN DEL
CONTROL INTERNO INSTITUCIONAL
0. INTRODUCCIÓN GENERAL
1. AMBIENTE DE CONTROL
2. EVALUACIÓN Y GESTIÓN DEL RIESGO
3. ACTIVIDADES DE CONTROL
4. INFORMACIÓN Y COMUNICACIÓN
5. SUPERVISIÓN Y MONITOREO
SEGUNDA EDICIÓN
MAYO 2018
Contenido
TABLA DE CONTENIDO
ACUERDO ADMINISTRATIVO DIRECCIÓN EJECUTIVA ONADICI 002/2018 ............................... xxi
PRESENTACIÓN DE LAS GUÍAS PARA LA IMPLEMENTACIÓN DEL CONTROL INTERNO

INSTITUCIONAL ................................................................................................................... xxiii
SIGLAS UTILIZADAS .............................................................................................................. xxv
Guía 0 “INTRODUCCIÓN GENERAL” .............................................................................................1

0.1. INTRODUCCIÓN ............................................................................................................................................ 3
0.1.1. BASE LEGAL Y DOCUMENTAL ........................................................................................................... 4
0.1.2. COMPOSICIÓN Y CODIFICACIÓN ...................................................................................................... 4
0.1.3. TÉRMINOS GENÉRICOS UTILIZADOS ................................................................................................. 5
0.2. OBJETIVOS.................................................................................................................................................... 6
0.3. ÁMBITO DE APLICACIÓN............................................................................................................................... 6
0.4. PROPÓSITO DEL CONTROL INTERNO INSTITUCIONAL ................................................................................... 7
0.4.1. RESUMEN DE LAS NORMAS GENERALES DE CONTROL INTERNO (NOGECI) ...................................... 7
0.4.1.1. PROPÓSITO ................................................................................................................................. 7
0.4.1.2. REFERENCIA LEGAL ...................................................................................................................... 7
0.4.2. PRINCIPIOS RECTORES DEL CII ......................................................................................................... 8
0.4.2.1. RESUMEN DE LA NOGECI ............................................................................................................. 8
0.4.2.2. PROPÓSITO ................................................................................................................................. 8
0.4.3. ÉTICA PÚBLICA................................................................................................................................. 8
0.4.3.2. PROPÓSITO ................................................................................................................................. 8
0.4.4. TRANSPARENCIA.............................................................................................................................. 9
0.4.4.2. PROPÓSITO ................................................................................................................................. 9
0.4.5. LEGALIDAD ...................................................................................................................................... 9
0.4.5.2. PROPÓSITO ................................................................................................................................. 9
0.4.5.3. REFERENCIA LEGAL .................................................................................................................... 10
0.4.6. RENDICIÓN DE CUENTA ................................................................................................................. 10
0.4.6.1. RESUMEN DE LA NOGECI ........................................................................................................... 10
0.4.6.2. PROPÓSITO ............................................................................................................................... 10
0.4.7. COMPLEMENTARIEDAD ................................................................................................................. 10
0.4.7.2. PROPÓSITO ............................................................................................................................... 10
Guías para la implementación del CII - ONADICI iii

Contenido
0.4.8. PREVENCIÓN ................................................................................................................................. 11

0.4.8.2. PROPÓSITO ............................................................................................................................... 11
0.4.9. AUTORREGULACIÓN ...................................................................................................................... 11
0.4.9.2. PROPÓSITO ............................................................................................................................... 11
0.4.10. INTEGRACIÓN ................................................................................................................................ 12
0.4.10.1. RESUMEN DE LA NOGECI .......................................................................................................... 12
0.4.10.2. PROPÓSITO .............................................................................................................................. 12
0.4.10.3. REFERENCIA LEGAL ................................................................................................................... 12
0.4.11. INTEGRALIDAD .............................................................................................................................. 12
0.4.11.2. PROPÓSITO .............................................................................................................................. 12
0.4.12. AUTOCONTROL .............................................................................................................................. 13
0.4.12.2. PROPÓSITO .............................................................................................................................. 13
0.4.13. AUTOEVALUACIÓN ........................................................................................................................ 13
0.4.13.2. PROPÓSITO .............................................................................................................................. 13
0.4.14. EVALUACIÓN SEPARADA ................................................................................................................ 14
0.4.14.2. PROPÓSITO .............................................................................................................................. 14
0.5. PRECEPTOS DE CONTROL INTERNO INSTITUCIONAL (CII) ............................................................................ 14
0.5.1. RESUMEN DE LA NOGECI ............................................................................................................... 14
0.5.1.1. PROPÓSITO ............................................................................................................................... 14
0.5.2. PLANEACIÓN ................................................................................................................................. 15
0.5.2.2. PROPÓSITO ............................................................................................................................... 15
0.5.3. EFICACIA ........................................................................................................................................ 15
0.5.3.2. PROPÓSITO ............................................................................................................................... 15
0.5.4. ECONOMÍA .................................................................................................................................... 16
0.5.4.2. PROPÓSITO ............................................................................................................................... 16
0.5.5. EFICIENCIA..................................................................................................................................... 16
Guías para la implementación del CII - ONADICI iv

Contenido
0.5.5.2. PROPÓSITO ............................................................................................................................... 16

0.5.6. CONFIABILIDAD ............................................................................................................................. 17
0.5.6.2. PROPÓSITO ............................................................................................................................... 17
0.5.7. PRIORIZACIÓN ............................................................................................................................... 17
0.5.7.2. PROPÓSITO ............................................................................................................................... 17
0.5.8. CUIDADO DEL MEDIOAMBIENTE.................................................................................................... 18
0.5.8.1. PROPÓSITO ............................................................................................................................... 18
0.6. NORMAS GENERALES DE CONTROL INTERNO (NOGECI) ............................................................................. 18
0.6.1. ASPECTOS BÁSICOS DE LAS NOGECI ............................................................................................... 18
0.6.1.1. PROPÓSITO ............................................................................................................................... 18
0.6.2. COMPOSICIÓN Y CODIFICACIÓN .................................................................................................... 19
0.6.2.2. PROPÓSITO ............................................................................................................................... 19
0.7. NORMAS GENERALES SOBRE ASPECTOS BÁSICOS DE CONTROL INTERNO .................................................. 19
0.7.1. DEFINICIÓN Y OBJETIVOS ............................................................................................................... 19
0.7.1.2. PROPÓSITO ............................................................................................................................... 20
0.7.2. RECTORÍA DEL CONTROL INTERNO ................................................................................................ 20
0.7.2.2. PROPÓSITO ............................................................................................................................... 21
0.7.3. RESPONSABILIDAD POR EL CONTROL INTERNO ............................................................................. 21
0.7.3.2. PROPÓSITO ............................................................................................................................... 21
0.7.4. COMPONENTES DEL PROCESO DE CONTROL INTERNO .................................................................. 22
0.7.4.2. PROPÓSITO ............................................................................................................................... 22
0.7.5. COMPONENTES ORGÁNICOS DEL CONTROL INTERNO ................................................................... 22
0.7.5.2. PROPÓSITO ............................................................................................................................... 22
0.8. MARCO CONCEPTUAL ................................................................................................................................ 23
0.8.1. CONTROL INTERNO – MARCO INTEGRADO 2013 ........................................................................... 23
0.8.2. MODELO DE GESTIÓN .................................................................................................................... 26
0.8.2.1. ORGANIZACIÓN ......................................................................................................................... 27
0.8.2.2. PLAN ESTRATÉGICO INSTITUCIONAL (PEI) .................................................................................. 28
Guías para la implementación del CII - ONADICI v

Contenido
0.8.2.3. PLAN OPERATIVO ANUAL (POA) ................................................................................................ 29

0.8.2.4. PRESUPUESTO ........................................................................................................................... 30
0.8.2.5. PLAN ANUAL DE COMPRAS Y CONTRATACIONES (PACC) ........................................................... 30
0.8.2.6. INDICADORES Y RIESGOS ........................................................................................................... 31
0.8.2.7. PLAN ANUAL DE IMPLEMENTACIÓN DE MEJORAS (PAIME) ....................................................... 31
0.8.2.8. PROCESOS ................................................................................................................................. 32
0.8.2.9. SISTEMAS DE INFORMACIÓN ..................................................................................................... 32
0.8.3. MODELO DE IMPLEMENTACIÓN DE MEJORAS ............................................................................... 33
Guía 1 “AMBIENTE DE CONTROL” .............................................................................................37
AMBIENTE DE CONTROL ............................................................................................................ 39

1.1. RESUMEN AMBIENTE DE CONTROL INTERNO (NOGECI) ............................................................................. 45
1.1.1. PRÓPOSITO.................................................................................................................................... 45
1.1.2. CRITERIOS ...................................................................................................................................... 45
1.1.3. PRÁCTICAS OBLIGATORIAS DE IMPLEMENTACIÓN ......................................................................... 45
1.1.4. REFERENCIA LEGAL ........................................................................................................................ 46
1.2. PLANIFICACIÓN INSTITUCIONAL Y ESTRUCTURA ORGANIZATIVA ................................................................ 46
1.2.2. PROPÓSITO.................................................................................................................................... 47
1.2.3. CRITERIOS ...................................................................................................................................... 47
1.3. VALORES DE INTEGRIDAD Y ÉTICA .............................................................................................................. 48
1.3.2. LEALTAD INSTITUCIONAL ............................................................................................................... 48
1.3.2.1. PROPÓSITO ............................................................................................................................... 48
1.3.2.2. CRITERIOS ................................................................................................................................. 48
1.3.3. HONRADEZ E INTEGRIDAD ............................................................................................................. 48
1.3.3.1. PROPÓSITO ............................................................................................................................... 49
1.3.3.2. CRITERIOS ................................................................................................................................. 49
1.3.4. BUENA CONDUCTA Y DISCIPLINA ................................................................................................... 49
1.3.4.1. PROPÓSITO ............................................................................................................................... 49
1.3.4.2. CRITERIOS ................................................................................................................................. 49
1.3.5. RESPONSABILIDAD......................................................................................................................... 49
1.3.5.1. PROPÓSITO ............................................................................................................................... 49
1.3.5.2. CRITERIOS ................................................................................................................................. 49
1.3.6. PROBIDAD ..................................................................................................................................... 49
1.3.6.1. PROPÓSITO ............................................................................................................................... 49
1.3.6.2. CRITERIOS ................................................................................................................................. 50
1.3.7. TRANSPARENCIA............................................................................................................................ 50
1.3.7.1. PROPÓSITO ............................................................................................................................... 50
1.3.7.2. CRITERIOS ................................................................................................................................. 50
1.3.8. OBJETIVIDAD, IMPARCIALIDAD E INDEPENDENCIA ........................................................................ 50
1.3.8.1. PROPÓSITO ............................................................................................................................... 50
1.3.8.2. CRITERIOS ................................................................................................................................. 50
Guías para la implementación del CII - ONADICI vi

Contenido
1.3.9. SEGURIDAD, CONFIANZA Y CREDIBILIDAD ..................................................................................... 50

1.3.9.1. PROPÓSITO ............................................................................................................................... 51
1.3.9.2. CRITERIOS ................................................................................................................................. 51
1.3.10. INTERÉS PÚBLICO .......................................................................................................................... 51
1.3.10.1. PROPÓSITO .............................................................................................................................. 51
1.3.10.2. CRITERIOS................................................................................................................................. 51
1.3.11. CALIDAD DE SERVICIO.................................................................................................................... 51
1.3.11.1. PROPÓSITO .............................................................................................................................. 51
1.3.11.2. CRITERIOS................................................................................................................................. 51
1.4. VALORES DE INTEGRIDAD Y ÉTICA - CÓDIGO DE CONDUCTA ÉTICA DEL SERVIDOR PÚBLICO ...................... 52
1.4.1. RESUMEN ...................................................................................................................................... 52
1.4.2. PROPÓSITO.................................................................................................................................... 52
1.4.3. CRITERIOS ...................................................................................................................................... 52
1.5. VALORES DE INTEGRIDAD Y ÉTICA - COMITÉ DE PROBIDAD Y ÉTICA PÚBLICA ............................................. 53
1.5.1. RESUMEN ...................................................................................................................................... 53
1.5.2. PROPÓSITO.................................................................................................................................... 53
1.5.3. CRITERIOS ...................................................................................................................................... 53
1.6. VALORES DE INTEGRIDAD Y ÉTICA - NORMAS ESPECÍFICAS......................................................................... 54
1.6.1. RESUMEN ...................................................................................................................................... 54
1.6.2. PROPÓSITO.................................................................................................................................... 54
1.6.3. CRITERIOS ...................................................................................................................................... 54
1.7. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO ........................................................ 55
1.7.2. PROPÓSITO.................................................................................................................................... 55
1.7.3. CRITERIOS ...................................................................................................................................... 55
1.8. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO – RÉGIMEN DE SERVICIO CIVIL ........ 56
1.8.1. RESUMEN ...................................................................................................................................... 56
1.8.2. PROPÓSITO.................................................................................................................................... 57
1.8.3. CRITERIOS ...................................................................................................................................... 57
1.9. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO - CALIDAD DEL SERVIDOR PÚBLICO . 58
1.9.2. PROPÓSITO.................................................................................................................................... 58
1.9.3. CRITERIOS ...................................................................................................................................... 58
Guías para la implementación del CII - ONADICI vii

Contenido

1.10. ESTRUCTURA ORGANIZATIVA ..................................................................................................................... 59
1.10.2. PROPÓSITO.................................................................................................................................... 59
1.10.3. CRITERIOS ...................................................................................................................................... 59
1.11. ESTRUCTURA ORGANIZATIVA – GESTIÓN POR PROCESOS .......................................................................... 60
1.11.1. RESUMEN ...................................................................................................................................... 60
1.11.2. PROPÓSITO.................................................................................................................................... 60
1.11.3. CRITERIOS ...................................................................................................................................... 60
1.12. DELEGACIÓN DE AUTORIDAD ..................................................................................................................... 61
1.12.2. PROPÓSITO.................................................................................................................................... 61
1.12.3. CRITERIOS ...................................................................................................................................... 61
1.13. ACCIONES COORDINADAS .......................................................................................................................... 62
1.13.2. PROPÓSITO.................................................................................................................................... 62
1.13.3. CRITERIOS ...................................................................................................................................... 62
1.14. ACCIONES COORDINADAS – RELACIÓN CON LA PLANIFICACIÓN ................................................................. 63
1.14.2. PROPÓSITO.................................................................................................................................... 63
1.14.3. CRITERIOS ...................................................................................................................................... 63
1.15. COMPROMISO DEL PERSONAL CON EL CONTROL INTERNO ........................................................................ 63
1.15.2. PROPÓSITO.................................................................................................................................... 64
1.15.3. CRITERIOS ...................................................................................................................................... 64
1.16. ADHESIÓN A LAS POLÍTICAS........................................................................................................................ 65
1.16.2. PROPÓSITO.................................................................................................................................... 65
1.16.3. CRITERIOS ...................................................................................................................................... 65
1.17. AMBIENTE DE CONFIANZA ......................................................................................................................... 66
1.17.2. PROPÓSITO.................................................................................................................................... 66
Guías para la implementación del CII - ONADICI viii

Contenido
1.17.3. CRITERIOS ...................................................................................................................................... 66

1.18. AUDITORÍA INTERNA .................................................................................................................................. 67
1.18.2. PROPÓSITO.................................................................................................................................... 67
1.18.3. CRITERIOS ...................................................................................................................................... 67
1.19. AUDITORÍA INTERNA - DEFINICIÓN Y PROPÓSITO ....................................................................................... 68
1.19.1. CONCEPTO DE AUDITORÍA INTERNA (AI)........................................................................................ 68
1.19.2. PROPÓSITO.................................................................................................................................... 68
1.19.3. CRITERIOS ...................................................................................................................................... 68
1.20. AUDITORÍAS INTERNAS - ORGANIZACIÓN Y FUNCIONAMIENTO ................................................................. 69
1.20.1. ORGANIZACIÓN Y FUNCIONES ....................................................................................................... 69
1.20.2. PROPÓSITO.................................................................................................................................... 69
1.20.3. CRITERIOS ...................................................................................................................................... 69
1.21. AUDITORÍA INTERNA - ASEGURAMIENTO DEL CII ....................................................................................... 71
1.21.1. ASEGURAMIENTO DEL CONTROL INTERNO .................................................................................... 71
1.21.2. PROPÓSITO.................................................................................................................................... 71
1.21.3. CRITERIOS ...................................................................................................................................... 71
Guía 2 “EVALUACIÓN Y GESTIÓN DE RIESGOS”...........................................................................73
EVALUACIÓN Y GESTIÓN DE RIESGOS ........................................................................................ 75

2.1. GESTIÓN DE RIESGOS INSTITUCIONALES .................................................................................................... 80
2.1.2. PROPÓSITO.................................................................................................................................... 81
2.1.3. CRITERIOS ...................................................................................................................................... 83
2.2. ROLES Y RESPONSABILIDADES DE LA GESTIÓN DE RIESGOS ........................................................................ 89
2.2.1. MÁXIMA AUTORIDAD INSTITUCIONAL (MAI) ................................................................................. 90
2.2.2. MÁXIMA AUTORIDAD EJECUTIVA (MAE) ........................................................................................ 90
2.2.3. RESPONSABLES JERÁRQUICOS DE LAS ÁREAS Y UNIDADES DE LA ENTIDAD ................................... 92
2.2.4. RESPONSABLE DE COORDINACIÓN Y SEGUIMIENTO DE LA GESTIÓN DE RIESGOS .......................... 93
2.2.5. COMITÉ DE RIESGOS (COR) ............................................................................................................ 95
2.2.6. UNIDAD DE AUDITORÍA INTERNA .................................................................................................. 95
2.3. PLANIFICACIÓN .......................................................................................................................................... 96
Guías para la implementación del CII - ONADICI ix

Contenido
2.3.2. PROPÓSITO.................................................................................................................................... 97
2.3.3. CRITERIOS ...................................................................................................................................... 98
2.3.5. REFERENCIA LEGAL .......................................................................................................................101
2.4. INDICADORES MENSURABLES DE DESEMPEÑO .........................................................................................101
2.5. DIVULGACIÓN DE LOS PLANES...................................................................................................................101
2.5.1. RESUMEN DE LA NOGECI ..............................................................................................................101
2.5.2. PROPÓSITO...................................................................................................................................101
2.5.3. CRITERIOS .....................................................................................................................................101
2.5.4. PRÁCTICAS OBLIGATORIAS DE IMPLEMENTACIÓN ........................................................................101
2.6. REVISIÓN DE LOS OBJETIVOS .....................................................................................................................102
2.6.1. RESUMEN DE LAS NOGECI ............................................................................................................102
2.6.2. PROPÓSITO...................................................................................................................................102
2.6.3. CRITERIOS .....................................................................................................................................103
2.7. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS ............................................................................................104
2.7.2. PROPÓSITO...................................................................................................................................104
2.7.3. CRITERIOS .....................................................................................................................................104
2.7.3.1. IDENTIFICACIÓN DE EVENTOS QUE AFECTAN LOS OBJETIVOS INSTITUCIONALES ......................105
2.7.3.2. EVALUACIÓN Y VALORIZACIÓN DE LOS RIESGOS.......................................................................105
2.7.3.3. DETERMINACIÓN DE INDICADORES CLAVES DE RIESGO (ICR) ...................................................106
2.7.3.4. RESPUESTA A LOS RIESGOS.......................................................................................................106
2.7.5. REFERENCIAS LEGALES..................................................................................................................109
Guía 3 “ACTIVIDADES DE CONTROL” ....................................................................................... 111
ACTIVIDADES DE CONTROL ...................................................................................................... 113

3.1. PRÁCTICAS Y MEDIDAS DE CONTROL .........................................................................................................113
3.1.2. PROPÓSITO...................................................................................................................................118
3.1.3. CRITERIOS .....................................................................................................................................119
3.2. CLASIFICACIÓN DE ACTIVIDADES DE CONTROL ..........................................................................................121
3.2.2. PROPÓSITO...................................................................................................................................121
3.2.3. CRITERIOS .....................................................................................................................................122
3.3. ACTIVIDADES DE CONTROL........................................................................................................................122
3.4. CONTROLES SOBRE LOS SISTEMAS ADMINISTRATIVOS Y OPERATIVOS ......................................................122
3.4.1.1. CONTROL INTEGRADO Y AUTOMATIZACIÓN DE CONTROLES ....................................................123
Guías para la implementación del CII - ONADICI x

Contenido
3.4.1.2. ANÁLISIS DE COSTO/BENEFICIO ................................................................................................123

3.4.1.3. RESPONSABILIDAD DELIMITADA ...............................................................................................124
3.4.1.4. INSTRUCCIONES POR ESCRITO ..................................................................................................124
3.4.1.5. SEPARACIÓN DE FUNCIONES INCOMPATIBLES .........................................................................124
3.4.1.6. AUTORIZACIÓN PREVIA O APROBACIÓN DE TRANSACCIONES Y OPERACIONES ........................124
3.4.1.7. DOCUMENTACIÓN DE PROCESOS Y TRANSACCIONES ...............................................................125
3.4.1.8. SUPERVISIÓN CONSTANTE........................................................................................................125
3.4.1.9. CLASIFICACIÓN Y REGISTRO OPORTUNO ..................................................................................125
3.4.1.10. SISTEMA CONTABLE Y PRESUPUESTARIO .................................................................................125
3.4.1.11. ACCESO A LOS ACTIVOS Y REGISTROS ......................................................................................125
3.4.1.12. REVISIONES DE CONTROL ........................................................................................................126
3.4.1.13. CONCILIACIÓN PERIÓDICA DE REGISTROS ...............................................................................126
3.4.1.14. INVENTARIOS PERIÓDICOS ......................................................................................................126
3.4.1.15. ARQUEOS INDEPENDIENTES ....................................................................................................126
3.4.1.16. FORMULARIOS UNIFORMES ....................................................................................................126
3.4.1.17. ROTACIÓN DE LABORES ...........................................................................................................126
3.4.1.18. DISFRUTE OPORTUNO DE VACACIONES ...................................................................................126
3.4.1.19. CAUCIONES Y FIANZAS ............................................................................................................127
3.4.1.20. DISPOSITIVOS DE CONTROL Y SEGURIDAD ...............................................................................127
3.4.2. PROPÓSITO...................................................................................................................................128
3.4.3. CRITERIOS .....................................................................................................................................128
3.5. CONTROLES SOBRE LOS SISTEMAS DE TECNOLOGÍA INFORMÁTICA ..........................................................131
3.5.1.1. ACTIVIDADES DE CONTROL GENERALES....................................................................................131
3.5.1.2. ACTIVIDADES DE CONTROL PARA LA APLICACIÓN.....................................................................133
3.5.2. PROPÓSITO...................................................................................................................................133
3.5.3. CRITERIOS .....................................................................................................................................133
3.6. CONTROLES DE GESTIÓN ...........................................................................................................................136
3.6.1.1. ANÁLISIS EFECTUADOS POR LA ALTA GERENCIA .......................................................................136
3.6.1.2. INDICADORES CLAVE DE DESEMPEÑO ......................................................................................136
3.6.2. PROPÓSITO...................................................................................................................................136
3.6.3. CRITERIOS .....................................................................................................................................137
3.7. ANÁLISIS DE LAS ACTIVIDADES DE CONTROL EXISTENTES ..........................................................................140
3.7.2. PROPÓSITO...................................................................................................................................140
3.7.3. CRITERIOS .....................................................................................................................................140
3.8. MANUALES DE PROCEDIMIENTOS .............................................................................................................142
Guías para la implementación del CII - ONADICI xi

Contenido

3.8.2. PROPÓSITO...................................................................................................................................142
3.8.3. CRITERIOS .....................................................................................................................................143
Guía 4 “INFORMACIÓN Y COMUNICACIÓN” ............................................................................. 147
INFORMACIÓN Y COMUNICACIÓN ........................................................................................... 149

4.1. OBTENCIÓN Y COMUNICACIÓN DE INFORMACIÓN EFECTIVA ....................................................................153
4.1.2. PROPÓSITO...................................................................................................................................153
4.1.3. CRITERIOS .....................................................................................................................................153
4.2. CALIDAD Y SUFICIENCIA DE LA INFORMACIÓN ..........................................................................................154
4.2.2. PROPÓSITO...................................................................................................................................154
4.2.3. CRITERIOS .....................................................................................................................................154
4.3. SISTEMAS DE INFORMACIÓN .....................................................................................................................156
4.3.2. PROPÓSITO...................................................................................................................................156
4.3.3. CRITERIOS .....................................................................................................................................156
4.4. CONTROLES SOBRE SISTEMAS DE INFORMACIÓN ......................................................................................157
4.4.2. PROPÓSITO...................................................................................................................................157
4.4.3. CRITERIOS .....................................................................................................................................157
4.5. CANALES DE COMUNICACIÓN ABIERTOS ...................................................................................................159
4.5.2. PROPÓSITO...................................................................................................................................159
4.5.3. CRITERIOS .....................................................................................................................................159
4.6. ARCHIVO INSTITUCIONAL ..........................................................................................................................160
4.6.2. PROPÓSITO...................................................................................................................................160
4.6.3. CRITERIOS .....................................................................................................................................160
Guías para la implementación del CII - ONADICI xii

Contenido
Guía 5 “SUPERVISIÓN Y MONITOREO”..................................................................................... 163
SUPERVISIÓN Y MONITOREO ................................................................................................... 165

5.1. SUPERVISIÓN Y MONITOREO DEL CONTROL INTERNO ...............................................................................168
5.1.2. PROPÓSITO...................................................................................................................................168
5.1.3. CRITERIOS .....................................................................................................................................168
5.2. EVALUACIÓN DEL DESEMPEÑO INSTITUCIONAL ........................................................................................169
5.2.2. PROPÓSITO...................................................................................................................................170
5.2.3. CRITERIOS .....................................................................................................................................170
5.3. REPORTE DE DEFICIENCIAS ........................................................................................................................171
5.3.2. PROPÓSITO...................................................................................................................................172
5.3.3. CRITERIOS .....................................................................................................................................172
5.4. TOMA DE ACCIONES CORRECTIVAS ...........................................................................................................173
5.4.2. PROPÓSITO...................................................................................................................................173
5.4.3. CRITERIOS .....................................................................................................................................173
5.5. ASESORÍA EXTERNA PARA LA SUPERVISIÓN Y MONITOREO DEL CONTROL INTERNO .................................174
5.5.2. PROPÓSITO...................................................................................................................................174
5.5.3. CRITERIOS .....................................................................................................................................175
5.6. CUMPLIMIENTO DE LOS ESTÁNDARES INTERNACIONALES DE AUDITORIA INTERNA ..................................175
5.6.2. PROPÓSITO...................................................................................................................................175
5.6.3. CRITERIOS .....................................................................................................................................175
ANEXOS GUÍA 0 “INTRODUCCIÓN GENERAL” ........................................................................... 177
ANEXOS GUÍA 1 “AMBIENTE DE CONTROL” ............................................................................. 199
Guías para la implementación del CII - ONADICI xiii

Contenido
ANEXOS GUÍA 2 “EVALUACIÓN Y GESTIÓN DE RIESGOS” ........................................................... 231
ANEXOS GUÍA 3 “ACTIVIDADES DE CONTROL” ......................................................................... 271
ANEXOS GUÍA 4 “INFORMACIÓN Y COMUNICACIÓN” ............................................................... 291
ANEXOS GUÍA 5 “SUPERVISIÓN Y MONITOREO” ....................................................................... 299
Glosario ............................................................................................................................... 341
Guías para la implementación del CII - ONADICI xiv

Contenido
ÍNDICE DE ANEXOS
ANEXO 1. BOLETIN TRIMESTRAL DE PROMOCIÓN DEL CONTROL INTERNO INSTITUCIONAL (CII)179

ANEXO 2. PROGRAMA DEL TALLER DE DIFUSIÓN DEL CONTROL INTERNO INSTITUCIONAL (CII)180
ANEXO 3. MODELO PROPUESTO DE ACUERDO DE COMPROMISO CON EL CÓDIGO DE CONDUCTA ÉTICA
183
ANEXO 4. INFORMACIÓN PARA LOS USUARIOS EN LA WEB ...................................................... 184
ANEXO 5. ESTRUCTURA LEGAL Y NORMATIVA INSTITUCIONAL ................................................. 185
ANEXO 6. INFORMES Y FECHAS DE APROBACIÓN ...................................................................... 186
ANEXO 7. INFORME AUTOEVALUACIÓN DEL CII ........................................................................ 187
ANEXO 8. PREPARAR, AUTORIZAR, APROBAR Y REGISTRAR ...................................................... 188
ANEXO 9. SERVICIOS OFRECIDOS ............................................................................................... 189
ANEXO 10. REPORTES DE GESTIÓN POR PROCESOS ................................................................ 190
ANEXO 11. SERVICIOS PRESTADOS, SU PROMOCIÓN Y LA PERCEPCIÓN DEL USUARIO ........... 191
ANEXO 12. PUNTOS CLAVE PARA TRANSACIONES Y OPERACIONES IMPORTANTES ................ 192
ANEXO 13. ESQUEMA DEL TALLER DE AUTOEVALUACIÓN DEL CII........................................... 193
ANEXO 14. INFORME DE EVALUACIÓN SEPARADA DEL CII POR LA UAI ................................... 194
ANEXO 15. INFORMES DE AUTOEVALUACIÓN DE LAS UNIDADES DE LA ENTIDAD .................. 195
ANEXO 16. POLÍTICA SOBRE RESPONSABILIDAD COMPARTIDA DEL CII ................................... 197
ANEXO 17. ESTRUCTURA COMPLETA DEL CII ........................................................................... 198
ANEXO 18. DETERMINACIÓN DE LOS PROCESOS CLAVE .......................................................... 201
ANEXO 19. ACTO DE JURAMENTACIÓN COMITÉ DE CONTROL INTERNO INSTITUCIONAL (COCOIN)
203
ANEXO 20. LINEAMIENTOS GENERALES PARA EL REGLAMENTO DE ORGANIZACIÓN Y
FUNCIONAMIENTO DEL COCOIN ................................................................................................... 204
ANEXO 21. PLAN ANUAL DE TRABAJO DEL COCOIN. ................................................................ 211
ANEXO 22. POLÍTICA DE CONTROL INTERNO INSTITUCIONAL. ................................................ 212
ANEXO 23. AMBIENTE DE CONTROL INTERNO – INSTALACIONES Y SERVICIOS. ...................... 213
ANEXO 24. DELEGACIÓN DE AUTORIDAD - FORMATO RESUMIDO. ......................................... 214
FUNCIONAMIENTO DEL COIN ........................................................................................................ 215
ANEXO 26. ACTA DE COMPROMISO PERSONAL PARA LA IMPLEMENTACIÓN DEL SISTEMA DE
CONTROL INTERNO ....................................................................................................................... 220
ANEXO 27. ADHESIÓN A LAS POLÍTICAS - PARTICIPACIÓN Y COMUNICACIÓN. ....................... 221
ANEXO 28. AUDITORÍA INTERNA – SEGUIMIENTO A LAS RECOMENDACIONES. ...................... 222
ANEXO 29. FORMULACIÓN DE POLÍTICAS INSTITUCIONALES .................................................. 223
ANEXO 30. MODELO DEL PLAN DE SENSIBILIZACIÓN Y CAPACITACIÓN EN CONTROL INTERNO
INSTITUCIONAL ............................................................................................................................. 224
ANEXO 31. EJEMPLOS DE CÁLCULO DEL TIPO DE UAI .............................................................. 225
FUNCIONAMIENTO DEL COMITÉ DE AUDITORÍA ........................................................................... 226
Guías para la implementación del CII - ONADICI xv

Contenido
ANEXO 33. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS. ....................................................... 233

ANEXO 34. METODOLOGÍA DE GRUPOS DE TRABAJO DE AUTOEVALUACIÓN DE RIESGOS ..... 242
ANEXO 35. EJEMPLO DE CUESTIONARIO DE AUTOEVALUACIÓN DE RIESGOS ......................... 245
ANEXO 36. FACTORES CAUSANTES DE RIESGOS ...................................................................... 246
ANEXO 37. BASE DE DATOS DE EVENTOS DE PÉRDIDA ............................................................ 249
ANEXO 38. FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y VALORIZACIÓN DE RIESGOS .... 251
ANEXO 39. EJEMPLO DE LLENADO DEL FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y
VALORIZACIÓN DE RIESGOS .......................................................................................................... 254
ANEXO 40. MAPA DE RIESGO: REDUCCIÓN DEL RIESGO INHERENTE Y RIESGO RESIDUAL ...... 256
ANEXO 41. MAPA DE RIESGOS ................................................................................................. 257
ANEXO 42. METODOLOGÍAS PARA LA VALORIZACIÓN DE LOS RIESGOS .................................. 258
ANEXO 43. MAPA DE RIESGOS INCLUYENDO EL NIVEL DE RIESGO ACEPTADO ........................ 264
ANEXO 44. MATRIZ DE RIESGOS .............................................................................................. 265
ANEXO 45. EJEMPLO DE EVALUACIÓN Y VALORIZACIÓN DE LOS RIESGOS .............................. 267
ANEXO 46. RELACIÓN GENERAL ENTRE OBJETIVOS DE CONTROL, RIESGOS ASOCIADOS Y ACTIVIDADES
DE CONTROL SUGERIDAS .............................................................................................................. 273
ANEXO 47. RELACIÓN ESPECÍFICA ENTRE OBJETIVOS DEL PROCESO, RIESGOS IDENTIFICADOS Y
ACTIVIDADES DE CONTROL EXISTENTES Y SUGERIDAS (TOMADO DEL ANEXO 13 DE LA GUÍA 2
EVALUACIÓN DE RIESGOS) ............................................................................................................ 277
ANEXO 48. MATRIZ DE SEGREGACIÓN DE FUNCIONES ............................................................ 280
ANEXO 49. ESTRUCTURA SUGERIDA PARA PROCEDIMIENTOS DOCUMENTADOS ................... 281
ANEXO 50. CONTROLES SOBRE SISTEMAS ADMINISTRATIVOS Y OPERATIVOS ........................ 282
ANEXO 51. INFORMACIÓN PÚBLICA – LEY DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN293
ANEXO 52. MODELO SUGERIDO DE ESTRUCTURA DEL PLAN ESTRATÉGICO DE TECNOLOGÍAS DE LA
INFORMACIÓN .............................................................................................................................. 295
ANEXO 53. INSTRUCTIVO PARA AUTOEVALUAR EL CONTROL INTERNO INSTITUCIONAL ........ 301
ANEXO 54. FORMATO SUGERIDO DEL INFORME DE RESULTADOS DE AUTOEVALUACIÓN DEL CONTROL
INTERNO........................................................................................................................................ 310
ANEXO 55. CUESTIONARIO PARA AUTOEVALUAR EL CONTROL INTERNO INSTITUCIONAL ..... 322
ANEXO 56. EVALUACIÓN DE ACTIVIDADES DE CONTROL VIGENTES ........................................ 333
ANEXO 57. MATRIZ DE EVALUACIÓN DE LAS ACTIVIDADES DE CONTROL ............................... 335
ANEXO 58. MODELO DE PLAN DE ACCIÓN PARA DEFICIENCIAS REPORTADAS (PADE) ............ 337
ANEXO 59. MODELO PROPUESTO DE ESTRUCTURA DE PLAN ANUAL DE IMPLEMENTACIÓN DE
MEJORAS (PAIME) ......................................................................................................................... 338
ANEXO 60. ÍNDICE DEL CONTENIDO DE LAS NIEPAI ................................................................. 339
Guías para la implementación del CII - ONADICI xvi

Contenido
ÍNDICE DE FIGURAS
Figura 1 Jerarquía del sistema de control interno ........................................................................... 20

Figura 2 Mejoras en el marco integrado de control interno 2013 ................................................... 24
Figura 3 Cambios en cubo de COSO ................................................................................................ 25
Figura 4 Principios que soportan los componentes del control interno .......................................... 25
Figura 5 Modelo de gestión de las entidades del Estado................................................................. 26
Figura 6 Organigrama típico de una entidad con órgano de dirección unipersonal ........................ 27
Figura 7 Organigrama típico de una entidad con órgano de dirección colegiado............................ 28
Figura 8 Modelo de implementación de mejoras ............................................................................ 35
Figura 9 COSO 2013: entorno o ambiente de control ..................................................................... 39
Figura 10 COSO 2013: principios del ambiente de control .............................................................. 39
Figura 11 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos
del Marco Rector del CII de los Recursos Públicos en el componente ambiente de control (1 de 5)40
Figura 16 COSO 2013: evaluación de riesgos................................................................................... 75
Figura 17 COSO 2013: principios de la evaluación de riesgos.......................................................... 75
Figura 18 Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco
Rector del CII de los Recursos Públicos en el componente evaluación y gestión de riesgos (1 de 4).............. 76
Figura 22 Apetito, tolerancia y capacidad de riesgo ........................................................................ 83
Figura 23 Exposición al riesgo en el tiempo .................................................................................... 85
Figura 24 Ejemplo de apetito, tolerancia y capacidad de riesgo ..................................................... 86
Figura 25 COSO 2013: actividades de control................................................................................ 113
Figura 26 COSO 2013: principios de las actividades de control ..................................................... 114
Rector del CII de los Recursos Públicos en el componente actividades de control (1 de 3) ........................ 115
Guías para la implementación del CII - ONADICI xvii

Contenido
Figura 30 COSO 2013: información y comunicación ...................................................................... 149
Figura 31 COSO 2013: principios de la información y comunicación ............................................. 149
Rector del CII de los Recursos Públicos en el componente información y comunicación (1 de 3) ............... 150
Figura 35 COSO 2013: supervisión y monitoreo ............................................................................ 165
Figura 36 COSO 2013: principios de la información y comunicación ............................................. 165
del Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (1 de 2)166
del Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (2 de 2)167
Figura 39 Niveles de procesos ....................................................................................................... 234
Figura 40 Mapa de procesos: tipos de procesos ........................................................................... 234
Figura 41 Mapa de procesos de nivel 0 ......................................................................................... 235
Guías para la implementación del CII - ONADICI xviii

Contenido
ÍNDICE DE TABLAS
Tabla 1 Relación entre los subcomponentes de la guía con los componentes y principios del COSO ERM 2017
........................................................................................................................................................ 81
Tabla 2 Actividades de control administrativas y operativas ......................................................... 127
Tabla 3 Principales procesos de la gestión de los sistemas y tecnologías de la información ......... 132
Tabla 4 Requisitos o características de la información generada .................................................. 134
Tabla 5 Criterios de control para la información generada ........................................................... 135
Tabla 6 Cuadro de indicadores y sus acciones ............................................................................... 139
Tabla 7 Ejemplo de escala de medida cualitativa de la probabilidad ............................................ 261
Tabla 8 Ejemplo de escala de medida cualitativa del impacto ...................................................... 261
Tabla 9 Ejemplo de escala cuantitativa de probabilidad ............................................................... 262
Tabla 10 Ejemplo de escala cuantitativa de impacto..................................................................... 262
Guías para la implementación del CII - ONADICI xix

Guías para la implementación del CII - ONADICI xx
Acuerdo Administrativo
ACUERDO ADMINISTRATIVO DIRECCIÓN EJECUTIVA ONADICI 002/2018
Guías para la implementación del CII - ONADICI xxi

Guías para la implementación del CII - ONADICI xxii
Presentación
PRESENTACIÓN DE LAS GUÍAS PARA LA IMPLEMENTACIÓN DEL

La Oficina Nacional de Desarrollo Integral del Control Interno (ONADICI), dentro del ámbito de su
competencia, presenta las Guías para la implementación del Control Interno Institucional en el marco del
SINACORP 2da. Edición. La actualización ha seguido los lineamientos establecidos por los marcos rectores
emitidos por el Tribunal Superior de Cuentas y ha adoptado el estándar internacional de los informes
Control Interno – Marco Integrado 2013 y Enterprise Risk Management—Integrating with Strategy and
Performance 2017 del Committee of Sponsoring Organizations of the Treadway Commission.
Las guías son de carácter general organizada en sus cinco componentes: (i) Guía 0 Introducción general,
(ii) Guía 1 Ambiente de control, (iii) Guía 2 Evaluación y gestión de riesgos, (iv) Guía 3 Actividades de
control, (v) Guía 4 Información y comunicación, y (vi) Guía 5 Supervisión y monitoreo. Adicionalmente,
contiene anexos, figuras y tablas que facilitan su uso y comprensión.
La aplicación y adaptación de las guías por cada entidad debe hacerse de acuerdo a la naturaleza, escala
de operaciones, riesgos y enmarcada en su ley constitutiva y otras normativas vigentes en virtud que el
control interno es una política de Estado para una adecuada administración de los recursos públicos, el
cumplimiento de los objetivos institucionales y la mejora continua.
La implementación del control interno es el primer eslabón en la transparencia y el combate a la

corrupción.
La ONADICI, como ente técnico, socializa las guías con las Máximas Autoridades Ejecutivas de las
entidades, como responsable del control interno, y demás personal proveyendo la asistencia técnica
necesaria para su implementación con la coordinación del Comité de Control Interno Institucional
(COCOIN) y el aseguramiento por parte de la Unidad de Auditoría Interna.
La actualización de las guías fue posible gracias al apoyo financiero de la Unión Europea a través del
programa "Medidas de Apoyo al Desarrollo Institucional y la Gestión de Políticas Públicas" (MADIGEP).
La ONADICI autoriza a todas las entidades, programas y proyectos la reproducción de las guías para su uso
y adaptación por ser propiedad del Estado de Honduras, estando disponibles los archivos electrónicos en
la sección “Biblioteca Virtual” de la página web de la ONADICI.
El uso adecuado, permanente y sistemático de las guías y todos sus componentes contribuye al logro del
Plan de Nación y Visión de País.
Mayo 2018.
El establecimiento del control interno, más que una obligación, debe ser un estilo de vida del servidor
público en busca de la transparencia y la rendición de cuentas
Guías para la implementación del CII - ONADICI xxiii

Guías para la implementación del CII - ONADICI xxiv
Siglas utilizadas
SIGLAS UTILIZADAS
1. ACO Actividades de control

2. AMC Ambiente de control
3. CII Control interno institucional
4. CNA Consejo Nacional Anticorrupción
5. CNBS Comisión Nacional de Bancos y Seguros
6. COA Comité de Auditoría
7. COCOIN Comité de Control Interno
8. COIN Comité de Coordinación Institucional
9. COR Comité de Riesgos
10. COSO Committee of Sponsoring Organizations of the Treadway Commission
11. CPEP Comité de Probidad y Ética Pública
12. CPESP Comité de Probidad y Ética del Servidor Público
13. EGR Evaluación y gestión de riesgos
14. ERM Enterprise Risk Management (Gestión de Riesgos Empresariales)
15. ETOCI Equipo de Trabajo Operativo de Control Interno
16. GICII Guías para la Implementación del Control Interno Institucional en el
marco del SINACORP
17. IAIP Instituto de Acceso a la Información Pública
18. ICO Información y comunicación
19. ICR Indicadores claves de riesgo
20. IIA-G Instituto de Auditores Internos Global
21. LTAIP Ley de Transparencia y Acceso a la Información Pública
22. MAE Máxima Autoridad Ejecutiva
23. MARE-CII-RP Marco Rector del Control Interno Institucional de los Recursos Públicos
24. MAI Máxima Autoridad Institucional
25. NIEPAI Normas internacionales para el ejercicio profesional de la auditoría
interna
26. NOGECI Normas generales de control interno
27. NOGENAIG Normas generales de auditoría interna gubernamental
28. ONADICI Oficina Nacional de Desarrollo Integral del Control Interno
29. ONCAE Oficina Normativa de Contratación y Adquisiciones del Estado
30. PACC Plan Anual de Compras y Contrataciones
31. PADE Plan de acción para deficiencias reportadas
32. PAIME Plan anual de implementación de mejoras
33. PO Práctica obligatoria de implementación
34. POA Plan operativo anual
35. PRECI Preceptos de control interno
Guías para la implementación del CII - ONADICI xxv

Siglas utilizadas
36. PRICI Principios de control interno

37. SCI Sistema de control interno
38. SEFIN Secretaría de Finanzas
39. SGRI Sistema de gestión de riesgos institucionales
40. SIAFI Sistema de Administración Financiera Integrada
41. SINACORP Sistema Nacional de Control de los Recursos Públicos
42. SISERA Sistema de Seguimiento de Recomendaciones de Auditoría
43. SUM Supervisión y monitoreo
44. TSC Tribunal Superior de Cuentas
45. UAI Unidad de Auditoría Interna
Guías para la implementación del CII - ONADICI xxvi

GUÍAS PARA LA
IMPLEMENTACIÓN DEL
EN EL MARCO DEL SINACORP
Guía 0
“INTRODUCCIÓN GENERAL”
OFICINA NACIONAL DE DESARROLLO INTEGRAL DEL CONTROL INTERNO

(ONADICI)
Guía 0 “Introducción general”
Guías para la implementación del CII - ONADICI 2

0.1. INTRODUCCIÓN
El artículo 222 reformado de la Constitución de la República de Honduras, define al Tribunal Superior de

Cuentas (TSC) como el ente rector del sistema de control de los recursos públicos. Asimismo, el artículo 7
de la Ley Orgánica del Tribunal le confiere a éste la dirección, orientación, organización, ejecución y
supervisión del sistema de control que se regula en esa Ley.
Entre los sistemas administrativos con los que cuenta el Estado se tiene el Sistema Nacional de Control de
los Recursos Públicos (SINACORP), del cual el TSC es el ente rector, que es el conjunto de principios,
preceptos, normas generales, normas técnicas específicas y demás instrumentos y mecanismos que
regulan y desarrollan la dirección, orientación, organización, ejecución y supervisión de los controles
externo e interno de los recursos públicos.
El SINACORP cuenta con los siguientes componentes institucionales:
• El Tribunal Superior de Cuentas, como ente rector;

• La Oficina Nacional para el Desarrollo Integral del Control Interno (ONADICI), por parte del Poder
Ejecutivo;
• Las unidades de auditoría interna;
• Los sujetos pasivos de la Ley Orgánica del Tribunal.
La ONADICI es la entidad creada bajo Decreto Ejecutivo n.° PCM-26-2007, y que se constituye como un
organismo técnico especializado del Poder Ejecutivo, encargado del desarrollo integral de la función de
control interno institucional y que informa jerárquicamente al presidente de la República.
Entre sus atribuciones está el desarrollo, coordinación, promoción, capacitación, evaluación, información,
asesoría y seguimiento del proceso de control interno en las entidades del Estado que, en el marco de las
normas generales o rectoras de control interno del TSC, debe establecer cada institución u organismo bajo
el ámbito de su competencia para lograr los objetivos previstos en su Plan Estratégico Institucional (PEI),
Planes Operativos Anuales (POA) y en sus respectivos Presupuestos Institucionales.
Su objetivo es asegurar razonablemente la efectividad del proceso de control interno institucional (CII) en
todas las entidades del Poder Ejecutivo en procura del logro de una gestión de la Hacienda Pública eficaz,
eficiente, responsable, transparente y proba, en el marco de la Constitución y Leyes de la República e
instrumentos que las desarrollan.
El ámbito de competencia de la ONADICI está integrado por la administración pública centralizada,

instituciones desconcentradas e instituciones autónomas descentralizadas, programas y proyectos del
Poder Ejecutivo. Asimismo, puede interrelacionarse con el control interno de la administración municipal
y con el control interno de los Poderes Legislativo y Judicial, Ministerio Público y Procuraduría General de
la República. Sin embargo, esto no limita la aplicación proactiva de las guías por parte de otros órganos
del Estado.
Para cumplir con su objetivo, entre sus funciones está desarrollar normatividad técnica específica de
control interno en el marco de las normas generales o rectoras emitidas o que emita el TSC y coordinar su
efectiva aplicación por los entes públicos, teniendo en cuenta las normas técnicas del Sistema de

Administración Financiera Integrada (SIAFI) del sector público y de los demás sistemas administrativos que
emitan los respectivos órganos rectores.
Por consiguiente, y en cumplimiento de las funciones que le confieren las leyes de la República de
Honduras, la ONADICI presenta la segunda edición de las “Guías para la Implementación del Control
Interno Institucional en el marco del SINACORP” (GICII) con sus cinco componentes, que reúne
lineamientos, herramientas y métodos que permitirá realizar una adecuada implementación del CII en la
gestión de las operaciones de la entidad, con la finalidad de fortalecer la organización y contribuir al logro
de los objetivos institucionales.
0.1.1. BASE LEGAL Y DOCUMENTAL
Las GICII han sido emitidas con base en documentos nacionales e internacionales que le proporcionan un
sólido marco conceptual de las fuentes siguientes:
• Marco Rector del Control Interno Institucional de los Recursos Públicos (MARE-CII-RP)
• INTOSAI GOV 9100 Guía para las normas de control interno del sector público
• INTOSAI GOV 9130 Guía para las Normas del Control Interno del Sector Público - Información
adicional sobre la Administración de Riesgos de la Entidad
• Control Interno – Marco Integrado (COSO 2013)
• Enterprise Risk Management—Integrating with Strategy and Performance (COSO 2017)
• Control Interno – Marco Integrado (COSO 1992).
Cabe destacar que los tres últimos documentos son de aplicación internacional tanto a la actividad privada
como pública, sea esta con o sin fines de lucro.
0.1.2. COMPOSICIÓN Y CODIFICACIÓN
Las GICII están compuestas de la presente guía introductoria junto con las otras cinco por cada uno de los
componentes del CII, es decir:
• Guía 0 “Introducción general”

• Guía 1 “Ambiente de control”
• Guía 2 “Evaluación y gestión de riesgos”
• Guía 3 “Actividades de control”
• Guía 4 “Información y comunicación”
• Guía 5 “Supervisión y monitoreo”.

Para una identificación adecuada del lector de las GICII, se ha establecido hipervínculos y la codificación
por guía, componente y sus prácticas obligatorias de implementación:
• Guía 0: Introducción general

o 0.1
▪ 0.1.1
• 0.1.1.1
• …
• …
• Guía 5: Supervisión y monitoreo
o 5.1
▪ 5.1.1
• 5.1.1.1
• …
Para las prácticas obligatorias de implementación se ha establecido la siguiente codificación:
• Ambiente de control: AMC.1, …, AMC.64

• Evaluación y gestión de riesgos: EGR. 1, …, EGR.30
• Actividades de control: ACO.1, …, ACO.34
• Información y comunicación: ICO.1, …, ICO.36
• Supervisión y monitoreo: SYM.1, …, SYM.35.
0.1.3. TÉRMINOS GENÉRICOS UTILIZADOS
Las GICII hacen uso de términos genéricos que requieren ser puestos en el debido contexto para asegurar
una clara comprensión de su contenido en relación con lo dispuesto en otros documentos normativos.
Entre estos términos se tiene: entidad, servidor público, colaborador, responsable jerárquico e
implementar.
El término entidad es utilizado en el sentido más amplio para referirse a cualquier institución u
organización de la administración pública centralizada, instituciones desconcentradas e instituciones
autónomas descentralizadas, entre ellas las empresas públicas, así como los programas y proyectos del
Poder Ejecutivo.
El término servidor público debe entenderse en el sentido más restrictivo de su definición dado por la Ley
General de la Administración Pública en contraste con el sentido más amplio que le otorga la Constitución
de la República de Honduras. Es decir, servidor público es la persona natural que, independientemente de
su modalidad de contratación, ejerce funciones dentro de la administración pública nacional, tanto
centralizada, que incluye las entidades u órganos desconcentrados, como la descentralizada, que incluye
a las instituciones autónomas y dentro de ellas a los institutos públicos.
Para el caso específico de las empresas públicas, que al igual que los institutos públicos se encuentran
dentro de la administración pública descentralizada, se ha optado por utilizar el término colaborador para
aquella persona natural que, independientemente de su modalidad de contratación, presta sus servicios
para la empresa pública participando en sus procesos (estratégicos, operativos o de apoyo). El motivo para
distinguir y utilizar este término es estar acorde con la terminología actualmente utilizada en el ámbito
empresarial.

Se utiliza el término responsable jerárquico para referirse a aquel servidor público o colaborador de una
entidad que ocupa un cargo descrito en la estructura organizacional o en los manuales aprobados, distinto
a los de la Máxima Autoridad Institucional (MAI) y la Máxima Autoridad Ejecutiva (MAE), con capacidad
para tomar decisiones dentro de su ámbito de competencia y ejerciendo autoridad sobre otros servidores
públicos o colaboradores. Entre las diferentes denominaciones a las que hace referencia de forma genérica
se encuentran: directores, gerentes, jefes, supervisores, entre otros.
El verbo implementar se utiliza referirse a la puesta en funcionamiento o la aplicación de métodos,

medidas, actividades, entre otros, para llevar algo a cabo. Asimismo, es equivalente al término “implantar”
para todos los casos en que aparezca en referencia a otras normas del Estado.
0.2. OBJETIVOS
Las “Guías para la Implementación del Control Interno Institucional en el marco del SINACORP” (GICII)
tienen como objetivo proveer de lineamientos, herramientas y métodos a las entidades del Poder
Ejecutivo para la implementación de los componentes que conforman el sistema de control interno
establecido en Marco Rector del Control Interno Institucional de los Recursos Públicos (MARE-CII-RP).
Adicionalmente, también tienen los siguientes objetivos:
• Servir de referencia para la implementación o adecuación del CII, en concordancia con lo dispuesto
por el TSC a través del MARE-CII-RP
• Promover la implementación de una estructura uniforme en el CII que se adapte a la realidad de

cada entidad
• Desarrollar y exponer con mayor detalle y amplitud los conceptos establecidos en el MARE-CII-RP.
0.3. ÁMBITO DE APLICACIÓN
Las GICII deben ser utilizadas por los servidores públicos o colaboradores de las entidades comprendidas
en el ámbito de competencia del Poder Ejecutivo, bajo la supervisión de la Máxima Autoridad Institucional
(MAI), la Máxima Autoridad Ejecutiva (MAE) y responsables jerárquicos de las áreas y unidades de la
administración gubernamental o de quienes hagan sus veces.
Las GICII ofrecen una estructura y metodología enunciativa y orientadora con las prácticas obligatorias y
sugeridas que contienen, pero no limitativa en la especificidad de cada entidad. Es decir, las entidades
deben desarrollar la implementación del CII de manera homogénea en lo general y de acuerdo con su
naturaleza, cultura organizacional, complejidad operativa, atribuciones, circunstancias, presupuesto,
infraestructura, entorno normativo y nivel de automatización que le corresponde a cada entidad pública
en lo particular.
Debe destacarse que el contenido de las GICII no interfiere ni se contrapone con las disposiciones
establecidas en la legislación actual, ni limita la normativa dictada por las entidades competentes con
respecto a los sistemas administrativos del Estado, sino que la complementa al procurar el adecuado
establecimiento e implementación del sistema de control interno.

0.4. PROPÓSITO DEL CONTROL INTERNO INSTITUCIONAL
El control interno tiene como propósito asegurar razonablemente que la gestión se está llevando a cabo
de manera adecuada, resguardando los recursos de la entidad y evitando pérdidas por errores, fraude o
negligencia, como también detectando las desviaciones de lo planificado que se presenten y que puedan
afectar al cumplimiento de los objetivos de la entidad.
0.4.1. RESUMEN DE LAS NORMAS GENERALES DE CONTROL INTERNO (NOGECI)
“…tiene como propósito proporcionar los valores y criterios técnicos fundamentales en que debe basarse
el diseño y establecimiento del proceso de control interno de los recursos públicos al interior de los sujetos
pasivos de la Ley Orgánica del Tribunal Superior de Cuentas…”.
0.4.1.1. PROPÓSITO
Sistematizar el enfoque y contenido del marco del CII con base en la normativa emitida por el TSC,
organismo rector del control interno y externo, para la aplicación general, estructurada, técnica, uniforme
y ajustable del CII.
Ejemplo: entre los propósitos específicos del CII se pueden mencionar los siguientes:
• Crear herramientas para ayudar a mejorar la gestión

• Definir, diseñar, implementar, monitorear y mejorar los procesos operativos y administrativos de
la entidad
• Ayudar a garantizar razonablemente el logro de los objetivos institucionales
• Salvaguardar los activos de la entidad contra cualquier forma pérdida, daño, deterioro o uso
indebido
• Asegurar que las operaciones de la entidad se están llevando a cabo dentro del marco de legalidad
vigente
• Garantizar el adecuado flujo y calidad de la información tanto al interior como al exterior de la
entidad, asegurando la adecuada toma de decisiones
• Prevenir la ocurrencia de corrupción a través de la identificación de riesgos y establecimiento de
controles adecuados, entre los cuales está transparentar la gestión pública
• Instaurar un ambiente de confianza para los servidores públicos o colaboradores de la entidad con
sus responsables jerárquicos y autoridades, así como también para los usuarios y ciudadanos en
la gestión pública y sus entidades.
Para ello resulta fundamental llevar a cabo un buen proceso de comunicación realizando actividades de
difusión y actualización del CII dirigidas a los servidores públicos o colaboradores a través de conferencias,
boletines de prensa y publicaciones sobre el control interno (ver ANEXO 1 y ANEXO 2).
0.4.1.2. REFERENCIA LEGAL
MARE-CII-RP, artículo primero; introducción; título I, capítulo I; TSC-PRICI-07: AUTO REGULACIÓN y

DECLARACIÓN TSC-PRICI0701; TSCPRICI10: AUTO CONTROL y DECLARACIÓN TSCPRICI1001.

0.4.2. PRINCIPIOS RECTORES DEL CII
0.4.2.1. RESUMEN DE LA NOGECI
“Los principios de control interno son los valores fundamentales, de carácter convencional, en los cuales se
basa el control de los recursos públicos al interior de los sujetos pasivos de la Ley 10‐2002‐E, Orgánica del
Tribunal Superior de Cuentas…”.
0.4.2.2. PROPÓSITO
Establecer los atributos generales de carácter filosófico humanístico, que se derivan de los valores
universales de probidad pública, los cuales son permanentes y constituyen los referentes para aplicar al
diseño e implementación del control interno.
Ejemplo: aplicar los principios de control interno en el desarrollo de los manuales de procedimientos y en
la normativa que regula el funcionamiento y operación de las entidades públicas.
MARE-CII-RP, artículo primero; título I, capítulo II.
0.4.3. ÉTICA PÚBLICA
“La actitud permanente de los servidores públicos acorde con la integridad, rectitud y demás valores
morales aceptados por la sociedad, constituye la base principal en que se fundamenta el control interno
institucional de los recursos públicos.”
0.4.3.2. PROPÓSITO
Mantener una actitud de cumplimiento de valores de integridad que compete al fuero interno, siendo
obligatorio, constante y concordante con el Código de Conducta Ética del Servidor Público.
Ejemplo: aceptación, implementación y práctica de los valores de integridad por todos los niveles de las
entidades públicas, por medio de la suscripción del acuerdo de compromiso con el código de conducta
ética (ver ANEXO 3).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-01: ÉTICA PÚBLICA y DECLARACIÓN TSC-PRICI-01-01. Código de
Conducta Ética del Servidor Público.

0.4.4. TRANSPARENCIA
“El conjunto de medidas de información y comunicación sobre la gestión y el acceso a ellas, son parte de
los fundamentos en que descansa un adecuado control interno institucional de los recursos públicos.”
0.4.4.2. PROPÓSITO
Comunicar la información necesaria a los grupos de interés, entre ellos los usuarios internos y externos de
los bienes y servicios que produce la entidad, no solo a solicitud sino a iniciativa de la propia gestión, de
forma continua y oportuna.
Ejemplo:
• Divulgación de los informes de gestión, así como informes acerca de la ejecución física y
presupuestaria al interior de la entidad
• Información actualizada en la página web de la entidad para consulta de los usuarios directos y de
otros organismos públicos, privados y de la sociedad civil (ver ANEXO 4).
• Para los servicios brindados a los usuarios, se debe mantener un flujo de información adecuado
para poder medir y determinar el nivel de calidad de los servicios y la satisfacción de los usuarios
(ver ANEXO 11).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-02: ÉTICA PÚBLICA y DECLARACIÓN TSC-PRICI-02-01. Ley de
Transparencia y Acceso a la Información Pública.
0.4.5. LEGALIDAD
“El acatamiento o cumplimiento de las disposiciones legales que regulan los actos administrativos y la
gestión de los recursos públicos, así como de los reglamentos, normas, manuales, guías e instructivos que
las desarrollan, es el primer propósito del control interno institucional.”
0.4.5.2. PROPÓSITO
Mantener el apego a las disposiciones legales, reglamentarias y normativas demostrando conocimiento,

cumplimiento y actualización.
Ejemplo:
• Los manuales deben incluir la base legal que da sustento y se relaciona con su cumplimiento al
interior de la entidad

• Disponer y publicar el resumen de las normas aplicables y los documentos de la entidad e

incorporarlos en la página web institucional (ver ANEXO 5).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-03: LEGALIDAD y DECLARACIÓN TSC-PRICI-03-01.
0.4.6. RENDICIÓN DE CUENTA
“Responder o dar cuenta de la forma y resultados de la gestión pública, es un deber de los servidores
públicos en los diferentes niveles de responsabilidad de la estructura organizacional de los entes públicos,
cuyo adecuado cumplimiento es un propósito esencial del proceso de control interno institucional.”
Debe indicarse que la rendición de cuenta, además del sentido económico y financiero que siempre se
aplica, también debe incluirse los resultados de la gestión, es decir el logro de los objetivos encomendados.
0.4.6.2. PROPÓSITO
Informar y demostrar el cumplimiento de los objetivos asignados a la entidad de forma periódica,

completa, ininterrumpida y formal.
Ejemplo: informes de gestión institucional y de ejecución presupuestaria periódicos para uso interno y
para difusión interna y externa sobre el logro de los objetivos y el cumplimiento de las responsabilidades
asignadas a nivel institucional y aprobados por la MAE (ver ANEXO 6).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-04: RENDICIÓN DE CUENTA y DECLARACIÓN TSC-PRICI-04-01.
0.4.7. COMPLEMENTARIEDAD
“El proceso de control interno institucional es complementario del control externo independiente que le
corresponde ejercer al Tribunal Superior de Cuentas, TSC y viceversa.”
0.4.7.2. PROPÓSITO
Integrar los procedimientos de autocontrol en el proceso administrativo para la verificación posterior de

forma permanente, eficaz y especializada.
Ejemplo: informes de autoevaluación del CII aplicados por la entidad que son la base para el
establecimiento de los planes de mejora continua, la evaluación de la Unidad de Auditoría Interna (UAI) y
la auditoría externa por el TSC (ver ANEXO 7).

MARE-CII-RP, título I, capítulo II, TSC-PRICI-05: COMPLEMENTARIEDAD y DECLARACIÓN TSC-PRICI-05-01.
0.4.8. PREVENCIÓN
“Prevenir los fraudes, irregularidades y errores en la gestión de los recursos públicos y el riesgo del logro
de los objetivos y metas, es el propósito primordial del control interno institucional.”
0.4.8.2. PROPÓSITO
Identificar continua, oportuna y analíticamente los riesgos, preparando y disponiendo lo necesario

(acciones de control de la gestión) para minimizar la ocurrencia de eventos o situaciones adversas que
puedan afectar la gestión pública y el logro de los objetivos y metas.
Ejemplo: establecer por escrito en los documentos de gestión (manuales, reglamentos, entre otros) los
criterios clave de aplicación obligatoria en el autocontrol de las operaciones (ver ANEXO 8).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-06: PREVENCIÓN y DECLARACIÓN TSC-PRICI-06-01.
0.4.9. AUTORREGULACIÓN
“Los entes públicos deben tener un razonable nivel de autonomía regulatoria para el logro eficaz de los
objetivos y metas institucionales de la gestión a efecto de poder dar cuenta pública al respecto.”
0.4.9.2. PROPÓSITO
Disponer de criterios normativos específicos, claros y detallados propios para las actividades sustantivas
en la prestación de bienes y servicios.
Ejemplo: el contenido del CII específico de la entidad, enfocando los objetivos misionales y las actividades
de apoyo y asesoría para garantizar su cumplimiento (ver ANEXO 9).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-07: AUTO REGULACIÓN y DECLARACIÓN TSC-PRICI-07-01.

0.4.10. INTEGRACIÓN
“Las técnicas, mecanismos y elementos de control interno deben estar inmersos, integrados o incorporados
en los procedimientos de los sistemas administrativos, de tal forma que sean parte natural de los mismos.”
0.4.10.2. PROPÓSITO
Asegurar que el control interno forme parte de todas las actividades que se llevan a cabo para la prestación
de bienes y servicios, internos o externos, y para el logro de los objetivos institucionales, de los procesos
y áreas de la entidad.
Ejemplo: establecer por escrito en los documentos de gestión (manuales, reglamentos, procedimientos,
entre otros) los puntos clave de control para garantizar el éxito de las operaciones y el cumplimiento de
los objetivos; generar informes acerca del desempeño de los procesos desarrollados en la entidad (ver
ANEXO 10).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-08: INTEGRACIÓN y DECLARACIÓN TSC-PRICI-08-01.
0.4.11. INTEGRALIDAD
“El proceso de control interno de los recursos públicos es esencialmente integral pues su alcance debe cubrir
los aspectos de acatamiento de la legalidad, los de carácter contable financiero y los de carácter
operacional o de gestión.”
Procesos integrados a partir de la prestación del servicio y completados con la satisfacción del usuario; es
decir, participativos, abiertamente discutidos, consensuados y socializados entre todas las áreas.
Ejemplo: mesas de trabajo en donde se discuten todos los procesos con el fin de que estos queden
establecidos de acuerdo con las necesidades de las áreas, el logro de los objetivos y de la entidad en su
conjunto otorgándole así integralidad.
MARE-CII-RP, título I, capítulo II, TSC-PRICI-09: INTEGRALIDAD y DECLARACIÓN TSC-PRICI-09-01.

0.4.12. AUTOCONTROL
“El control interno de los recursos públicos es esencialmente un proceso de auto control aplicado por los
servidores públicos, bajo su propia responsabilidad, sobre las operaciones o actividades a su cargo.”
La alta dirección y sus colaboradores mediante un proceso de control, a iniciativa y por cuenta propia,
deben asegurar permanentemente que las transacciones y operaciones cumplan los criterios de legalidad,
veracidad, exactitud y propiedad.
Ejemplo: diseño de los procesos con base en los controles clave por área de responsabilidad para asegurar
su agilidad y garantizar la legalidad, veracidad y propiedad de las transacciones, operaciones y productos
(ver ANEXO 12).
El establecimiento de los controles se hace con base en los riesgos identificados y valorados, con criterio
técnico, y dentro del ámbito de competencia o participación de cada área en el proceso, y no como
comúnmente ocurre de un área controlando a otra.
MARE-CII-RP, título I, capítulo II, TSC-PRICI-10: AUTO CONTROL y DECLARACIÓN TSC-PRICI-10-01.
0.4.13. AUTOEVALUACIÓN
“Los propios servidores públicos de un grupo, unidad o área específica de un ente público, deben evaluar
la efectividad de los controles internos aplicados en la gestión de las operaciones a su cargo, por convicción
de la importancia y utilidad del control.”
Diagnosticar el funcionamiento del CII y asegurar el conocimiento actualizado de los operadores, de

manera imparcial, técnica, periódica y bajo aprobación de la MAE.
Ejemplo: el taller de autoevaluación del CII realizado por la administración para conocer y evaluar el
funcionamiento del CII en la entidad, y a partir de allí formular el plan de mejoras (ver ANEXO 7 y ANEXO
13).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-11: AUTO EVALUACIÓN y DECLARACIÓN TSC-PRICI-11-01.

0.4.14. EVALUACIÓN SEPARADA
“El ciclo del proceso de control interno se cierra con la evaluación de su efectividad, que permanentemente
y con criterio independiente de las operaciones debe efectuar la auditoría interna.”
Evaluar anualmente el funcionamiento del CII y emitir el dictamen independiente e informe de resultados,
de manera completa y con criterio profesional, objetivo, amplio y proactivo e informado a la MAE para la
toma de decisiones.
Ejemplo: informe de evaluación del CII a la entidad aplicado por la UAI, incluye las recomendaciones para
mejorar y comparar sus resultados con los del informe de autoevaluación de la administración activa, y en
el caso que las diferencias de calificación entre ambas evaluaciones superen ± 5% deben ser objeto de
análisis (ver ANEXO 14).
MARE-CII-RP, título I, capítulo II, TSC-PRICI-12: EVALUACIÓN SEPARADA y DECLARACIÓN TSC-PRICI-12-01.
0.5. PRECEPTOS DE CONTROL INTERNO INSTITUCIONAL (CII)
0.5.1. RESUMEN DE LA NOGECI
“Los preceptos de control interno de los recursos públicos son las condiciones o criterios, de carácter
técnico, a que debe ajustarse el ejercicio de la gestión pública institucional de dichos recursos.”
0.5.1.1. PROPÓSITO
Asegurar un nivel óptimo de calidad en el manejo, uso e inversión de los recursos públicos con base en
valores técnicos, una adecuada aplicación de la gerencia pública, y con un enfoque para resultados.
Ejemplo: la eficiencia en el manejo de los recursos de la entidad, en especial la ejecución presupuestaria y

el cumplimiento de los objetivos.
MARE-CII-RP, título I, capítulo III.

0.5.2. PLANEACIÓN
“El control interno de gestión de los entes públicos debe apoyarse en un sistema de planeación para
asegurar una gerencia pública por objetivos.”
0.5.2.2. PROPÓSITO
Asegurar de forma sistemática y periódica el uso eficiente y eficaz de los recursos disponibles para cumplir
los objetivos institucionales, de forma global, formalizada, ajustable y proactiva.
Ejemplo: el PEI, del cual se deben elaborar los POA, que determinan los objetivos y metas principales a
lograr en cada área por periodo y los indicadores a utilizar en la evaluación de la gestión de los resultados
alcanzados a lo largo de un año, utilizándose como base para la elaboración del correspondiente
presupuesto.
MARE-CII-RP, título I, capítulo III, TSC-PRECI-01: PLANEACIÓN y DECLARACIÓN TSC-PRECI-01-01.
0.5.3. EFICACIA
“Asegurar la eficacia de la gestión pública en el marco de los principios y preceptos rectores de control
interno es el objetivo primordial del control de los recursos públicos y de la gerencia pública.”
0.5.3.2. PROPÓSITO
Garantizar el cumplimiento de los objetivos misionales de la entidad con un enfoque oportuno en el

tiempo programado para resultados, haciendo evaluaciones periódicas sobre el logro de los objetivos.
Ejemplo: establecer los objetivos relevantes de cada área y en general de la entidad dentro del marco de
las acciones coordinadas del Comité de Coordinación Institucional (ver 1.13), registrar las operaciones y
evaluar el avance en sus logros físicos y financieros, a través del monitoreo periódico del POA y el uso de
indicadores.
MARE-CII-RP, título I, capítulo III, TSC-PRECI-02: EFICACIA y DECLARACIÓN TSC-PRECI-02-01.

0.5.4. ECONOMÍA
“La economía razonable de los recursos insumidos en el logro de los objetivos y metas programadas por
los entes públicos, es uno de los resultados propios de un adecuado proceso de control interno
institucional.”
0.5.4.2. PROPÓSITO
Cumplir los objetivos misionales de la entidad al mejor costo accesible, sin sacrificar los estándares de
calidad.
Ejemplo: compra de una vacuna de excelente calidad a un precio razonable, de acuerdo con los estándares
internacionales establecidos por la Organización Mundial de la Salud (OMS), estableciendo los controles
clave de su administración y aplicación al beneficiario final (grupo objetivo).
MARE-CII-RP, título I, capítulo III, TSC-PRECI-03: ECONOMÍA y DECLARACIÓN TSC-PRECI-03-01.
0.5.5. EFICIENCIA
“El nivel óptimo de eficiencia en la prestación de los servicios o en el logro de los objetivos, metas o
resultados presupuestados de un ente público, es el resultado final esperado del control interno de
gestión.”
0.5.5.2. PROPÓSITO
Optimizar la relación insumo-producto-resultado en el diseño y ejecución de los procesos de la entidad.
Ejemplo: dotación de recursos equitativos según sea la entidad tipo A, B o C, y el bien o servicio que presta,
para alcanzar los objetivos con la menor cantidad de recursos.
MARE-CII-RP, título I, capítulo III, TSC-PRECI-04: EFICIENCIA y DECLARACIÓN TSC-PRECI-04-01.

0.5.6. CONFIABILIDAD
“Asegurar la confiabilidad de la información financiera y operativa derivada de la gestión de los entes

públicos, es un propósito esencial del proceso de control interno institucional.”
0.5.6.2. PROPÓSITO
Sistematizar y difundir el contenido, períodos y detalles de la información con el fin de facilitar su manejo
y asegurar que sus fuentes son reales y fidedignas, orientadas a los informes de gestión sobre la producción
institucional, los cuales deben ser formales, amplios, periódicos, públicos, comparativos y de fácil
comprensión para los usuarios.
Ejemplo: disponer de registros formales y documentados como base para la preparación de la información
periódica, oportuna, comparativa y autorizada para la toma de decisiones; incluye mantener archivos
ordenados, actualizados y de fácil acceso para los usuarios.
MARE-CII-RP, título I, capítulo III, TSC-PRECI-05: CONFIABILIDAD y DECLARACIÓN TSC-PRECI-05-01.
0.5.7. PRIORIZACIÓN
“La programación de auditorías internas debe priorizarse hacia las áreas, operaciones y actividades más
importantes con relación al logro de los objetivos institucionales y dentro de éstas a las más críticas, débiles
o de mayor riesgo.”
0.5.7.2. PROPÓSITO
La UAI debe enfocarse hacia las actividades generadoras de valor agregado, de forma selectiva, oportuna,
con calidad, orientada a resultados relevantes y con evaluación de riesgos.
Ejemplo: evaluaciones de auditoría general o especial con base en riesgos establecidos en una matriz de
riesgos y priorizadas hacia la prestación de los servicios públicos, con base en la evaluación de los controles
internos y su importancia.
MARE-CII-RP, título I, capítulo III, TSC-PRECI-06: PRIORIZACIÓN y DECLARACIÓN TSC-PRECI-06-01.

0.5.8. CUIDADO DEL MEDIOAMBIENTE
0.5.8.1. PROPÓSITO
Asegurar que las actividades en la generación de productos de la entidad sean amigables con el
medioambiente, mediante la conservación de los recursos renovables y no renovables y minimizando los
efectos producidos por la contaminación y el cambio climático.
Ejemplo: reciclaje de papel, cartón y plásticos, ahorro de energía eléctrica y agua, disminución de
contaminante en aire y agua, siembra y cuidado de árboles, uso de tecnología, entre otros.
0.6. NORMAS GENERALES DE CONTROL INTERNO (NOGECI)
0.6.1. ASPECTOS BÁSICOS DE LAS NOGECI
El ejercicio de la competencia rectora en materia de control interno se materializa mediante la emisión de

normas generales de carácter técnico con los objetivos de:
0.6.1.1. PROPÓSITO
“i) Determinar las condiciones mínimas de calidad…
ii) Facilitar su adecuado desarrollo por el Poder Ejecutivo y, en general, por todos los entes pasivos…
iii) Garantizar que la aplicación de los controles internos se efectúe dentro de un marco uniforme en los
entes públicos...
iv) Lograr la complementariedad del control interno con el control externo.”
Ejemplo: implementación del SCI y el CII en cada entidad del Estado con base en la estructura de control
interno de cinco componentes (ambiente de control, evaluación y gestión de riesgos, actividades de
control, información y comunicación, y supervisión y monitoreo), tres categorías de objetivos y los niveles
organizacionales de la entidad, y de acuerdo con lo establecido en las GICII las normas emitidas por el TSC.
MARE-CII-RP, título II, capítulo I, 1. OBJETIVO DE LAS NORMAS.

0.6.2. COMPOSICIÓN Y CODIFICACIÓN
“…cada Norma General se acompaña de una explicación básica, que es parte integral de la Norma,
identificada con la palabra Declaración seguida del Código de la Respectiva Norma y de un número
consecutivo de dos dígitos para cada declaración; …”.
0.6.2.2. PROPÓSITO
Facilitar el manejo, ubicación y aplicación ordenada de las NOGECI y sus criterios técnicos en la
implementación del CII en la entidad. Asimismo, facilita la evaluación y comparación de sus avances entre
las entidades del Estado.
Ejemplo: “…en el caso de la primera Declaración sobre la primera Norma General del Capítulo II del
presente Título II el código es: Declaración TSC‐NOGECI II‐1.01‐01”.
MARE-CII-RP, título II, capítulo I, 2. COMPOSICIÓN Y CODIFICACIÓN.
0.7. NORMAS GENERALES SOBRE ASPECTOS BÁSICOS DE CONTROL INTERNO
0.7.1. DEFINICIÓN Y OBJETIVOS
“El control interno, de conformidad con el Artículo 2 de la Ley Orgánica del Tribunal Superior de Cuentas,
es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las
entidades públicas, con el propósito de asistir a los servidores públicos en la prevención de infracciones a
las Leyes y a la ética, con motivo de su gestión y administración de los bienes nacionales y alcanzar, de
conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos siguientes:
1) Procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios;
2) Proteger los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto
ilegal;
3) Cumplir las leyes, reglamentos y otras normas gubernamentales; y,
4) Elaborar información financiera válida y confiable presentada con oportunidad.”
El control interno como proceso forma parte de un sistema administrativo denominado SINACORP, tal
como se indica en el numeral 0.7.2, del cual el TSC es el ente rector, y cuyo propósito es asegurar
razonablemente el logro de los objetivos institucionales, a través de una metodología con base en
estándares internacionales de desempeño (mejores prácticas). Asimismo, en términos más específicos se
tiene que el Sistema de Control Interno (SCI), el cual cuenta con una estructura dentro de la cual ocurre el

proceso de control interno institucional (CII), es a su vez parte fundamental de lo que conocemos como
los Sistemas de Gestión de la Entidad. A continuación, la Figura 1 resume gráficamente lo anteriormente
señalado.
Figura 1
Jerarquía del sistema de control interno
Control interno institucional

(CII) (proceso)
Estructura de control interno

(componentes) (ver 0.7.1.)
Sistema de control interno

(SCI)
Sistemas de gestión de la
entidad
Elaboración: ONADICI, 2018.
0.7.1.2. PROPÓSITO
Armonizar el concepto de control interno institucional y los objetivos de la entidad, de forma integral, con
un enfoque a resultados sustantivos, a cumplimiento legal, eficiencia y eficacia. Es decir, asegurar
razonablemente el logro de los objetivos institucionales a través de una metodología con base en
estándares internacionales de desempeño (mejores prácticas).
Ejemplo: la MAE de cada entidad difunde el CII y autoevalúa sus operaciones (ver ANEXO 15).
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-01 DEFINICIÓN Y OBJETIVOS y DECLARACIÓN TSC-NOGECI
II-01.01.
0.7.2. RECTORÍA DEL CONTROL INTERNO
“El proceso de control interno institucional, como elemento del Sistema Nacional de Control de los Recursos
Públicos, está bajo la rectoría permanente del Tribunal Superior de Cuentas, para asegurar de manera
razonable la uniformidad en el desarrollo y aplicación de los componentes de dicho proceso y cumplir un

eficaz rol de complementariedad del control externo a posteriori del Tribunal Superior de Cuentas, en
función del adecuado recaudo manejo e inversión de los recursos y del logro de los objetivos
institucionales.”
0.7.2.2. PROPÓSITO
Establecer el ente rector y entidades competentes para regular en lo general y lo específico el CII con
criterios uniformes y de aplicación homogénea en cada entidad.
La ONADICI desarrolla, en el marco de las normas generales de control interno emitidas por el TSC, la
normativa técnica específica, la capacitación y la asesoría; todo ello a efecto de coadyuvar y velar por la
adecuada implementación del CII en las entidades en la aplicación del contenido de las Guías 0 a la 5.
Ejemplo: la emisión de las GICII.
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-02 RECTORÍA DEL CONTROL INTERNO y DECLARACIÓN
TSC-NOGECI II-02.01.
0.7.3. RESPONSABILIDAD POR EL CONTROL INTERNO
“La responsabilidad principal por el diseño, implantación, operación, evaluación, mejoramiento y

perfeccionamiento del control interno, tal como lo dispone el Artículo 47 de la Ley Orgánica del Tribunal
Superior de Cuentas, es inherente al principal titular y a los titulares subordinados de cada sujeto pasivo
de la Ley. Por su parte, las jefaturas en cada área de la institución deben velar porque las medidas de
control específicas relativas a su ámbito de acción sean suficientes y válidas, y porque los funcionarios
sujetos a su autoridad jerárquica las apliquen cumplidamente.”
0.7.3.2. PROPÓSITO
La MAE debe establecer los niveles de autoridad y responsabilidad compartida para el diseño, aplicación
y evaluación continua del CII, que posibilite la asignación de funciones en la generación de los productos
institucionales.
Ejemplo: la MAI emite una política titulada POLÍTICA SOBRE RESPONSABILIDAD COMPARTIDA DEL CII (ver
ANEXO 16).
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-03 RESPONSABILIDAD POR EL CONTROL INTERNO y
DECLARACIÓN TSC-NOGECI II-03.01.

0.7.4. COMPONENTES DEL PROCESO DE CONTROL INTERNO
“El proceso de control interno de los entes públicos, sujetos pasivos de la LOTSC, está integrado por los
siguientes componentes:
1) Ambiente de Control,
2) Evaluación o Valoración de Riesgos,
3)Actividades de Control,
4) Información y Comunicación, y
5) Monitoreo y Seguimiento.”
0.7.4.2. PROPÓSITO
Formalizar los componentes del CII para conocimiento de todos los servidores públicos o colaboradores,
de forma sistematizada y para su aplicación obligatoria en la entidad y para conocimiento de la ciudadanía.
Ejemplo: cada entidad integra los componentes del CII en su estructura de funcionamiento (ver ANEXO
17).
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-04 COMPONENTES DEL PROCESO DE CONTROL INTERNO
y DECLARACIÓN TSC-NOGECI II-04.01.
0.7.5. COMPONENTES ORGÁNICOS DEL CONTROL INTERNO
“En el proceso de control interno institucional intervienen dos componentes orgánicos: La Administración
Activa y la Auditoría Interna.”
0.7.5.2. PROPÓSITO
Identificar a los principales ejecutores del CII en las entidades públicas, así como la autoridad, funciones
específicas y resultados de la aplicación, y el correspondiente aseguramiento a cargo de la UAI.
Ejemplo:
• La administración activa está conformada por las leyes, reglamentos y otras disposiciones
aplicables, el personal disponible, los recursos materiales, financieros y tecnológicos, y lo más
importante, los bienes o servicios que produce o presta la entidad a la comunidad.

• La auditoría interna tiene la función de aseguramiento del diseño y funcionamiento del CII, así
como la asesoría en materia de control principalmente a la MAI, como también a la MAE y a otras
instancias de gestión.
MARE-CII-RP, título II, capítulo II, TSC-NOGECI II-05 COMPONENTES ORGÁNICOS DEL CONTROL INTERNO y
DECLARACIÓN TSC-NOGECI II-05.01.
0.8. MARCO CONCEPTUAL
Las GICII reúnen lineamientos, herramientas y métodos que permiten realizar una adecuada
implementación del CII en la gestión de las operaciones de la entidad, con la finalidad de fortalecer la
organización y contribuir al logro de sus objetivos, siempre de acuerdo con la naturaleza de sus actividades.
Las GICII han sido elaboradas con base en los siguientes documentos nacionales e internacionales que le
proporcionan su marco conceptual:
• Marco Rector del Control Interno Institucional de los Recursos Públicos (MARE-CII-RP), Tribunal
Superior de Cuentas de la República de Honduras, 2009
• INTOSAI GOV 9100 Guía para las normas de control interno del sector público, Organización
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), 2016
• INTOSAI GOV 9130 Guía para las Normas del Control Interno del Sector Público - Información
adicional sobre la Administración de Riesgos de la Entidad, Organización Internacional de
Entidades Fiscalizadoras Superiores (INTOSAI), 2007
• Control Interno – Marco Integrado, Committee of Sponsoring Organizations of the Treadway

Commission (COSO), 2013
• Enterprise Risk Management—Integrating with Strategy and Performance, Committee of

Sponsoring Organizations of the Treadway Commission (COSO), 2017
• Control Interno – Marco Integrado, Committee of Sponsoring Organizations of the Treadway

Commission (COSO), 1992.
Contiene un “Modelo de gestión” que da soporte a las prácticas obligatorias incluidas en las GICII, que
contribuyen a una implementación eficaz del CII.
0.8.1. CONTROL INTERNO – MARCO INTEGRADO 2013
Después de más de veinte años de aplicación del marco integrado de control interno emitido por COSO en
1992, el cual tuvo gran aceptación y se posicionó para ser usado internacionalmente, se publicó un nuevo
marco de control interno conocido como “COSO 2013” que procura responder a las exigencias de los
cambios en los entornos de negocios y operativos de la última década.

El modelo actual de COSO 2013 ha hecho énfasis en el mejoramiento del control interno y del gobierno
corporativo, buscando responder a la necesidad pública de un mejor manejo de los recursos públicos o
privados en cualquier tipo de organización, como consecuencia de los numerosos escándalos, crisis
financieras y fraudes ocurridos en diferentes países.
En mayo de 2013, COSO emitió la actualización del marco integrado de control interno, "COSO 2013",
que sustituye al anterior del año 1992.
El marco del 2013 facilita su uso y aplicación teniendo en cuenta los cambios en el entorno y los negocios,
articulando y formalizando los principios asociados a los componentes de control interno que deben estar
presentes (los cuales ya estaban implícitos en el modelo anterior de 1992) y aclarando los requisitos de un
control interno eficaz, incentivando a los usuarios a ampliar la aplicación del sistema de control interno en
objetivos adicionales, tal como se aprecia en la Figura 2.
Figura 2
Mejoras en el marco integrado de control interno 2013
Fuente: PwC México. (2014). PwC México. Recuperado el 5 de marzo de 2018, de

https://www.pwc.com/mx/es/publicaciones/archivo/2014-02-punto-vista.pdf
Se puede señalar cambios en dos de las dimensiones del cubo, es decir en los objetivos y la estructura de la
entidad. En el primer caso, el objetivo de los informes deja de estar relacionado únicamente con los informes
financieros para pasar a estarlo con todos los informes que se manejan en la entidad, especialmente los
relacionados con la misión de la entidad. En el segundo caso, ahora la aplicación del modelo es con todos los
niveles de la estructura de la entidad. Lo anterior se aprecia en la siguiente Figura 3 que muestra los cambios
en la estructura del cubo de COSO (estructura de control interno).

Figura 3
Cambios en cubo de COSO
Fuente: PwC México. (2014). PwC México. Recuperado el 5 de marzo de 2018, de

https://www.pwc.com/mx/es/publicaciones/archivo/2014-02-punto-vista.pdf
El modelo actual COSO 2013 cuenta con diecisiete (17) principios fundamentales asociados a los cinco (5)
componentes, los cuales se enuncian a continuación en la Figura 4.
Figura 4
Principios que soportan los componentes del control interno
• (1) Demuestra compromiso con la integridad y los valores éticos

Ambiente de • (2) Ejerce responsabilidad de supervisión
• (3) Establece estructura, autoridad y responsabilidad
control • (4)Demuestra su compromiso de reclutar, capacitar y retener personas competentes
• (5) Define las responsabilidades de las personas a nivel de control interno para el logro de los objetivos
Evaluaciónde • (6) Define los objetivos para permitir la identificación y evaluación de los riesgos relacionados
• (7) Identifica y analiza los riesgos para la consecución de sus objetivos en todos los niveles de la entidad
• (8) Evalúa el riesgo de fraude
riesgos • (9) Identifica y analiza los cambios significativos
Actividades de • (10) Define y desarrolla actividades de control para mitigar riesgos y lograr objetivos
• (11) Define y desarrolla controles sobre la tecnología para el logro de los objetivos
control • (12) Despliega actividades de control para implementar políticas y procedimientos
Información y • (13) Obtiene o genera y utiliza información relevante y de calidad para el control interno
• (14) Comunica internamente
comunicación • (15) Comunica externamente
Actividades de • (16) Lleva a cabo evaluaciones continuas o independientes para determinar efectividad del sistema de control interno
supervisión • (17) Evalúa y comunica las deficiencias oportunamente a los responsables de aplicar medidas correctivas
Fuente: Resumen Ejecutivo, Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013.

0.8.2. MODELO DE GESTIÓN
Las prácticas obligatorias contenidas en las GICII se encuentran sobre la base de un modelo genérico de
gestión de las entidades del Estado que está fundamentado en los principios y preceptos del CII enunciados
en el marco rector.
El modelo de gestión se establece mediante las actividades de gestión y administrativas, en cumplimiento

de normas generales y especiales que se reflejan en documentos de gestión, desde los más generales y de
horizonte temporal más amplio hasta aquellos más específicos y de horizonte temporal más corto.
El modelo de gestión tiene dos propósitos. Primero, suministra soporte para la implementación de las
GICII, dado que las actividades, transacciones y el flujo de información se encuentran representados
gráficamente en la figura del modelo de gestión.
Segundo, puede ser usado como un punto de partida para entender las actividades de gestión de la entidad
y su relación con la información que es generada y usada para el control de esas actividades. Cuando se
usa de esta manera, el modelo genérico de gestión debe ser adaptado a la medida de la entidad que va a
ser o está siendo evaluada.
En caso de cambios sustantivo de la entidad o su entorno, sean de alcance presupuestario o normativo,

debe hacerse las modificaciones pertinentes para el entendimiento de la nueva realidad. Este
entendimiento facilita y obliga el análisis de los riesgos asociados con cada actividad o producto afectado
y contribuye a identificar los puntos de control afectados.
La Figura 5 que se muestra a continuación da cuenta del modelo genérico de gestión de las entidades del
Estado, de acuerdo con la normativa vigente.
Figura 5
Modelo de gestión de las entidades del Estado
ORGANIZACIÓN EVALUACIÓN
PEI
Informes de
Indicadores
gestión
*
POA Presupuesto
TAECII Evaluación
separada UAI
Plan anual de implementación

PACC Riesgos Procesos
de mejoras (PAIME)
Sistemas de información
* Políticas, pautas, manuales de puestos y salarios, manuales de funciones, reglamento, COCOIN

0.8.2.1. ORGANIZACIÓN
Está referida a todos los elementos de la estructura organizacional de la entidad, incluyendo políticas,
pautas, manuales de puestos y salarios, manuales de funciones, reglamentos, procedimientos, registros,
comités, se destaca el COCOIN debido al compromiso coordinador de la implementación del CII según las
GICII.
Debe considerarse que las entidades del Estado tienen órganos de dirección de dos tipos:
a. Órgano de dirección unipersonal, como las secretarías de Estado, en cuyo caso el órgano de
dirección también es el órgano de administración y por lo tanto la Máxima Autoridad Institucional
(MAI) es también la Máxima Autoridad Ejecutiva (MAE); nótese que la Unidad de Auditoría Interna
(UAI) es un órgano de asesoramiento y consulta dependiente, estructuralmente de la MAI que es
también la MAE, pero no funcionalmente para mantener su independencia (ver Figura 6).
Figura 6
Organigrama típico de una entidad con órgano de dirección unipersonal
MAI (MAE)
UAI
ÁREA 1 ÁREA 2 ÁREA 3
Fuente: Organigramas de las entidades del Estado de Honduras.

Órgano de dirección colegiado, como por las entidades que cuentan con junta directiva, concejo o consejo
directivo, consejo universitario, directorios, concejo o consejo municipal, pleno de magistrados, entre
otros, se tiene que el órgano de dirección corresponde a la Máxima Autoridad Institucional (MAI) y está
separado del órgano de administración que corresponde a la Máxima Autoridad Ejecutiva (MAE); nótese
que la Unidad de Auditoría Interna (UAI) es un órgano de asesoramiento y consulta dependiente de la MAI.
Sin embargo, en este tipo de entidades la MAE es responsable de la ejecución de las políticas y decisiones
aprobadas por la MAI (ver Figura 7).

Figura 7
Organigrama típico de una entidad con órgano de dirección colegiado
MAI
UAI
MAE
ÁREA 1 ÁREA 2 ÁREA 3

Fuente: Organigramas de las entidades del Estado de Honduras.
0.8.2.2. PLAN ESTRATÉGICO INSTITUCIONAL (PEI)
Es la herramienta elaborada y aprobada por la MAE que determina los objetivos y metas de una entidad
para el largo plazo, ejecutándose el PEI a través de los POA. Su dimensión en el tiempo depende del tipo
de organización y puede variar desde cuatro (4) a más años. Se revisa y actualiza al menos una vez por
año, con el fin de ajustarlo a los cambios, limitaciones y resultados.
El PEI debe estar orientado contribuir al diseño del cumplimiento de los objetivos y metas planteados en
los instrumentos de planificación gubernamental como: Plan de Nación, Visión de País, Honduras 20 – 20
y aquellos definidos como prioridades presidenciales.
En su elaboración, se debe contar con la participación activa de los representantes de todos los niveles
jerárquicos de todas las áreas de la entidad, siendo recomendable que todas las disciplinas laborales de la
entidad estén representadas al momento su formulación con el propósito de contar con diferentes
enfoques que le proporcionen integralidad.
El PEI debe contener una visión definida de lo que la entidad quiere alcanzar durante su vigencia,
constituyéndose en una fuente de inspiración y compromiso para todos los servidores públicos o
colaboradores de la entidad. Debe ser realista y factible de lograr dentro del tiempo de su vigencia y de
acuerdo con todos los recursos y obligaciones con que cuenta la entidad.
La misión debe ser construida dentro del marco establecido en la Ley de creación de la entidad o Ley
orgánica, u otro instrumento legal que da origen a la entidad, según sea el caso. De ninguna manera puede
ser reformulada sin considerar las funciones y atribuciones definidas en la normativa señalada
anteriormente. Asimismo, esta normativa también proporciona información acerca de los objetivos y
funciones de la entidad.

Para efecto de las entidades del Poder Ejecutivo, la formulación del PEI debe cumplir con los lineamientos
técnicos y disposiciones dictados por la Secretaría de Coordinación General de Gobierno, a través de la
Dirección Presidencial de Planificación Estratégica, Presupuesto, Inversión Pública y Cooperación Externa
que es el órgano que se encarga de regular y normar el Sistema Nacional de Planificación.
Ejemplos de herramientas utilizadas para la formulación del PEI: (i) el análisis PEST o SEPTE, (ii) el análisis
SWOT o FODA, (iii) el método SMART para objetivos, (iv) el método de planeación Hoshin Kanri y
especialmente (v) la matriz de riesgos estratégicos, entre otros.
0.8.2.3. PLAN OPERATIVO ANUAL (POA)
El POA es un instrumento oficial de gestión que se desprende del PEI de la entidad, su periodo de
programación y ejecución es de un (1) año.
Para su formulación, la cual está a cargo de cada una de las áreas y unidades de la entidad, se debe
coordinar con el área de planificación, que es la que se encarga de regular, guiar y orientar su formulación
y consolidación.
Cada responsable jerárquico de área o unidad elabora el POA que le corresponde con la participación y
colaboración de sus subordinados. El documento debe contener los objetivos, metas y productos del área
o unidad, los cuales aportan para el logro de los objetivos estratégicos establecidos en el PEI. Se debe
identificar y definir los objetivos, metas y productos del área o unidad, asignándoles los recursos
pertinentes, e incluyendo aquellos productos o acciones que no necesariamente están asociados a
partidas presupuestarias. Es decir, todo lo que el área o unidad debe lograr para contribuir a los objetivos
estratégicos relacionados con sus funciones en el periodo de un (1) año.
Cabe mencionar que este documento de gestión sirve como instrumento para la coordinación entre las
áreas o unidades, y las principales actividades a realizarse en la entidad.
Antes de consolidarse en un único documento institucional, debe ser discutido con la participación de la
MAE y los responsables jerárquicos de las áreas o unidades con fines de aseguramiento, coordinación y
factibilidad. La MAE es responsable de su aprobación y difusión a todo el personal de la entidad clasificado
por área. Cada responsable jerárquico de área debe asegurarse que el personal a su cargo conoce el POA
y en especial lo que corresponde a su área.
Su revisión y actualización debe ser periódica (al menos cada dos o tres meses) y se hace con base en las
revisiones del cumplimiento de objetivos, realizadas de forma bimestral (o trimestral), por los
responsables jerárquicos de las áreas con la MAE.
Adicionalmente, debe indicarse que es un instrumento esencial para la rendición de cuentas con base en
los resultados (por lo general de forma trimestral), los cuales deben ser incluidos en los informes de
gestión.

0.8.2.4. PRESUPUESTO
El presupuesto es formulado por las entidades a partir de las necesidades priorizadas de las áreas de cada
entidad tomando como base el POA (ver 0.8.2.3) y el PACC (ver 0.8.2.5) presentado por cada área en
función del cumplimiento de sus objetivos, metas y productos definidos en el POA y enviado a la Secretaría
de Finanzas (SEFIN) para su consolidación. SEFIN, una vez consolidados todos los presupuestos del Estado
es enviado al Congreso Nacional para su aprobación.
El Congreso Nacional aprueba el presupuesto en cumplimiento de sus funciones constitucionales para

todas las entidades del Estado.
Cada entidad, con el presupuesto aprobado inicia su ejecución en función de los objetivos y metas
establecidas en el POA.
Para efectos de implementación de las GICII, el POA general de la entidad incluye al “POA-Presupuesto”
toda vez que los productos de las áreas o unidades no necesariamente están asociados a partidas
presupuestarias.
En términos simples, el presupuesto es la cuantificación monetaria en términos de ingresos y egresos

relacionados con el cumplimiento de los objetivos, metas, actividades y productos definidos y contenidos
en el POA, el cual a su vez se encuentra alineado con el PEI. Es importante aclarar que no todas las
entidades del Estado son generadoras de ingresos, pero todas consumen recursos del Estado.
Cada responsable jerárquico de área o unidad debe ser responsable por la ejecución y cumplimiento legal
del presupuesto asignado a su área, bajo la aprobación de la MAI o la MAE, según sea el caso.
0.8.2.5. PLAN ANUAL DE COMPRAS Y CONTRATACIONES (PACC)
Este instrumento de gestión es elaborado con base en la Ley de Contratación del Estado y su reglamento
y los lineamientos técnicos emitidos por la Oficina Normativa de Contratación y Adquisiciones del Estado
(ONCAE), poniéndose en conocimiento de los entes que correspondan.
En este documento de gestión, cada responsable jerárquico de área o unidad, con la colaboración de su
personal, emite el requerimiento de los insumos necesarios para desarrollar las actividades que conducen
al logro de los objetivos del POA, y, en consecuencia, contribuyen al logro de los objetivos estratégicos
establecidos en el PEI.
Al igual que el POA y POA-Presupuesto, el PACC debe ser discutido y aprobado por la MAE. Para ello cada
responsable jerárquico de área o unidad debe sustentar y explicar sus requerimientos y cómo estos
permiten alcanzar los objetivos y metas propuestos en el POA, y cómo estos últimos conducen al logro de
los objetivos y metas estratégicas de la entidad.
Es necesario indicar que existe una vinculación de tipo “cadena de valor” entre el PACC, el POA-
Presupuesto, el POA y por último el PEI. Expresado de otra manera, los cuatro documentos de gestión
funcionan como engranajes que deben estar correctamente sincronizados para el logro de la visión, misión
y objetivos de la entidad en el corto, mediano y largo plazo, tal como se representa en la Figura 5.

0.8.2.6. INDICADORES Y RIESGOS
Como producto de la formulación del PEI, POA, POA-Presupuesto y PACC, se diseñan un conjunto de
indicadores de gestión que permiten medir y darles seguimiento a su ejecución, corregir posibles
desviaciones y evaluar el avance de su implementación. Estos instrumentos permiten evaluar su alineación
y coherencia entre el PEI, POA, POA-Presupuesto y PACC.
Los indicadores de gestión proporcionan información acerca del estado situacional del cumplimiento de la
misión, objetivos, metas y productos que se han establecido en la planificación de la entidad.
Existe un dicho conocido en la administración que dice que “no se puede gestionar lo que no se puede
medir, así como tampoco se puede mejorar lo que no se mide”.
La posibilidad de mejorar el desempeño de la gestión es el principal aporte de los indicadores. Estos

permiten reducir la complejidad de lo que se está analizando. Los números simplifican la información
obtenida y son precisos. Debe recordarse que las metas trazadas por la entidad deben establecerse en
forma numérica, como el control de su avance en los resultados (seguimiento).
El cuadro de indicadores simplifica la comunicación y compresión del estado de la entidad, aplicable

también a los procesos. Al proporcionar precisión, los indicadores permiten mostrar de forma objetiva e
inequívoca el estado de una situación o un proceso en un momento determinado. Los indicadores
contribuyen a evitar apreciaciones subjetivas personales (ejemplo: "me parece que...", “creo que …”, “me
dijeron que …”, entre otras).
Los indicadores sirven también para identificar las fortalezas, debilidades y riesgos. Las fortalezas son
fundamentales para mantener el compromiso de todos en la organización y así preservar la reputación de
la entidad. La identificación de las debilidades puede generar resistencia entre los responsables, para lo
cual la MAE de la entidad debe mostrar habilidad en gestionar y propender a que asuman un compromiso
en el establecimiento de mejoras, otorgándoles para ello todo el apoyo que resulte necesario.
En la formulación de los indicadores y en la formulación, ejecución e interacción del PEI, POA, POA-
Presupuesto y PACC, se identifican un conjunto de riesgos que deben ser adecuadamente gestionados,
estableciendo las correspondientes actividades de control que conduzcan a asegurar razonablemente el
logro de los objetivos en todos los niveles de la organización.
Los indicadores y los riesgos proporcionan información primordial que debe ser considerada para la toma
de decisiones, siendo comunicados a la MAE por los responsables jerárquicos de las áreas y unidades a
través de los informes de gestión.
0.8.2.7. PLAN ANUAL DE IMPLEMENTACIÓN DE MEJORAS (PAIME)
El plan anual de implementación de mejoras (PAIME) (ver ANEXO 59) es un documento de gestión, que se
elabora por la compilación de los planes de acción para deficiencias reportadas (PADE) (ver ANEXO 58),
siendo estos últimos formulados a partir de las conclusiones y recomendaciones consignadas en los
siguientes cinco (5) informes:
• Informe del taller de autoevaluación del CII (TAECII)
• Informes de gestión

• Informes de evaluaciones separadas ejecutadas por la Unidad de Auditoría Interna (UAI)
• Informes de las auditorías realizadas por la UAI
• Informes de las auditorías externas realizadas (TSC) y recomendaciones de la ONADICI.
El PAIME busca solucionar situaciones adversas a los objetivos y resultados esperados y también identificar
potenciales escenarios que conducirían a elevar los niveles de rendimiento de las áreas y procesos de la
entidad. En términos simples, se trata del compromiso que tiene la MAE, los responsables jerárquicos de
las áreas y unidades y todos los empleados con la entidad, sus clientes y usuarios, el Estado y la ciudadanía
en general.
0.8.2.8. PROCESOS
Los procesos son los flujos secuenciales y lógicos de insumos para lograr los productos que genera la
entidad, así como los flujos de información que hacen posible la producción de bienes y servicios en
cumplimiento de su mandato legal, a través de los actos de gestión.
Cada responsable jerárquico de las áreas o unidades es responsable de diseñar, ejecutar, evaluar y
actualizar y mejorar los procesos de su competencia. Ello facilita que cualquier nuevo personal que ingrese
al área seguirá lo establecido en los manuales de procesos y procedimientos. Estos procesos tienen que
estar identificados, formalmente documentados y aprobados por la MAE, y adecuadamente gestionados
para garantizar el logro de los objetivos previstos en el PEI y el cumplimiento de la misión institucional.
Es importante que la entidad cuente con un mapa de procesos, su descripción y diagramas de flujo
correspondientes, con el fin de poder establecer las prioridades o criticidad en los mismos. Esto es útil
para la orientación de los recursos a la implementación de un sistema integrado de gestión, un sistema de
gestión de la calidad o la gestión integral de riesgos, entre otros.
Los procesos conectan las funciones de la entidad, siendo transfuncionales y los resultados están
destinados para clientes y usuarios externos e internos, en los que se convierten a su vez en insumos de
otros procesos internos.
Es necesario mencionar que el PEI, POA, POA-Presupuesto y PACC establecidos en el modelo de gestión,
son resultados de procesos entre sí, relacionándose directamente con la formulación de indicadores para
la gestión.
Toda entidad opera con base en procesos, recomendándose como buena práctica que se tengan
prestablecido en un documento formal aprobado por la MAE, evitar desarrollar los procesos de forma
empírica e informal como sucede en algunas entidades.
0.8.2.9. SISTEMAS DE INFORMACIÓN
Los sistemas de información de la entidad incluyen el registro y procesamiento ordenado de datos,

proporciona el intercambio oportuno de información de las operaciones realizadas en la entidad como
parte del modelo de gestión, sirviendo para el uso en la toma de decisiones de los diferentes usuarios,
posibilitando la generación de reportes sobre la implementación del CII, la gestión por áreas en un tiempo
determinado.

Los sistemas de información permiten:
• La clasificación y análisis ordenado de la información
• Evaluar el cumplimiento del PEI y las metas establecidas en los POA con los costos directos e
indirectos asociados con los productos
• Facilita la rendición de cuenta y acceso a la información pública
• El cumplimiento de la normatividad aplicable
• La agilidad oportuna en la generación de la información
• Facilita la evaluación de la gestión a través de indicadores
• Generar reportes financieros y de gestión
• Generar confianza en los usuarios interno y los destinatarios finales de los bienes y servicios que
produce la entidad.
Los sistemas de información se encuentran íntimamente ligados a la ejecución de los procesos, y en

consecuencia a la estrategia organizacional.
Los sistemas de información constituyen un instrumento para el establecimiento de las estrategias

organizacionales y para el logro de los objetivos y metas. Constituyen un reflejo de la estrategia y procesos
para alcanzar los objetivos y metas institucionales. En consecuencia, deben ajustarse a las características,
necesidades y naturaleza de la entidad.
En el desarrollo de los sistemas de información debe considerarse la posibilidad de armonizar las

estructuras de datos o interconectarse con otros sistemas automatizados del Estado como el Sistema de
Administración Financiera Integrada (SIAFI), Honducompras, Sistema de Gestión por Resultados, entre
otros. que es transversal a todas las entidades del Estado.
0.8.3. MODELO DE IMPLEMENTACIÓN DE MEJORAS
La implementación del CII a través del modelo de gestión está sobre la base de la mejora continua,
siguiendo las etapas del denominado ciclo PDCA (plan-do-check-act) o PHVA (planear-hacer-verificar-
actuar), tal como se puede apreciar en la Figura 8.
La etapa de “verificar” del modelo de implementación del CII corresponde a la ejecución de las actividades
de control que tienen por propósito las conclusiones y recomendaciones de los informes emitidos por la
administración y la auditoría, externa y la ONADICI.

Para la implementación del CII se toman en consideración los siguientes documentos: (i) informe del
TAECII, (ii) informes de gestión, (iii) informe de la evaluación separada a cargo de la UAI, (iv) informes de
auditoría interna realizados por la UAI, (v) informes de auditoría externa y (vi) recomendaciones y
disposiciones de la ONADICI; tal como se muestra en la guía 5.
El TAECII es el diagnóstico de la situación del CII con base en una metodología que explica la forma en que
deben ser llenados en forma objetiva los cuestionarios y recoge la información de los encuestados
(percepción), que luego es procesada por el COCOIN procurando el cruce con las evidencias existentes en
cada caso.
Del resultado del TAECII por componente y área, y las recomendaciones de los otros informes, deben
tomarse las decisiones por la MAE para su plan de mejora con el seguimiento oportuno de cada
responsable jerárquico del área y unidad y el aseguramiento por parte de la UAI. Esta etapa corresponde
a “actuar”.
A partir de las conclusiones y recomendaciones se generan los compromisos de mejora para quienes
lideran las funciones y los procesos de la entidad, los cuales se formalizan a través de la formulación de los
correspondientes planes de acción para deficiencias reportadas (PADE) (ver ANEXO 58), en los cuales cada
responsable jerárquico formula su respectivo proyecto para subsanar o mejorar la debilidad o deficiencia
identificada y reportada. Estas actividades corresponden a la etapa de “planear”.
De la compilación de todos los PADE formulados por las respectivas áreas y unidades de la entidad, se
elabora el plan anual de implementación de mejoras (PAIME) (ver ANEXO 59), el cual es el proyecto de
mejora institucional que muestra los compromisos de mejora para el correspondiente periodo anual de
ejecución. Cabe indicar que los proyectos que incluye el PAIME pueden incluir esfuerzos que vayan más
allá del periodo anual, en cuyo caso los pendientes deben ser incluidos en la formulación del PAIME del
año siguiente hasta su término.
El “hacer” corresponde a la ejecución de la implementación de las prácticas obligatorias de

implementación (PO), dependiendo de su pertinencia en relación con las funciones y los procesos a ser
mejorados, y la ejecución del PAIME.
Luego del “hacer”, el modelo de implementación de mejoras nos lleva nuevamente al inicio del ciclo PHVA
con la ejecución del TAECII y las demás actividades de control que conducen a la formulación de
conclusiones y recomendaciones que se incluyen en los informes que luego toman conocimiento la MAI y
la MAE de la entidad.
Todo lo anteriormente descrito se resume en lo mostrado en la siguiente Figura 8 mostrada a

continuación.

Figura 8
Modelo de implementación de mejoras

GUÍAS PARA LA
IMPLEMENTACIÓN DEL
Guía 1
“AMBIENTE DE CONTROL”

(ONADICI)
Guía 1 “Ambiente de control”

AMBIENTE DE CONTROL
Figura 9
El ambiente de control, o entorno de control, principal COSO 2013: entorno o ambiente de control
componente del control interno institucional está definido
de conformidad con el Marco Integrado de Control Interno
(2013) del Committee of Sponsoring Organizations of the
Treadway Commission (COSO), tal como se muestra en la
Figura 9, el Marco Rector del Control Interno del Sector
Público de Honduras, en la sección correspondiente a las
Normas Generales de Control Interno (NOGECI). La base
del control interno es el ambiente de control desarrollado
en las entidades y sobre el cual se sustentan los otros
cuatro componentes. El ambiente de control está definido
en diez elementos que lo conforman: (i) ambiente de
control, (ii) valores de integridad y ética, (iii) personal
competente y gestión eficaz del talento humano, (iv)
estructura organizativa, (v) delegación de autoridad, (vi)
acciones coordinadas, (vii) compromiso del personal con el Fuente: Resumen Ejecutivo, Control Interno –
control interno, (viii) adhesión a las políticas, (ix) ambiente Marco Integrado. Committee of Sponsoring
de confianza, (x) auditoría interna. Organizations of the Treadway Commission –
COSO. Mayo 2013.
A continuación, se muestra las principales relaciones entre los cinco de los diecisiete principios del Control
Interno – Marco Integrado 2013 mostrados en la Figura 10 y los diez elementos del Marco Rector del
Control Interno Institucional de los Recursos Públicos, las cuales no son exhaustivas ni concluyentes
pudiendo establecerse otras más que no se presentan en la Figura 11, Figura 12, Figura 13, Figura 14 y
Figura 15.
Figura 10
COSO 2013: principios del ambiente de control
•(1) Demuestra compromiso con la integridad y los valores

éticos
Ambiente •(2) Ejerce responsabilidad de supervisión
•(3) Establece estructura, autoridad y responsabilidad
de •(4)Demuestra su compromiso de reclutar, capacitar y
control retener personas competentes
•(5) Define las responsabilidades de las personas a nivel de
control interno para el logro de los objetivos

Figura 11
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del
Marco Rector del CII de los Recursos Públicos en el componente ambiente de control (1 de 5)
Fuente: (1) Resumen Ejecutivo. Control Interno – Marco Integrado. Committee of Sponsoring Organizations of the Treadway
Commission – COSO. Mayo 2013. (2) Marco Rector del Control Interno Institucional de los Recursos Públicos. Tribunal Superior de
Cuentas. 2009.

Figura 12
Cuentas. 2009.

Figura 13
Cuentas. 2009.

Figura 14
Cuentas. 2009.

Figura 15
Cuentas. 2009.

1.1. RESUMEN AMBIENTE DE CONTROL INTERNO (NOGECI)
“La administración activa, principalmente el jerarca, debe fomentar un ambiente propicio para la
operación del control interno, mediante la generación de una cultura que promueva, entre los miembros
de la institución, el reconocimiento del control como parte integrante de los sistemas institucionales. El
jerarca, en su calidad de responsable por el sistema de control interno, debe mostrar constantemente una
actitud de apoyo a las medidas de control implantadas en la institución, mediante la divulgación de éstas
y un ejemplo continuo de apego a ellas en el desarrollo de las labores cotidianas.”
1.1.1. PRÓPOSITO
Sensibilizar y convencer al personal de la entidad sobre la importancia de mantener un ambiente interno

de colaboración positivo para la operación y el cumplimiento de sus objetivos estratégicos y operativos.
1.1.2. CRITERIOS
Impulsa la participación, integración, colaboración, sencillez, comprensión y dinámica permanente del

personal dentro de la entidad.
1.1.3. PRÁCTICAS OBLIGATORIAS DE IMPLEMENTACIÓN
La MAE, con los responsables de todas las áreas o unidades, debe dictar periódicamente las políticas que
promuevan el ambiente de control propicio para la colaboración, la participación y los aportes continuos
del personal para la operación eficaz, eficiente, económica y transparente en todos los niveles de la
organización para el logro de los objetivos institucionales (ver ANEXO 22 y ANEXO 29).
AMC.1 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe propiciar y
generar condiciones favorables para la participación activa de los servidores públicos o
colaboradores en la creación de mecanismos para establecer y fortalecer el control interno y el
funcionamiento de la entidad mediante medios de difusión, de acuerdo con la normatividad
emitida por los entes rectores de los sistemas administrativos del Estado.
El objetivo de la difusión de los conceptos y contenidos relacionados con la implementación del

CII es contribuir al establecimiento de una “cultura de control interno” al interior de la entidad,
de tal forma que todos los servidores públicos o colaboradores logren comprender al control
interno como una herramienta de gestión que promueve y facilita el buen desempeño
institucional así como la adopción y aplicación de la ética pública; resultando en el beneficio
colectivo de los usuarios y beneficiarios internos y externos de la entidad, mediante la prestación
de servicios con calidad.
A continuación, se señalan algunos mecanismos sugeridos para la difusión de conceptos y

contenidos relacionados con el control interno institucional al interior de las entidades públicas:
• Memorandos circulares dirigidos a todos los servidores públicos o colaboradores de la

entidad
• Comunicados a través del correo electrónico institucional de la entidad
• Publicación en un mural u otro lugar visible de la entidad (a la entrada de cada oficina o
de la entrada principal de la entidad, murales de las oficinas, afiches, entre otros)

• Difusión mediante la Intranet (links, pantallas emergentes, blogs, presentaciones, entre

otros)
• Boletines institucionales, folletos, dípticos y trípticos (“brochures”)
• Charlas de inducción que realiza la entidad
• Reuniones periódicas del Comité de Control Interno con los servidores públicos o
colaboradores de la entidad
• Conferencias y charlas de sensibilización a los servidores públicos o colaboradores de la
entidad
• Visitas de los integrantes del COCOIN o del ETOCI a las dependencias de su entidad, con
el fin de comunicar las acciones referidas a la implementación del CII
• Complementariamente puede usarse los siguientes mecanismos:
o Portal institucional
o Redes sociales institucionales
o Mensajes en salvapantallas de las computadoras
o Mensajes de inicio o arranque del sistema en las computadoras.
Estos medios o mecanismos de difusión pueden ser utilizados en los cinco componentes del CII
o cualquier otra normativa emitida por la ONADICI que requiera ser difundida y aplicada en las
diferentes entidades.
AMC.2 La MAE, con los responsables jerárquicos de todas las áreas o unidades de la entidad, debe
formalizar, apoyar y supervisar el funcionamiento eficiente de los comités conformados para
fortalecer el funcionamiento de la entidad, mediante la preparación de informes de gestión
trimestrales, en los siguientes comités: Comité de Probidad y Ética (numeral 1.5 y AMC.15),
Comité de Control Interno (COCOIN) (AMC.37), Comité de Riesgos (COR) (Análisis y gestión de
riesgos EGR.3) Comité de Coordinación Institucional (COIN) (AMC.40 y AMC.41), Comité de
Auditoría (COA) (AMC.59 y AMC.60), entre otros, de acuerdo con los recursos y características
de cada entidad.
1.1.4. REFERENCIA LEGAL
MARE-CII-RP, TSC-NOGECI III-01 Ambiente de Control.
1.2. PLANIFICACIÓN INSTITUCIONAL Y ESTRUCTURA ORGANIZATIVA
“El sistema de organización administrativa de los entes públicos debe ser dinámico para permitir su ajuste
oportuno en función de los planes operativos anuales y del logro de las metas programadas en el respectivo
presupuesto.”
Las principales herramientas son:
• Planificación estratégica institucional

• Alinear el Plan Estratégico Institucional (PEI) con el Plan Nacional de Desarrollo aprobado por
el Congreso Nacional

• Preparar y aprobar el Plan Operativo Anual (POA)

• Formular, de conformidad con los planes, el proyecto de presupuesto institucional.
1.2.2. PROPÓSITO
Identificar el horizonte de tiempo de la entidad y transmitirlo para el conocimiento del personal y de los
usuarios de los servicios. La planificación es una herramienta relevante para la gestión institucional al
formular los planes institucionales, elaborados por la administración activa, los que son monitoreados
mediante la autoevaluación del CII y la evaluación del desempeño institucional de conformidad con los
objetivos establecidos en su ley de creación.
1.2.3. CRITERIOS
Planificación participativa, aprobada, consensuada, difundida, evaluada, actualizada y mejorada. En el

horizonte de largo plazo, conciliar la planificación institucional con la visión de país, el plan de acción y el
Plan de Gobierno, los proyectos plurianuales, así como la difusión amplia y documentada, a través de los
informes de avance con transparencia.
AMC.3 La MAE debe asegurarse que los procesos relacionados con la planificación y la estructura
organizativa se lleven a cabo de acuerdo con la normatividad de su ley constitutiva y las
regulaciones de los entes rectores de los sistemas administrativos.
AMC.4 La MAE, con los responsables jerárquicos de todas las áreas o unidades de la entidad, debe
formular, o si corresponde, mejorar y actualizar la propuesta de visión, valores y objetivos
estratégicos de la entidad en forma anual, de acuerdo con la normatividad emitida por el ente
rector en la materia.
AMC.5 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe revisar y
asegurarse que la misión formulada esté de acuerdo con la ley de creación de la entidad y el
marco regulatorio correspondiente. En el caso de existir contradicción de la misión con las
normas, ésta debe reformularse para estar de acuerdo con la ley de creación en primera
instancia, y luego con las normas de menor rango legal. Si la contradicción se debe a cambios en
el entorno externo a la entidad, la MAE debe promover la aplicación de los cambios legales
necesarios en las instancias según corresponda.
AMC.6 La MAE, con los responsables de todas las áreas o unidades de la entidad, en coordinación con
el COCOIN, debe difundir ampliamente al personal el Plan Estratégico Institucional, el POA y el
Presupuesto Institucional aprobado por el Congreso Nacional. Es necesario que exista plena
consistencia entre el POA y el presupuesto aprobado. En el caso que haya ampliaciones o
recortes al Presupuesto Institucional, el POA debe ser adecuado a las nuevas circunstancias.
AMC.7 Los responsables jerárquicos de todas las áreas o unidades de la entidad deben generar informes
del avance de sus metas y evaluar periódicamente el desempeño sobre la ejecución del POA,
reportando de manera formal a la MAE para la toma de decisiones. Es importante comprender
que la acumulación de los POA en los diferentes periodos fiscales da como resultado el
cumplimiento del PEI de la entidad.

AMC.8 Los responsables de las áreas de planificación y de administración financiera de la entidad, o las
que correspondan a estas funciones, deben evaluar y conciliar periódicamente el avance físico
del POA con el avance financiero de la ejecución presupuestaria con el fin de informar a la MAE
y a los entes que corresponda los logros, retrasos, principales dificultades y las sugerencias de
mejora para la toma de decisiones correspondientes.
Ley General de Administración Pública, Art. 22, atribuciones 2), 3) y 4). MARE-CII-RP, TSC-NOGECI-04
Estructura Organizativa.
1.3. VALORES DE INTEGRIDAD Y ÉTICA
“Para lograr un adecuado ambiente de control en los entes públicos, el titular y los servidores en los
diferentes niveles de responsabilidad de la estructura organizacional, deben mantener una actitud íntegra
y ética y promover permanentemente estos valores al interior del respectivo ente.”
“Con todo, la labor de la administración al respecto no acaba en la etapa de selección; por el contrario, le
corresponde asegurarse que las características de integridad y ética continúen presentes en los servidores
públicos y se manifiesten en su accionar diario”.
1.3.2. LEALTAD INSTITUCIONAL
“Están obligados todos los servidores públicos en el ejercicio de sus funciones a demostrar lealtad a la
institución, respetando y cumpliendo las normas, los procedimientos y las políticas institucionales que se
establezcan para cumplir y velar porque se apliquen los principios y disposiciones contenidas en la
Constitución de la República y demás leyes del país”.
1.3.2.1. PROPÓSITO
El énfasis primario de los responsables jerárquicos de las áreas y unidades, servidores públicos o
colaboradores está dirigido a los objetivos estratégicos y al cumplimiento de la misión la entidad de
conformidad con su ley de creación.
1.3.2.2. CRITERIOS
Aplicación amplia, difundida, aceptada y practicada en el ejercicio de las funciones específicas.
1.3.3. HONRADEZ E INTEGRIDAD
“Para el cumplimiento de las funciones y responsabilidades, tanto individuales como colectivas, se espera
que todos los funcionarios y empleados públicos muestren un alto principio de honradez e integridad que
no permita cuestionamientos de los resultados producidos en los trámites y gestiones que se realicen.
Deberán profesar y demostrar que todas sus actuaciones son transparentes y que las mismas no son ni
serán, en ningún momento, objeto de negociación para influenciar en los resultados”.

1.3.3.1. PROPÓSITO
Potenciar la transparencia y la calidad del servicio público en beneficio de los usuarios.
1.3.3.2. CRITERIOS
Aceptación y credibilidad para la integridad con enfoque hacia la transparencia.
1.3.4. BUENA CONDUCTA Y DISCIPLINA
“En el ejercicio de sus funciones, tanto en su entorno de trabajo como en los espacios o instancias ante las
cuales ejercen representación institucional, deben mantener un comportamiento de buena costumbre y de
alto profesionalismo. Además, su desempeño como servidor público debe enmarcarse en el respeto y
atención de normas y procedimientos que rigen la disciplina laboral, en cuanto a mandos jerárquicos y la
conducta ética en general”.
1.3.4.1. PROPÓSITO
Presentación, puntualidad e imagen en la prestación de los servicios institucionales.
1.3.4.2. CRITERIOS
Aplicación exigente, obligatoria y continua para los ejecutivos y el personal de línea.
1.3.5. RESPONSABILIDAD
“Tener como norma permanente el cumplimiento de sus funciones con el esmero, la celeridad y la
dedicación que demanda la actividad pública. Apegarse y limitarse solamente a atribuciones que el cargo
y las leyes le confieren. Responder sobre sus actos con la seriedad y disposición que demandan sus
funciones como servidor del Estado”.
1.3.5.1. PROPÓSITO
Participación activa de todo el personal generando resultados positivos y eficaces en relación al

cumplimiento de los objetivos de la entidad.
1.3.5.2. CRITERIOS
Funciones documentadas y aprobadas, informes de resultados en los plazos establecidos y cumplimiento

de las disposiciones legales.
1.3.6. PROBIDAD
“Mantener una conducta intachable en sus actuaciones al administrar recursos públicos con entrega leal y
honesta al desempeño de las tareas que le sean asignadas”.
1.3.6.1. PROPÓSITO
Actitud positiva, colaborativa y con calidad en el desempeño de las funciones específicas del personal en
todos los niveles de la entidad.

1.3.6.2. CRITERIOS
Trayectoria personal y profesional, disposición para colaborar, aporte profesional y actitud positiva al
cambio y la mejora permanente.
1.3.7. TRANSPARENCIA
“Mantener la información adecuadamente organizada, haciendo uso de medios tecnológicos modernos,

de forma que permita determinar los manejos y gestiones que realizan los funcionarios en el cumplimiento
de sus funciones, así como implementar métodos y procedimientos administrativos para que sus acciones
reflejen el apego a las leyes y las políticas generales del Estado, generando confianza en los usuarios y la
ciudadanía en general”.
1.3.7.1. PROPÓSITO
Demostrar el apego a los requerimientos legales y normativos, informando a los usuarios y beneficiarios
sobre las acciones y los resultados obtenidos.
1.3.7.2. CRITERIOS
Informativos, periódicos, amplios, comparativos y disponibles para ser difundidos en varios niveles de la
sociedad.
1.3.8. OBJETIVIDAD, IMPARCIALIDAD E INDEPENDENCIA
“Cumplir con las responsabilidades asignadas poniendo énfasis en el objeto materia de la decisión en
concordancia con el marco legal vigente, dejando de lado lo relativo al modo de pensar o de sentir de
quien toma la decisión, juzgando o procediendo con rectitud sin mostrar un designio anticipado o de
prevención en favor o en contra de alguien o algo, y mostrando un estado mental libre de influencias
internas o externas que impliquen erróneas o incorrectas actuaciones”.
1.3.8.1. PROPÓSITO
Generar o producir servicios públicos con calidad, conforme a las disponibilidades y las disposiciones
legales, reglamentarias y normativas establecidas.
1.3.8.2. CRITERIOS
Mantener una actitud positiva al cumplimiento de la legalidad en la toma de decisiones.
1.3.9. SEGURIDAD, CONFIANZA Y CREDIBILIDAD
“La conducta de los servidores públicos debe reflejar el alto compromiso en el cumplimiento de sus
funciones. Su actuación debe reflejar carácter en la toma de decisiones y conocimiento de sus
responsabilidades, generando respeto y credibilidad en la sociedad.”

1.3.9.1. PROPÓSITO
Enfocada hacia la calidad del servicio público, agregando valor a las acciones desarrolladas y la aceptación
de los usuarios.
1.3.9.2. CRITERIOS
Imagen positiva de la gestión que se proyecta en la sociedad con orientación del servicio hacia la eficacia,
la eficiencia y la calidad.
1.3.10. INTERÉS PÚBLICO
“En el cumplimiento de sus responsabilidades y con apego a las leyes, todo servidor público está obligado
a demostrar interés y compromiso en el desarrollo de sus actividades, las cuales se transforman en logros
de interés público, como lo mandan las leyes que se emiten para la organización de los deberes y derechos
de la ciudadanía”.
El servicio público se califica como una actividad de elevado interés para la sociedad.
1.3.10.2. CRITERIOS
Participación activa, sistemática, continua y permanente, conocida y transmitida a todo el personal de la

entidad.
1.3.11. CALIDAD DE SERVICIO
“Todo servidor público está obligado por su relación contractual a brindar lo mejor de sí mismo en la
atención a los usuarios de los servicios públicos institucionales. Debe asumir una actitud ética y profesional
que demuestre que sus conocimientos y experiencia están al servicio de la ciudadanía para cumplir con
eficiencia y eficacia sus funciones”.
El fin primordial del servicio público que se entrega está dirigido a la atención de las necesidades de los
usuarios.
1.3.11.2. CRITERIOS
La calidad del servicio prestado debe ser permanente por todo el personal de la entidad y debe satisfacer
o superar las expectativas de los usuarios y beneficiarios.
AMC.9 La MAE, con apoyo del Comité de Probidad y Ética Pública (CPEP), dentro del marco del Código
de Probidad y Ética del Servidor Público debe definir los procedimientos para fomentar la
difusión y aplicación de los valores éticos mediante talleres y conferencias, entre otros, así como

para promover la adhesión a su aplicación permanente por todos los servidores públicos o
colaboradores, sin distinción de nivel jerárquico.
AMC.10 La MAE, a través del área de gestión del talento humano, debe asegurarse que como parte del
proceso de inducción para el personal ingresante se les haya capacitado sobre los valores y la
ética institucional.
AMC.11 El CPEP debe colaborar en la preparación de un documento de fácil acceso continuo a los
servidores públicos o colaboradores que incorpore: la misión, visión y valores de la entidad para
su difusión generalizada a todo el personal; y particularmente durante el proceso de inducción
de los nuevos servidores públicos o colaboradores que se incorporen a la entidad. Para una
mayor efectividad el CPEP debe coordinar sus acciones con el COCOIN.
AMC.12 El CPEP debe cumplir y documentar las siguientes funciones: (i) verificar periódicamente, entre
todos los servidores públicos o colaboradores, el conocimiento de los valores de integridad, la
misión, visión y objetivos estratégicos de la entidad; (ii) informar a la MAE y al responsable
jerárquico del área de gestión del talento humano, los resultados de la evaluación para
incorporarlos al expediente individual; (iii) desarrollar talleres sobre los valores de integridad
para el personal; (iv) difundir continuamente el Código de Probidad y Ética del Servidor Público;
(v) elaborar el informe anual de actividades; (vi) promover los valores de integridad al presentar
el informe.
MARE-CII-RP, TSC-NOGECI III-02 Valores de Integridad y Ética.
1.4. VALORES DE INTEGRIDAD Y ÉTICA - CÓDIGO DE CONDUCTA ÉTICA DEL SERVIDOR PÚBLICO
1.4.1. RESUMEN
Todas las entidades deben adherirse al Código de Conducta Ética del Servidor Público, establecido por el
Congreso Nacional de Honduras, para la prestación de servicios eficientes, efectivos y de calidad.
1.4.2. PROPÓSITO
Mantener criterios uniformes y obligatorios para gestionar positivamente la probidad y la ética en el sector
público, como valores compartidos por todos los servidores públicos o colaboradores.
1.4.3. CRITERIOS
Aplicación universal, completa, capacitación continua en integridad y ética, comités organizados,

monitoreo por el TSC, participación del Consejo Nacional Anticorrupción (CNA) y el Instituto de Acceso a
la Información Pública (IAIP).
AMC.13 El Código de Conducta Ética del Servidor Público debe ser conocido y aceptado formalmente
mediante la suscripción de un documento por todos los servidores públicos y colaboradores de

la entidad, el cual forma parte del expediente físico o electrónico de cada servidor público y
colaborador administrado por el área de gestión del talento humano.
AMC.14 El CPEP debe actuar de oficio ante el incumplimiento del Código de Conducta Ética del Servidor
Público, y comunicando a las instancias pertinentes para la toma de acciones correctivas que
correspondan.
Código de Conducta Ética del Servidor Público, promulgado por el Congreso Nacional. MARE-CII-RP, TSC-
NOGECI III-02 Valores de Integridad y Ética, TSC-PRICI-01: ÉTICA PÚBLICA.
1.5. VALORES DE INTEGRIDAD Y ÉTICA - COMITÉ DE PROBIDAD Y ÉTICA PÚBLICA
1.5.1. RESUMEN
El CPEP es un equipo de trabajo constituido por cinco (5) miembros propietarios representantes del
personal de la entidad. Los miembros del comité son electos en forma directa por los representantes de
la asamblea del personal de la entidad; conforme al Instructivo de Elección aprobado por el TSC. Los
miembros duran en su cargo dos años y pueden ser reelectos. Al respecto debe considerarse:
Forma de integración:
a) El Comité está integrado por un presidente, un secretario y tres vocales.

b) Entre las principales funciones que debe cumplir el comité están:
• Elaborar el plan de trabajo y someterlo a aprobación del TSC por medio de la Dirección de
Probidad y Ética, haciéndolo de conocimiento de la MAE y del COCOIN
• Desarrollar acciones para prevenir la corrupción y los conflictos de intereses, promover la
transparencia en las compras y contrataciones de bienes y servicios, y elevar la calidad y
eficiencia del servicio público
• Capacitar a los servidores públicos y colaboradores de su entidad acerca del deber de
informar a las autoridades competentes de los actos de corrupción que conozcan
• Informar al TSC y demás autoridades competentes sobre los actos de corrupción de los
que tengan conocimiento, manteniendo la prudencia para evitar el entorpecimiento de
las posibles investigaciones que puedan realizar los órganos competentes (TSC y Ministerio
Público).
1.5.2. PROPÓSITO
Ejecutar acciones positivas para la difusión, conocimiento y aplicación del Código de Conducta Ética del
Servidor Público y las disposiciones relacionadas establecidas por el TSC.
1.5.3. CRITERIOS
Compromiso con la ética, trayectoria personal y profesional impecable, independencia, proactividad,

organización corporativa, voluntariado, elección amplia y pública.

AMC.15 El CPEP debe programar reuniones y documentar sus actividades mediante actas especiales que
incluyan los acuerdos y resoluciones adoptados, así como el seguimiento que corresponda, para
conocimiento de la Dirección de Probidad y Ética del TSC. El Comité de Probidad y Ética Pública
debe preparar informes trimestrales de sus actividades y resultados logrados para remitirlos a la
MAE y a la Dirección de Probidad y Ética del TSC.
El CPEP en coordinación con el COCOIN, y con el apoyo técnico del TSC, la CNA y el IAIP debe
organizar la capacitación del personal para difundir el Código de Conducta Ética del Servidor
Público y realizar las acciones contenidas en su plan de trabajo aprobado.
Código de Conducta Ética del Servidor Público, promulgado por el Congreso Nacional. MARE-CII-RP, TSC-
NOGECI III-02 Valores de Integridad y Ética, TSC-PRICI-01: ÉTICA PÚBLICA. Reglamento para la integración
y funcionamiento de los Comités de Probidad y Ética Pública.
1.6. VALORES DE INTEGRIDAD Y ÉTICA - NORMAS ESPECÍFICAS
1.6.1. RESUMEN
Todas las entidades públicas en general están sujetas a la aplicación y cumplimiento del Código de
Conducta Ética del Servidor Púbico; sin embargo, por su naturaleza pueden emitir normas específicas de
cumplimento obligatorio por todo el personal, las cuales no deben estar en contraposición al código. En
caso de discrepancia entre las normas generales de este Código y las normas específicas emitidas por una
entidad sujeta a este Código, prevalecerá siempre lo dispuesto en el presente código.
1.6.2. PROPÓSITO
Disponer de normas específicas en función a la misión de la entidad pública y de conformidad con el

código.
1.6.3. CRITERIOS
Especialidad de los servicios que presta la entidad de conformidad con su misión, proyección de imagen
positiva hacia adentro y afuera de la entidad.
AMC.16 La MAE, con el CPEP y los responsables jerárquicos de las áreas o unidades sustantivas, en
coordinación con el COCOIN, debe promover la aplicación del Código de Conducta Ética del
Servidor Público y las normas específicas emitidas por la entidad, destacando los valores
aplicables particularmente a las operaciones sustantivas o especializadas que desarrolla la
entidad.

Código de Conducta Ética del Servidor Público promulgado por el Congreso Nacional. MARE-CII-RP, TSC-
NOGECI III-02 Valores de Integridad y Ética, TSC-PRICI-01: ÉTICA PÚBLICA.
1.7. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO
“El control interno debe incluir las políticas y los procedimientos necesarios tanto para una apropiada
planificación y administración de los recursos humanos de la institución, de manera que asegure el
reclutamiento, la permanencia en el servicio y el desarrollo del personal competente e idóneo para el
desempeño de cada puesto de trabajo, aumentando sus conocimientos y destrezas en beneficio de la
entidad, el Estado y la sociedad.”
“…La administración de personal estará sometida a métodos científicos basados en el sistema de méritos.”
(Art. 256 de la Constitución Política de la República de Honduras).
1.7.2. PROPÓSITO
Servidores públicos y colaboradores competentes con base en prácticas contemporáneas usadas para la
gestión eficaz y eficiente del talento humano.
1.7.3. CRITERIOS
Desarrollar competencias, habilidades y aptitudes en el personal de la entidad, contar con profesionales

calificados y con orientación hacia el servicio público.
AMC.17 La MAE, con el apoyo del responsable jerárquico del área de gestión del talento humano, debe
establecer políticas documentadas para la gestión del talento humano en la entidad, y
asegurarse que este formule los procedimientos necesarios para una adecuada gestión de los
procesos de planificación de las necesidades de personal, su selección y reclutamiento,
desarrollo, evaluación, compensación, retención y desvinculación.
AMC.18 La MAE, con el responsable jerárquico del área de gestión del talento humano y con la asesoría
legal pertinente interna o externa, debe actualizar el plan de remuneraciones y formular políticas
salariales equitativas conforme a la disponibilidad presupuestaria de la entidad.
AMC.19 El área de gestión del talento humano y los responsables jerárquicos de las demás áreas o
unidades de la entidad deben elaborar o actualizar los documentos que incorporan la
clasificación y requisitos mínimos indispensables de los puestos, los que incluyen la identificación
de competencias y la descripción de las funciones correspondientes, que son aprobados por la
MAE.
AMC.20 La MAE debe establecer que el área de gestión del talento humano elabore un procedimiento de
inducción para el personal ingresante a la entidad y se asegure que todos hayan pasado por él,

permitiéndoles comprender su participación en el área que les corresponde, y la de ésta en el

contexto de toda la entidad.
AMC.21 La MAE debe instruir a los responsables jerárquicos de las áreas o unidades de la entidad para
que identifiquen las necesidades de capacitación de sus subordinados, internas o externas,
generales o especializadas para el fortalecimiento de las capacidades de los servidores públicos
y colaboradores, las cuales son evaluadas por el área de gestión del talento humano e incluidas
en Plan anual general de capacitación de la entidad. Las capacitaciones deben estar en relación
con las actividades estratégicas, operativas y administrativas, así como para el cumplimiento de
la misión y los objetivos institucionales.
AMC.22 El área de gestión del talento humano, en coordinación con el COCOIN y el COR, debe elaborar
un plan anual de capacitación de control interno, que debe formar parte del Plan anual general
de capacitación de la entidad, cuyos tiempos y fechas deben ser coordinados con los
responsables jerárquicos de todas las áreas dentro del marco de la coordinación institucional
(ver AMC.40), para todos los componentes (ver ANEXO 30).
AMC.23 La MAE y el responsable jerárquico del área de gestión del talento humano, en coordinación con
el COCOIN, deben gestionar el cumplimiento del Plan anual general de capacitación de la entidad
y la ejecución de los programas de capacitación para el fortalecimiento de las aptitudes
individuales para el desempeño de sus funciones.
AMC.24 La MAE, con el responsable jerárquico del área de gestión del talento humano y los demás
responsables de otras áreas o unidades específicas de la entidad, debe establecer los criterios
técnicos para la selección y promoción de servidores públicos y colaboradores con base en el
mérito y su capacidad profesional.
AMC.25 La MAE y el responsable jerárquico del área de gestión del talento humano deben diseñar y
establecer un sistema de reconocimiento público e incentivos no monetarios para los servidores
públicos o colaboradores, con base en el tiempo de servicio, desempeño destacable o resultados
excepcionales, al interior o fuera de la entidad, entre otros criterios, para el fortalecimiento de
la cultura institucional.
Art. 256, Constitución Política de la República de Honduras. MARE-CII-RP, TSC-NOGECI III-03 Personal
Competente y Gestión Eficaz del Talento Humano. Leyes específicas.
1.8. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO – RÉGIMEN DE SERVICIO
CIVIL
1.8.1. RESUMEN
“El régimen de Servicio Civil regula las relaciones de empleo y función pública que se establecen entre el
Estado y sus servidores, fundamentados en principios de idoneidad, eficiencia y honestidad.”

“La […] Ley [de Servicio Civil] tiene por finalidad establecer un sistema racional de administración de
personal en el servicio público regulando las relaciones entre los servidores públicos y el Estado.”
En Honduras existen varias normas que regulan las relaciones laborales entre el Estado y los trabajadores,
entre ellas el Código del Trabajo de la República de Honduras, los estatutos gremiales, regímenes
especiales, contrato colectivo, y otras normas especiales y el Reglamento Interno de Trabajo de cada
entidad.
En algunos casos de la gestión administrativa del talento humano y en la terminación de la relación laboral
entre el servidor público y colaboradores con la entidad y el Estado, existe conflicto entre leyes aplicables
al caso concreto. Para efectos de eliminar los conflictos en la aplicación de las leyes, es necesario que el
Poder Ejecutivo en Consejo de Ministros elabore un proyecto de Ley que regule los vacíos y
contradicciones en la gestión administrativa del talento humano, y lo someta al Congreso Nacional para
su aprobación y promulgación.
1.8.2. PROPÓSITO
Que las entidades del Estado dispongan de talento humano competente, motivado y especializado para
cumplir los objetivos de la entidad con eficiencia, eficacia, probidad y transparencia.
1.8.3. CRITERIOS
Cumplimiento de las leyes aplicables a la gestión del talento humano, sistema racional de gestión del
talento humano.
AMC.26 La MAE debe instruir al responsable jerárquico del área de gestión del talento humano para que
se asegure que la desvinculación o terminación de la relación laboral del personal de la entidad
se lleve a cabo siguiendo los procedimientos establecidos en cada caso, los cuales deben estar
concordancia con el régimen del Servicio Civil y demás leyes aplicables, pudiendo apoyarse en la
asesoría legal interna o externa que requiera para mitigar el riesgo de posteriores demandas que
afecten la situación financiera y la reputación de la entidad.
AMC.27 En los casos que se identifique conflicto entre las leyes aplicables al caso concreto de la
desvinculación o terminación de la relación laboral entre el servidor público o colaborador con
la entidad y el Estado, la MAI o la MAE deben ponerlo en conocimiento de las instancias que
correspondan en el Poder Ejecutivo, para que el Consejo de Ministros elabore un proyecto de
Ley que regule los vacíos y contradicciones en la gestión administrativa del talento humano, y lo
someta al Congreso Nacional para su aprobación y promulgación.
Art. 256, Constitución Política de la República de Honduras. Art. 1 de la Ley de Servicio Civil. Ley de la
Carrera Administrativa Municipal. Reglamento de la Ley de Servicio Civil. MARE-CII-RP, NOGECI III-03
Personal Competente y Gestión Eficaz del Talento Humano. Leyes específicas.

1.9. PERSONAL COMPETENTE Y GESTIÓN EFICAZ DEL TALENTO HUMANO - CALIDAD DEL SERVIDOR
PÚBLICO
“…De la competencia de los servidores públicos depende la eficacia y eficiencia de los sistemas
administrativos, financieros y operativos, así como el logro de los objetivos institucionales...”
1.9.2. PROPÓSITO
Contar con el mejor talento humano para la entrega de los servicios a los usuarios y beneficiarios. El
servicio prestado no es un favor al usuario o beneficiario, sino que forma parte de la responsabilidad
inherente a las funciones que desarrollan los servidores públicos y los colaboradores de las empresas
públicas, y que la entidad está obligada a proveer. Para ello, el servicio debe ser prestado en forma
ininterrumpida dentro del horario de atención establecido. Cabe destacar que los servidores públicos y
colaboradores se deben a los ciudadanos, usuarios y beneficiarios, toda vez que pagan por los bienes y
servicios a través de impuestos y tasas.
1.9.3. CRITERIOS
Integridad del personal, competencias personales y profesionales, capacidad, especialización,

compromiso con la entidad y vocación de servicio público.
AMC.28 La MAE debe asegurarse que todos los servidores públicos y colaboradores están sujetos a la
evaluación del desempeño por su superior jerárquico inmediato, sus pares y sus subordinados,
con base en las competencias y requisitos de cada puesto, procurando identificar y mejorar las
condiciones y dificultades que impidan alcanzar niveles de efectividad en la prestación de los
servicios y en el cumplimiento eficiente de las funciones específicas de los servidores públicos y
colaboradores. Esta evaluación debe llevarse a cabo al menos una vez al año.
AMC.29 La MAE y el responsable jerárquico del área de gestión del talento humano deben desarrollar y
aprobar la metodología para la evaluación del desempeño individual con base en competencias
y los criterios técnicos establecidos en la Ley del Sistema de Servicio Civil y Ley de la Carrera
Administrativa Municipal u otra metodología según corresponda al régimen la entidad, al menos
una vez al año y con base en un procedimiento de evaluación sistematizado y consistente,
preferiblemente automatizado.
Ley de Servicio Civil, Decreto 126. Ley de la Carrera Administrativa Municipal, Decreto 74-2010.
Reglamento de la Ley de Servicio Civil, Acuerdo Ejecutivo No. A-018-2009. MARE-CII-RP, TSC-NOGECI III-
03 Personal Competente y Gestión Eficaz del Talento Humano. Leyes específicas.

1.10. ESTRUCTURA ORGANIZATIVA
"El jerarca o titular del ente público debe crear y desarrollar una estructura organizativa que apoye
efectivamente el logro de los objetivos institucionales y por ende, la realización de los procesos, las labores
y la aplicación de los controles pertinentes."
1.10.2. PROPÓSITO
Diseñar y desarrollar la estructura organizativa de la entidad que mejor contribuya al cumplimiento

eficiente y eficaz de su misión, visión y objetivos estratégicos con base en su sistema de valores éticos
establecido.
1.10.3. CRITERIOS
Estructura organizativa sistematizada, técnica, flexible, actualizada, aprobada y dirigida a los procesos
sustantivos de la entidad.
AMC.30 La MAE y los responsables jerárquicos de todas las áreas o unidades de la entidad deben definir
y formalizar una estructura organizativa adecuada estableciendo las áreas de operación clave,
las líneas de coordinación, información y control. El organigrama de la entidad, debidamente
aprobado por la MAE, debe resumir la estructura organizativa vigente y las relaciones de
autoridad formal entre los cargos de dirección, las unidades de asesoramiento, las áreas
administrativas y operativas y las correspondientes unidades que las conforman.
AMC.31 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe disponer la
elaboración o actualización de los manuales de organización y funciones y los manuales de
procesos y procedimientos conforme a su ley de creación, su misión y su reglamentación interna.
AMC.32 La MAE debe instruir a los responsables jerárquicos de todas las áreas o unidades de la entidad
para que desarrollen y proporcionen información actualizada de los servicios disponibles que la
entidad ofrece y su forma de acceso para los usuarios o beneficiarios, así como aquella
información requerida en la Ley de Transparencia y Acceso a la Información Pública para que se
incluya en el portal institucional. La información de los servicios disponibles debe colocarse
físicamente en lugares visibles dentro de las instalaciones para el conocimiento de los usuarios
o beneficiarios (ver ANEXO 23).
Ley de Transparencia y Acceso a la Información Pública. MARE-CII-RP, TSC-NOGECI III-04 Estructura

Organizativa. Reglamento de la Ley de Transparencia y Acceso a la Información Pública. Normativa emitida
por la ONADICI, Normas Técnicas para el Manejo de Archivos de la Documentación Financiera del Sector
Público. Código Tributario.

1.11. ESTRUCTURA ORGANIZATIVA – GESTIÓN POR PROCESOS
1.11.1. RESUMEN
La MAE es responsable de establecer la estructura organizativa en la cual se definen los procesos de la

entidad, clasificados y en sus distintos niveles de agregación, de manera que determinen el logro de sus
objetivos y la visión, dando cumplimiento a su misión, la cual puede ser ejercida desde la administración
centralizada, descentralizada, desconcentrada y programas especiales. Adicionalmente, puede ser
extensiva a la creación de dependencias regionales de acuerdo a la cobertura y ámbito de influencia de la
entidad.
1.11.2. PROPÓSITO
Identificar y gestionar los procesos en la estructura organizativa de las entidades públicas en relación al
cumplimiento de su misión y logro de la visión y objetivos, así como a la credibilidad razonable de la
ejecución financiera dentro del marco del control interno.
1.11.3. CRITERIOS
Procesos identificados y gestionados, priorizados en procesos clave, que cuentan con registro de
operaciones, informes y evaluación.
AMC.33 La MAE debe establecer la gestión por procesos en la entidad, instruyendo a los responsables
jerárquicos de las áreas o unidades de la entidad para que, en coordinación con el COCOIN,
elaboren el mapa de los procesos de la entidad identificando los procesos estratégicos,
operativos o misionales (sustantivos) y de apoyo o soporte (adjetivos), y priorizándolos en
procesos clave que determinan el logro de los objetivos estratégicos (ver ANEXO 18).
AMC.34 El responsable jerárquico del área de planificación debe asegurarse que las unidades prestadoras
de servicios que se relacionan en forma directa con los usuarios deben estar posicionadas en
forma clara en el Organigrama y en el Manual de Organización y Funciones. Ambos instrumentos
de gestión organizacional deben ser aprobados por la MAE y estar debidamente actualizados.
AMC.35 La MAE, con los responsables de todas las áreas o unidades de la entidad, deben actualizar y
conciliar las funciones y responsabilidades de las áreas operativas incluidas en el Manual de
Organización y Funciones con los objetivos del PEI, POA y de los Proyectos que administra la
entidad.
AMC.36 La MAE debe instruir a los responsables de todas las áreas o unidades de la entidad desarrollar
un Manual de Procesos y Procedimientos que defina el conjunto de operaciones y controles en
los procesos de la entidad. Este manual debe ser aprobado por la MAE y mantenerse
debidamente actualizado.
AMC.37 La MAE debe crear el COCOIN y apoyar su funcionamiento para la implementación del control
interno institucional, reflejándose ello en los instrumentos de gestión y la normativa interna.

El COCOIN es un órgano colegiado de apoyo a la MAE, con capacidad y atribuciones para la toma
de decisiones en lo correspondiente al CII, cuyo objetivo principal es coordinar, promover y
contribuir a la eficaz y eficiente implementación, mantenimiento, mejora continua y seguimiento
oportuno del CII.
La MAE es responsable de designar a los integrantes del COCOIN, los cuales deben ser
responsables jerárquicos de áreas y son juramentados por la ONADICI (ver ANEXO 19).
Está integrado de seis (6) a diez (10) miembros, y se recomienda que el coordinador sea el
responsable jerárquico del área de planificación; los demás miembros del COCOIN son los
responsables jerárquicos de las áreas de operaciones, de administración y financiera (ver ANEXO
20).
El auditor interno participa en las sesiones como veedor, es decir con voz, pero sin voto.
Asimismo, la ONADICI puede participar con sus representantes en las reuniones del comité en
calidad de asesor.
AMC.38 El COCOIN, siguiendo el modelo establecido por la ONADICI, debe elaborar su reglamento de
organización y funciones que es aprobado por la MAE (ver ANEXO 20) y su plan de trabajo anual
(ver ANEXO 21).
Ley General de la Administración Pública, Decreto No. 146-86. MARE-CII-RP, TSC-NOGECI III-04 Estructura
Organizativa.
1.12. DELEGACIÓN DE AUTORIDAD
“La delegación de funciones o tareas en un servidor público debe implicar no sólo la exigencia de la
responsabilidad por el cumplimiento de los procesos, actividades o transacciones correspondientes, sino
también la asignación de la autoridad necesaria a fin de que pueda tomar las decisiones y emprender las
acciones más convenientes para ejecutar oportunamente sus funciones de manera expedita y eficaz.”
1.12.2. PROPÓSITO
Posibilitar el cumplimiento de los objetivos institucionales de manera oportuna, eficiente, efectiva y

económica de los servidores públicos y colaboradores en sus correspondientes niveles de autoridad
designada.
1.12.3. CRITERIOS
Documentada formalmente por escrito estableciendo los límites de alcance y tiempo de aplicación.
AMC.39 La MAE debe formalizar la delegación de autoridad por escrito y de acuerdo con las funciones
establecidas en el Manual de Organización y Funciones de la entidad. La ley de creación y el
reglamento interno constituyen la base para definir la estructura de la delegación de autoridad.

La delegación de autoridad debe generar corresponsabilidad entre quien delega y quien ejerce
la delegación. Quien delega mantiene la responsabilidad por los resultados alcanzados por la
delegación (ver ANEXO 24).
MARE-CII-RP, TSC-NOGECI III-05 Delegación de Autoridad.
1.13. ACCIONES COORDINADAS
“El control interno debe contemplar los mecanismos y disposiciones requeridos a efecto de que los
servidores públicos y unidades participantes en la ejecución de los procesos, actividades y transacciones de
la institución, desarrollen sus acciones de manera coordinada y coherente, con miras a la implantación
efectiva de la estrategia organizacional para el logro de los objetivos.”
1.13.2. PROPÓSITO
Alcanzar los objetivos de la entidad a través del esfuerzo conjunto y con base en la compartición de la
información, y reportando los avances en su cumplimiento que permitan la oportuna toma de decisiones
entre las unidades operativas y de apoyo de la entidad.
1.13.3. CRITERIOS
Reuniones periódicas dirigidas por la MAE con el Comité de Coordinación Institucional (COIN),
estructurado e integrado por el nivel superior de los responsables jerárquicos de las áreas o unidades de
la entidad, cuyos acuerdos son vinculantes a la operatividad de la entidad.
AMC.40 La MAE, con el nivel superior de los responsables jerárquicos de las áreas o unidades de la
entidad, debe formalizar o crear el Comité de Coordinación Institucional (COIN) con el propósito
de intercambiar información y generar soluciones colaborativas de acuerdo con los
requerimientos institucionales.
AMC.41 La MAE, con el nivel superior de los responsables jerárquicos de las áreas o unidades de la
entidad, debe normar el funcionamiento del COIN mediante un reglamento de organización y
funcionamiento que detalle quienes lo integran, la agenda a tratar, la periodicidad de las
reuniones a realizarse, la documentación y el seguimiento de las resoluciones importantes, entre
otros requerimientos, de acuerdo con los lineamientos establecidos en el ANEXO 25.
MARE-CII-RP, TSC-NOGECI III-06 Acciones Coordinadas.

1.14. ACCIONES COORDINADAS – RELACIÓN CON LA PLANIFICACIÓN
“…debe considerarse que la coordinación tiene como fundamento a la planificación y que para su
apropiado ejercicio se requiere de una estructura orgánica idónea. Por ello, los mecanismos de
coordinación deben preverse convenientemente desde las primeras etapas del proceso planificador e
integrarse en la estrategia y las consideraciones relativas a la organización formal y las relaciones entre
los diversos puestos.”
1.14.2. PROPÓSITO
Cumplimiento del PEI y seguimiento a la ejecución del POA de la entidad, coordinando esfuerzos y
coadyuvando para el logro de los objetivos institucionales.
1.14.3. CRITERIOS
Metas y objetivos concretos, cooperación entre unidades operativas y de apoyo, mejoras en las
actividades y en el cumplimiento del POA.
AMC.42 El PEI y el POA deben constituir la base para la coordinación de las operaciones y el logro efectivo
de los objetivos institucionales, y la asignación del presupuesto y recursos pertinentes.
AMC.43 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe impulsar
mediante una política formalizada (ver ANEXO 29) la coordinación y cooperación entre las
unidades operativas y de apoyo para promover el logro eficaz y eficiente alineados con los
objetivos estratégicos institucionales.
AMC.44 La MAE y los responsables de todas las áreas o unidades de la entidad, deben hacer uso de los
POA como una herramienta para coordinar las acciones entre las áreas o unidades dentro del
contexto de la planificación.
MARE-CII-RP, TSC-NOGECI III-06 Acciones Coordinadas.
1.15. COMPROMISO DEL PERSONAL CON EL CONTROL INTERNO
“El titular principal o jerarca, con el apoyo de los titulares subordinados, deberá instaurar las medidas de
control propicias para que los servidores públicos reconozcan y acepten la responsabilidad que les compete
por el adecuado funcionamiento del control interno y promover su participación activa tanto en la
aplicación y mejoramiento de las medidas ya implantadas como en el diseño de controles más efectivos
para las áreas en donde desempeñan sus labores.”
“El Presidente de la República tiene la administración general del Estado; son sus atribuciones:

[…]
2. Dirigir la política general del Estado y representarlo;
[…]
18. Velar, en general, por la conducta oficial de los funcionarios y empleados públicos para la seguridad y
prestigio del Gobierno y del Estado; […]” Art 245, Constitución Política de la República de Honduras.
“Los Secretarios de Estado son colaboradores del Presidente de la República en la orientación,

coordinación, dirección y supervisión de los órganos y entidades de la administración pública nacional, en
el área de su competencia.” Art 247, Constitución Política de la República de Honduras.
1.15.2. PROPÓSITO
Sensibilizar, concientizar y comprometer a los servidores públicos y colaboradores de la entidad en el

diseño, implementación, evaluación y mejora del CII.
1.15.3. CRITERIOS
Contar con una política institucional de control interno emitida y socializada; tomar decisiones y acciones
con sujeción a las normas internas y externas; contar con actas de compromiso personal suscritas,
mostrando convencimiento, participación, proactividad, compromiso e incorporación al proceso
permanente del cambio.
AMC.45 La MAE debe disponer que los servidores públicos o colaboradores suscriban el acta de
compromiso personal con el CII, la cual debe ser suscrita al término de la capacitación que ha
sido coordinada por el COCOIN y con el apoyo del personal técnico de la ONADICI. Usar el modelo
incluido en el ANEXO 26.
AMC.46 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe establecer los
modelos específicos de mejora continua para el cumplimiento de los objetivos del control
interno y la gestión institucional, procurando la cultura permanente de rendición de cuentas en
la administración de los recursos públicos y los resultados obtenidos.
Los modelos específicos deben ser estandarizados y aplicados por todas las áreas y orientados a
la consecución de las metas incluidas en los planes estratégicos, planes operativos, programas y
proyectos, dentro del MARE-CII-RP y las prácticas obligatorias contenidas en las GICII.
Art. 245 y 247, Constitución Política de la República de Hondura. MARE-CII-RP, TSC-NOGECI III-07
Compromiso del Personal con el Control Interno.

1.16. ADHESIÓN A LAS POLÍTICAS
“En el ejercicio de sus funciones, los servidores públicos deben observar y contribuir con sugerencias a las
políticas institucionales y a las específicas aplicables a sus respectivas áreas de trabajo, que hayan sido
emitidas y divulgadas por los superiores jerárquicos, quienes además deben instaurar medidas y
mecanismos propicios para fomentar la adhesión a las políticas por ellos emitidas.”
1.16.2. PROPÓSITO
Promover el cumplimiento de las políticas institucionales y específicas que resulten en el logro de los
objetivos institucionales de la entidad con eficacia y eficiencia.
1.16.3. CRITERIOS
Asegurar el cumplimiento en la aplicación de las políticas; formular sugerencias para su mejora; emisión y
difusión actualizada; evidenciando los mecanismos de adhesión implementados.
AMC.47 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe promover el
funcionamiento eficaz del CII como una política de Estado (ver ANEXO 20 y ANEXO 22) cuyo
cumplimiento le corresponde a todas las áreas y sus servidores públicos o colaboradores. El
cumplimiento de la política de CII debe ser conocido por todo el personal independientemente
del nivel jerárquico dentro de la entidad.
AMC.48 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe difundir las
políticas institucionales de manera formal mediante notas por escrito a todos los superiores
jerárquicos, así como su publicación en el portal institucional para conocimiento de todo el
personal de la entidad. Las políticas van en relación con la naturaleza de la entidad o de las
políticas generales de gobierno (ver ANEXO 27 y ANEXO 29).
AMC.49 La MAE, con los responsables de todas las áreas o unidades de la entidad, debe emitir, difundir
y garantizar la aplicación de la política sobre la rendición de cuentas en todos los niveles:
estratégico (alta dirección), táctico (responsables jerárquicos de áreas y unidades) y operativo
(todos los servidores públicos o colaboradores).
AMC.50 Los responsables jerárquicos de las áreas y unidades de la entidad deben elaborar, emitir y
difundir oportunamente los informes de resultados de las operaciones, de la gestión y de la
ejecución presupuestaria para fortalecer el proceso de rendición de cuentas y la transparencia
institucional, interna y externa. Los informes, previo a su difusión deben ser aprobados por la
MAE.
MARE-CII-RP, TSC-NOGECI III-08 Adhesión a las Políticas.

1.17. AMBIENTE DE CONFIANZA
“Los responsables del control interno deberán estimular entre el personal la generación y el mantenimiento
de un ambiente de confianza basado en la difusión de información veraz, la comunicación adecuada, la
delegación de funciones y técnicas de trabajo participativo y cooperativo con miras a la promoción del
desempeño eficaz y el logro de los objetivos institucionales.”
1.17.2. PROPÓSITO
Lograr un clima de seguridad interna y externa con base en datos asociados a los servicios que presta la
entidad, los cuales deben ser confiables, completos, oportunos y verificables por cualquier usuario interno
y externo.
1.17.3. CRITERIOS
Clima laboral positivo y alentador; actitud positiva del personal hacia la mejora continua del desempeño
al logro de los objetivos y en pro de los servicios prestados a la ciudadanía; propiciando la rendición de
cuentas, información disponible para la verificación, transparencia, dando respuestas oportunas a las
sugerencias y opiniones de los usuarios.
AMC.51 La MAE y los responsables jerárquicos deben difundir entre los servidores públicos o
colaboradores de la entidad las prácticas de control interno implementadas, procurando su
aplicación efectiva; su cumplimiento genera confianza en las operaciones y en la información
que es generada. Se recomienda que la MAE establezca mecanismos de reconocimiento al
esfuerzo del personal que ha demostrado logros cualitativos y cuantitativos que enaltecen el
prestigio institucional.
AMC.52 La MAE, con el apoyo de los responsables jerárquicos de todas las áreas o unidades de la entidad,
debe diseñar e implementar técnicas de trabajo participativo y cooperativo entre las unidades
operativas y administrativa financiera; para trabajar en equipos multidisciplinarios (ejemplo:
implementación del COIN).
AMC.53 La MAE, con el apoyo de los responsables jerárquicos de todas las áreas o unidades de la entidad,
debe promover la mejora continua de la cultura de control interno institucional.
MARE-CII-RP, TSC-NOGECI III-09 Ambiente de Confianza.

1.18. AUDITORÍA INTERNA
“En cada ente público, como parte de un adecuado ambiente de control, debe existir una unidad de
auditoría interna eficaz, cuyo nivel de independencia funcional y de criterio debe ser respetado por el
jerarca o titular de la entidad y, en general, por la dirección superior y todos los servidores públicos de la
misma.”
1.18.2. PROPÓSITO
Aseguramiento del adecuado diseño, implementación, funcionamiento, mantenimiento y mejora del CII
en cumplimiento de los objetivos y la transparencia en la administración de los recursos públicos.
1.18.3. CRITERIOS
Auditoría interna independiente, objetiva, con criterio profesional, aplicada sistemáticamente, con
enfoque a los riesgos institucionales relevantes, evaluando el CII, emitiendo opinión sobre el estado y
aplicación del CII, brindando asesoría oportuna y formulando recomendaciones que agreguen valor a la
entidad.
AMC.54 El responsable jerárquico de la Unidad de Auditoría Interna (UAI) debe establecer lineamientos
para dimensionar la unidad con base en el tamaño, número y tipos de especialistas, equipos de
trabajo y las actividades que se deben desarrollar considerando las disposiciones establecidas en
la Guía de Organización y Funcionamiento de la UAI emitida por la ONADICI en el contexto del
Marco Rector de la Auditoría Interna del Sector Público emitido por el TSC, y supletoriamente el
Marco internacional para la práctica de la auditoría interna y las Normas Internacionales para el
Ejercicio Profesional de la Auditoría Interna (NIEPAI) publicadas por el Instituto de Auditores
Internos Global.
AMC.55 El responsable jerárquico de la UAI debe dar seguimiento oportuno e integral a las
recomendaciones de la auditoría interna, de la ONADICI y externa, preparando informes
trimestrales dirigidos a la MAE, con copia a la ONADICI y al TSC sobre el nivel de implementación
de las acciones comprometidas (ver ANEXO 28).
AMC.56 El responsable jerárquico de la UAI debe preparar el Plan General y el POA de la UAI considerando
el PEI, los riesgos, la Guía emitida por la ONADICI y las buenas prácticas internacionales,
procurando agregar valor mediante la realización de tareas de aseguramiento de las operaciones
y del funcionamiento del CII.
Debe emitir informes periódicos sobre el nivel de implementación y efectividad del CII, sobre la
información financiera, el cumplimiento de los objetivos de conformidad con las leyes y normas
vigentes y el nivel de eficacia y eficiencia de las operaciones.
La UAI debe realizar tareas de asesoramiento en materia de control, riesgos y gobierno

institucional con independencia de criterio.

MARE-CII-RP, TSC-NOGECI III-10 Auditoría Interna, TSC- NOGECI VII-06 Cumplimiento de los Estándares
Internacionales de Auditoria Interna. Marco Rector de la Auditoría Interna del Sector Público, TSC-
NOGENAIG 04 Áreas de Responsabilidad.
1.19. AUDITORÍA INTERNA - DEFINICIÓN Y PROPÓSITO
1.19.1. CONCEPTO DE AUDITORÍA INTERNA (AI)
“La auditoría interna de entidades del Sector Público es una actividad de aseguramiento y asesoría que se
ejerce con independencia de las operaciones que audita para mejorar las operaciones de la entidad y
apoyar a la gerencia publica en el cumplimiento de los objetivos programados y presupuestados,
aportando un enfoque sistémico y disciplinado para evaluar, optimizar y agregar valor a la efectividad de
los procesos de gestión de riesgo, control y gobierno institucional garantizando la objetividad de las
conclusiones y recomendaciones formuladas en sus informes”.
La UAI es parte integral de la estructura organizacional de la entidad y como tal está en la disposición del
cumplimiento de todas las políticas internas, siempre y cuando no afecte la naturaleza e independencia
de las labores de la UAI.
1.19.2. PROPÓSITO
Promover en el ejercicio de las operaciones el cumplimiento de las leyes y normas vigentes, la confiabilidad
en la información, la eficiencia en el manejo de los recursos y la eficacia en el cumplimiento de la misión y
los objetivos institucionales.
1.19.3. CRITERIOS
UAI independiente, sistémica, disciplinada, con valor agregado, estimando los riesgos de la práctica de la
auditoría.
AMC.57 La UAI debe evaluar el funcionamiento del CII, teniendo la capacidad para prestar el servicio con
criterio profesional, independiente y objetivo para determinar la efectividad del CII.
La UAI, a través de las evaluaciones, verifica el cumplimiento de las NOGECI, de las GICII en el
marco del SINACORP y las buenas prácticas para la administración de los recursos públicos.
El responsable jerárquico de la UAI, producto de la evaluación separada y exámenes especiales,

debe proporcionar asesoramiento a la MAE, y a petición de ésta asesorar a otros responsables
de áreas para mejorar los controles internos, procurando la mejora continua y el funcionamiento
eficiente, efectivo y ágil de los servicios prestados por la entidad, así como de la gestión de
riesgos.

Marco Rector de la Auditoría Interna del Sector Público, TSC-NOGENAIG-03 Definición y Propósito. MARE-
CII-RP, TSC-NOGECI VII-06 Cumplimiento de los Estándares Internacionales de Auditoría Interna.
1.20. AUDITORÍAS INTERNAS - ORGANIZACIÓN Y FUNCIONAMIENTO
1.20.1. ORGANIZACIÓN Y FUNCIONES
“Las unidades de auditoría interna de las entidades públicas, estarán ubicadas en la estructura
organizacional de las mismas al nivel de la MAE de la respectiva entidad, a la cual deben reportar. Su
organización y funcionamiento se establecerán de acuerdo con la clasificación de la misma, es decir si se
trata de una UAI Tipo‐A, Tipo‐B o Tipo C.”
Para establecer la UAI en las entidades, se debe seguir los lineamientos establecidos en la Guía de
Organización y Funcionamiento de la UAI emitida por la ONADICI, de acuerdo con la siguiente clasificación:
• Tipo A, entidades cuya relación presupuestaria del año actual sea superior al 6% del Presupuesto
de Egresos “MAYOR” asignado a una entidad en el mismo año
• Tipo B, entidades cuya relación presupuestaria del año actual se encuentre entre el 1% y el 5,99%
del Presupuesto de Egresos “MAYOR” asignado a una entidad en el mismo año
• Tipo C, entidades cuya relación presupuestaria del año actual sea inferior al 1% del Presupuesto
de Egresos “MAYOR” asignado a una entidad en el mismo año.
En el ANEXO 31 se muestran tres ejemplos del cálculo para el tipo de UAI.
1.20.2. PROPÓSITO
Asegurar el adecuado nivel de asesoría a la MAE, ejerciendo las funciones de evaluación y seguimiento del
CII.
1.20.3. CRITERIOS
Evaluación, asesoría, supervisión, aseguramiento, opinión sobre la información financiera y no financiera

generada, por equipos de auditoría multidisciplinarios.
AMC.58 La UAI debe disponer de auditores especialistas multidisciplinarios, internos y externos cuando
la materia lo requiera, en las actividades sustantivas de la entidad. También debe contar con el
mínimo necesario de supervisores que puedan realizar el aseguramiento de la calidad de las
investigaciones que realizan.
AMC.59 La MAE de las entidades tipo A y B, o aquellas entidades que por convenio lo requieran, debe
implementar el funcionamiento del Comité de Auditoría para el conocimiento y trámite de los
resultados obtenidos en las tareas de aseguramiento desarrolladas por la UAI, conforme a las

funciones y responsabilidades establecidas para esta unidad en la Guía de Organización y

Funcionamiento de las Unidades de Auditoría Interna emitida por la ONADICI.
El Comité de Auditoría debe estar integrado por un número impar de servidores públicos o
colaboradores que comprenda a un responsable de alto nivel jerárquico en representación de la
MAE, los responsables jerárquicos de cada unidad sustantiva, el responsable del área financiera
y un representante de la ONADICI. En el caso de entidades que dispongan de cuerpos colegiados,
dos de sus miembros deben estar representados en el comité. La participación de la ONADICI en
el Comité de Auditoría procura fortalecer la independencia de la UAI en cuanto al contenido de
los informes elaborados por esta unidad.
El Comité de Auditoría no aprueba informes, sus actividades se enfocan en la toma de

conocimiento previo de los informes que emite la UAI y que remite a las instancias que
corresponda, pudiendo solicitar a la UAI las aclaraciones que considere pertinentes y el
perfeccionamiento del contenido de estos.
El Comité de Auditoría debe establecer su Reglamento de organización y régimen de

funcionamiento que debe ser aprobado por la MAE. El ANEXO 32 muestra un modelo de
Reglamento de Organización del Comité de Auditoría.
Las reuniones ordinarias del Comité de Auditoría se deben realizar cada trimestre en marzo,
junio, septiembre y diciembre de cada ejercicio fiscal, y en forma extraordinaria cuando la MAE
o la coordinación del comité lo requiera.
AMC.60 El Comité de Auditoría debe contar con el apoyo y la participación, con voz, pero sin voto, del
responsable jerárquico de la UAI. Asimismo, la UAI presentará al Comité de Auditoría el POA de
la unidad y los informes periódicos sobre las actividades realizadas en cada trimestre, además de
los informes de seguimiento de las recomendaciones. La UAI debe dar cumplimiento a los
acuerdos del comité manteniendo siempre su independencia.
AMC.61 El responsable jerárquico de la UAI debe cumplir las normas establecidas por el TSC para realizar
la auditoría; como también, las normas técnicas específicas que emita la ONADICI para tales
efectos, como son la “Guía de Organización y Funcionamiento de las UAI” y la “Guía para la
elaboración del Plan General y del Programa Operativo Anual de la UAI” que establecen los
criterios para la programación y los elementos que permiten evaluar el nivel de desempeño
logrado por la UAI, y supletoriamente las buenas prácticas internacionales.
Adicionalmente, está sujeto al cumplimiento de las normas especiales internas emitidas por la
entidad y que son de aplicación general para todo el personal de la entidad.
Marco Rector de la Auditoría Interna del Sector Público, TSC-NOGENAIG-16 Organización y

Funcionamiento de las UAI. MARE-CII-RP, TSC-NOGECI VII-06 Cumplimiento de los Estándares
Internacionales de Auditoría Interna.

1.21. AUDITORÍA INTERNA - ASEGURAMIENTO DEL CII
1.21.1. ASEGURAMIENTO DEL CONTROL INTERNO
La auditoría interna de las entidades debe entenderse como un medio eficaz para contribuir con las MAI,
secretarios de Estado, gerentes, directores, jefes o cualquier otra denominación que se le dé como
máximas autoridades, para el logro de los objetivos y resultados institucionales mediante la evaluación de
la efectividad de los procesos de gestión de riesgo, control interno y la ejecución de auditorías internas
con un enfoque integral o de gestión.
1.21.2. PROPÓSITO
Asegurar el cumplimiento de los objetivos de la entidad sobre eficiencia en el manejo de los recursos
públicos y la eficacia en el logro de los objetivos sustantivos, confiabilidad de la información producida y
cumplimiento de las disposiciones legales.
1.21.3. CRITERIOS
Evaluación continua y sistemática, seguimiento de recomendaciones, informes de evaluaciones parciales,

reuniones con los directores de área y operativos, charlas de actualización y proyección, informe anual de
evaluación del CII con su respectiva opinión.
AMC.62 El responsable jerárquico de la UAI debe realizar reuniones periódicas con los responsables
jerárquicos de las áreas o unidades administrativas y operativas, proyectos y programas para
asesorar y facilitar el conocimiento y aplicación de los controles internos institucionales y el
establecimiento de planes de acción para la implementación de las recomendaciones internas y
externas.
AMC.63 La UAI debe realizar la evaluación separada del CII, y en el caso que los resultados superen ± 5%
de diferencia con los resultados del TAECII, estos deben ser objeto de análisis.
Ejemplo: la calificación de la autoevaluación general del CII es del 80% y la calificación de la

evaluación separada es del 60%, siendo la diferencia 20%, por lo tanto, se debe realizar un
análisis y concluir la razón de la diferencia.
Marco Rector de la Auditoría Interna del Sector Público, TSC-NOGENAIG-03 Definición y propósito. MARE-
CII-RP, TSC-NOGECI VII-06 Cumplimiento de los Estándares Internacionales de Auditoría Interna.

GUÍAS PARA LA
IMPLEMENTACIÓN DEL
Guía 2
“EVALUACIÓN Y GESTIÓN DE RIESGOS”

(ONADICI)
Guía 2 “Evaluación y gestión de riesgos”

EVALUACIÓN Y GESTIÓN DE RIESGOS
En este componente de “evaluación y gestión de riesgos”, que Figura 16

corresponde al de “evaluación de riesgos” del Marco Integrado COSO 2013: evaluación de riesgos
de Control Interno (2013) del Committee of Sponsoring
Organizations of the Treadway Commission (COSO) que se
muestra en la Figura 16, se describen todas las etapas del
proceso de gestión de riesgos, así como sus productos finales
tales como el mapa de riesgos de la entidad, sus matrices de
riesgos valorizadas y priorizadas, y la definición de la respuesta
al riesgo que debe seleccionarse para aceptarlos, compartirlos,
mitigarlos o evitarlos.
Como requisito previo, es imprescindible haber establecido en

planes estratégicos y operativos conocidos y aceptados por el
personal, cuáles son los objetivos que se pretende lograr y
controlar.
Posteriormente, se procede con la gestión de los riesgos, los Fuente: Resumen Ejecutivo, Control Interno –
que deben ser administrados dependiendo de su naturaleza y Marco Integrado. Committee of Sponsoring
Organizations of the Treadway Commission –
complejidad, aprovechando el conocimiento y experiencia del COSO. Mayo 2013.
personal que conoce y ejecuta los procesos, actividades y
servicios.
A continuación, se muestra las principales relaciones entre los cuatro de los diecisiete principios del
Control Interno – Marco Integrado 2013 (Figura 17) y los seis elementos del Marco Rector del Control
Interno Institucional de los Recursos Públicos, en la Figura 18, Figura 19, Figura 20 y Figura 21.
Figura 17
COSO 2013: principios de la evaluación de riesgos
•(6) Define los objetivos para permitir la identificación y

evaluación de los riesgos relacionados
Evaluaciónde •(7) Identifica y analiza los riesgos para la consecución de
riesgos sus objetivos en todos los niveles de la entidad
•(8) Evalúa el riesgo de fraude
•(9) Identifica y analiza los cambios significativos

Figura 18
Relaciones de vinculación entre los principios de control interno de COSO 2013 y los elementos del Marco Rector
del CII de los Recursos Públicos en el componente evaluación y gestión de riesgos (1 de 4)
Cuentas. 2009.

Figura 19
Cuentas. 2009.

Figura 20
Cuentas. 2009.

Figura 21
Cuentas. 2009.

2.1. GESTIÓN DE RIESGOS INSTITUCIONALES
“La dirección superior de los entes públicos debe apoyarse en el proceso de gestión de riesgos
institucionales para administrar eficazmente la incertidumbre y sus riesgos y oportunidades asociadas,
mejorar la capacidad de generar o agregar valor a todos sus grupos de interés, alcanzar los objetivos
institucionales y, prevenir la pérdida de los recursos.”
Aplicando la definición de gestión de riesgos institucionales del informe “Enterprise Risk Management -
Integrating with Strategy and Performance”1, del Committee of Sponsoring Organizations of the Treadway
Commission (2017) al ámbito del control interno gubernamental y en concordancia con las NOGECI,
podemos definir que se trata de la cultura, capacidades y prácticas, integradas con el establecimiento de
estrategias y el desempeño institucional, de las que las entidades dependen para gestionar el riesgo en la
creación, preservación y obtención de valor para ellas mismas y sus grupos de interés.
Entre las prácticas destaca el proceso efectuado por las MAE, los responsables jerárquicos de las áreas o
unidades y el restante personal, aplicable a la definición de estrategias en toda la entidad y diseñado para:
(1) identificar y evaluar eventos potenciales que puedan afectar a la entidad, (2) gestionar eficazmente sus
riesgos dentro del nivel de riesgo aceptado, y (3) proporcionar una seguridad razonable sobre la
consecución de los objetivos institucionales.
En esta guía sobre el componente del proceso de control interno “evaluación y gestión de riesgos”, se ha
optado por aplicar la metodología desarrollada por el documento “Enterprise Risk Management -
Integrating with Strategy and Performance”2, del Committee of Sponsoring Organizations of the Treadway
Commission, con el fin de formalizar un sistema de control interno con base en la gestión de riesgos
institucionales.
Por lo tanto, el componente de “evaluación y gestión de riesgos” se aborda en esta guía a través de los
tres componentes interrelacionados, en cuyo marco se presentan un conjunto de doce principios según
se detalla en la Tabla 1.
1
Enterprise Risk Management - Integrating with Strategy and Performance, Executive Summary. Committee of
Sponsoring Organizations of the Treadway Commission. Junio 2017.
2
Enterprise Risk Management - Integrating with Strategy and Performance, Executive Summary. Committee of
Sponsoring Organizations of the Treadway Commission. Junio 2017.

Tabla 1
Relación entre los subcomponentes de la guía con los componentes y principios del COSO ERM 2017
Subcomponentes de esta
Componentes del COSO ERM 2017 Principios del COSO ERM 2017
guía (Marco Rector TSC)
2.2 Planificación (TSC-
NOGECI IV-02)
2.3 Indicadores
6. Analiza el contexto empresarial.
Mensurables de Desempeño
7. Define el apetito al riesgo.
(TSC-NOGECI-IV-03) Estrategia y establecimiento 8. Evalúa las estrategias alternativas.
2.4 Divulgación de los de objetivos 9. Formula los objetivos empresariales.
Planes (TSC-NOGECI-IV-04)
2.5 Revisión de los
Objetivos (TSC-NOGECI-IV-05)
10. Identifica riesgos.
11. Evalúa la severidad de los riesgos.
12. Prioriza los riesgos.
Desempeño 13. Implementa las respuestas al riesgo.
2.6 Identificación y 14. Desarrolla una visión de portafolio de
Evaluación de Riesgos riesgos.
(NOGECI IV-01)
15. Evalúa los cambios sustanciales.
16. Revisa los riesgos y el desempeño.
Revisión y corrección 17. Propone mejoras en la gestión de riesgos
empresariales.
Fuente: (1) Enterprise Risk Management - Integrating with Strategy and Performance, Executive Summary. Committee of
Sponsoring Organizations of the Treadway Commission. Junio 2017. (2) Marco Rector del Control Interno Institucional de los
Recursos Públicos. Tribunal Superior de Cuentas. 2009.
Los principios representan conceptos fundamentales asociados con cada componente del control interno,
y constituyen acciones que deberían desarrollarse como parte de las prácticas de la gestión de riesgos
institucionales. Los principios son universales y forman parte de cualquier iniciativa efectiva de gestión de
riesgos institucionales, las MAE deben sopesar su aplicación en sus respectivas entidades.
2.1.2. PROPÓSITO
Una gestión efectiva de riesgos contribuye a prevenir la ocurrencia de futuras pérdidas o hechos derivados
de los eventos identificados y evaluados que afecten los objetivos de la entidad en cualquiera de sus
procesos o áreas. También contribuye a prevenir la corrupción en todos sus niveles y tipos, a los que
permanentemente se encuentran expuestas las entidades.
Debe considerar proyecciones o pronósticos sobre situaciones que, aunque no hayan ocurrido, no se
descarta su probabilidad de ocurrencia, siendo indispensable contar con una actitud de prevención
considerando todos los eventos posibles.
Desde el punto de vista de la gestión de riesgos institucionales, los objetivos que espera lograr una entidad
se resumen en cuatro categorías:
i. Estratégicos, de alto nivel, que están alineados con la misión, visión y valores de la entidad y las
soportan, en armonía con el Plan de Nación y Visión de país.
ii. Operacionales, relacionados con la generación de valor a partir del uso eficaz, eficiente y
económico de los recursos públicos, en las operaciones, programas y proyectos, incluyendo los

objetivos de rendimiento, salvaguarda, preservación, mantenimiento y protección de los activos,

de rentabilidad (social, política o económica) y de recupero de la inversión, cuando corresponda.
iii. Información, relativos a la confiabilidad, eficacia, eficiencia, confidencialidad, integridad,
disponibilidad, oportunidad, veracidad, suficiencia, legalidad y transparencia de la información
operativa, presupuestaria y financiera producida y suministrada para la toma de decisiones, la
comunicación y la difusión tanto interna como externa; y,
iv. Cumplimiento, referidos a que las decisiones, funciones y actividades que realiza la entidad sean
consistentes y se lleven a cabo de acuerdo con las leyes, reglamentos y demás normas aplicables
que rigen su funcionamiento.
La gestión efectiva de los riesgos institucionales proporciona una seguridad razonable de que la entidad
está haciendo lo necesario para lograr el cumplimiento de los objetivos contenidos en las cuatro categorías
antes detalladas, y que las MAE, los responsables jerárquicos de las áreas y unidades, y el personal
operativo son informados oportunamente del progreso de la entidad hacia el logro de estos objetivos.
Cada responsable jerárquico de área debe gestionar los riesgos dentro de su ámbito de competencia, de
tal manera que la consolidación de los riesgos de todos los procesos y áreas se convierten en el
inventario de riesgos de la entidad.
La gestión de los riesgos institucionales proporciona el marco conceptual para la identificación, análisis,
valorización, control y gestión de las exposiciones significativas a los riesgos que pudieran afectar el normal
desarrollo de la entidad e impedir el logro de las metas y objetivos planeados en sus procesos, áreas o
unidades administrativas.
La gestión se logra a través de la generación de información que sirva de base a los niveles de decisión
para:
(a) Determinar las estrategias a seguir como respuesta a los riesgos

(b) Definir la forma en que deberán ser administrados estos riesgos
(c) Valorar la eficacia de los controles establecidos
(d) Desarrollar y fortalecer su proceso de control interno. Esta información será base para una
retroalimentación del proceso de gestión de riesgos, dado que “…se trata de un proceso
multidireccional y repetitivo en el que cualquier componente puede influir en otro.”
Además, el fortalecimiento de la gestión de riesgos en la administración pública contribuye a mejorar la

rendición de cuentas, a elevar los niveles de transparencia y a prevenir y reducir prácticas de corrupción e
impunidad.
Las entidades deben gestionar el riesgo de sus programas, proyectos, sistemas, procesos, actividades y
productos relevantes. Además, en forma previa al lanzamiento o presentación de nuevos servicios o
productos, inicio de actividades, puesta en marcha o modificación de sistemas o procesos, también deben
comprobar que se evalúa adecuadamente sus riesgos.
Como uno de los objetivos básicos a cumplir en este punto, corresponde definir las funciones, facultades
y responsabilidades de los servidores públicos o colaboradores que participan en el proceso de gestión de
riesgos, por ejemplo, mediante instrumentos de gestión tales como manuales de: organización y
funciones, descripciones de puestos, de procesos y procedimientos por cada área, entre otros.

2.1.3. CRITERIOS
El riesgo es la posibilidad o probabilidad de que ocurra un evento interno o externo que pudiera afectar
negativamente la capacidad organizacional para alcanzar los objetivos planeados y las metas, programas
y proyectos con eficacia, eficiencia, economía, transparencia y legalidad, dentro del marco de los
principios, preceptos y normas generales de control interno. Se mide en términos del impacto esperado
y la probabilidad de ocurrencia.
El fin último de toda entidad, ya sea pública o privada, con o sin fines de lucro, siempre va a ser la creación
de valor, independientemente de la unidad de medida que utilicemos para medirla. Por consiguiente, para
poder crear valor se requiere gestionar adecuadamente la entidad, y ello necesariamente se traduce en
garantizar el logro de los objetivos propuestos. En consecuencia, partiendo de la definición de riesgo
indicada en el párrafo anterior, gestionar adecuadamente la entidad termina traduciéndose en gestionar
adecuadamente sus riesgos, lo que no se puede llevar a cabo sin el diseño e implementación de un sistema
de gestión de riesgos institucionales (SGRI), el cual a su vez se construye sobre la base del sistema de
control interno (SCI) de la entidad.
Para diseñar e implementar un SGRI es necesario fijar la cantidad de riesgo que está dispuesta a asumir la
entidad para la consecución de sus objetivos, es decir fijar el apetito al riesgo, y dentro de éste, el riesgo
aceptado, así como los niveles máximos de variación y la capacidad máxima para afrontarlos. A
continuación, la Figura 22 muestra gráficamente los conceptos anteriormente señalados.
Figura 22
Apetito, tolerancia y capacidad de riesgo
Fuente: Instituto de Auditores Internos de España. (junio de 2013). Definición e implantación de Apetito de Riesgo.
(Instituto de Auditores Internos de España, Ed.) Recuperado el 15 de enero de 2018, de La Fábrica de
Pensamiento: https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf
El apetito al riesgo se define como una ponderación de alto nivel de cuánto riesgo (cantidad de
exposición a impactos adversos potenciales) la entidad está dispuesta a aceptar para alcanzar sus
objetivos. Por ello, para posibilitar la generación de valor, las entidades deben sopesar los riesgos y las
oportunidades, y es en este contexto que el apetito al riesgo sirve de guía para la toma de decisiones y la
asignación de los recursos, alineando a toda la entidad con la consecución de los objetivos fijados y
permitiendo el seguimiento y monitoreo de los resultados y sus riesgos asociados.

En otras palabras, el apetito al riesgo hace referencia a la cantidad agregada de riesgo que la entidad
activamente desea o está dispuesta a asumir para obtener valor.
El SGRI debe estar alineado con la estrategia de la entidad y con su cultura, teniendo en cuenta la naturaleza
de sus operaciones. Los órganos de dirección y control deben apoyar e impulsar la gestión de riesgos
institucionales, asegurándose que se transmita e integre a toda la organización y sus operaciones diarias. Por
ello, la definición de roles y responsabilidades para la gestión de los riesgos institucionales resulta siendo un
factor crítico de éxito para su implementación en la entidad.
El proceso de fijación del apetito al riesgo es específico para cada entidad, proceso y área, y es
responsabilidad compartida entre la MAI, la MAE, el Comité de Riesgos (COR), y los responsables
jerárquicos de las áreas y unidades de la entidad, en coordinación con el COCOIN.
Asimismo, el concepto de apetito al riesgo se encuentra íntimamente ligado a otras dos variables y sus
intervalos: la tolerancia al riesgo y la capacidad de riesgo.
La tolerancia al riesgo se define como los límites de la variación aceptable en el desempeño relacionado
con el logro de los objetivos, es decir los límites de la desviación con respecto del apetito al riesgo o
riesgo aceptado.
La capacidad de riesgo es la máxima cantidad de riesgo que una entidad es capaz de afrontar en la
persecución de sus objetivos.
Así, la tolerancia sirve como alerta para evitar que la entidad alcance el nivel establecido en su capacidad de
riesgo, lo que podría significar un impedimento para la continuidad de las operaciones.
Cada entidad persigue varios objetivos al mismo tiempo para agregar valor a sus grupos de interés,
debiendo entender el apetito como el riesgo que desea aceptar, siempre que esté dentro de sus límites y
tenga control sobre él para alcanzar sus objetivos.
Se debe verificar que el riesgo asumido en cada momento sea aceptado al estar dentro de los límites que
marca su apetito, evitando que se acerque al nivel de tolerancia establecido, tomándose medidas lo antes

posible para reducir la exposición a ese riesgo, evitando llegar al límite de su capacidad. La Figura 23
muestra gráficamente lo señalado anteriormente.
Figura 23
Exposición al riesgo en el tiempo
Fuente: Instituto de Auditores Internos de España. (junio de 2013).

Definición e implantación de Apetito de Riesgo. (Instituto de
Auditores Internos de España, Ed.) Recuperado el 15 de enero de
2018, de La Fábrica de Pensamiento:
https://auditoresinternos.es/uploads/media_items/apetito-de-
riesgo-libro.original.pdf
El siguiente ejemplo cotidiano ilustra con claridad los conceptos tratados. Imagínese que usted está
viajando en su automóvil, y que este admite una velocidad máxima de 200 km/h. Pero teniendo en cuenta
su habilidad para conducir, el tipo y condiciones de la vía, el clima y el estado de mantenimiento del
vehículo, entre otros factores, usted considera que podría tolerar ir a 160 km/h. Así, considerando que su
objetivo es llegar a su destino lo antes posible, pero de forma segura, decide que la velocidad máxima a la
que conducirá es de 100km/h, dado que es la velocidad que le permite hacer el recorrido respetando los
límites de velocidad establecidos, en un tiempo adecuado y con comodidad. Este sería por lo tanto su nivel
de apetito al riesgo.
A continuación, la Figura 24 muestra como ejemplo el caso de una empresa que debe decidir sobre una
puja (subasta) en un concurso para la adjudicación de una licencia de explotación.

Figura 24
Ejemplo de apetito, tolerancia y capacidad de riesgo
Fuente: Instituto de Auditores Internos de España. (junio de 2013). Definición e implantación de Apetito de Riesgo.
(Instituto de Auditores Internos de España, Ed.) Recuperado el 15 de enero de 2018, de La Fábrica de
Pensamiento: https://auditoresinternos.es/uploads/media_items/apetito-de-riesgo-libro.original.pdf
Toda entidad está expuesta a riesgos en todos sus niveles y ámbitos. Los riesgos, en caso de materializarse
en eventos de pérdida, pueden provocar la debilidad financiera hasta la quiebra, ineficiencia e ineficacia
de las operaciones, la baja calidad en los servicios o productos que presta, así como deterioro de la imagen
y credibilidad que proyecta la entidad a la ciudadanía.
Según su naturaleza, los tipos de riesgos a considerar son:
a. Riesgo inherente
Es la incertidumbre que enfrenta la entidad de que se produzcan eventos de pérdida significativos

(errores, irregularidades o fraude) que afecten el logro de sus objetivos, antes de considerar la
efectividad de los sistemas y actividades de control, o cuando la MAE y los responsables jerárquicos
de las áreas y unidades no han realizado acciones para modificar su probabilidad o impacto.
Este riesgo es propio de la naturaleza de la actividad u operaciones de la entidad y, por lo tanto, la

causa que podría hacer que un objetivo no fuera alcanzado. Su análisis se realiza con base en el grado
de certeza sobre la probabilidad que el riesgo se presente y materialice.
Por ejemplo, al analizar el riesgo inherente en el caso de los sistemas y tecnologías de la información,
se tiene la certeza de que en algún momento la conectividad a la Internet presentará fallas. Por lo
tanto, la valoración que se asigne podría ser la más alta sin que ello signifique que falle en todo
momento.
Otros ejemplos de riesgos inherentes son los choques, los volcamientos y atropellos en la actividad
del transporte, o derrumbes y explosiones en la minería.

b. Riesgo aceptado
Es establecido por la alta dirección, es decir las MAE y los responsables jerárquicos de las áreas y
unidades de la entidad al definir su estrategia.
Se define como el riesgo que aceptarían a cambio de lograr sus objetivos, entre ellos agregar valor a
los bienes y servicios públicos para la satisfacción de los grupos de interés. El riesgo aceptado se
refleja en los planes estratégicos, orientando la asignación de los recursos y la definición de los
procesos y funciones, y está directamente relacionado con el apetito al riesgo dentro del que se
encuentra contenido.
Por ejemplo, en el caso de la minería, si bien sus actividades operativas conllevan un alto riesgo
inherente, la alta dirección de una empresa minera está dispuesta a iniciar las operaciones siempre
que se hayan instalado los sistemas y mecanismos de seguridad que permitan operar la mina bajo
ciertos parámetros prestablecidos y aceptados. Ello implica que aun cuando la probabilidad de
accidentes debido a errores humanos o fallas en los sistemas y materiales se encuentran presentes,
y cuyo impacto de presentarse puede ser controlado, la alta dirección empieza las operaciones
aceptando esa probabilidad e impacto por estar dentro de sus límites de gestión. Es decir, el riesgo
residual se encuentra dentro de los límites de aceptación para la gestión y las operaciones.
c. Riesgo residual
Es el riesgo que permanece después que la MAE y los responsables jerárquicos de las áreas y unidades
de la entidad determinaron la respuesta al riesgo a aplicarse y se definió e implementó las actividades
de control pertinentes, con el fin de reducir el impacto o la probabilidad de un acontecimiento
adverso.
Su análisis y valoración se realiza con base en el estado actual, es decir considerando las actividades
de control en funcionamiento y no aquellas propuestas.
El riesgo residual es aquel que después de aplicadas las actividades de control, siempre se mantiene
presente sin afectar las actividades, en tanto se encuentre dentro de los límites aceptables.
Siguiendo con el ejemplo de la minería, el riesgo residual el nivel de riesgo que queda luego de que
se han instalado los sistemas y mecanismos de seguridad en las operaciones que permiten operar la
mina bajo ciertos parámetros prestablecidos y aceptados, haciendo que el riesgo inherente de que
ocurran accidentes debido a errores humanos o fallas en los sistemas y materiales (accidentes
personales, explosiones, derrumbes, entre otros) se reduzca en la probabilidad de ocurrencia y en el
impacto que puedan ocasionar de materializarse.
d. Riesgo tolerable
Es el riesgo que se produzca un desvío relativo a la consecución de los objetivos, y que está dentro de
los niveles de tolerancia al riesgo previamente establecidos, pudiendo ser asumido por la entidad.
Esta tolerancia debe ser medible con las mismas unidades de medida que los objetivos
correspondientes.
Al fijar las tolerancias al riesgo, la MAE debe tener en cuenta la importancia relativa de los objetivos
correspondientes a cada tolerancia y alinear aquellas al riesgo aceptado.

Siguiendo con el ejemplo de la minería, el riesgo tolerable sería aquel en el que producto de las
operaciones en la mina ocurriera una falla inesperada en alguna de las máquinas procesadoras de
mineral, de forma que, para seguir operando en niveles de producción normales, se deba de
incrementar la carga en las otras máquinas o bien incrementar las horas de trabajo para compensar
la situación.
e. Riesgo de control
Es el riesgo que las actividades de control fallen. Es decir, el riesgo que una actividad de control
tendiente a mitigar un riesgo no opere en la práctica en forma eficaz y de acuerdo con el tipo de
medida de control, no prevenga la ocurrencia del evento de pérdida o mitigue su impacto, o, una vez
realizada la operación o finalizado el proceso no detecte que se ha producido una pérdida o no pueda
corregir el efecto que ese evento de pérdida ha generado en la entidad. En resumen, el control
aplicado fue nulo o muy débil.
Para poder realizar una adecuada gestión de los riesgos institucionales que enfrenta la entidad, es
necesario:
1. Tener objetivos claramente definidos, medibles, socializados y aceptados por todo el personal de la
entidad
2. Identificar por cada proceso y área todos los riesgos relevantes que pueden comprometer el logro de
los objetivos de la entidad (estratégicos, operativos, de información y de cumplimiento)
3. Cuantificar los riesgos inherentes, aceptados, residuales y tolerables, es decir, en función de su
impacto potencial y probabilidad de ocurrencia (medirlos-priorizarlos-tratarlos)
4. Evaluar la suficiencia, eficacia, eficiencia y economía de las actividades de control existentes y a
desarrollarse para mitigar los riesgos
5. Decidir sobre los riesgos residuales y documentar las decisiones
6. Identificar oportunamente nuevos riesgos.
En el numeral 2.2 se detallan los roles y responsabilidades que le corresponden a los responsables del
proceso de gestión de los riesgos institucionales de la entidad, los que deben socializados con el resto del
personal.
EGR.1 La MAE, en conjunto con los responsables jerárquicos de las áreas o unidades de la entidad
deben definir por escrito las funciones, facultades, roles, responsabilidades y perfiles que le
corresponden a cada uno de los miembros de la entidad dentro del proceso de gestión de los
riesgos institucionales (ver numeral 2.2).
EGR.2 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben garantizar que
exista y se mantenga una comunicación clara, fluida y efectiva entre los responsables de la
gestión de los riesgos de la entidad, así como la interacción proactiva con la UAI y los organismos
reguladores del Estado, dejando constancia en las actas correspondientes de las reuniones que
se realicen.
EGR.3 En las entidades tipo A, la MAE debe incluir dentro de la entidad:

a. Al Responsable de Coordinación y Seguimiento de Gestión de Riesgos, dependiente de la

MAE y que forme parte del COR.
b. Un COR, dependiente de la MAI e integrado, como mínimo, por:
• Un miembro de la MAI, para el caso de las entidades que cuentan con órganos de
dirección colegiados,
• La MAE en el caso de las entidades con órganos de dirección colegiados; en todas las
demás que no hay órgano de dirección colegiado, participa la MAE o un designado
por la MAE, con rango gerencial y poder de decisión,
• El Responsable de Coordinación y Seguimiento de la Gestión de Riesgos,
• El responsable jerárquico del área de planificación,
• El responsable jerárquico del área de administración y finanzas,
• Los responsables jerárquicos de las unidades relacionadas con la gestión de las áreas
sustantivas de la entidad.
El Comité reporta y asesora a las MAI o a las MAE, según sea el caso, en los temas de gestión de
riesgos.
En todas las entidades debe existir la figura del Responsable de Coordinación y Seguimiento de
la Gestión de Riesgos.
Se considera recomendable la creación del COR en las entidades tipo B. En el caso de las demás
entidades, las funciones correspondientes al COR recaen directamente en la MAE.
Las funciones y responsabilidades del responsable de Coordinación y Seguimiento de la Gestión

de Riesgos y del COR se detallan en los numerales 2.2.4 y 2.2.5, respectivamente.
MARE-CII-RP, Capítulo IV, Normas generales relativas a la evaluación y gestión de riesgos.
2.2. ROLES Y RESPONSABILIDADES DE LA GESTIÓN DE RIESGOS
Corresponde a cada entidad implementar una gestión eficaz de los riesgos, considerando los lineamientos
que se exponen a continuación y teniendo en cuenta las adaptaciones a realizarse en función de sus
necesidades, estructura organizativa y recursos disponibles, así como de la naturaleza de sus actividades,
complejidad de sus procesos, la magnitud de la entidad y otras circunstancias propias de ella.
Las actividades de control deben estar encaminadas a minimizar los diferentes tipos de riesgos, motivo
por el cual forman parte integral del plan de implementación del control interno y la gestión de los
riesgos en la entidad.
La MAI, MAE, responsables jerárquicos de las áreas y unidades de la entidad en general, y el Responsable
de Coordinación y Seguimiento de la Gestión de Riesgos en particular, deben evidenciar un alto grado de

compromiso tendiente a mantener una sólida cultura de gestión de riesgos institucionales y que las
actividades relacionadas con este proceso formen parte de las operaciones diarias de la entidad.
2.2.1. MÁXIMA AUTORIDAD INSTITUCIONAL (MAI)
La Máxima Autoridad Institucional (MAI) es el órgano que en reuniones con votación de la mayoría de sus
miembros toman las principales decisiones sobre las políticas y gobierno de la entidad, las que quedan
registradas por el secretario (Máxima Autoridad Ejecutiva, MAE) como acuerdos en las actas respectivas;
siendo ejecutados los acuerdos bajo la coordinación de la MAE, y supervisada su ejecución mediante
informes presentados por la MAE, la UAI u otro órgano competente de la entidad. Esta supervisión se
relaciona directamente con el control interno y la gestión de riesgos.
Los miembros de la MAI que aprueban las decisiones son responsables solidarios por las mismas, excepto
cuando se han definido claramente los roles, control interno, riesgos y responsabilidades en la estructura
organizacional.
Los miembros de la MAI deben ser objetivos y capaces de tomar decisiones con base en información
confiable, veraz, oportuna y completa para el logro de los objetivos institucionales. Deben tener un
adecuado conocimiento de las actividades y del ambiente de la entidad. Asimismo, están facultados para
emplear los recursos disponibles y solicitar información sobre cualquier asunto que consideren
importante, sobre ampliaciones de la información, de manera presencial o escrita a través de los canales
debidamente establecidos.
La MAI puede cumplir con sus responsabilidades mediante comités. Su uso y centros de atención varían
de una entidad a otra, encontrándose entre éstos a los de auditoría y riesgos, entre otros.
La MAI supervisa la gestión de riesgos institucionales mediante:
2.2.1.1. Conocer hasta qué punto la administración de la entidad ha establecido la gestión de riesgos
institucionales
2.2.1.2. Aprobar, conocer y estar de acuerdo con el apetito y tolerancia al riesgo de la entidad
2.2.1.3. Revisar la visión de portafolio de riesgos y considerarla contra el apetito al riesgo de la entidad
2.2.1.4. Estar informado de los riesgos más significativos que enfrenta la entidad y conocer si la
administración está respondiendo adecuadamente
2.2.1.5. Otras funciones que las leyes y normas específicas pueden otorgarle.
2.2.2. MÁXIMA AUTORIDAD EJECUTIVA (MAE)
Es responsable de que la entidad cuente con una estrategia adecuada para la gestión de riesgos. Fija la
estrategia y la implanta, se asegura de que los riesgos son gestionados, y es consciente del nivel de riesgo
aceptado, estando de acuerdo con él. Para el caso de las empresas del Estado se trata de la Gerencia
General, órgano que ejerce la representación legal de la entidad.

Para ello tiene a su cargo las siguientes funciones principales:
2.2.2.1. Aprobar el sistema que va a utilizarse para la gestión de riesgos, cuya periodicidad mínima de
revisión es anual o cada vez que se produzcan, a juicio de la entidad, hechos o situaciones de
relevancia vinculadas con los riesgos determinados.
2.2.2.2. Identificar la capacidad de riesgo de la entidad, y en función de ésta proponer al COR los niveles
de apetito y tolerancia al riesgo a ser aprobados por la MAI.
2.2.2.3. Implementar y controlar los lineamientos estratégicos para la puesta en práctica y

funcionamiento del sistema de gestión de riesgos aprobado. El sistema debe ser aplicado en
forma consistente en toda la entidad, debiendo los miembros de todos los niveles de la
organización comprender sus responsabilidades respecto de la administración de los riesgos.
2.2.2.4. Asegurar que existan, y aprobar, procesos y procedimientos aplicables a cada área o unidad,
destinados a la gestión de los riesgos en los procesos, actividades, productos y sistemas de la
entidad.
2.2.2.5. Tener un claro conocimiento de los procedimientos para gestionar los riesgos y de su grado de
cumplimiento. Para ello debe recibir, con una periodicidad mínima semestral, información
suficiente que permita analizar el perfil general de riesgos de la entidad y verificar las
implicancias estratégicas y sustanciales para su actividad.
2.2.2.6. Asegurar que el sistema para la gestión de riesgos esté sujeto a un proceso de auditoría interna
que considere una adecuada cobertura y profundidad de las revisiones y la adopción oportuna
de medidas correctivas por parte de los responsables de las áreas auditadas.
2.2.2.7. Establecer líneas claras de autoridad, responsabilidad y comunicación con las distintas áreas y
unidades de la entidad para fomentar y mantener la asunción de responsabilidades.
2.2.2.8. Aprobar las políticas de difusión del sistema de gestión de riesgos y de capacitación, dirigidas a
todas las áreas y a todos los servidores públicos o colaboradores de la entidad.
2.2.2.9. Aprobar la política para la difusión a terceros de la información que corresponda sobre el
sistema de gestión de riesgos. El contenido de esta información y sus características serán
proporcionales al volumen, complejidad y perfil de riesgo de las operaciones de la entidad.
2.2.2.10. Asegurar la disponibilidad de recursos materiales, financieros y logísticos suficientes para la

realización de una gestión eficaz de los riesgos.
2.2.2.11. Garantizar que la entidad cuente con personal técnicamente calificado, así como también con
los recursos necesarios para la coordinación y seguimiento de la gestión de riesgos.
2.2.2.12. Dar instrucciones para la implementación de las acciones necesarias, dentro del marco legal
vigente, para atender las recomendaciones en materia de control interno formuladas por la
ONADICI, la auditoría interna o externa, los comités existentes en la entidad (COCOIN, COR,
COA, entre otros) y otros entes reguladores del Estado.

2.2.2.13. Dar instrucciones para la elaboración de informes, como mínimo trimestralmente, sobre la
implementación de las acciones necesarias para atender las recomendaciones indicadas en el
numeral anterior (2.2.2.12).
2.2.2.14. Establecer medidas para evitar el conflicto de intereses durante el análisis, valoración,
respuesta y monitoreo de los riesgos institucionales.
2.2.2.15. Supervisar que los responsables de las áreas y unidades de la entidad establezcan los
mecanismos de supervisión verificables que garanticen el cumplimiento de las normas,
políticas, procesos y procedimientos de la entidad y de aquellos emitidos por los entes
reguladores del Estado.
2.2.3. RESPONSABLES JERÁRQUICOS DE LAS ÁREAS Y UNIDADES DE LA ENTIDAD
Los responsables jerárquicos de las áreas y unidades de la entidad con el personal operativo, quienes
fungen como responsables de los procesos, son los que gestionan los riesgos institucionales con el fin de
minimizar la posibilidad de que los hechos o acontecimientos que causan los eventos de pérdida (riesgos)
se materialicen, o reducir el impacto que puedan provocar en la entidad.
Las funciones principales vinculadas a la gestión de los riesgos son:
2.2.3.1. Aplicar en las distintas áreas y unidades, según su ámbito de competencia, los procesos y
procedimientos definidos para la gestión de los riesgos, debiendo asegurar que tanto los
procedimientos como las actividades de control sean adecuadas y eficaces.
2.2.3.2. Gestionar los riesgos institucionales dentro de sus áreas de responsabilidad y según el nivel de
riesgo aceptado, identificando y evaluando los riesgos generados en los procesos de la entidad,
apoyando la filosofía de gestión del riesgo y promoviendo el cumplimiento a la aplicación del
riesgo aceptado en la toma de decisiones.
2.2.3.3. Informar al Responsable de Coordinación y Seguimiento de la Gestión de Riesgos acerca de los

resultados de la ejecución de los procesos y procedimientos de gestión de los riesgos, con la
periodicidad establecida de acuerdo con su tamaño, la naturaleza y complejidad de los
procesos y productos, y con la magnitud de sus operaciones, debiendo hacerlo, como mínimo,
en forma trimestral.
2.2.3.4. En su gestión, cada responsable jerárquico debe mantener una comunicación fluida y efectiva
con los responsables de la gestión de otros riesgos (otros responsables de procesos), e
interactuar con la UAI y auditoría externa, cualquiera sea su origen (estatal o privado), sobre
temas que ayuden a tener una visión más general y objetiva de la gestión global de los riesgos
que enfrenta la entidad.
2.2.3.5. En su gestión, cada responsable jerárquico de área y unidad debe revisar y agregar valor a los
manuales, informes y demás documentos que emitan o fluyan a través de su área y unidad,
hacia interior o afuera de la entidad.

2.2.3.6. En su gestión, cada responsable jerárquico de área y unidad debe formular y revisar
periódicamente los indicadores de riesgo que le competen con el fin de proponer
reformulaciones en función de la naturaleza de los eventos de pérdida ocurridos.
2.2.3.7. Establecer los mecanismos de supervisión verificables que garanticen el cumplimiento de las
normas, políticas, procesos y procedimientos de la entidad y de aquellos emitidos por los entes
reguladores del Estado.
2.2.4. RESPONSABLE DE COORDINACIÓN Y SEGUIMIENTO DE LA GESTIÓN DE RIESGOS
Esta función considera las siguientes características principales:
2.2.4.1. El Responsable de Coordinación y Seguimiento de la Gestión de Riesgos es designado por la

MAE y depende funcionalmente de ella.
2.2.4.2. Debe apoyar y asistir a todas las unidades organizacionales de la entidad para la realización de
una buena gestión de riesgos en sus áreas de responsabilidad, propiciando acciones que
coadyuven al cumplimiento eficaz de los objetivos inherentes a su actividad y permitan alcanzar
los objetivos estratégicos de la entidad, de acuerdo con los estándares dispuestos y la adopción
de las mejores prácticas.
2.2.4.3. Participar en la elaboración y ejecución del PEI; así como apoyar en elaborar los proyectos del
POA y los proyectos internos que le sean asignados.
2.2.4.4. Proponer al COR las políticas, procedimientos y metodologías apropiadas para la Gestión de
Riesgos en la entidad, considerando adicionalmente la gestión de continuidad de negocios y
seguridad de la información, incluyendo roles y responsabilidades.
2.2.4.5. Velar por una competente gestión de riesgos, continuidad de negocios y seguridad de la
información, promoviendo el alineamiento de las medidas de tratamiento de los riesgos de la
entidad con los niveles de tolerancia al riesgo y el desarrollo de las actividades de control
adecuadas.
2.2.4.6. Guiar la integralidad entre la gestión de riesgos, los planes institucionales y las actividades de
gestión operativa de la entidad.
2.2.4.7. Coordinar las políticas de gestión de riesgos de reputación e imagen institucional, y las de
seguridad legal que comprendan el análisis, la evaluación y el tratamiento de los riesgos
relacionados.
2.2.4.8. Asegurar que los responsables jerárquicos de las áreas hayan evaluado y dado el seguimiento
a los riesgos identificados de acuerdo con la metodología establecida previo al lanzamiento de
nuevos productos o servicios.
2.2.4.9. Efectuar el monitoreo del cumplimiento de las políticas, lineamientos, metodologías y

procedimientos establecidos en el Sistema de Gestión de Seguridad de la Información y

Continuidad del Negocio de la entidad utilizando las herramientas físicas o tecnológicas de las
que se dispongan.
2.2.4.10. Promover una cultura institucional de gestión de riesgos entre los responsables jerárquicos de
las áreas y unidades, y éstos a su vez con sus subordinados, que coadyuve al cumplimiento de
los objetivos estratégicos de la entidad.
2.2.4.11. Articular los principales procesos que la entidad necesite para gestionar los riesgos, adoptando
los mecanismos que permitan una comunicación, interacción y coordinación efectiva con los
responsables de los procesos.
2.2.4.12. Recibir de los responsables jerárquicos de las áreas y unidades de la entidad, informes con los
resultados de la ejecución de los procesos y procedimientos con la periodicidad que la entidad
establezca de acuerdo con su tamaño, la naturaleza y complejidad de sus procesos y productos,
y con la magnitud de sus operaciones, la que debe ser, como mínimo, trimestral; consolidando
la información y presentándola a la MAE para la toma de decisiones.
2.2.4.13. Realizar el seguimiento eficaz de los eventos de pérdidas para facilitar la rápida detección y
corrección de las posibles deficiencias que se produzcan en sus políticas, procesos y
procedimientos de gestión de los riesgos.
2.2.4.14. Coordinar con la auditoría interna o externa, además de las áreas y unidades, para la obtención
de información sobre eventos de pérdida identificados que conduzcan a la construcción de la
base de datos de pérdida de la entidad.
2.2.4.15. Asegurar que los indicadores de riesgo de las áreas y unidades hayan sido formulados de
acuerdo con la metodología de cálculo establecida, sea cualitativa o cuantitativa.
2.2.4.16. Informar a la MAE y al COR sobre los aspectos relevantes de la gestión de riesgos para una
oportuna toma de decisiones (ejemplo: posibles deficiencias en la aplicación de las políticas,
procesos y procedimientos de la gestión de riesgos), presentando las correspondientes
propuestas para su solución, con la periodicidad establecida. El informe debe ser, como
mínimo, semestral, y una vez analizado y aprobadas las propuestas de mejora por la MAE y el
COR, se comunica a los responsables jerárquicos de las áreas y unidades afectadas para que
adopten las medidas correctivas aprobadas.
2.2.4.17. Puede coordinar y solicitar apoyo a través de la MAE al personal de otras áreas, siempre que
las responsabilidades asignadas no impliquen conflictos de intereses.
2.2.4.18. Debe existir independencia entre el Responsable de la Coordinación y Seguimiento de la

Gestión de Riesgos y las áreas y unidades de la entidad involucradas, así como una clara
delimitación de funciones, responsabilidades y definición de perfil de puestos en todos sus
niveles.
El perfil de esta función implica un conocimiento profundo de las operaciones de la entidad, así como
poseer una visión global de la misma, considerándose deseable que, entre otros, los servidores o
colaboradores con experiencia previa en áreas tales como gestión de calidad, gestión de riesgos, auditoría
interna o planificación serían los más calificados para desempeñar este rol. Para el caso de los de auditoría
interna se requiere que no se encuentren actualmente en funciones en la UAI.

2.2.5. COMITÉ DE RIESGOS (COR)
En el caso de que el tamaño de la entidad, la magnitud de las operaciones y la naturaleza y complejidad

de los procesos y productos que brinda lo requiera, la MAE debe incluir dentro de la entidad un COR,
dependiente de la MAI e integrado mínimamente de acuerdo con lo establecido en la EGR.3.
La periodicidad mínima de las reuniones es trimestral, en concordancia con la revisión trimestral del POA
y reuniones extraordinarias cada vez que existan situaciones que ameriten o a solicitud de cualquiera de
sus miembros.
Los informes del COR son de conocimiento de la MAE y enviados a la MAI, quien luego de analizarlos y
aprobarlos los presenta al Comité de Auditoría para su conocimiento y seguimiento de su cumplimiento.
Entre las principales funciones del COR se encuentran:
2.2.5.1. Proponer lineamientos, políticas, organización, procedimientos y metodología para la gestión

de riesgos, así como las modificaciones que se realicen a los mismos.
2.2.5.2. Revisar la propuesta de nivel de tolerancia y el grado de apetito al riesgo propuestos por la
MAE que la entidad está dispuesta a asumir en el desarrollo sus actividades, y elevarla a la MAI
para su aprobación.
2.2.5.3. Revisar y controlar la implementación de la gestión de los riesgos que realizan los responsables
jerárquicos de las áreas y unidades dentro de sus propias atribuciones.
2.2.5.4. Establecer canales de comunicación efectivos para que las áreas involucradas en la toma,
registro, identificación y administración de los riesgos tengan conocimiento de los riesgos
asumidos.
2.2.5.5. Analizar la evolución de la gestión de los riesgos de la entidad, determinar y analizar la

existencia de desvíos en el cumplimiento de los objetivos, y proponer mejoras en los procesos
operativos y revisar los informes propuestos por el Responsable de Coordinación y Gestión de
los Riesgos, que incluyen los planes de acción consensuados para mejorar la gestión de los
riesgos.
2.2.5.6. Fijar un plan de las acciones a ejecutarse para la adecuada mejora de las actividades de control
vigentes o la implementación de nuevas actividades de control viables, asignando responsables
de tareas y plazos razonables de cumplimiento, que deberán ser objeto de seguimiento
oportuno por parte del COCOIN.
2.2.6. UNIDAD DE AUDITORÍA INTERNA
El rol principal de la auditoría interna es proporcionar asesoramiento, consulta y aseguramiento objetivo

e independiente a la MAI o MAE respecto de la eficacia de las actividades de gestión de los riesgos

institucionales de la entidad, para contribuir a garantizar que los riesgos clave se están gestionando
correctamente y que el sistema de control interno está funcionando eficazmente.
Los auditores internos pueden asesorar, cuestionar o respaldar las decisiones de la MAE y de los
responsables jerárquicos de las áreas o unidades respecto a temas de riesgos, pero no pueden tomar
decisiones, dado que la MAE y los responsables jerárquicos de las áreas y unidades son los responsables
de la gestión de los riesgos.
Como principio básico de resguardo y atendiendo a una efectiva separación de funciones, el auditor
interno no debe realizar actividades relacionadas con la gestión de riesgos que puedan afectar su
independencia y objetividad, exceptuando las correspondientes a su área.
La UAI realiza el monitoreo independiente de la gestión de riesgos y no puede, bajo ningún punto de vista,
gestionar los riesgos. En cambio, tiene funciones de asesoramiento del proceso (consultor interno).
La estructura organizacional de la UAI debe estar de acuerdo con los lineamientos establecidos en las guías
emitidas por la ONADICI.
A continuación, se detallan ejemplos de las actividades que puede desempeñar:
a. Actividades que puede desempeñar:
• Otorgar aseguramiento respecto de los procesos de gestión de riesgos y de la evaluación correcta

de los riesgos
• Evaluar el proceso de gestión de riesgos institucionales y los informes sobre los riesgos clave
• Revisar la gestión de los riesgos clave
• Presentar los informes a la MAI o MAE con sus recomendaciones.
b. Actividades que puede realizar tomando los resguardos pertinentes:
• Actuar como facilitar en la identificación y evaluación de los riesgos por área cuando le sea
solicitado
• Asesorar a la MAI, MAE y a los responsables jerárquicos de las áreas o unidades en la etapa de
selección de la respuesta a los riesgos
• Analizar y evaluar los informes sobre riesgos consolidados presentados por el COR
• Contribuir a mantener y promover en la entidad el enfoque de gestión de riesgos institucionales
2.3. PLANIFICACIÓN
“El control interno de gestión de los entes públicos debe apoyarse en un sistema de planeación para
asegurar una gerencia pública por objetivos”.
“…dichos objetivos deben estar interrelacionados con los planes y programas de gobierno tanto de
desarrollo económico y social como de prestación de los servicios básicos a la comunidad, …”.

2.3.2. PROPÓSITO
Establecer a través de los planes estratégicos institucionales (PEI), planes operativos anuales (POA) y
presupuestos financieros de ingresos y egresos y sus correspondientes POA Presupuesto, conocidos y
aceptados por el personal, cuáles son los objetivos que se pretende lograr y controlar.
Los objetivos de la entidad se clasifican en estratégicos, operacionales, de información y de cumplimiento.
El proceso de planificación implica la definición de un PEI con premisas y políticas de carácter general que
definen la asignación de los recursos y las prioridades que es necesario atender para producir y entregar
los productos y servicios.
Al considerar las posibles formas alternativas de alcanzar los objetivos estratégicos, la dirección analiza
escenarios, identifica los riesgos asociados a una amplia gama de elecciones estratégicas y los evalúa
considerando sus implicancias.
Al fijar los objetivos específicos de la entidad, tomando como principios básicos el gerenciamiento de los
recursos públicos sobre la base del cumplimiento de los objetivos y de una gestión adecuada de los riesgos,
se está asegurando el cumplimiento de los siguientes propósitos:
(a) Proteger el patrimonio de los ciudadanos al garantizar el buen uso de los recursos aportados por
sus impuestos, protegiendo los activos financieros y no financieros del Estado
(b) Generar valor para la entidad, al mejorar la gestión de los servicios públicos
(c) Asegurar la transparencia y rendición de cuentas, al generar y difundir información confiable de
las entidades relacionada con el logro de sus objetivos
(d) Optimizar el uso de los recursos públicos, reduciendo los gastos innecesarios e invirtiendo
adecuadamente el Presupuesto Institucional, buscando optimizar la eficiencia operacional
(e) Mejorar la calidad de los servicios que se le otorga a los ciudadanos, lo cual implica alcanzar los
objetivos económicos y sociales que todo gobierno debe establecer
(f) Modernizar y transformar las entidades públicas, a través de la mejora continua de los procesos,
con eficiencia, eficacia y economía.
Los objetivos establecidos en el nivel estratégico sirven de base para la definición de los objetivos
relacionados: operacionales, de información y de cumplimiento. Los objetivos y las metas determinados
en estos ámbitos deben estar alineados con el nivel de riesgo aceptado definido por la entidad, que orienta
a su vez los niveles de tolerancia al riesgo (riesgo tolerable). Los objetivos fijados en los distintos niveles
de la entidad deben estar alineados, articulados, vinculados e integrados y ser coherentes y compatibles
entre sí.
Las entidades normalmente dejan implícitos los objetivos y metas referidos a la información y el
cumplimiento normativo, por lo que es fundamental que los mismos sean formalizados por la MAE en el
PEI y al especificarse las pautas consideradas al diseñar y desarrollar el POA, con el fin de que todas las
áreas y unidades de la entidad cumplan con el logro de tales objetivos.
Anualmente, y tomando como premisa el cumplimiento del PEI, debe diseñarse y emitirse el POA
correspondiente. “El POA debe generar metas y objetivos específicos y de corto plazo a alcanzar, que
determinen las acciones concretas a realizar e identifiquen, entre otros, los recursos disponibles, los
responsables de llevarlos a la práctica, la coordinación entre las unidades participantes y la identificación

y el análisis de los riesgos pertinentes. Dichas metas deben estar desagregadas en sub periodos para
facilitar su medición y evaluación.”
En concordancia con el POA, “El presupuesto de ingresos y egresos indica los recursos financieros
necesarios para ejecutar el POA, de conformidad con las disposiciones aplicables.”
2.3.3. CRITERIOS
“La identificación y evaluación de los riesgos, como componente esencial del proceso de control interno,
debe ser sustentado por un sistema participativo de planificación que considere la misión y la visión
institucionales, así como objetivos, metas y políticas establecidos con base en un conocimiento adecuado
de los medios interno y externo en que la organización desarrolla sus operaciones.”
La definición de los objetivos estratégicos de la entidad y la fijación de las prioridades implica determinar
la propuesta de valor que ofrece la entidad según su capacidad y especialización, poniendo énfasis en los
servicios y bienes que provee a la sociedad. Las cuatro perspectivas a considerar son las siguientes:
(a) Obtención de los mejores resultados (sociales, financieros y políticos) en función de los
requerimientos de los diferentes grupos de interés a los que la entidad debe satisfacer
(b) Atención de las necesidades, prioridades y expectativas de los ciudadanos, usuarios y clientes
(internos y externos)
(c) Mejora de los procesos internos y operacionales
(d) Innovación, aprendizaje y crecimiento del personal y la infraestructura de la entidad.
La Guía 1 “Ambiente de Control”, en el numeral 1.2.4 establece como práctica obligatoria: “AMC.4 La MAE,
con los responsables jerárquicos de todas las áreas o unidades de la entidad, debe formular, o si
corresponde, mejorar y actualizar la propuesta de visión, valores y objetivos estratégicos de la entidad en
forma anual, de acuerdo con la normatividad emitida por el ente rector en la materia.” Cabe aclarar que
en esta actividad también participa el responsable jerárquico del área de planificación. Asimismo, y al
formular tales objetivos, debe tomarse en cuenta y definirse la estrategia a aplicar a los riesgos (nivel de
riesgo aceptado, tolerancia al riesgo, umbrales de alerta, entre otros).
Tanto los objetivos definidos en el PEI y en los proyectos de mediano plazo (plurianuales), como las metas,
políticas y programas determinados en el POA, deben estar sobre la base de y estar alineados y articulados
con las normativas de mayor rango, tales como:
i. Los principios, objetivos nacionales y metas de prioridad nacional definidos en la Visión de País
ii. Los lineamientos estratégicos, objetivos e indicadores determinados en el Plan de Nación
iii. El Plan de Gobierno vigente
iv. El marco normativo que rige el funcionamiento de la entidad, el que incluye, entre otros:
• Normas de creación y reglamentación de los objetivos y actividades de la entidad
• Ley General de Administración Pública, el Reglamento de Organización, Funcionamiento y
Competencias del Poder Ejecutivo y las pautas dadas por la Secretaría de Finanzas
• Otras normas técnicas fijadas por los organismos rectores (TSC, SEFIN, SCGG, ONADICI, ONCAE,
entre otros).

Por otra parte, la aplicación de la metodología conocida como “análisis FODA o SWOT”3 para la fijación de
los objetivos y metas de la entidad, a través del análisis del entorno y de la entidad, ayudan a través de su
identificación y valorización, a la potenciación de las fortalezas, al aprovechamiento de las oportunidades,
la mitigación de las amenazas externas y la atención de las debilidades internas de las entidad,
conduciendo al establecimiento de una estrategia amplia, así como de los factores claves o críticos para el
éxito de la entidad.
En cuanto a los criterios a considerar para la formulación del POA, tal como lo indica el precepto de
Planeación del Marco Rector de Control Interno Institucional de los Recursos Públicos emitido por el TSC
(Declaración TSC-PRECI-01.01), el POA debe incluir como mínimo los siguientes siete (7) elementos:
i. Los objetivos, resultados o metas que se deben alcanzar

ii. Las actividades a ejecutar
iii. El tiempo estimado de duración de la ejecución
iv. Los insumos a invertir
v. Los responsables
vi. Los estándares o indicadores de resultado, desempeño e impacto de la gestión, incluyendo los
relativos a la eficiencia de las operaciones
vii. Las condicionantes de la ejecución de las actividades y los riesgos del logro de los objetivos.
EGR.4 La MAE y el responsable jerárquico del área de planificación, con el concurso de los responsables
jerárquicos de todas las áreas y unidades de la entidad y con la participación organizada de los
representantes de los servidores públicos o colaboradores, establecen formalmente, y revisan
como mínimo anualmente la misión, visión, valores, objetivos, metas, políticas y programas
institucionales, así como los niveles de riesgo aceptable (apetito al riesgo) y de tolerancia al
riesgo, considerando:
a. Los principios, objetivos nacionales y metas de prioridad nacional definidos en la Visión de

País
b. Los lineamientos estratégicos, objetivos e indicadores determinados en el Plan de Nación
c. El Plan de Gobierno vigente
d. El marco normativo que rige el funcionamiento de la entidad, el que incluye, entre otras:
• Normas de creación y reglamentación de los objetivos y actividades de la entidad
• Ley General de Administración Pública, el Reglamento de Organización, Funcionamiento
y Competencias del Poder Ejecutivo y las pautas dadas por la Secretaría de Finanzas
• Otras normas técnicas fijadas por los organismos rectores (TSC, SEFIN, SCGG, ONADICI,
ONCAE, entre otros).
EGR.5 Los responsables jerárquicos de todas las áreas y unidades, con la participación organizada de
sus subordinados, y de acuerdo con los lineamientos y procedimientos establecidos por el área
de planificación, deben establecer formalmente los objetivos y metas cada área o unidad
3
FODA es el acrónimo del método de análisis estratégico para las fortalezas, oportunidades, debilidades y amenazas,
así como SWOT es el equivalente en inglés para el mismo método, cuyas letras corresponden a “strengths,
weaknesses, opportunities and threats”.

administrativa (o subobjetivos), los que deben estar alineados y articulados con los objetivos
fijados por la entidad, ser compatibles internamente, determinando los niveles de riesgo
aceptado (apetito al riesgo) y de tolerancia para los riesgos que gestionan.
EGR.6 Las MAE y los responsables jerárquicos de todas las áreas y unidades deben asegurarse de que
los objetivos y metas sean formulados en forma realista, en función de la disponibilidad prevista
de los recursos necesarios y suficientes para el logro de las metas, los que deben estar
adecuadamente proyectados, especificados, priorizados y asignados, debiendo figurar
claramente en el POA y en el Presupuesto General de Ingresos y Egresos.
EGR.7 Las MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad deben
realizar reuniones periódicas – como mínimo trimestrales, y en conjunto con la revisión del POA
– con el fin de evaluar si los objetivos y las metas han sido alcanzados.
Cada reunión debe quedar debidamente documentada a través de un informe detallado

realizado con el aporte de todos los miembros de la alta gerencia y coordinado por el responsable
del área de Planificación, acompañado de un Acta de Reunión con las principales conclusiones a
las que se ha arribado y los respectivos compromisos asumidos, el que es firmado por la alta
gerencia y la MAE de la entidad, enviándose copia de esta al COCOIN.
EGR.8 La MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad, para
efectos de establecer los objetivos y metas en los distintos niveles de la entidad, deben analizar
el contexto institucional considerando sus efectos potenciales en el perfil de riesgos de la
entidad, debiendo tener en cuenta lo siguiente:
a. Comprender el contexto de la entidad, considerando que éste se refiere a tendencias,

relaciones y otros factores que influencian la estrategia y objetivos actuales y futuros de la
entidad; y que es dinámico, complejo e impredecible
b. Considerar el ambiente externo a la entidad y a los grupos de interés externos
c. Considerar el ambiente interno de la entidad y a los grupos de interés internos
d. Cómo el contexto de la entidad afecta a los riesgos a los que se expone la entidad.
EGR.9 La MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad deben
proponer al COR el apetito y la tolerancia al riesgo dentro del contexto de la creación,
preservación y logro del valor en la entidad.
EGR.10 El COR debe revisar la propuesta del apetito y la tolerancia al riesgo formulada por la MAE, y de
considerarla adecuada, elevarla para su aprobación por la MAI.
EGR.11 LA MAI debe revisar la propuesta del apetito y la tolerancia al riesgo elevada por el COR, y
formulada por la MAE, y de considerarla adecuada, aprobarla para su aplicación en la entidad.
EGR.12 La MAE y los responsables jerárquicos de las áreas o unidades principales de la entidad deben
evaluar estrategias alternativas, así como su impacto potencial en el perfil de riesgos de la
entidad.
EGR.13 La MAE y los responsables jerárquicos de las áreas y unidades principales de la entidad deben
considerar los riesgos mientras establecen los objetivos de la entidad en los diferentes niveles
alineados y soportados por la estrategia.

MARE-CII-RP, TSC-PRECI-01 Planeación, TSC-PRECI-02-01 Eficacia y TSC-NOGECI IV-02 Planificación.
2.4. INDICADORES MENSURABLES DE DESEMPEÑO
Ver numeral 3.6 de la Guía 3 “Actividades de Control”, denominado “Controles de Gestión”.
2.5. DIVULGACIÓN DE LOS PLANES
“Los planes deberán ser divulgados oportunamente entre el personal respectivo para procurar un
conocimiento y una aceptación generales y obtener el compromiso requerido para su cumplimiento”.
2.5.2. PROPÓSITO
Una vez que los planes oficiales (estratégicos, operativos anuales y presupuestarios) han sido elaborados
y están listos para entrar en vigencia, deben ser comunicados formalmente en forma oportuna (con acuse
de recibo) a todos los servidores públicos o colaboradores que laboran en la entidad, con el fin de que
sean conocidos, comprendidos y aceptados por el personal de las áreas y unidades encargadas de ejecutar
las actividades necesarias para el logro de los objetivos de la entidad, de conformidad con sus
responsabilidades y para lograr el compromiso de su parte.
La Guía 1 “Ambiente de Control”, en el numeral 1.2.4, plantea dentro de su práctica obligatoria “AMC.6 La
MAE, con los responsables de todas las áreas o unidades de la entidad, en coordinación con el COCOIN,
debe difundir ampliamente al personal el Plan Estratégico Institucional, el POA y el Presupuesto
Institucional aprobado por el Congreso Nacional. Es necesario que exista plena consistencia entre el POA y
el presupuesto aprobado. En el caso que haya ampliaciones o recortes al Presupuesto Institucional, el POA
debe ser adecuado a las nuevas circunstancias.”
2.5.3. CRITERIOS
Se requiere una comunicación formal, oportuna, eficaz y verificable (con acuse de recibo),
recomendándose la socialización de los principales objetivos y metas a través de talleres y reuniones de
sensibilización.
La difusión debe incluir los planes originales y también las modificaciones, actualizaciones y ajustes
significativos.
EGR.14 La MAE y el responsable jerárquico del área de planificación, con apoyo de los responsables de
todas las áreas y unidades de la entidad, deben comunicar formal y oportunamente al personal
de la entidad, la misión, visión, valores, objetivos, metas, políticas y programas de la entidad, los

niveles de riesgo aceptados y de tolerancia al riesgo y los planes oficiales elaborados (estratégico,
operativo anual y presupuesto).
Esta comunicación debe realizarse a través de un memorando u otro documento similar firmado
por la MAE de la entidad, física y electrónicamente. Todos los servidores públicos o
colaboradores con conocimiento de esta documentación deben evidenciar el acuse de recibo de
la comunicación, la que deberá incluirse en el archivo personal de cada uno en poder del área de
gestión del talento humano.
EGR.15 Los responsables jerárquicos de todas las áreas y unidades de la entidad deben programar y
realizar talleres y reuniones de socialización de los principales objetivos y metas fijados con el fin
que sean conocidos, comprendidos y aceptados por los servidores públicos o colaboradores,
propiciando el compromiso en su cumplimiento, de conformidad con las responsabilidades a su
cargo.
EGR.16 La difusión del PEI y los POA debe incluir los planes originales y también las modificaciones,
actualizaciones y ajustes significativos.
MARE-CII-RP, TSC-NOGECI IV-04 Divulgación de los Planes.
2.6. REVISIÓN DE LOS OBJETIVOS
2.6.1. RESUMEN DE LAS NOGECI
“El titular principal o jerarca respectivo, con el apoyo del resto del personal deberá revisar periódicamente
los objetivos de los planes e introducirles las modificaciones requeridas para que continúen siendo guías
claras para la conducción de la institución hacia su misión principal y proporcionen un sustento oportuno
al control interno institucional”.
2.6.2. PROPÓSITO
Preparar a la entidad para que pueda conocer y gestionar oportuna y adecuadamente los riesgos
provenientes del cambio, para que, en el caso de ser necesario, pueda realizar las modificaciones
pertinentes.
La MAE, con el apoyo del personal de la entidad, debe permanecer alerta y revisar periódicamente el
ambiente interno, el entorno exterior y la gestión de la entidad, a través de herramientas de gestión e
información que lo ayuden a prever, identificar y reaccionar en forma oportuna si se producen hechos,
acontecimientos o actividades que puedan generar cambios significativos que afecten el logro de los
objetivos de la entidad.
Estas herramientas de gestión del cambio deben detectar y diferenciar variaciones que sólo influyen en
forma transitoria o no significativa a la consecución de los objetivos globales o específicos de la entidad, y
que pueden ser analizados y resueltos por los responsables de la gestión de las actividades afectadas.

Los cambios que puedan afectar de una forma más significativa o permanente la gestión de la entidad
requieren la participación de los responsables jerárquicos de las áreas y unidades e inclusive la MAE,
considerando en todos los casos los efectos que pueden producir.
2.6.3. CRITERIOS
Entre los procedimientos aplicables pueden considerarse:
(a) Volver a realizar el análisis e identificación de los cambios en la vigencia, así como la pertinencia
de los objetivos de los planes estratégicos, operativos y presupuestarios, con el fin de ratificar o
rectificar los mismos
(b) La identificación, análisis y valorización de las oportunidades y riesgos asociados y la vigencia de
las actividades de control relacionadas
(c) El monitoreo de los indicadores de desempeño y criterios de evaluación definidos, con el fin de
determinar si es necesario modificar estrategias, señalando en qué áreas deben realizarse las
modificaciones respectivas.
En caso de que, en función de la evaluación realizada, corresponda redefinir alguno de los objetivos, metas
o planes de la entidad, y por ende la estrategia, así como la identificación y evaluación de los riesgos, la
determinación de la respuesta a los riesgos o la definición de las actividades de control, entonces se debe
retroalimentar el proceso de planificación a partir del componente que ha sufrido modificaciones. Se debe
considerar estos cambios o ajustes para el desarrollo de la gestión y la elaboración de la planificación del
año siguiente, así como para las revisiones que se hagan durante el ejercicio a los planes vigentes.
Una vez aprobado el Presupuesto Anual de Ingresos y Egresos por el Congreso Nacional, la entidad debe
revisar su POA con el fin de hacer los ajustes pertinentes a los productos programados. Si en el transcurso
del año hay otras modificaciones a los presupuestos de las entidades, se debe realizar los ajustes
pertinentes y tener una programación actualizada de acuerdo con los cambios.
EGR.17 La MAE y el responsable jerárquico del área de planificación deben revisar periódicamente el
ambiente interno, el entorno exterior y la gestión de la entidad, a través de herramientas de
gestión e información que lo ayuden a prever, identificar y reaccionar en forma oportuna si se
producen hechos, acontecimientos o actividades que puedan generar cambios significativos que
afecten el logro de los objetivos de la entidad. El periodo mínimo de revisión es anual.
EGR.18 El responsable jerárquico del área de planificación, con el apoyo de los demás responsables
jerárquicos de las demás áreas y unidades, debe desarrollar y gestionar herramientas,
procedimientos y sistemas de información y gestión que puedan captar, procesar y reportar
oportunamente información sobre los cambios registrados o inminentes que puedan surgir en el
ambiente interno y externo, así como los hechos, eventos, actividades y condiciones que generan
cambios y que pueden afectar la posibilidad de alcanzar los objetivos de la entidad, facilitando
su tratamiento y gestión oportuna.
MARE-CII-RP, TSC-NOGECI IV-05 Revisión de los Objetivos.

2.7. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS
“Los entes públicos deberán identificar y evaluar los riesgos derivados de los factores ambientales internos
y externos que puedan afectar negativamente el logro de los objetivos institucionales, así como emprender
las medidas pertinentes para afrontar y gestionar exitosamente tales riesgos”.
2.7.2. PROPÓSITO
El desempeño de una entidad o parte de ella está sujeta a riesgos potenciales causados por factores
ambientales internos o externos que, de materializarse en eventos de pérdida, pueden afectar en forma
negativa el cumplimiento de las metas y objetivos institucionales, provocando consecuencias no deseadas.
La entidad debe enfocarse prioritariamente en la atención de los riesgos en los ámbitos y niveles
relevantes, para tomar las acciones preventivas necesarias y minimizar su posibilidad de ocurrencia,
atenuando y administrando adecuadamente sus efectos o impactos. Entre los riesgos a identificar y
evaluar se encuentran aquellos relacionados con el fraude, específicamente los relativos a la información
fraudulenta y a la protección de los activos del Estado, así como los actos de corrupción y evadir los
controles por parte de la dirección.
2.7.3. CRITERIOS
No existe actividad sin riesgo. La valorización de los riesgos se mide en términos de la probabilidad de
ocurrencia de un evento de pérdida y del impacto o consecuencias que puede generar la materialización
del riesgo.
Para identificar, evaluar y gestionar los riesgos, el personal debe tener conocimiento y experiencia en los
procesos que realiza la entidad, así como en la aplicación de la normatividad legal general y específica
vigente. También resulta recomendable que conozcan la teoría y técnica contable y presupuestaria, dado
que cada riesgo debe ser analizado en detalle, considerando adicionalmente el buen juicio y sentido
común de todos los participantes en el proceso.
La identificación y evaluación de los riesgos constituye un proceso activo, permanente, sistemático, e

iterativo que realizan los servidores públicos o colaboradores que toman decisiones en todos los niveles
de la entidad, con la ayuda de un sistema de información adecuado, como base para emprender acciones
preventivas y correctivas congruentes con la estrategia institucional y con las condiciones imperantes en
el momento para el adecuado logro de los objetivos explícitos o implícitos.
Una adecuada identificación y evaluación de los riesgos sirve como insumo clave para la toma de
decisiones, el diseño y la conducción de las actividades y la revisión de los planes para su ajuste a las
condiciones cambiantes del entorno y a los retos que plantean los riesgos identificados y evaluados.
Este proceso debe realizarse, como mínimo, en tres niveles: (i) global de la entidad, (ii) proceso o
programa, y (iii) actividad. A cada menor nivel, corresponde un análisis en un campo más limitado,
enfocado a los componentes de las áreas o unidades y a los objetivos clave de cada proceso y área
identificados en el análisis global de la entidad.
El proceso de evaluación y gestión de riesgos se divide, para un mejor análisis, en cuatro fases sucesivas:

1. Identificación de eventos que afectan los objetivos institucionales

2. Evaluación y valorización de riesgos
3. Determinación de indicadores claves de riesgo
4. Respuesta a los riesgos.
2.7.3.1. IDENTIFICACIÓN DE EVENTOS QUE AFECTAN LOS OBJETIVOS INSTITUCIONALES
La MAE y los responsables jerárquicos de todas las áreas y unidades de la entidad identifican las situaciones
posibles que, en el caso de producirse, generarán eventos que afectarán la capacidad de la entidad para
implementar la estrategia y el logro de sus objetivos. Estos eventos pueden ser oportunidades, que afectan
en forma positiva a la entidad favoreciendo el logro de los objetivos, o riesgos que influyen en forma
negativa dificultando el logro de estos. El análisis se centra en la identificación de los riesgos, es decir,
eventos que afectan negativamente el logro de los objetivos y que ocasionan pérdidas a la entidad.
Al identificar los eventos negativos o de pérdida (riesgos), los responsables jerárquicos de todas las áreas
y unidades de la entidad deben considerar una serie de factores ambientales internos (debilidades) y
externos (amenazas) que, en forma individual como combinados e interactuando, pueden ser causantes
de riesgos, influenciando el perfil de riesgos de la entidad y afectando el cumplimiento de sus objetivos.
Para tal fin deben ejecutarse las tareas de: (i) identificación y mapeo de los procesos, e (ii) identificación
de los factores causantes de los riesgos.
A partir de la identificación y mapeo de los procesos y la identificación, análisis y priorización de los

factores causantes de los riesgos, se obtiene como resultado una lista de los eventos de pérdida, y un
mapa general de los riesgos, con los factores causantes clasificados por tipo de riesgo y asignados a cada
proceso, área, actividad o función organizativa, realizándose una cuantificación estimada de los impactos
que producen los riesgos inherentes.
2.7.3.2. EVALUACIÓN Y VALORIZACIÓN DE LOS RIESGOS
Una vez identificados y clasificados los riesgos por procesos y áreas, éstos deben examinarse en forma
individual o por categoría, para ser valorizados considerando dos parámetros: probabilidad o frecuencia,
e impacto (severidad o gravedad).
La evaluación y valorización de las exposiciones significativas a los riesgos se debe llevar a cabo con base
en la experiencia histórica, dada a través de datos cuantitativos o cualitativos. También se debe considerar
el grado de impacto en el logro de los objetivos de la entidad. En los casos que no se disponga de
información histórica registrada, o que la naturaleza del proceso no lo permita, se debe recurrir a la
opinión de expertos calificados en el área para establecer la correspondiente valorización. Ejemplo: si se
trata de evaluar los riesgos en la administración de vacunas, se debe recurrir a la opinión de un experto
en la administración de vacunas o experiencias en otras entidades similares, dentro o fuera del país. Para
un mayor detalle sobre el particular, se recomienda revisar el ANEXO 42.
La evaluación de los riesgos se realiza sobre dos bases. En primer término, analizando el riesgo inherente
de cada actividad, propio de la naturaleza de esta. Luego, se considera el riesgo residual de la actividad o
proceso que queda una vez que se aplican las actividades de control vigentes.
Como resultado de este proceso, se obtienen las matrices de los riesgos valorizados, que son el producto
principal que resulta de la identificación y evaluación de los riesgos. La información obtenida para cada de

riesgo se incluye en el “Formulario de Identificación de Eventos y Valorización de Riesgos” (ver ANEXO 38

y ANEXO 39).
Dada la limitación de recursos de una entidad, es preciso definir cuáles riesgos merecen una atención
inmediata y cuáles pueden recibir un menor esfuerzo a través de una atención periódica o porque su riesgo
residual se encuentra en niveles controlados.
Para ello, se utiliza el “Mapa de Riesgos”, el que consolida las diferentes matrices de riesgo, visualizando
el valor del riesgo inherente de cada evento con el fin de proceder a su comparación y determinar las
acciones a seguir.
Las entidades deben permanecer listas ante cambios eventuales que podrían aumentar o disminuir la
incidencia del riesgo sobre sus actividades institucionales, a través de un seguimiento o evaluación
constante, a fin de determinar la forma cómo se han modificado los riesgos y si es necesario cambiar las
actividades de control vigentes.
2.7.3.3. DETERMINACIÓN DE INDICADORES CLAVES DE RIESGO (ICR)
Con el fin de realizar una gestión preventiva de los riesgos, deben definirse indicadores clave de riesgo,
(en inglés, KRI, key risk indicators), los que reflejan las fuentes potenciales de los riesgos (rotación de
personal, interrupción de operaciones en los sistemas, entre otros) y los umbrales de tolerancia a los
riesgos. Los ICR deberán ser medidos periódicamente por las entidades. Para tal fin, deben fijarse
claramente las formas de medición, la frecuencia de estas y los responsables de realizarlas.
Los ICR son mediciones cualitativas o cuantitativas que brindan un mayor conocimiento de los riesgos
potenciales, y que se utilizan para hacer un seguimiento periódico de su comportamiento y evolución, con
el fin de observar si se mantienen dentro de los umbrales de tolerancia al riesgo preestablecidos,
alimentando un sistema de alertas para los casos en que se superen estos umbrales.
Para ser efectivos, deben estar disponibles para la dirección de manera oportuna, según la frecuencia que
se fije para consulta de esta información (en tiempo real, diario, mensual, entre otros), partiendo del
tiempo necesario para poner en marcha una acción para mitigar el riesgo. Se centran habitualmente en
operaciones diarias y se emiten sobre la base de excepciones, cuando se sobrepasa un umbral
preestablecido.
2.7.3.4. RESPUESTA A LOS RIESGOS
Evaluados los riesgos relevantes, la MAE y los responsables jerárquicos de las áreas y unidades de la
entidad deben definir el plan de acción necesario para afrontarlos y responder a ellos. Las respuestas
posibles son aceptar, compartir, mitigar o evitar el riesgo. Al considerar su respuesta, la dirección evalúa
su efecto sobre la probabilidad e impacto del riesgo, así como los costos y beneficios asociados, y
selecciona la alternativa que sitúe el riesgo residual dentro de los niveles de riesgo aceptados.
La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo global
de la entidad o bien una perspectiva de portafolio de riesgos, determinando si el riesgo residual global
concuerda con el riesgo aceptado por la entidad.
Cuando la entidad evalúa las opciones de respuesta para seleccionar y determinar la más viable, debe
considerar:

(a) El grado en que cada respuesta potencial reducirá el impacto o la probabilidad de ocurrencia del
riesgo, tomando en cuenta el nivel de riesgo aceptado por la entidad.
(b) Si está de acuerdo con el nivel de riesgo aceptado y la tolerancia.
(c) La relación entre el costo de implementación o inversión versus los beneficios (eficacia, eficiencia
y economía) a obtener en función de la implementación de cada potencial respuesta, tomando en
cuenta los riesgos adicionales evidentes que pueden derivarse de la aplicación de cada respuesta:
la inversión incluye el costo inicial de diseño e implementación de la respuesta (procesos, personal
y tecnología), y el costo de mantener y gestionar una respuesta continua. Los costos y beneficios
pueden medirse en forma cualitativa o cuantitativa, empleando normalmente una unidad de
medida coherente con la utilizada para establecer el objetivo y las tolerancias al riesgo
relacionadas.
(d) Los eventos y tendencias pasadas y los posibles escenarios futuros.
(e) La evaluación del portafolio de riesgo residual de la entidad y las respuestas posibles a
seleccionarse en función del nivel de propensión a la asunción de riesgos por parte de la entidad
(“apetito” ó “aversión” al riesgo), y el riesgo aceptado global respecto a sus objetivos.
(f) Las posibles oportunidades para alcanzar los objetivos de la entidad, más allá de las reducciones
de los riesgos identificados.
Las MAE deben establecer directrices y hacer esfuerzos con el fin de determinar la magnitud de los riesgos, instruyendo
a sus mandos medios y niveles operativos para la implementación de los mecanismos de control interno que los
prevengan, mitiguen o compartan, con el propósito de minimizar sus efectos.
Además, puede decidirse directamente abandonar el objetivo o la acción analizada, evitando asumir los altos
costos que conlleve su prosecución de producirse el evento de pérdida considerado, siempre que el marco
normativo propio de la entidad lo permita. Esto último es especialmente relevante en las entidades de la
administración pública en donde mucha de las veces los objetivos y el cumplimiento del rol subsidiario del Estado
llevan a las entidades públicas a realizar necesariamente actividades no rentables en términos económico-
financieros, pero si con una “rentabilidad social” significativa. Ejemplo: proyectos de electrificación, áreas de
diversión, entre otros.
EGR.19 La MAE debe establecer y gestionar políticas y procedimientos dirigidos a identificar y evaluar
los riesgos relevantes que pueden impactar negativamente o impedir el logro de los objetivos,
metas, proyectos y programas propios de las unidades administrativas u operativas involucradas
en su consecución, en el que debe incluir las etapas de:
1. Identificación de eventos que afecten los objetivos institucionales

3. Determinación de indicadores claves de riesgo
Ver los pasos en el ANEXO 33.
EGR.20 La MAE debe comunicar claramente al personal las políticas y procedimientos para
“Identificación y Evaluación de los Riesgos”, así como comprobar que las mismas son conocidas
y comprendidas por los servidores públicos o colaboradores que trabajan en la entidad.

EGR.21 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben fijar la
metodología de grupos de trabajo de autoevaluación de riesgos para las etapas de:
1. Identificación de los Factores Causantes de los Riesgos (Ver ANEXO 36).

2. Elaboración de Matrices de Riesgo y Valorización del Riesgo (Ver ANEXO 43 y ANEXO 44).
3. Determinación de los indicadores de clave de riesgos, de acuerdo con las pautas de la
metodología de grupos de trabajo de autoevaluación de riesgos fijadas en el ANEXO 34.
El responsable jerárquico del área de planificación debe coordinar los grupos de trabajo y
elaborar, con apoyo de los otros responsables jerárquicos de las áreas y unidades de la entidad,
los cuestionarios estructurados de autoevaluación de riesgos. Un ejemplo de cuestionario se
adjunta en el ANEXO 35.
EGR.22 El desarrollo de la etapa relacionada con el proceso de identificación de riesgos debe considerar
los procesos y los procedimientos incluidos en los manuales de procedimientos actualizados y
aprobados por la MAE. La metodología considera la emisión de un inventario de los procesos y
sus procedimientos con identificación de los controles existentes en cada uno de ellos, los cuales
incluyen los diagramas de flujo y caracterizaciones de los procesos.
Se debe poner especial énfasis en identificar aquellos riesgos relacionados con el fraude,
específicamente los relativos a la información fraudulenta y a la protección de los activos del
Estado, así como los actos de corrupción y la elusión de controles por parte de la dirección. De
la misma manera, se debe analizar los riesgos orientados al incumplimiento de los objetivos
misionales.
EGR.23 El proceso de identificación de riesgos debe permitir el desarrollo de una visión de portafolio de
riesgos para la entidad, entendiéndose a ésta como una vista compuesta de los riesgos que la
entidad enfrenta, que coloca a la gerencia y al consejo o directorio en la posición de considerar
los tipos, severidad e interdependencias de los riesgos y cómo pueden afectar el desempeño
relativo a la estrategia y los objetivos institucionales.
EGR.24 El proceso de identificación de riesgos debe facilitar el conocimiento de los factores causantes
de riesgos, priorizarlos en función de su impacto y probabilidad de ocurrencia, sin importar su
naturaleza, y comprobar cómo los mismos se interrelacionan para influenciar el perfil o
portafolio de riesgos de la entidad. En ANEXO 36 se enuncian los principales “Factores Causantes
de Riesgos” que pueden considerarse en el análisis.
EGR.25 El proceso de identificación de riesgos se debe complementar con la valorización de riesgos

considerando la clasificación cuantitativa y cualitativa de las principales actividades, programas
y proyectos, así como los hallazgos y observaciones informados por la UAI y la auditoría externa,
cualquiera sea su origen (estatal o privado). En el ANEXO 42 se detallan las “Metodologías para
la Valorización de los Riesgos”.
EGR.26 En el proceso de valorización de riesgos se debe establecer, mantener y gestionar las “Bases de
Datos de Eventos de Pérdida”, fijando las características del reporte, recolección, cuantificación,
registro y clasificación, almacenamiento y protección de la información de los eventos de
pérdida, tomando como base los datos fijados en el ANEXO 37.

El Formulario de “Identificación de Eventos y Valorización de Riesgos”, adjunto en ANEXO 38 y

ANEXO 39, permite documentar los resultados obtenidos y principales datos requeridos para un
correcto análisis de riesgos.
EGR.27 El desarrollo de la metodología de gestión de riesgos definida debe integrar la aplicación de

técnicas cualitativas y cuantitativas y la utilización de las técnicas de identificación de eventos y
riesgos que permiten el armado de las matrices de riesgo, la valorización de los riesgos (impacto
y probabilidad), su priorización y la fijación de indicadores clave de riesgo.
EGR.28 La elaboración de las matrices de riesgo comprende la descripción de cada uno de los riesgos
identificados indicando la valoración de los mismos, de acuerdo con su impacto y posibilidad de
materialización o probabilidad de ocurrencia, tomando como base el mapa de riesgos del ANEXO
40, ANEXO 41 y el ANEXO 43, la matriz de riesgos del ANEXO 44 y su ejemplo de llenado del
ANEXO 45.
EGR.29 Las consolidaciones de las diferentes matrices de riesgo se integran en un “mapa de riesgos”. El
valor asignado a cada uno de los riesgos debe permitir su comparación con el resto de los
procesos a efecto de asignar la prioridad para su atención, tomando como base el modelo
previsto en el ANEXO 41.
EGR.30 La definición de los indicadores claves de riesgo debe realizarse para reflejar las fuentes
potenciales de los riesgos y los umbrales de tolerancia a los riesgos, fijando claramente las formas
de medición, la frecuencia de estas y los responsables de realizarlas.
2.7.5. REFERENCIAS LEGALES
MARE-CII-RP, TSC-PRICI-11 Auto Evaluación y TSC-NOGECI IV-01 Identificación y Evaluación de Riesgos y

su Declaración TSC-NOGECI IV-01-01.


GUÍAS PARA LA
IMPLEMENTACIÓN DEL
CONTROL INTERNO INSTITUCIONAL EN EL
MARCO DEL SINACORP
Guía 3
“ACTIVIDADES DE CONTROL”

(ONADICI)
Guía 3 “Actividades de control”

ACTIVIDADES DE CONTROL
En este componente de “actividades de control”, que con el Figura 25

mismo nombre corresponde al de del Marco Integrado de COSO 2013: actividades de control
Control Interno (2013) del Committee of Sponsoring
Organizations of the Treadway Commission (COSO) que se
muestra en la Figura 25. Las actividades de control son las
respuestas a los riesgos traducidas en acciones establecidas a
través de políticas y procedimientos para asegurar que los
riesgos con impacto potencial en los objetivos son
adecuadamente mitigados. Se llevan a cabo en todos los
niveles de la entidad, en las distintas etapas de sus procesos,
así como en su entorno tecnológico. De acuerdo con su
naturaleza pueden ser preventivas, de detección
3.1. PRÁCTICAS Y MEDIDAS DE CONTROL
Elegida la respuesta al riesgo más conveniente para la

entidad, la MAE determina los objetivos de control que Fuente: Resumen Ejecutivo, Control Interno –
Marco Integrado. Committee of Sponsoring
considera necesario cubrir y, en conjunto con los Organizations of the Treadway Commission –
responsables de las diferentes áreas o unidades de la entidad COSO. Mayo 2013.
proceden a diseñar, establecer, implementar, gestionar,
evaluar y mejorar las políticas, procedimientos, técnicas y mecanismos que consideren más eficaces,
eficientes, económicos y que mejor se adapten a las características de la entidad (objetivos, procesos,
riesgos asociados, respuesta al riesgo determinada, recursos asignados, entre otros), con el fin de mitigar
la posibilidad de ocurrencia de los eventos cuyos riesgos inherentes identificados son significativos y
gestionar los riesgos residuales, contribuyendo al logro de los objetivos de la entidad.
Seleccionadas las prácticas y medidas de control, y en función de los principios de autorregulación y de

responsabilidad por el control interno, los superiores jerárquicos de las diferentes áreas o unidades de la
entidad proceden a implementarlas, asegurando de esa forma que se apliquen y lleven a cabo
efectivamente las directivas fijadas por la Máxima Autoridad Ejecutiva (MAE), correspondiendo a las
responsables jerárquicos de cada área o unidad velar para que las medidas de control específicas relativas
a su ámbito de acción sean suficientes y válidas, y que las apliquen en forma adecuada y oportuna a partir
de su compromiso explícito con el control interno institucional.
Estas medidas se llevan a cabo sobre todas las transacciones, procesos, operaciones, actividades, y
acciones de los sistemas administrativo-contables, operativos o de gestión que desarrolla la entidad en
todos los niveles y funciones. Asimismo, incluyen un amplio rango de diversas actividades, las cuales
pueden ser establecidas dentro de un sistema de tecnología informática o a través de procedimientos
manuales, debiendo estar integradas en los procedimientos de los sistemas administrativos y operativos
de forma tal que sean parte natural de los mismos.
Al seleccionar o revisar las actividades de control, la administración activa debe considerar cómo éstas se
relacionan y articulan entre sí; una sola medida puede afectar a múltiples objetivos o riesgos mientras que
en otros casos se requieren varias prácticas de control de distinto tipo para dar una respuesta adecuada a
los objetivos planteados y los riesgos relacionados.

Es de notar que siempre existirá algún nivel aceptable de riesgo residual, no sólo por las limitaciones de
los recursos a aplicar, sino también por la incertidumbre del futuro y demás limitaciones inherentes a
todas las operaciones, por lo que la aplicación de las actividades de control sólo puede ofrecer una
seguridad razonable en cuanto al logro de los objetivos de la entidad.
Entre las limitaciones más frecuentes que pueden identificarse, se encuentran las siguientes:
• Incumplimiento de los mandos superiores

• Conflictos de intereses
• Juicios erróneos al aplicar la actividad de control
• Débil ambiente de control
• Insuficiente capacidad del personal o falta de recursos para ejecutar las actividades de control
• Colusión
• Errores
• Costo / beneficio de la actividad de control propuesta.
El establecimiento de las actividades de control orientadas a minimizar los riesgos en la entidad es

fundamental para el logro de los objetivos y constituye el primer eslabón clave en la implementación de
los programas de lucha contra la corrupción y la impunidad, independientemente que la entidad sea
pública o privada, programas y proyectos, con o sin fines de lucro.
A continuación, se muestra las principales relaciones entre los tres de los diecisiete principios del Control
Interno – Marco Integrado 2013 (Figura 26) y los veinte elementos del Marco Rector del Control Interno
Institucional de los Recursos Públicos, en las figuras siguientes (Figura 27, Figura 28 y Figura 29).
Figura 26
COSO 2013: principios de las actividades de control
•(10) Define y desarrolla actividades de control para
Actividades mitigar riesgos y lograr objetivos

•(11) Define y desarrolla controles sobre la tecnología
para el logro de los objetivos
de control •(12) Despliega actividades de control para implementar
políticas y procedimientos

Figura 27
del CII de los Recursos Públicos en el componente actividades de control (1 de 3)
Cuentas. 2009.

Figura 28
Cuentas. 2009.

Figura 29
Cuentas. 2009.

“La administración debe diseñar y adoptar las medidas y las prácticas de control interno que mejor se
adapten a los procesos organizacionales, a los recursos disponibles, a las estrategias definidas para el
enfrentamiento de los riesgos relevantes y a las características, en general, de la institución y sus
funcionarios, y que coadyuven de mejor manera al logro de los objetivos y misión institucionales.”
“Las labores y los procesos organizacionales deben incorporar medidas de control que permitan saber si en
la gestión se ha actuado de conformidad con la normativa legal, técnica y administrativa aplicable, así
como determinar el grado en que el cumplimiento de los objetivos ha sido impulsado por el desarrollo de
esas labores y procesos.”
3.1.2. PROPÓSITO
Todas las actividades de control tienen como objetivo asegurar, en forma individual o conjunta, que las
tareas, acciones, operaciones o transacciones controladas, tanto administrativas como operativas, se
realicen en la forma prevista por la MAE y los responsables jerárquicos de las áreas y unidades de la
entidad, actuando de conformidad con la normativa legal, técnica y administrativa aplicable y cumpliendo
con los objetivos fijados por la entidad con el fin de salvaguardar los recursos públicos asignados y
garantizar la transparencia de su manejo. Aunque las actividades del control generalmente son
establecidas para asegurar que las respuestas a los riesgos se lleven a cabo de modo adecuado, con
respecto de ciertos objetivos también constituyen por si mismas una respuesta a los riesgos. La selección
o revisión de las actividades debe incluir la consideración sobre su relevancia y adecuación de respuesta
al riesgo y a los objetivos relacionados.
Definidas las respuestas para enfrentar los riesgos, la administración activa debe implementar y formalizar
las actividades de control que se ajusten mejor a sus posibilidades y que aseguren una adecuada gestión
de los riesgos, con el propósito de:
• Prevenir la materialización de: (a) los riesgos identificados y evaluados para los diferentes
procesos y actividades, y (b) sus eventuales consecuencias
• Tender a reducir o minimizar: (a) la posibilidad que durante la gestión se presenten errores,
omisiones, irregularidades, fraudes u otras acciones contrarias a los intereses de la entidad, o
(b) el impacto que éstos pueden tener sobre el funcionamiento de la entidad, en caso de no
poder evitarse
• Emitir información financiera, presupuestaria y operativa – tanto para uso interno como
externo – que sea confiable, completa y oportuna y que pueda ser utilizada para la adecuada
toma de las decisiones que asegure el cumplimiento de las políticas establecidas para cada
una de las operaciones de la entidad, reorientando la gestión cuando resulte necesario
• Rendir cuentas sobre la gestión de los recursos públicos a su cargo, en forma adecuada,
transparente y oportuna.
El ejercicio de estas actividades está enmarcado dentro del principio de autocontrol, es decir el control
aplicado exclusiva y directamente por los servidores públicos o colaboradores de cada área o unidad de la
entidad bajo su propia responsabilidad sobre las operaciones o actividades a su cargo, como parte de su
ejercicio o cumplimiento de sus atribuciones, funciones u operaciones a cargo antes que las mismas causen
efectos o se den por implementadas.

Este control forma parte de los procedimientos normales o rutinarios de la operación o actividad que
deben ejecutar, sin intervención de ninguna persona o dependencia externa o interna, para asegurarse
que son legales y se fundamentan en hechos ciertos, están comprendidas en los fines y objetivos de la
entidad pública respectiva y es oportuno ejecutarlas.
Como base fundamental de este principio, está el realizar cada tarea con calidad y responsabilidad, es
decir, aplicando el concepto de “hacer bien las cosas la primera vez”, planificando en forma adecuada la
tarea a realizar, ejecutándola en la forma prevista por las normas aplicables y revisando lo que se está
realizando, con el fin de evitar que se causen efectos no deseados.
Asimismo, en relación con el “autocontrol” antes mencionado, éste comprende las técnicas y
procedimientos que cada servidor público o colaborador aplica, entre otros objetivos, para validar que la
tarea a su cargo cumple con los siguientes atributos:
a. Legalidad: verificar que la atribución, función, operación o actividad que va a ejercer o a

ejecutar como parte de su puesto de trabajo, empleo o cargo público cumple las disposiciones
legales, reglamentarias y demás normas que la regulan.
b. Comprobación: constatar los hechos que las originan y la documentación de soporte que la
respaldan.
c. Conveniencia y oportunidad: analizar si la acción a llevarse a cabo es de provecho o utilidad,

y si el momento o circunstancia es favorable o propicio para ejecutarla, en función de los
objetivos institucionales y programas de la entidad.
Estos autocontroles deben estar integrados en los procedimientos administrativos establecidos para
desempeñar las atribuciones, funciones, operaciones o actividades a cargo de los colaboradores o
servidores públicos y deberán prever, además, las acciones a seguir por ellos cuando los resultados de su
ejercicio sean adversos al objetivo de su aplicación.
3.1.3. CRITERIOS
“Al definir cuáles mecanismos de control son los más apropiados, deben considerarse los riesgos
identificados y evaluados para los diferentes procesos y actividades; la posibilidad de que se presenten
errores, omisiones o acciones contrarias a los intereses de la organización durante el procesamiento; el
costo que implicaría la operación de los mecanismos de control en cuestión, y la capacidad del personal
para ponerlos en práctica”.
Al diseñar e implementar las actividades de control, debe validarse que las mismas cumplan con los
siguientes atributos:
a. Apropiada: orientada a mitigar la causa, es decir, el riesgo identificado y evaluado.
b. Conveniente y viable: adecuada relación costo-beneficio, porque los resultados que deriven de su
aplicación deben ser superiores a la inversión que implica su diseño, implementación, aplicación y
mantenimiento, en términos de eficacia, eficiencia y economía en la asignación y uso de los
recursos disponibles.

c. Agrega valor: su aplicación debe incrementar la utilidad o aptitud de la transacción o proceso para
satisfacer los requerimientos que posee.
d. Oportuna: aplicada en el momento adecuado para minimizar la probabilidad de ocurrencia o el

impacto de los eventos de riesgo.
e. Sencilla: su aplicación no ofrece dificultad, de lo contrario se corre el riesgo de que no sea aplicada.
f. Comprensible: está redactada de una forma clara y que no deja lugar a ambigüedades, tanto en
cuanto a su objetivo como a su forma de aplicación.
g. Adaptada a la entidad: acorde a los procesos organizacionales, los riesgos identificados, los
recursos disponibles, las respuestas definidas para los riesgos, las características de la entidad y
sus responsables jerárquicos de las áreas y unidades, y que ayude de mejor manera al logro de los
objetivos de la entidad.
h. Aplicada por quien corresponde: capacidad, compatibilidad funcional, calificación e idoneidad del
responsable jerárquico de las áreas y unidades que la debe poner en práctica y realizarla,
anteponiendo siempre la existencia de una adecuada asignación de responsabilidades y
segregación de funciones.
ACO.1 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, una vez
determinados los objetivos de la entidad, sus riesgos asociados y las respuestas a los riesgos
elegidas, deben evaluar, seleccionar e implementar las actividades de control más adecuadas y
de mayor calidad, en términos de mitigación de los riesgos involucrados en forma eficiente,
eficaz y económica. Para ese fin, se puede utilizar como guía de apoyo el ejemplo incluido en el
ANEXO 46 para el caso general de los procesos, en especial cuando no se cuenta con procesos
documentados, así como el ANEXO 47 para el caso de los procesos que se encuentran
debidamente documentados.
ACO.2 La evaluación de las actividades de control a seleccionar deben identificar y considerar las
capacidades, requerimientos y recursos necesarios para su diseño, implementación, realización
y mantenimiento (análisis inversión/ahorro), el nivel de priorización en función de los riesgos
mitigados, así como la coordinación de decisiones y acciones entre las diferentes áreas de la
entidad y la automatización de los procesos críticos de la entidad (aplicaciones informáticas), con
el fin de que el procesamiento, la supervisión y la evaluación de sus operaciones pueda realizarse
a través de los sistemas de tecnología informática.
MARE-CII-RP, TSC-PRICI-10 Auto Control y su Declaración, TSC-NOGECI V-01 Prácticas y Medidas de Control
y su Declaración. Modificaciones al marco rector auditoría interna del sector público.

3.2. CLASIFICACIÓN DE ACTIVIDADES DE CONTROL
“...las consideraciones de control que se presentan en esta sección son puntos de aplicación general y no
resultan exhaustivos; por ello, cada institución debe tener presente que, dependiendo de su giro normal,
pueden existir consideraciones adicionales que beneficien su sistema de control y el logro de sus objetivos.”
3.2.2. PROPÓSITO
Las actividades de control combinan controles manuales, automatizados o una combinación de ambos,
tales como los que aseguran que la información es capturada automáticamente y procedimientos de
autorización y aprobación de las operaciones por parte de los responsables jerárquicos de las áreas y
unidades (compras, pagos, inversiones, entre otros).
Las actividades de control realizadas sobre la gestión y los resultados de las operaciones por la
administración activa, en su carácter de componente orgánico del proceso de control interno pueden
ordenarse, según su oportunidad de realización, en: (a) preventivas; (b) concurrentes; y (c) posteriores, y
dentro de éstas, en (i) de detección, y (ii) correctivas:
a. Preventivas o previas: Antes de que se inicie el proceso, tratan de advertir o evitar que ciertas
transacciones se ejecuten y que se produzcan los eventos de pérdida o desviaciones sobre los
niveles aceptados de tolerancia al riesgo, afectando el logro de los objetivos y metas de la
entidad.
Como ejemplo puede citarse el software de seguridad informática que impide los accesos no
autorizados a los aplicativos y otras herramientas de tecnología informática.
b. Concurrentes o directivas: se aplican durante la ejecución de las operaciones, antes de

concluir el proceso, están relacionadas con las funciones y responsabilidades inherentes al
responsable jerárquico de las áreas y unidades encargado de estas operaciones. Estas
corresponden también a los denominados controles directivos, que están diseñados para
asegurar que un resultado particular está siendo alcanzado.
c. Posteriores: se realizan luego que la operación ha sido ejecutada. En caso de determinarse

que la transacción no ha cumplido con los objetivos de control previstos, ayuda a determinar
los riesgos que se han materializado cuando los controles preventivos o concurrentes no han
sido efectivos. Un ejemplo típico de este tipo de actividades de control es el control de calidad
que se realiza sobre los productos terminados.
Se dividen en:
i. De detección: a través de su ejercicio se puede conocer cuanto antes la ocurrencia del

evento de pérdida producido, identificando los desvíos existentes, y, de ser factible,
evitando o reduciendo su impacto futuro (ejemplo conciliaciones bancarias).
ii. Correctivas: al realizarse, en caso de existir un desvío, tienden a solucionar el caso
particular y facilitar la vuelta a la normalidad una vez producido e identificado el evento
de riesgo (errores, omisiones o acciones contrarias a los intereses de la entidad).

3.2.3. CRITERIOS
La enumeración que se incluye en el siguiente numeral 3.4 es enunciativa, en vista que no todas las
medidas de control detalladas pueden aplicarse a todos los procesos y operaciones de la entidad,
pudiendo existir otras herramientas relevantes fijadas por la entidad, dada naturaleza de sus operaciones
y los objetivos a lograr en los ámbitos estratégicos, operativos, de información y de cumplimiento.
Entonces resulta necesario que la entidad proponga mejoras con el fin de perfeccionar las actividades de
control vigentes, o el diseño e implementación de prácticas de control adicionales, complementarias o
supletorias a fin de minimizar los riesgos y lograr una adecuada gestión de los recursos públicos para
alcanzar los objetivos de la entidad, anteponiendo siempre los atributos que debe reunir la actividad de
control seleccionada, listados en el numeral 3.1.3 presentado con anterioridad.
A partir del principio de prevención debe priorizarse el diseño e implementación de actividades de control
de naturaleza preventiva, a fin de evitar que los eventos de pérdida se presenten o bien mitigar su
probabilidad de ocurrencia o el impacto en caso de que se materialice el riesgo. No cabe duda de que una
actividad de control preventiva trae mayores beneficios que una de detección. Además, de ser factible, las
medidas de control deben automatizarse, en la medida de lo posible, a través de su integración dentro de
los sistemas de tecnología informática.
MARE-CII-RP, TSC-PRICI-06 Prevención y Declaración, TSC-NOGECI V-01.01 sobre Prácticas y Medidas de

Control y su Declaración.
3.3. ACTIVIDADES DE CONTROL
Para un mejor tratamiento, las actividades de control se han agrupado en las siguientes categorías:
• Controles sobre los sistemas administrativos y operativos

• Controles sobre los sistemas de tecnología informática
• Controles de gestión.
3.4. CONTROLES SOBRE LOS SISTEMAS ADMINISTRATIVOS Y OPERATIVOS
A continuación, se listan las actividades de control más comunes y mínimas aplicables sobre los sistemas
administrativos y operativos de una entidad:
1. Control integrado y automatización de controles

2. Análisis de costo/beneficio
3. Responsabilidad delimitada
4. Instrucciones por escrito
5. Separación de funciones incompatibles
6. Autorización previa o aprobación de transacciones y operaciones
7. Documentación de procesos y transacciones
8. Supervisión constante
9. Clasificación y registro oportuno
10. Sistema contable y presupuestario
11. Acceso a los activos y registros

12. Revisiones de control

13. Conciliación periódica de registros
14. Inventarios periódicos
15. Arqueos independientes
16. Formularios uniformes
17. Rotación de labores
18. Disfrute oportuno de vacaciones
19. Cauciones y fianzas
20. Dispositivos de control y seguridad.
La aplicación y adaptación de estos controles son generalizados para todas las entidades y sus áreas,
independiente del rubro al que se dediquen según su ley constitutiva. No obstante, cualquier entidad
puede agregar otras actividades de control según considere necesario.
Para un mejor tratamiento, a continuación, se detalla un resumen de la NOGECI correspondiente a cada

una de las actividades de control señaladas en el numeral anterior. Los extractos literales se presentan
copiados entre comillas.
3.4.1.1. CONTROL INTEGRADO Y AUTOMATIZACIÓN DE CONTROLES
“Las medidas y las prácticas de control interno diseñadas por la administración sean previas o posteriores,
deberán estar integradas o inmersas en los procesos, actividades, operaciones y acciones de los sistemas
administrativos, operativos o de gestión.” (TSC-NOGECI V-02).
Las entidades deben tender a la sistematización, ejecución, control, supervisión y evaluación de sus
operaciones a través de sus sistemas informáticos (aplicaciones automatizadas), con el fin de lograr un
mejor aprovechamiento de los recursos públicos, una adecuada gestión de la información, el
cumplimiento de las normas que le son aplicables y la garantía de una razonable transparencia y rendición
de cuentas.
Respecto de las actividades de control, el principio de integración específicamente indica que debe
tenderse a la automatización de estas a través de su inclusión en los aplicativos de los sistemas de
tecnología informática, dejando claro que la responsabilidad de la efectividad de los controles internos
automatizados sigue recayendo en los servidores públicos o colaboradores directamente responsables de
estos procesos.
3.4.1.2. ANÁLISIS DE COSTO/BENEFICIO
“La implantación de cualquier medida, práctica o procedimiento de control debe ser precedida por un
análisis de costo/beneficio para determinar su viabilidad, su conveniencia y su contribución al logro de los
objetivos.” (TSC-NOGECI V-03).
“Como criterio elemental, debe tenerse en cuenta que ningún control debería implicar un costo mayor que
el beneficio que pueda rendir. Se habla, entonces, de la viabilidad y la conveniencia como las dos
consideraciones esenciales de si una medida de control será útil para la organización…” (Declaración TSC-
NOGECI V-03.1).

Debe tenerse en consideración que resulta necesario realizar este análisis de costo/beneficio para las
nuevas actividades de control que se propongan en la entidad y sus procesos, especialmente aquellas que
eroguen recursos financieros significativos, como por ejemplo la contratación de personal adicional o la
inversión en algún aplicativo informático, en cuyo caso se deberá considerar la metodología
correspondiente a la evaluación de costo/beneficio para alternativas de inversión en la formulación de
proyectos. Es decir, se debe cuantificar los beneficios y los costos, cualitativa o cuantitativamente, tanto
directos como indirectos, en términos monetarios o sociales para su correspondiente comparación y
determinación de la viabilidad y conveniencia.
3.4.1.3. RESPONSABILIDAD DELIMITADA
El alcance de “…la responsabilidad por cada proceso, actividad, operación, transacción o acción
organizacional…”, “…y los parámetros con base en los cuales se evaluará su desempeño, …” “debe ser
claramente definida, específicamente asignada y formalmente comunicada al funcionario respectivo,
según el puesto que ocupa.” (TSC- NOGECI V-O4 y su Declaración TSC-NOGECI V-04.01).
Si bien se considera que la responsabilidad posee un alcance o límite, se debe procurar que no existan
vacíos o zonas indeterminadas que puedan llevar a la materialización de riesgos en la entidad,
recomendándose que cada vez que se detecten este tipo de situaciones éstas sean inmediatamente
subsanadas por medio de la delimitación correspondiente y comunicadas formalmente a los nuevos
responsables.
3.4.1.4. INSTRUCCIONES POR ESCRITO
“Las instrucciones que se impartan a todos y cada uno de los funcionarios de la institución deben darse por
escrito…” (TSC-NOGECI V-05).
3.4.1.5. SEPARACIÓN DE FUNCIONES INCOMPATIBLES
De acuerdo con lo previsto por la TSC-NOGECI V-06, deben separarse, asignarse y distribuirse entre las
diferentes áreas y puestos de trabajo, las funciones (tareas y responsabilidades) que sean incompatibles,
y que, si su desarrollo se concentrara en una misma persona podría comprometer el equilibrio de
autoridad y responsabilidad y la eficacia del control interno y de los objetivos y misión institucionales.
Para la separación de funciones se debe considerar las siguientes fases: (i) autorización, (ii) procesamiento,
(iii) revisión o aseguramiento, (iv) aprobación, (v) control, (vi) registro de operaciones, (vii) custodia y (viii)
archivo de la documentación. Estas categorías deben estar separadas, de forma que ningún individuo o
sector ejerza más de una de ellas a la vez, y que exista “oposición de intereses”, es decir, un control mutuo.
Una herramienta útil para este fin es utilizar una matriz de segregación de funciones, tal como la que se
muestra en el ANEXO 48. Esta matriz de segregación de funciones debe de formar parte de la
documentación de los procesos de la entidad.
3.4.1.6. AUTORIZACIÓN PREVIA O APROBACIÓN DE TRANSACCIONES Y OPERACIONES
“La ejecución de los procesos, operaciones y transacciones organizacionales deberá contar con la
autorización respectiva de parte de los funcionarios o servidores públicos con potestad para concederla…”,
a fin de que ellos puedan ejercer un control permanente sobre las mismas, asegurando que sólo se lleven
a cabo actos y transacciones que cuenten con la conformidad de quien tiene la autoridad designada, y
previniendo “…que se lleven a cabo acciones o transacciones inconvenientes o contraproducentes para la

organización, para sus recursos y, por ende, para su capacidad de alcanzar los objetivos.” (TSC-NOGECI V-
7 O4 y su Declaración TSC-NOGECI V-07.01).
“Asimismo, los resultados de la gestión deberán someterse al conocimiento de niveles jerárquicos

superiores, que, por su capacidad técnica y designación formal, cuenten con autoridad para otorgar la
aprobación correspondiente …” “así como evaluar los resultados del desempeño para conceder la
aprobación o validación posterior o emprender medidas destinadas a corregir cualquier producto
insatisfactorio.” (TSC-NOGECI V-7 O4 y su Declaración TSC-NOGECI V-07.01).
3.4.1.7. DOCUMENTACIÓN DE PROCESOS Y TRANSACCIONES
“Los controles vigentes para los diferentes procesos y actividades de la institución, así como todas las
transacciones y hechos significativos que se produzcan, deben documentarse como mínimo en cuanto a la
descripción de los hechos sucedidos, el efecto o impacto recibido sobre el control interno y los objetivos
institucionales, las medidas tomadas para su corrección y los responsables en cada caso; asimismo, la
documentación correspondiente debe estar disponible para su verificación.” (TSC-NOGECI V-08).
“Los objetivos institucionales, los controles y los aspectos pertinentes sobre transacciones y hechos
significativos que se produzcan como resultado de la gestión, deben respaldarse adecuadamente con la
documentación de sustento pertinente”. (Declaración TSC-NOGECI V-08.01).
Asimismo, la documentación de procesos está referida a establecer documentalmente la manera de llevar

a cabo una actividad o un conjunto de actividades, centrándose en la forma en la que se debe trabajar o
se deben de hacer las cosas para llevar a cabo una determinada tarea. Por ello resulta imprescindible que
los procesos se encuentren adecuadamente estandarizados y descritos por medio de procedimientos
documentados, tal como se sugiere en el ANEXO 49.
3.4.1.8. SUPERVISIÓN CONSTANTE
“La dirección superior y los funcionarios que ocupan puestos de jefatura deben ejercer una supervisión
constante sobre el desarrollo de los procesos, transacciones y operaciones de la institución, con el propósito
de asegurar que las labores se realicen de conformidad con la normativa y las disposiciones internas y
externas vigentes, teniendo el cuidado de no diluir la responsabilidad.” (TSC-NOGECI V-09).
3.4.1.9. CLASIFICACIÓN Y REGISTRO OPORTUNO
“Los hechos importantes que afectan la toma de decisiones y acciones sobre los procesos, operaciones y
transacciones deben clasificarse y registrarse inmediata y debidamente.” (TSC- NOGECI V-10).
3.4.1.10. SISTEMA CONTABLE Y PRESUPUESTARIO
De conformidad con la TSC-NOGECI V-11, se establecerán en la entidad “sistemas de contabilidad y

presupuesto de conformidad con las disposiciones legales vigentes.”
3.4.1.11. ACCESO A LOS ACTIVOS Y REGISTROS
Según lo previsto por la TSC-NOGECI V-12, el acceso a los recursos, activos, registros de información y
comprobantes de la entidad debe estar claramente definido, delimitado, restringido y protegido por
mecanismos de seguridad.

3.4.1.12. REVISIONES DE CONTROL
“Las operaciones de la organización deben ser sometidas a revisiones de control en puntos específicos de
su procesamiento, que permitan detectar y corregir oportunamente cualquier desviación con respecto a lo
planeado.” (TSC-NOGECI V-13).
3.4.1.13. CONCILIACIÓN PERIÓDICA DE REGISTROS
“Deberán realizarse verificaciones y conciliaciones periódicas de los registros contra los documentos fuente
respectivos, para determinar y enmendar cualquier error u omisión que se haya cometido en el
procesamiento de los datos”. (TSC-NOGECI V-14).
Además de los registros financieros, también se debe realizar la conciliación periódica en registros no
financieros. Ejemplo: el registro de los bienes, documentos, licencias u otros.
3.4.1.14. INVENTARIOS PERIÓDICOS
“La exactitud de los registros sobre activos y disponibilidades de la institución deberá ser comprobada
periódicamente mediante la verificación y el recuento físico de esos activos u otros como la información
institucional clave”. (TSC-NOGECI V-15).
3.4.1.15. ARQUEOS INDEPENDIENTES
“Deberán ser efectuados arqueos independientes y sorpresivos de los fondos y otros activos de la institución
(incluido el acopio de información clave), por funcionarios diferentes de aquellos que los custodian,
administran, recaudan, contabilizan y generan.” (TSC-NOGECI V-16).
3.4.1.16. FORMULARIOS UNIFORMES
“Deberán implantarse formularios uniformes para el procesamiento, traslado y registro de todas las
transacciones que se realicen en la institución, los que contarán con una numeración consecutiva
preimpresa que los identifique específicamente, asignada electrónicamente si el procesamiento esta
automatizado. Igualmente, se establecerán los controles pertinentes para la emisión, custodia y manejo
de tales formularios o los controles informáticos, según corresponda.” (TSC-NOGECI V-17).
3.4.1.17. ROTACIÓN DE LABORES
“Deberá contemplarse la conveniencia de rotar sistemáticamente las labores entre quienes realizan tareas
o funciones afines, siempre y cuando la naturaleza de tales labores permita efectuar tal medida.” (TSC-
NOGECI V-18).
3.4.1.18. DISFRUTE OPORTUNO DE VACACIONES
De conformidad con la TSC-NOGECI V-19, las políticas institucionales deben prever que “los servidores
públicos, en general, deben disfrutar oportunamente de las vacaciones que les correspondan de
conformidad con la ley y los reglamentos establecidos”, de tal modo que logren un período de descanso.

3.4.1.19. CAUCIONES Y FIANZAS
Las entidades “…deberán velar porque las personas naturales y jurídicas encargadas de recaudar, custodiar
o administrar fondos y valores propiedad de la institución, rindan caución o estén cubiertos con una fianza
individual de fidelidad a favor de del tesoro público o de la respectiva entidad, sin perjuicio de otras medidas
de seguridad que pueda emitir la propia institución.” (TSC-NOGECI V-20).
3.4.1.20. DISPOSITIVOS DE CONTROL Y SEGURIDAD
Los equipos y dispositivos mecánicos, automáticos y electrónicos utilizados “…deberán contar con
dispositivos de control y seguridad apropiados para garantizar su óptimo uso en las labores que
corresponde cumplir a institución pública...”. (TSC-NOGECI V-21).
En la Tabla 2 se presentan las actividades de control administrativas y operativas, indicándose las

principales oportunidades de su realización. Cabe indicar que cualquiera de las actividades señaladas en
la tabla puede evaluarse en forma preventiva, concurrente, de detección y correctiva.
Tabla 2
Actividades de control administrativas y operativas
Actividades de control
DESCRIPCIÓN
Preventivas Concurrentes De detección Correctivas
1. Control integrado y automatización de X X X
controles
2. Análisis de costo / beneficio X
3. Responsabilidad delimitada X
4. Instrucciones por escrito X
5. Separación de funciones incompatibles X
6. Autorización previa o aprobación de X X X X
transacciones y operaciones
7. Documentación de procesos y X X X
transacciones
8. Supervisión constante X X X
9. Clasificación y registro oportuno X X X
10. Sistema contable y presupuestario X X X X
11. Acceso a los activos y registros X X
12. Revisiones de control X X
13. Conciliación periódica de registros X X
(financieros y no financieros)
14. Inventarios periódicos X X X
15. Arqueos independientes X X
16. Formularios uniformes X
17. Rotación de labores X X X
18. Disfrute oportuno de vacaciones X X
19. Cauciones y fianzas X X
20. Dispositivos de control y seguridad X X X X
Elaboración: ONADICI 2018.

Dado que las actividades de control operan en forma dinámica y acorde al ambiente específico de la
entidad, pueden realizarse en diferentes momentos del proceso u operación o funcionar simultáneamente
como preventivas, concurrentes o posteriores (por ejemplo, la automatización de controles y clasificación
y registro oportuno).
3.4.2. PROPÓSITO
Como se ha indicado en el numeral 3.1 referido a las prácticas y medidas de control, todas las actividades
de control tienen como objetivo asegurar, en forma individual o conjunta, que las tareas, acciones,
operaciones o transacciones controladas, tanto administrativas como operativas, se realicen en la forma
prevista por la dirección, actuando de conformidad con la normativa legal, técnica y administrativa
aplicable y cumpliendo con los objetivos fijados por la entidad, a fin de salvaguardar los recursos públicos
asignados y garantizar la transparencia de su manejo.
Las actividades de control elegidas deben ser aquellas que se ajusten mejor a los recursos y posibilidades
de la entidad y que aseguren una adecuada gestión de los riesgos, a fin de asegurar en forma razonable
que se van a alcanzar los objetivos definidos por la entidad.
El ejercicio de estas actividades debe estar enmarcado dentro del principio de autocontrol, el cual es
validado por cada responsable jerárquico de las áreas y unidades, de acuerdo con sus roles y
responsabilidades, de que la tarea a realizar es legal, comprobada, conveniente y oportuna para la entidad.
3.4.3. CRITERIOS
Al diseñar e implementar las actividades de control, debe validarse que las mismas cumplan con los
atributos de ser apropiadas, convenientes y viables, agregar valor, oportunas, sencillas, comprensibles,
adaptadas a la entidad y aplicadas por quien corresponda.
ACO.3 Los responsables jerárquicos de las áreas o unidades de la entidad, al evaluar y seleccionar las
diferentes actividades de control aplicables a los sistemas administrativos y operativos, deberán
considerar, entre otras, las medidas de control enunciadas en el numeral 3.4 y desarrolladas en
el ANEXO 50.
ACO.4 La MAE debe establecer que los proyectos que deriven de la propuesta de actividades de control
que signifiquen erogaciones significativas de recursos financieros de la entidad, sean
presentados considerando la metodología correspondiente a la evaluación de costo/beneficio
para alternativas de inversión en la formulación de proyectos.
ACO.5 La MAE debe establecer que el responsable jerárquico del área o unidad de compras elabore los
procesos de conformidad con lo preestablecido en el PACC institucional, la normatividad vigente
u otra normativa interna o externa aplicable, y en coordinación con los demás responsables
jerárquicos de las áreas o unidades asociados con los procesos de compras y contrataciones.
Asimismo, el jefe de la UAI debe realizar el aseguramiento en el cumplimiento de los procesos

de compras y contrataciones de acuerdo con las guías que para el efecto emita la ONADICI,
generando informes trimestrales para las entidades tipo A, semestrales para las tipo B y anuales
para las tipo C.

ACO.6 Los responsables jerárquicos de las áreas o unidades de la entidad deben proponer los cambios
que resulten necesarios en los documentos de gestión de la entidad cuando detecten vacíos o
imprecisiones en la asignación de las responsabilidades en los procesos que se encuentran a su
cargo.
ACO.7 La separación de funciones incompatibles constituye un control general y preventivo por

excelencia que permite un control cruzado a partir de la asignación de responsabilidades y
funciones a las distintas áreas o unidades y los responsables jerárquicos que las integran. La
ausencia de una adecuada segregación de funciones resulta contraproducente para el ejercicio
de cualquier actividad de control, pudiendo tener el efecto contrario a la esencia de esta. Por
ello los responsables de las áreas o unidades de la entidad deben asegurarse de que la
documentación de los procesos que tienen a su cargo incluya la matriz de segregación de
funciones consignada en el ANEXO 48.
De acuerdo con lo manifestado precedentemente, las diferentes fases que integran un proceso,
transacción u operación (autorización, procesamiento o ejecución, revisión o aseguramiento,
aprobación, control, registro, pago, custodia y finalmente archivo), deben distribuirse
adecuadamente, con base en su grado de incompatibilidad, entre los diversos servidores
públicos o colaboradores y las áreas o unidades de la entidad. Cabe señalar que las operaciones
no financieras siguen sus propias fases independientes a las financieras (pago y custodia).
Ante las limitaciones de recursos que tengan las entidades, deberán efectuarse las separaciones
de funciones hasta donde sea posible sin elevar el costo del control más allá de límites
razonables, supliendo las eventuales deficiencias mediante la aplicación de actividades de
control complementarias o supletorias (por ejemplo, mayor supervisión constante, arqueos e
inventarios más frecuentes, entre otros).
ACO.8 La MAE debe disponer que los responsables jerárquicos de las áreas o unidades se aseguren de
contar con procesos documentados en sus correspondientes ámbitos de responsabilidad,
debiendo tomarse en consideración el modelo de estructura de procedimiento sugerido en el
ANEXO 49.
ACO.9 La MAE debe establecer que todos los responsables jerárquicos de las áreas o unidades ejerzan
una supervisión constante sobre el desarrollo de los procesos, transacciones y operaciones
dentro de su ámbito de responsabilidad, dejando evidencia documental escrita, con el propósito
de asegurar que las labores se realicen de conformidad con la normatividad y las disposiciones
internas y externas vigentes, teniendo el cuidado de no evadir la responsabilidad.
ACO.10 La MAE y todos los responsables jerárquicos de las áreas o unidades deben asegurarse de que
los hechos importantes que afectan la toma de decisiones y acciones sobre los procesos,
operaciones y transacciones se encuentren debida y oportunamente clasificados y registrados.
ACO.11 La MAE debe asegurarse de que en la entidad los sistemas de contabilidad y presupuesto
funcionan de conformidad con las disposiciones legales vigentes.
ACO.12 La MAE debe establecer que todos los responsables jerárquicos de las áreas o unidades se
aseguren de que el acceso a los recursos, activos, registros de información y comprobantes de
los procesos de la entidad, en sus respectivos ámbitos de responsabilidad, esté claramente
definido, delimitado, restringido y protegido por mecanismos de seguridad.

ACO.13 La MAE debe establecer que todos los responsables jerárquicos de las áreas o unidades se
aseguren de que las operaciones de la organización, que forman parte de los procesos en sus
respectivos ámbitos de responsabilidad, se sometan periódicamente a revisiones de control en
puntos específicos de su procesamiento, permitiendo detectar y corregir oportunamente
cualquier desviación con respecto de lo planeado. La periodicidad de las revisiones de control
debe ser establecida de acuerdo con la naturaleza, volumen de operaciones y exposición a los
riesgos de cada proceso. Asimismo, se debe dejar evidencia documental escrita.
ACO.14 La MAE y todos los responsables jerárquicos de las áreas o unidades deben disponer y asegurarse
de que el personal a su cargo realice verificaciones y conciliaciones periódicas de los registros
contra los documentos fuente respectivos, dependiendo de la naturaleza de los procesos en su
ámbito de responsabilidad, para determinar y enmendar cualquier error u omisión que se haya
cometido en el procesamiento de los datos.
ACO.15 La MAE debe establecer que el responsable del área o unidad que corresponda se asegure de
que periódicamente se realice la verificación y el recuento físico de los activos, u otros como la
información institucional clave, con el fin de comprobar la exactitud de los registros sobre activos
y su disponibilidad.
ACO.16 Los responsables jerárquicos de las áreas o unidades que tengan a su cargo la administración de
recursos financieros de la entidad deben establecer que se realicen arqueos independientes de
los fondos y otros activos a su cargo (incluido el acopio de información clave), por servidores
públicos o colaboradores diferentes de aquellos que los custodian, administran, recaudan,
contabilizan y generan.
ACO.17 La MAE debe establecer que el responsable jerárquico del área o unidad que tenga a su cargo la
función de organización y métodos se asegure de que se diseñen e implementen formularios
uniformes para el procesamiento, traslado y registro de todas las transacciones que se realicen
en la entidad, los que deben contar con una numeración consecutiva preimpresa que los
identifique específicamente, asignada electrónicamente si el procesamiento esta automatizado.
Para el procesamiento automatizado, se debe coordinar con el responsable jerárquico del área
o unidad que tenga a su cargo la gestión de los sistemas y tecnologías de la información, con el
fin de establecer los controles pertinentes para la emisión, custodia y manejo de tales
formularios o los controles informáticos, según corresponda.
ACO.18 La MAE debe establecer que el responsable jerárquico del área o unidad que tenga a su cargo la
gestión del talento humano de la entidad, en coordinación con los responsables jerárquicos de
las demás áreas o unidades, elaboren procedimientos documentados sobre la conveniencia de
rotar sistemáticamente las labores entre quienes realizan tareas o funciones afines, siempre y
cuando la naturaleza de tales labores permita efectuar tal medida.
ACO.19 LA MAE debe establecer que el responsable jerárquico del área o unidad que tenga a su cargo la
gestión del talento humano, en coordinación con todos los demás responsables jerárquicos de
las áreas o unidades, elabore el cuadro de asignación de vacaciones del personal, asegurándose
de que los servidores públicos o colaboradores en general disfruten oportunamente de las
vacaciones que les correspondan de conformidad con la ley y los reglamentos establecidos.

ACO.20 La MAE debe establecer que los responsables jerárquicos de las áreas o unidades que tengan a
su cargo recaudar, custodiar o administrar fondos y valores propiedad del Estado, rindan caución
o estén cubiertos con una fianza individual de fidelidad a favor del Tesoro Público o de la
respectiva entidad, sin perjuicio de otras medidas de seguridad que pueda emitir la propia MAE.
ACO.21 El responsable jerárquico del área o unidad que tenga a su cargo la gestión de los sistemas y
tecnologías de la información debe asegurarse de que los equipos y dispositivos electrónicos
utilizados cuenten con mecanismos de control y seguridad apropiados para garantizar su óptimo
uso en las labores que le corresponde cumplir.
ACO.22 El responsable jerárquico del área o unidad que tenga a su cargo la administración y
mantenimiento de los equipos y dispositivos mecánicos o automáticos debe asegurarse que
cuenten con mecanismos de control y seguridad apropiados para garantizar su óptimo uso en las
labores que le corresponde cumplir.
MARE-CII-RP, TSC-PRICI-06, TSC-PRICI-08, TSC-PRICI-10 y TSC NOGECI V.02 a V. 21 y sus Declaraciones. Ley
Orgánica del Presupuesto, Art. 4, 5 y Título VII.3
3.5. CONTROLES SOBRE LOS SISTEMAS DE TECNOLOGÍA INFORMÁTICA
“En el caso de sistemas computarizados, debe tenerse presente la existencia de controles generales, de
aplicación, de operación y otros de conformidad con la normativa vigente al efecto…” (Declaración de la
TSC-NOGECI-VI-04).
Las actividades de control sobre los sistemas de tecnología informática se clasifican en: (1) actividades de
control generales, y (2) actividades de control de aplicación.
3.5.1.1. ACTIVIDADES DE CONTROL GENERALES
Son aquellas que están inmersas en los procesos y servicios de tecnología informática (desarrollo de
sistemas, administración de cambios, seguridad, operaciones de cómputo, entre otros) y están referidas a
los siguientes cuatro dominios o procesos principales:
a. Planear y organizar: proporciona dirección para la entrega de soluciones automatizadas

(aplicaciones) de servicios. Cubre las estrategias y tácticas, a partir de identificar la forma en que
el área o unidad a cargo de la gestión de los sistemas y tecnologías de la información puede
contribuir de la mejor manera al logro de los objetivos institucionales.
b. Identificar e implementar: proporciona las soluciones de tecnología informática (infraestructura

y aplicaciones) para convertirlas en servicios. Incluye la identificación, desarrollo o solicitud de
adquisición, implementación e integración en los procesos de las soluciones de tecnología
informática que mejor cumplen con la estrategia (incluye hardware y software).
c. Entregar y dar soporte: crea o recibe de fuente externa las soluciones de tecnología informática,
infraestructura y aplicaciones, y las hace disponibles para los usuarios finales. Incluye la ejecución

o entrega de los servicios requeridos: la prestación del servicio, la administración de la seguridad

y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las
instalaciones operativas.
d. Monitorear y evaluar: supervisa y vigila todos los procesos de sistemas y tecnologías de la

información para asegurar que se sigue la dirección provista. Incluye la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del
gobierno de tecnología informática.
A continuación, la Tabla 3 detalla los principales procesos de la gestión de los sistemas y tecnologías de la
información referidos a las actividades de control. El responsable jerárquico del área o unidad de sistemas y
tecnologías de la información calificará el grado de la importancia según la naturaleza del riesgo que enfrente.
Tabla 3
Principales procesos de la gestión de los sistemas y tecnologías de la información
Actividades
Planear y organizar
Definir la arquitectura de la información
Determinar la dirección tecnológica
Administrar la inversión en TI
Administrar la calidad
Administrar proyectos
Adquirir e implementar
Identificar soluciones automatizadas
Adquirir y mantener software aplicativo
Adquirir y mantener infraestructura tecnológica
Facilitar la operación y el uso
Adquirir recursos de TI
Administrar cambios
Instalar y acreditar soluciones y cambios
Entregar y dar soporte

Definir y administrar los niveles de servicio
Administrar los servicios de terceros
Administrar el desempeño y la capacidad
Garantizar continuidad del servicio
Garantizar la seguridad de los sistemas
Identificar y asignar costos
Administrar la configuración
Administrar los problemas
Administrar los datos
Administrar el ambiente físico
Administrar las operaciones
Monitorear y evaluar
Garantizar el cumplimiento regulatorio

3.5.1.2. ACTIVIDADES DE CONTROL PARA LA APLICACIÓN
Son los controles incluidos en los programas de aplicaciones de los diferentes procesos, referidos a la
integridad e integralidad en los procesos de captura, almacenamiento, procesamiento, actualización,
consulta, seguridad, transmisión y salida de los datos. No incluye los programas de sistemas (sistema
operativo, programa de control de redes, entre otros). Las actividades de control están referidas a los
siguientes temas:
a. Preparación y autorización de información fuente

b. Recolección y entrada de información fuente
c. Chequeos de exactitud, integridad, integralidad y autenticidad de información fuente
d. Revisión de integridad, integralidad y validez del procesamiento de la información
e. Autenticación, integridad e integralidad de transacciones
f. Revisión de salidas, reconciliación y manejo y corrección de errores de la información.
Dentro de este acápite pueden presentarse algunos riesgos frecuentes, tales como:
• Baja confiabilidad de la información, por falta de control de la autorización, integridad o exactitud de

la información en alguna de sus etapas: ingreso, baja o modificación de datos
• Que las nuevas operaciones o las modificaciones no se reflejen en los archivos de datos por problemas
internos del aplicativo, o de las interfaces de las aplicaciones
• Que no quede evidenciado en una bitácora los accesos y usos del personal autorizado
• Bajos niveles de seguridad física o lógica en el acceso a la información. Ejemplo: proporcionar las claves
de acceso a personal no autorizado.
Es importante recalcar que las tareas de diseñar, desarrollar, automatizar e implementar los requisitos
funcionales y de control que solicita la administración activa, así como establecer las actividades de control
para mantener la integridad de las medidas de control de aplicación, son responsabilidad del área o unidad
que tiene a su cargo la gestión de los sistemas y tecnologías de la información.
Por otra parte, la responsabilidad operativa de definir apropiadamente los requisitos funcionales y de
control, así como el uso adecuado de los servicios automatizados (aplicativos), le corresponde a los
superiores jerárquicos de las diferentes áreas y unidades de la entidad, dentro de su ámbito de
competencia, con el respectivo apoyo de personal especializado.
3.5.2. PROPÓSITO
“…debe crearse una estructura adecuada para asegurar el funcionamiento correcto y continuo de los
sistemas, su seguridad física y su mantenimiento, así como la integridad, confiabilidad y la exactitud de la
información procesada y almacenada…”, y el control del proceso de los diversos tipos de transacciones,
ayudando a la toma de decisiones adecuadas por parte de la entidad. (Declaración TSC-NOGECI-VI-04.01).
3.5.3. CRITERIOS
Las actividades de control sobre los sistemas y tecnologías de la información deben asegurar
razonablemente que las transacciones se realicen de forma tal que la información generada, sea ésta
operativa o administrativo-contable, cumpla básicamente con los requisitos de efectividad, eficiencia,

confidencialidad, integridad, integralidad, disponibilidad, cumplimiento normativo y confiabilidad, de

conformidad con lo detallado en la siguiente Tabla 4.
Tabla 4
Requisitos o características de la información generada
Requisito Definición
Efectividad La información y sus procesos relacionados deben ser relevantes y
pertinentes a los procesos institucionales, y proporcionarse de una
manera oportuna, correcta, consistente y utilizable. Es decir, tener la
capacidad de lograr el objetivo o el efecto que se desea o se espera
(eficaz).
Eficiencia La información debe ser generada por la óptima asignación y
utilización de los recursos, a fin de lograr la mejor relación entre los
insumos utilizados y los productos obtenidos para conseguir un
efecto determinado.
Confidencialidad Se protege, salvaguarda y asegura física y lógicamente la
información, los recursos y los procesos, a través del acceso
autorizado para su ingreso, modificación, consulta, utilización,
divulgación, archivo y destrucción de acuerdo con los objetivos
previstos por la entidad mitigando el riesgo de la pérdida de su
confidencialidad.
Integridad El contenido de la información a utilizar debe ser preciso y completo,
suficiente para poder tomar decisiones adecuadas, y debe ser válido
de acuerdo con las pautas, valores y expectativas fijados por la
entidad y regulaciones externas.
Integralidad La información a utilizar debe permitir la formulación de soluciones
para la mayoría de las necesidades de la entidad.
Disponibilidad La información, ante su requerimiento, debe estar accesible y a libre
disposición en tiempo y forma para ser usados o utilizados por todos
aquellos interesados que tienen autorización para su acceso.
Cumplimiento normativo La información debe ser válida a partir del respeto y acatamiento de
las políticas y procedimientos internos y de todas las leyes,
reglamentaciones y contratos a que está sujeta la entidad.
Confiabilidad Proporcionar la información oportuna y completa para que la
gerencia tome las decisiones y ejerza sus responsabilidades en la
entidad.
Dentro de los anteriores requisitos, también es importante que la información sea autorizada y aprobada,
económica, exacta, oportuna, actualizada y transparente, como se muestra en la Tabla 5.

Tabla 5
Criterios de control para la información generada
Requisito Definición
Autorizada y aprobada Un elemento de información de una transacción hasta un sistema

completo se ingresa, desarrolla, modifica, elimina o utiliza de manera
apropiada con la autorización previa o la aprobación concurrente o
posterior correspondiente.
Económica Obtención de los recursos o insumos al menor costo o precio
individual posible, sin minimizar la calidad.
Exacta Los datos, la información y los procesos asociados son precisos,
puntuales, fidedignos, correctos y pueden utilizarse de acuerdo con
sus propósitos y ser comprobados contra sus fuentes.
Oportuna Se respetan los plazos y períodos operativos y contables apropiados
y otras fechas límite, a fin de realizar las tareas y obtener la
información requerida en el tiempo requerido para la toma de
decisiones.
Actualizada La información debe contener todos los registros anteriores y
recientes completos.
Transparente Clara, evidente, de fácil acceso e interpretación para los usuarios.
ACO.23 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, y, en
especial, el responsable del área que tiene a su cargo la gestión de los sistemas y tecnologías de
la información, deben poner especial atención en evaluar, seleccionar, implementar y mantener
las actividades de control más adecuadas y de mayor calidad relacionadas con los sistemas de
tecnología informática. Estas deben incluir actividades de control generales y de aplicaciones.
ACO.24 El responsable jerárquico del área que tiene a su cargo la gestión de los sistemas y tecnologías
de la información debe diseñar, desarrollar, automatizar e implementar los requisitos
funcionales y de control que solicite la administración activa, así como establecer las actividades
de control necesarias para mantener la integridad e integralidad de las medidas de control de
aplicación.
ACO.25 Los superiores jerárquicos de todas las diferentes áreas y unidades de la entidad, dentro de su
ámbito de competencia, son los responsables operativos de definir apropiadamente los
requisitos funcionales y las actividades de control referidas a los procesos que se automaticen,
así como del uso adecuado de los sistemas aplicativos.
ACO.26 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, deben
impulsar en forma efectiva la sistematización, ejecución, control, supervisión y evaluación de sus
operaciones a través del uso de sistemas aplicativos de tecnología informática, y, en especial, la
automatización de las actividades de control a través de su inclusión en estos aplicativos.

MARE-CII-RP, Declaración TSC-NOGECI-VI-04.
3.6. CONTROLES DE GESTIÓN
“…formulación de indicadores de resultado y de desempeño, cualitativos o cuantitativos, que permitan la

evaluación de la eficacia en términos del logro de dichos resultados en relación a estos indicadores y
también a los indicadores de impacto en el desarrollo económico o social, u otros, si fuere el caso.”
Los mismos “…deberían haber sido adoptados en consenso con los funcionarios responsables de la
ejecución de dichos planes y por ende del cumplimiento de dichos indicadores.”
Las actividades de control de gestión pueden clasificarse en: (1) análisis efectuados por la alta gerencia, y
(2) indicadores clave de desempeño.
3.6.1.1. ANÁLISIS EFECTUADOS POR LA ALTA GERENCIA
Se trata de revisiones de alto nivel que realiza la MAE y los responsables jerárquicos de las áreas o unidades
de la entidad en forma específica, involucrándose en tareas ejecutivas u operativas, fundamentalmente
debido a la importancia de los temas analizados. Dentro de las más relevantes se enuncian las siguientes
actividades de control:
a. Presupuestarias: actividades de control sobre el Plan Operativo Anual, el Presupuesto de Ingresos y

Egresos y el Presupuesto Financiero (Flujo de Caja o Cash Flow)
b. Revisión de información contable
c. Proyectos y programas especiales
d. Desarrollo de nuevos servicios y productos
e. Proyecciones, análisis de escenarios y tendencias
f. Datos de períodos previos
g. Difundir los productos y logros de la entidad entre los grupos de interés internos y externos.
3.6.1.2. INDICADORES CLAVE DE DESEMPEÑO
La utilización y consulta de la evolución de los indicadores clave de desempeño puede ayudar en el proceso
de identificación del cambio, alertando sobre la necesidad de modificación de estrategias y orientando
respecto de los riesgos, áreas o procesos donde deben realizarse las modificaciones respectivas.
Los indicadores pueden ser evaluados por separado, mediante herramientas internas o metodologías
especializadas que permitan utilizar aplicaciones informáticas.
3.6.2. PROPÓSITO
“La administración activa debe ejercer un control permanente sobre la ejecución de los procesos, las
transacciones, operaciones y eventos para asegurarse de que se observen los requisitos normativos
jurídicos, técnicos y administrativos, vigentes; de origen interno y externo y para prevenir y corregir

cualquier eventual desviación que pueda poner en entredicho el acatamiento del principio de legalidad y
de los preceptos de eficiencia, eficacia y economía, aplicables”.
“…Durante el proceso respectivo, los indicadores de desempeño establecidos en los planes también deben
aplicarse como puntos de referencia.”
La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben realizar actividades de
control sobre la gestión de las diferentes áreas, procesos, proyectos y programas de la entidad, así como
efectuar el seguimiento y evaluación del comportamiento de los diferentes indicadores clave de
desempeño fijados, para, en caso de corresponder, retroalimentar el proceso de gestión o tomar las
decisiones en cuanto a la corrección o ajuste de las tareas en curso.
La aplicación de una política activa de evaluación del desempeño de la entidad apoya la creación de una
conciencia de control dentro ésta.
3.6.3. CRITERIOS
Los indicadores clave de desempeño, de resultado y de impacto, sean estos cuantitativos o cualitativos,
deben ser construidos y fijados de tal forma que permitan dar seguimiento y evaluar en forma oportuna
el avance en la ejecución y el cumplimiento de los planes de la entidad, y la medida en que han contribuido
a satisfacer las metas, los objetivos y la misión institucional, tomando como base el principio de que “lo
que no se mide, no se puede gestionar ni controlar”.
Además de considerar los indicadores de medición del desempeño de los factores claves de éxito
relacionados con el cumplimiento de los objetivos globales y metas por actividad fijados por la entidad,
sean estos cuantitativos (ejemplo: número de casos atendidos, cantidad de reparaciones efectuadas,
obras construidas, entre otros) o cualitativos (ejemplo: nivel de eficiencia, grado de satisfacción de los
beneficiarios, impacto social, entre otros). Adicionalmente deben tomarse en cuenta los indicadores
diseñados con base en requerimientos legales y reglamentarios fijados, entre otros, por la Secretaría de
Coordinación General de Gobierno, la Secretaría de Finanzas y los organismos reguladores del Estado.
Deben estar definidos bajo un esquema de desagregación, de lo general a lo específico, en que cada
responsable jerárquico de un área o unidad o el “responsable de un proceso” de la entidad tenga un listado
de los principales indicadores para medir la gestión de su área de responsabilidad. Al definirlos, debe
procurarse que, entre otras características, sean claros y uniformes, fácilmente aplicables, medibles, con
expresión del tiempo y lugar de su cálculo y de conocimiento general, debiendo estar consensuados con
los responsables de la ejecución de los planes y cumplimiento de estos indicadores.
En cuanto a su número, no deben ser demasiados que sean difíciles o confusos, ni tan escasos que no
permitan revelar las cuestiones clave y el perfil de la situación que se examina.
Luego estos indicadores deben sintetizarse y priorizarse, a fin de elevar a la MAE sólo los que resulten de
mayor nivel de agregación y relevancia, con el enfoque de brindar información por excepción,
preferentemente en los casos donde se han observado desvíos significativos respecto del cumplimiento
de los objetivos y las metas fijadas, y en función de los umbrales de tolerancia definidos por la entidad.
Los indicadores deben estar ajustados a las características de la entidad: tamaño, procesos, bienes y
servicios que entrega, nivel de competencia de su personal y demás elementos diferenciales que la
distingan.

Usualmente, los indicadores se agrupan en tres tipos, según el objetivo a medir:
a. Estratégicos: son más generales, seleccionando y sintetizando aquellos índices directivos

relevantes y referidos al cumplimiento de los objetivos y metas estratégicas de la entidad, a partir
de información interna y del entorno, tanto cuantitativa como cualitativa a fin de hacer un
diagnóstico tomando en cuenta la visión en el largo plazo, incluyendo la perspectiva y los
requerimientos de los diferentes grupos de interés a los que la entidad debe satisfacer.
Se definen con la MAE y el apoyo técnico de la Unidad de Planificación y el COCOIN, a partir de la

información contenida en su ley constitutiva, misión, visión y objetivos, y su número va de acuerdo
con la naturaleza de la entidad y las necesidades de evaluación e información para la toma de
decisiones.
b. Directivos o ejecutivos: abarca a toda la entidad en su conjunto, agrupándola por áreas o unidades
clave a fin de diagnosticar la situación global de la entidad, en especial desde el punto de vista de
su desempeño interno con mediciones de resultados a través de diferentes tipos de indicadores
clave cuantitativos y cualitativos (ejemplo: importes, porcentajes, cantidades, entre otros) de
corto, mediano o largo plazo en cumplimiento de los objetivos fijados.
Lo definen los responsables jerárquicos de las áreas o unidades con el apoyo técnico del
responsable jerárquico del área de planeamiento y el COCOIN, a partir de la información de cada
área o unidad de la entidad. Su número varía dependiendo de la naturaleza de la entidad y las
necesidades de evaluación e información para la toma de decisiones.
c. Operativos: evalúan el comportamiento de los procesos que necesitan ser monitoreados día a día
(ejemplo: presupuesto de caja, evolución de las compras y recepciones de bienes y servicios,
avances de obras, entre otros). Deben proveer información concreta, oportuna y actualizada para
tomar acciones en forma inmediata, de ser factible, en forma proactiva.
Debe haber un conjunto de indicadores por función o proceso del área, y el responsable de su
emisión y principal usuario es el superior jerárquico de cada área o unidad funcional evaluada. Su
número varía dependiendo de la naturaleza y número de los procesos de la entidad.
Cada responsable de los indiciadores debe darle seguimiento permanente y sistemático para su
cumplimiento, independientemente del tipo de indicador. Asimismo, los indicadores de desempeño
estratégico deben evaluarse y actualizarse como mínimo semestralmente. En los indicadores de naturaleza
directiva, la medición debe ser como mínimo mensual. En cuanto a los indicadores operativos,
dependiendo de su importancia y volatilidad, su actualización ser realizará en forma diaria, semanal o,
como mínimo, quincenal.
En todos los casos, de observarse desvíos que generen alertas tempranas, estos deben ser informados a
los responsables jerárquicos de las áreas y unidades de la entidad y a la MAE inmediatamente.
Esta verificación incluirá la revisión de tendencias inusuales o resultados inesperados, así como la
comparación de los resultados obtenidos con estadísticas de comportamiento y los objetivos fijados por
la entidad.

ACO.27 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben definir y
establecer los indicadores clave de desempeño, de resultado y de impacto, tanto generales como
específicos, cuantitativos o cualitativos.
Entre los indicadores de impacto se debe formular políticas y compromisos con el cuidado del
medioambiente en contribución a minimizar los efectos de la contaminación y el cambio climático,
evaluadas mediante indicadores de ecoeficiencia en la entidad. Ejemplo: construcciones ecológicas,
reciclaje de papel, cartón y plásticos, ahorro de energía eléctrica y agua, disminución de
contaminantes en aire y agua, siembra y cuidado de árboles, uso de tecnología, entre otros.
ACO.28 La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben fijar
claramente las formas de medición de los indicadores de desempeño, la periodicidad de las
actualizaciones y los responsables por su diseño e implementación, el seguimiento de su
evolución, actualización, así como de la emisión de los informes y los principales usuarios de la
información emitida.
Como pauta general, según el tipo de indicador, estas definiciones deben ajustarse al siguiente
esquema de la Tabla 6:
Tabla 6
Cuadro de indicadores y sus acciones
Tipo de indicadores
Acciones
Estratégico Directivo Operativo
Diseño, • MAE
• COCOIN
implementación, • COCOIN
• UPEC Responsables jerárquicos de las
seguimiento, • UPEC
• Responsables jerárquicos de áreas
actualización • Responsables jerárquicos de
las áreas
las áreas
Emisión de • UPEC
• MAE Responsables jerárquicos de las
informes • Responsables jerárquicos de
• UPEC áreas
las áreas
Usuarios • MAI • MAE
• MAE • MAE • COCOIN
• Responsables jerárquicos de • Responsables jerárquicos de • Responsables jerárquicos de
las áreas las áreas las áreas
• Órganos contralores • Órganos contralores • Responsables de los procesos
• Ciudadanía • Órganos contralores
Cantidad de Dependiendo de la naturaleza Dependiendo de la naturaleza
Dependiendo de la naturaleza y
indicadores de la entidad y las necesidades de la entidad y las necesidades
número de los procesos del
de evaluación e información de evaluación e información
área
para la toma de decisiones para la toma de decisiones
Periodicidad de Dependiendo de la importancia
emisión y y volatilidad de los indicadores:
Semestral Mensual
actualización diaria, semanal o, como
mínimo, quincenal
Periodicidad de Dependiendo de la importancia
evaluación y y volatilidad de los indicadores:
Trimestral Mensual
análisis diaria, semanal o, como
mínimo, quincenal

En todos los casos, de observarse desvíos que generen alertas tempranas, estos deben ser
informados a los responsables jerárquicos de las áreas y unidades de la entidad y a la MAE
inmediatamente sean conocidos para que se tomen las acciones que correspondan.
ACO.29 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, deben
comunicar en forma escrita, clara y fehaciente a todo el personal involucrado los indicadores
clave (KPI, key performance indicators) para medir el desempeño del área, unidad o proceso, así
como comprobar que son conocidos, comprendidos y aceptados por los servidores públicos o
colaboradores que trabajan en la entidad. El conjunto de los indicadores clave de desempeño
permiten la evaluación general de toda la entidad.
MARE-CII-RP, Declaración TSC-PRECI-01-01, TSC-PRECI-02-01, TSC-NOGECI IV-03-01, TSC-NOGECI-VII-02-

01.
3.7. ANÁLISIS DE LAS ACTIVIDADES DE CONTROL EXISTENTES
“El titular principal o jerarca, con el apoyo de los titulares subordinados, deberá instaurar las medidas
de control propicias para que los servidores públicos reconozcan y acepten la responsabilidad que les
compete por el adecuado funcionamiento del control interno y promover su participación activa tanto
en la aplicación y mejoramiento de las medidas ya implantadas como en el diseño de controles más
efectivos para las áreas en donde desempeñan sus labores.”
“Los propios servidores públicos de un grupo, unidad o área específica de un ente público, deben evaluar a
posteriori la efectividad de los controles internos aplicados en la gestión de las operaciones a su cargo, por
convicción de la importancia y utilidad del control.”
“No obstante, por ser el control interno un proceso dinámico, tanto el proceso como los controles deben
ser revisados constantemente aun cuando estén formalmente establecidos, a fin de introducir
oportunamente las mejoras o actualizaciones que procedan.”
3.7.2. PROPÓSITO
Evaluar si las actividades de control establecidas y vigentes están siendo aplicadas correctamente y mitigan
los riesgos en forma eficaz, eficiente y económica.
Todo el personal de la entidad debe autoevaluar la efectividad de los controles internos aplicados en la
gestión de las operaciones a su cargo y en función de su compromiso con el control interno, participando
activamente en la aplicación y mejoramiento de las actividades de control implementadas y en el diseño
de controles efectivos para las áreas en donde desempeñan sus labores.
3.7.3. CRITERIOS
Al analizar las actividades de control vigentes, deben considerarse, entre otros aspectos:

a. Las capacidades, requerimientos y recursos necesarios para su diseño, implementación y

mantenimiento
b. La adecuada relación entre el costo operativo de la actividad de control (o la inversión en su
diseño, implementación y mantenimiento) y el beneficio que se obtiene, en términos de cobertura
y reducción de los riesgos inherentes a niveles aceptables
c. El nivel de priorización en función de los riesgos mitigados
d. La coordinación de decisiones y acciones entre las diferentes áreas o unidades de la entidad
e. La automatización de los procesos críticos de la entidad, a fin de que el procesamiento, la
supervisión y la evaluación de las operaciones pueda realizarse a través de los sistemas aplicativos
de tecnología informática generando mayor eficiencia y exactitud.
Ante condiciones o desvíos producidos respecto de la aplicación de las actividades de control vigentes,
deben considerarse y analizarse los efectos que tales variaciones generan y las causas que hayan motivado
esas diferencias.
Las propuestas de mejora en las actividades de control deben ser definidas en forma clara y precisa, ser
viables operativamente y poder implementarse en un plazo razonable, determinándose claramente un
plan de las acciones a ejecutar para su adecuada implementación y consecución, asignando responsables
de tales tareas y plazos de cumplimiento.
Como complemento, dentro de las funciones del responsable de riesgos y el Comité de Riesgos, se
encuentra el fijar un plan de las acciones a ejecutar para la adecuada implementación y consecución de
las mejoras a las actividades de control vigentes o la implementación de nuevas actividades de control
viables, asignando responsables de tales tareas y plazos razonables de cumplimiento, que deberán ser
luego objeto de un seguimiento oportuno y coordinado, correspondiendo al COCOIN el monitoreo de su
adecuada implementación.
ACO.30 La MAE debe establecer la evaluación de las actividades de control vigentes (ver ANEXO 50), así
como las propuestas de mejoras a las mismas, y la definición de actividades de control
adicionales o en reemplazo de las existentes. Esta evaluación debe considerarse en la
elaboración y presentación de las matrices y el mapa de riesgos de la entidad, afectando la
valoración final de los riesgos, hasta llegar a niveles aceptables de riesgo residual (anexos
correspondientes de la Guía 2 Evaluación y gestión de riesgos).
Este proceso de evaluación de las actividades de control debe realizarse, como mínimo, una vez
al año, o cada vez que se produzca un cambio significativo en los objetivos estratégicos o los
recursos disponibles de la entidad, y está a cargo de los responsables jerárquicos de las áreas o
unidades afectadas.
Ante las limitaciones de recursos, podrán implementarse las actividades de control que sean
factibles, compensando las eventuales deficiencias mediante la aplicación de actividades de
control complementarias o supletorias.
ACO.31 Los responsables jerárquicos de las áreas o unidades de la entidad, en coordinación con el
Responsable de Coordinación y Seguimiento de la Gestión de Riesgos y el Comité de Riesgos,
deben elaborar un plan de acción (PADE, ver ANEXO 58) a ejecutar para la adecuada
implementación y consecución de las mejoras a las actividades de control vigentes o la

implementación de nuevas actividades de control viables, asignando responsables y plazos

razonables de cumplimiento, que deberán ser luego objeto de un seguimiento oportuno,
correspondiendo al COCOIN el monitoreo de su adecuada implementación.
MARE-CII-RP, TSC-PRICI-11, TSC NOGECI III-07 y Declaración TSC-NOGECI V-02.01.
3.8. MANUALES DE PROCEDIMIENTOS
“El acatamiento o cumplimiento de las disposiciones legales que regulan los actos administrativos y la
gestión de los recursos públicos, así como de los reglamentos, normas, manuales, guías e instructivos que
las desarrollan, es el primer propósito del control interno institucional.”
“Las técnicas, mecanismos y elementos de control interno deben estar inmersos, integrados o incorporados
en los procedimientos de los sistemas administrativos de tal forma que sean parte natural de los mismos”.
Este principio también es aplicable para los sistemas operativos y de gestión.
3.8.2. PROPÓSITO
Al aplicar el principio de autorregulación la entidad obtiene “…un razonable nivel de autonomía regulatoria
para el logro eficaz de los objetivos y metas institucionales de la gestión a efecto de poder dar cuenta
pública al respecto” o bien “rendir o dar cuenta de la forma como los titulares de los entes públicos han
gestionado los recursos en procura de alcanzar las metas programadas o previstas en el presupuesto
institucional…”.
“Los objetivos institucionales, los controles y los aspectos pertinentes sobre transacciones y hechos
significativos que se produzcan como resultado de la gestión, deben respaldarse adecuadamente con la
documentación de sustento pertinente”. “El primer requerimiento puede quedar satisfecho en los planes
estratégicos y operativos de la organización y en la normativa interna vigente (manuales de puestos y
procedimientos; circulares; disposiciones; acuerdos que consten en actas y se comuniquen a quien
corresponda, etc.).”
La entidad debe emitir y mantener actualizados y aprobados los manuales de procedimientos e

instructivos que rigen los procesos, operaciones y transacciones de la entidad. Los responsables
jerárquicos de las áreas y unidades deben elaborar y actualizar sus correspondientes manuales e
instructivos, de acuerdo con los estándares establecidos por la unidad que ejerce la función de
organización y métodos, y someterlos a la aprobación de la MAE a través del COCOIN.
Los manuales de procesos y procedimientos e instructivos aprobados deben estar disponibles en forma
física o electrónica (ejemplo: página web o intranet) para su consulta y aplicación por los distintos
usuarios.

3.8.3. CRITERIOS
“...la elaboración de los reglamentos internos y manuales específicos de los sistemas administrativos,
teniendo tanto las normas técnicas de los dichos sistemas emitidas por los respectivos órganos
rectores, como los principios, preceptos y normas generales o rectoras de control interno emitidas por el
TSC y las normas específicas de la ONADICI, son un deber de los correspondientes directores y/o jefes de
departamento, división, sección o unidad de cada ente público y su emisión una responsabilidad del titular
de la respectiva institución u organismo público.”
Los manuales de procesos y procedimientos e instructivos deberán elaborarse y formalizarse tomando en

cuenta, entre otros, los siguientes aspectos:
a. Legalidad, considerando la ley constitutiva de la entidad, los marcos normativos de los entes
rectores que rigen los diferentes sistemas administrativos y procesos de la entidad, y leyes
especiales según su obligatoriedad de aplicación
b. Describir la secuencia lógica de las actividades (operaciones y transacciones) y sus puntos clave
del proceso que conforman los sistemas administrativos y de producción de bienes y servicios
c. Estar adaptados los cambios de la realidad, tamaño, naturaleza y complejidad de sus servicios,
productos y procesos, magnitud de sus operaciones, estructura organizacional y las atribuciones y
responsabilidades legales aplicables de la entidad
d. Incorporar en los procedimientos las técnicas, mecanismos y elementos de control interno que
garanticen el logro de los objetivos propuestos
e. Asegurar la adecuada separación de funciones en las actividades expuestas a riesgos
f. Incluir las actividades de control definidas, vigentes y aplicables, haciendo énfasis en la aplicación
de controles preventivos.
Además, al redactar los manuales de procesos y procedimientos o instructivos de la entidad, debe tomarse
en cuenta en forma específica que se cubran todas las características principales que debe reunir una
actividad para estar adecuadamente diseñada, formalizada e implantada a fin de garantizar su
aplicabilidad. El ANEXO 49 proporciona una estructura sugerida para la redacción de los correspondientes
procedimientos. Así, en cada procedimiento se debe responder a las siguientes preguntas:
a. Porqué: causa o motivo por el que se realiza la actividad de control (riesgo identificado, analizado
y valorado)
b. Qué: materia controlable
c. Cómo: acción específica a realizar
d. Quién: responsable directo o ejecutor de la actividad de control, el que debe tener la suficiente
capacidad para ponerla en práctica
e. Cuándo: oportunidad de su ejecución (momento y periodicidad)
f. Dónde: lugar en que se ejecuta la actividad de control
g. Para qué: objetivo que se busca lograr con su aplicación (operativo, de información o de
cumplimiento). Debe ayudar a asegurar el logro de los objetivos y misión institucionales.
La entidad deberá formular e implementar los principales manuales de procesos y procedimientos para
los sistemas administrativos y operativos en cumplimiento de la normatividad emitida por ONADICI y
siguiendo el cumplimiento de lo dispuesto por los entes normativos, como son la SEFIN; el TSC; la ONADICI;
la ONCAE, la Comisión Nacional de Bancos y Seguros (CNBS), el Servicio Civil o equivalente, entre otros,
según corresponda.

a. Procesos y sistemas referidos a las actividades sustantivas que hacen al cumplimiento de los
objetivos estratégicos, metas, proyectos y programas que realiza la entidad
b. Sistemas de Administración Financiera y los subsistemas articulados:
i. Planeación y programación
ii. Inversión pública
iii. Presupuesto
iv. Tesorería
v. Crédito público
vi. Contabilidad
vii. Contratación administrativa
viii. Administración de recursos humanos.
ACO.32 La MAE, con todos los responsables jerárquicos de las áreas y unidades de la entidad debe
formular, implementar y mantener actualizados los principales manuales de procesos y
procedimientos e instructivos para los sistemas administrativos y operativos en cumplimiento de
la normatividad emitida por ONADICI los demás entes normativos, como son la SEFIN; el TSC; la
ONADICI; la ONCAE, la CNBS, el Servicio Civil o equivalente, entre otros, según corresponda.
a. Procesos estratégicos de la entidad

b. Procesos misionales y sistemas referidos a las actividades sustantivas que hacen al
cumplimiento de los objetivos estratégicos, metas, proyectos y programas que realiza la
entidad.
c. Sistemas de Administración Financiera y los subsistemas articulados:
i. Planeación y programación
ii. Inversión pública
iii. Presupuesto
iv. Tesorería
v. Crédito público
vi. Contabilidad
vii. Contratación administrativa
viii. Administración de recursos humanos.
ACO.33 El responsable jerárquico del área o unidad a cargo de la función de organización y métodos de
la entidad debe coordinar y proporcionar el apoyo técnico para que los responsables jerárquicos
de las áreas y unidades elaboren los correspondientes manuales de procedimientos e
instructivos tomando en consideración el tamaño de la entidad, la naturaleza y complejidad de
sus servicios, productos y procesos, la magnitud de sus operaciones, su estructura organizacional
y las atribuciones y responsabilidades establecidas en las leyes y reglamentos que en cada caso
sean aplicables, para luego someterlos a la aprobación de la MAE a través del COCOIN.
ACO.34 La MAE, con todos los responsables jerárquicos de las áreas o unidades de la entidad, debe
comunicar formalmente por escrito y dejar disponibles en forma física o electrónica (ejemplo:
página web o intranet) para su consulta y aplicación por los distintos usuarios, todos los
manuales de procedimientos e instructivos de la entidad, debiendo comprobar que son

conocidos, comprendidos y aceptados por el personal involucrado en la gestión de los procesos

en cuestión, dejando evidencia documental escrita sobre el particular.
MARE-CII-RP, TSC-PRICI-03, TSC-PRICI-07 y su Declaración, TSC-PRICI-08 y su Declaración.


GUÍAS PARA LA
IMPLEMENTACIÓN DEL
Guía 4
“INFORMACIÓN Y COMUNICACIÓN”

(ONADICI)
Guía 4 “Información y comunicación”

INFORMACIÓN Y COMUNICACIÓN
El cuarto componente del control interno establece los Figura 30

criterios principales a ser considerados en el diseño del COSO 2013: información y comunicación
control interno institucional en relación con la información y
la comunicación necesaria para la correcta toma de
decisiones y el adecuado funcionamiento del control
interno. Incorpora la calidad y suficiencia de la información,
los sistemas de información, los canales de comunicación
abiertos para la información y la documentación en los
archivos institucionales.
Este componente corresponde al de “información y

comunicación” del Marco Integrado de Control Interno
(2013) del Committee of Sponsoring Organizations of the
Treadway Commission (COSO) que se muestra en la Figura
30. La información es necesaria para que la entidad pueda
cumplir con sus responsabilidades de control interno y dar
soporte al logro de sus objetivos. Quienes dirigen las
entidades requieren información relevante y con calidad,
sea de fuentes internas como externas, para apoyar el Fuente: Resumen Ejecutivo, Control Interno –
funcionamiento de los demás componentes del control Marco Integrado. Committee of Sponsoring
interno. La comunicación es un proceso continuo e iterativo Organizations of the Treadway Commission –
COSO. Mayo 2013.
que permite proporcionar, compartir y obtener la
información necesaria para la toma de decisiones en todos los niveles de la entidad. La comunicación
interna es el medio por el cual la información se difunde a través de toda la organización, fluyendo tanto
en sentido ascendente como descendente y a todos los niveles. Esto último posibilita que todos puedan
recibir un mensaje claro de la alta dirección acerca de sus responsabilidades de control y su importancia
en el funcionamiento de la entidad. Asimismo, la comunicación externa cumple un doble propósito, es
decir transmite información externa relevante desde fuera hacia el interior, así como proporciona
información interna relevante desde dentro hacia fuera, en respuesta a las necesidades y expectativas de
los grupos de interés externos.
A continuación, se muestra las principales relaciones entre los tres de los diecisiete principios del Control
Interno – Marco Integrado 2013 (Figura 31) y los seis elementos del Marco Rector del Control Interno
Institucional de los Recursos Públicos, en la Figura 32, Figura 33 y Figura 34.
Figura 31
COSO 2013: principios de la información y comunicación
•(13) Obtiene o genera y utiliza información relevante y de

Información y calidad para el control interno
comunicación •(14) Comunica internamente
•(15) Comunica externamente

Figura 32
del CII de los Recursos Públicos en el componente información y comunicación (1 de 3)
Cuentas. 2009.

Figura 33
Cuentas. 2009.

Figura 34
Cuentas. 2009.

4.1. OBTENCIÓN Y COMUNICACIÓN DE INFORMACIÓN EFECTIVA
“Los entes públicos deben establecer y mantener un sistema de información y comunicación para obtener,
procesar, generar y comunicar de manera eficaz, eficiente y económica, la información financiera,
administrativa, de gestión y de cualquier otro tipo, requerida tanto en el desarrollo de sus procesos,
transacciones y actividades, como en la operación del proceso de control interno con miras al logro de los
objetivos institucionales.”
Los sistemas de información y comunicación que se diseñen e implanten deberán concordar con los planes
estratégicos y operativos, debiendo ajustarse a sus características y necesidades y al ordenamiento jurídico
vigente.
4.1.2. PROPÓSITO
Disponer de datos e información oportunos, completos y veraces para la toma de decisiones y que
coadyuven a rendir cuentas sobre el manejo de los recursos públicos de manera transparente, dentro del
contexto de la política de Estado abierto en Honduras.
4.1.3. CRITERIOS
Oportunidad, completitud, desglosamiento, comparabilidad, accesibilidad, comprensiva y actualización, y

comunicada efectivamente a los usuarios internos y externos.
ICO.1 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe diseñar y
establecer mecanismos de comunicación que permitan asegurar la disponibilidad de información
por períodos (ejemplo: diario, mensual, trimestral, anual, entre otros, según las necesidades de
cumplimiento) conteniendo datos acumulados de las actividades institucionales, los cuales
deben ser conocidos por el personal al interior de la entidad y disponible a los usuarios externo
según corresponda:
a. Resultados de las actividades realizadas en los procesos por las unidades clave tales como
operaciones, recursos humanos, compras y contrataciones, planeamiento, entre otras.
b. Información sobre la ejecución del POA, la ejecución presupuestaría y los informes
financieros de la entidad (Tesorería, Administración de Bienes, Deuda Pública, Contabilidad)
y de las unidades operativas (Bienes y Servicios).
c. Información sobre el personal (cantidad, puestos, sueldos, honorarios, evaluación del
desempeño, equidad de género, personal con limitaciones especiales).
ICO.2 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe generar informes
periódicos acumulativos sobre los servicios prestados o bienes producidos, avance del POA, la
ejecución presupuestaria, los estados financieros y otras relacionadas.
ICO.3 La MAE debe ordenar a los responsables jerárquicos de las áreas y unidades la elaboración de
información sobre la gestión institucional del ejercicio terminado que incluya:

a. Resultados obtenidos y el grado de cumplimiento de los objetivos institucionales

b. Ejecución del POA, incluyendo los avances físicos, así como el análisis detallado de los
resultados alcanzados
c. Informe sobre la ejecución presupuestaria, los estados financieros con notas aclaratorias y
datos comparativos con el ejercicio anterior (si es aplicable)
d. Informe de autoevaluación del control interno emitido por la administración activa de la
entidad
e. Informe de evaluación separada del control interno institucional y financiera emitidos por
la UAI, los que deben de contener una opinión independiente de la administración.
ICO.4 Todos los responsables de las áreas o unidades que generan información interna para la toma
de decisiones deben asegurarse de que la información generada sea completa, oportuna y
pertinente antes de difundirla a las unidades relacionadas y a la MAE.
ICO.5 Todos los responsables de las áreas o unidades de la entidad deben incluir en sus manuales de
procedimientos o instructivos la estructura y contenido de los informes relevantes sobre las
operaciones ejecutadas y que son comunicadas tanto a los usuarios internos como externos.
ICO.6 La MAE debe ordenar que los responsables jerárquicos de las áreas y unidades identifiquen las
necesidades de información interna y externa para la toma de decisiones y el logro de los
objetivos en los planes a nivel institucional y de las áreas o unidades de la entidad.
ICO.7 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe implementar una
política de puertas abiertas a las inquietudes de los colaboradores y la mejora continua de la
comunicación organizacional, en concordancia con la política de Estado abierto.
MARE-CII-RP, TSC-NOGECI VI-01, Política de Estado abierto.
4.2. CALIDAD Y SUFICIENCIA DE LA INFORMACIÓN
“El control interno debe contemplar los mecanismos necesarios que permitan asegurar la confiabilidad,
calidad, suficiencia, pertinencia y oportunidad de la información que se genere y comunique.”
La calidad de la información que brindan los sistemas facilite que las MAI y las MAE tomen decisiones
adecuadas para informar el cumplimiento de los objetivos de la entidad, con información confiable que
conduzca a la confianza y credibilidad de los usuarios internos y externos.
4.2.2. PROPÓSITO
Disponer de información oportuna, suficiente y relacionada con las principales operaciones de la entidad,
sobre los servicios prestados, la ejecución del PEI y el POA, y de demás planes y sus resultados financieros.
4.2.3. CRITERIOS
Periódica, oportuna, resumida, completa y disponible.

ICO.8 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe asegurarse que
se completen y cumplan los requerimientos de información técnica, como formatos, contenidos,
fechas de entrega, comparación, detalle de datos y otros, establecidos por los organismos
rectores de los sistemas de administrativos y otros entes reguladores.
La MAE, con todos los responsables de las áreas o unidades de la entidad, debe implementar los
mecanismos de aseguramiento necesarios que permitan contar con los informes y reportes requeridos
para los períodos establecidos (mensual, trimestral, anual y otros) y en los plazos definidos en las
disposiciones legales y normativas vigentes, considerando además lo establecido en la Ley de
Transparencia y Acceso a la Información Pública - LTAIP - (ver ANEXO 51).
ICO.9 La MAE debe asegurar que la información contenida en la página web de la entidad cumpla con
los requerimientos establecidos en la LTAIP, delegando la responsabilidad por su actualización y
contenidos en un responsable (oficial de información), debiendo cumplir los plazos de su
actualización, así como definir una estructura de contenidos que priorice la información sobre la
prestación de los servicios a los usuarios.
ICO.10 La MAE, con todos los responsables de las áreas o unidades de la entidad, debe incorporar
controles clave para mantener los contenidos, la calidad del registro, control e información
procesada, considerando lo siguiente:
a. Oportunidad de registro de las operaciones

b. Preparación oportuna de los informes formales requeridos para uso interno y externo
c. La producción de informes diarios, mensuales, trimestrales, anuales según corresponda
d. Analizar y validar los contenidos de los informes por unidades operativas para ser
formalizados.
ICO.11 La MAE y todos los responsables de las áreas o unidades administrativas y operativas de la
entidad deben determinar las necesidades de información a considerarse en los sistemas de
información para la generación de reportes de operaciones, reportes de gestión y reportes
financieros.
ICO.12 La MAE y todos los responsables de las áreas o unidades de la entidad deben asegurarse de que
todos los servidores públicos o colaboradores, independientemente de la naturaleza de su
vínculo laboral, entiendan que los datos y la información, así como los procesos que los crean,
almacenan, procesan y utilizan, son propiedad de la entidad y que su uso compartido interno y
con terceros, debe estar sometida a consideraciones legales.
ICO.13 La MAE debe asegurar que el área correspondiente, de acuerdo con la naturaleza propia de sus
funciones, se encargue de evaluar la calidad de los datos e información que se crean, almacenan,
procesan y utilizan en la entidad, con el propósito de salvaguardar la adecuada toma de
decisiones.
LTAIP. MARE-CII-RP, TSC-NOGECI VI-02.

4.3. SISTEMAS DE INFORMACIÓN
“El sistema de información que diseñe e implante la entidad pública deberá ajustarse a las características
y ser apropiado para satisfacer las necesidades de ésta.”
El sistema de información y comunicación debe estar constituido mediante métodos establecidos por la
entidad para registrar, procesar, resumir e informar sobre las operaciones técnicas, administrativas y
financieras de una entidad.
4.3.2. PROPÓSITO
Disponer de una herramienta ágil y segura para el registro de las operaciones, y de manera especial para
la generación de información relevante que favorezca y dé soporte a la gestión eficiente y efectiva, a la
transparencia, así como a la rendición oportuna de cuentas a la sociedad.
4.3.3. CRITERIOS
Solidez del sistema información, desarrollado o ajustado a la medida de las necesidades institucionales y
que produzca información relevante para la administración eficiente y efectiva, y que sea de interés para
los usuarios de los servicios.
ICO.14 La MAE debe considerar que los sistemas de registro e información computarizados, manuales o
una combinación de ambos, cumplan con las siguientes características:
a. El diseño del sistema de información debe ser validado y administrado por una unidad
técnica especializada de la entidad.
b. El registro oportuno de la prestación de los servicios.
c. Los programas informáticos, de preferencia, deben ser integrados evitando la duplicidad de
registros.
d. Deben ser desarrollados de manera específica para las operaciones de la entidad,
considerando que existen otros programas generales a ser utilizados para el manejo
financiero como el Sistema de Administración Financiera Integrada (SIAFI) y otros.
e. Debe considerar la posibilidad que sus sistemas sean compatibles para interconectarse con
otros de la entidad debido a que los sistemas son cambiantes en el contexto global.
f. Los servidores públicos o colaboradores encargados del uso del sistema de información
deben ser capacitados en el procesamiento, consulta y generación de información.
g. Los usuarios internos deben considerar la importancia de los beneficios que genera la
información oportuna del sistema y su contribución a la toma de decisiones.
h. La entrega en tiempo y forma de informes resumidos de las operaciones a un momento de
corte determinado.
ICO.15 La MAE debe disponer que la unidad técnica especializada de la entidad se encargue de formular
un Plan Estratégico de Tecnologías de la Información (PETI) en las entidades tipo A y B, que es el
documento que define la estrategia bajo la cual se espera que las tecnologías de la información
(TI) se integren con la misión, visión y objetivos organizacionales definidos en el PEI de la entidad.

El modelo de estructura del PETI se muestra en el ANEXO 52. En el caso de las demás entidades
la necesidad de formulación del PETI dependerá del grado de implementación de las TI/SI en la
entidad y su correspondencia con objetivos establecidos en sus correspondientes PEI y POA.
MARE-CII-RP, TSC-NOGECI VI-03.
4.4. CONTROLES SOBRE SISTEMAS DE INFORMACIÓN
“Los sistemas de información deberán contar con controles adecuados para garantizar la confiabilidad, la
seguridad y una clara administración de los niveles de acceso a la información y datos sensibles.”
La utilización de sistemas automatizados para procesar la información implica varios riesgos que necesitan
ser considerados por la administración de la entidad. Estos riesgos están asociados especialmente con los
cambios tecnológicos por lo que se deben establecer controles especiales de seguridad en evitar:
1. Modificaciones en el sistema
2. Modificaciones en las bases de datos
3. Modificaciones en el procesamiento de los datos.
Estos controles de seguridad están orientados a garantizar la confiabilidad de la información generada por
la entidad.
4.4.2. PROPÓSITO
Asegurar el ingreso de los datos e información y correcto procesamiento como parte de las operaciones,
así como la validación de los registros y la generación de informes de resultados oportunos y completos
para la toma de decisiones.
4.4.3. CRITERIOS
Acceso autorizado, claves de ingreso, registro interno completo para efectos de auditoría, respaldo
continuo, mantenimiento preventivo y medidas contra contingencias.
ICO.16 El superior jerárquico de la unidad técnica especializada de la entidad debe asegurarse del diseño
e implementación de controles de validación en sus procesos sobre:
a. El ingreso de la información al sistema

b. El proceso de la información en el sistema
c. Los resultados generados por el sistema
d. La consolidación de la información a escala institucional
e. El resultado de la conciliación de datos con otras fuentes internas o externas independientes
f. La generación de los reportes automatizados del sistema
g. La información pública para conocimiento de usuarios y la ciudadanía.

ICO.17 Los responsables jerárquicos de las unidades técnicas especializadas de la entidad y de la UAI,
deben contribuir a asegurar el correcto y continuo funcionamiento del sistema de información
cumpliendo con los siguientes aspectos:
a. Establecer niveles de control de las operaciones

b. El acceso al sistema con clave individual y evidencia en la bitácora del sistema transacciones
realizadas por el usuario
c. Contar con mecanismos de verificación o validación de la información generada y contenida
en los informes generados en el sistema
d. La conciliación y la consolidación de reportes, en los casos necesarios.
vínculo laboral, entiendan que los sistemas de información de la entidad, incluyendo los
programas, aplicaciones y archivos electrónicos, sólo pueden utilizarse para fines estrictamente
oficiales y por requerimientos legales. Los sistemas de información y las herramientas asociadas,
como el correo electrónico e Internet, sólo pueden ser utilizados por personal debidamente
autorizado. Es responsabilidad de cada responsable de área o unidad definir las tareas que
impliquen acceso a tales herramientas.
vínculo laboral, entiendan que la información desarrollada, transmitida o almacenada en los
sistemas de información de la entidad es propiedad del Estado, aplicándoseles todas las
disposiciones legales sobre documentos públicos. La divulgación de la información está regula
por la LTAIP, con excepción de la información orientada a la seguridad nacional.
ICO.20 La MAE debe establecer el diseño e implementación de las medidas de seguridad necesarias para
proteger la información personal de los servidores públicos, colaboradores o ciudadanos
contenidos en sus sistemas de información, conforme a la legislación aplicable.
vínculo laboral, entiendan que los documentos generados o contenidos en los sistemas de
información son parte de los expedientes oficiales de la entidad.
ICO.22 LA MAE debe disponer que la unidad técnica especializada se asegure de que los programas y
recursos utilizados en los sistemas de información de la entidad cuenten con la licencia vigente
o autorización de uso. Estos programas sólo pueden ser instalados por el personal autorizado
para tales efectos.
ICO.23 Los sistemas de información de las entidades tipo A y B deben evaluarse al menos cada año, para
introducir mejoras o actualizaciones. Las entidades tipos C, lo hacen dependiendo de su
existencia y complejidad.
MARE-CII-RP, TS-NOGECI VI-04.

4.5. CANALES DE COMUNICACIÓN ABIERTOS
“Deberán establecerse canales de comunicación abiertos, que permitan trasladar la información de

manera segura, correcta y oportunamente a los destinatarios idóneos dentro y fuera de la institución.”
La entidad dispone de canales abiertos de comunicación que permitan a los usuarios aportar información
de valor sobre el diseño y la calidad de los productos y servicios brindados a los grupos de interés.
Es responsabilidad de la unidad técnica especializada de la entidad elaborar las normas, procedimientos e

instructivos para el flujo de la información al interior y exterior de la entidad, ya sea por los diferentes
medios disponibles.
4.5.2. PROPÓSITO
La disponibilidad y oportunidad de comunicación de la información generada por la entidad debe de fácil

acceso e interpretación por los diferentes grupos de interés para la satisfacción de sus necesidades.
4.5.3. CRITERIOS
Disponibilidad oportuna, ágil, fácil acceso, mediante el uso de la intranet, internet, página web
institucional, entre otros procedimientos que contribuyan a mejorar la comunicación.
ICO.24 La MAE debe establecer que el responsable jerárquico de la unidad técnica especializada de la
entidad elabore procedimientos e instructivos para el flujo de la información para uso interno y
externo, sean estos electrónicos (ejemplo: servicios de internet, intranet, correo electrónico y
sitio WEB de la entidad), impresos o audiovisuales siguiendo las normas establecidas en el
Estado.
ICO.25 La MAE y los superiores jerárquicos de las unidades deben establecer canales de información y
comunicación que promuevan la transparencia en:
a. Datos de uso interno disponible para todos los servidores públicos o colaboradores de la
entidad
b. Reportes para los niveles de dirección
c. Información para la MAE, accediendo directamente al sistema
d. Disponibilidad de la información para las usuarios internos y externos, entre ellos el
ciudadano.
ICO.26 La MAE y los superiores jerárquicos de las unidades deben aplicar controles clave para fomentar
la comunicación ágil y oportuna hacia el exterior, como los siguientes:
a. Todo informe hacia usuarios externos debe estar aprobado por la MAE y el responsable
jerárquico de su emisión
b. La información emitida para uso interno debe incluir la fecha de emisión y ser validada por
el responsable jerárquico de la unidad que la genera

c. Incorporar mecanismos de comparación de datos de periodos anteriores con el actual para

evaluar el comportamiento histórico de la entidad en el cumplimiento de los objetivos
estratégicos, operativos, físicos y financieros y rendir cuentas con base en datos históricos
de la entidad a los diferentes grupos de interés.
MARE-CII-RP, TSC-NOGECI VI-05.
4.6. ARCHIVO INSTITUCIONAL
“Los entes públicos, sujetos pasivos de la Ley Orgánica del Tribunal Superior de Cuentas (TSC), deberán
implantar y aplicar políticas y procedimientos de archivo apropiados para la preservación de los
documentos e información que deban conservar en virtud de su utilidad o por requerimiento técnico o
jurídico, incluyendo los informes y registros contables, administrativos y de gestión con sus fuentes de
sustento o soporte; y, permitir el acceso sin restricciones a los archivos al personal del TSC y de la Unidad
de Auditoría Interna, en cualquier tiempo y lugar”.
4.6.2. PROPÓSITO
Disponer de un archivo institucional que contenga documentación organizada, segura, completa,

actualizada, clasificada y codificada por tiempo, con acceso autorizado y otros criterios de acuerdo con
estándares internacionales y, conservada en ambientes adecuados que garanticen en el presente y futuro
el uso y confiabilidad de los datos, disponibles para la administración (ejemplo: determinación de
probabilidad e impacto de los riesgos), auditores internos y externos, entes administradores de justicia y
otros grupos de interés.
4.6.3. CRITERIOS
Documentación clasificada, ordenada, codificada, bajo la dirección y responsabilidad de un especialista.
ICO.27 La MAE debe asegurarse que las funciones correspondientes a la gestión de los procesos
asociados con el archivo institucional se encuentren adecuadamente asignadas a una unidad
técnica especializada de la entidad, la misma que debe contar con los recursos humanos
especializados, materiales y financieros necesarios, para cumplir con las funciones que le
correspondan, tomando en consideración lo establecido en la Ley de Transparencia y Acceso a
la Información Pública y otras que sean aplicables.
ICO.28 La MAE debe establecer que el responsable jerárquico del área o unidad técnica especializada
elabore los procedimientos e instructivos necesarios para la administración y uso del archivo
institucional (físico y digital).
ICO.29 La MAE con el responsable jerárquico del área o unidad técnica especializada, deben asegurarse
de que los documentos sean conservados en locales adecuados que tengan, como mínimo,
dispositivos especiales para almacenamiento y equipos contra siniestros naturales o provocados.

En el caso de los archivos digitales contar con los respaldos necesarios que permitan su
restauración o disponibilidad razonable.
ICO.30 La MAE debe disponer que el responsable jerárquico de la unidad técnica especializada
reglamente y estandarice la organización, como también la utilización y conservación de la
información contenida en los archivos de la entidad, considerando los siguientes componentes:
a. Archivo permanente de cada entidad bajo la responsabilidad de un servidor

público/colaborador o un grupo de servidores públicos/colaboradores, dependiendo del
tamaño de la entidad.
b. Archivo especializado de acuerdo con la naturaleza de la documentación (ejemplo: acciones
escrituras públicas, documentos con valor histórico, entre otros).
c. Archivo transitorio o por cada unidad administrativa u operativa en los diferentes niveles
de la organización.
ICO.31 La MAE debe formalizar la responsabilidad directa por el manejo de los diferentes tipos de
archivos institucionales, individualizando la responsabilidad de los servidores públicos o
colaboradores y la de los responsables jerárquicos de las áreas y unidades administrativas y
operativas que generan y gestionan la información que debe ser almacenada y custodiada en los
archivos correspondientes.
ICO.32 La MAE y los responsables jerárquicos de las áreas o unidades de la entidad, en tanto la unidad
técnica especializada elabore y emita los procedimientos e instructivos para la gestión del
archivo físico, deben organizar los archivos considerando los siguientes períodos:
a. El archivo activo corresponde a los cinco últimos años de operación

b. El archivo pasivo de cinco hasta diez años
c. El archivo histórico institucional más de diez años.
ICO.33 La MAE y los superiores jerárquicos de las áreas o unidades deben facilitar el acceso amplio y
abierto a todos los archivos institucionales a todos los usuarios internos y externos.
ICO.34 La MAE debe asegurar el acceso en forma permanente y sistemática el uso de los archivos
institucionales a los usuarios.
ICO.35 Se debe digitalizar los documentos importantes incluidos en los archivos organizados por áreas
de operación para facilitar el acceso a los datos por pantalla y el uso eficiente de los espacios
físicos.
MARE-CII-RP, TSC-NOGECI VI-06. Decreto Ejecutivo Número PCM-26-2007 (Creación ONADICI), Artículo 1.


GUÍAS PARA LA
IMPLEMENTACIÓN DEL
CONTROL INTERNO INSTITUCIONAL EN EL
MARCO DEL SINACORP
Guía 5
“SUPERVISIÓN Y MONITOREO”
(ONADICI)

Guía 5 “Supervisión y monitoreo”

SUPERVISIÓN Y MONITOREO
Este componente del control interno incorporado como Figura 35

“Normas Generales de Control Interno” (NOGECI) en el COSO 2013: supervisión y monitoreo
“Marco Rector del Control Interno Institucional de los Recursos
Públicos” emitido por el Tribunal Superior de Cuentas (TSC)
está enfocado de manera especial a las actividades de
evaluación por parte de la administración activa de las
entidades. Cinco de los seis elementos de este componente
poseen esta característica. El sexto elemento está dirigido a
identificar los estándares que debe cumplir la evaluación
separada aplicada por la Unidad de Auditoría Interna (UAI),
cuyo principal enfoque es evaluar el funcionamiento del
control interno institucional y realizar auditorías especiales
con enfoque de gestión. La supervisión y monitoreo se aplica
a los cuatro componentes del control interno institucional.
La supervisión y monitoreo del control interno debe

asegurar, por medio de la evaluación de los controles, que Fuente: Resumen Ejecutivo, Control Interno –
estos operen de la forma que se requiere, planificadamente Marco Integrado. Committee of Sponsoring
y que sean actualizados de acuerdo a los cambios en las Organizations of the Treadway Commission –
COSO. Mayo 2013.
condiciones internas y externas de la entidad. La supervisión
y monitoreo valora el cumplimiento de la misión y si se alcanzan los objetivos de control interno
relacionados con las operaciones, la información y el cumplimiento. Esto se logra por medio del
seguimiento continuo, las evaluaciones separadas, o la combinación de ambas, para asegurar que el
control interno siga siendo aplicable en todos los niveles y en toda la entidad, siguiendo el plan de
implementación para lograr los resultados esperados. La supervisión y monitoreo de las actividades de
control interno debe distinguirse claramente de la revisión de las operaciones.
A continuación, se muestra las principales relaciones entre los dos de los diecisiete principios del Control
Interno – Marco Integrado 2013 (Figura 36) y los seis elementos del Marco Rector del Control Interno
Institucional de los Recursos Públicos, en la Figura 37 y Figura 38.
Figura 36
COSO 2013: principios de la información y comunicación
•(16) Lleva a cabo evaluaciones continuas o independientes

Actividades de para determinar efectividad del sistema de control interno
supervisión •(17) Evalúa y comunica las deficiencias oportunamente a los

responsables de aplicar medidas correctivas

Figura 37
Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (1 de 2)
Cuentas. 2009.

Figura 38
Marco Rector del CII de los Recursos Públicos en el componente supervisión y monitoreo (2 de 2)
Cuentas. 2009.

5.1. SUPERVISIÓN Y MONITOREO DEL CONTROL INTERNO
“Deberá observarse y evaluarse el funcionamiento de los diversos controles, con el fin de determinar la
vigencia y la calidad del control interno y emprender las modificaciones que sean pertinentes para
mantener su efectividad”.
“El control interno de los recursos públicos es esencialmente un proceso de auto control aplicado por los
servidores públicos, bajo su propia responsabilidad, sobre las operaciones o actividades a su cargo”.
“Puesto que el control, en su naturaleza previa y posterior, forma parte de todas las actividades
organizacionales, es preciso analizar cuál es su efecto sobre las diversas fases de los procesos respectivos,
tomando en consideración los criterios de viabilidad y conveniencia de tales controles, así como la
posibilidad de mejorar y perfeccionar el sistema de control interno”.
“Establecer controles claves para los principales procesos de operación definidos en la entidad”.
“Los controles clave integrados en los procesos de ejecución de las operaciones.”
5.1.2. PROPÓSITO
Identificar la capacidad del control interno institucional en la aplicación de criterios de autorregulación,

autocontrol y autoevaluación de su desempeño, bajo la responsabilidad de la administración activa,
respecto al diseño y funcionamiento apropiado de los componentes del control interno.
Evaluar la existencia, difusión, aplicación y funcionamiento del sistema de control interno, especialmente
en los controles clave, según la prioridad de los riesgos en las áreas y procesos de la entidad.
5.1.3. CRITERIOS
Acciones aplicadas durante el proceso completo de las operaciones enfocadas al funcionamiento de los
componentes del control interno: (1) ambiente de control, (2) evaluación y gestión de riesgos, (3)
actividades de control, (4) información y comunicación. La supervisión y monitoreo puede ser aplicado en
forma individual a cada componente o en su conjunto. La calidad del servicio se puede definir como la
ejecución en el primer intento de las funciones individuales asignadas en cada área de la entidad.
SYM.1 La MAE debe asegurarse que los responsables jerárquicos de las áreas o unidades, con la
coordinación del COCOIN, que se han elaborado reglamentos, manuales de organización y
funciones, manuales de procesos y procedimientos, manual de puestos y salarios, políticas,
instructivos, entre otros, con base en los principios de autorregulación y autocontrol.
SYM.2 La MAE es responsable de la organización y de las normas internas que la regulan, así como de
la aplicación de los marcos normativos aplicables a la entidad, asegurándose de la eficacia de su
cumplimiento.

SYM.3 Todos los responsables jerárquicos de las áreas que realizan funciones de supervisión continua
tienen la responsabilidad de documentar su participación en las operaciones y transacciones
ejecutadas, dejando evidencia escrita, física o electrónica sobre el particular.
SYM.4 Todos los responsables jerárquicos de las áreas o unidades deben autoevaluar el cumplimiento
de sus principales actividades de control diseñadas y en operación (ver ANEXO 56 y ANEXO 57),
así como la elaboración de un informe sobre las fortalezas y las deficiencias de control interno
de su área de operación en la entidad (ver ANEXO 53, ANEXO 54 y ANEXO 55) y elaborar
propuestas de mejora o subsanación, el cual debe ser de conocimiento y apoyo de la MAE.
SYM.5 La MAE debe aprobar la herramienta de autoevaluación a propuesta del COCOIN, la cual se
elabora a la medida de las características de la entidad (como referencia se puede tomar el
cuestionario de ejemplo del ANEXO 55).
En el inicio de la aplicación de la herramienta de autoevaluación en el TAECII debe participar la

MAE manifestando su compromiso con CII. El coordinador debe explicar a los participantes la
forma y objetividad del llenado de la información; además hacerles saber que los resultados de
la autoevaluación se presentarán en un informe que mostrarán la calificación obtenida por la
entidad, lo cual requiere la responsabilidad en elaborar planes de acción para su mejora continua
en el CII (ver ANEXO 53).
SYM.6 La MAE debe difundir los resultados de la autoevaluación en la entidad, ya sea por medios físicos
o electrónicos, o por requerimiento u obligación de entes externos.
SYM.7 La MAE tiene la responsabilidad de supervisar y asegurar la eficacia del control interno tomando
como insumos los informes de las autoevaluaciones realizadas (ver ANEXO 53, ANEXO 54 y
ANEXO 55) y los informes de la UAI, así como también tomando conocimiento mediante la
aprobación de los informes periódicos de las áreas o unidades operativas y administrativas de la
entidad, considerando los criterios de oportunidad, confiabilidad, legalidad, comparación e
integridad.
SYM.8 La UAI, mediante la evaluación separada, contribuye a la mejora del diseño y funcionamiento del
control interno, elaborando informes objetivos, profesionales e independientes que son
comunicados a la MAE y otros entes externos (ejemplo: ONADICI, TSC).
MARE-CII-RP, TSC-PRICI-10 AUTO CONTROL y TSC-NOGECI VII-01 y su Declaración.
5.2. EVALUACIÓN DEL DESEMPEÑO INSTITUCIONAL
“El titular principal o jerarca y todos los funcionarios que participan en la conducción de las labores de la
institución, deben efectuar una evaluación permanente de la gestión, con base en los planes
organizacionales y las disposiciones normativas vigentes, para prevenir y corregir cualquier eventual

desviación que pueda poner en entredicho el acatamiento del principio de legalidad y de los preceptos de
eficiencia, eficacia y economía, aplicables.”
5.2.2. PROPÓSITO
Apoyar en el cumplimiento de los objetivos estratégicos de la entidad utilizando los indicadores de

desempeño como punto de referencia para verificar que se cumpla lo planificado, se informe lo ejecutado
y se comuniquen los resultados obtenidos. La rendición de cuentas sobre el logro de resultados al interior
de la entidad y la opinión de los usuarios de los servicios promueve la retroalimentación para actualizar o
mejorar los planes y programas de acción.
5.2.3. CRITERIOS
La evaluación del desempeño institucional es una actividad estratégica, periódica, oportuna, proactiva y
participativa en todos los niveles de la organización y en todos los componentes del CII. La evaluación se
realiza sobre la base del PEI y el POA institucional, los cuales fijan los objetivos en el largo y corto plazo, el
presupuesto y el PACC que se derivan de ellos, así como los indicadores de desempeño que proporcionan
información acerca de la ejecución de los procesos y sus resultados, y los informes de gestión que dan
cuenta acerca del cumplimiento de los planes y los objetivos.
SYM.9 La MAE y todos los superiores jerárquicos de las áreas o unidades deben conocer los informes
de evaluación o de gestión sobre el avance en la ejecución de los planes, el grado de
cumplimiento de los objetivos estratégicos y las decisiones tomadas. El informe trimestral sobre
la ejecución del POA institucional y el de cada unidad debe incluir los resultados de la evaluación
del desempeño institucional.
SYM.10 Todos los superiores jerárquicos de las áreas o unidades deben producir información específica
sobre el grado de cumplimiento de los objetivos dentro de su ámbito de competencia para
evaluar el desempeño institucional. La evaluación del cumplimiento del POA por unidad
operativa es el insumo principal para la evaluación del desempeño institucional.
SYM.11 La MAE debe establecer que el área de planificación de la entidad se encargue de elaborar la
metodología de evaluación para el desempeño institucional para ser sometido a su aprobación,
siguiendo los lineamientos que emita la ONADICI.
SYM.12 La MAE debe asegurarse que el método para evaluar el desempeño institucional sea aplicado en
forma consistente por cada unidad operativa y que los resultados acumulados a nivel
institucional por cada trimestre sean reportados utilizando el registro de la información generada
por el POA y las evaluaciones del CII.
SYM.13 La MAE y todos los responsables jerárquicos de las áreas o unidades deben definir los indicadores
del desempeño e integrarlos al POA. Asimismo, deben asegurarse de que éstos sean
ampliamente difundidos en todas las áreas o unidades que constituyen los puntos clave de
control para evaluar el desempeño y las propuestas de mejora.

SYM.14 La MAE y todos los responsables jerárquicos de las áreas o unidades deben participar y conocer
el informe de evaluación al desempeño, asegurando su difusión interna y externa según sea el
caso, y que incluya al menos el siguiente contenido:
a. Información general sobre la naturaleza, alcance y orientación de la evaluación, criterios

técnicos empleados e indicadores del desempeño evaluados
b. Resultados de las áreas evaluadas
c. Recomendaciones para mejorar el desempeño en las unidades operativas y administrativas
y a nivel institucional.
SYM.15 La MAE y todos los responsables jerárquicos de las áreas o unidades deben revisar
periódicamente los indicadores con el fin de actualizarlos y garantizar su eficacia. Asimismo, el
área de planificación debe encargarse de su clasificación por áreas estratégicas, administrativas
y operativas con la finalidad de contar con una mejor identificación, una comprensión clara y una
aplicación expedita que facilite su cumplimiento, además de encargarse de su correspondiente
difusión.
SYM.16 La MAE y todos los responsables jerárquicos de las áreas o unidades deben rendir cuentas de
forma obligatoria sobre el nivel de cumplimiento en el logro de los objetivos operativos de sus
respectivos ámbitos de responsabilidad y competencia, así como de su contribución al logro de
los correspondientes objetivos estratégicos, utilizando como referencia la información de los
periodos anteriores para efecto de análisis, comparación y proyección.
SYM.17 La MAE y todos los superiores jerárquicos de las áreas o unidades deben retroalimentar las
operaciones sobre la base de los resultados de la evaluación del desempeño institucional y el
cumplimiento del POA para orientar efectivamente las operaciones en caso de desviaciones
importantes o significativas.
MARE-CII-RP, TSC-NOGECI VII-02.
5.3. REPORTE DE DEFICIENCIAS
“Las deficiencias y desviaciones de la gestión de cualquier naturaleza y del control interno, deben ser
identificadas oportunamente y comunicadas de igual modo al funcionario que posea la autoridad suficiente
para emprender la acción preventiva o correctiva más acertada en el caso concreto”.
“…que los controles hayan sido adecuadamente definidos a la luz de las características institucionales y los
recursos disponibles.”

5.3.2. PROPÓSITO
Identificar, registrar y comunicar de manera oportuna las deficiencias detectadas, a través de reportes
periódicos, con la finalidad que se tomen acciones preventivas y correctivas en las actividades y
operaciones de la entidad.
Implementar procedimientos eficaces para informar oportunamente a los responsables jerárquicos de las
áreas y unidades con autoridad para tomar acciones efectivas de mejora y ajustes en el proceso de
ejecución de las operaciones.
5.3.3. CRITERIOS
Formalizar la emisión de informes periódicos y oportunos sobre las deficiencias identificadas en las
acciones de supervisión y monitoreo y en la evaluación del desempeño institucional por la administración
activa para la toma de acciones preventivas y correctivas o promover mejoras a cargo de la MAE, los
responsables jerárquicos de las áreas o unidades, y por cualquier otro servidor público o colaborador con
autoridad en la entidad.
SYM.18 Constituyen reportes de deficiencias todos aquellos informes o reportes emitidos por cualquier
instancia de la entidad, que por su naturaleza y objetivos tengan por finalidad poner en
conocimiento de los responsables respectivos deficiencias o desviaciones de la gestión o del
control interno. Entre los principales reportes de deficiencias se tienen: informes y reportes
elaborados por el área de planificación, informes elaborados por la UAI, informes elaborados por
la auditoría externa.
SYM.19 La MAE debe establecer y asegurarse que los reportes de deficiencias incorporen los resultados
de la evaluación de todos los niveles de la organización en forma trimestral; no obstante, cuando
se requiera información por períodos menores, estos pueden elaborarse.
SYM.20 El responsable jerárquico del área de planificación debe preparar informes formales, periódicos
y oportunos producto de las acciones de supervisión y monitoreo y de la evaluación del
desempeño institucional que identifiquen las deficiencias relevantes y prioritarias para mitigar
los riesgos institucionales en las operaciones y en el logro de los objetivos de la entidad.
SYM.21 La MAE debe comunicar oportunamente a las unidades directamente relacionadas y a sus
responsables jerárquicos, las deficiencias clasificadas por unidades para corregir los
procedimientos y mejorarlos.
SYM.22 La MAE, los responsables jerárquicos de todas las unidades y todos los servidores públicos o
colaboradores de la entidad deben promover, apoyar y fortalecer el compromiso de rendir
cuentas y el autocontrol en las operaciones, generando información válida, completa y oportuna
sobre las tareas realizadas y los resultados obtenidos.
MARE-CII-RP, TSC-NOGECI VII-03 y su Declaración.

5.4. TOMA DE ACCIONES CORRECTIVAS
“Cuando el funcionario responsable con autoridad al efecto detecte alguna deficiencia o desviación en la
gestión o en el control interno, o sea informado de ella, deberá determinar cuáles son sus causas y las
opciones disponibles para solventarla y adoptar oportunamente la que resulte más adecuada a la luz de
los objetivos y recursos institucionales.”
5.4.2. PROPÓSITO
Mejorar la administración y corregir las causas de las deficiencias o desviaciones determinadas en el

funcionamiento y operación del control interno o en la evaluación del desempeño institucional.
5.4.3. CRITERIOS
Considerar las causas y efectos de las deficiencias, definir las prácticas de control aplicables y gestionar las
operaciones para su mitigación, promoviendo mejoras para el cumplimiento efectivo, eficiente y
económico de los objetivos estratégicos de la entidad.
SYM.23 La MAE, con base en los informes recibidos, debe promover la solución oportuna de las
deficiencias o desviaciones comunicadas en los informes generados por la propia administración
(informes de gestión), mediante la autoevaluación del control interno, la evaluación del
desempeño institucional, la evaluación separada aplicada por la UAI y la auditoría externa
realizada. Al respecto, se deben corregir las deficiencias comunicadas en el menor tiempo
posible, a través de las unidades encargadas de las operaciones.
SYM.24 Todos los responsables jerárquicos de las áreas o unidades a los cuales se les ha comunicado las
deficiencias que les corresponde deben responder realizando las aclaraciones que consideren
pertinentes y adjuntando las propuestas de “Planes de acción para deficiencias reportadas”
(PADE) (ver ANEXO 58) para corregirlas, procurando la mejora de los procesos, procedimientos
y tareas relacionadas; las cuales deben ser aprobadas por la MAE.
SYM.25 La MAE debe aprobar el plan de acción (PADE) propuesto (ver ANEXO 58) por los responsables
jerárquicos de las áreas o unidades para aplicar las recomendaciones y dar solución a las
deficiencias identificadas en los informes de evaluación recibidos, asegurando los recursos
necesarios y asignando la función de seguimiento e información continua a los responsables de
las unidades relacionadas con las deficiencias.
SYM.26 Los responsables jerárquicos de todas las unidades operativas y de apoyo encargadas de las
actividades relacionadas con las deficiencias informadas deben dar cumplimiento al plan de
acción (ver ANEXO 58) correspondiente. Al finalizar cada trimestre se debe presentar la
información sobre la aplicación de las recomendaciones recibidas, clasificando su estado de
avance de conformidad con lo previsto en el “Sistema de Seguimiento de Recomendaciones de
Auditoría” (SISERA) del TSC.

SYM.27 El responsable jerárquico de cada área o unidad líder de sus correspondientes PADE (ANEXO 58)
debe asegurarse que éstos sean incluidos en el POA del año siguiente del área o unidad a su
cargo.
SYM.28 El responsable jerárquico del área de planificación, en coordinación con el COCOIN, debe
elaborar el “Plan anual de implementación de mejoras” (PAIME) (ver ANEXO 59), el cual
consolida los PADE elaborados por los responsables jerárquicos de las áreas o unidades y
aprobados por la MAE. Una copia del PAIME es enviada a la ONADICI dentro los diez (10) días
posteriores a su aprobación por la MAE.
SYM.29 El COCOIN, en coordinación con el área de planificación, se encarga de dar seguimiento a la

ejecución del PAIME (ANEXO 59) y de reportar trimestralmente sus avances al especialista de
control interno de la ONADICI asignado a la entidad.
SYM.30 Los responsables jerárquicos de las áreas y unidades y los servidores públicos o colaboradores
que identifiquen situaciones negativas relevantes sobre las cuales carezcan de autoridad para
dar solución, deben trasladar la información por escrito al nivel inmediato superior y en el menor
tiempo posible.
SYM.31 En el caso que la MAE conozca el informe de la UAI que incluya medidas correctivas y se dilate la
decisión, la UAI debe comunicar el hecho al TSC y a la ONADICI, en un plazo no mayor de quince
(15) días calendario para que estos entes le hagan las recomendaciones directas a la MAE sobre
su cumplimiento.
5.5. ASESORÍA EXTERNA PARA LA SUPERVISIÓN Y MONITOREO DEL CONTROL INTERNO
“Cuando la entidad estime oportuno contratar asesores externos cuyo servicio o producto final conlleve la
emisión de recomendaciones orientadas a fortalecer el control interno, deberá coordinar con la unidad de
auditoría interna a fin de obtener criterios que coadyuven para el éxito de la contratación y sus resultados,
se eviten duplicidades, ineficiencias u otros posibles inconvenientes en el uso de los recursos destinados a
la fiscalización. Los asesores deberán cumplir con las normas de auditoría y, en general, acatar el marco
rector del control externo”.
5.5.2. PROPÓSITO
En los casos que la entidad tenga limitaciones para aplicar la supervisión y monitoreo del control interno
institucional a las operaciones, puede contratar los servicios de consultores externos experimentados para
cumplir de manera objetiva, profesional e independiente sobre el diseño y funcionamiento del control
interno de la entidad.

5.5.3. CRITERIOS
En los servicios profesionales con base en concursos públicos deberá prevalecer la competencia de los
consultores y la calidad de los productos, los cuales serán los principales factores a utilizar en la decisión
para contratar el servicio de supervisión y monitoreo del control interno institucional (CII), mismo que
incorpora los principios de autorregulación, autocontrol y autoevaluación.
SYM.32 La MAE en caso de optar por la asesoría externa para la supervisión y monitoreo del CII en los
casos que la entidad tenga limitaciones para su aplicación práctica debido a la carencia de
personal con conocimientos especializados, ausencia de manuales de procedimientos e informes
de autoevaluación, presencia de errores importantes en los informes de supervisión y monitoreo
continuo, ausencia de informes de evaluación del desempeño institucional con base en el POA,
entre otros, debe supervisar en forma conjunta con el COCOIN el cumplimiento de la asesoría
contratada para la entidad.
SYM.33 La asesoría externa contratada debe cumplir los criterios normativos establecidos por el TSC y
ONADICI para el ejercicio de la auditoría gubernamental, de manera especial las normas
generales y profesionales.
5.6. CUMPLIMIENTO DE LOS ESTÁNDARES INTERNACIONALES DE AUDITORIA INTERNA
“El ejercicio profesional de la Auditoría Interna en los sujetos pasivos de la Ley Orgánica del Tribunal
Superior de Cuentas (TSC), deberá cumplir con el presente marco rector del control interno y los estándares
internacionales adaptados y/o adoptados por el TSC.”
5.6.2. PROPÓSITO
Aplicar el principio TSC-PRICI-12 Evaluaciones Separadas con base en el marco legal, técnico y profesional
actualizado de la función de auditoría interna de las entidades del sector público y las mejores prácticas
desarrolladas y publicadas por el Instituto de Auditores Internos Global (IIA-G).
5.6.3. CRITERIOS
El Marco Rector de la Auditoría Interna del Sector Público, así como la “Guía para la Elaboración del Plan
General y del Programa Operativo Anual de las Unidades de Auditoría Interna” y la “Guía de Organización
y Funcionamiento de las Unidades de Auditoría Interna” emitidas por la ONADICI, constituyen los
referentes locales para la planificación, organización, funcionamiento y la generación de productos
resultantes de la función de auditoría interna.
El MARE-CII-RP incorpora criterios relacionados con el entorno de la función de auditoría interna.

En el contexto internacional aplica las Normas Internacionales para el Ejercicio Profesional de la Auditoría
Interna (NIEPAI) publicadas por el Instituto de Auditores Internos Global (www.TheIIA.org) (ver ANEXO
60).
SYM.34 El responsable jerárquico de la UAI debe cumplir las disposiciones del Marco Rector de la
Auditoría Interna del Sector Público, la Guía para la Elaboración del Plan General y del Programa
Operativo Anual de las Unidades de Auditoría Interna, la Guía de Organización y Funcionamiento
de las Unidades de Auditoría Interna, ambas emitidas por la ONADICI, en el marco del Sistema
Nacional de Control de los Recursos Públicos a cargo del TSC, y supletoriamente el Marco
internacional para la práctica de la auditoría interna y las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna (NIEPAI) publicadas por el Instituto de Auditores Internos
Global (www.TheIIA.org) (ver ANEXO 60).

Anexos de la Guía 0
ANEXOS GUÍA 0
“INTRODUCCIÓN GENERAL”


ANEXO 1. BOLETIN TRIMESTRAL DE PROMOCIÓN DEL CONTROL INTERNO INSTITUCIONAL (CII)
Sugerencias para el boletín
Un artículo sobre el CII en cada boletín

Responsable: COCOIN y área de comunicaciones de la entidad
Nombre del boletín: Enfoque del CII en la entidad
Títulos sugeridos para los artículos o las noticias:
• Talleres de difusión desarrollados
• La probidad y la ética en la organización, contribución del Comité de Ética
• Informes de autoevaluación publicados por unidades o áreas de la entidad
• Notas o informes de interés para los usuarios de los servicios y el personal sobre CII
• Colaboración de la UAI en el fortalecimiento del CII.

ANEXO 2. PROGRAMA DEL TALLER DE DIFUSIÓN DEL CONTROL INTERNO INSTITUCIONAL (CII)
Difusión sugerida
Responsable: unidad con funciones de desarrollo institucional del área de planificación.
TALLER SOBRE LAS GUÍAS –CII (Conferencia 1,5 horas, talleres de 4 y 8 horas)
ENTIDAD: ______________________
PERIODO: _________________________
I. OBJETIVOS
Proporcionar, a los responsables jerárquicos y servidores públicos o colaboradores de las áreas y unidades
operativas y administrativas, el conocimiento teórico y práctico sobre la aplicación y manejo de las Guías
para la Implementación del Control Interno Institucional en el marco del SINACORP (GICII) y la normativa
específica elaborada.
Concientizar, sensibilizar y capacitar a los niveles directivos, técnicos y administrativos en la cultura del
control interno, gestión de riesgos y gestión institucional.
II. RESULTADOS ESPERADOS AL FINALIZAR EL TALLER
Al finalizar el taller los participantes:
Reconocen y están familiarizados con los principales conceptos, componentes y elementos del CII con base
en los criterios técnicos emitidos por el TSC y la ONADICI, así como las NOGECI y las GICII y su aplicación
en la entidad.
Comprenden que el establecimiento del proceso de CII de los recursos públicos proporciona varias
herramientas útiles para la administración gubernamental, a la vez que motiva al personal y ayuda a
obtener una seguridad razonable de alcanzar los objetivos previstos en el art. 46 de la LOTSC siguientes:
(a) procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios; (b)
proteger los recursos públicos; (c) cumplir las leyes, reglamentos y otras normas gubernamentales; y, (d)
elaborar información operativa y financiera válida, confiable y transparente presentada con oportunidad.
Participan y aportan significativamente en el diseño, desarrollo, establecimiento, aplicación y gestión del

CII, mediante la utilización práctica de las pautas fijadas en las GICII y la normativa específica emitida por
cada entidad, así como el autocontrol y la autoevaluación del CII en las áreas de operación y en el ámbito
de toda la entidad.

• Incorporan a su cultura personal e institucional los conceptos y prácticas del control interno y la
gestión de riesgos.
III. CONTENIDO GENERAL
Presentación de las GICII, antecedentes y enfoque
a. Guía CII-0 Introducción
b. Guía 1 Ambiente de control
c. Guía 2 Evaluación y gestión de riesgos
d. Guía 3 Actividades de control
e. Guía 4 Información y comunicación
f. Guía 5 Supervisión y monitoreo
g. Conclusiones y evaluación del taller.
IV. DESTINATARIOS / PARTICIPANTES
Responsables jerárquicos, servidores públicos o colaboradores de las áreas y unidades administrativas y

operativas seleccionadas de cada entidad.
V. MATERIALES ENTREGADOS A LOS PARTICIPANTES
Programa y cronograma del taller
• Normas sobre el marco de CII, incluyendo las NOGECI, las GICII y la normativa específica
• Diapositivas utilizadas para la presentación del taller, por cada unidad académica
• Casos de aplicación práctica a la entidad.
VI. DURACIÓN DEL TALLER
De 4 a 8 horas académicas invertidas en un proceso participativo de enseñanza / aprendizaje, enfocado a

compartir los criterios sobre la normativa, diseño y funcionamiento del CII en la administración de cada
entidad.

El horario puede ser en la mañana o en la tarde, cuatro horas por día como mínimo, con intermedio de
descanso y refrigerio cada dos horas.
VII. INSTRUCTORES:
• Sr N.N. responsable jerárquico del área o unidad encargada de la función de desarrollo

institucional.
• Sr. M.M. responsable jerárquico miembro del COCOIN que colabora como facilitador del taller.

ANEXO 3. MODELO PROPUESTO DE ACUERDO DE COMPROMISO CON EL CÓDIGO DE CONDUCTA

ÉTICA
ACUERDO DE COMPROMISO CON EL CÓDIGO DE CONDUCTA ÉTICA
Yo, _________________________________________, con identidad n.° ___________, me comprometo

a respetar, aplicar y difundir los contenidos, valores y principios del Código de Conducta Ética del Servidor
Público, aprobado mediante Decreto n.° 36-2007, publicado el 24 de octubre de 2007 en La Gaceta Diario
Oficial de la República de Honduras.
Asimismo, me comprometo a revisar y actualizar mis conocimientos de las veinte (20) normas de conducta
ética, contenidas en el artículo 6 del Código de Conducta Ética del Servidor Público, que inicia con “1)
conocer, respetar y hacer cumplir la constitución de la república, el presente código de conducta ética del
servidor público, las leyes, los reglamentos y demás normativa aplicable al cargo que desempeña.”
Firmado en la ciudad de _______________, el __ de ________ de 20xx.
Firma: ________________________________
Nombre del servidor público o colaborador: ________________________________
Cargo que desempeña ________________________________
Nombre de la entidad ________________________________

ANEXO 4. INFORMACIÓN PARA LOS USUARIOS EN LA WEB
Información mínima a transparentar
• Identidad institucional, visión, misión, objetivos estratégicos y objetivos detallados en el POA

institucional
• Detalle de los servicios instalados y ofrecidos a los usuarios
• Precio de los servicios, instalaciones donde están disponibles los servicios, incluyendo todos los
números telefónicos, la página Web, enlaces a redes sociales, enlace a correo de contacto y la
dirección física de las instalaciones
• Organización y funciones de la entidad
• Normativa legal general, reglamentaria y específica utilizada para el ejercicio de las funciones y la
prestación de servicios
• Recursos públicos disponibles:
- Personal, número por niveles y movimiento de ingreso y salida
- Presupuesto de ingresos y gastos, patrimonio institucional
- Activos fijos y otro patrimonio de la entidad
- Fuentes de financiamiento de las operaciones
• Informes de la gestión y sobre la utilización de los recursos financieros:
- POA institucional y reportes trimestrales de ejecución y evaluación física y financiera
- Ejecución del presupuesto de ingresos y gastos mensuales, comparativo con año anterior
- Reportes gerenciales sobre el cumplimiento de objetivos sustantivos o misionales
- Informes financieros mensuales de ingresos, gastos, activos, pasivos y patrimonio institucional
• Información pública requerida por la Ley de Transparencia y Acceso a la Información Pública.

ANEXO 5. ESTRUCTURA LEGAL Y NORMATIVA INSTITUCIONAL
• Constitución Política de la República de Honduras
• Leyes generales y reglamentos de organismos rectores de los sistemas
• Leyes especiales de aplicación general
• Disposiciones de la Ley de la Administración Pública
• Ley de creación de la entidad
• Reglamento de la Ley de creación
• Reglamento Orgánico Funcional Institucional
• Manuales de Procedimientos de los servicios prestados u operaciones sustantivas (varios)
• Manuales administrativos y financieros, tales como:
- Recursos humanos
- Compras y contrataciones
- Administración de activos fijos y otros bienes
- Manual de Contabilidad y Presupuesto
- Instructivos para oficinas descentralizadas y operaciones específicas.

ANEXO 6. INFORMES Y FECHAS DE APROBACIÓN
• Informes de las ejecuciones presupuestarias (mensuales, trimestrales y anuales)
• Informe de avance del POA (mensual, trimestral y comparativo con el año anterior)
• Estados financieros institucionales (mensuales, trimestrales y anuales)
• Reportes de gestión de las unidades operativas (mensuales, trimestrales y anuales comparativos
con el año anterior)
• Informe consolidado de la prestación de servicios (mensuales, trimestrales y anuales)
• Memoria Anual Institucional (anual)
• Boletines de actividades (trimestral)
• Fechas de aprobación:
- Mensuales: diez (10) días después del último día hábil del mes anterior
- Trimestrales: doce (12) días después del último día hábil del mes anterior
- Anuales: hasta el último día laborable del mes de febrero del año siguiente al informado.

ANEXO 7. INFORME AUTOEVALUACIÓN DEL CII
Nombre de la entidad: _____________________

Área evaluada: ___________________________
Periodo evaluado: _________________________
Fecha de la evaluación: _____________________
I. NATURALEZA Y ALCANCE DE AUTOEVALUACIÓN
II. CONCEPTO DE CONTROL INTERNO EN LA ENTIDAD
III. RESULTADOS DE LA EVALUACIÓN
A. CALIFICACIÓN DEL CONTROL INTERNO INSTITUCIONAL
B. AMBIENTE DE CONTROL
Comentarios sobre el componente

Opiniones de los participantes
Recomendaciones
C. EVALUACIÓN Y GESTIÓN DE RIESGOS

Opiniones del personal
Recomendaciones
D. ACTIVIDADES DE CONTROL

Recomendaciones
E. INFORMACIÓN Y COMUNICACIÓN

Recomendaciones
F. SUPERVISIÓN Y MONITOREO

Recomendaciones
Fecha de emisión del informe
_________________________
Firma Coordinador del COCOIN

ANEXO 8. PREPARAR, AUTORIZAR, APROBAR Y REGISTRAR
Los procedimientos para el trámite de las transacciones administrativas, financieras y operativas deben
incluir de manera clara al menos cuatro (4) momentos de control clave que son los siguientes:
• La preparación de la documentación para iniciar el trámite de recibir ingresos, desembolsar gastos

o adquirir bienes y servicios, trasladar recursos institucionales y otras actividades relacionadas,
correspondiendo todas ellas al procesamiento o ejecución de las actividades.
• La autorización de las operaciones corresponde al nivel administrativo superior con la categoría

de jefatura, debiendo hacerse de manera formal en un formato estándar de la entidad, el cual
incluye en un espacio previsto del documento en trámite la indicación que lo ratifica o lo deniega,
así como la firma o rúbrica del responsable y la fecha de suscripción.
• La aprobación de la operación corresponde a los niveles de la administración superior de las

entidades y se fundamenta en la revisión de las firmas de preparación y autorización incluidas,
junto con los documentos que soportan la actividad en proceso de trámite.
• El registro de la transacción, en donde intervienen varias funciones relacionadas con la operación,

tanto internos como externos. Entre los internos están el analista financiero, que es quien debe
realizar el pago verificando que todos los controles se hayan cumplido, que los bienes y servicios
hayan ingresado a la organización, que exista disponibilidad para efectuar el pago y finalmente la
preparación del cheque o la transferencia bancaria a favor del proveedor de servicios o el pago
realizado por el usuario de los servicios de la entidad.
Luego, se tienen las actividades de aseguramiento, de control, custodia y archivo, según sea el caso (ver
ANEXO 48). La evaluación del control interno no permite validar el funcionamiento de los controles
establecidos y que generen información relevante para la toma de decisiones.

ANEXO 9. SERVICIOS OFRECIDOS
Los organismos públicos se crean con el propósito de prestar servicios o producir bienes, autorregulándose
para cumplir con su misión según su ley de creación. El CII debe estar enfocado en el desarrollo de los
principales procesos y áreas relacionados con la generación de valor agregado. Entre ellas se tiene las
siguientes:
• Servicios instalados
• Proceso de entrega de los servicios
• Promoción de los servicios
• Valoración de la calidad del servicio por los usuarios.
Las actividades relacionadas con el desarrollo de tecnología, las mejores prácticas, la administración del
talento humano en forma eficiente, así como la planificación estratégica de los objetivos institucionales
resultan también de vital importancia.

ANEXO 10. REPORTES DE GESTIÓN POR PROCESOS
El CII fundamenta su funcionamiento en la acumulación ordenada de datos, registros e informes producto

de las acciones destinadas a generar información relevante que apoye o ayude a la gestión y la toma de
decisiones de la MAE y de todas las unidades relacionadas con los procesos productivos de bienes o
servicios para la comunidad, tales como los procesos relacionados con:
• Producción de las unidades para la toma de decisiones; ejemplo: cantidad de aulas de computación
construidas
• Actividades sustantivas o misionales; ejemplo: mejorar la infraestructura y acondicionamiento
tecnológico para los estudiantes
• Gestión administrativa y gerencial; ejemplo: adquirir los servicios y equipamiento para las aulas de
conformidad con estándares internacionales
• Informes presupuestarios y financieros; ejemplo: presentar el costo y la documentación de sustento
de acuerdo con las normas vigentes para las compras y contrataciones.
Los informes que se elaboren y presenten van de acuerdo con la naturaleza y la misión de la entidad.

ANEXO 11. SERVICIOS PRESTADOS, SU PROMOCIÓN Y LA PERCEPCIÓN DEL USUARIO
La evaluación de la calidad de los servicios por los usuarios directos es la mejor forma de establecer la
satisfacción en relación a los servicios públicos que presta la entidad. Para esto es importante detallar y
comunicar a los clientes y usuarios los siguientes aspectos en forma obligatoria y continua:
• Desglose de los servicios instalados y ofrecidos
• Precios individuales de los servicios ofrecidos
• Información sobre ubicación de las instalaciones y servicios disponibles
• Horarios de atención al público de lunes a viernes y fines de semana, de ser el caso
• Dirección domiciliaria, números de teléfono, dirección de la página Web, enlaces a redes sociales
(Facebook, WhatsApp, Twitter, entre otros) y correo electrónico.

ANEXO 12. PUNTOS CLAVE PARA TRANSACIONES Y OPERACIONES IMPORTANTES
El registro periódico de las transacciones y operaciones sustantivas de la organización clasificado por las
actividades importantes generadoras de valor agregado debe realizarse de acuerdo a los servicios que
presta la entidad. La generación de reportes se hace por períodos de las operaciones, pudiendo ser diarios,
semanales y mensuales para monitorear las actividades e incorporar acciones para la mejora continua en
la prestación de los servicios al ciudadano.
Adicionalmente, deben registrarse las operaciones de apoyo para la generación de valor y el logro de los
objetivos institucionales.
Ejemplo: los autocontroles establecidos en el diseño del CII permiten enfocar los temas de mayor
importancia para la prestación de los servicios a los usuarios que los requieran, contemplando la
disponibilidad de recursos adicionales para los períodos de mayor demanda por ciclos de operación.

ANEXO 13. ESQUEMA DEL TALLER DE AUTOEVALUACIÓN DEL CII
CRONOGRAMA PARA EL TALLER DE AUTOEVALUACIÓN DEL CII
ENTIDAD: __________________________
TALLER DE AUTOEVALUACIÓN
FECHAS: ______________________________
HORA ACTIVIDADES RESPONSABLE
Día 1
08:00 a 08:15 horas Inauguración del taller MAE y ONADICI
08:15 a 09:00 horas Presentación del Marco Rector de Control Interno Facilitador
Institucional y del Modelo de Gestión
10:00 a 10:15 horas Receso (refrigerio)
10:15 a 10:45 horas Presentación del cuestionario y explicación del

sentido de las preguntas
10:45 a 12:15 horas Aplicación del cuestionario y su recolección Participantes
Día 2
08:00 a 09:00 horas Identificación de fortalezas y limitaciones Facilitador y participantes

institucionales
09:00 a 10:00 horas Presentación de la matriz de elementos- Facilitador

cuestionarios, resultados y análisis
10:00 a 10:15 horas Receso (refrigerio)
10:15 a 11:45 horas Formulación de comentarios, opiniones y Facilitador -y participantes

sugerencias de los participantes (90 min)
11:45 a 12:15 horas Elaboración del resumen del taller Facilitador y participantes
12:15 a 12:30 horas Cierre del taller MAE y ONADICI
[Ciudad], _____ de _______________ de 20XX

ANEXO 14. INFORME DE EVALUACIÓN SEPARADA DEL CII POR LA UAI
Nombre de la entidad: _____________________

Área evaluada: ___________________________
Periodo evaluado: _________________________
Fecha de la evaluación: _____________________
I. NATURALEZA Y ALCANCE DE AUTOEVALUACIÓN
II. CONCEPTO DE CONTROL INTERNO EN LA ENTIDAD
III. RESULTADOS DE LA EVALUACIÓN

Opiniones de los participantes
Recomendaciones

Recomendaciones

Recomendaciones

Recomendaciones

Recomendaciones
Fecha de emisión del informe.
________________________________
Firma responsable jerárquico de la UAI

ANEXO 15. INFORMES DE AUTOEVALUACIÓN DE LAS UNIDADES DE LA ENTIDAD
Las unidades clave de la entidad deben difundir el contenido y enfoque del CII entre su personal y aplicable
en sus operaciones, evaluando mediante herramientas la calidad del control interno que está operando
en esta unidad.
Los resultados compilados y discutidos por el grupo invitado al TAECII de la unidad generan el informe
sobre la operación de los cinco componentes y los veinticinco elementos del control interno aplicables,
para lo cual se incluyen comentarios, opiniones y recomendaciones para la administración de la unidad.
Se debe seguir el procedimiento propuesto en el

ANEXO 53.
La estructura del informe a desarrollar se adapta con base en el ANEXO 7 que detalla los contenidos
globales de los resultados.
La acumulación de resultados debidamente conciliados permite llegar al informe de autoevaluación del

control interno institucional, con la participación de una muestra representativa del personal de la entidad
en los diferentes niveles de operación.

ANEXO 16. POLÍTICA SOBRE RESPONSABILIDAD COMPARTIDA DEL CII
El CII de cada entidad es responsabilidad de su respectiva MAE con la participación de los niveles de
dirección de las áreas operativa, de gestión, financiera y sistemas de información, así como los servidores
públicos o colaboradores que laboran en estas unidades.
La responsabilidad directa e indirecta de los responsables jerárquicos y servidores públicos o

colaboradores de las áreas y unidades está claramente identificada en las normas establecidas en la
descripción de funciones de los principales cargos o posiciones de la entidad.
La política que se diseñe debe ser comunicada al TSC, ONADICI u otro ente normativo según sea la
naturaleza de la entidad.

ANEXO 17. ESTRUCTURA COMPLETA DEL CII
MARCO RECTOR DEL CONTROL INTERNO INSTITUCIONAL DE LOS RECURSOS PÚBLICOS

(MARE-CII-RP)
CONTENIDO CANTIDAD
ASPECTOS BÁSICOS GENERALES 3
PRINCIPIOS RECTORES DE CONTROL INTERNO INSTITUCIONAL DE LOS RECURSOS 12
PÚBLICOS
PRECEPTOS DE CONTROL INTERNO INSTITUCIONAL 6
ASPECTOS BÁSICOS DE LAS NORMAS 2
NORMAS GENERALES SOBRE ASPECTOS BÁSICOS DEL CONTROL INTERNO 5
NORMAS GENERALES RELATIVAS AL AMBIENTE DE CONTROL 10
NORMAS GENERALES RELATIVAS A LA EVALUACIÓN Y GESTIÓN DE RIESGOS 6
NORMAS GENERALES RELATIVAS A LAS ACTIVIDADES DE CONTROL 20
NORMAS GENERALES RELATIVAS A LA INFORMACIÓN Y COMUNICACIÓN 6
NORMAS GENERALES RELATIVAS AL MONITOREO 6
GUÍAS PARA LA IMPLEMENTACIÓN DEL CII (incluyendo esta Guía 0) 6
DOCUMENTOS SOBRE AUTORREGULACIÓN SOBRE EL CII Varios

ANEXOS GUÍA 1
“AMBIENTE DE CONTROL”


ANEXO 18. DETERMINACIÓN DE LOS PROCESOS CLAVE
Nombre de la entidad: ___________________ (1)

Nombre del responsable jerárquico: ___________________ (2)
Nombre del área: ___________________ (3)
Calificación del nivel de contribución del proceso al logro Clave
Procesos
de los objetivos estratégicos (PC=proceso
(5)
Macroproceso (6) clave,
(4) Objetivo Objetivo Objetivo NC=no
Nivel Nivel Nivel Sumatoria
estratégico estratégico … estratégico clave)
0 1 2 (7)
1 2 n (8)
Estratégico
Operativo
Apoyo
Escala para la calificación del nivel de contribución del proceso al logro de los objetivos estratégicos
Alto Mediano Bajo Nulo
3 2 1 0
Escala para la determinación de los procesos clave

Clave con prioridad 1 Clave con prioridad 2 Clave con prioridad 3 No clave
De 14 a 15 puntos De 12 a 13 puntos De 9 a 11 puntos De 0 a 8 puntos

INDICACIONES PARA EL LLENADO DEL FORMULARIO
(1) Nombre de la entidad: colocar el nombre de la entidad que está realizando la identificación de los
procesos clave
(2) Nombre del responsable jerárquico: colocar el nombre de la persona que está llenando el
formulario
(3) Nombre del área: área de la cual es responsable jerárquico
(4) Macroproceso: clasificación en el mapa de procesos en los cuales se clasifican y agrupan estos
(5) Procesos: colocar los nombres de los procesos de acuerdo con su nivel de agrupación en 0, 1 ó 2 de
acuerdo con el mapa de procesos
(6) Calificación del nivel de contribución del proceso al logro de los objetivos estratégicos: colocar la
calificación de 0 a 3 en relación con el nivel de contribución del proceso al logro de cada uno de los
objetivos estratégicos, de acuerdo con la escala provista
(7) Sumatoria: realizar la suma horizontal (por filas) de las calificaciones asignadas a cada objetivo
estratégico
(8) Criticidad (PC=proceso crítico, NC=no crítico): calificación de cada proceso como crítico o no crítico
por la sumatoria de puntos alcanzada y de acuerdo con la escala provista.

ANEXO 19. ACTO DE JURAMENTACIÓN COMITÉ DE CONTROL INTERNO INSTITUCIONAL (COCOIN)


FUNCIONAMIENTO DEL COCOIN
I. Objetivo
Regular la organización y funcionamiento del Comité de Control Interno Institucional (COCOIN) para
contribuir a su mejor desempeño para la implementación y mantenimiento del CII.
II. Alcance
Este reglamento cubre aspectos importantes referidos a la organización y funcionamiento del COCOIN,
relacionados con:
• Objetivo del comité
• Integrantes
• Organización
• Responsabilidades y funciones principales
• Régimen de reuniones
• Reportes a elaborar
• Tiempo de dedicación a las labores del COCOIN.
III. Referencia a las PO
Componente: Ambiente de control
• AMC.2
• AMC.37
IV. Organización y funcionamiento
4.1 Definición y objetivo del comité
El COCOIN es un órgano colegiado de apoyo a la MAE, con capacidad y atribuciones para la toma de
decisiones en la entidad, cuyo objetivo principal es promover y contribuir la eficaz y eficiente
implementación, mantenimiento y mejora continua del CII, siendo para ello una importante instancia de
coordinación, asesoramiento, consulta y seguimiento oportuno.

4.2 Integrantes
Los integrantes del COCOIN son responsables jerárquicos formalmente designados por la MAE de la
entidad, quien junto con el documento de nombramiento hace entrega a cada integrante del presente
reglamento.
Para efectos de su conformación, el COCOIN está integrado por:
• Un representante de la MAE directamente designado por esta
• El responsable jerárquico del área de planificación o su equivalente, quien se desempeña como

Coordinador del COCOIN. En caso de que esta unidad no exista, la función de coordinación deberá
recaer en el administrador o gerente administrativo
• El responsable jerárquico del área de administración o gerencia administrativa de la entidad
• El responsable jerárquico del área financiera
• Los responsables jerárquicos de las principales áreas misionales (operativas)
• El responsable jerárquico de la UAI, quien participará con voz, pero sin voto.
En los casos debidamente justificados de inasistencia, los integrantes del COCOIN pueden designar,
mediante declaración expresa, a un responsable jerárquico de área o unidad en su representación. Al
respecto, la responsabilidad derivada de las decisiones adoptadas por estos últimos, son asumidas por el
integrante titular que los designó.
Adicionalmente, la ONADICI a través del especialista de control interno designado en cada entidad, puede
participar como observador en las reuniones que celebre el COCOIN.
Finalmente, las decisiones se toman por mayoría absoluta de los presentes (la mitad más uno) y en caso
de empate la MAE o su representante tiene el voto dirimente.
4.3 Funciones del COCOIN
El COCOIN tiene las siguientes funciones:
4.3.1 Elaborar el “Plan anual de trabajo del COCOIN” (ver ANEXO 21) y someterlo a la aprobación de la
MAE, identificando como mínimo: actividades, plazos de ejecución, responsables, productos o
resultados esperados, entre otros. Cabe resaltar que entre las actividades a incluir en este plan
deben considerarse, como mínimo, aquellas relacionadas con las funciones del comité descritas
en el presente documento, así como políticas, pautas y otros instrumentos emitidos por la
ONADICI para la implementación de las GICII.
4.3.2 Remitir a la ONADICI copia del “Plan anual de trabajo del COCOIN” debidamente aprobado por la
MAE de la entidad, antes de finalizar el mes de enero de cada año.
4.3.3 Elaborar informes semestrales sobre el grado de avance en el cumplimiento del “Plan anual de
trabajo del COCOIN”, el cual una vez aprobado por la Máxima Autoridad Ejecutiva de la entidad

deberá ser remitido a la ONADICI dentro de los primeros diez (10) días hábiles posteriores al
semestre calendario que se está informado.
4.3.4 Promover y coordinar la realización oportuna de talleres de autoevaluación, procurando siempre
su complementación con las evaluaciones separadas.
4.3.5 Promover y coordinar la actualización de los talleres de autoevaluación sobre la base de los
“Seguimientos al plan de implementación” realizados.
4.3.6 Coordinar con la unidad de planificación para la elaboración y consolidación en el “Plan anual de
implementación de mejoras” (PAIME) de los planes de acción para deficiencias reportadas (PADE)
a partir de la información obtenida de cada unidad organizacional como resultado de los talleres
de autoevaluación u otras fuentes de información.
4.3.7 Remitir a la ONADICI copia del PAIME debidamente aprobado por la MAE de la entidad.
4.3.8 Velar por la adecuada implementación de las prácticas obligatorias contenidas en las GICII y otras
guías emitidas por la ONADICI.
4.3.9 Exigir y revisar trimestralmente el grado de avance de los PADE como parte del PAIME.
4.3.10 Elaborar y remitir a la MAE (para su aprobación y posterior remisión a ONADICI) un informe
trimestral en el cual se exponga el grado de avance en el cumplimiento del PAIME y PADE
correspondiente a cada unidad organizacional. Dicho Informe deberá ser remitido a la ONADICI
dentro de los primeros diez (10) días hábiles posteriores al trimestre calendario que se está
informado.
4.3.11 Promover y coordinar el desarrollo de actividades tendientes a difundir y concientizar al personal
de la entidad sobre la importancia de mantener un adecuado control interno institucional.
4.3.12 Proponer a la MAE de la entidad la capacitación necesaria para facilitar la adecuada
implementación y mantenimiento del control interno.
4.3.13 Proponer a la MAE de la entidad la contratación de las consultorías necesarias para el desarrollo y
aplicación del plan de implementación y las prácticas obligatorias de implementación del control
interno (PO), siempre y cuando en la entidad no exista personal competente disponible para
hacerlo o no se disponga del tiempo suficiente para ello.
4.3.14 Formular y proponer a la MAE políticas o pautas orientadas al desarrollo y aplicación de los
diferentes elementos y componentes del control interno.
4.3.15 Coordinar la elaboración, conjuntamente con el área de comunicación institucional o su
equivalente, un “Boletín Trimestral de Promoción del Control Interno Institucional” en el cual se
incluyan aspectos relacionados con buenas prácticas de control interno, actividades desarrolladas
por el COCOIN, actividades de difusión y concientización sobre el control interno, informes de
autoevaluación de las unidades organizacionales, avance en la ejecución de planes de
implementación, entre otros.
4.3.16 Dar seguimiento oportuno a la implementación del plan de acción establecido por el COR de la
entidad e informar al respecto a la MAE de entidad y a la ONADICI.
4.3.17 Elaborar actas de reunión por cada sesión realizada en donde consten, entre otros temas, los
compromisos asumidos y los responsables por su cumplimiento en tiempo y forma.
4.3.18 Otras funciones que establezca la ONADICI.
4.4 Naturaleza de los cargos
Los cargos del COCOIN son ad-honorem, de confianza y no inhabilitan para el desempeño de las demás
funciones ni el ejercicio inherente de su cargo en la entidad, así como en la actividad pública o privada.

4.5 Régimen de reuniones
EL COCOIN debe reunirse, mínimamente, de manera mensual un día hábil de cada mes y, en forma
extraordinaria, cuando el comité así lo decida, o bien sea requerido de manera fundamentada por alguno
de sus integrantes, a recomendación de la MAE o la ONADICI.
4.6 Régimen de asistencia a las sesiones
Los integrantes del COCOIN están obligados a asistir a las reuniones del Comité, salvo en situaciones
debidamente justificadas formalmente y con anticipación, hasta en un máximo de dos (2) oportunidades.
De ocurrir la anterior situación, el integrante debe designar a un suplente para que asista en su
representación y lo mantenga informado de lo tratado y actuado en la sesión. La comunicación de la
justificación y la correspondiente designación del suplente debe hacerse mediante comunicación escrita
dirigida al Coordinador del Comité, hasta un (1) día antes de la reunión.
4.7 Organización
Para llevar a cabo adecuadamente sus funciones, el COCOIN puede contar con el apoyo de un secretario
de actas y en el caso de las entidades tipo A y B, según se considere necesario, con un Equipo de Trabajo
Operativo de Control Interno (ETOCI).
4.7.1 Secretario de actas
La función de secretario de actas es ejercida por uno de los integrantes del COCOIN designado por el
coordinador.
Son responsabilidades del secretario de actas:
4.7.1.1 Organizar las reuniones convocadas por el coordinador

4.7.1.2 Proponer al coordinador el proyecto de agenda de las reuniones y llevar el registro de
actas
4.7.1.3 Coordinar con los titulares del COCOIN para implementar y ejecutar los acuerdos tomados
4.7.1.4 Realizar el seguimiento del plan anual de trabajo y de su ejecución
4.7.1.5 Integrar y consolidar las acciones que el COCOIN proponga y acuerde en las reuniones
realizadas
4.7.1.6 Mantener el acervo documentario debidamente ordenado y actualizado
4.7.1.7 Tener actualizado el reporte de seguimiento a los acuerdos tomados por el COCOIN y
coordinar para la difusión de los resultados
4.7.1.8 Otras que le asigne el coordinador del COCOIN.
4.7.2 Equipo de Trabajo Operativo de Control Interno (ETOCI)
El ETOCI puede estar conformado por personal de las áreas que integran el COCOIN. Para este fin, los
integrantes del COCOIN designan a este personal mediante comunicación formal dirigida al Coordinador
del COCOIN.

El ETOCI es un equipo multidisciplinario que brinda soporte y apoyo al COCOIN en el cumplimiento de sus
funciones, y sus integrantes deberán estar capacitados en temas de control interno, gestión por procesos
y gestión de riesgos.
Para su adecuado funcionamiento, los integrantes del ETOCI pueden contar con un coordinador, el cual es
designado por el Coordinador del COCOIN.
4.8 Informes a elaborar y presentar
El COCOIN debe elaborar y presentar a la MAE de la entidad y a la ONADICI, entre otros, los siguientes
informes y documentos:
• Plan anual de trabajo

• Informes semestrales sobre el grado de avance en el cumplimiento del “Plan anual de trabajo”
• El informe correspondiente a los “Talleres de Autoevaluación del Control Interno Institucional
(TAECII)” y los informe actualizados correspondientes a éstos, realizados sobre la base del
seguimiento al PAIME respectivo
• El PAIME, a partir de los PADE y la información obtenida de las unidades organizacionales
correspondientes
• Informes trimestrales en donde se exponga el grado de avance en el cumplimiento del PAIME
• Políticas o pautas orientadas al desarrollo y aplicación de los diferentes elementos y componentes
del control interno
• Boletín trimestral de promoción del control interno institucional
• Informe sobre la implementación del “Plan de acción” establecido por el COR
• Agendas de reuniones en donde se incluya, como mínimo: objetivo de la reunión, temas a cubrir
y resultados esperados, tiempo y responsable por tema, información o documentos de lectura
previa o para llevar a la reunión, entre otros
• Actas de reunión por cada sesión realizada incluyendo, entre otros: temas tratados, conclusiones
o acuerdos, responsables, fechas de cumplimiento y, de corresponder, recomendaciones
formuladas
• Seguimiento al cumplimiento de las decisiones o recomendaciones formuladas en la última
reunión y contempladas en el acta respectiva. Generalmente este punto debería ser el primer
tema a tratar al inicio de cada reunión del COCOIN.
4.9 Tiempo de dedicación a las labores del COCOIN
La MAE de la entidad debe instruir oficialmente a los integrantes del COCOIN acerca de la necesidad de
organización en su tiempo para atender sus responsabilidades y funciones de manera apropiada, en
procura de alcanzar eficazmente los objetivos para los cuales se creó el comité.
V. Responsabilidades
Para el cumplimiento del presente reglamento, se establecen las siguientes responsabilidades:

5.1 Máxima Autoridad Ejecutiva (MAE) de la entidad
En el plazo de quince (15) días contados a partir de la emisión de las GICII, la MAE de la entidad debe:
5.1.1 Designar oficialmente a los integrantes del COCOIN (si antes no se hizo).
5.1.2 Contribuir y velar por el estricto cumplimiento del “Plan anual de trabajo del COCOIN” asignando
los recursos que resulten necesarios.
5.1.3 Asistir a las reuniones del COCOIN cuando sea convocado.
5.1.4 Velar por el logro de los objetivos del COCOIN, considerando que la MAE de la entidad es el
principal responsable institucional por la implementación, mantenimiento y mejora continua del
control interno.
5.2 Coordinador del COCOIN

5.2.1 Cumplir con las responsabilidades y funciones establecidas en el presente reglamento.
5.2.2 Asistir obligatoriamente a las reuniones del comité.
5.2.3 Dispensar el tiempo apropiado a las reuniones del COCOIN y a sus funciones dentro de este comité.
5.2.4 Coordinar y asignar responsabilidades a los integrantes del COCOIN para el cumplimiento de, entre
otras, las siguientes funciones mencionadas en el numeral 4.3 Funciones del COCOIN, contando
siempre con la debida autorización y aprobación de la MAE de la entidad:
5.2.4.1 Elaboración del “Plan anual de trabajo del COCOIN” y su seguimiento.

5.2.4.2 Elaboración del “Informe semestral sobre el grado de avance en el cumplimiento del plan
anual de trabajo”.
5.2.4.3 Coordinación para la elaboración del PAIME.
5.2.4.4 Elaboración de informes trimestrales en donde se exponga el grado de avance en el
cumplimiento del PAIME y PADE correspondiente a cada unidad organizacional.
5.2.4.5 Políticas o pautas orientadas al desarrollo y aplicación de los diferentes elementos y
componentes del control interno.
5.2.4.6 Elaboración en conjunto con el área de comunicación institucional o su equivalente de un
“Boletín trimestral de promoción del control interno institucional”.
5.2.4.7 Elaboración del “Informe sobre la implementación del Plan de Acción” establecido por el
COR.
5.2.4.8 Elaboración de agendas de reuniones y las respectivas actas de reuniones de cada sesión.
5.2.5 Remitir a la ONADICI los informes y documentos establecidos en este reglamento y otros que por
su naturaleza se consideren apropiados.
5.2.6 Proponer temas de agenda que por sus características merecen ser tratados en el COCOIN.
5.2.7 Realizar las acciones necesarias para el cumplimiento de los acuerdos del comité que
correspondan al área de su competencia.
5.2.8 Participar activamente en los temas de agenda que sean materia de análisis y deliberación.
5.2.9 Atender los requerimientos de información que se le solicite.
5.2.10 Velar por el logro de los objetivos del COCOIN.

5.3 Integrantes del COCOIN

5.3.1 Cumplir con las responsabilidades y funciones establecidas en el reglamento y el “Plan Anual de
Trabajo”.
5.3.3 Dispensar el tiempo apropiado a las reuniones del COCOIN y a sus funciones dentro de este comité.
5.3.4 Proponer temas de agenda que por sus características merecen ser tratados en el COCOIN.
5.3.5 Adoptar los recaudos, disponer los recursos necesarios y velar por el estricto cumplimiento del
“Plan de implementación del control interno institucional” correspondiente a su área de
competencia.
5.3.6 Realizar las acciones necesarias para el cumplimiento de los acuerdos del Comité que
5.3.8 Atender los requerimientos de información que se les soliciten.
5.3.9 Velar por el logro de los objetivos del COCOIN.
5.4 Unidad de Auditoría Interna (UAI)

5.4.1 Dar estricto seguimiento al efectivo cumplimiento de lo establecido en el reglamento e informar
al respecto y oportunamente a las instancias correspondientes, entre ellos, la ONADICI.

ANEXO 21. PLAN ANUAL DE TRABAJO DEL COCOIN.
Entidad: ________________________________
Logo Plan Anual de Trabajo del Comité de Control Interno (COCOIN)
Año: _______
Semestre 1 Semestre 2
No. Actividades Producto Responsable
Ene Feb Mar Abr May Jun Jul Ago Set Oct Nov Dic
1
2
3
4
5
6
7
8
9
10
11
12
___________________________________ _________________________________
Coordinador de Comité de Control Interno Miembro del Comité de Control Interno

ANEXO 22. POLÍTICA DE CONTROL INTERNO INSTITUCIONAL.
ENTIDAD: _________________________
Con base en el “Marco Rector del Control Interno Institucional de los Recursos Públicos” y
fundamentalmente en el principio “TSC-PRICI-07: AUTO REGULACIÓN”, la Máxima Autoridad de la
Ejecutiva (MAE) de las entidades es responsable de la gestión y establece la política pública prioritaria para
la implementación del proceso de control interno institucional en todas las unidades que la conforman,
reconociendo que este proceso es indispensable para asegurar en forma razonable el logro de los objetivos
institucionales, fortaleciendo la rendición de cuentas en todos los niveles y promoviendo la transparencia
institucional.
La MAE extiende su apoyo a la mejora continua de los controles internos con el compromiso que asumen
los superiores jerárquicos de las unidades de operación, administración y finanzas, implementando en
forma oportuna y continua de las Normas Generales de Control Interno (NOGECI) y las Guías para la
Implementación del Control Interno Institucional en el Marco del SINACORP (GICII) mediante la aplicación
de las prácticas obligatorias de implementación del CII (PO) detalladas en las GICII y emitida por la Oficina
Nacional de Desarrollo Integral del Control Interno (ONADICI), responsable del desarrollo integral del
control interno institucional.
La política de control interno institucional es de aplicación obligatoria en todos los niveles organizativos
de la entidad y en el proceso de control interno participan todos los servidores públicos o colaboradores
sin exclusión alguna.
La MAE, con el apoyo técnico de la ONADICI, coordinará la implementación ordenada de las prácticas
obligatorias mediante el esfuerzo conjunto del Comité de Control Interno (COCOIN) y los responsables
jerárquicos bajo la dirección y el compromiso de la MAE.
La MAE aprobará y remitirá trimestralmente a la ONADICI el informe del COCOIN, incluyendo los avances
en la implementación de las prácticas obligatorias.
Con base en lo anterior, se instruye a todos los responsables jerárquicos de las áreas y unidades de la
<ENTIDAD> a aplicar las presentes políticas, así como toda la normativa técnica específica emitida por la
ONADICI, que se fundamenta en los marcos rectores y disposiciones emitidas por el Tribunal Superior de
Cuentas, para facilitar la implementación y procurar el fortalecimiento del CII.

ANEXO 23. AMBIENTE DE CONTROL INTERNO – INSTALACIONES Y SERVICIOS.
El acceso a las instalaciones físicas o virtuales de las entidades debe privilegiar la prestación de los servicios
para los cuales se crearon, incorporando información que comunique y oriente a los usuarios de los
servicios y la ubicación de las diversas modalidades de acceso instaladas en su ámbito de operación.
Las instalaciones físicas para los usuarios de los servicios deben contar con un área de información pública
de los servicios instalados y los requerimientos para acceder a los mismos. Para el personal de la entidad,
las instalaciones deben reunir las condiciones necesarias para cumplir en forma oportuna, eficiente y
efectiva las funciones asignadas.
El acceso a las instalaciones por medio del portal institucional debe privilegiar la siguiente información:
• Institucional, respecto a la misión, visión, valores, objetivos estratégicos, organización,

disposiciones legales, reglamentarias y normativas aplicables, informes de resultados de las
operaciones sustantivas, de gestión y financieras actualizadas, entre otras.
• Institucional, sobre los servicios instalados y los requerimientos para el acceso de los usuarios, sea
a través del portal institucional, mediante la comunicación telefónica o la visita a las instalaciones,
en los casos necesarios.
Información de conocimiento y acceso público bajo los criterios definidos en la Ley de Libre de
Transparencia y Acceso a la Información Pública, actualizada conforme a las fechas establecidas
en las disposiciones de los organismos rectores de los procesos o de los sistemas.
• La información actualizada en el portal institucional, en algunos casos en forma diaria, pero en

ningún caso la actualización incluirá períodos mayores a una semana, debe definirse y publicarse
el día de la semana en que se actualiza la información.

ANEXO 24. DELEGACIÓN DE AUTORIDAD - FORMATO RESUMIDO.
La autoridad ejercida por los servidores públicos o colaboradores se origina en las disposiciones legales y
en sus diferentes niveles a partir de la Constitución de la República y las leyes de creación de las entidades.
El reglamento de la ley de creación y la normativa interna sobre la estructura organizativa y funcional
establecen los niveles de autoridad y responsabilidad de las unidades administrativas de la organización,
y es el fundamento para la delegación de autoridad y la asunción de la responsabilidad en el cumplimiento
de las actividades asignadas a los responsables jerárquicos de las áreas y unidades con autoridad para
decidir.
La MAE de la entidad, por regla general, tiene facultad para delegar su autoridad para el cumplimiento de
las metas y objetivos institucionales, los superiores jerárquicos de las áreas o unidades de la estructura
organizativa institucional tienen autoridad y responsabilidad para cumplir los requerimientos de cada
área. La delegación de autoridad en el segundo nivel de la escala administrativa es competencia y
responsabilidad del superior jerárquico que delega autoridad a los servidores públicos o colaboradores
que laboran bajo su ámbito de supervisión directa y, por lo tanto, comparten la responsabilidad por los
resultados obtenidos.
A continuación, se muestra un resumen de los niveles de delegación de autoridad:
NIVEL DE AUTORIDAD DELEGACIÓN DE AUTORIDAD RESPONSABILIDAD ASUMIDA
Máxima Autoridad Ejecutiva Amplia a nivel de toda la Corresponsabilidad por los

(MAE). entidad. resultados obtenidos por los
superiores jerárquicos
dependientes u otros niveles
específicos de la delegación de
autoridad.
Responsables jerárquicos de las Dirigida al personal bajo la Es corresponsable por los

áreas o unidades. supervisión directa del resultados obtenidos por la
responsable jerárquico. delegación de autoridad ante
la MAE.
Servidores públicos o Carecen de la facultad para Responsable directo por los

colaboradores encargados de delegar autoridad, son resultados obtenidos junto al
funciones específicas. responsables de las actividades nivel de supervisión que da
que desarrollan bajo la seguimiento al trabajo
supervisión directa del nivel desarrollado.
jerárquico del área o unidad a
la que pertenece.


FUNCIONAMIENTO DEL COIN
I. Objetivo
Regular la organización y funcionamiento del Comité de Coordinación Institucional (COIN) para asegurar
la adecuada coordinación entre las áreas o unidades, así como proveer soporte y asesoramiento a la MAE
en la toma de decisiones y la mejora en el desempeño institucional.
II. Alcance
Este reglamento cubre aspectos importantes referidos a la organización y funcionamiento del COIN,
relacionados con:
• Integrantes
• Organización
• Reportes a elaborar.
• AMC.40
• AMC.41.
El COIN es un órgano colegiado cuyo principal objetivo es contribuir al eficaz y eficiente logro de los
objetivos de la entidad, mediante la oportuna y adecuada coordinación, participación y suma de aportes
de las distintas áreas o unidades organizacionales, proveyendo soporte y asesoramiento a la MAE para
una mejor toma de decisiones y mejora del desempeño institucional.
El COIN representa una instancia de consulta, cooperación, apoyo y valor agregado entre la MAE y las
áreas o unidades.

4.2 Integrantes
La MAE es integrante fundamental del COIN y es quien lo preside.
Los integrantes del COIN pertenecen al nivel superior de los responsables jerárquicos de las áreas o
unidades de la entidad sin excepción. La MAE designa a uno de los integrantes para que desempeñe el rol
de secretario del Comité.
El responsable jerárquico de la UAI participa con voz, pero sin voto.
En los casos debidamente justificados de inasistencia, los integrantes del COIN pueden designar, mediante
declaración expresa, a un responsable jerárquico de área o unidad subordinada en su representación. Al
respecto, la responsabilidad derivada de las decisiones adoptadas por estos últimos, son asumidas por el
integrante titular que los designó.
Adicionalmente, la ONADICI a través del especialista de control interno designado en cada entidad, puede
participar como observador en las reuniones que celebre el COIN.
Dependiendo de las decisiones que se sometan al COIN, se pueden tomar por mayoría absoluta de los
presentes (la mitad más uno). En caso de empate la MAE o su representante tiene el voto dirimente.
4.3 Funciones del COIN
El COIN tiene las siguientes funciones:
4.3.1 Velar por la mejora continua para la coordinación, cooperación y sinergia de las distintas unidades
organizacionales, en procura de un mejor desempeño y logro de los objetivos institucionales.
4.3.2 Dar seguimiento al cumplimiento del Programa Operativo Anual (POA).
4.3.3 Analizar conjuntamente cualquier desviación a la ejecución del POA y adoptar las decisiones
necesarias, debidamente coordinadas, para su adecuado cumplimiento.
4.3.4 Tratar temas relacionados con limitaciones, falta de coordinación, ausencia de cooperación o
cualquier otro impedimento existente, ya sea de origen interno o externo, que pudiera estar
afectando el adecuado desempeño de una o varias áreas o unidades organizacionales; lo anterior
con el propósito de adoptar acciones uniformes tendientes a su solución.
4.3.5 Evaluar panoramas o escenarios previsibles (ya sea a favor o en contra de los objetivos de la
entidad) con el propósito de tomar decisiones comunes y coordinadas para su tratamiento por
parte de las áreas o unidades organizacionales involucradas.
4.3.6 Tratar y decidir sobre aspectos económico-financieros relacionados con necesidades de las áreas
o unidades organizacionales, tomando acciones oportunas para subsanar las mismas
(transferencias presupuestarias, solicitudes de ampliación, entre otras).
4.3.7 Intercambiar información útil entre las unidades organizacionales, establecer la necesaria y
acordar el entendimiento de nuevas políticas.
4.3.8 Conocer las necesidades de personal o las sobrecargas de trabajo existentes originadas en
situaciones especiales y debidamente fundamentadas, con el propósito de establecer medidas
temporales (ejemplo: préstamos temporales de personal entre áreas) para sanear las necesidades
presentadas y cumplir con los compromisos u objetivos vinculados a las mismas.
4.3.9 Conocer, de parte de las áreas o unidades organizacionales, las limitaciones o debilidades
existentes en el funcionamiento del control interno institucional, a efecto de tomar decisiones,

cuando corresponda, referidas a la asignación de personal o la contratación de consultores para

desarrollar actividades tendientes a subsanar las mismas.
4.3.10 Recibir periódicamente información de los principales temas tratados y los acuerdos adoptados
en el Comité de Control Interno Institucional (COCOIN), Comité de Riesgos, (COR), Comité de
Auditoría (COA) así como de los informes de la Unidad de Auditoría Interna con el fin de adoptar
acciones debidamente coordinadas y con la debida cooperación entre áreas o unidades
organizacionales.
4.3.11 Coordinar criterios para el desarrollo de instrumentos normativos orientados a mejorar la gestión
institucional.
4.3.12 Promover el intercambio de buenas prácticas para ser emuladas por otras áreas o unidades
organizacionales de la entidad.
4.3.13 Otras funciones en donde la intervención del COIN represente un valor agregado para estructurar
la mejor decisión a ser adoptada, como resultado del aporte conjunto de ideas, alternativas y
propuestas.
4.3.14 Otras funciones que establezca la ONADICI.
4.4 Régimen de reuniones
EL COIN debe reunirse, mínimamente, de manera trimestral la última semana de cada mes y, en forma
extraordinaria, cuando el Comité así lo decida, o bien sea requerido de manera fundamentada por alguno
de sus integrantes, a recomendación de la MAE o la ONADICI.
4.5 Régimen de asistencia a las sesiones
Los integrantes del COIN están obligados a asistir a las reuniones del Comité, salvo en situaciones
debidamente justificadas formalmente y con anticipación, hasta en un máximo de una (1) oportunidad.
De ocurrir la anterior situación, el integrante debe designar a un responsable jerárquico de área o unidad
subordinada como suplente para que asista en su representación y lo mantenga informado de lo tratado
y actuado en la sesión. La comunicación de la justificación y la correspondiente designación del suplente
debe hacerse mediante comunicación escrita dirigida a la MAE, hasta un (1) día antes de la reunión.
El COIN debe elaborar y presentar a la MAE de la entidad, entre otros, los siguientes informes y
documentos:
• Agendas de las reuniones coordinadas por el secretario del Comité, en donde se incluya, como
mínimo: objetivo de la reunión, temas a tratar y resultados esperados, tiempo y responsable por
tema, información o documentos de lectura previa o para llevar a la reunión, entre otros.
• Actas de reunión por cada sesión realizada incluyendo, entre otros: temas tratados, acuerdos
tomados, responsables, fechas de cumplimiento.

• Seguimiento al cumplimiento de los acuerdos tomados en la última reunión y consignados en el

acta respectiva. Generalmente este punto es el primer tema a tratar al inicio de cada reunión del
COIN.
Para el cumplimiento del presente reglamento, se establecen las siguientes responsabilidades:
5.1 Presidente del COIN: MAE de la entidad
En el plazo de quince (15) días contados a partir de la emisión de las GICII, la MAE de la entidad debe:
5.1.1 Designar oficialmente a los integrantes del COIN (si antes no se hizo).
5.1.2 Convocar a las reuniones del COIN y aprobar la agenda respectiva.
5.1.3 Asistir y presidir las reuniones del COIN.
5.1.4 Velar por el logro de los objetivos y finalidades del COIN.
5.2 Secretario del COIN
5.2.1 Cumplir con las responsabilidades y funciones establecidas en el reglamento.

5.2.3 Dispensar el tiempo apropiado a las reuniones del COIN y a sus funciones dentro de este comité.
5.2.4 Proponer y coordinar temas de agenda que por sus características merecen ser tratados en el
COIN.
5.2.7 Atender los requerimientos de información que se le solicite.
5.3 Integrantes del COIN
5.3.1 Cumplir con las responsabilidades y funciones establecidas en el reglamento.

5.3.3 Dispensar el tiempo apropiado a las reuniones del COIN y a sus funciones dentro de este comité.
5.3.4 Proponer temas de agenda que por sus características merecen ser tratados en el COIN.
5.3.7 Atender los requerimientos de información que se les soliciten.

5.4 Unidad de Auditoría Interna (UAI)
5.4.1 Dar estricto seguimiento al efectivo cumplimiento de los acuerdos y de lo dispuesto en el

reglamento e informar al respecto y oportunamente a las instancias correspondientes.

ANEXO 26. ACTA DE COMPROMISO PERSONAL PARA LA IMPLEMENTACIÓN DEL CONTROL

INTERNO INSTITUCIONAL
Quien suscribe, [nombres y apellidos completos del servidor público o colaborador], en mi condición de
[puesto o cargo del servidor público o colaborador] de la [nombre de la entidad], declaro que conozco la
importancia, necesidad y beneficios de la implementación del control interno, a la vez hago público,
mediante el presente documento, mi compromiso y apoyo a la implementación del control interno
institucional en la [nombre de la entidad], de acuerdo con lo estipulado en los artículos 245 y 247 de la
Constitución Política de la República de Honduras; la TSC-NOGECI III-07 Compromiso del Personal con el
Control Interno del Marco Rector del Control Interno Institucional de los Recursos Públicos; y el artículo
[número del artículo, en este caso 2214] de las disposiciones generales del Presupuesto General de Ingresos
y Egresos de la República, Ejercicio Fiscal [año, en este caso 2018], aprobadas mediante el Decreto
Legislativo [número, en este caso 141-2017], mediante la cual se dispuso la obligación de todas las
entidades del Poder Ejecutivo, para que en la ejecución del presupuesto se establezcan los procesos de
control interno de conformidad con las políticas establecidas en las normas generales emitidas por el
Tribunal Superior de Cuentas y la normativa desarrollada por la Oficina Nacional de Desarrollo Integral del
Control Interno.
Para este fin, expreso mi compromiso con:
1. El diseño, implementación, supervisión, monitoreo y evaluación de la implementación del control

interno institucional en la [nombre de la entidad].
2. Convocar, en el caso de tener personal a mi cargo, o coadyuvar a convocar a todos los servidores
públicos o colaboradores del área o unidad a la que pertenezco para poner en marcha los
procedimientos que sean necesarios para una adecuada implementación del sistema de control
interno en la [nombre de la entidad]. que permita el cumplimiento de la misión y los objetivos de la
entidad, en beneficio de la ciudadanía y el Estado.
Suscribo en señal de conformidad en la ciudad de [nombre de la ciudad] a las [hh:mm] horas del [día] de
[mes] de [año].
[Nombres y Apellidos completos]
[Puesto o cargo del servidor público o colaborador]
4
Es necesario mantener actualizada la referencia al artículo correspondiente del Presupuesto General de Ingresos y
Egresos de la República para cada año. En este caso, para el año 2018 en que se elaboró las GICII, la norma vigente
para este ejercicio presupuestario es el Decreto No. 141-2017, publicado en La Gaceta el 19 de enero de 2018. Por
lo tanto, el artículo 221 es el que hace referencia al establecimiento de los procesos de control interno en la ejecución
del presupuesto, y al rol que le toca cumplir a la ONADICI y al COCOIN.

ANEXO 27. ADHESIÓN A LAS POLÍTICAS - PARTICIPACIÓN Y COMUNICACIÓN.
La fortaleza del CII es evidente cuando la participación y contribución de los servidores públicos o
colaboradores es activa y propositiva con el funcionamiento eficiente, eficaz y económico de la entidad,
en general, y de las áreas de operación donde colaboran o participan directamente.
La MAE y los responsables jerárquicos de las áreas o unidades de operación, para promover el eficiente
funcionamiento de la entidad, deben emitir políticas dirigidas a fortalecer los controles para promover el
cumplimiento de los objetivos estratégicos de la entidad y de las áreas de operación, al iniciar el período
fiscal como parte del Plan Operativo Anual, actualizándolas o promoviendo nuevas políticas para que sean
conocidas, aplicadas y promovidas en la entidad, constituyéndose en promotores de la calidad del trabajo
ejecutado.
La adhesión a las políticas de la administración activa de las entidades debe ser evaluada al menos una vez
año, cuando se aplique la autoevaluación del CII a nivel de unidades y consolidada para la organización en
su conjunto.
Un resumen de las políticas institucionales debe estar disponible para el personal de la entidad y que sean
comunicadas ampliamente al iniciar el ejercicio.
Las políticas deben resaltar la eficiente rendición de cuentas a nivel institucional, la cual se fundamenta en
la oportunidad y el nivel de información comunicada a los ciudadanos, a los servidores públicos o
colaboradores de las entidades públicas relacionadas y a otras organizaciones de la sociedad civil sobre el
destino y la forma en que se utilizarán los recursos públicos y los resultados logrados en la gestión frente
a las metas programadas y el presupuesto asignado.

ANEXO 28. AUDITORÍA INTERNA – SEGUIMIENTO A LAS RECOMENDACIONES.
El procedimiento de seguimiento a las recomendaciones incorporadas en los informes de auditoría externa

e interna requiere de informes trimestrales sobre el estado de aplicación de los planes de implementación
propuestos por la administración activa de cada entidad pública con base en los informes de auditoría y
otras evaluaciones.
La función de seguimiento a las recomendaciones es competencia de las UAI, situación que se fundamenta
en la independencia de criterio y su experiencia y conocimiento de la entidad, que deviene del contacto
permanente con las acciones de evaluación del control interno institucional que debe aplicar en forma
continua, generando cuatro informes trimestrales y uno anual.
Considerando los enfoques del “Marco Rector del Control Interno Institucional de los Recursos Públicos”
y el “Marco Rector de la Auditoría Interna del Sector Público” de Honduras, la función de seguimiento al
plan de aplicación de las recomendaciones incorporadas en los informes de auditoría y la generación del
reporte trimestral para conocimiento de la MAE, del TSC y de la ONADICI, es responsabilidad de la UAI de
cada entidad; ello sin perjuicio de las evaluaciones que el TSC pueda realizar como parte de su facultad de
auditoría y control como organismo rector del sistema.

ANEXO 29. FORMULACIÓN DE POLÍTICAS INSTITUCIONALES
La política se elabora con el fin de que tenga aplicación a largo plazo y guíe el desarrollo de normas o
criterios más específicos.
Cuando una entidad define su política, lo que realiza es la declaración formal de principios generales de la
entidad para un área determinada, por ejemplo: política de gestión del talento humano, política de
responsabilidad social, política de control interno, entre otras.
A continuación, se muestra las partes del documento que contiene las políticas aprobadas de la entidad:
1. Considerandos legales, en donde se hace referencia a la base normativa vigente que da sustento
a la emisión de las políticas institucionales
2. Exposición de motivos, en donde se hace una breve descripción de la necesidad que subyace al
acto normativo, así como de los propósitos y fines que persigue para la entidad, la sociedad o el
Estado
3. Declaración de las políticas, en donde se detallan los principios generales o lineamientos que
constituyen las políticas institucionales
4. Cierre, en donde se realiza un llamado o instruye a los servidores públicos o colaboradores el
acatamiento de las políticas formuladas.

ANEXO 30. MODELO DEL PLAN DE SENSIBILIZACIÓN Y CAPACITACIÓN EN CONTROL INTERNO INSTITUCIONAL
Entidad: _______________________ Área: _______________________
Alcance: _______________________
Ítem Denominación Objetivos Indicadores Participantes n.° de participantes Fuente de Duración Fecha Fecha Costo por Inversión
n.° de la actividad objetivo financiamiento (horas de de fin participante total
de Hombres Mujeres lectivas) inicio (Lempiras) (Lempiras)
capacitación
Resumen:
Gestión del talento Administración
Total de personal de la entidad H M Total humano
Total del personal capacitado H M Total

COCOIN
Total de actividades de capacitación
Total de la inversión en capacitación

ANEXO 31. EJEMPLOS DE CÁLCULO DEL TIPO DE UAI
Ejemplo 1 (datos tomados del presupuesto 2018)

Entidad centralizada con el presupuesto de egresos “MAYOR” asignado en el año:
• Entidad Y: L. 27.900.734.572
Entidad que se requiere conocer el tipo de UAI:
• Entidad X: L. 9.368.400.000
Cálculo:
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑋 9.368.400.000
= = 0,3358 = 33,58% ≥ 6%
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑌 27.900.734.572
En consecuencia, a la entidad X le corresponde el tipo de UAI “A”.
Ejemplo 2
• Entidad Y: L. 27.900.734.572
• Entidad X: L. 1.003.199.257
Cálculo:
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑋 1.003.199.257
= = 0,0360 = 3,60% → 1% ≤ 3,60% < 6%
En consecuencia, a la entidad X le corresponde el tipo de UAI “B”.
Ejemplo 3
• Entidad Y: L. 27.900.734.572
• Entidad X: L. 22.755.502
Cálculo:
𝑃𝑟𝑒𝑠𝑢𝑝𝑢𝑒𝑠𝑡𝑜 𝑒𝑛𝑡𝑖𝑑𝑎𝑑 𝑋 22.755.502
= = 0,0008 = 0,08% < 1%
En consecuencia, a la entidad X le corresponde el tipo de UAI “C”.


FUNCIONAMIENTO DEL COMITÉ DE AUDITORÍA
I. Objetivo
Establecer las responsabilidades, normas internas y actividades del Comité de Auditoría (COA) del/de la
[nombre de la entidad], contribuyendo a la objetividad, competencia e independencia de las funciones de
la Unidad de Auditoría Interna (UAI).
II. Alcance
Este reglamento cubre aspectos importantes referidos a la organización y funcionamiento del COCOIN,
relacionados con:
• Integrantes
• Organización
• Reportes a elaborar
• Tiempo de dedicación a las labores del COA.
Debe destacarse que los aspectos cubiertos en estos lineamientos representan el insumo para la
elaboración del “Reglamento de Organización y Funcionamiento” del COA.
• AMC.59
• AMC.60
El COA es un órgano colegiado que representa una instancia de consulta, asesoría y apoyo al órgano de
dirección, individual o colegiado, cuyos objetivos son:
4.1.1 Favorecer el respeto y apoyo de la función objetiva, independiente y competente de auditoría

interna y externa por parte de la entidad, sin perjuicio de las funciones atribuidas al Tribunal

Superior de Cuentas (TSC) y a la Oficina Nacional de Desarrollo integral del Control Interno
(ONADICI).
4.1.2 Contribuir al logro de los objetivos del control interno institucional (CII)
4.1.3 Ser veedores informados, vigilantes y efectivos del proceso de información financiera y de los
controles internos, en el marco de la misión, visión y objetivos de entidad.
4.2 Integrantes del comité
Los integrantes del COA son designados por:
• Máxima Autoridad de la Entidad (MAE), cuando el órgano de dirección es unipersonal y también el

órgano de administración
• Máxima Autoridad Institucional (MAI), cuando el órgano de dirección es colegiado y distinto de la
administración.
En ambos casos, se debe identificar y nombrar al responsable, presidente o similar del COA. También debe
contar con un secretario que elabore las actas de cada reunión, el que será designado de entre sus
miembros por mayoría absoluta, es decir por la mitad más uno de los votos de sus miembros.
A efectos de su conformación, el COA debe estar integrado por un número impar de servidores o
colaboradores, ello con el fin de evitar posibles los empates en las votaciones para aprobar acuerdos.
Está conformado por:
4.2.1 Órgano unipersonal de dirección y administración:
• La MAE o el responsable jerárquico que ésta designe, que ejerce la posición de presidente
del comité
• Los responsables jerárquicos de las áreas o unidades sustantivas
• Un representante de la ONADICI (en apoyo a la independencia de la UAI)
• El responsable jerárquico de la UAI (con voz, en calidad de apoyo, pero sin voto).
4.2.2 Órgano colegido de dirección:
• Dos miembros del órgano colegiado, preferiblemente uno con experiencia en control
interno o auditoría y otro con experiencia en finanzas o contabilidad y, en ambos casos,
que no ejerzan funciones operativas o administrativas dentro de la entidad; uno de ellos
ejerce la posición de presidente del comité
• La MAE
• Los responsables jerárquicos de las áreas o unidades sustantivas
• Un representante de la ONADICI (en apoyo a la independencia de la UAI)
• El responsable jerárquico de la UAI (con voz, en calidad de apoyo, pero sin voto).

4.3 Funciones del comité
4.3.1 Conocer el Plan Operativo Anual (POA) e informes de la UAI.

4.3.2 Sugerir aclaraciones o complementaciones que se consideren pertinentes para la mejor calidad
de los POA e informes de la UAI y de la auditoría externa.
4.3.3 Conocer sobre el cumplimiento del programa operativo anual de la UAI, a través de las instancias
correspondientes.
4.3.4 Conocer acerca de la implementación de las recomendaciones de auditoría interna y externa, y
consecuentemente opinar sobre el particular.
4.3.5 Coordinar las funciones de auditoría interna y externa que interactúan en la entidad con el fin de
facilitar las mismas para su mejor aprovechamiento.
4.3.6 Conocer y emitir opinión sobre la designación o desvinculación del responsable jerárquico de la
UAI, sin ser vinculante.
4.3.7 Conocer y emitir opinión sobre la designación o desvinculación de auditores externos.
4.3.8 Reunirse periódicamente de forma separada con la administración, con los auditores internos y
con los auditores externos para obtener mayor conocimiento de sus funciones y realizar aportes
orientados a los objetivos del Comité de Auditoría.
4.3.9 Realizar aportes sobre la información financiera emitida por la entidad.
4.3.10 Proponer la ejecución de auditorías y verificar que el alcance de sus labores satisface las
necesidades de control de la entidad.
4.3.11 Verificar el cumplimiento de leyes y otras normas aplicables, a través de las instancias
correspondientes.
4.3.12 Verificar la existencia y cumplimiento de normas éticas y códigos de conducta.
4.3.13 Intervenir en situaciones de posibles conflictos de intereses y fraudes.
4.3.14 Reportar a la MAI o MAE (según sea el caso) sobre sus actividades, desde la planificación hasta
la ejecución de estas.
4.3.15 Otras que contribuyan al cumplimiento de sus responsabilidades.
4.4 Régimen de reuniones y quorum
EL COA debe reunirse mínimamente de manera trimestral a fines de marzo, junio, septiembre y diciembre
de cada año fiscal y en forma extraordinaria cuando el responsable del comité así lo decida, o bien sea
requerido de manera fundamentada por alguno de sus integrantes.
Sin embargo, puede reunirse extraordinariamente cuando se requiera la discusión, evaluación, manejo y
corrección de situaciones urgentes o consideradas de alto riesgo para la entidad o cuando existan cambios
sustanciales en las políticas internas o la normatividad que regula las actividades de la entidad.
El Comité de Auditoría sesiona cuando existe quórum con base en la mayoría absoluta (al menos la mitad
más uno de sus miembros) y aprueba los acuerdos cuando existe mayoría simple. El presidente del comité
convoca y preside las sesiones y tiene voto dirimente en caso de empate.
A las reuniones del comité pueden ser citados cualesquiera de los servidores públicos o colaboradores de
la entidad, a través de la MAE, con la frecuencia necesaria y con el fin de suministrar las explicaciones que

sean requeridas acerca de asuntos relacionados con las responsabilidades y funciones del Comité de
Auditoría y el CII.
4.5.1 Plan de trabajo anual que le permita enfocarse hacia las situaciones o áreas más relevantes de
la entidad. En tal sentido, este documento debe incluir como mínimo: actividades de trabajo,
insumos o recursos, productos o resultados, reuniones previstas, plazos y responsables.
4.5.2 Presupuesto anual necesario para desarrollar las actividades previstas del plan de trabajo anual.
4.5.3 Informes de ejecución sobre el cumplimiento del plan de trabajo anual y presupuesto.
4.5.4 Agenda de las sesiones o reuniones a cargo del presidente del comité, en donde se incluya, como
mínimo: objetivo de la reunión, temas a cubrir y resultados esperados, tiempo y responsable por
tema, información o documentos de lectura previa o para llevar a la sesión, entre otros.
4.5.5 Actas de reunión por cada sesión realizada, incluyendo entre otros: temas tratados, conclusiones
o acuerdos arribados, responsables, fechas de cumplimiento y de corresponder,
recomendaciones formuladas.
4.5.6 Seguimiento al cumplimiento de las decisiones o recomendaciones formuladas en la última
sesión y contempladas en el acta respectiva. Generalmente en este punto es el primero a tratar
al inicio de cada sesión.
4.5.7 Cuando se presenten situaciones de alto riesgo o que revistan importancia significativa para la
entidad, el comité debe remitir un informe especial a la MAE de la entidad.
4.6 Tiempo de permanencia y de dedicación a las labores del COA
Los miembros del COA permanecen en sus funciones por un periodo mínimo de un (1) año. Los miembros
del comité pueden ser reelegidos indefinidamente y son de libre nombramiento y remoción por parte de
la MAI o la MAE. Si al finalizar el período para el cual fueron designados no hubieran sido cambiados,
continúan en sus cargos hasta que su reemplazo sea designado.
La MAI o la MAE, según sea el caso, debe asignar oficialmente el tiempo suficiente a los integrantes del
COA para atender sus responsabilidades y funciones de manera apropiada en procura de alcanzar
eficazmente los objetivos para los cuales se creó el comité.
Para el cumplimiento del presente reglamento para la “Organización y Funcionamiento del Comité de
Auditoría”, se establecen las siguientes responsabilidades:
5.1 MAI o MAE
En el plazo de 15 días contados a partir de la emisión de las GICII, la MAI o la MAE debe:

5.1.1 Designar oficialmente a los integrantes del COA y su presidente. Asimismo, comunicar la
importancia de la dedicación del tiempo necesario para cumplir con sus responsabilidades y
funciones como miembros del comité.
5.1.2 Solicitar al COA la elaboración o actualización del “Reglamento de Organización y Régimen de
Funcionamiento del Comité de Auditoría”, con base como en los presentes lineamientos.
5.1.3 Aprobar, de corresponder, el Reglamento mencionado en el numeral anterior.
5.1.4 Asistir a las reuniones programadas del COA en el caso de ser miembro designado.
5.2 Miembros del COA
5.2.1 Cumplir con las funciones y responsabilidades establecidas en el “Reglamento de Organización y

Régimen de Funcionamiento del Comité de Auditoría”.
5.2.2 Participar en la elaboración del “Reglamento de Organización y Régimen de Funcionamiento del
Comité de Auditoría”.
5.2.3 Dedicar el tiempo que resulte necesario para asistir obligatoriamente a las reuniones del COA y
cumplir con las funciones y responsabilidades.
5.3 Representante de la ONADICI
5.3.1 Asistir a las reuniones del COA, coadyuvando a su adecuado funcionamiento y a la independencia
de la función de auditoría interna.
5.4 Responsable jerárquico de la UAI
5.4.1 Dar seguimiento oportuno al cumplimiento del reglamento y a la implementación de los

acuerdos del comité, informando a las instancias correspondientes, entre ellos, el Comité de
Control Interno Institucional.

ANEXOS GUÍA 2
“EVALUACIÓN Y GESTIÓN DE RIESGOS”


ANEXO 33. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS.
En esta etapa se busca identificar y evaluar los eventos de pérdida (riesgos), tanto los que se han
materializado en el pasado como los que pueden suceder en el futuro, pudiendo aplicarse en la entidad a
nivel global o a un nivel de detalle como el de proceso y actividad.
Este proceso se debe realizar en orden sucesivo en tres niveles: (a) global de la entidad, (b) del proceso o
programa, y (c) de la actividad. A cada menor nivel le corresponde un alcance más limitado, enfocado a
los componentes de las áreas o unidades y a los objetivos clave de cada proceso y área identificados en el
análisis global de la entidad.
Los pasos a seguir en esta etapa son los siguientes:
1. Identificación de los eventos que afecten los objetivos institucionales, paso que a su vez se divide en
dos tareas principales:
1.1 Identificación y mapeo de los procesos
1.2 Identificación y análisis de los factores causantes de los riesgos.
3. Determinación de los indicadores clave de riesgo
1. IDENTIFICACIÓN DE EVENTOS QUE AFECTEN LOS OBJETIVOS INSTITUCIONALES
1.1 IDENTIFICACIÓN Y MAPEO DE PROCESOS
Se debe identificar los procesos que se llevan a cabo en la entidad (comenzando por los procesos clave) y
posteriormente se elabora un mapa de los procesos considerando e identificando por niveles los
macroprocesos o procesos de nivel cero (0), los procesos de nivel uno (1), los procesos de nivel (2) y así
hasta llegar a los procesos de nivel n o actividades de cada área, las actividades de control vigentes para
cada proceso y los sistemas asociados (de existir). Lo anterior se ilustra en la siguiente Figura 39:

Figura 39
Niveles de procesos
Cabe indicar que los procesos identificados se clasifican y agrupan en los siguientes tipos: (i) estratégicos,
(ii) operativos o misionales, y (iii) de apoyo o soporte, tal como se muestra a continuación:
Figura 40
Mapa de procesos: tipos de procesos
A continuación, se elabora el mapa de procesos de nivel cero (0) que da cuenta de los macroprocesos de
la entidad, tal como se muestra en la siguiente figura:

Figura 41
Mapa de procesos de nivel 0
Es necesario señalar que el mapeo de procesos corresponde a la implementación de la gestión por

procesos de las entidades, dentro del esfuerzo de la modernización de la gestión pública, la misma que
constituye un proyecto, con su propia metodología, complementario y necesario al de la implementación
de CII.
Adicionalmente, el mapeo de los procesos en sus diferentes niveles implica la especificación de los
procesos y puntos clave o críticos a nivel de la entidad, los programas, los proyectos o las actividades que
sean significativos para el logro de los objetivos generales y particulares fijados. Algunos de ellos pueden
no estar formalmente determinados o explicitados. El resultado final de esta tarea será la emisión de un
“mapa de procesos” detallado, con los controles vigentes asociados a cada proceso.
Sin embargo, para efecto de empezar a gestionar los riesgos en la entidad, no es necesario esperar a contar
con un “mapa de procesos” completo y detallado, sino que se debe empezar a trabajar con los procesos
clave o sustantivos, siguiéndose para ello las actividades que se indican a continuación.
Las actividades o fases que deben ejecutarse son las siguientes:
a. Identificación de los procesos de la entidad, comenzando con los procesos clave o críticos, es decir,
los que se relacionan con el cumplimiento de los objetivos estratégicos de la misma (procesos
sustantivos).
Se debe elaborar mapas de procesos de alto nivel que incluyan los procesos de las áreas funcionales
con el fin de tener una visión general de los procesos de la entidad y sus relaciones. Para ello, en
primer término, se debe:
i. Determinar las partes que se relacionan con el sistema de la gestión de la entidad: proveedores,
usuarios y otros participantes con los que la entidad mantiene una relación que es relevante para

el adecuado funcionamiento de su sistema de gestión, tales como todos los grupos de interés de
la entidad y, en definitiva, el ciudadano y la sociedad. También debe considerarse los recursos con
los que cuenta la entidad: de infraestructura, sistemas de tecnología informática, entre otros.
Estas partes son las que definen los requisitos de los servicios y productos que debe brindar la
entidad (input) y a los que se debe satisfacer sus demandas y necesidades (output).
ii. Identificar la “cadena de valor”, “línea operativa” o secuencia de los procesos operativos y
estratégicos clave de la entidad, es decir, aquellos procesos sustantivos involucrados en el
cumplimiento de los objetivos estratégicos de la entidad y los requerimientos de sus grupos de
interés, en función de la naturaleza de su actividad (servicios o productos a brindar a sus usuarios
o a la comunidad). Pueden dividirse en procesos estratégicos y procesos operativos.
Como ejemplos de procesos o puntos clave de la entidad pueden enunciarse los siguientes:
- Procesos críticos para la supervivencia de la entidad: procesos misionales
- Actividades responsables de la entrega de partes importantes de servicios a la ciudadanía
- Área sujeta a leyes, decretos o reglamentos de estricto cumplimiento, con amenazas de severas
sanciones por incumplimiento.
- Área de vital importancia estratégica para el Gobierno (ejemplo: defensa, investigaciones
tecnológicas de avanzada, entre otros).
iii. Añadir los procesos de apoyo o soporte a la secuencia de procesos clave de la entidad, y los de
dirección. Los de apoyo propiamente incluyen a todos los procesos que son responsabilidad de
áreas que proveen de capital o recursos a esta “cadena de valor”: talento humano, planificación,
tecnología informática, compras y contrataciones, administración y finanzas, coordinación y
seguimiento, gestión de riesgos, entre otros. Los de dirección son, por ejemplo, planificación
estratégica o empresarial.
iv. Por último, deberán considerarse aquellos que realizan asesoramiento o consultoría interna, tales
como las áreas de asesoría legal o jurídica y auditoría interna.
b. Análisis del flujo de los procesos, que implica la representación esquemática de un proceso con
el objetivo de comprender las interrelaciones entre las entradas, tareas, salidas y
responsabilidades de sus componentes. También debe detallarse los sistemas de tecnología
informática empleados y que son necesarios para realizar la actividad o proceso.
Una vez realizado este esquema, las actividades y operaciones incluidas en el proceso pueden ser
identificadas y consideradas frente a los objetivos del proceso.
Se debe realizar narrativas o descripciones de los procesos, indicando las operaciones, actividades
de control y las áreas por las que pasan según su secuencia lógica. Se recomienda que estén
acompañados de diagramas de bloque o diagramas de flujo por actividad o proceso.
En esta etapa se determina quien es el “responsable o dueño del proceso”, es decir el área o unidad
que por sus funciones está más involucrada en cada proceso, dada su participación y su
responsabilidad en el diseño y liderazgo de este, y por ende en el logro de los objetivos fijados
para ese proceso.

Como resultado de estas actividades se obtendrá un inventario de los procesos de la entidad, con
identificación de las actividades de control existentes y vigentes y los sistemas aplicativos de tecnología
informática asociados al proceso.
1.2 IDENTIFICACIÓN Y ANÁLISIS DE LOS FACTORES CAUSANTES DE LOS RIESGOS
Una vez identificados y mapeados los procesos críticos o sustantivos de la entidad, corresponde realizar la
determinación de los eventos de pérdida (riesgos) a partir de los objetivos de cada proceso, así como la
identificación de los factores causantes de los riesgos.
La identificación y priorización de los factores que contribuyen a elevar el riesgo o a que éste se
materialice, se realiza a partir de un análisis de las circunstancias internas (debilidades) y externas
(amenazas) en las que se desarrolla la gestión institucional y el proceso, para identificar y determinar
cuáles son generadores o conllevan algún grado de riesgo, y si existe alguna interrelación entre ellos.
Es importante considerar las metas e iniciativas estratégicas de la entidad que pueden modificar la
priorización de los factores causantes de los riesgos o las causas subyacentes que deben ser atacadas. Se
debe realizar talleres de autoevaluación, con grupos de trabajo definidos para cada proceso. El ANEXO 34
proporciona la “metodología de grupos de trabajo de autoevaluación de riesgos”. Asimismo, el ANEXO 35
presenta un modelo de “cuestionario de autoevaluación de riesgos”. De la misma forma, el ANEXO 36
propone algunos “factores causantes de riesgos” a considerar al realizar este análisis.
En esta etapa, también es importante realizar una primera estimación del impacto de las pérdidas
potenciales directas, a partir de los datos aportados por la “base de datos de eventos de pérdida”. El
ANEXO 37 brida las indicaciones sobre cómo se construye la base de datos.
La información obtenida por cada tipo de evento se incluirá en el “formulario de identificación de eventos
y valorización de riesgos”, que se muestra en ANEXO 38 y ANEXO 39.
A partir de la identificación y mapeo de los procesos y la identificación, análisis y priorización de los

factores causantes de los riesgos, se obtendrá como resultado una “lista de los eventos de pérdida”, y un
“mapa general de riesgos”, con los “factores causantes de riesgos” clasificados por tipo de riesgo y
asignados a cada proceso, área, actividad o función organizativa, realizándose una cuantificación estimada
de los impactos que producen estos riesgos inherentes.
2. EVALUACIÓN Y VALORIZACIÓN DE LOS RIESGOS
Una vez identificados, clasificados y registrados los eventos de pérdida, los riesgos significativos deben
examinarse en forma individual o por categoría, para luego ser valorizados considerando los siguientes
dos parámetros: probabilidad de ocurrencia o frecuencia, e impacto (severidad o gravedad).
La evaluación y valorización de las exposiciones significativas a los riesgos se debe llevar a cabo con base
en la experiencia histórica, dada a través de datos cuantitativos o cualitativos, teniendo en cuenta su
importancia a partir de comprender el alcance sobre cómo estos eventos potenciales de riesgo pueden
impactar en el logro de los objetivos institucionales. Normalmente, se utiliza una combinación de métodos
y técnicas cualitativas y cuantitativas que se presentan en el ANEXO 42.

Para la valorización cuantitativa (cuantificación), tanto del impacto como la probabilidad de ocurrencia,
no se debe considerar exclusivamente la información aportada por la base de datos histórica de eventos
de pérdidas producidas. Dado que los riesgos que se están calculando son los que potencialmente se
pueden producir en el futuro, también debe tomarse en cuenta las proyecciones que, con base numérica
o estadística, se realizan en cuanto al impacto que se estima podría tener un evento en el caso que se
materialice.
Para la estimación cuantitativa de la frecuencia en que se presenta un evento, se puede usar bases
estadísticas, según experiencia previa y las proyecciones de escenarios futuros.
Si la medición es cualitativa, se tomará en cuenta el conocimiento que, a partir de su experiencia, tienen

los servidores públicos o colaboradores más familiarizados con el proceso donde se han identificado los
riesgos que se quieren valorizar.
Es importante indicar que la unidad de medición de los riesgos y los horizontes de tiempo considerados
deben ser los mismos que los de los objetivos a los que afectan.
Para la valorización de los riesgos y la elaboración de las matrices de riesgo se debe utilizar la metodología
de talleres o grupos de trabajo, uno por cada proceso, la misma que ya fue aplicada para la identificación
y priorización de los factores causantes de riesgos.
El ANEXO 42 detalla las “metodologías para la valorización de los riesgos” más comunes.
La evaluación de los riesgos se realiza sobre dos bases: en primer término, analizando el riesgo inherente
de cada actividad, propio de la naturaleza de la actividad desarrollada que corresponde al riesgo en su
estado puro, sin que se encuentre afectado por ninguna actividad de control. Luego, se considera el riesgo
residual de la actividad o proceso, riesgo que queda una vez que se aplican las actividades de control
vigentes. Lo anterior se aprecia en el ANEXO 40 que muestra la reducción del riesgo residual en el mapa
de riesgos.
Al analizar los riesgos que afectan a los procesos, actividades, áreas y funciones de la entidad, deben
considerarse los actualmente relevantes, considerando si van a seguir siendo significativos o si pudieran
dejar de serlo en el futuro, ya sea por la mejora de los procesos o por la pérdida de relevancia o suspensión
de la actividad. De la misma forma, también debe tomarse en cuenta los riesgos actualmente inexistentes
pero potenciales, que cobrarán importancia en el futuro en función de los objetivos planteados en la
gestión de la entidad.
Con el fin de calcular el daño potencial, se diseñan matrices de doble entrada en las que se refleja el nivel
de exposición al riesgo, en términos del impacto esperado y la probabilidad de ocurrencia de los riesgos.
El detalle de la matriz de riesgos se puede ver en el ANEXO 43 para el mapa de riesgos y en el ANEXO 44
para la matriz de riesgo. En el mapa de riesgo también se mostrará la curva del nivel de riesgos aceptable
para la entidad en cada riesgo específico, y para el portafolio de riesgos, la cual debe orientar la necesidad
de generar respuestas al riesgo y actividades de control con el fin de minimizar los riesgos inherentes, y
haciendo que el riesgo residual se encuentre dentro del nivel de riesgo aceptado.
Una vez que se hayan recopilado las conclusiones de los grupos de trabajo, y se haya valorado el impacto
y la probabilidad de ocurrencia de los eventos de pérdida, se elaboran las matrices de
impacto/probabilidad que van a permitir una visión global del nivel de vulnerabilidad de las áreas y

procesos, así como elaborar un mapa general de los principales riesgos priorizados que van a recibir
tratamiento o atención inmediata.
La matriz de riesgos es el producto principal que resulta de la identificación y evaluación de los riesgos.
La información obtenida para cada de riesgo se incluirá en el “formulario de identificación de eventos y

valorización de riesgos”, tal como se detalla en el ANEXO 38 y ANEXO 39.
Debido a que los recursos son limitados en toda entidad, resulta imprescindible distinguir los riesgos que
merecen una atención inmediata de aquellos que pueden recibir un menor esfuerzo, a través de una
atención periódica o porque su riesgo residual se encuentra en niveles controlados. Para ello, se prevé
utilizar el “mapa de riesgos” como herramienta que consolida las diferentes matrices de riesgo y permite
visualizar el valor del riesgo inherente de cada evento o riesgo con el fin de determinar las acciones a
seguir.
Debe indicarse que, en ausencia de datos cuantitativos para la valoración de la probabilidad de ocurrencia
y el impacto, se debe hacer uso del análisis y los métodos cualitativos en los que prima la opinión del
experto en el proceso, tanto para la valorización final del riesgo inherente como para el cálculo del riesgo
residual.
Una vez obtenidos los valores del riesgo residual, resulta necesario establecer la prioridad en la atención
de los riesgos, teniendo en consideración que los valores altos de riesgo no implican necesariamente una
atención prioritaria como sería de esperar. Por el contrario, se debe indicar que el criterio profesional del
experto en el proceso es el que prima para el establecimiento de la prioridad de atención, criterio que
debe quedar registrado por escrito. El ANEXO 45 presenta un ejemplo simplificado acerca de la evaluación
y valorización de los riesgos.
3. DETERMINACIÓN DE INDICADORES CLAVES DE RIESGO
Incluye identificar, predefinir, testear y determinar los indicadores clave de riesgo.
Los indicadores clave de riesgo deben ser variables cuantificables que tengan una demostrada correlación
positiva entre su incremento y el aumento de la exposición al riesgo de la entidad. Funcionan como un
sistema de alerta frente a la probabilidad de ocurrencia de eventos de pérdida.
Además, debe definirse la unidad con la que se medirá el indicador y el umbral de puntuación (alerta) que
permita a la entidad tomar las acciones correctivas necesarias para regularizar su situación.
Como ejemplos generales de formas de medición, se enuncian los siguientes:
a. Porcentaje de incidentes por errores en el llenado, emisión o firma de documentación de soporte

sobre el total de documentos emitidos (si el parámetro de tolerancia al riesgo está definido en función
de porcentaje sobre el total de transacciones realizadas en un período determinado de tiempo,
independientemente de los importes que involucren)
b. Número de operaciones realizadas sin la debida autorización previa (si el parámetro de medición está
referido a una cantidad de transacciones realizadas en un período determinado de tiempo,
independientemente del universo total de operaciones o de los importes de estas)

c. Porcentaje de pérdidas (en lempiras) por cheques emitidos y pagados por importes superiores a los
autorizados (si el parámetro de tolerancia es en función del porcentaje sobre el importe total de las
transacciones realizadas en un período determinado de tiempo)
d. Importe de pérdidas (en lempiras) por sustracción de bienes de uso (si el parámetro de medición está
referido al impacto de los eventos de pérdida producidos en un período determinado de tiempo,
independientemente del importe total del universo de operaciones realizadas o de la cantidad de
transacciones involucradas).
Conjuntamente con los indicadores clave de riesgo, se deberá definir los umbrales de tolerancia al riesgo
para cada uno de ellos, determinando el parámetro a partir del cual se deberá emitir la alerta temprana
con el fin de tomar las acciones y controles correspondientes para que el nivel máximo de tolerancia al
riesgo no sea traspasado.
Por ejemplo, si el nivel máximo de tolerancia al riesgo de errores en la emisión de órdenes de pago es del
0,5% mensual, el umbral de alerta debería definirse en el 0,3% para que cuando se traspase este umbral
se emita una alerta que pueda activar la toma de acciones correctivas y la redefinición de las actividades
de control. Ello con el fin de no llegar al nivel de tolerancia máximo fijado y poder restaurar las operaciones
dentro de los niveles normales.
La determinación de los indicadores clave de riesgo debe incluir, como mínimo, las siguientes definiciones:
a) Concepto del indicador

b) Descripción
c) Riesgo aceptado (en lempiras o porcentaje de operaciones)
d) Nivel de tolerancia (en lempiras o en porcentaje de operaciones)
e) Umbral de alerta (en lempiras o en porcentaje de operaciones)
f) Forma de medición
g) Frecuencia de medición
h) Responsable de la medición y de informar las variaciones producidas.
Para la determinación de los indicadores claves de riesgo, también se aplicará la metodología de talleres
o grupos de trabajo.
Los talleres de grupos de trabajo se realizarán en el nivel de proceso, con los mismos integrantes que
realizaron los tres anteriores, en una secuencia lógica de tareas. Debe tenerse en consideración que al
tratarse de un proceso dinámico y de retroalimentación, las conclusiones obtenidas en un taller pueden
luego generar modificaciones en la validez o alcance de las conclusiones dadas en talleres previos.
De esta forma, se realizan los diferentes talleres para cada proceso con un único grupo de trabajo de
niveles intermedios, en el que se trata en forma sucesiva los siguientes temas:
- Identificación de “factores causantes de riesgos”

- Elaboración de “matrices de riesgo y valorización del riesgo”
- Determinación de los “indicadores de claves de riesgos”
- Evaluación “actividades de control” existentes.
La metodología de trabajo propuesta facilita realizar los cuestionarios estructurados de autoevaluación

para las diferentes etapas del proceso de identificación y evaluación de los riesgos. Con ello se consigue la

colaboración y compromiso de las áreas de la entidad involucradas en cada proceso, haciendo más
eficiente el uso del tiempo y los resultados de la tarea, estos últimos dependen fundamentalmente del
grado de compromiso que tienen los participantes con el proyecto, así como de la profundidad y amplitud
de la información que aportan.
En el caso de la autoevaluación de las actividades de control existentes, comprende además el análisis de

los controles internos informales, es decir los que no están normados y que van surgiendo en la práctica o
marcha del desempeño de las responsabilidades y funciones, otorgando eficiencia al proceso, pero que al
no estar documentados por escrito pueden irse deteriorando con el transcurso del tiempo.
4. RESPUESTA AL RIESGO
Las diferentes decisiones que la MAE y los responsables jerárquicos de las áreas y unidades de la entidad
pueden tomar como respuesta al riesgo son, por ejemplo:
a) Aceptar o tomar el riesgo: cuando las pérdidas esperadas son menores que el costo de la gestión del
riesgo, la entidad asume el riesgo y no emprende ninguna acción que afecte la probabilidad o el
impacto de este.
La aceptación de riesgos puede implicar que los responsables jerárquicos de las áreas o unidades
decidan asumir el riesgo de no corregir una situación, por razones de costo u otras consideraciones
convenientes para la entidad.
La MAE debe ser informada de tales decisiones referidas a todos los riesgos residuales significativos
que se consideren que no están dentro de los niveles de riesgo aceptables, con el fin de determinar
en forma concreta y formal si está de acuerdo con la respuesta seleccionada, caso contrario, ordenar
que se vuelva a analizar.
b) Compartir total o parcialmente el riesgo: cuando el costo de mitigación del riesgo es mayor que la
pérdida esperada y existe un tercero dispuesto a aceptar trasladarle el riesgo (compañías de seguros)
o un socio estratégico con el cual compartir parte de este (“joint venture”). Ejemplos de tales
esquemas son la contratación de seguros y la tercerización de actividades. Estas técnicas
complementan, pero no sustituyen el control interno.
c) Mitigar el riesgo: fortalecer los controles existentes o desarrollar nuevos. Cuando el valor de la
pérdida esperada es mayor que la inversión a realizar para mantener, fortalecer o desarrollar nuevas
acciones y actividades de control para reducir significativamente la frecuencia, probabilidad o el
impacto de las pérdidas.
d) Evitar la actividad para no asumir el riesgo: se da cuando el “margen de contribución esperado” es

menor que el costo del riesgo esperado, por lo que la entidad decide abandonar la actividad por ser
excesivamente riesgosa al no identificar ninguna opción de respuesta que reduzca el riesgo valorizado
hasta un nivel aceptable. Lo anterior es especialmente válido en la actividad empresarial privada, pero
no ocurre así en el ámbito de la gestión pública en la que las entidades del Estado deben de llevar a
cabo por mandato legal, asumiendo el riesgo que ellas implican. En este caso, el “margen de
contribución esperado” no se entiende en términos financieros o económicos, sino en función de la
“rentabilidad social” que genera. Ejemplo de ello se aprecia en las actividades ligadas al rol subsidiario
del Estado.

ANEXO 34. METODOLOGÍA DE GRUPOS DE TRABAJO DE AUTOEVALUACIÓN DE RIESGOS
La metodología de talleres o grupos de trabajo está sobre la base del principio de autoevaluación
establecido en el “Marco Rector de Control Interno Institucional de los Recursos Públicos” (TSCPRICI-11).
En este caso consiste en involucrar a los servidores públicos de la entidad en el proceso de identificación
y evaluación de riesgos, así como en el de análisis de las actividades de control existentes y las propuestas
de mejora a los procesos, valorando y respetando a los participantes y a sus capacidades creativas para el
análisis de los procesos, sistemas y operaciones de la entidad.
La implementación del control interno institucional y de la gestión de riesgos constituyen un proceso

estratégico de cambio, el cual se sostiene en el cambio cultural y en el mejoramiento evolutivo
sustentable, siendo fundamental la existencia de un compromiso real y de permanente involucramiento
de la MAE y de los responsables jerárquicos de todas las áreas y unidades de la entidad, en la gestión,
crecimiento, consolidación, seguimiento y continuidad en el largo plazo del proceso por parte de toda la
entidad, en sus diferentes niveles jerárquicos.
Los talleres participativos deben estar estructurados bajo la filosofía de que: (a) la mejora continua de la
calidad de los procesos se puede aplicar a todos los procesos de la entidad (operativos, administrativos,
de tecnología informática, de gestión), los que interactúan entre sí para que los objetivos institucionales
se logren consistentemente y, (b) puede ser aplicada y puesta en práctica por todo servidor público o
colaborador de una entidad, en función de su compromiso con el control interno institucional, y su previo
entrenamiento en la metodología.
La autoevaluación es una característica del ejercicio del control interno voluntario, consciente y por
convicción de los propios servidores públicos o colaboradores en cuanto a la importancia y utilidad de este
para la mejora permanente de sus condiciones de trabajo, la eficiencia en el desempeño de sus
responsabilidades y el logro de los objetivos institucionales.
Estos conceptos se materializan a partir de desarrollar y entrenar responsables jerárquicos de áreas y

unidades con una clara orientación proactiva hacia la gestión por resultados y a la solución de las causas
que generan los problemas. También implica entregar, al ciudadano en general y a los usuarios internos y
externos, servicios y bienes de excelencia, con valor agregado y mejora en la calidad, producidos mediante
el funcionamiento y transparencia de los procesos a través de la reducción de costos y el aumento de la
productividad de la entidad, por simplificación o eliminación de procedimientos y actividades que no
añaden valor. De esa forma, al realizar una gestión eficaz, eficiente y económica de los recursos públicos
a favor del logro de los mejores resultados para la sociedad, la que le ha confiado estos recursos y a la que
se le debe rendir cuentas sobre su gestión, se reduce la posibilidad de que tales activos se malgasten y
desperdicien.
El esquema autoevaluativo implica que los grupos de trabajo integrados por personal de las diferentes
áreas que participan en el proceso analizado, con la ayuda de facilitadores formados al interior de las
entidades (en especial, personal de las áreas de soporte como planificación, control, organización y
métodos o áreas afines con las anteriores), puedan analizar los temas que se les asignan a partir de ciertas
consignas, contando para ello con cuestionarios estructurados de autoevaluación, y así llegar a
conclusiones válidas referidas a los procesos y actividades de los que son responsables.
El número de responsables jerárquicos de áreas y unidades a participar en cada grupo no debe ser superior
a ocho, debiendo existir representantes de todas las áreas o unidades involucradas en el proceso que se

analiza. Se recomienda utilizar un esquema de trabajo similar al de los círculos de calidad usados en gestión
de la calidad o mejora continua, con el fin de aprovechar el conocimiento y sinergia colectivo del grupo.
Para la selección del personal que participará de los talleres, si bien es imprescindible que se trate de
grupos interdisciplinarios e interfuncionales, se debe dar prioridad a aquellos que laboran en los ámbitos
donde se crea y agrega valor a través del trabajo diario, debido a que conocen y están en contacto con las
actividades sustantivas de la entidad. De esta forma se potencia la posibilidad que, por ejemplo, se
identifiquen los factores de riesgo que afectan a sus tareas y al logro de las metas propuestas para su
actividad, y por lo tanto puedan evaluarlos y proponer mejoras en los controles y calidad de los procesos
en los que participan, reduciendo la posibilidad de ocurrencia de errores o eventos de pérdida, así como
su impacto. Los pasos sugeridos en el desarrollo de los talleres son los siguientes:
1. Las áreas que van a realizar la coordinación de los talleres (planificación, organización y métodos, entre
otras), con la colaboración de los responsables jerárquicos de las diferentes áreas y unidades de la
entidad, definen y elaboran “cuestionarios estructurados de autoevaluación” para obtener y desarrollar
la información solicitada como consigna (por ejemplo, los factores causantes del riesgo). El ANEXO 35
proporciona un ejemplo de “cuestionario de autoevaluación”.
2. Luego, se realizan dos talleres consecutivos de autoevaluación. Uno con cada nivel de responsables
jerárquicos de las áreas y unidades para obtener conclusiones validadas tanto por los de nivel
intermedio como por los de mayor nivel.
3. El primer grupo de trabajo debe estar formado por responsables jerárquicos de nivel intermedio de las
áreas y unidades involucradas en cada proceso, en especial aquellos con conocimiento, experiencia y
preparación en las operaciones específicas que se analizan. Ello en razón de que cada proceso y riesgo
debe ser analizado en detalle, considerando el buen juicio y sentido común de los participantes en este
proceso. Al no participar del taller el personal superior de las áreas y unidades, se da una mayor
oportunidad para que exista un intercambio franco, abierto y transparente entre los participantes
evitando que, por temor u obediencia a sus superiores jerárquicos, no se manifiesten los problemas o
inconvenientes que se observan en el proceso bajo análisis.
4. El segundo grupo de trabajo estará formado por representantes de las áreas organizativas de la entidad
(coordinación y gestión de riesgos, organización y métodos, planificación, auditoría interna) además de
los responsables jerárquicos de cada una de las áreas involucradas en el proceso o actividad que se
analiza y, en especial, el responsable jerárquico del área responsable del proceso. Este grupo utiliza
como insumo la información correspondiente a las conclusiones obtenidas por el primer grupo.
5. Finalizados los dos talleres anteriores, y obtenidas y validadas las conclusiones a las que se arribó en los
mismos, el área coordinadora del proyecto procede a realizar el análisis global de las mismas obteniendo
la lista definitiva respecto de la información que se quería obtener y desarrollar.
6. En ambos talleres, los facilitadores, pertenecientes al área o áreas que realizan la coordinación del
proyecto, son quienes ordenan la labor del grupo, dan las consignas, aclaran las dudas, orientan el
desarrollo del taller con el fin de que todos los participantes puedan emitir sus opiniones y comentarios,
todo lo cual queda registrado en un acta junto con las conclusiones a las que se arriba. Asimismo, en el
caso de quedar temas pendientes de definición por falta de documentación o por necesidad de mayor
información y análisis, se debe indicar los responsables de las tareas asignadas, los plazos en que deben
cumplimentarse y la fecha de la próxima reunión.

Otras herramientas que pueden utilizarse y complementar el análisis realizado son, por ejemplo:
a) Los inventarios o listados de eventos posibles en el tipo de entidad o industria de que se trate, o en el
proceso o área funcional específica, a partir de datos de referencia del mercado (benchmarking). Estos
listados pueden ser: (i) realizados por personal interno, o (ii) listados generados externamente que
pueden adaptarse a los procesos y actividades de la entidad.
b) Entrevistas para averiguar los puntos de vista y conocimientos del entrevistado en relación al tema bajo
análisis, pudiendo ser realizadas por uno o dos entrevistadores para cada persona entrevistada.
c) Cuestionarios y encuestas, que direccionan una amplia gama de aspectos que los participantes deben
considerar, centrando su reflexión en el tema bajo análisis. Las preguntas pueden ser abiertas o
cerradas, según sea el objetivo de la encuesta. Pueden dirigirse a un individuo, a varios o bien pueden
emplearse en conexión con una encuesta de base más amplia, ya sea dentro de la entidad o que esté
dirigida a ciudadanos, usuarios, clientes, proveedores u otros terceros.
d) Taller de trabajo para la alta dirección, en el que algunas entidades para el establecimiento de objetivos
realizan talleres en que sólo participan los responsables jerárquicos de las diferentes áreas o unidades
de la entidad, y algunos casos, también la MAE. En estos se identificarían eventos que podrían afectar
al logro de los objetivos estratégicos.
e) Identificación continua de eventos posibles en conexión con las actividades diarias propias del negocio.
Como ejemplo de ello puede citarse los distintos medios para obtener información:
- Conferencias sectoriales / técnicas
- Sitios web de entidades afines y campañas publicitarias
- Grupos de presión política
- Congresos sobre gestión de riesgos
- Resultados de benchmarking
- Procesos legales
- Índices externos clave
- Índices internos clave / medidas de riesgo y rendimiento / tableros de control
- Nuevas decisiones legales
- Informes en los medios
- Informes de analistas
- Informes mensuales de la dirección
- Boletines electrónicos y servicios de notificaciones
- Publicaciones sectoriales y profesionales
- Perfil de las llamadas al servicio de usuarios / clientes / ciudadanos
- Información en tiempo real sobre la evolución y comportamiento de los factores externos clave
que influyen en la actividad de la entidad.

ANEXO 35. EJEMPLO DE CUESTIONARIO DE AUTOEVALUACIÓN DE RIESGOS
Proceso de “compra de bienes en moneda extranjera”
1) ¿Existe un manual de políticas y procedimientos que regule por escrito las operaciones de la entidad?
Si Parcialmente No
2) ¿Al dar de alta la cuenta de un proveedor, se realizan los controles fijados por la ley de compras y
contrataciones?
Si Parcialmente No
3) ¿El sistema comprueba automáticamente la disponibilidad de efectivo en la entidad antes de ejecutar

la orden de compra?
Si Parcialmente No
4) ¿El sistema puede bloquear la operación automáticamente?
Si Parcialmente No
5) ¿Tiene información en tiempo real de los tipos de cambio?
Si Parcialmente No
6) ¿Calcula el importe de la operación en moneda local de forma automática?
Si Parcialmente No
7) ¿Existen límites de seguridad en el importe de las operaciones realizadas?
Si Parcialmente No
8) ¿El sistema informático permite realizar un rastreo de las operaciones realizadas?
Si Parcialmente No

ANEXO 36. FACTORES CAUSANTES DE RIESGOS
A) FACTORES EXTERNOS CAUSANTES DE RIESGOS (AMENAZAS):
1. Económicos y financieros:
- Financiación, o falta de fuentes de financiamiento
- Tipos de cambio
- Tasas de interés
- Morosidad
- Iliquidez o falta de disponibilidad de fondos
- Tasa de inflación
- Crisis o ajustes fiscales
- Programas de ajuste económico
- Competencia privada (en caso de existir)
- Acciones de los proveedores, tal como crisis de suministros
- Acciones de los usuarios.
2. Políticos y Legales:
- Modificaciones a las disposiciones legales y normativas o circunstancias presupuestarias que
afectan el erario o Tesoro Público o conduzcan a cambios forzosos en la estrategia y
procedimientos d la entidad
- Cambios en la naturaleza jurídica de la entidad
- Aprobación del Plan Operativo Anual con ajustes o modificaciones respecto del elaborado por la
entidad, en temas de objetivos, metas o recursos asignados
- Normas tributarias
- Leyes ambientales
- Juicios, sanciones, entre otros
- Cambio de gobierno
- Cambio de autoridades
- Inestabilidad en los niveles de dirección y en los servidores públicos o colaboradores.
3. Sociales:
- Cambios en las necesidades y expectativas del ciudadano/usuario
- Decisiones de estilo de vida
- Comportamientos sociales
- Cambio de necesidades o reclamos de la comunidad de ciudadanos / clientes / usuarios /
proveedores / ONG / entre otros
- Movimientos o reclamos sindicales.
4. Tecnológicos:
- Proceso continuado de modernización de la gestión pública
- Utilización de nuevas tecnologías en la implementación de sistemas administrativos o en los
procesos productivos de bienes o servicios
- Sistemas de seguridad de acceso a la información
- Cambios tecnológicos que pueden provocar obsolescencia organizacional
- Tecnologías disponibles.
5. Medioambientales:

- Catástrofes naturales (terremotos, incendios, huracanes, entre otros)

- Contaminación ambiental
- Productos de desechos generados.
6. Operacionales:
- Fraude externo, referido a la realización de actividades no autorizadas, hurtos y otro tipo de
fraudes
- Daños a activos físicos, por acontecimientos adversos a la seguridad pública o daños maliciosos.
B) FACTORES INTERNOS CAUSANTES DE RIESGOS (DEBILIDADES):
1. Reputación:
- Imagen corporativa
- Transparencia
- Rendición permanente de cuentas.
2. Infraestructura:
- Recursos económicos y físicos
- Daño malicioso a bienes
- Magnitud de los recursos financieros-presupuestarios asignados
- Grado de liquidez o convertibilidad de los activos.
3. Personal:
- Clima ético inadecuado
- Falta de sistemas de motivación
- Presión por el cumplimiento de objetivos
- Estructura organizacional adoptada (centralizada, descentralizada, entre otros)
- Métodos para capacitación, actualización y motivación del personal
- Reorganizaciones o reestructuraciones
- Reducciones de personal
- Alta rotación del personal
- Características del personal (mandos superiores y resto del personal): cantidad, calidad, perfil,
competencia profesional, adecuación, compromiso e integridad
- Tasa de retención de empleados
- Prácticas de empleo
- Temas sindicales
- Seguridad e higiene en el trabajo
- Temas de diversidad y discriminación
- Políticas de incremento salarial vinculadas a resultados.
4. Tecnología:
- Complejidad de los sistemas
- Falta o escasez de medios de tecnología informática y comunicación
- Falta de actualización de los sistemas de información tecnológica
- Falta de sistemas adecuados de protección física y lógica de datos (seguridad y acceso a la
información)

- Disponibilidad de sistemas y datos

- Confiabilidad en la tecnología de la información
- Grado de sistematización de las operaciones del proceso
- Sistemas implantados o abandonados
- Incidencias o alteraciones en los sistemas tecnológicos
- Creación o reorganización de los sistemas de información.
5. Procesos:
- Control interno: adecuación, fortaleza, calidad, eficiencia y eficacia
- Falta de concordancia con los objetivos específicos
- Generación de información no confiable o fuera de oportunidad
- Recurrencia de observaciones de la UAI o la auditoría externa, cualquiera sea su origen (estatal o
privada).
6. Operacionales:
- Crecimiento acelerado o expansión de la prestación de bienes y servicios
- Complejidad del proceso, área, programa o proyecto e importancia de los cambios realizados a los
mismos
- Inversión en nuevas líneas de productos o servicios
- Volatilidad
- Cambios en las operaciones
- Dispersión geográfica
- Fraude interno, referido a la seguridad de los sistemas, hurto y otros tipos de fraudes
- Prácticas de negocios inadecuadas
- Divulgación de información confidencial o crítica
- Servicios o productos defectuosos
- Fallas en la ejecución, entrega y gestión de los procesos.
C) GESTIÓN DEL CAMBIO.
“Debe darse especial atención a la valoración de riesgos en periodos de cambio originados en múltiples
motivos, tales como: nuevas disposiciones legales o circunstancias presupuestarias que afectan el erario
o tesoro público, cambios de gobierno por resultados electorales o por crisis políticas que generan
inestabilidad en los niveles de dirección y en general en los servidores públicos, proceso continuado en la
modernización de la gestión pública que conduce a utilizar tecnología de punta en la implantación de
nuevos sistemas administrativos o en los procesos productivos de bienes o servicios, crecimiento o
expansión de la prestación de bienes y servicios de una entidad pública, reestructuraciones y cambios en
la naturaleza jurídica de un ente público y, en general, las crisis económicas y los ajustes fiscales.
En cualquiera de estas circunstancias o de cualquiera otra que provoque cambios, la valoración de los
riesgos debe comprender tanto la identificación de los mismos como su análisis prospectivo y progresista
para poder establecer las medidas necesarias para su gestión durante el periodo de cambio y considerar
o ponderar los costos relacionados con el manejo y control de los riesgos, que se hayan originado en el
cambio, tal como lo prevé la conceptualización COSO.” (DECLARACIÓN TSCNOGECI IV01.01
IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS).

ANEXO 37. BASE DE DATOS DE EVENTOS DE PÉRDIDA
El objetivo de crear y mantener una base de datos histórica de eventos de pérdida es contribuir a reducir
los incidentes y sus montos de pérdidas, así como mejorar la calidad del servicio y de los productos, al
ayudar a la entidad a identificar los acontecimientos reales pasados que generaron un impacto negativo y
a cuantificar las pérdidas asociadas, con el fin de predecir futuros sucesos.
Para la cuantificación del impacto de los riesgos, si bien la información brindada por esta base de datos es
básica para relacionar las estimaciones de riesgo de la entidad a su historial de pérdidas efectivas, para
esta cuantificación no se debe considerar exclusivamente la información aportada por una base de datos
de pérdidas producidas, debido a que los riesgos son fundamentalmente potenciales y no sólo están sobre
la base del conocimiento de lo que sucedió sino también de las previsiones de lo que podría suceder.
También es importante aclarar que las bases de datos de eventos de pérdida tienen limitaciones en cuanto
a que no todas las pérdidas son plenamente cuantificables, tal es el caso de los riesgos que pueden afectar
la imagen institucional y que no necesariamente son conciliables con la información contable, pudiendo
existir eventos que no han sido contabilizados o que se encuentran registrados con una diferente
valuación, por aplicación de distintos sistemas de valuación contables.
La información deberá ser adecuadamente recolectada, clasificada, ordenada, registrada, almacenada y

mantenida, y contar con un rápido acceso para los responsables jerárquicos de las áreas y unidades
autorizados a consultarla.
El proceso de recolección de datos debe ser acompañado de una política que permita fomentar su registro,
promoviendo una cultura organizacional para el reporte de datos y de controles que contribuyan a la
verificación del cumplimiento de los requisitos de consistencia, integridad, seguridad y confidencialidad.
La entidad debe establecer un procedimiento para obtener información homogénea, donde los eventos
deben estar adecuadamente registrados y clasificados por categorías, en función del factor de riesgo
considerado, el proceso y área al que está vinculado, la frecuencia con que se producen y otros datos que
la entidad considere importantes para dotar de uniformidad a la información, asegurar su correcta
identificación y facilitar su relación con los mapas de riesgo.
Las fuentes de información para la recolección de los datos de todas las áreas de la entidad sobre los
eventos producidos y el monto de las pérdidas pueden ser automatizadas o manuales. Entre las fuentes
más comunes a considerar se encuentran: (a) el sistema contable; (b) las áreas jurídicas de la entidad; (c)
el área de atención al usuario/ciudadano/cliente, en especial en cuanto a los reclamos recibidos; (d) la
información del área de coordinación y seguimiento de la gestión de los riesgos; y (e) la información
existente en las restantes áreas y unidades de la entidad.
También pueden existir bases de datos externas, desarrolladas y mantenidas por proveedores de servicios,
las que pueden ser útiles para complementar la información generada internamente; en particular para
eventos posibles con una baja probabilidad de ocurrencia (que es altamente improbable que la empresa
haya experimentado en el pasado) pero con un alto impacto.
Muchas veces la cuantificación del importe total de la pérdida producida por un evento no es fácil calcular,
en razón que debe ser igual al importe necesario para retrotraer la situación de la entidad al momento

previo al acaecimiento del suceso. Por ese motivo, normalmente sólo se consideran para su cálculo el
monto de las pérdidas directas, siendo más difícil calcular los costos de oportunidad y otras pérdidas
derivadas o colaterales al mismo evento.
Por ejemplo, si la pérdida involucra algún activo con valor de mercado conocido, se utilizará este valor,
más los gastos adicionales que correspondan, y netas del recupero que se obtenga (pagos de seguros,
entre otros). Otro caso puede ser el de pérdidas que, por esquemas contables, pueden ser activadas y
luego amortizadas en varios ejercicios. En este caso, no por estar activadas dejan de ser pérdidas, por lo
que igual debe considerárselas.
A continuación, se enuncian los datos mínimos que deben registrarse en la “base de datos de eventos de
pérdida”. La entidad podrá ampliarlos o modificarlos, siempre que la información pueda seguir siendo
correctamente clasificada para su fácil identificación.
1. Identificación, de manera secuencial y unívoca (en orden llegada único).
2. Carácter, ya sea pérdidas ocurridas individuales o repetitivas y su recupero o pérdidas contingentes o

provisionadas contablemente y sus ajustes (deudores morosos, entre otros).
3. Monto / importe.
4. Descripción, es decir factores causantes del riesgo (causas que le dieron origen a la pérdida).
5. Fechas a reportar:
- De alta, descubrimiento o conocimiento, obligatoriamente
- De inicio y finalización, de conocerse
- De recolección, registro contable / imputación, cuando corresponda. En este caso, informar
también la partida contable dónde se imputó.
6. Tipo y subtipo de evento según la clasificación que haya fijado la entidad, por ejemplo,
Administrativo, Compras y Contrataciones, Pago a Proveedores, entre otros.
7. Área / Unidad / Centro de costos afectado, al que se asignó la pérdida, el recupero o donde se haya
detectado la pérdida contingente, según se trate. Si se asignó a un área o unidad distinta de dónde se
generó la pérdida, informar también el área donde se generó.
8. Proceso al que está vinculado.
9. Producto/servicio al que está vinculado.
10. Porcentaje cubierto con pólizas de seguro.
11. Vinculación con otros riesgos, de existir.

ANEXO 38. FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y VALORIZACIÓN DE RIESGOS
Nombre de la entidad: ________________________________________
N.° de formulario Fecha de emisión…/…/……..
Evento de pérdida: Código……………………. Tipo de evento……………………………..
Denominación del evento de pérdida:………………………………………………………………
Descripción del evento de riesgo:…………………………………………………………………..
Proceso involucrado……………………………… Tipo de proceso…………………………….
Tipo de riesgo:……………………………………… Área responsable………………………….
Información5 Ultimo año Promedio últimos Máximo registrado

años6
Total pérdidas directas anuales (L.)
Cantidad de eventos de pérdida registrados

por año
Impacto promedio de cada evento de

pérdida
Cantidad total de operaciones realizadas
Probabilidad de ocurrencia (%)
Importe total de operaciones realizadas (L.)
% involucrado, en importes
Puntaje del riesgo:………………… Porcentaje de cobertura por seguros:………………
5
Aclarar si es información cuantitativa o proviene de evaluaciones cualitativas.
6
Cantidad de años a considerar no debe ser menor a 5 años.

INDICACIONES PARA EL LLENADO DEL FORMULARIO
Datos generales:
- N.° de formulario: número correlativo seguido de un separador y el año al que corresponde, es decir
001-2017
- Fecha de emisión: fecha en la que se llena el formulario siguiendo el formato día/mes/año
1. Evento de pérdida:
1.1. Código del evento: código alfanumérico que indica el proceso de nivel 1 al cual pertenece el evento
de pérdida seguido de un separador (.), la letra “R” para identificar que se trata de un riesgo, seguido
de un separador (.) y el número correlativo que lo identifica, es decir A.R.01
1.2. Tipo de evento (según clasificación): indica si se trata de una pérdida directa o indirecta
1.3. Denominación del evento de pérdida: descripción corta o abreviada del riesgo
1.4. Descripción del evento de riesgo: descripción detallada de la ocurrencia del riesgo
1.5. Proceso involucrado: denominación del proceso en el cual ocurre el riesgo
1.6. Tipo de proceso: indicar si se trata de un proceso operativo, administrativo (soporte o apoyo) o
estratégico
1.7. Tipo de riesgo: indicar si se trata de un riesgo operativo, de información, financiero o estratégico
1.8. Área responsable: indicar el área que es la dueña del proceso
2. Cuantificación del impacto del riesgo (según información de la Base de Datos, datos cualitativos luego
transformados en cuantitativos, o cálculo de impactos potenciales):
2.1. Pérdidas directas anuales: importe total anual, medido en lempiras identificando datos para el último
año, valor máximo registrado y valor promedio de los últimos años
2.2. Cantidad de eventos de pérdida anuales producidos: indicando datos (frecuencia) para el último año,
valor máximo registrado y valor promedio de los últimos años
2.3. Impacto promedio de cada evento de pérdida: indicando datos medidos en lempiras para el último
año, valor máximo registrado y promedio de los últimos años.
Cuando no se disponga de información cuantitativa, se debe indicar que los datos fueron obtenidos a partir
de evaluaciones cualitativas. En cuanto al uso de valores promedio, cada entidad podrá fijar el período
máximo a considerar, el que, en una entidad con un nivel medio de madurez, bajo aplicación de esta
metodología, no debe ser menor a cinco (5) años.
3. Cálculo de la probabilidad de ocurrencia del evento:

3.1. Cantidad total de operaciones realizadas: indicando datos (frecuencia) para el último año, valor
máximo registrado y valor promedio de los últimos años)
3.2. Probabilidad de ocurrencia del evento expresada en porcentajes: calculada para los datos del último
año, datos promedio de los últimos años y valores máximos registrados, según la siguiente fórmula:
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑒𝑣𝑒𝑛𝑡𝑜𝑠 𝑑𝑒 𝑝é𝑟𝑑𝑖𝑑𝑎 𝑟𝑒𝑔𝑖𝑠𝑡𝑟𝑎𝑑𝑜𝑠 𝑝𝑜𝑟 𝑎ñ𝑜

𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑑𝑒 𝑜𝑐𝑢𝑟𝑟𝑒𝑛𝑐𝑖𝑎 = × 100%
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑜𝑝𝑒𝑟𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠
3.3. Importe total de las operaciones realizadas: indicando el monto en lempiras para el último año, valor
máximo registrado y valor promedio de los últimos años

3.4. Porcentaje involucrado (en importes): indicando el porcentaje calculado para los datos del último año,
datos promedio de los últimos años y valores máximos registrados, según la siguiente fórmula:
𝑇𝑜𝑡𝑎𝑙 𝑝é𝑟𝑑𝑖𝑑𝑎𝑠 𝑑𝑖𝑟𝑒𝑐𝑡𝑎𝑠 𝑎𝑛𝑢𝑎𝑙𝑒𝑠 (𝐿. )

% 𝑖𝑛𝑣𝑜𝑙𝑢𝑐𝑟𝑎𝑑𝑜 = × 100%
𝐼𝑚𝑝𝑜𝑟𝑡𝑒 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑜𝑝𝑒𝑟𝑎𝑐𝑖𝑜𝑛𝑒𝑠 𝑟𝑒𝑎𝑙𝑖𝑧𝑎𝑑𝑎𝑠 (𝐿. )
Se debe indicar si la información fue obtenida a partir de datos cuantitativos (estadísticas, entre otros.) o
a partir de una evaluación cualitativa.
4. Valorización del riesgo:
4.1. Puntaje del riesgo (en caso de tratarse de una valoración cualitativa): de acuerdo con la escala
predefinida
4.2. Porcentaje de cobertura por seguros: de acuerdo con lo definido por la entidad.

ANEXO 39. EJEMPLO DE LLENADO DEL FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y VALORIZACIÓN DE RIESGOS
Ejemplo práctico de llenado del formulario anterior

N.° de formulario: 222-2017 Fecha de emisión: 30/12/2017
Código del evento de pérdida: A.R.35………. Tipo de evento: pérdida directa……………..
Denominación del evento de pérdida: pago en más de un cheque a un proveedor (pago por una suma superior a la debida).
Descripción del evento de riesgo: se emitió un cheque por un importe mayor al correspondiente, por falta de control de las notas de crédito recibidas.
Proceso involucrado: compras y pagos……………… Tipo de proceso…administrativo………….
Tipo de riesgo:…financiero……..…………………………… Área responsable…Tesorería…………………….
Información7 Ultimo año Promedio últimos años8 Año máximo registrado
Total de pérdidas directas anuales (L.) L. 300.000 L. 240.000 L. 450.000
Cantidad de eventos de pérdida registrados por año 3 4 3
Impacto promedio de cada evento de pérdida L. 100.000 L. 60.000 L. 150.000
Cantidad total de operaciones realizadas 1.000 1.200 1.500
Probabilidad de ocurrencia (%) 0,3 % 0,333 % 0,2 %
Importe total de operaciones realizadas (L.) L. 110.000.000 L. 95.000.000 L. 115.000.000
% involucrado, en importes 0,272 0,253 0,391
Puntaje del Riesgo: 4 (de conformidad con escala Porcentaje de cobertura por seguros: 40%
predefinida).
7
Aclarar si es información cuantitativa o proviene de evaluaciones cualitativas
8
Cantidad de años a considerarse no debe ser menor a 5 años.

Interpretación del ejemplo práctico
El proceso involucrado es el de “Compras y Pagos”.
En el año 2017 se han emitido 1.000 cheques para pago a proveedores, de los cuales 3 han sido por un
importe superior al que correspondía.
La causa del pago erróneo fue que el área de Tesorería no tomó en cuenta las notas de crédito del
proveedor, que tenía bajo archivo esta área.
En el último año los importes abonados de más en estos cheques fueron: uno por L. 200.000, uno por L.
60.000 y el restante por L. 40.000, por lo que el importe total anual de pérdidas fue de L. 300.000.
La entidad posee un seguro por fallas de la caja que cubre el 40% de los importes pagados de más, hasta
un monto total anual de L. 500.000.

ANEXO 40. MAPA DE RIESGO: REDUCCIÓN DEL RIESGO INHERENTE Y RIESGO RESIDUAL

ANEXO 41. MAPA DE RIESGOS

ANEXO 42. METODOLOGÍAS PARA LA VALORIZACIÓN DE LOS RIESGOS
A. PROCESO DE VALORIZACIÓN DEL RIESGO INHERENTE
Para realizar la valorización del riesgo inherente de una actividad o proceso, deben calcularse su impacto
y la probabilidad de ocurrencia de este.
Cada uno de ellos puede calcularse a partir de datos cualitativos o cuantitativos, de acuerdo con la
información que la entidad posee.
La obtención de datos e información cualitativa se realiza de acuerdo con el conocimiento que posee el
personal más familiarizado con el proceso donde se han identificado los riesgos que se quieren valorar.
Esta información es aportada por los responsables jerárquicos de nivel intermedio, los principales
responsables jerárquicos de las áreas y unidades y los responsables jerárquicos de las áreas
organizativas, a través de la utilización de las técnicas de identificación y evaluación de eventos (ver

ANEXO 33), las que pueden ser combinadas con el uso de métodos cualitativos, como los detallados en el
presente anexo.
En cuanto a la información cuantitativa, en el caso de los datos referidos al impacto, se pueden obtener a
partir de la información existente en la “base de datos de eventos de pérdida” (experiencia histórica).
Con el fin de cuantificar adecuadamente los eventos que hayan generado pérdidas o hayan sido
provisionados contablemente, su valor debe calcularse en función del importe necesario para retrotraer
la situación de la entidad al momento previo al acaecimiento del evento, considerando los siguientes
criterios:
a) Si la pérdida involucra algún activo con valor de mercado conocido, se registrará por este valor más los
gastos adicionales que correspondan.
b) Para pérdidas provisionadas contablemente, el monto de previsión registrada y sus posteriores ajustes.
c) También deben incluirse las erogaciones que se activen contablemente.
Respecto de los datos cuantitativos relacionados con la probabilidad de ocurrencia del evento, se pueden
obtener a partir de la información resultante de la aplicación de métodos cuantitativos como los indicados
en el presente anexo.
B. VALORACIÓN DE RIESGOS / MATRIZ DE RIESGOS
Para valorizar la pérdida esperada (en forma cualitativa o expresándola en lempiras por año) se debe
considerar el impacto (en términos cualitativos o cuantificado en lempiras) para cada caso en que el riesgo
se concrete multiplicado por la probabilidad de ocurrencia (en términos cualitativos o cuantificado en
porcentajes) entendida como las veces probables en que el riesgo inherente se concrete en el año.
La información obtenida se refleja en la “matriz de riesgos”, con el fin de tener una visión global del nivel
de vulnerabilidad de las áreas y procesos y priorizar las respuestas oportunas para aceptar, compartir,
mitigar o evitar los riesgos.

C. MÉTODOS Y TÉCNICAS PARA LA VALORACIÓN DE LOS RIESGOS
C.1. INTRODUCCIÓN
La dirección aplica generalmente técnicas cualitativas cuando los riesgos no se prestan por sí mismos a la
cuantificación o cuando no están disponibles datos suficientemente creíbles para una evaluación
cuantitativa, o la obtención y análisis de ellos no resulte efectivo por su costo.
Las técnicas cuantitativas típicamente aportan más precisión y se usan en actividades más complejas y
sofisticadas, para complementar las técnicas cualitativas.
Al estimar la probabilidad e impacto de posibles eventos, ya sea sobre la base del riesgo inherente o el
residual, se debe aplicar alguna forma de medición.
Se pueden establecer, a modo de ejemplo, cuatro tipos generales de mediciones: nominal, ordinal, de
intervalo y de proporción o ratio. Las dos primeras se consideran técnicas cualitativas y las otras dos
cuantitativas.
A continuación, se presentan las escalas que pueden implementarse para analizar los riesgos.
C.1.1. Análisis cualitativo
Constituye la utilización de escalas descriptivas para demostrar la magnitud de consecuencias potenciales

y su posibilidad de ocurrencia. Estas escalas se pueden modificar o ajustar a las circunstancias de las
necesidades de cada entidad.
Las escalas a utilizar estarán en razón de la evaluación de la probabilidad e impacto de los riesgos. La
evaluación de probabilidad de los riesgos investiga la posibilidad de ocurrencia de cada riesgo específico.
La evaluación del impacto de los riesgos investiga el posible efecto sobre los objetivos, como tiempo, costo,
alcance o calidad.
Para cada riesgo identificado se evalúan los niveles de probabilidad e impacto. Los riesgos pueden ser
evaluados en entrevistas o reuniones con participantes seleccionados por su familiaridad con las
categorías de riesgo y su experiencia en los procesos, áreas y funciones analizados.
En la escala de medida cualitativa de PROBABILIDAD se deberán establecer las categorías a utilizar y la

descripción de cada una de ellas con el fin de que cada persona que aplique la escala mida a través de ella
los mismos ítems. En el caso que resulte difícil establecer diferencias significativas entre categorías de la
escala, se sugiere utilizar como mínimo tres categorías, tal como se presenta a continuación.

Tabla 7
Ejemplo de escala de medida cualitativa de la probabilidad
Categoría Definición Valor
ALTA Es muy frecuente la materialización del riesgo o se presume que llegará a 4-5
PROBABILIDAD materializarse
MEDIANA Es frecuente la materialización del riesgo o se presume que posiblemente se podrá 2-3
PROBABILIDAD materializar
BAJA Es poco frecuente la materialización del riesgo o se presume que no llegará a 1

PROBABILIDAD materializarse
Elaboración: Oficina Nacional de Desarrollo Integral del Control Interno – ONADICI. 2018.
Ese mismo diseño puede aplicarse para la escala de medida cualitativa de IMPACTO, estableciendo las
categorías y la descripción, tal como se muestra en el siguiente ejemplo.
Tabla 8
Ejemplo de escala de medida cualitativa del impacto
Categoría Definición Valor
ALTO IMPACTO Si el hecho llegara a presentarse, tendría alto impacto o efecto sobre la entidad 4-5
MEDIANO Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad 2-3
IMPACTO
BAJO IMPACTO Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad 1
Los equipos de trabajo, en coordinación con el COCOIN, pueden construir sus propias escalas de acuerdo
con la naturaleza de la entidad y a las características de los procesos y procedimientos, de forma que estas
escalas se ajusten al análisis de los riesgos identificados, pero se recomienda utilizar las escalas propuestas
anteriormente.
C.1.2. Análisis cuantitativo
Representa los valores numéricos para la elaboración de tablas de registro de riesgos; la calidad del análisis
depende de la precisión y de cuan completas estén las cifras utilizadas. La forma en la cual la probabilidad
y el impacto son expresadas y las formas por las cuales ellos se combinan para proveer el nivel de riesgo
puede variar de acuerdo al tipo de riesgo. En este tipo de análisis, se recomienda medir el impacto en
unidades monetarias como unidad de medida común cuantificable, no obstante, dependiendo del riesgo
que está siendo evaluado se puede asumir otra unidad de medida que resulte más adecuada.

Tabla 9
Ejemplo de escala cuantitativa de probabilidad
Probabilidad de ocurrencia Nivel Valor
ALTA 4-5
71%- 100%
PROBABILIDAD
MEDIANA 2-3
26%- 70%
PROBABILIDAD
BAJA 1
0% – 25%
PROBABILIDAD
Tabla 10
Ejemplo de escala cuantitativa de impacto
Impacto (en lempiras) Nivel Valor
70.001 en adelante ALTO IMPACTO 4-5
MEDIANO 2-3
25001- 70.000
IMPACTO
0 – 25.000 BAJO IMPACTO 1

Al igual que en el caso de las escalas cualitativas, el diseño de las escalas cuantitativas deberá contar con
la participación de las personas encargadas de los procesos y con el grupo encargado de liderar la
administración de riesgos, en especial al definir el impacto en lempiras.
C.2. TÉCNICAS DE MEDICIÓN
C.2.1. TÉCNICAS CUALITATIVAS
C.2.1.1. NOMINAL: Implica el agrupamiento de eventos por categorías (económica, tecnológica, entre
otros), sin situar a un acontecimiento por encima de otro. Los números asignados en la medición nominal
sólo tienen una función de identificación y los elementos no pueden ser ordenados, clasificados ni
agregados.
C.2.1.2. ORDINAL: Los eventos se describen en orden de importancia (alta, media, baja, o a lo largo de una
escala). La dirección determina cuál elemento es más importante que otro o tiene más probabilidad de
ocurrencia.

Otras formas de clasificación serían, por ejemplo, para la probabilidad de ocurrencia: muy probable,
probable, posible, improbable y muy improbable; y para el impacto relativo: insignificante, leve,
moderado, grave y catastrófico.
Si bien algunas evaluaciones cualitativas de riesgos se establecen en términos subjetivos y otras en

términos objetivos, la calidad de estas evaluaciones depende principalmente del conocimiento y juicio de
las personas implicadas, su comprensión de los eventos posibles y del contenido y dinámica que los rodea.
C.2.2. TÉCNICAS CUANTITATIVAS
C.2.2.1 DE INTERVALO: Utiliza una escala de distancias numéricamente iguales para determinar el impacto
de cada evento de pérdida.
C.2.2.2. POR RATIOS: Una escala de este tipo permite concluir que, si al impacto posible de un evento se
le asigna 3 y al otro se le asigna un 6, el segundo acontecimiento presenta un posible impacto el doble de
importante que el primero.
Las técnicas cuantitativas pueden utilizarse cuando existe información suficiente, válida y precisa para
estimar la probabilidad o el impacto del riesgo, sea esta de fuente interna o externa.
Los métodos cuantitativos incluyen técnicas probabilísticas, no probabilísticas y de benchmarking.
a) Técnicas probabilísticas: Miden la probabilidad y el impacto de un determinado número de

resultados con base en premisas del comportamiento de los eventos en forma de distribución
estadística. Incluyen modelos de riesgo (valor en riesgo o VaR, flujo de caja en riesgo y beneficio en
riesgo), el análisis de distribución de pérdidas y el análisis retrospectivo (back testing).
b) Técnicas no probabilísticas: Se emplean para cuantificar el impacto de un posible evento sobre

hipótesis de distribuciones estadísticas, pero sin asignar una probabilidad de ocurrencia al evento.
De este modo, estas técnicas requieren, por parte de la dirección, la determinación por separado de
esta probabilidad. Algunas técnicas no probabilísticas ampliamente utilizadas son el análisis de
sensibilidad, el análisis de escenarios y las pruebas de carga en situaciones límite (stress testing).
c) Benchmarking: Algunas entidades utilizan estas técnicas para evaluar un riesgo específico en
términos de probabilidad e impacto, en el caso de que la dirección aspire a mejorar sus decisiones
de respuesta al riesgo para reducir la probabilidad o el impacto. La información así obtenida puede
proporcionar a la dirección un conocimiento profundo de la probabilidad e impacto de riesgos, con
base en las experiencias de otras entidades. También se emplea con respecto a actividades de un
proceso de negocio, para intentar identificar oportunidades de mejora de este. Los tipos de
benchmarking incluyen: interno, competitivo/sectorial y líderes del sector.

ANEXOS GUÍA 2 “EVALUACIÓN Y GESTIÓN DE RIESGOS”
ANEXO 43. MAPA DE RIESGOS INCLUYENDO EL NIVEL DE RIESGO ACEPTADO

ANEXO 44. MATRIZ DE RIESGOS
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……………………………………………………(2)
NOMBRE DEL PROCESO NIVEL 1: ……………………………………………………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17)
Proceso Riesgo Evaluación del riesgo inherente Respuesta al riesgo Residual
Subproceso / Objetivo Número de Código Descripción Tipo de Impacto Probabi Valor Respuesta Código de Actividad Responsable Riesgo Ranking
Actividad / actividad del del riesgo riesgo lidad del la actividad de de la actividad residual (Prioridad)
Etapa (según riesgo detectado riesgo de control control de control
flujograma) (flujograma)
PARTICIPANTES DE LA EVALUACIÓN: (18)
Identificación y evaluación de riesgos Análisis actividades de control Propuesta nuevas actividades de Revisión
(18.1) vigentes (18.2) control (18.3): (18.4)
Firma Firma Firma Firma

Nombre y Apellido Nombre y Apellido Nombre y Apellido Nombre y Apellido
Cargo / Función Cargo / Función Cargo / Función Cargo / Función
Fecha (19) Fecha (19) Fecha (19) Fecha (19)

INDICACIONES PARA EL LLENADO
(1) Entidad: indicar el nombre de la entidad

(2) Nombre del proceso: indicar la denominación del proceso de nivel 0, 1 y 2, según corresponda
(3) Subproceso / Actividad / Etapa: indicar según corresponda el subproceso, actividad o etapa del subproceso que se encuentra siendo evaluada en la matriz
(4) Objetivo: indicar el objetivo correspondiente al subproceso, actividad o etapa que se encuentra siendo evaluada en la matriz
(5) Número de actividad (según flujograma): indicar el número de la actividad según el detalle del flujograma o descripción del procedimiento.
(6) Código del riesgo: indica al riesgo relevante identificado mediante el ANEXO 38. FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y VALORIZACIÓN DE
RIESGOS correspondiente al campo “Código del evento de pérdida”
(7) Descripción del riesgo detectado: indica el detalle de la descripción proveniente del ANEXO 38. FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y
VALORIZACIÓN DE RIESGOS correspondiente al campo “Descripción del evento de riesgo”
(8) Tipo de riesgo: indica el tipo de riesgo proveniente del ANEXO 38. FORMULARIO DE IDENTIFICACIÓN DE EVENTOS Y VALORIZACIÓN DE RIESGOS
correspondiente al campo “Tipo de riesgo”
(9) Impacto: indicar el nivel de impacto de acuerdo con la escala de calificación del 1 al 5
(10) Probabilidad: indicar el nivel de probabilidad de acuerdo con la escala de calificación del 1 al 5
(11) Valor del riesgo: indicar el valor del riesgo producto de la probabilidad e impacto
(12) Respuesta: indicar la respuesta a dar a los riesgos (asumirlos, compartirlos, mitigarlos o evitarlos) y, en caso de decidir mitigar, las actividades de control
propuestas
(13) Código de la actividad de control (flujograma): indicar el código de la actividad de control en alfanumérico, usando la letra o letras correspondientes al
proceso seguido de un separador (.), seguido de la letra “C” que indica control, seguido de un separador (.), y seguido del número correlativo que le
corresponda
(14) Actividad de control: descripción de las acciones a llevarse a cabo para mitigar o compartir el riesgo; las actividades existentes se registran en letras de
color negro, mientras que las propuestas en letras de color azul
(15) Responsable de la actividad de control: detalle del servidor público o colaborador que tiene a su cargo la actividad de control
(16) Riesgo residual: indicar el valor del riesgo residual luego de aplicadas las actividades de control existentes; en el caso de las actividades de control
propuestas, éstas no afectan el valor del riesgo residual hasta no haberse implementado
(17) Ranking (Prioridad): calificación del nivel de riesgo residual de acuerdo con la escala prevista; la prioridad se asigna con números del 1 al 3, siendo 1 la más
alta (inmediata, periódica o controlado)
(18) Participantes de la evaluación: nombre, cargo / función y firma
(18.1) En la identificación y evaluación de los riesgos: ítems 1 al 12.
(18.2) En el análisis de la calidad de las actividades de control vigente: ítems 13 al 17.
(18.3) En la propuesta de implementación de nuevas actividades de control: ítems 13 a 17.
(18.4) Revisión final del documento.
(19) Fecha de elaboración de la matriz de riesgos.

ANEXO 45. EJEMPLO DE EVALUACIÓN Y VALORIZACIÓN DE LOS RIESGOS
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……GESTIÓN ESTRATÉGICA………………………………………….……(2)
NOMBRE DEL PROCESO NIVEL 1: ……GESTIÓN DEL PLAN ESTRATÉGICO INSTITUCIONAL………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17)
Proceso Riesgo Evaluación del riesgo inherente Respuesta al riesgo Residual
Subproceso / Objetivo Número de Código Descripción Tipo de Impac Probabili Valor del Respues Código de la Actividad de control Responsable Riesgo Ranking
Actividad / actividad del del riesgo riesgo to dad riesgo ta actividad de de la residual (Prioridad)
Etapa (según riesgo detectado control actividad de
flujograma) (flujograma) control
Formulación y Contar con el PEI Entrada sin GPE.R.1 Que la Operativo, 5 2 10 Mitigar GPE.C.1 El Supervisor de Supervisor de 2
aprobación adecuadamente número: información Cumplimien Planeamiento obtiene la Planeamiento
formulado y Información utilizada como to información necesaria
aprobado. (proveedores input para la para la elaboración del
internos y elaboración del PEI del sistema comercial,
externos) PEI se EEFF auditados, entre
encuentre otros y valida esa
desactualizada información.
o incompleta.
1 GPE.R.2 Que el Operativo 4 1 4 Mitigar GPE.C.2.1 (GPE.C.2.1) Especialista Especialista / 4
consultor GPE.C.2.2 elabora los TDR con el Supervisor de
seleccionado perfil requerido, tanto para Planificación /
como la formación académica y Jefe del Área
facilitador para los conocimientos como de
la elaboración para las experiencias Planeamiento
del PEI no necesarias para ser
cuente con el facilitador en la
perfil y la formulación del PEI, los
experiencia mismos que son revisados
adecuadas por el Supervisor de
para la Planificación antes de su
realización del envío al Jefe de
PEI. Planeamiento.
(GPE.C.2.2) Jefe de
Planeamiento evalúa la
propuesta de TDR y de
facilitador y la aprueba de
considerarla adecuada.
4 GPE.R.3 Que la Operativo 4 1 4 Mitigar GPE.C.3 Jefe de Planeamiento Jefe del Área 3
propuesta de revisa la propuesta de de
metodología y metodología de trabajo y Planeamiento
cronograma de de los talleres, y la
talleres aprueba de considerarla
contengan adecuada.
errores.
…
…

Identificación y evaluación de riesgos Análisis actividades de control Propuesta nuevas actividades de Revisión
(18.1) vigentes (18.2) control (18.3): (18.4)
Firma Firma Firma Firma

Nombre y Apellido Nombre y Apellido Nombre y Apellido Nombre y Apellido
Cargo / Función Cargo / Función Cargo / Función Cargo / Función
Fecha (19) Fecha (19) Fecha (19) Fecha (19)
Ranking: 1-6
bajo
7- 14
medio
15-25
alto

DIAGRAMA DE FLUJO DEL PROCESO QUE ACOMPAÑA A LA MATRIZ DE RIESGOS
PROCESO NIVEL 1: FORMULACIÓN Y APROBACIÓN DEL PEI
Proveedores internos Jefe del Área de

Otras áreas Supervisor de Planificación MAE MAI ENTE RECTOR
y extenos Planeamiento
Inicio
Inform ación de:
ventas, crecimi ento de
clientes, compra s, A
producción, sist em as
de infor ma ción Lineamientos del
sector
GPE.R.2 GPE.C.2.1 GPE.C.8.4
1. Propone 17. Recibe y revisa 20. Recibe y revisa

2. Recibe, revisa y
GPE.R.1 GPE.C.1
participantes y proyecto de PEI proyecto de PEI
evalúa propuesta de
faciltador y eleva a
participantes y
E para su
GPE.C.1.2 facilitador
aprobación B
GPE.C.1.3
GPE.C.1.4
GPE.C.6.2 GPE.C.6.3
Gestión de No
No GPE.C.2.2
Informa ción 18. V°B° a l GPE.C.10
Estadística 3. Aprueba proyecto de PEI
No
Sí 21. Aprueba
A
proyecto de PEI
Sí
4. Apoya dos por el

Sí GPE.C.8.1
19. Eleva el
GPE.R.3 facil itador se definen la proyecto de PEI a la
propuesta de
5. Revisa propuest a de MAI 22. Adoptan
PROCESO DE metodologí a y
metodologí a y
D GESTIÓN DE elabora n cronogra ma acuerdo de que
de tall eres de cronogr am a de tall er es
RIESGOS aprueba el Proyecto Acta de acuerdo de que
formul ación del PE y lo de PEI aprueba el Proyecto de
elev a a E
PEI
GPE.C.3
23.Recibe Proyecto
B No 6. Apr ueba
de PEI aprobado
metodologí a y
cronogr am a de
7. Realiza tall er es de ta lleres Proyecto de PEI
inducción de aprobado
metodologí a a utilizar y GPE.R.7
Sí No 24. ¿Proyecto de
defi ne propuest a de 27. Recibe y revisa
ma pa estra tég ico con PEI procede de Proyecto de PEI
8. Par ticipación en el apoyo del consultor
GPE.R.4 GPE.C.4
ta lleres con a sesor ía de GPE.C.5
modifica ción?
GPE.R.5 facil itador
consult or facili tador en
Modificación Sí
la revisión de visión,
esta blecimiento de del PE
GPE.C.8.2
objetivos (estr atégico , 9. Consol ida los No
generales, específicos), objetivos 25. ¿Modificó
inicia tiva s, posi bles institucional es,
C
GPE.C.4.2 objetivos?
indica dor es inicia tiva s, indica dor es No
y propone los A 28. Conformidad
lineam ient o genera les
14. Recibe y revisa Sí
del PEI
proyecto de PEI
Sí
26. Solicita
conformidad del
12. Plantea n metas 10. Se defi nen los
lineam ient os g enera les
Proyecto de PEI al
concretas respecto de
los objetivos y se pone a
GPE.C.6.1 ENTE RECTOR
estr atégicos con base consi dera ción de los GPE.C.7
No
en las inicia tiva s que par ticipantes
15. V°B° a
den soporte a los 30. Recibe 29. Otorga
objetivos propuestos,
proyecto de PEI
conformidad del conformidad del
de acuerdo a
especial idades 11. Definen gr upos de Proyecto del PEI Proyecto de PE
tra bajo de a cuerdo a GPE.C.5.2
apoy ados por el
consult or facili tador especial idades,
orientada s a los
objetivos 16. Eleva el
empresaria les con el proyecto de PEI a la
apoy o del consult or GPE.C.10
MAE
facil itador
13. Consol idan toda la

inform ación, y
elabora n proyecto de
PEI asesor ado por el 31. Recibe y deriva
consult or facili tador y PE aprobado
elev a a Jefa tura del
GPE.R.6
Ár ea de Pl aneami ento
GPE.C.8.4
32.
Recibe y
archiva
copia
del PE
GPE.C.16
PROCESO NIVEL 0: GESTIÓN DEL PLAN ESTRATÉGICO
35. Analiza la
34. Dispone la
Seguim iento y 33. Difusión del PEI estructura orgánica
revisión de la
control del PE I aprobado vigente y propone
estructura orgánica
cambios para
para cumplimiento
cumplimiento del
del PEI
PEI
GPE.R.9 GPE.C.9 GPE.C.9.2
GPE.R.16
Fin
DIFUS IÓN E N GES TI ÓN DE LA

D E STRUCT URA
T RANSPA RENCI A


ANEXOS GUÍA 3
“ACTIVIDADES DE CONTROL”


ANEXO 46. RELACIÓN GENERAL ENTRE OBJETIVOS DE CONTROL, RIESGOS ASOCIADOS Y ACTIVIDADES DE CONTROL SUGERIDAS
Con el fin de aplicar el esquema del cuadro de referencia para gestionar los riesgos y alcanzar los objetivos previstos, se presenta un
ejemplo práctico, referido al proceso de “planificación y programación operativa anual” (en adelante “planificación”). Este proceso
está diseñado para ser aplicado y evaluado por todas las entidades y por todas las áreas componentes del CII con el fin de lograr cumplir
con los objetivos de la entidad en general y de cada área en particular. Para ello, se ha considerado como antecedente el esquema
propuesto por el informe COSO – ICIF (también conocido como COSO I) en la parte de “manual de referencia: actividades”, el cual ha
sido complementado de acuerdo con la experiencia nacional.
Objetivo de control O/I/C/E Riesgos asociados Actividades de control

1. Desarrollar planes a corto y Operativo Desconocimiento de los • Establecer una planeación que esté de acuerdo
largo plazo acordes con los objetivos globales de la con los objetivos globales de la entidad.
objetivos de la entidad entidad. • Mantener una administración activa
(estratégicos, operativos, de experimentada y competente en las operaciones
información y de de la entidad.
cumplimiento) • Comunicar claramente y socializar los objetivos de
la entidad definidos a todo el personal
involucrado en el proceso de Planificación y
Programación Operativa Anual.
• Comprobar que los objetivos de la entidad son
conocidos, comprendidos y aceptados por los
servidores públicos o colaboradores que trabajan
en la entidad.
• Adoptar un sistema participativo de planificación
(TSC-NOGECI IV-02 Planificación).
• Diseñar y desarrollar los Planes teniendo como
base la misión, visión, valores, objetivos, metas, y
políticas de la entidad (TSC-NOGECI IV-02
Planificación).
ONADICI 273

Información • Asistir a seminarios y demás actividades de
insuficiente sobre formación profesional.
oportunidades • En los casos que corresponda, hacerse miembro
disponibles. de asociaciones relacionadas con el sector en que
la entidad desempeña sus funciones, a fin de
conocer y compartir las mejores prácticas
referidas al proceso de planificación.
• Retener a los directivos experimentados y
competentes.
2. Desarrollar planes en un Operativo Sistemas de • Establecer sistemas de información uniformes
formato que permita a la MAE información que presenten los registros relativos al proceso de
gestionar la entidad, y medir y inadecuados para la planificación en el mismo formato que se utiliza
evaluar del plan en forma MAE y la alta gerencia. para el sistema contable.
oportuna.
Ineficacia de los • Supervisar y evaluar la eficacia y eficiencia del
formatos del sistema de proceso de planificación.
planificación para • Mejorar los formularios y documentación de
proporcionar las soporte que utiliza el área de planificación.
referencias necesarias • Emitir reportes a la MAE y la alta gerencia sólo en
con las que se puedan los casos previstos por la normativa y en
medir los resultados. situaciones de excepción.
• Resaltar en los reportes la evolución de los
indicadores mensurables de desempeño.
3. Desarrollar planes utilizando Operativo Sistemas de • Establecer los objetivos de la entidad en forma
un enfoque adecuado. planificación y previa al desarrollo de los planes concretos.
programación anual • Al asignar los recursos establecer un orden de
operativa inadecuados y prioridades acordes con los objetivos de la
obsoletos. entidad y la valorización de los riesgos.
• Desarrollar y mantener actualizados los sistemas
de planificación y programación operativa anual.
• Comunicar y socializar a todas las áreas
pertinentes estos sistemas y sus facilidades de
utilización.


• Llevar a cabo cursos de formación cuando se
produzcan modificaciones o mejoras al sistema o
se incorpore nuevo personal al diseño, desarrollo
y mantenimiento del proceso de planificación y
programación operativa anual.
• Recopilar información para los planes de acuerdo
con el enfoque utilizado para gestionar la entidad
(TSC-PRECI-01 Planeación).
• Desarrollar y controlar el cumplimiento del
calendario fijado por la entidad para reunir,
analizar y consolidar la información obtenida del
proceso de planificación.
4. Desarrollar planes que sean Operativo Información e hipótesis • Revisar y probar los fundamentos y la validez de
realistas. incorrectas. las hipótesis.
• Considerar todas las actividades de apoyo
operativo cuando se desarrollen los planes.
• Hacer que el personal adecuado participe en el
desarrollo de los planes.
• Elaborar los planes tomando en consideración el
tamaño de la entidad, la naturaleza y complejidad
de sus servicios, productos y procesos, la
magnitud de sus operaciones, su estructura
organizacional y las atribuciones y
responsabilidades establecidas en las leyes y
reglamentos que en cada caso sean aplicables.
• Identificar y evaluar las capacidades,
requerimientos y recursos necesarios para el
diseño, desarrollo y cumplimiento del plan,
considerando el nivel de priorización de las
operaciones en función de los objetivos fijados y
los riesgos mitigados.
• Revisar periódicamente los objetivos de los planes
e introducirles las modificaciones requeridas para


que continúen siendo guías claras para la
conducción de la entidad hacia su misión principal
y proporcionen un sustento oportuno al control
interno institucional (TSC-NOGECI IV-05 Revisión
de los objetivos).
• Desarrollar y gestionar procedimientos y sistemas
de información y gestión capaces de captar,
procesar y reportar oportunamente información
sobre los cambios registrados o inminentes en el
ambiente interno y externo, y los hechos, eventos,
actividades y condiciones que generan cambios y
que pueden afectar la posibilidad de alcanzar los
objetivos de la entidad en las condiciones
deseadas.
• Capacitar al personal en la utilización eficiente de
los sistemas de información y gestión.

ANEXO 47. RELACIÓN ESPECÍFICA ENTRE OBJETIVOS DEL PROCESO, RIESGOS IDENTIFICADOS Y ACTIVIDADES DE CONTROL EXISTENTES Y
SUGERIDAS (TOMADO DEL ANEXO 13 DE LA GUÍA 2 EVALUACIÓN DE RIESGOS)
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……GESTIÓN ESTRATÉGICA………………………………………….……(2)
NOMBRE DEL PROCESO NIVEL 1: ……GESTIÓN DEL PLAN ESTRATÉGICO INSTITUCIONAL………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (12) (13) (14) (15)
Proceso Riesgo Respuesta al riesgo
Subproceso / Objetivo Número de Código Descripción del riesgo detectado Tipo de Respuesta Código de la Actividad de control Responsable de
Actividad / actividad (según del riesgo actividad de la actividad de
Etapa flujograma) riesgo control control
(flujograma)
Formulación y Contar con el PEI Información GPE.R.1 Que la información utilizada como Operativo, Mitigar GPE.C.1 Supervisor de planeamiento obtiene la información Supervisor de
aprobación adecuadamente (proveedores input para la elaboración del PEI se Cumplimiento necesaria para la elaboración del PEI del sistema Planeamiento
formulado y internos y externos) encuentre desactualizada o comercial, EEFF auditados, entre otros y valida esa
aprobado. incompleta. información.
1 GPE.R.2 Que el consultor seleccionado como Operativo Mitigar GPE.C.2.1 (GPE.C.2.1) Especialista elabora los TDR con el Especialista /
facilitador para la elaboración del PEI GPE.C.2.2 perfil requerido, tanto para la formación académica supervisor de
no cuente con el perfil y la experiencia y los conocimientos como para las experiencias planeamiento /
adecuadas para la realización del necesarias para ser facilitador en la formulación del jefe del área de
PEI. PEI, los mismos que son revisados por el supervisor planeamiento
de planeamiento antes de su envío al jefe de
planeamiento.
(GPE.C.2.2) Jefe de planeamiento evalúa la
propuesta de TDR y de facilitador y la aprueba de
considerarla adecuada.
4 GPE.R.3 Que la propuesta de metodología y Operativo Mitigar GPE.C.3 Jefe de Planeamiento revisa la propuesta de Jefe del área de
cronograma de talleres contengan metodología de trabajo y de los talleres, y la aprueba planeamiento
errores. de considerarla adecuada.
…
…
Las actividades de control

consignadas con el color de
fuente azul corresponden a
actividades de control
propuestas

DIAGRAMA DE FLUJO DEL PROCESO QUE ACOMPAÑA A LA MATRIZ DE RIESGOS
PROCESO NIVEL 1: FORMULACIÓN Y APROBACIÓN DEL PEI
Proveedores internos Jefe del Área de

Otras áreas Supervisor de Planificación MAE MAI ENTE RECTOR
y extenos Planeamiento
Inicio
Inform ación de:
ventas, crecimi ento de
clientes, compra s, A
producción, sist em as
de infor ma ción Lineamientos del
sector
GPE.R.2 GPE.C.2.1 GPE.C.8.4
1. Propone 17. Recibe y revisa 20. Recibe y revisa

2. Recibe, revisa y
GPE.R.1 GPE.C.1
participantes y proyecto de PEI proyecto de PEI
evalúa propuesta de
faciltador y eleva a
participantes y
E para su
GPE.C.1.2 facilitador
aprobación B
GPE.C.1.3
GPE.C.1.4
GPE.C.6.2 GPE.C.6.3
Gestión de No
No GPE.C.2.2
Informa ción 18. V°B° a l GPE.C.10
Estadística 3. Aprueba proyecto de PEI
No
Sí 21. Aprueba
A
proyecto de PEI
Sí
4. Apoya dos por el

Sí GPE.C.8.1
19. Eleva el
GPE.R.3 facil itador se definen la proyecto de PEI a la
propuesta de
5. Revisa propuest a de MAI 22. Adoptan
PROCESO DE metodologí a y
metodologí a y
D GESTIÓN DE elabora n cronogra ma acuerdo de que
de tall eres de cronogr am a de tall er es
RIESGOS aprueba el Proyecto Acta de acuerdo de que
formul ación del PE y lo de PEI aprueba el Proyecto de
elev a a E
PEI
GPE.C.3
23.Recibe Proyecto
B No 6. Apr ueba
de PEI aprobado
metodologí a y
cronogr am a de
7. Realiza tall er es de ta lleres Proyecto de PEI
inducción de aprobado
metodologí a a utilizar y GPE.R.7
Sí No 24. ¿Proyecto de
defi ne propuest a de 27. Recibe y revisa
ma pa estra tég ico con PEI procede de Proyecto de PEI
8. Par ticipación en el apoyo del consultor
GPE.R.4 GPE.C.4
ta lleres con a sesor ía de GPE.C.5
modifica ción?
GPE.R.5 facil itador
consult or facili tador en
Modificación Sí
la revisión de visión,
esta blecimiento de del PE
GPE.C.8.2
objetivos (estr atégico , 9. Consol ida los No
generales, específicos), objetivos 25. ¿Modificó
inicia tiva s, posi bles institucional es,
C
GPE.C.4.2 objetivos?
indica dor es inicia tiva s, indica dor es No
y propone los A 28. Conformidad
lineam ient o genera les
14. Recibe y revisa Sí
del PEI
proyecto de PEI
Sí
26. Solicita
conformidad del
12. Plantea n metas 10. Se defi nen los
lineam ient os g enera les
Proyecto de PEI al
concretas respecto de
los objetivos y se pone a
GPE.C.6.1 ENTE RECTOR
estr atégicos con base consi dera ción de los GPE.C.7
No
en las inicia tiva s que par ticipantes
15. V°B° a
den soporte a los 30. Recibe 29. Otorga
objetivos propuestos,
proyecto de PEI
conformidad del conformidad del
de acuerdo a
especial idades 11. Definen gr upos de Proyecto del PEI Proyecto de PE
tra bajo de a cuerdo a GPE.C.5.2
apoy ados por el
consult or facili tador especial idades,
orientada s a los
objetivos 16. Eleva el
empresaria les con el proyecto de PEI a la
apoy o del consult or GPE.C.10
MAE
facil itador
13. Consol idan toda la

inform ación, y
elabora n proyecto de
PEI asesor ado por el 31. Recibe y deriva
consult or facili tador y PE aprobado
elev a a Jefa tura del
GPE.R.6
Ár ea de Pl aneami ento
GPE.C.8.4
32.
Recibe y
archiva
copia
del PE
GPE.C.16
PROCESO NIVEL 0: GESTIÓN DEL PLAN ESTRATÉGICO
35. Analiza la
34. Dispone la
Seguim iento y 33. Difusión del PEI estructura orgánica
revisión de la
control del PE I aprobado vigente y propone
estructura orgánica
cambios para
para cumplimiento
cumplimiento del
del PEI
PEI
GPE.R.9 GPE.C.9 GPE.C.9.2
GPE.R.16
Fin
DIFUS IÓN E N GES TI ÓN DE LA

D E STRUCT URA
T RANSPA RENCI A

Símbolos utilizados:
Riesgo identificado
Actividad de control identificada
Actividad de control propuesta

ANEXO 48. MATRIZ DE SEGREGACIÓN DE FUNCIONES
NOMBRE DEL PROCESO
Nivel 0 Colocar la denominación del proceso de nivel 0 o macroproceso
Nivel 1 Colocar la denominación del proceso de nivel 1 o proceso
Nivel 2 Colocar la denominación del proceso de nivel 2 o subproceso
Principales
Autorización Procesamiento Aseguramiento Aprobación Control Registro Custodia Archivo
actividades
Colocar el
nombre de
Puesto 1 Puesto 2 Puesto 3 Puesto 4 Puesto 5 Puesto 6 Puesto 7 Puesto 8
la actividad
del proceso
ONADICI 280
ANEXO 49. ESTRUCTURA SUGERIDA PARA PROCEDIMIENTOS DOCUMENTADOS

ANEXO 50. CONTROLES SOBRE SISTEMAS ADMINISTRATIVOS Y OPERATIVOS
1. CONTROL INTEGRADO Y AUTOMATIZACIÓN DE CONTROLES
Esta integración se debe realizar considerando que las actividades de control forman parte indisoluble de
una transacción, a fin de que la misma sea realizada en la forma correcta y con la calidad que se requiere.
De esta forma, al diseñar un proceso, un procedimiento o una actividad, esta debe incluir las actividades
de control tanto previas como concurrentes o posteriores.
Todos los controles deben ser integrados a los diferentes procesos o transacciones, pudiendo, por lo tanto,
incluirse las diferentes clases de actividades de control: preventivas (ejemplo: la autorización previa),
concurrente (por ej. la utilización de un dispositivo de control o seguridad), o posterior (por ej. la
conciliación periódica de los registros).
Como ejemplo, el art. 4 de la Ley Orgánica del Presupuesto (Decreto n.° 832004), hace claras referencias
a la integración de mecanismos y elementos de control interno en los subsistemas de administración
financiera del sector público tales como presupuesto, crédito público, tesorería y contabilidad
gubernamental.
En cuanto a la automatización de los controles, a través de su inclusión en los sistemas aplicativos de

tecnología informática, es altamente recomendado que los responsables de las diferentes áreas y
unidades de la entidad impulsen esta práctica, para (i) reducir la posibilidad de ocurrencia de errores
humanos debidos a la fatiga de la realización de tareas y controles manuales, y (ii) mejorar los tiempos de
los procedimientos y las transacciones.
El Art. 118, numeral 2) del Decreto n.° 832004 mencionado anteriormente, indica que “además de las
normas generales que al respecto emita el TSC, el Órgano Rector seguirá los principios básicos siguientes:
Las verificaciones y controles de naturaleza numérica y de carácter repetitivo se incorporarán a los sistemas
automatizados de gestión financiera…”.
2. ANÁLISIS DE COSTO/BENEFICIO
La relación entre el costo o inversión que existe por el diseño, implementación, aplicación y
mantenimiento en el tiempo de una actividad de control (procesos y recursos – personal, tecnología e
infraestructura-), debe compararse con las contribuciones o ahorros a obtener en función de su aplicación
(conveniencia, eficacia, eficiencia y economía). Dentro de este análisis, deben tomarse en cuenta, además,
los riesgos adicionales evidentes o no que pueden derivarse de la aplicación de cada actividad de control.
La evaluación de los costos incluye la inversión inicial en el diseño e implementación de una actividad de
control, y el costo de aplicar y mantener una medida de control en forma continua y con el mismo nivel
de calidad a lo largo del tiempo, así como la viabilidad de su implementación y aplicación en función de la
disponibilidad de los recursos y de personal capacitado y del grado de automatización de los procesos y
supervisión.
Estos costos y beneficios pueden medirse en forma cualitativa o cuantitativa, empleando normalmente
una unidad de medida coherente con la utilizada para establecer los riesgos a controlar y las tolerancias al
riesgo definidas. En el caso de las nuevas actividades de control propuestas, especialmente aquellas que
eroguen recursos financieros significativos, como por ejemplo la contratación de personal adicional o la

inversión en algún aplicativo informático, se deberá considerar la metodología correspondiente a la

evaluación de costo/beneficio para alternativas de inversión en la formulación de proyectos. Es decir, se
debe cuantificar los beneficios y los costos, tanto directos como indirectos, en términos monetarios o
sociales para su correspondiente comparación y determinación de la viabilidad y conveniencia.
Entre los ítems a evaluar, deben considerarse si se poseen los recursos suficientes para llevar a cabo en
forma satisfactoria las medidas de control propuestas.
3. RESPONSABILIDAD DELIMITADA
Las misiones, funciones, roles, responsabilidades, facultades (administrativas u operativas) y niveles de

autorización correspondientes deben estar claramente definidas por escrito, a efecto de acotar
claramente las mismas y así evitar posible duplicidad, omisión o dilución.
La asignación de la responsabilidad y de la autoridad necesaria para decidir y accionar debe estar definida
en forma clara en la descripción de puestos en manuales o compendios, o por medio de instrucciones
impartidas por escrito y en términos claros y específicos. Esos manuales de puestos, funciones,
competencias u otros deben estar a disposición de todo el personal para que puedan utilizarlos como
referencia y capacitación.
4. INSTRUCCIONES POR ESCRITO
Las instrucciones por escrito deben emitirse de forma clara, fácilmente comprensible y concisa, indicando,
como mínimo, la orden explicita que se da, las tareas involucradas, las responsabilidades asignadas y la
periodicidad de su realización.
Estas instrucciones deben mantenerse en un manual o compendio de operaciones ordenado, actualizado

periódicamente y de fácil acceso para su consulta, que sea divulgado a toda la entidad y de conocimiento
general (impreso o disponible en medios electrónicos).
Las órdenes e instrucciones más específicas y relacionadas con asuntos particulares deben emitirse
mediante nota o memorando dirigido a los responsables jerárquicos de las áreas y unidades
comprometidos con su cumplimiento, exigiendo el compromiso y el acuse de recibo correspondiente.
5. SEPARACIÓN DE FUNCIONES INCOMPATIBLES
Las diversas fases que integran un proceso, transacción u operación, como ser: autorización, generación,
ejecución o recaudación, aprobación, administración, registro (contable u operativo), pago y revisión de
las transacciones y hechos, así como las de custodia de recursos, deben distribuirse adecuadamente, con
base en su grado de incompatibilidad, entre los diversos responsables jerárquicos, servidores públicos y
colaboradores de las áreas y unidades de la entidad, procurando un control cruzado entre quienes las
desempeñan, reduciendo de esta forma la posibilidad de un conflicto de intereses.
Ante las limitaciones de recursos que tengan las entidades, “…deberán efectuarse las separaciones
referidas hasta donde sea posible sin elevar el costo del control más allá de límites razonables, y suplir las
eventuales deficiencias mediante la aplicación de medidas alternas, como puede ser una supervisión más
estrecha, el requerimiento de informes más frecuentes, la ejecución de arqueos en lapsos menores,
etcétera.” (TSC-NOGECI V-06).

6. AUTORIZACIÓN PREVIA O APROBACIÓN DE TRANSACCIONES Y OPERACIONES
La ejecución de los procesos, operaciones y transacciones organizacionales debe contar con la autorización
previa o aprobación concurrente o posterior de parte de los responsables jerárquicos de las áreas y
unidades con potestad y competencia para concederla. Estas deben estar debidamente documentadas y
comunicadas a los responsables de su ejecución.
Los resultados de la gestión deben someterse al conocimiento de niveles jerárquicos superiores, que, por
su capacidad técnica y designación formal, cuenten con autoridad para otorgar la aprobación
correspondiente, así como evaluar los resultados del desempeño para proceder conceder o no la
aprobación o validación posterior o emprender medidas destinadas a corregir cualquier producto
insatisfactorio.
Se promueve y alienta a que las aprobaciones puedan ser concurrentes e integradas al proceso de
ejecución de la gestión, a fin de validar las transacciones antes de concluir el proceso.
“…las autorizaciones previas solo deben establecerse en puntos estrictamente claves de los procesos, por
aspectos en que la responsabilidad efectiva de su ejecución recae en quien se le otorga la atribución de
autorizarlos, a efecto que, en ningún caso, la aplicación de estos controles signifique una evasión del
ejercicio o aplicación de los auto controles o, lo que es más grave, en una dilución de la responsabilidad del
funcionario ejecutor de las operaciones.” (TSC-NOGECI V-07)
Entre las transacciones y documentaciones que deben ser autorizadas o aprobadas, pueden enunciarse
las siguientes: (a) emisión de órdenes de pago, (b) emisión de cheques o realización de pagos en efectivo,
(c) emisión de órdenes de compra, (d) registros; (e) movimientos de bienes, entre otros.
7. DOCUMENTACIÓN DE PROCESOS Y TRANSACCIONES
La estructura del sistema de control interno de la entidad, las actividades de control vigentes para los
diferentes procesos y actividades de la entidad, así como todas las transacciones y hechos significativos
que se produzcan como resultado de la gestión, deben tener la documentación de soporte adecuada,
como mínimo en cuanto a los objetivos, estructura y procedimientos de control, la descripción de los
hechos sucedidos, el efecto o impacto sobre el control interno y los objetivos institucionales, las medidas
tomadas para su corrección y los responsables en cada caso.
La documentación debe tener un propósito claro y ser apropiada para alcanzar los objetivos de la
organización, y ser la necesaria y suficiente para respaldar la operación realizada o la decisión tomada, de
forma tal que un tercero independiente que no participó en el proceso pueda llegar a las mismas
conclusiones y decisiones a las que arribó quien participó en la gestión, sin aclaraciones adicionales de
este último.
La documentación debe tener un adecuado archivo, mantenimiento, conservación y custodia, a fin de

estar disponible y accesible para posibilitar su seguimiento a través del análisis y control de las operaciones
y la verificación por parte del personal apropiado, los directivos, los auditores o los fiscalizadores.
Los objetivos de la entidad deben quedar documentados en sus planes estratégicos y operativos.

Las actividades de control deben figurar en la normativa interna vigente (manuales de puestos, manuales
de funciones, manuales de procedimientos; circulares; disposiciones; acuerdos que consten en actas y se
comuniquen a quien corresponda, entre otros).
Las transacciones y hechos significativos deben figurar en la documentación fuente y en los comprobantes
de tales transacciones y operaciones.
El artículo 125 de la Ley Orgánica del Presupuesto, indica que “Las operaciones que se registren en el
Sistema de Administración Financiera del Sector Público deberán tener su soporte en los documentos que
le dieron origen, los cuales serán custodiados adecuadamente…”.
8. SUPERVISIÓN CONSTANTE
La MAE y los responsables jerárquicos de las áreas y unidades de la entidad deben ejercer una supervisión
posterior y constante sobre el desarrollo de los procesos, transacciones y operaciones de la entidad, así
como del personal que las realiza, sin obstruir el proceso operativo, y para asegurar que las labores se
propongan y realicen según lo planeado y de conformidad con la normativa y las disposiciones internas y
externas vigentes, teniendo el cuidado de no diluir la responsabilidad.
La supervisión incluye comunicar a los servidores públicos o colaboradores las observaciones y

recomendaciones pertinentes para mejorar la gestión, aplicar la autoridad precisa para que las propuestas
de mejora se implanten con eficiencia y puntualidad, y generar en el personal la motivación requerida para
que colabore en la ejecución eficaz de los planes.
9. CLASIFICACIÓN Y REGISTRO OPORTUNO
Los datos sobre transacciones y hechos importantes que afectan la toma de decisiones y acciones sobre
cualquier etapa de los procesos, operaciones y transacciones deben clasificarse y registrarse en forma
inmediata, adecuada y debida, para garantizar que oportuna y continuamente se produzca y transmita a
la máxima autoridad ejecutiva, a los responsables jerárquicos de las áreas y unidades de la entidad y a las
gerencias informes y estados financieros confiables, inteligibles, útiles y relevantes para el control de
operaciones y para la adecuada toma de decisiones.
Con ese fin, debe establecerse la organización y efectuarse el procesamiento necesario para registrar
oportunamente la información generada durante la gestión organizacional y para elaborar los reportes
operativos, presupuestarios y administrativo-contables que se requieran. A tal efecto deber tenerse en
cuenta que el registro de los hechos y transacciones realizados por la entidad pueden ser afectados, entre
otros, por los siguientes riesgos:
• Falta de control sobre la existencia de los hechos o bienes registrados (identificación), o de la propiedad
de los bienes registrados por la entidad
• Falta de integridad de los registros (incompletos)
• Hechos o transacciones no valuadas según las normas y principios contables
• Incumplimiento de leyes y regulaciones sobre hechos y bienes registrados
• Clasificación inadecuada de los hechos o transacciones
• Registros inexactos, incorrectos o inadecuados
• Falta de registración, aplicación o proceso oportuno de los hechos y transacciones
• Falta de autorización o aprobación de las transacciones realizadas y registradas
• Falta de documentación de soporte suficiente y necesaria.

10. SISTEMA CONTABLE Y PRESUPUESTARIO
El sistema de presupuesto regula la elaboración, formulación, presentación, aprobación, ejecución,

seguimiento, evaluación, liquidación y rendición de cuentas de este y está sustentado en planes de
desarrollo, programas financieros, programas operativos anuales y demás instrumentos interrelacionados
de administración financiera que prevean las disposiciones legales.
El sistema de contabilidad gubernamental debe estar basado en los principios de contabilidad

generalmente aceptados y las normas internacionales de contabilidad adoptadas y adaptadas o aplicables
al sector público hondureño, que integre las operaciones financieras, presupuestarias y patrimoniales, y
que registre sistemáticamente todas las transacciones que produzcan y afecten la situación económica,
financiera y patrimonial de las entidades públicas, a efectos de producir los informes contables y
financieros de la gestión pública.
Ambos sistemas de forma integral resultan herramientas útiles como fuente de información para la toma
de decisiones, la transparencia y como componentes de la rendición de cuentas.
11. ACCESO A LOS ACTIVOS Y REGISTROS
El acceso a los recursos, activos, registros de información y comprobantes de la entidad debe estar
claramente definido, delimitado, restringido y protegido por mecanismos de seguridad, de modo que sólo
lo obtengan los responsables jerárquicos de las áreas y unidades autorizados en razón de su cargo y de las
responsabilidades y funciones correspondientes, quienes estarán obligados a rendir cuentas por su
custodia y utilización. Por ejemplo, dentro de este punto se incluye la determinación clara de las facultades
para la corrección y aplicación de ajustes contables.
Este tema es particularmente importante en relación con archivos muy sensibles en virtud de su facilidad
de sustracción o eventual abuso o uso inadecuado; como en los casos del efectivo y de la información
confidencial o sensible o bien que no pueda considerarse de carácter público según la legislación vigente.
Es preciso contemplar el efecto de los sistemas informáticos sobre el acceso a los recursos,
particularmente en cuanto a las aplicaciones que se utilizan para conceder autorizaciones y aprobaciones,
siendo necesario implementar herramientas de seguridad informática, tales como las claves y los niveles
de accesos pertinentes, así como los controles de uso como bitácoras y pistas de auditoría, que permitan
seguir el rastro en el uso de las facilidades de cómputo e informática para conocer lo actuado por los
responsables jerárquicos de las áreas y unidades con acceso a los sistemas y para determinar su
procedencia y legitimidad.
Como riesgos a considerar en el acceso a archivos y registros, se enuncian los siguientes:
• Falta de restricciones de acceso a recursos, activos físicos, medios de pago o registros contables u
operativos
• Falta de control de los sistemas de información, comunicación y, en general de tecnología informática
• Problemas de seguridad física.
12. REVISIONES DE CONTROL
Las transacciones, procesos y operaciones de la entidad deben ser sometidos a revisiones de control
concurrentes en puntos específicos de su procesamiento, identificados por la administración, y que

permitan asegurar el avance correcto y legítimo de las actividades organizacionales, así como detectar y
corregir oportunamente cualquier desviación con respecto a lo planeado (conciliación de anotaciones,
verificación de datos, revisión de resultados intermedios).
La intervención de diferentes responsables jerárquicos de áreas y unidades en etapas secuenciales de las

operaciones y de los procesos, permite un control cruzado intermedio que procura un resultado de mayor
calidad.
La aplicación de estos controles no elimina la necesidad de la autorización para el inicio de las

transacciones, la aprobación final de los resultados, ni la eventual verificación posterior por la
administración o la auditoría interna; pero debe tenerse cuidado en que esta aplicación no derive en una
dilución de la responsabilidad de los servidores públicos o colaboradores que ejecutan las operaciones.
13. CONCILIACIÓN PERIÓDICA DE REGISTROS
En las conciliaciones, por ejemplo, las bancarias proceden así:
i. Entre los registros y los documentos fuente de las anotaciones respectivas, y

ii. Entre los registros de un departamento contra los registros generales de la entidad, para la
información financiera, administrativa, operativa y estratégica propia de la gestión institucional.
Estos procesos pueden ser manuales o automatizados electrónicamente y relacionar de manera biunívoca,
múltiple o interna los elementos a conciliar.
La falta de conciliaciones periódicas de los registros y de revisión, son los eventos de riesgo más
importantes referidos en este punto.
Las conciliaciones deben ser realizadas por personal con funciones compatibles que no pertenezcan al
mismo departamento (ejemplo; una conciliación de almacenes no debe ser realizada por quien custodia
los bienes) y, además, deben ser aprobadas por personal jerárquico competente.
14. INVENTARIOS PERIÓDICOS
A fin de satisfacer la necesidad de la entidad de contar con adecuada información financiera,

administrativa u operativa para la toma de decisiones, la exactitud, confiabilidad y actualización oportuna
de los registros sobre activos y disponibilidades de la entidad deberá ser comprobada periódicamente
mediante la verificación y el recuento físico de las cantidades y características de esos activos u otros como
la información institucional clave. La frecuencia de la comparación depende del nivel de vulnerabilidad o
valor del activo.
Todo activo valioso y movible (efectivo, títulos valores, mobiliario y equipo, vehículos, suministros
almacenados; así como la información y el conocimiento clave para la entidad) debe ser asignado a un
responsable por su mantenimiento, conservación y custodia, contando con adecuada protección, a través
de seguros, sistemas de alarma, accesos restringidos.
En la determinación del nivel de seguridad pretendido deberán ponderarse los riesgos emergentes
(omisión de anotaciones, contabilización o custodia erróneas, robo, despilfarro, mal uso, destrucción,
entre otros) y los costos (en tiempo y dinero) a incurrir en los mecanismos de protección.

Efectuado el recuento o inventario, y en caso de detectarse eventuales discrep

ANEXOS GUÍA 5
“SUPERVISIÓN Y MONITOREO”
ONADICI 299

ANEXO 53. INSTRUCTIVO PARA AUTOEVALUAR EL CONTROL INTERNO INSTITUCIONAL
TALLER DE AUTOEVALUACIÓN DEL CONTROL INTERNO INSTITUCIONAL
A. INTRODUCCIÓN
En los últimos años se ha definido, difundido y aplicado en varios países los nuevos conceptos de control
interno con el propósito de unificar criterios y presentarlos en términos sencillos y de fácil comprensión y
aplicación para el personal interdisciplinario que realiza las operaciones, los usuarios de los servicios
públicos y terceros interesados en las actividades de las entidades (organizaciones de la sociedad civil e
instituciones de control, evaluación, auditoría y seguimiento).
Por otra parte, el Marco Rector del Control Interno del Sector Público en la República de Honduras (MRCI-
SP) incorpora las Normas Generales de Control Interno (NOGECI) y sistematiza el diseño mediante la
definición de cinco componentes y cuarenta y ocho elementos claves del control interno. Asimismo,
incorpora nuevos enfoques para la evaluación y los controles formales fijados en disposiciones normativas
y establece la aceptación generalizada e incluso obligatoria para autoevaluar el control interno. Las
condiciones señaladas abren oportunidades para su desarrollo y conocimiento amplio, el diseño y la
utilización global como una herramienta dirigida a fortalecer las actividades ejecutadas por las entidades
y promover la participación activa del personal ejecutor en los procesos de actualización o rediseño,
difusión e implementación, así como su posterior evaluación y mejora continua.
El taller de autoevaluación del control interno institucional es una herramienta que promueve la
participación de una muestra representativa del personal de la entidad o unidad y corresponde a todos
los niveles de la organización o de la unidad o programa a evaluar respecto al conocimiento y aplicación
por el personal ejecutor sobre al diseño, aplicación y funcionamiento en las operaciones, llegando a
identificarlo, analizarlo, comentarlo, calificarlo y aportar recomendaciones útiles y factibles para su mejora
y fortalecimiento. El taller de autoevaluación no busca medir el nivel de conocimiento teórico de los
participantes sobre el control interno, sino el nivel de eficacia de la entidad en relación con el control
interno y por ende con la gestión.
La pirámide de control interno muestra de manera clara la interrelación de los cinco componentes y su
integración como un conjunto total, así mismo, el cubo en tres dimensiones producido por el Informe
COSO I las relaciona en tres objetivos, cinco componentes y cuatro niveles de aplicación. El cubo que
identifica las tres dimensiones en el COSO II ERM, (Gestión de Riesgos Empresariales) incorpora cuatro
objetivos, incluyendo el estratégico, establece ocho componentes del control interno, al desglosar la
evaluación de riesgos en cuatro (establecer objetivos, identificación de eventos, evaluación del riesgo y
respuesta al riesgo) y en el nivel de aplicación se mantiene las cuatro posibilidades, parte de la aplicación
institucional, pasando por las gerencias, los departamentos y las unidades descentralizadas.
B. OBJETIVOS
El taller ha sido desarrollado como una herramienta dirigida a cumplir cinco objetivos principales:
• Conocer el estado real de la implementación del control interno institucional en la entidad al

momento de realizar la autoevaluación

• Promover la calificación del control interno por el personal ejecutor de las operaciones, respecto
al diseño y funcionamiento del control interno de la organización
• Incorporar el informe de autoevaluación como insumo para el conocimiento y la toma de

acciones para la mejora por la MAE
• Establecer un punto de referencia para posteriores evaluaciones, toma de decisiones y el

seguimiento futuro de los resultados
• Difundir el marco normativo vigente entre el personal de las entidades y otros organismos para
la gestión eficiente y eficaz, así como las prácticas obligatorias contenidas en las GICII
• Dar cumplimiento a la política de CII establecida por la MAE
• Difundir entre el personal el estado del seguimiento a las recomendaciones formuladas por ellos
mismos en talleres anteriores.
C. PROCEDIMIENTO DEL TALLER DE AUTOEVALUACIÓN DEL CONTROL INTERNO
C.1 ACTIVIDADES PRELIMINARES
C.1.1 OBSERVACIÓN Y DETERMINACIÓN DE LA MUESTRA
Mientras se acuerdan los términos, alcance y fechas para realizar el taller, los integrantes del COCOIN
interactúan con los demás servidores o colaboradores de la entidad y observan la forma cómo se ejecutan
las operaciones. Al seleccionar la muestra de participantes, la cual debe estar compuesta principalmente
por personal operativo, se conoce la estructura de personal y se obtiene datos a manera de un diagnóstico
preliminar que permite orientar el inicio del taller con información y hechos para identificar las
posibilidades reales para aplicar el Marco Rector del Control Interno y autoevaluarlo de manera adecuada,
promoviendo un enfoque de honestidad en beneficio de la entidad y sus integrantes, área, unidad o
programa.
C.1.2 ELABORACIÓN DEL CUESTIONARIO DE AUTOEVALUACIÓN
Los integrantes del COCOIN se reúnen para elaborar o adaptar el cuestionario de autoevaluación de
acuerdo con la naturaleza de la entidad, escala de operaciones, número de trabajadores, objetivos
estratégicos y operativos, problemática propia de la entidad, entre otros factores a considerarse para este
fin. Para la elaboración del cuestionario, los integrantes del COCOIN deben contar con el asesoramiento
del especialista de control interno de la ONADICI asignado a la entidad, así como asegurar la participación
del auditor interno, el cual es miembro con voz, pero sin voto del comité. En el caso de las preguntas que
tengan ver con temas de responsabilidad de otros comités de la entidad, se debe de contar con la
participación de estos en la redacción de las preguntas correspondientes (por ejemplo, Comité de Ética).
Debe tenerse en cuenta que no existe un cuestionario único aplicable a todas las entidades, porque éstas
difieren entre si y la calidad de la información que se obtenga guarda relación directa con la calidad de las
preguntas incluidas en el cuestionario. En este sentido, al redactar las preguntas, debe ponerse especial
cuidado en que tengan un sentido positivo y no negativo, toda vez que la calificación está sobre la base de
la adición de los puntajes y no de su sustracción.

Para la elaboración del cuestionario se puede tomar como referencia el ejemplo propuesto en el ANEXO
55, el cual es solo un ejemplo y no debería ser aplicado tal cual se presenta en el anexo. Pero en todos los
casos debe mantener el esquema de los cinco componentes y veinte y cinco elementos que han sido
concentrados para facilitar el procedimiento, a partir de los 48 incluidos en las NOGECI.
Una vez que se tenga listo el proyecto de cuestionario de autoevaluación, éste debe ser puesto en
conocimiento para su aprobación por la MAE, toda vez que se trata de una herramienta que utilidad para
la toma de decisiones a nivel de entidad y de procesos de la entidad.
C.1.3 ASIGNACIÓN DE ROLES PARA LA EJECUCIÓN DEL TALLER
Los integrantes del COCOIN deben de organizarse para la ejecución del taller, asignando los roles de
facilitadores, expositor, apoyo, entre otros como acto previo a la ejecución del taller.
C.2 EJECUCIÓN DEL TALLER: DÍA 1
C.2.1 INAUGURACIÓN DEL TALLER
Con el fin de promover el buen ambiente de trabajo y una actitud positiva y favorable hacia el control
interno institucional, se recomienda la participación de la MAE en la inauguración del taller, como muestra
de su compromiso con el CII y estímulo a los participantes en la importancia de la actividad, la cual está
dirigida a la mejora de la entidad.
Cabe precisar que la ejecución del taller se realiza con la presencia del especialista de control interno de
la ONADICI asignado a la entidad.
C.2.2 PRESENTACIÓN DEL MARCO RECTOR DE CONTROL INTERNO INSTITUCIONAL Y DEL MODELO DE
GESTIÓN
Los criterios desarrollados por la Comisión de Organismos Patrocinadores de la Comisión Treadway

Antifraude del Congreso de los Estados Unidos de Norteamérica (COSO por sus siglas en inglés de
Committee of Sponsoring Organization of The Treadway Commission), y adoptados por la Organización
Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI por sus siglas en inglés de International
Organization of Supreme Audit Institutions) son la base utilizada para preparar el marco de control interno
en varios países, incorporando aspectos específicos o propios de cada país, como es el caso de la República
de Honduras. Cabe indicar que la República de Honduras es miembro de pleno derecho de INTOSAI.
En esta parte inicial del taller, el expositor designado por el COCOIN se encarga de realizar una
presentación de los contenidos normativos y conceptuales acerca del control interno. Asimismo, realiza la
presentación del modelo de gestión, el cual es el referente contra el cual los participantes al taller medirán
y calificarán el accionar de la entidad. El modelo de gestión a presentarse es el que se incluye en la “Guía
0: Introducción general”.
En ningún caso debe exponerse los objetivos institucionales, toda vez que el conocimiento de estos forma
parte de la evaluación misma a realizarse. Asimismo, bajo ninguna circunstancia debe de orientarse las
respuestas de los participantes con comentarios acerca posibles respuestas a las preguntas del
cuestionario.
Concepto de control interno

El control interno, de conformidad con el artículo 2 de la Ley Orgánica del Tribunal Superior de Cuentas
“Es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las
entidades públicas y privadas, con el propósito de asistir a los servidores públicos en la prevención de
infracciones a las leyes y a la ética, con motivo de su gestión y administración de los bienes nacionales”. Y
alcanzar, de conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos siguientes:
“1) Procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios;
ilegal;
La responsabilidad por el diseño y funcionamiento del control interno institucional está relacionada con la
administración superior de las entidades públicas. Dentro de los ámbitos de trabajo y colaboración los
servidores públicos o colaboradores son responsables del cumplimiento de las prácticas de control
interno, en forma solidaria con la MAE y los superiores jerárquicos de las áreas o unidades de la
organización.
Componentes y elementos del CII
i) El componente ambiente de control está integrado por diez (10) elementos:
1. Ambiente interno de control

2. Valores de integridad y ética
3. Personal competente y gestión eficaz del talento humano
4. Estructura organizativa
5. Delegación de autoridad
6. Acciones coordinadas
7. Compromiso del personal con el control interno
8. Adhesión a las políticas
9. Ambiente de confianza
10. Auditoría interna.
ii) El componente evaluación y gestión de riesgos está integrado por seis (6) elementos:
1. Identificación y evaluación de riesgos

2. Planificación
3. Indicadores mensurables del desempeño
4. Divulgación de los planes
5. Revisión de los objetivos
6. Gestión de riesgos institucionales.
iii) El componente actividades de control incluye veinte (20) elementos:
1. Control integrado y automatización de controles

2. Análisis de costo/beneficio

3. Responsabilidad delimitada
4. Instrucciones por escrito
5. Separación de funciones incompatibles
6. Autorización previa o aprobación de transacciones y operaciones
7. Documentación de procesos y transacciones
8. Supervisión constante
9. Clasificación y registro oportuno
10. Sistema contable y presupuestario
11. Acceso a los activos y registros
12. Revisiones de control
13. Conciliación periódica de registros
14. Inventarios periódicos
15. Arqueos independientes
16. Formularios uniformes
17. Rotación de labores
18. Disfrute oportuno de vacaciones
19. Cauciones y fianzas
20. Dispositivos de control y seguridad.
iv) El componente información y comunicación está integrado por seis (6) elementos:
1. Obtención y comunicación de información efectiva

2. Calidad y suficiencia de la información
3. Sistemas de información
4. Controles sobre los sistemas de información
5. Canales de comunicación abiertos
6. Archivo institucional.
v) El componente supervisión y monitoreo está compuesto de seis (6) elementos:
1. Supervisión y monitoreo del control interno

2. Evaluación del desempeño institucional
3. Reportes de deficiencias
4. Toma de acciones correctivas
5. Asesoría externa para la supervisión y monitoreo del control interno
6. Cumplimiento de estándares internacionales de auditoría interna.
C.2.3 PRESENTACIÓN DEL CUESTIONARIO Y EXPLICACIÓN DEL SENTIDO DE LAS PREGUNTAS
El expositor designado por el COCOIN explica que el taller está dirigido a evaluar los cinco componentes
(5) y los cuarenta y ocho elementos (48) del marco de control interno institucional bajo los cuales se
estructura el cuestionario general de evaluación que los participantes en el taller valoran y califican en
forma individual, anónima, real, sincera y sin temor a represalias, considerando los conocimientos y la
información que tengan estos en relación a las actividades de la entidad contrastándolas con el modelo
de gestión.
Aquí se realiza la entrega del cuestionario, la familiarización con el mismo y la comprensión del contenido
con los participantes mediante ejemplos relacionados con la entidad, a propuesta de los participantes,
explicando el método de calificación.

Cada participante debe responder individualmente las preguntas detalladas para cada elemento y valorar
en la escala de 4 a 1 puntos, de conformidad con la siguiente tabla:
El expositor debe hacer hincapié en que no se debe dejar de responder ninguna de las preguntas, en la
medida de lo posible.
VALOR EN
COMO DEFINE LA CALIFICACIÓN
PUNTAJE
Sí, excelente, un modelo de operación 5
Sí, muy buena, aplicación eficiente de los procesos 4
Sí, aceptable, cumple con los requerimientos mínimos 3
No, regular, bajo el nivel de aceptación, pero susceptible de mejora 2
No, deficiente, no cumple requerimientos mínimos y dificultades para 1
mejorar
El cuestionario y sus preguntas se explican a los participantes, realizando pruebas aleatorias de respuesta
para una o varias preguntas y la calificación que potencialmente asignaría cada participante en la escala
de 5 a 1 puntos. Una opción recomendada para los ejemplos es aplicarlo al taller en ejecución, como
actividad evaluada.
El cuestionario incluye en promedio seis preguntas por cada uno de los elementos que completan los cinco
componentes del CII y es la base para calificar y opinar sobre el control interno de la entidad.
Asimismo, el expositor explica que los cuestionarios utilizados han sido adaptados a las actividades propias
de la entidad, es decir a la realidad de ésta.
C.2.4 APLICACIÓN DEL CUESTIONARIO Y SU RECOLECCIÓN
Una vez concluidas todas las intervenciones, se procede a la aplicación del cuestionario a los participantes
del taller.
Al terminar de responder el cuestionario (ver ANEXO 55), éste se deposita en un lugar previamente
definido. Luego de ello, el participante está disponible para continuar con sus labores cotidianas, no sin
antes avisarle que está citado para la reunión del siguiente día. Una vez que se hayan entregado todos los
cuestionarios debidamente respondidos, el facilitador intercambia las posiciones de estos y los numera
consecutivamente para garantizar así el anonimato.
C.2.5 LLENADO DE LA MATRIZ DE ELEMENTOS-CUESTIONARIOS
Como paso previo a la preparación de la matriz de elementos – cuestionarios, valida la información y

determina los promedios por elemento para analizar los resultados, de manera que el análisis e informe
estén disponibles para iniciar la segunda reunión del taller.
Al promediar los resultados y preparar la matriz de elementos – cuestionarios con los datos obtenidos, se
validan los resultados, considerando los siguientes lineamientos:

• Todas las preguntas respondidas como S/R (sin respuesta) se eliminan para el cálculo de los
promedios.
• En caso de que el número de respuestas valoradas de 4 a 1, en un elemento específico sea inferior

al 50% (por ejemplo 2 respuestas de 5 posibles), se elimina el dato para los promedios del
componente y se analizará y discutirá en la segunda fase del taller.
• Al analizar la matriz elementos-cuestionarios, los promedios por elemento deben ser al menos
del 50% de los participantes en el taller y validar cada elemento, de lo contrario es eliminada.
• Al analizar la matriz de elementos - cuestionarios los participantes deben calificar al menos el 50%
de los elementos para ser considerado el componente en el promedio total.
C.3 EJECUCIÓN DEL TALLER: DÍA 2
C.3.1 IDENTIFICACIÓN DE FORTALEZAS Y LIMITACIONES INSTITUCIONALES
Al iniciar la segunda reunión del taller, el facilitador solicita la participación de los asistentes para
identificar las fortalezas y limitaciones institucionales, las que deben ser registradas por los facilitadores.
El propósito de identificar las fortalezas y las limitaciones importantes de la entidad, área, unidad o
programa sujeto a la autoevaluación permite determinar su impacto en el manejo eficiente de sus recursos
y el cumplimiento de las actividades para alcanzar sus objetivos eficazmente y tomar las decisiones
respecto a las acciones a seguir.
• Fortalezas y condiciones positivas que aportan elementos para lograr los objetivos principales de
la entidad, como el apoyo de la MAE y de los otros niveles del gobierno para su estructuración,
aplicación y funcionamiento.
• Limitaciones, elementos o situaciones que reducen la capacidad de la entidad para alcanzar sus
objetivos, pueden ser internos o externos.
Una vez identificadas las fortalezas y las limitaciones institucionales se relacionarán con los resultados
obtenidos del procesamiento de los cuestionarios, los cuales se exponen en la presentación de la matriz
de elementos – cuestionarios. Cabe indicar que las fortalezas y limitaciones institucionales identificadas
son un insumo que debe ser tomado en consideración al momento de redactar las conclusiones y
recomendaciones en el informe indicado en el ANEXO 54.
C.3.2 PRESENTACIÓN DE LA MATRIZ DE ELEMENTOS-CUESTIONARIOS, RESULTADOS Y ANÁLISIS
En esta etapa el facilitador presenta los resultados compilados de los cuestionarios, analizan los resultados
tabulados y explican el proceso de validación aplicado, principalmente sobre:
a. La validación de las calificaciones con base en los puntos de control para eliminar las que no
presenten el 50% de respuestas en cada elemento en la matriz. Al depurar la matriz se obtienen
los promedios definitivos por elementos, por componente y para el marco de CII global.
b. Se identifican los cuestionarios que presentan el promedio individual: (1) mayor, (2) menor, y,
(3) el más cercano a la media aritmética de todos los participantes. Estos tres cuestionarios sirven

para documentar el taller una vez completado el informe de resultados. El resto de los
cuestionarios son destruidos al completar el informe del taller, toda vez que ya cumplieron con
su finalidad, garantizando así el anonimato de las respuestas recogidas. También se identifica el
número de cuestionarios con promedios por encima del promedio y por debajo del mismo, para
determinar la tendencia general en la calificación realizada por los participantes.
Una serie de indicadores estadísticos se pueden incorporar en el análisis a fin de determinar las
características de la muestra utilizada para el taller, incluyendo la media aritmética, la mediana, la moda,
la varianza, la desviación estándar y una representación gráfica de la distribución promedio obtenida.
Este análisis de resultados, en conjunto con las fortalezas y las debilidades institucionales identificadas
están dirigidos a obtener comentarios, opiniones y recomendaciones de los participantes sobre cada uno
de los factores incluidos en la matriz.
C.3.3 FORMULACIÓN DE COMENTARIOS, OPINIONES Y SUGERENCIAS DE LOS PARTICIPANTES
La parte más importante del taller, tanto en el tiempo de dedicación como por los aportes obtenidos, es
el destinado a discutir en un diálogo abierto, amplio y sincero respecto al control interno institucional
donde colaboran y presentan propuestas para mejorar sus actividades. Uno de los facilitadores designados
por el COCOIN dirige la reunión con los participantes y el otro facilitador va registrando los comentarios,
opiniones y recomendaciones propuestas.
Uno de los facilitadores modera la reunión utilizando el resumen de calificaciones por componentes y
elementos, motivando a los participantes para que emitan comentarios, opiniones y sugerencias y así
obtener la aceptación consensuada del grupo por mayoría. El segundo facilitador anota las intervenciones
de los participantes organizándolas por componente y elemento del informe modelo (ver ANEXO 54),
clasificados en comentarios, opiniones y recomendaciones para posterior análisis, evaluación y
consideración a cargo del COCOIN.
Cuando las opiniones de los participantes son limitadas, el facilitador encargado de la moderación
introducirá preguntas generales a partir de la calificación de los elementos para promover la participación
de los asistentes, o bien buscando el consenso en la justificación y validación de los resultados obtenidos.
La duración sugerida para esta parte del taller es de dos (2) horas académicas, siendo el tiempo más amplio
destinado a un segmento del taller, por tanto, resulta el más importante dado que en él se logra la
obtención de información fundamental para la posterior discusión y preparación del informe de resultados
de autoevaluación que pasará a conocimiento de la MAE y posteriormente difundido a todos los
trabajadores de la entidad.
Los comentarios, opiniones y sugerencias de los participantes constituyen un insumo importante que debe
ser evaluado por el COCOIN, de forma que contribuya al análisis posterior a res realizado en el informe y
que debe conducir a la formulación de conclusiones y recomendaciones que se incluyen en el ANEXO 54.
C.3.4 ELABORACIÓN DEL RESUMEN DEL TALLER
Los facilitadores hacen un resumen de los aspectos positivos del taller que está concluyendo y de los
aspectos que podrían ser mejorados, para lo cual se requiere que los facilitadores y los participantes
mantengan una actitud abierta y que sean puntuales en sus intervenciones, promoviendo la confianza en
el proceso y la colaboración de todos.

C.3.5 CLAUSURA DEL TALLER
Finalmente, uno de los facilitadores solicita el reconocimiento para todos los participantes por la
colaboración y buenos resultados del taller, mediante aplausos u otra acción similar. Esta última acción es
muy importante porque promueve el buen ambiente de trabajo y una actitud positiva y favorable haca el
control interno institucional, siendo recomendable la participación de la MAE tanto al inicio del taller,
como en el cierre de este, como muestra de su compromiso con el CII.
D. ELABORACIÓN DEL INFORME DEL TALLER
Culminado el taller, los integrantes del COCOIN inician el proceso de preparación y documentación del
informe de resultados de autoevaluación del control interno institucional, utilizando el formato sugerido
que incluye el esquema por componentes del control interno.
Los integrantes del COCOIN deben contar con el asesoramiento del especialista de control interno de la
ONADICI asignado a la entidad para esta etapa de elaboración del informe. Durante esta etapa se
analizarán, discutirán y sopesarán las conclusiones y recomendaciones de mejora, tanto propuestas por
los participantes como por los integrantes del COCOIN. Debe de tenerse siempre en consideración de que
se trata de un informe de carácter gerencial, orientado a lograr la mejora institucional, por cuanto deberá
enfocarse en los aspectos más importantes y prioritarios relacionados con la gestión y los objetivos
institucionales.
El informe debe ser entregado y puesto en conocimiento de la MAE en un plazo máximo de dos días
laborables posteriores a la terminación del taller con el fin de garantizar su oportunidad y solicitar la
difusión entre los participantes en el taller.
A continuación, el ANEXO 54 presenta un ejemplo del “Informe de Resultados de Autoevaluación”.

ANEXO 54. FORMATO DEL INFORME DE RESULTADOS DE AUTOEVALUACIÓN DEL CONTROL INTERNO
ENTIDAD __________________
FORMATO DEL
INFORME DE RESULTADOS DE AUTOEVALUACIÓN DEL CONTROL INTERNO
FACILITADORES:
1. Nombres y apellidos
PARTICIPANTES:
[Cantidad en números] SERVIDORES PÚBLICOS O COLABORADORES
[Lugar y fecha]

ÍNDICE
CAP. CONTENIDO PÁGINA
I. NATURALEZA Y ALCANCE DE AUTOEVALUACIÓN………………………………
II. CONCEPTO DE CONTROL INTERNO EN LA ENTIDAD…………………….
III. RESULTADOS DE LA EVALUACIÓN………………………………………………………..
A. CALIFICACIÓN DEL CONTROL INTERNO INSTITUCIONAL………………………
B. AMBIENTE DE CONTROL………………………………………………………………………
Comentarios sobre el componente…………………………………………………………………..
Opiniones de los participantes..………………………………………………………………………..
Recomendaciones…………………………………………………………………………………………….
C. EVALUACIÓN Y GESTIÓN DE RIESGOS……………………………………………………
Comentarios sobre el componente……………………………………………………………………
Opiniones del personal …………………………………………………………………………………….
D. ACTIVIDADES DE CONTROL………………………………………………………………….
Recomendaciones………………………………………………………………………………………………
E. INFORMACIÓN Y COMUNICACIÓN………………………………………………………..
Comentarios sobre el componente……………………………………………………………………
F. SUPERVISIÓN Y MONITOREO…………………………………………………………………………………………
Opiniones del personal……………………………………………………………………………………..

ANEXO 1 Resumen valoración elementos - cuestionarios
ANEXO 2 Gráfico sobre calificación de CII
ANEXO 3 Fotografías de la ejecución del TAECII.

ENTIDAD: ____________________________________
INFORME DE AUTOEVALUACIÓN DEL CII
La evaluación del control interno institucional (CII) aplicado a [nombre de la entidad] se realizó a través del
taller de autoevaluación del control interno en el que participaron [cantidad en números] servidores
públicos/colaboradores de la entidad (incluye a los responsables jerárquicos de áreas y unidades),
representando el [número de porcentaje]% del personal, durante los días [días del mes en números] de
[nombre del mes] de 20[XX], utilizando las “Normas Generales de Control Interno” (NOGECI) incluidas en
el “Marco Rector del Control Interno Institucional de los Recursos Públicos” emitido por el Tribunal Superior
de Cuentas (TSC), las “Guías de implementación del control interno institucional” (GICII) elaboradas por la
Oficina Nacional de Desarrollo Integral del Control Interno (ONADICI) y las mejores prácticas en la materia.
La participación activa de los responsables jerárquicos de las áreas y unidades, servidores

públicos/colaboradores en el taller posibilitó la acumulación de opiniones y recomendaciones sobre el
funcionamiento y aplicación del control interno detallado en los siguientes capítulos.
I. NATURALEZA Y ALCANCE DE LA EVALUACIÓN
La autoevaluación del marco de control interno se enfocó en las actividades desarrolladas en el [número
del trimestre] trimestre de 20[XX], tomando como referencia las NOGECI, las prácticas obligatorias
contenidas en las GICII y las buenas prácticas internacionales, que incluye los siguientes componentes:
• Ambiente de control
• Evaluación y gestión de riesgos
• Actividades de control
• Información y comunicación
• Supervisión y monitoreo.
La comprensión y revisión de los controles internos implantados para las principales actividades de la
entidad se ejecutó en dos reuniones:
1. La primera dirigida a compartir los nuevos conceptos, componentes y factores del sistema de control
interno, analizar el formato y contenido del cuestionario de evaluación y el método para calificar y
valorar las respuestas, así como la recepción, validación, tabulación y análisis después de ser
completadas.
2. En la segunda reunión se presentaron los resultados acumulados y el análisis estadístico de los datos
de los [número de cuestionarios] cuestionarios recibidos. De inicio se expusieron los resultados del
proceso de autoevaluación global del control interno institucional, de los cinco componentes y los
veinticinco elementos agrupados. Se motivó a los participantes para comentar, opinar y recomendar
acciones a base de los resultados promedios del grupo, siguiendo el orden de presentación de los
componentes. Se explicó el método utilizado para calificar el cuestionario y los criterios básicos
empleados para validar las respuestas por cada elemento.
Los comentarios, opiniones y sugerencias presentadas en la segunda reunión del taller se realizaron en
forma directa por un grupo de [número de participantes] participantes, que representa el [número de
porcentaje]% del total. La invitación y participación en el taller contó con el apoyo del (cargo) [MAE o
denominación del cargo del responsable jerárquico designado], responsable jerárquico de primer nivel,
hecho que contribuyó a concretar importantes propuestas de mejora y cambio en las operaciones.

Las calificaciones obtenidas y el análisis de los resultados incluidos en las opiniones y recomendaciones
más importantes para actualizar y mejorar el diseño, la aplicación y el funcionamiento del control interno
se detallan en el capítulo III de este informe.
La metodología utilizada para la evaluación fue la división de cinco grupos, dirigidos a cada uno de los
componentes del Control Interno.
Los resultados del análisis están sobre la base de la percepción de cada uno de los participantes.
El enfoque para el diseño y aplicación del CII, así como la autoevaluación está orientado a conocer y aplicar
los controles suaves (pueden no estar definidos por escrito, pero se aplican efectivamente y generan valor
agregado) para cumplir los objetivos del/de la [nombre de la entidad]. No obstante, las guías de control
interno incluyen el diseño formal del control interno y de las actividades sustantivas con base en el Marco
Rector del Sistema Nacional de Control de los Recursos Públicos.
II. EL CONCEPTO DE CONTROL INTERNO INSTITUCIONAL
El control interno, de conformidad con el artículo 2 de la Ley Orgánica del Tribunal Superior de Cuentas
“Es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las
entidades públicas y privadas, con el propósito de asistir a los servidores públicos en la prevención de
infracciones a las leyes y a la ética, con motivo de su gestión y administración de los bienes nacionales”. Y
alcanzar, de conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos siguientes:
“1) Procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios;
ilegal;
III. RESULTADOS DE AUTOEVALUACIÓN
La autoevaluación se realizó sobre las actividades y operaciones que ejecuta el personal en las áreas y
unidades de la entidad en cumplimiento de las funciones y responsabilidades asignadas para el logro de
objetivos.
Los resultados de la calificación por componentes son los siguientes:

Tabla A
COMPONENTES VALORACIÓN CALIFICACIÓN PORCENTAJE
1. Ambiente de control
2. Evaluación y gestión de riesgos
3. Actividades de control
4. Información y comunicación
5. Supervisión y monitoreo
TOTAL
A.1. Comentarios sobre calificación del CII
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados de los componentes en
general y es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe, con
posterioridad a la clausura del taller].
A.2. Conclusiones sobre el proceso de autoevaluación
[Este contenido corresponde a la síntesis en las principales conclusiones arribadas a partir de lo

desarrollado en el literal anterior y es redactado por los integrantes del COCOIN en la reunión para la
elaboración del informe, con posterioridad a la clausura del taller].
A continuación, se presentan los resultados detallados de la calificación de cada componente:
[Este contenido corresponde una introducción del componente y es redactado por los integrantes del
COCOIN en la reunión para la elaboración del informe, con posterioridad a la clausura del taller].
A continuación, se presentan los resultados detallados de la calificación del componente en la Tabla B:

Tabla B
AMBIENTE DE CONTROL VALORACIÓN CALIFICACIÓN %

1. Ambiente de control y valores de
integridad ética
2. Personal competente y gestión
eficaz del talento humano
3. Estructura organizativa
4. Delegación de autoridad
5. Acciones coordinadas
6. Compromiso del personal con el
control interno, adhesión a las
políticas, y ambiente de confianza
7. Auditoría interna
TOTAL
B.1. Comentarios y conclusiones sobre el componente
[Este contenido corresponde al análisis cualitativo y cuantitativo de los resultados del componente
mostrados en la Tabla B, tomando en consideración los comentarios recogidos de los participantes y
arribando a conclusiones que permitan el desarrollo del literal siguiente de recomendaciones. Es redactado
por los integrantes del COCOIN en la reunión para la elaboración del informe, con posterioridad a la
clausura del taller].
[Las conclusiones deben estar numeradas en forma correlativa en todo el informe, para que su numeración
sea utilizada como referencia para la redacción de las recomendaciones].
B.2. Recomendaciones
[Este contenido es redactado por los integrantes del COCOIN en la reunión para la elaboración del informe,
con posterioridad a la clausura del taller].
[Las recomendaciones deben hacer referencia a las conclusiones que les dan soporte para asegurar su
adecuada fundamentación].
[Las recomendaciones deben estar numeradas en forma correlativa en todo el informe, para que su
numeración sea utilizada como referencia en la implementación].
A continuación, se presentan los resultados detallados de la calificación del componente en la Tabla C:

Tabla C
EVALUACIÓN Y GESTIÓN DE
VALORACIÓN CALIFICACIÓN %
RIESGOS
1. Identificación y evaluación de
riesgos
2. Planificación e indicadores
mensurables del desempeño
3. Divulgación de los planes
4. Revisión de los objetivos
5. Gestión de riesgos institucionales
TOTAL
C.1. Comentarios sobre el componente
mostrados en la Tabla C, tomando en consideración los comentarios recogidos de los participantes y
C.2. Recomendaciones
A continuación, se presentan los resultados detallados de la calificación del componente en la Tabla D:

Tabla D
ACTIVIDADES DE CONTROL VALORACIÓN CALIFICACIÓN %
1. Prácticas y medidas de control

2. Actividades de control sobre los
sistemas administrativos y operativos
3. Control de gestión e indicadores de
desempeño
4. Actividades de control sobre los
sistemas informáticos
5. Manual de procedimientos
TOTAL
D.1. Comentarios sobre el componente
mostrados en la Tabla D, tomando en consideración los comentarios recogidos de los participantes y
D.2. Recomendaciones
A continuación, se presentan los resultados detallados de la calificación del componente en la Tabla E:

Tabla E
INFORMACIÓN Y COMUNICACIÓN VALORACIÓN CALIFICACIÓN %

1. Obtención y comunicación de
información efectiva y calidad y
suficiencia de la información
2. Sistemas de información y
controles sobre los sistemas de
información
3. Canales de comunicación abiertos
4. Archivo institucional
TOTAL
E.1. Comentarios sobre el componente
mostrados en la Tabla E, tomando en consideración los comentarios recogidos de los participantes y
E.2. Recomendaciones
A continuación, se presentan los resultados detallados de la calificación del componente en la Tabla F:

Tabla F
MONITOREO VALORACIÓN CALIFICACIÓN %

1. Supervisión y monitoreo del control
interno y evaluación del desempeño
institucional
2. Reporte de deficiencias y toma de
acciones correctivas
3. Asesoría externa para la supervisión
y monitoreo del control interno
4. Cumplimiento de estándares
internacionales de auditoría interna
TOTAL
F.1. Comentarios sobre el componente
mostrados en la Tabla F, tomando en consideración los comentarios recogidos de los participantes y
F.2. Recomendaciones

Atentamente,
Nombres y apellidos Nombres y apellidos

Facilitador 1 Control de Calidad 1
Nombres y apellidos Nombres y apellidos

Facilitador 2 Control de Calidad 2

ANEXO 55. EJEMPLO DE CUESTIONARIO PARA AUTOEVALUAR EL CONTROL INTERNO INSTITUCIONAL
ENTIDAD: _______________________________
ÁREA: _______________________________
Periodo de evaluación: __________________________
Instrucciones para la respuesta: Es anónimo, no requiere identificación, entrega obligatoria. Lea los
enunciados y valore la respuesta en la escala de 5 a 1 (si es positiva 3 puntos hasta 5, si es negativa
2 o 1), respecto a las operaciones que sean de su conocimiento. Si el conocimiento es insuficiente,
responda S/R (sin respuesta). El nivel mínimo de aceptación es 3/5 puntos, representa el 60%. Así:
COMO DEFINE LA CALIFICACIÓN PUNTOS
Sí, excelente, un modelo de operación 5
Sí, muy buena, aplicación eficiente de los procesos 4
Sí, aceptable, cumple con los requerimientos mínimos 3
No, regular, bajo el nivel de aceptación, pero susceptible de mejora 2
No, deficiente, no cumple requerimientos mínimos y dificultades para mejorar 1
COMPONENTES/Elementos/Prácticas Obligatorias
Valo
r 5/1
o
S/R.
1. AMBIENTE DE CONTROL: (21=7)
1.1 Ambiente de control y valores de integridad
1.1.1 ¿Existe y se encuentra ampliamente difundida a todo el personal de la entidad la política de

compromiso con el control interno institucional firmada por la MAE?
1.1.2 ¿Se propicia y favorece la participación activa de los servidores públicos/colaboradores en la

generación de mecanismos para fortalecer el control interno y su funcionamiento en la entidad?
1.1.3 Con base en los lineamientos del Comité de Probidad y Ética Pública (CPEP), ¿se fomenta los
valores éticos en todos los servidores públicos/colaboradores y de ser el caso, emite sanciones
conforme a lo establecido en el Código de Probidad y Ética del Servidor Público?

1.1.4 ¿Se difunde ampliamente la misión, visión y valores institucionales entre los servidores
públicos/colaboradores de su área?
1.1.5 ¿Es de conocimiento de los servidores públicos/colaboradores de su área, la existencia y

localización de los buzones de denuncias por actos indebidos, cometidos por funcionarios y servidores
públicos/colaboradores de la entidad para el conocimiento del CPEP?
1.1.6 ¿Es de conocimiento de los servidores públicos/colaboradores de su área la forma de presentar

anónimamente una denuncia por actos indebidos cometidos por responsables jerárquicos y servidores
públicos/colaboradores de la entidad a través de la página web del Tribunal Superior de Cuentas?
1.1.7 ¿Son ampliamente difundidos por el CPEP a todo el personal de la entidad la misión, visión y
valores en los que la entidad fundamenta el logro de los objetivos?
1.1.8 ¿Todos los empleados de la entidad han firmado un compromiso de cumplimiento de Código de
Conducta Ética del Servidor Público?
1.1.9 ¿El CPEP cumple con las siguientes funciones?
- Evaluar el conocimiento del personal de la entidad sobre los valores éticos
- Informar los resultados de las evaluaciones a la MAE
- Desarrollar talleres sobre los valores de integridad ética
- Actualizar y difundir ampliamente el Código de Ética
- Elaborar y difundir un informe de actividades de cada ejercicio fiscal.
1.2 Planificación y estructura organizativa
1.2.1 ¿Los servidores públicos/colaboradores de su área conocen y dominan ampliamente el Plan

Estratégico Institucional (PEI)?
1.2.2 ¿Conoce el Plan Operativo Anual (POA) y el Presupuesto anual aprobado para la entidad y
específicamente el de su área?
1.2.3 ¿Se genera información sobre el avance de las metas y se evalúa el desempeño mensual sobre
la ejecución del POA para la toma de acciones correctivas?
1.2.4 ¿Todo el personal de la entidad conoce si la estructura organizacional está definida y formalizada
por áreas de operación clave? (Organigrama)
1.2.5 ¿Recibe retroalimentación de los resultados de la evaluación del desempeño de su área y de la

entidad con base en la evaluación periódica del POA?
1.2.6 ¿Cuenta con un Manual de Procedimientos actualizado (o se está elaborando/ actualizando) y

aprobado por la MAE, donde define el conjunto de operaciones y controles incorporados para

contribuir al desarrollo de los procesos administrativos y operativos y en función a la misión de la

entidad?
1.2.7 ¿Difunde la entidad la información actualizada de los servicios ofrecidos a través de la página
Web para conocimiento de los usuarios?
1.2.8 ¿Existe orden en los expedientes y documentos en el archivo institucional, y son manejados por
personal experto que demuestre conocimientos, organización, transparencia y resultados?
1.2.9 ¿Están definidas las unidades prestadoras de servicios estratégicos de forma clara y amplia?
1.2.10 ¿Considera que se actualizan y concilian con los responsables de las áreas clave los objetivos
de POA y de los proyectos que administra la entidad?
1.2.11 ¿Se realiza en su área, la gestión de los procedimientos clave aplicando estrictamente los
manuales de procesos y procedimientos?
1.2.12 ¿l COCOIN y el CPEP reciben total apoyo de la MAE para su adecuado funcionamiento?
1.3 Personal competente
1.3.1 ¿Conoce si todo el personal recibe inducción inmediatamente después de ser contratado o
nombrado en la entidad? (antes de comenzar con su gestión)
1.3.2 ¿El jefe inmediato superior aplica anualmente la evaluación del desempeño al personal bajo su
cargo con base en criterios técnicos?
1.3.3 ¿Se cuenta en la entidad con planes continuos de capacitación para el personal?
1.3.4 ¿La selección del personal, previo a la contratación del mismo, se lleva a cabo atendiendo a un
manual de funciones con perfiles profesionales de puestos definidos adecuadamente?
1.3.5 ¿Cuenta la entidad con un plan de remuneraciones que genere una política salarial interna?
1.3.6 ¿Se cuenta con una política de promoción con base en méritos para los servidores
públicos/colaboradores?
1.4 Delegación de autoridad y acciones coordinadas
1.4.1 ¿La MAE formaliza la delegación de autoridad por escrito, generando corresponsabilidad, entre
quien delega y quien la ejerce?
1.4.2 ¿El PEI y el POA son la base para la coordinación de las operaciones y el logro efectivo de los
objetivos?

1.4.3 ¿Existe, y de ser así, está formalizada una política que favorezca la cooperación entre las
unidades operativas y de apoyo para promover el logro eficaz, eficiente y coordinado de los objetivos
estratégicos de la entidad?
1.4.4 ¿Existe una verdadera coordinación en la ejecución de los procesos y procedimientos en los que
intervienen dos o más áreas?
1.5 Compromiso con el control interno y adhesión a la política
1.5.1 ¿Están claramente definidos los estándares específicos de mejora continua y el cumplimiento
de los objetivos del control interno y de la gestión institucional?
1.5.2 ¿Considera que con la implementación del CII se fortalece la gestión de su área y se obtendrán
efectivamente los objetivos fijados?
1.5.3 ¿Se difunde todas las políticas institucionales de manera formal mediante notas por escrito a
todo el personal de su área?
1.5.4 ¿Se elabora, emite y difunde oportunamente los informes de resultados de las operaciones, de
la gestión y de la ejecución presupuestaria para fortalecer al proceso de rendición de cuentas y la
transparencia institucional, tanto interna como externa?
1.6 Ambiente de confianza
1.6.1 ¿Se difunde a los empleados de su área las prácticas de control interno implementadas para su
aplicación efectiva, cuyo cumplimiento genera confianza en las operaciones y en la información
generada sobre las operaciones?
1.6.2 ¿Diseña e implementa técnicas de trabajo participativo y cooperativo entre las unidades
operativas, administrativa y financiera, trabajando en equipo con participación interdisciplinaria?
1.7 Auditoría interna
1.7.1 El jefe de la Unidad de Auditoría Interna (UAI) ha establecido criterios normativos para determinar
el alcance, tamaño, especialistas, equipo y actividades que se desarrollan según el funcionamiento de
la unidad?
1.7.2 ¿Se da seguimiento oportuno e integral a las recomendaciones de auditoría externa e interna?
1.7.3 ¿Conoce si se prepara el Plan General y el POA de la UAI, considerando la Guía emitida por la
ONADICI?
1.7.4 ¿Conoce si la UAI evalúa el funcionamiento del CII mediante una evaluación separada del control
interno?

1.7.5 ¿Se dispone de auditores especialistas para las actividades sustantivas de la entidad y dependen
del jefe de la UAI?
1.7.6 ¿Es de su conocimiento si la Junta Directiva ha implantado el funcionamiento del Comité de

Auditoría?
1.7.7 ¿Considera que el Comité de Auditoría debe contar con la participación con voz, pero sin voto
del jefe de la UAI?
1.7.8 ¿El jefe de la UAI cumple las normas establecidas por el TSC para realizar la auditoría, así como
las normas técnicas específicas que emita la ONADICI para tales efectos?
2. EVALUACIÓN Y GESTIÓN DE RIESGOS: (6=6)
2.1 Gestión de riesgos institucionales
2.1.1 ¿Están definidas por escrito las funciones, facultades, roles, responsabilidades y perfiles que
le corresponde a cada uno de los miembros de la entidad dentro del proceso de gestión de riesgos?
(por ejemplo, en los manuales de procesos y procedimientos)
2.1.2 ¿Se actualizan anualmente como mínimo los manuales de la entidad atendiendo a los riesgos
en los procesos?
2.1.3 ¿Se cuenta con matrices de riesgos para todos los procesos clave de la entidad?
2.1.4 ¿Se actualizan anualmente como mínimo, las matrices de riesgos de los procesos clave de la
entidad?
2.2 Planificación
2.2.1 ¿Se establece y revisa, como mínimo anualmente la misión, visión, valores, objetivos, metas
políticas y programas institucionales?
2.2.2 ¿Se establecen los objetivos y metas de cada área o unidad, alineados y articulados con los
objetivos fijados en el PEI y POA de la entidad?
2.2.3 ¿Se formulan los objetivos y metas en forma realista, en función de la disponibilidad prevista de
recursos necesarios y suficientes para el logro de los mismos?
2.2.4 ¿Se realizan reuniones periódicas, como mínimo trimestralmente en conjunto con la MAE y los
responsables jerárquicos de la entidad para la revisión del POA, con el fin de evaluar el cumplimiento
de los objetivos y metas?
2.2.5 ¿Se comunica a todo el personal los resultados de las evaluaciones periódicas del desempeño
de la entidad?
2.2.6 ¿Se comunica oportunamente al personal, los cambios en la planificación (en caso de ocurrir)?
2.3 Indicadores mensurables de desempeño
2.3.1 ¿Están establecidos los indicadores claves del desempeño, de resultado y de impacto, tanto
generales como específicos, cuantitativos como cualitativos?

2.3.2 ¿Se ha fijado claramente las formas de medición de los indicadores de desempeño, la
periodicidad de las actualizaciones y los responsables por el diseño e implantación de los índices de
desempeño?
2.3.3 ¿Los indicadores clave del desempeño institucional son revisados anualmente como mínimo,
contando con la participación activa de personal de todas las áreas?
2.4 Divulgación de planes
2.4.1 ¿Se ha comunica formalmente y en forma fehaciente y oportuna al personal de la entidad, la

misión, visión, valores, objetivos, metas, políticas y programas de la entidad?
2.4.2 ¿Es conocido por el personal la metodología utilizada para la evaluación y gestión de riesgos,
incluyendo los niveles de riesgo aceptado por la MAE?
2.5 Revisión de los objetivos
2.5.1 ¿Se revisa periódicamente los objetivos institucionales, captando, procesando y reportando en
forma oportuna información relacionada con los cambios registrados e inminentes en el ambiente
interno y externo?
2.5.2 ¿Se revisa formalmente la planificación y se reformulan o reafirman los objetivos cuando ocurre
una modificación presupuestaria (recorte o ampliación)?
2.6 Identificación y evaluación de riesgos
2.6.1 ¿Se han establecido y gestionado políticas y procedimientos dirigidos a identificar y evaluar los
riesgos relevantes que puedan impactar negativamente o impedir el logro de los objetivos, metas
proyectos y programas propios, incluyendo las siguientes etapas de: (1) identificación de eventos, (2)
evaluación y valorización de riesgos, (3) indicadores claves de riesgo, (4) respuesta a los riesgos
(actividades de control)?
2.6.2 ¿Se comunica claramente al personal las políticas y procedimientos para la “identificación y
evaluación de los riesgos”, comprobándose que son conocidas y comprendidas por los servidores
públicos/colaboradores?
2.6.3 ¿Se fija la metodología de grupos de trabajo de autoevaluación de riesgos, para: (1) identificar
los factores causantes de riesgos, (2) matrices de riesgo y valoración de riesgos, e (3) indicadores de
claves de riesgos?
2.6.4 ¿Ha sido emitido un inventario de los procesos y sus procedimientos identificando los controles
existentes para cada uno de ellos?

2.6.5 ¿Se ha facilitado el conocimiento para la identificación de los factores causantes de los riesgos,
priorizando en función de su impacto y probabilidad de ocurrencia?
2.6.6 ¿Se establece, mantiene y gestiona las “Bases de datos de Eventos de Pérdida” fijando las
características del reporte, recolección, cuantificación registro y clasificación, ¿almacenamiento y
protección de la información de eventos de pérdida?
2.6.7 ¿Se han elaborado matrices de riesgo con la descripción de cada uno de los riesgos identificados
en los procesos clave de la entidad?
3. ACTIVIDADES DE CONTROL
3.1 Prácticas de control y manuales de procedimientos
3.1.1 Una vez determinados los objetivos de la entidad, sus riesgos asociados y las respuestas a los
riesgos elegidos ¿se evalúan, seleccionan e implantan las actividades de control más adecuadas y de
mayor calidad, en términos de mitigación de los riesgos involucrados en forma eficiente, eficaz y
económica?
3.1.2 ¿Elabora, emite, implanta y mantiene actualizados los manuales de procedimientos o

instructivos que rigen los procesos, operaciones y transacciones de la entidad con las actividades de
control diseñadas e incluidas en los mismos? (¿Se actualizan los manuales teniendo en cuenta las
actividades de control diseñadas específicamente para combatir los riesgos identificados?)
3.1.3 ¿Se comunica formalmente por escrito y en forma fehaciente, y dejan disponibles para el
personal (en papel y, de ser factible, en la intranet de la entidad), todos los manuales de
procedimientos o instructivos, debiendo también comprobar que los mismos son conocidos,
comprendidos y aceptados por los funcionarios de la entidad que se encuentran involucrados en la
gestión de los procesos en cuestión?
3.1.4 ¿Los jefes de área supervisan constantemente que los empleados del área desarrollen sus
actividades respetando estrictamente los manuales de procesos y procedimientos?
3.2 Clasificación y análisis de las actividades de control existentes
3.2.1 ¿Se separan las funciones incompatibles como control general y preventivo que permita un
control cruzado a partir de la asignación de responsabilidades y funciones en las distintas áreas o
unidades?
3.2.2 ¿Se incluyen las matrices y el mapa de riesgos de la entidad afectando la valoración final de los
riesgos hasta llegar a niveles aceptables de riesgo residual?
3.3 Controles a sistemas administrativos, operativos y de gestión
3.3.1 ¿Se pone atención en evaluar, seleccionar, implantar y mantener las actividades de control más
adecuadas y de mayor calidad relacionadas con los sistemas de tecnología informática?

3.3.2 ¿Las actividades principales de la entidad, actualmente se encuentran sistematizadas y

automatizadas en sistemas de información? (Por ejemplo, los pagos se ejecutan utilizando sistemas
de información)
3.3.3 ¿Los procedimientos en los que intervienen dos o más área de la entidad, son discutidos,
consensuados y revisados en conjunto por los responsables jerárquicos de las áreas involucradas?
3.3.4 ¿Se realizan reuniones periódicas con el fin de evaluar el funcionamiento de los procesos clave
de la entidad?
3.4 Controles sobre los sistemas de tecnología informática
3.4.1 ¿El responsable del área de tecnología informática, pone especial atención en evaluar,
seleccionar, implantar y mantener las actividades de control más adecuadas y de mayor calidad en
los sistemas informáticos?
3.4.2 ¿Se diseña, desarrolla, automatiza e implementa los requisitos funcionales y de control que
solicite la administración activa?
3.4.3 ¿Los superiores jerárquicos son los responsables operativos de definir apropiadamente los
requisitos funcionales y las actividades de control referidas a los procesos?
3.4.4 ¿Se impulsa en forma efectiva la sistematización, ejecución, control supervisión y evaluación de
sus operaciones a través del uso de sistemas aplicativos de tecnología informática?
3.4.5 ¿Considera que en los procesos que usted ejecuta utilizando sistemas informáticos, existe la
cantidad y calidad justa y necesaria de controles automatizados?
3.4.6 ¿Se realizan reuniones periódicas coordinadas por el superior jerárquico de la unidad de
tecnología de la información, y con la participación de los responsables de las áreas, a fin de evaluar
el funcionamiento de los sistemas informáticos y, en caso de corresponder, realizar propuestas de
mejora?
4. INFORMACIÓN Y COMUNICACIÓN: (6=4)
4.1 Obtención y comunicación de información efectiva
4.1.1 ¿Se dispone y genera informes por períodos (mensuales, trimestrales, entre otros) de bienes
producidos, avance del POA, ejecución presupuestaria, estados financieros, autoevaluación del CII e
informe de evaluación del CII de la UAI de la entidad?
4.1.2. ¿La información antes mencionada es difundida a las áreas relacionadas y la misma se
considera para validar o reformular la estrategia y la planificación?

4.1.3 ¿Se cumple con los requerimientos de información (formatos, contenidos, fechas de entrega,
comparación, entre otras), establecidas por los organismos rectores de los sistemas administrativos y
en los períodos establecidos?
4.1.4 ¿La MAE ha dispuesto que la información contenida en la web de la entidad cumpla con los
requisitos de la Ley de Transparencia y Acceso a la Información (LTAI)?
4.1.5 ¿Se incorporan controles clave para mantener los contenidos, la calidad del registro, control e
información procesada, determinando las necesidades para el sistema de información?
4.1.6 ¿Considera Ud. que la información, tanto en calidad como suficiencia, que debe ser tenida en
cuenta para la toma de decisiones es emitida oportunamente permitiendo a los tomadores de
decisiones tener en todo momento un panorama claro de las situaciones tanto internas como externas
que afectan o favorecen el entorno operativo de la entidad?
4.2 Sistemas de información
4.2.1 ¿La MAE considera que los sistemas de registro e información sean computarizados, manuales
o una mezcla, a fin de que el diseño del sistema procure que la información permita tomar decisiones,
medir resultados y controlar el avance en la consecución de objetivos institucionales?
4.2.2 ¿TI incluye controles de validación a fin de asegurar el funcionamiento correcto y continuo de
los sistemas de información?
4.2.3 ¿Considera que los sistemas de la entidad están actualizados y responden a las necesidades y
a su vez contienen controles efectivos que garanticen la seguridad de la información?
4.2.4 ¿El personal que utiliza los sistemas informáticos de la entidad es considerado para evaluar el
funcionamiento de los mismos?
4.3 Canales de comunicación abiertos
4.3.1 ¿Se utiliza los canales de información y comunicación (intranet local) para promover su
transparencia y a su vez aplicar controles clave para fomentar la comunicación ágil y oportuna?
4.3.2 ¿Considera que la información cargada en la intranet local o enviada por el correo electrónico
institucional llega oportunamente a todo el personal de la entidad?
4.3.3 Cuando se emiten lineamientos internos en la entidad, ¿esta información llega oportunamente a
todo el personal que involucra su cumplimiento?
4.4 Archivo institucional
4.4.1 ¿Se ha reglamentado en su área la utilización y la conservación de la información de los archivos

de la entidad de manera formal y responsabilizando directamente a los titulares de las unidades?

4.4.2 ¿Se organiza los archivos en: ¿activo (últimos cinco años), pasivo (de cinco a diez años) e
histórico (más de diez años)?
4.4.3 ¿Se facilita el acceso amplio y abierto a todos los archivos de la entidad, a los auditores internos
y externos y al personal de la ONADICI?
4.4.4 ¿En su área trabajo se digitalizan los documentos importantes incluidos en los archivos
organizados?
5. SUPERVISIÓN Y MONITOREO
5.1.1 ¿Se fomentan, actualizan y elaboran las normas, políticas y manuales de procedimientos
de la entidad y se difunden ampliamente?
5.1.2 ¿Los superiores jerárquicos documentan las funciones de supervisión y evaluación tanto
de las operaciones como de las transacciones ejecutadas, que sirven como base para realizar
una autoevaluación?
5.1.3 ¿Considera que el COCOIN realiza actividades de monitoreo y autoevaluación del CII?
5.1.4 ¿La UAI realiza una evaluación separada de control interno de la entidad y a su vez
retroalimenta a las áreas evaluadas para llevar a cabo un plan de acción y atender las
recomendaciones de la UAI?
5.2 Evaluación del desempeño institucional
5.2.1 ¿Conoce los informes gerenciales referente al avance en la ejecución de los planes, el
grado de cumplimiento de los objetivos estratégicos y las decisiones tomadas por la MAE?
5.2.3 ¿Se realiza un informe trimestralmente sobre el grado de cumplimiento de los objetivos de
acuerdo a los indicadores de desempeño integrados al POA?
5.2.4 ¿Se revisan, actualizan y aprueban periódicamente los indicadores clasificándolos por
áreas estratégicas, administrativas y operativas para la rendición de cuentas?
5.2.5 ¿Se retroalimentan los resultados de la evaluación del desempeño institucional y el

cumplimiento del POA?
5.2.6 ¿Participa, conoce y difunde el informe de desempeño institucional preparado por la

administración activa?
5.2.7 ¿Se rinde cuenta sobre el nivel de logro de los objetivos estratégicos de la entidad?
5.3 Reporte de deficiencias y toma de acciones correctivas

5.3.1 ¿Se preparan informes periódicos y oportunos, producto de las acciones de monitoreo y
de la evaluación del desempeño?
5.3.2 ¿La MAE comunica en forma efectiva y oportuna las deficiencias reportadas para corregir
los procedimientos y mejorarlos?
5.3.3 ¿Los responsables de las áreas o unidades a los cuales se les han comunicado las
deficiencias correspondientes, hacen las aclaraciones pertinentes, adjuntando planes de
acción?
5.3.4 ¿La MAE aprueba estos planes de acción?
5.3.4 ¿El personal involucrado da cumplimiento a los planes de acción?
5.4 Asesoría externa para monitoreo y estándares internacionales de auditoría interna
5.4.1 ¿Conoce si la entidad ha contratado el servicio de asesoría externa para el monitoreo del
CII?
5.4.2 ¿La UAI utiliza y aplica la Guía para la Elaboración del Plan General y del Programa
Operativo Anual?
RESUMEN DE LOS RESULTADOS:

1. Ambiente de control (7x4= 28 puntos de 100)
2. Evaluación y gestión de riesgos (6x4= 24 puntos de 100)
3. Actividades de control (4x4= 16 puntos de 100)
4. Información y comunicación (4x4= 16 puntos de 100)
5. Supervisión y monitoreo (4x4= 16 puntos de 100)

ANEXO 56. EVALUACIÓN DE ACTIVIDADES DE CONTROL VIGENTES
A fin de indicar la secuencia de los pasos a seguir en una adecuada evaluación de las actividades de control
vigentes, se detallan las tareas a realizar con ese objetivo. La documentación de los pasos realizados se
realizará a través del uso del formulario incluido en ANEXO 57. MATRIZ DE EVALUACIÓN DE LAS
ACTIVIDADES DE CONTROL.
1. Identificar y describir las actividades de control existentes y vigentes, así como los factores que sin ser
controles promueven la aplicación de éstas, determinando la suficiencia (documentada y efectiva),
deficiencia (no documentada o ineficaz) o inexistencia de la actividad de control para gestionar y
mitigar el riesgo.
2. Identificar las causas subyacentes que generan los riesgos inherentes a fin de que los efectos que
generan sean mitigados, ya sea reduciendo su probabilidad de ocurrencia o su impacto.
3. Evaluar la calidad de la actividad de control vigente, en cuanto a mitigar los riesgos analizados, ya sea
reduciendo la probabilidad de ocurrencia o su efecto o impacto en el proceso revisado. Esta tarea
incluye evaluar cómo el ejercicio de este control afecta la calidad de servicio percibida por el usuario
o el cliente interno o externo (demora en tiempo de respuesta, entre otros), y cuantificar la adecuación
(suficiencia, eficacia, eficiencia y economía) de las actividades de control existentes, a partir de la
fijación y seguimiento del comportamiento de los indicadores de desempeño (gestión) y de resultado
(impacto) de las mismas.
4. A partir de esta evaluación de la actividad de control vigente, debe considerarse su repercusión en

cuanto a si su ejercicio modifica la valoración del riesgo inherente a la actividad o proceso. El riesgo
puede mantenerse en niveles inaceptables o mejorarse hasta niveles compatibles con el nivel de riesgo
residual aceptado por la entidad, permitiendo cambiar el tipo de atención a dar a los eventos de riesgo
en función de la valoración del riesgo residual considerando las actividades de control (inmediata,
periódica o riesgo controlado).
5. Este ejercicio modifica el armado y presentación de las matrices y el mapa de riesgos de la entidad,
afectando la valoración final de los eventos de riesgo, hasta llegar a niveles aceptables de riesgo
residual.
6. En caso de que el riesgo residual una vez consideradas las actividades de control vigentes se mantenga
en niveles inaceptables, deberán describirse los efectos que pueden generarse de materializarse el
riesgo, al no estar debidamente controlado.
7. De mantenerse el riesgo residual en niveles inaceptables debido a que las actividades de control
vigentes no están mitigando los riesgos inherentes en forma debida, ya sea por su deficiencia o su
inexistencia, será necesario que la entidad proponga mejoras a fin de perfeccionar las actividades de
control vigentes, o el diseño e implementación de actividades de control adicionales, supletorias o en
reemplazo de las existentes, las que deben ser descritas en las respectivas matrices de riesgo,
generando una nueva determinación del nivel de riesgo residual una vez implementadas las
actividades de control propuestas, así como el tipo de atención a brindar a los eventos de riesgo en
función de la valorización del riesgo residual considerando la implementación de las actividades de
control propuestas.

8. Las propuestas de mejora a las actividades de control vigentes, así como las nuevas medidas de control
definidas también deberán ser valoradas en cuanto a su calidad y adecuación, así como su relación
costo/beneficio, en cuanto a su contribución a la reducción de la probabilidad de ocurrencia o del
impacto esperado de los riesgos detectados para lograr un riesgo residual aceptable, y a la inversión
en recursos necesaria para su diseño, implementación, cumplimiento efectivo y mantenimiento,
comparándola con el ahorro que se producirá por su aplicación.
9. Es necesario coordinar e interrelacionar los esfuerzos de las diferentes áreas de la entidad en la

prosecución de los objetivos de la entidad y de cada área, asignando prioridades en materia de
acciones y recursos a las diferentes áreas en función de los riesgos mitigados, evitando la proliferación
de actividades de control que se superpongan o no agreguen suficiente valor para la mejora de los
procesos.
Esta coordinación mejora la integración, consistencia y responsabilidad de las áreas y servidores

públicos o colaboradores que las integran, y limita su autonomía al considerar cada área las
implicancias y repercusiones de sus acciones con relación a la entidad en su totalidad, evitando las
suboptimizaciones sectoriales.
10. Es importante analizar la factibilidad de automatización de los procesos críticos de la entidad

(aplicaciones), a fin de que el procesamiento, supervisión, control y evaluación de sus operaciones
puedan realizarse a través de los sistemas informáticos.
11. El proceso de evaluación deberá realizarse, como mínimo, una vez al año, en caso de actividades con
riesgos residuales que se encuentren controlados, y semestralmente en el caso de riesgos residuales
que requieran de un seguimiento periódico (zona amarilla de la matriz de riesgos).

ANEXO 57. MATRIZ DE EVALUACIÓN DE LAS ACTIVIDADES DE CONTROL
ENTIDAD: ……………………………………………..(1)
NIVEL 0: ……………………………………………………(2)
NOMBRE DEL PROCESO NIVEL 1: ……………………………………………………(2)
NIVEL 2: ……………………………………………………(2)
(3) (4) (5) (6) (7) (8) (9) (10) (11) (12) (13) (14) (15) (16) (17) (18)
Evaluación del diseño de la Eficacia
Proceso Riesgo Evaluación del funcionamiento de la actividad de control
actividad de control general de
Subproceso / Objetivo Número de Código Descripción Periodi Oportunid Automa Descrip Referencia Métodos de Fecha de Nombre y Deficiencias Observacio la actividad
Actividad / actividad del del riesgo cidad ad tización ción de documentac prueba la prueba cargo del observadas/ nes de control
Etapa (según riesgo detectado la ión de la evaluador mejoras adicionales
flujograma) prueba prueba propuestas del revisor
Evaluación de las actividades de Revisión de la evaluación de las Superior jerárquico del área o unidad
control vigentes (19.1) actividades de control (19.2) (dueño del proceso) (19.3):
Firma Firma Firma

Nombre y Apellido Nombre y Apellido Nombre y Apellido
Cargo / Función Cargo / Función Cargo / Función
Fecha (20) Fecha (20) Fecha (20)
INDICACIONES PARA EL LLENADO
ONADICI 335
(1) Entidad: indicar el nombre de la entidad

(2) Nombre del proceso: indicar la denominación del proceso de nivel 0, 1 y 2, según corresponda
(3) Subproceso / Actividad / Etapa: indicar según corresponda el subproceso, actividad o etapa del subproceso que se encuentra siendo evaluada en la matriz
(4) Objetivo: indicar el objetivo correspondiente al subproceso, actividad o etapa que se encuentra siendo evaluada en la matriz
(5) Número de actividad (según flujograma): indicar el número de la actividad según el detalle del flujograma o descripción del procedimiento.
(6) Código del riesgo: indica al riesgo relevante identificado proveniente de la MATRIZ DE RIESGOS correspondiente (ver ANEXO 44. MATRIZ DE
RIESGOS)
(7) Descripción del riesgo detectado: indica el detalle de la descripción proveniente de la MATRIZ DE RIESGOS correspondiente
Evaluación del diseño de la actividad de control
(8) Periodicidad: (i) permanente: controles claves aplicados durante todo el proceso, es decir, en cada operación; (ii) periódico: controles claves aplicados en
forma constante sólo cuando ha transcurrido un periodo especifico de tiempo; (iii) ocasional: controles claves que se aplican sólo en forma esporádica en
un proceso
(9) Oportunidad: (i) preventivo: controles claves que actúan antes o al inicio de un proceso; (ii) correctivo: controles claves que actúan durante el proceso y
que permiten corregir las deficiencias; (iii) de detección: controles claves que sólo actúan una vez que el proceso ha terminado
(10) Automatización: (i) automatizado: controles claves incorporados en el proceso, cuya aplicación es completamente informatizada. Están incorporados en
los sistemas informatizados; (ii) semiautomatizado: controles claves incorporados en el proceso, cuya aplicación es parcialmente desarrollada mediante
sistemas informatizados; (iii) manual: controles claves incorporados en el proceso, cuya aplicación no considera uso de sistemas informatizados
Evaluación del funcionamiento de la actividad de control
(11) Descripción de la prueba: detalle de los pasos a seguir en la aplicación de la prueba a las actividades de control
(12) Referencia documentación de la prueba: indicación del lugar al que se remiten los documentos de la prueba
(13) Métodos de prueba: indicar el método a utilizarse, como por ejemplo muestreo aleatorio simple, estratificado, por conveniencia, entre otros
(14) Fecha de la prueba: indicar el día, mes y año de la ejecución de la prueba
(15) Nombre y cargo del evaluador: indicar el nombre y cargo del personal a cargo de la prueba
(16) Deficiencias observadas/mejoras propuestas: descripción de las desviaciones o anomalías detectadas a partir de la prueba aplicada; también indicar los
cambios que pueden efectuarse para mejorar la actividad de control
(17) Observaciones adicionales del revisor: el revisor incluye indicaciones adicionales acerca del análisis efectuado a la actividad de control
(18) Eficacia general de la actividad de control: calificación de la actividad de control como: (i) eficaz, es decir actúa sobre la probabilidad o el impacto del
riesgo, disminuyendo el valor de este de acuerdo con lo esperado; (ii) ineficaz, es decir no actúa sobre la probabilidad o el impacto del riesgo, y no
disminuye el valor de este de acuerdo con lo esperado
(19) Participantes de la evaluación: nombre, cargo / función y firma
(19.1) En la evaluación del funcionamiento de la actividad de control: ítems 8 al 16.
(19.2) En la evaluación del funcionamiento de la actividad de control: ítems 17.
(19.3) En la eficacia general de la actividad de control: ítem 18.
(20) Fecha de elaboración de la matriz.

ANEXO 58. MODELO DE PLAN DE ACCIÓN PARA DEFICIENCIAS REPORTADAS (PADE)
Entidad: ________________
Plan de acción para deficiencias reportadas (PADE)

Número Órgano/Área/Unidad orgánica Año
Año de la
Código: Correlativo de la Código del órgano, área o unidad orgánica que
elaboración del plan
numeración lidera el plan de acción
de acción
Denominación del plan de
Breve descripción o título del plan de acción
acción:
Denominación de la
Tomado del informe de reporte de deficiencias
deficiencia:
Código de la
Deficiencia: Tomado del informe de reporte de deficiencias
deficiencia:
Descripción de la
Tomado del informe de reporte de deficiencias
deficiencia:
Objetivo • Descripción de lo que se busca lograr o situación que se busca superar de forma permanente.
Objetivo(s) estratégico(s) Indicar el objetivo u objetivos estratégicos del PEI relacionados con los resultados a alcanzar con el
relacionado(s) PADE
• Nivel 0: Colocar el nombre del proceso de nivel 0
Proceso al que pertenece • Nivel 1: Colocar el nombre del proceso de nivel 1
• Nivel 2: Colocar el nombre del proceso de nivel 2, si corresponde
Lista detallada de las acciones a llevarse a cabo para alcanzar el objetivo propuesto.
• Actividad 1: detalle de la actividad 1

Actividades
• …
• Actividad n: detalle de la actividad n
• Entregable 1
• Entregable 2
Entregables o resultados
• …
• Entregable n
• Indicador 1
• Indicador 2
Indicadores • …
• Indicador n
Consignar al menos un indicador por cada entregable o resultado esperado
• Nombres y apellidos – Cargo
Responsable(s)
• …
Fecha de inicio DD/MM/AAAA
Fecha de fin DD/MM/AAAA
Cronograma de actividades Representación gráfica del detalle de las actividades, secuencia, fecha de inicio, fecha de término,
(diagrama de Gantt) duración en una escala temporal o línea de tiempo.
Debe realizarse el correspondiente análisis de riesgos para el PADE con base en sus objetivos,
Matriz de riesgos del plan
utilizando en que sea aplicable, la matriz de riesgos del ANEXO 44 de las GICII.
Fecha de aprobación: DD/MM/AAAA
Máxima Autoridad Ejecutiva Responsable jerárquico del órgano

o unidad orgánica líder del plan
ONADICI 337
ANEXO 59. MODELO PROPUESTO DE ESTRUCTURA DE PLAN ANUAL DE IMPLEMENTACIÓN DE

MEJORAS (PAIME)
[Nombre de la entidad]
PLAN ANUAL DE IMPLEMENTACIÓN DE MEJORAS (PAIME)
1. RESUMEN EJECUTIVO
2. INTRODUCCIÓN
3. OBJETIVOS
4. PLANES DE ACCIÓN PARA DEFICIENCIAS REPORTADAS (PADE) CLASIFICADOS POR OBJETIVOS
ESTRATÉGICOS
4.1. Objetivo estratégico 1
4.1.1.PADE 1
4.1.2.PADE 2
4.1.3.…
4.1.4.PADE w
4.2.1.PADE 1
4.2.2.PADE 2
4.2.3.…
4.2.4.PADE x
4.3.1.PADE 1
4.3.2.PADE 2
4.3.3.…
4.3.4.PADE y
4.4. …
4.5. Objetivo estratégico N
4.5.1.PADE 1
4.5.2.PADE 2
4.5.3.…
4.5.4.PADE z
5. CONCLUSIONES
6. RECOMENDACIONES
7. ANEXOS (si los hubiera)

ANEXO 60. ÍNDICE DEL CONTENIDO DE LAS NIEPAI
NORMAS INTERNACIONALES PARA EL EJERCICIO DE LA PROFESIÓN DE AUDITORÍA INTERNA (NIEPAI)
NORMAS SOBRE ATRIBUTOS
1000 Propósito, autoridad y responsabilidad

1010 Reconocimiento de la definición de auditoría interna, el Código de Ética y las Normas en el
estatuto de auditoría interna
1100 Independencia y objetividad
1110 Independencia dentro de la organización
1111 Interacción directa con el Consejo
1120 Objetividad individual
1130 Impedimentos a la independencia u objetividad
1200 Aptitud y cuidado profesional
1210 Aptitud
1220 Cuidado profesional
1230 Desarrollo profesional continuo
1300 Programa de aseguramiento y mejora de la calidad
1310 Requisitos del programa de aseguramiento y mejora de la calidad
1311 Evaluaciones internas
1312 Evaluaciones externas
1320 Reportar sobre el programa de aseguramiento y mejora de la calidad
1321 Utilización de Cumple con las Normas Internacionales para el Ejercicio Profesional de la
Auditoría Interna"
1322 Declaración de incumplimiento
NORMAS SOBRE DESEMPEÑO
2000 Administración de la actividad de auditoría interna

2010 Planificación
2020 Comunicación y aprobación
2030 Administración de recursos
2040 Políticas y procedimientos
2050 Coordinación
2060 Informe a la alta dirección y al Consejo
2100 Naturaleza del trabajo
2110 Gobierno
2120 Gestión de riesgos
2130 Control
2200 Planificación del trabajo
2201 Consideraciones sobre planificación
2210 Objetivos del trabajo
2220 Alcance del trabajo
2230 Asignación de recursos para el trabajo

2240 Programa de trabajo

2300 Desempeño del trabajo
2310 Identificación de la información
2320 Análisis y evaluación
2330 Documentación de la información
2340 Supervisión del trabajo
2400 Comunicación de resultados
2410 Criterios para la comunicación
2420 Calidad de la comunicación
2421 Errores y omisiones
2430 Uso de Realizado de conformidad con las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna
2431 Declaración de incumplimiento de las Normas
2440 Difusión de resultados
2500 Seguimiento del progreso
2600 Decisión de aceptación de los riesgos por la dirección.

Glosario
Glosario
A
Ambiente externo: cualquier cosa por fuera de la entidad que influencia la habilidad de la entidad para
lograr la estrategia y los objetivos institucionales.
Alta Dirección: son los directivos con más alto cargo en una organización de una entidad y está conformada
por la MAI, la MAE, el secretario general y los directores, según sea el caso.
Apetito al riesgo: es una ponderación de alto nivel de cuánto riesgo (cantidad de exposición a impactos
adversos potenciales) la empresa está dispuesta a aceptar para alcanzar sus objetivos.
Autocontrol: capacidad o cualidad que debe poseer cada servidor público o colaborador para controlar su
trabajo, detectar desviaciones y efectuar correctivos.
Autoevaluación: capacidad que deben tener las entidades, unidades, áreas y los servidores públicos o
colaboradores para evaluar la efectividad de los controles internos aplicados en la gestión de las
operaciones a su cargo, por convicción de la importancia y utilidad del control.
Autorregulación: capacidad o nivel de autonomía razonable que deben tener las entidades para crear y
emitir su propia normativa que regule sus procesos, de manera espontánea y sin la intervención de
agentes externos.
B
Balanced scorecard: ver cuadro de mando integral.
C
Capacidad de riesgo: es la máxima cantidad de riesgo que una entidad es capaz de afrontar en la
persecución de sus objetivos.
Complementariedad: cualidad del CII de completar el control gubernamental con el control externo
independiente ejercido por el TSC.
ONADICI 341
Glosario
Confiabilidad: cualidad o característica que procura el CII y que debe poseer la información financiera y
operativa derivada de la gestión de los entes públicos.
Contexto institucional: las tendencias, eventos, relaciones y otros factores que pudieran influenciar,
aclarar o cambiar la estrategia presente o futura de una entidad y sus objetivos institucionales.
Control interno institucional: “es un proceso permanente y continuo realizado por la dirección, gerencia y
otros empleados de las entidades públicas, con el propósito de asistir a los servidores públicos en la
prevención de infracciones a las Leyes y a la ética, con motivo de su gestión y administración de los bienes
nacionales y alcanzar, de conformidad con lo previsto en el artículo 46 de la misma Ley, los objetivos
siguientes:
1) Procurar la efectividad, eficiencia y economía en las operaciones y la calidad en los servicios;
ilegal;
Cuadro de mando integral (Balanced scorecard): es una metodología y herramienta de gestión que
traduce la estrategia de las organizaciones en un conjunto coherente de indicadores agrupados en cuatro
categorías de negocio: financieras, clientes, procesos internos y aprendizaje.
Cultura: las actitudes, comportamientos y comprensión acerca de los riesgos, positivos y negativos, que
influencian las decisiones de la gerencia y el personal y que refleja la misión, visión y valores institucionales
de la organización.
E
Economía: capacidad de obtener los resultados correctos a costos de aprovisionamiento razonables, sin
sacrificar calidad.
Eficacia: capacidad de respuesta para alcanzar un objetivo o resultado determinado, o para producir un
efecto esperado, sin considerar el uso o costo de los recursos.
Eficiencia: es la capacidad de realizar un proceso, actividad o tarea haciendo el mejor uso de los recursos
disponibles.
Entidad: cualquier forma de organización con o sin fines de lucro, gubernamental o no.
Estructura de control interno: se refiere a los componentes del control interno, a saber: ambiente de
control, evaluación y gestión de riesgos, actividades de control, información y comunicación, y supervisión
y monitoreo.

Glosario
Ética pública: La actitud permanente de los servidores públicos o colaboradores acorde con la integridad,
rectitud y demás valores morales aceptados por la sociedad, constituye la base principal en que se
fundamenta el control interno institucional de los recursos públicos.
Evaluación separada: evaluación de la efectividad del control interno, permanente y con criterio
independiente de las operaciones realiza la UAI.
G
Gestión de riesgos institucionales: la cultura, capacidades y prácticas, integradas con el establecimiento
de estrategias y el desempeño, de las que las entidades dependen para para gestionar el riesgo en la
creación, preservación y obtención de valor para ellas mismas y sus grupos de interés.
Grupos de interés (stakeholders): grupo o parte que tiene interés en la entidad, sea genuino o establecido.
Grupos de interés externos: cualquier grupo que no está directamente involucrado con las operaciones
de la entidad pero que se ve afectado por ella, y que influencia directamente el entorno institucional o
que influencia su reputación, marca y confianza.
I
Impacto: es el resultado o el efecto de un riesgo. Puede existir un rango de posibles impactos asociados
con un riesgo. El impacto de un riesgo puede ser positivo o negativo en relación con la estrategia o los
objetivos institucionales.
Indicador: es la expresión cuantitativa que relaciona dos o más variables, permitiendo evaluar el
comportamiento o desempeño de algún fenómeno o entidad, cuyo resultado, al es comparado con algún
nivel de referencia previamente establecido.
Indicador clave de desempeño (key performance indicator, KPI): indicador de gestión de un proceso que
se relaciona con los factores críticos de éxito para la consecución de los objetivos de la entidad.
Indicador clave de riesgo (key risk indicator, KRI): es una medición cualitativa o cuantitativa que brinda
un mayor conocimiento de los riesgos potenciales, y que se utiliza para hacer un seguimiento periódico de
su comportamiento y evolución, con el fin de observar si se mantienen dentro de los umbrales de
tolerancia al riesgo preestablecidos, alimentando un sistema de alertas para los casos en que se superen
estos umbrales.
Indicador de gestión: es la expresión cuantitativa del comportamiento o el desempeño de toda una

organización o una de sus partes (función, unidad organizacional, proceso o persona), que refleja cuáles
fueron las consecuencias de las acciones tomadas en el pasado y cuya magnitud, al ser comparada con
algún nivel de referencia previamente establecido, puede estar señalando una desviación sobre la cual se

Glosario
tomarán acciones correctivas o preventivas según el caso; son un subconjunto de los indicadores porque
sus mediciones están relacionadas con el modo en que los servicio o productos son generados por una
entidad.
Integración: característica o cualidad que deben poseer los sistemas administrativos al incluir las técnicas,
mecanismos y elementos del control interno como parte natural de sus procedimientos.
Integralidad: cualidad o característica del control interno institucional por el cual su alcance debe cubrir
todos los aspectos, en especial el de acatamiento de la legalidad, los de carácter contable financiero y los
de carácter operacional o de gestión.
K
Key performance indicator: ver indicador clave de desempeño.
Key risk indicator: ver indicador clave de riesgo.
L
Legalidad: el acatamiento o cumplimiento de las disposiciones legales que regulan los actos
administrativos y la gestión de los recursos públicos, así como de los reglamentos, normas, manuales, guías
e instructivos que las desarrollan, es el primer propósito del control interno institucional.
M
Mapa de riesgo: es la representación gráfica de los riesgos identificados y valorados en un plano cartesiano
que combina probabilidad con impacto, permitiendo la ubicación de estos y su visualización en las zonas
de aceptación o rechazo definidas.
Modelo de gestión: representación gráfica, genérica y simplificada de la forma en que funciona o debe
funcionar una entidad del Estado, de las actividades administrativas y sus correspondientes documentos
de gestión y flujos de información para la correcta gestión de ella.
O
Objetivos institucionales: aquellas etapas medibles que la organización toma para lograr su estrategia.

Glosario
Perfil de riesgos de la entidad: es una vista compuesta de los riesgos asumidos en un nivel determinado
de la entidad, o aspecto de la actividad medular de la entidad, que coloca a la gerencia en la posición de
considerar los tipos, severidad e interdependencias de los riesgos y cómo pueden afectar el desempeño
relativo a la estrategia y los objetivos institucionales.
Prevención: preparar y disponer lo necesario para evitar o estar listo para la ocurrencia de eventos o
situaciones adversas que puedan afectar la gestión pública y el logro de los objetivos y metas.
Probabilidad: es la posibilidad de que un evento determinado pueda ocurrir.
R
Rendición de cuenta: responder o dar cuenta de la forma y resultados de la gestión pública, es un deber
de los servidores públicos o colaboradores en los diferentes niveles de responsabilidad de la estructura
organizacional de los entes públicos, cuyo adecuado cumplimiento es un propósito esencial del proceso
de control interno institucional.
Riesgo: es la posibilidad de que ocurra un evento adverso que afecte el logro de los objetivos.
Riesgo aceptado: es el nivel de riesgo fijado por la MAE y que se está dispuesto a aceptar a cambio de
lograr los objetivos.
Riesgo de control: es el riesgo de que las actividades de control fallen.
Riesgo inherente: es el riesgo propio de la naturaleza de la actividad u operaciones de la entidad sin

considerar la efectividad de los sistemas y actividades de control que afectan su probabilidad de ocurrencia
o impacto.
Riesgo tolerable: es el riesgo de que se produzca un desvío relativo a la consecución de los objetivos y que
está dentro la tolerancia al riesgo establecida.
Riesgo residual: riesgo remanente después de haber aplicado una respuesta al riesgo.
S
Sistema de control interno: es el conjunto de acciones, actividades, planes, políticas, normas, manuales,
registros, procedimientos y métodos, incluido el entorno y actitudes que desarrollan las autoridades y su
personal a cargo, con el objetivo de prevenir la materialización de los riesgos que afectan a una entidad.
Se compone del CII (proceso) y la estructura de control interno (componentes).

Glosario
Sistema de gestión de riesgos: es un sistema administrativo de la entidad con el objetivo de identificar,

evaluar, valorar y dar respuesta a los riesgos en la creación, preservación y obtención de valor para ella
misma y sus grupos de interés.
Stakeholders: ver grupos de interés.
T
Tolerancia al riesgo: son los límites de la variación aceptable en el desempeño relacionado con el logro de
los objetivos, es decir los límites de la desviación con respecto del apetito al riesgo.
Transparencia: el conjunto de medidas de información y comunicación sobre la gestión y el acceso a ellas,

son parte de los fundamentos en que descansa un adecuado control interno institucional de los recursos
públicos.
V
Valores institucionales: son las creencias e ideales de la entidad acerca de lo bueno y lo malo, aceptable
o inaceptable, que influencia el comportamiento de los miembros de la organización.
Visión de portafolio de riesgos: es una vista compuesta de los riesgos que la entidad enfrenta, que coloca
a la gerencia y al consejo o directorio en la posición de considerar los tipos, severidad e interdependencias
de los riesgos y cómo pueden afectar el desempeño relativo a la estrategia y los objetivos institucionales.

El establecimiento del control interno, más que
una obligación, debe ser un estilo de vida del
servidor público en busca de la transparencia y la
rendición de cuentas

Guias para La Implementacion Del Control Interno Institucional ONADICI 2da Edicion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guias para La Implementacion Del Control Interno Institucional ONADICI 2da Edicion

Cargado por

Copyright:

Formatos disponibles

GUÍAS PARA LA

ACUERDO ADMINISTRATIVO DIRECCIÓN EJECUTIVA ONADICI 002/2018 ............................... xxi

PRESENTACIÓN DE LAS GUÍAS PARA LA IMPLEMENTACIÓN DEL CONTROL INTERNO

SIGLAS UTILIZADAS .............................................................................................................. xxv

Guía 0 “INTRODUCCIÓN GENERAL” .............................................................................................1

Guías para la implementación del CII - ONADICI iii

0.4.8. PREVENCIÓN ................................................................................................................................. 11

Guías para la implementación del CII - ONADICI iv

0.5.5.2. PROPÓSITO ............................................................................................................................... 16

Guías para la implementación del CII - ONADICI v

0.8.2.3. PLAN OPERATIVO ANUAL (POA) ................................................................................................ 29

Guía 1 “AMBIENTE DE CONTROL” .............................................................................................37

AMBIENTE DE CONTROL ............................................................................................................ 39

Guías para la implementación del CII - ONADICI vi

1.3.9. SEGURIDAD, CONFIANZA Y CREDIBILIDAD ..................................................................................... 50

Guías para la implementación del CII - ONADICI vii

1.9.5. REFERENCIA LEGAL ........................................................................................................................ 58

Guías para la implementación del CII - ONADICI viii

1.17.3. CRITERIOS ...................................................................................................................................... 66

Guía 2 “EVALUACIÓN Y GESTIÓN DE RIESGOS”...........................................................................73

EVALUACIÓN Y GESTIÓN DE RIESGOS ........................................................................................ 75

Guías para la implementación del CII - ONADICI ix

Guía 3 “ACTIVIDADES DE CONTROL” ....................................................................................... 111

ACTIVIDADES DE CONTROL ...................................................................................................... 113

Guías para la implementación del CII - ONADICI x

3.4.1.2. ANÁLISIS DE COSTO/BENEFICIO ................................................................................................123

Guías para la implementación del CII - ONADICI xi

3.8.1. RESUMEN DE LA NOGECI ..............................................................................................................142

Guía 4 “INFORMACIÓN Y COMUNICACIÓN” ............................................................................. 147

INFORMACIÓN Y COMUNICACIÓN ........................................................................................... 149

Guías para la implementación del CII - ONADICI xii

Guía 5 “SUPERVISIÓN Y MONITOREO”..................................................................................... 163

SUPERVISIÓN Y MONITOREO ................................................................................................... 165

ANEXOS GUÍA 0 “INTRODUCCIÓN GENERAL” ........................................................................... 177

ANEXOS GUÍA 1 “AMBIENTE DE CONTROL” ............................................................................. 199

Guías para la implementación del CII - ONADICI xiii

ANEXOS GUÍA 2 “EVALUACIÓN Y GESTIÓN DE RIESGOS” ........................................................... 231

ANEXOS GUÍA 3 “ACTIVIDADES DE CONTROL” ......................................................................... 271

ANEXOS GUÍA 4 “INFORMACIÓN Y COMUNICACIÓN” ............................................................... 291

ANEXOS GUÍA 5 “SUPERVISIÓN Y MONITOREO” ....................................................................... 299

Glosario ............................................................................................................................... 341

Guías para la implementación del CII - ONADICI xiv

ANEXO 1. BOLETIN TRIMESTRAL DE PROMOCIÓN DEL CONTROL INTERNO INSTITUCIONAL (CII)179

Guías para la implementación del CII - ONADICI xv

ANEXO 33. IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS. ....................................................... 233

Guías para la implementación del CII - ONADICI xvi

Figura 1 Jerarquía del sistema de control interno ........................................................................... 20

Guías para la implementación del CII - ONADICI xvii

Guías para la implementación del CII - ONADICI xviii

Guías para la implementación del CII - ONADICI xix

ACUERDO ADMINISTRATIVO DIRECCIÓN EJECUTIVA ONADICI 002/2018

Guías para la implementación del CII - ONADICI xxi

PRESENTACIÓN DE LAS GUÍAS PARA LA IMPLEMENTACIÓN DEL

La implementación del control interno es el primer eslabón en la transparencia y el combate a la

Guías para la implementación del CII - ONADICI xxiii

1. ACO Actividades de control

Guías para la implementación del CII - ONADICI xxv

36. PRICI Principios de control interno

Guías para la implementación del CII - ONADICI xxvi

OFICINA NACIONAL DE DESARROLLO INTEGRAL DEL CONTROL INTERNO

Guías para la implementación del CII - ONADICI 2

El artículo 222 reformado de la Constitución de la República de Honduras, define al Tribunal Superior de

El SINACORP cuenta con los siguientes componentes institucionales: