H2-Evaluacion_CI_con_enfoque_ODS_VF.xlsx
Boletín
11th Jul 2022
Extracto
I. De la aplicación de la herramienta y productos esperadosII. De los antecedentes de la herramientaIII. Sobre su aplicabilidad y adaptabilidadIV. Referentes o definicionesEntidad Fiscalizadora Superior:Indicar nombre de la EFS que realiza la auditoríaEntidades Fiscalizadas:Indicar el nombre del o los organismos auditadosNombre de auditoría:Indicar el nombre completo de la auditoría, especificando el o los ODS auditadosPeríodo evaluado:Indicar el periodo que comprende la revisión de auditoríaObjetivo de aplicación:Propósito de la herramienta:Instrucciones generales para completar la herramienta:Todo lo que se visualiza con letra azul, corresponden a campos que deberán ser completados por el auditor.Indique el país ESTRUCTURA GENERAL https://unctad.org/meetings/es/SessionalDocuments/ares70d1_es.pdfhttps://www.un.org/sustainabledevelopment/es/objetivos-de-desarrollo-sostenible/IV. Links de interésUn efectivo sistema de control internoreduce la probabilidad de no alcanzar los objetivos de la entidad, no obstante,siempre habrá riesgo de que el control falle en operar como se espera, porcuanto, depende del factor humano, por lo que se encuentra sujeto a debilidadesen el diseño, errores de juicio o interpretación, mala comprensión, descuido,fatiga, distracción, colusión, abuso o excesosPRINCIPIOFORMA DE EVIDENCIAR1. Compromiso de la alta dirección2. Política de talento humano2.1 Políticas y buenas prácticas en RRHH, documentadas y aprobadas.% POR ENFOQUE% POR PRINCIPIO% POR COMPONENTEPAÍS: Indicar el paísCOMPONENTE: I. AMBIENTE O ENTORNO DE CONTROLCOMPONENTE: II. EVALUACIÓN DE RIESGOSCOMPONENTE: III. ACTIVIDADES DE CONTROLCOMPONENTE: IV. INFORMACIÓN Y COMUNICACIÓNCOMPONENTE: V. SEGUIMIENTOCOMPONENTE: VI. IMPLEMENTACIÓN DE ODSNOTA TÉCNICA – HERRAMIENTA EVALUACIÓN DE SCI CON ENFOQUE ODSObjetivo: Aplicar la herramienta, a efecto de que los auditores de las EFS recopilen datos e información para adquirir un conocimiento general de la entidad y sus procesos, analizando los controles institucionales que permiten administrar los riesgos. Dependerá de la materia en revisión, naturaleza específica y alcance de la auditoría, el tipo de control que el auditor considere en su enfoque.PUNTO DE ENFOQUEV. Acrónimos y abreviaturasInformación base de los componentes.1. En la pestaña excel denominada «Resumen SCI» se encuentra la estructura general de los componentes evaluados, que reflejará el grado de eficacia respecto de los 6 componentes I. Ambiente de control, II. Evaluación de riesgos, III. Actividades de control, IV. Información y comunicación, V. Seguimiento y VI. Implementación de ODS. Las celdas de la hoja denominada «Resumen SCI» se actualizan de forma automática, NO MODIFICAR, por lo cual no resulta necesario manipular dichas celdas. Ahora bien, para efectos de ir completando dicha herramienta, se deberá hacer «clic», en cada uno de los componentes, en cuyo caso el hipervínculo existente, los ubicará en la hoja de trabajo excel, asociada a ese componente o posicionarse directamente.
VolverRESPUESTASíNoParcialmenteARCHIVORESULTADO OBTENIDOIncruste aquí los archivos de respaldo o referencie las hojas de trabajo.Desarrolle aquí, la explicación que puede documentar respecto del principio, indicando la situación y los documentos asociados.% del componenteNivel insuficienteNivel en desarrolloNivel optimo0% <X <= 33%34% <X <= 66%67% <X <= 100%Interpretación de los resultados:I. AMBIENTE O ENTORNO DE CONTROLII. EVALUACIÓN DE RIESGOSIII. ACTIVIDADES DE CONTROLIV. INFORMACIÓN Y COMUNICACIÓNV. SEGUIMIENTOVI. IMPLEMENTACIÓN DE ODS%COMPONENTES DEL SCISe debe evidenciar la actitud responsable de la AD frente a la efectividad del SCI, cuyos indicios pueden ser conocer los indicadores de monitoreo, informes de avances con la evaluación de la efectividad del control de riesgos, los informes de auditoría interna, los planes de mejoramiento, entre otros, y es posible evidenciar con reuniones, documentos con ajustes de mejoras, que den cuenta de la intervención y preocupación de la AD.Acreditar documentalmente la existencia de políticas de RRHH con procedimientos para el reclutamiento y promoción, aprobadas por la AD y confirmar la revisión periódica para asegurar que permanece pertinente y apropiada, esto puede ser con las distintas versiones por ejemplo anuales, de dicha política.El objetivo es evidenciar si la organización aplica algún instrumento para medir el clima organizacional al menos una vez al año, midiendo la satisfacción y el sentido de pertenencia de los funcionarios, y con ello el compromiso y reconocimiento (construir relaciones de mentoría, construcción de autoestima individual, apoyo metas vida, desarrollo nuevas habilidades, flexibilidad laboral, remuneración y beneficios, otros).3. Responsables por el cumplimiento de CIEl objetivo es conocer si la organización ha interiorizado la evaluación de desempeño, midiendo y valorizando la conducta profesional y el logro de resultados, utilizando criterios de transparencia, objetividad, imparcialidad y no discriminación, lo que se puede evidenciar con los procedimientos autorizados por la AD para ello.Los criterios utilizados para evaluar el desempeño, deben aplicarse sin menoscabo de los derechos de los funcionarios, lo que es posible acreditar con los mismos documentos que den cuenta de las funciones a desarrollar, las cargas y distribución del trabajo, los requisitos para cada cargo, entre otros.Es necesario tener claros los objetivos institucionales, considerando los factores de riesgos (internos y externos), para identificar los riesgos y levantar inventario para evaluación posterior. Este paso previo a la matriz, puede ser acreditada con el listado de riesgos identificados, con los distintos tipos de factores.Una vez identificados los riesgos, la matriz debe indicar la importancia de estos, priorizando los riesgos inherentes y residuales, con lo cual decide como enfrentar estos riesgos. Evidenciar con la matriz.Con base en la valoración de riesgos, la entidad determinó y estableció las medidas de administración de riesgos, las actividades de control tienen entre sus características la de responder al riesgo y su actualización contribuye a eliminar o cambiar los que son inadecuados, obsoletos, inoperantes o poco efectivos. Se acredita con matriz de riesgos y acciones realizadas.Tipos de Fraudes:Con el fin de evitar la materialización o minimizarlo al máximo el fraude, la AD establece políticas y procedimientos para declarar conflictos de interés, indica las sanciones asociadas al incumplimiento y deja registro de ellas, usa técnicas de comportamiento para alentar el cumplimiento de los procesos de aplicación para mitigar el riesgo de fraude y corrupción. Acreditable con el documento que contenga los procedimientos de evaluación y administración de riesgos.Se requiere que la AD realice esfuerzos para formalizar los procedimientos que midan el impacto que puedan tener posibles cambios en el entorno externo, y que puedan provocar que el control interno no resulte efectivo. Acreditar con documentos que den cuentas de los factores de entorno que pudieran afectar la definición de riesgos y su evaluación.La organización cuenta con procedimientos formalizados para identificar, analizar y administrar los cambios del modelo de negocios que podrían impactar en el sistema de control interno. Acreditar con documentos que den cuentas de los factores del modelo de negocio que pudieran afectar la definición de riesgos y su evaluación.La organización cuenta con procedimientos formalizados para identificar, analizar y administrar los cambios del liderazgo organizacional y de las funciones de este, que podrían impactar en el sistema de control interno. Acreditar con documentos que den cuenta del análisis de estos cambios que pudieran afectar la definición de riesgos. Considerando los recursos y los factores específicos de la entidad en procesos relevantes, se analiza la mejor opción a mezclar tipos de controles, preventivo, correctivo y de detección, lo que es posible acreditar con la matriz de riesgo y los documentos de análisis previos de los procesos.4. Identificación y análisis de los riesgos5.2 Evalúa incentivos, presiones, oportunidades y racionalización.5.4 Procedimientos preventivos y sancionatorios.7. Selección y desarrollo de actividades de control7.1 Integración con la evaluación de riesgos.7.2 Evalúa una mezcla de tipos de actividades de control.7.3 Considera en qué nivel se aplican las actividades.La organización debe mantener una continuidad razonable de sus procesos, de modo que su interrupción no afecte significativamente a los usuarios, para lo cual debe poner en práctica las acciones preventivas y correctivas necesarias, acreditable con los planes de mediano y largo plazo TI, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad.La institución cuenta con un mecanismo que defina los estándares, regulaciones, políticas y controles para la adquisición, operación y administración de la capacidad tanto de hardware como de software, acreditable con el documento que contenga dichas disposiciones y que debe estar aprobado por la AD.Se han definido e implementado procedimientos para otorgar, limitar y revocar el acceso físico al centro de cómputo y a otras instalaciones que mantienen equipos e información sensibles. Acreditable con el documento que establezca los procedimientos autorizados por la AD.Existe un manual de procedimientos que regule cada fase del proceso presupuestario, los plazos y los roles de los participantes e instancias de aprobación, entre otros, acreditable con el mismo manual aprobado por la AD.Se revisa periódicamente la efectividad de los mecanismos de comunicación utilizados y se realizan ajustes de ser necesario para regular el desarrollo de sus diferentes fases. Acreditable con la evidencia que permita conocer la forma de difusión, capacitación y actualización de este tipo de procedimientos.Existen un mecanismo de reserva de confidencialidad de la información que considera sanciones. Acreditable con el documento que describa el mecanismo y pruebas de un caso existente.Existe política para comunicar resultados de análisis internos como por ejemplo resultados de informes de auditoría interna, a los funcionarios. Acreditable con el procedimiento y tipos de información entregable a los funcionarios, las instancias de aprobación por cada una de ellas, aprobado por la AD.Se ha definido qué información será comunicada a cada uno de los grupos de interés internos de la institución, asignando niveles de responsabilidades adecuados. Acreditable con el documento de estrategia de comunicación de información o similar.Un proceso involucrado en uno o más ODS, posiblemente esta vinculado al cumplimiento de otro ODS, o cuenta con el apoyo de otro organismo público, para lo cual es necesario la colaboración, estableciendo procedimientos de cooperación en reportar la información o en procesarla bajo premisas previamente acordadas, acreditables con convenios, actas de reunión y/o acuerdos suscritos, entre otros.Es posible evidenciar que se han implementado políticas y mecanismos para comunicar clara y oportunamente la información desde y hacia afuera de la organización, con el documento que indique las condiciones en que se debe realizar la comunicación, previa autorización de la AD.10.1 Reserva de confidencialidad de la información.11. Comunicación interna11.1 Políticas y mecanismos para comunicar la información dentro de la organización.11.2 Definir qué información será comunicada a los grupos de interés internos.11.3 Denuncias, opiniones y sugerencias de los funcionarios.12. Comunicación externa12.1 Políticas y mecanismos para comunicar la información fuera de la organización.12.2 Información y canales de comunicación. 12.3 Transparencia y rendiciones de cuenta a la sociedad.13.1 Análisis Crítico del SCIDentro de las evaluaciones de eficacia de los controles, se consideran todos los procesos y las actividades de formación implementadas, el cumplimiento de los planes y sus metas, los resultados de los indicadores correspondientes, y la forma como éstos contribuyen a los logros estratégicos pretendidos, acreditable con los informes de resultados de indicadores, como insumos para la evaluación anual del SCI, en coherencia con los ajustes realizados.La organización formuló e implementó un plan de mejoras con base en los resultados de la autoevaluación del SCI, incluyendo las acciones concretas con las que la institución mitigará las debilidades, acreditable con el documento sobre la metodología debidamente aprobado por la AD.La organización verifica la eficacia de las acciones correctivas y de mejora resultantes de los hallazgos de auditoría interna, es posible verificar con reportes emitidos con los resultados de indicadores, corroborando los cambios con la implementación de los nuevos controles o ajustes de estos. La jefatura de CI cuenta con líneas de comunicación de los resultados de sus evaluaciones de forma independientes, para funcionarios y otro para el directorio, acreditable con el procedimiento descrito que involucre la comunicación de hallazgos o debilidades detectadas y los aspectos de mejora o cambios que se realizaran, para conocimiento y tratamiento diferenciado considerando que son usuarios distintos de la información.16.3 El directivo evalúa los resultados de los informes de auditoría interna.13.2 Evaluaciones de eficacia de los controles.13.3 Indicadores correctos y útiles en los niveles estratégicos y operativos.13.4 Indicadores actualizados para la toma de decisiones.17.1 Misión y visión ajustada a ODS.Existencia de un Mapa de Procesos, que permita el despliegue de los procesos con un enfoque estratégico, misional y de apoyo, identificando aquellos relacionados al cumplimiento de los ODS, acreditable con el mapa propiamente tal, el análisis del proceso asociado a los ODS y al cumplimiento de las metas, entre otras formas que puede considerar el organismo.El Modelo de Gestión por Procesos (mapa y caracterizaciones) son revisados periódicamente y ajustados considerando las metas de los ODS, acreditable con el análisis realizado para levantar los posibles cambios que pueden surgir con el impulso de las nuevas metas.18.2 Modelo de Gestión por Procesos revisados periódicamente.18.3 Coordinación y colaboración institucional.19.2 Ajuste de planes corto, mediano y largo plazo.19.1 Identificación y evaluación de riesgos.5. Evaluación de riesgos de fraude6. Identificación y análisis de cambios significativos8. Sistema de información9. Implementación de controles13. Evaluaciones continuas del SCI17. Direccionamiento estratégico18. Gestión por procesos19. Identificación y evaluación de riesgos (IyER)1.1 Responsabilidad de la alta dirección.1.3 Las desviaciones son abordadas de manera oportuna.2.2 Evalúa las competencias y corrige las deficiencias.2.3 Atrae, desarrolla y retiene funcionarios.2.4 Planifica y se prepara para la sucesión.2.5 Estructura, líneas de reporte, autoridad y supervisión.3.1 Hace cumplir la rendición de cuentas mediante estructuras, autoridad y responsabilidad.3.2 Establece y evalúa medidas de desempeño, incentivos y recompensas para relevancia continua.3.3 Considera presiones excesivas.4.2 Analiza los factores internos y externos.4.3 Involucra a niveles adecuados de la administración.4.4 Estima la importancia de los riesgos identificados.4.5 Determina cómo responder a los riesgos.5.1 Considera varios tipos de fraude.6.1 Evalúa los cambios en el entorno externo.6.2 Evalúa los cambios en el modelo de negocio.6.3 Evalúa los cambios en el liderazgo.8.2 Controles físicos de TI.8.3 Continuidad de los servicios de tecnologías de información en la organización.8.4 Actividades de control relevantes para los procesos de adquisición, desarrollo y mantenimiento de TI.8.5 Controles a los sistemas organizacionales.9.2 Establece la responsabilidad y rendición de cuentas por la ejecución de las políticas y los procedimientos.17.3 Difusión de la misión, visión, objetivos y planes de acción.18.1 Mapa de procesos vinculados a los ODS.19.3 Procedimientos ante emergencias.Componentes del SCI + componente VI, sobre Implementación de los ODS.Conclusión – Sistema de Control InternoSi bien el organismo ha definido algunos elementos del SCI, otros se encuentran en fase de diseño. Algunos Controles básicos están establecidos, pero en general se trata de «impulsos» personales, lo que no es suficiente para lograr en conjunto, el cumplimiento de las metas organizacionales y aquellas fijadas en cada ODS y con ello dar cumplimiento a la Agenda 2030.
(El equipo debe concluir y profundizar sobre las debilidades encontradas, según cada caso)El organismo ha definido correctamente el SCI, los controles se ejecutan de acuerdo a lo planificado y existe cierta «disciplina» respecto a ellos, asimismo, se cuenta con mediciones de los factores de desempeño asociados, los que deben ser monitoreados constantemente de forma preventiva, lo que permite el cumplimiento de las metas organizacionales y aquellas asociadas a los ODS.
(El equipo debe concluir sobre las fortalezas y debilidades encontradas, según cada caso)La organización optimiza continuamente su SCI, logrando mejoras comprobables en su desempeño, demostrando un nivel de excelencia que facilita y permite el cumplimiento de las metas organizacionales y aquellas asociadas a los ODS, implementando las acciones tendientes al cumplimiento de la Agenda 2030.
(El equipo debe concluir sobre las fortalezas y oportunidades de mejora encontradas, según cada caso)PORCENTAJE DE CUMPLIMIENTO DEL SCIPara su utilización es necesario evaluar previamente la institucionalidad encargada de coordinar y dar seguimiento de los ODS, pudiendo concentrarse en el centro de gobierno o por lo menos con un estrecho vinculo, según lo haya definido cada país, con el fin de analizar si el o los ODS que sean materia de revisión, son responsabilidad de uno o más organismos.
La herramienta que se presenta contiene un esfuerzo por estandarizar a la mayor cantidad de casos posibles. Sin embargo, es posible que para casos particulares de cada país se requiera un ajuste o adaptabilidad para lograr una interpretación estandarizada con los demás países, aunque los conceptos abordados corresponden a criterios universales del control interno.
Queda a criterio de cada EFS su adaptabilidad al caso Nacional según sus necesidades.Adicionalmente, se presenta una pestaña «Gráfico» en la cual se encuentran vinculados los resultados de la evaluación, por lo cual con cualquier cambio en las respuestas se actualizará automáticamente, la tabla y el gráfico correspondiente. En el primer gráfico es posible visualizar el resultado de la evaluación del Sistema de Control Interno por cada uno de los componentes, y luego hay gráficos individuales por cada uno de los componentes, con los resultados porcentuales de cada principio revisado.Esta herramienta esta dirigida a una o más organizaciones que se responsabilicen por el cumplimiento de los objetivos de la agenda, que sea materia de revisión en la auditoría. En caso contrario deberá ser adaptada de manera más general y aplicar esta a la institucionalidad encargada de la coordinación y el seguimiento o monitoreo de los ODS.Cada componente se encuentra separado en una pestaña individual, en las cuales es posible visualizar, el principio, el punto de enfoque que da indicio del objetivo que persigue, la forma de evidenciar, una explicación breve del resultado obtenido, el archivo con la acreditación documental de lo revisado, la respuesta a la afirmación de la organización y el resultado obtenido de acuerdo a la información recopilada por el equipo auditor, en cada uno de los puntos de enfoque, los que serán promediados y calcularan el % de cumplimiento por principio y luego por componente.Pretende evaluar que la organización ejecute un plan de sucesión para prever la dotación de funcionarios que sustituyan a quienes dejan la entidad, pudiendo acreditarlo con el documento elaborado, y las políticas de promoción, para asegurar que serán remplazados por otros individuos con los conocimientos y las capacidades necesarios.Pretende medir si la organización tiene claramente definidos los procedimientos para la medición del desempeño de los funcionarios con sus escalas jerárquicas, se puede acreditar con organigramas, flujos de decisión, descripción de cargos y dependencias entre otros.1.2 Establece y evalúa las normas de conducta.1.4 Política de CI documentada, aprobada, actualizada y comunicada.1.5 Acuerdos y compromisos éticos.Pretende medir si la institución cuenta con una matriz de Riesgos (probabilidad e impacto) o Análisis y Evaluación de Riesgos, la cual debe estar aprobada por la AD, y estar preparada de forma participativa con los involucrados. Lo que es posible acreditar con la matriz en cuestión, los acuerdos participativos y la difusión de dicha matriz.La AD debe evaluar las teorías de cualquier tipo de fraude, los incentivos, las presiones, las oportunidades y las racionalizaciones asociados a la eventual ocurrencia de esos fraudes, identificando así los puntos críticos. Se puede acreditar, con documentos de análisis elaborados en base a los procesos organizacionales.5.3 Prevención de las teorías del fraude.La AD preventivamente identifica los puestos claves susceptibles a riesgos de fraude y evalúa periódicamente la permanencia del personal asignado en esos puestos. Se puede acreditar con matriz de riesgo de fraude, documentos que acrediten la identificación de estos puestos y su rotación periódica.La organización cuenta con procedimientos formalizados para analizar y administrar los riesgos de fraude y corrupción, considerando los distintos tipos. Se acredita con el documento aprobado por la AD que detalla los tipos de fraude que son posibles en la organización, de acuerdo a sus características. Se ha evaluado las actividades de control que garanticen respuestas para mitigar que los riesgos se lleven acabo de manera eficaz, (principalmente riesgos de corrupción de funcionarios). Es posible acreditar con la matriz de riesgos y su relación riesgo – control establecido.La organización ha identificado los procesos relevantes y críticos, y en ellos debe determinar en que nivel aplicara los control, si de forma operacional o gerencial, acreditando con flujos de decisiones, y flujos de procesos con los riesgos y controles identificados.8.1 Existencia de un plan estratégico en TI.Existe un plan estratégico que contenga al menos objetivos, estrategias, indicadores y reservas presupuestarias que estarán alineados con su contraparte institucional, acreditable con el documento del plan estratégico o similar aprobado por la AD.Se aplican medidas de prevención, detección y corrección para proteger los sistemas contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento, etc.), minimizar su riesgo de fallas y proteger la integridad del software y de la información, acreditable con el documento de políticas de acción aprobado por la AD, además de contratos vigentes con posibles proveedores de seguridad.9.3 Revisión periódica de los mecanismos de comunicación.Se han implementado políticas y mecanismos para comunicar clara y oportunamente los avances en la implementación del SCI, a la AD y demás funcionarios. Acreditable con el documento que contenga los procedimientos, previa aprobación formal de la AD.Acreditar que se ha definido la información y los canales para comunicar a los diferentes grupos de interés externos de la institución, asignando los niveles de responsabilidades, ante cualquier filtración de información sensible, con el documento que cuente con las disposiciones que deben aplicarse en caso de comunicar información del tipo ahí descrita.Acreditar que la AD evalúa el SCI, al menos una vez al año e incluyó consideraciones sobre decisiones y acciones emanadas de anteriores revisiones; cambios en los planes y objetivos; resultados de las mediciones; resultados de las auditorías; retroalimentación de los grupos de interés; eficacia de controles para administrar los riesgos; debiendo decidir por oportunidades de mejora continua o cambiar el sistema de control interno, incluyendo las necesidades de recursos.Es posible acreditar con el documento aprobado por la autoridad, con el diseño de los Indicadores, verificando que se consideran como mínimo, en cada caso, el factor clave a evaluar, el origen de la información, la frecuencia de medición, las metas y rangos de tolerancia y los responsables del seguimiento, entre otros aspectos. Los Indicadores están actualizados, se aplican y mantienen permanentemente como fuente para la toma de decisiones, lo que es posible acreditar con los informes periódicos de resultados y el procedimiento que establece dicha periodicidad.Las oportunidades de mejora identificadas contribuyen a reducir los riesgos significativos que pueden afectar el logro de los objetivos, hasta niveles tolerables. Estos deben incorporarse en un plan de mejora, como también a los responsables de su implementación, los plazos y al finalizar la ejecución del plan, debe analizarse su resultado. Acreditable con el documento que identifique las oportunidades de mejoras y el procedimiento modificado, que debe obedecer al resultado de un indicador o similar.El nivel de profundidad, sofisticación y tecnificación de los controles definidos o una mezcla de estos controles, son adecuados a las características de la organización y es posible evidenciar con los resultados de indicadores, que si en reiteradas ocasiones presenta alto nivel de ocurrencia, contrastar con los ajustes realizados.La organización asegura la independencia y objetividad de los Auditores Internos, a nivel de funciones y dependencia directa de la AD. Acreditable con el organigrama, documento con la descripción de cargos y líneas de reportes.La AD evalúa los resultados de los informes de auditoría interna y sugiere cambios en la planificación, en caso de estimar que existan temas más relevantes, la evaluación es posible acreditarla con reportes estadísticos de hallazgos, debe existir un inventario de control de todos los hallazgos y el seguimiento que se le da a estos, cuyo control también debe estar aprobado por la AD, entre otros registros que la organización contemple necesario.La misión y visión, se encuentra documentada y aprobada por la AD, y se reconsidero con la llegada de los ODS, independiente del hecho de sufrir modificaciones, se debe acreditar que la misión y visión siguen siendo factibles, considerando el cumplimiento de las metas asociadas a los nuevos objetivos, con algún documento en el que conste dicho análisis.17.2 Misión y visión actualizadas periódicamente.Se comunica la Misión, Visión, Objetivos y Planes de acción a todos los niveles de la organización, concientizando las obligaciones individuales y la relación con los ODS y las metas asociadas a estos objetivos, con la finalidad de incentivar su cumplimiento, lo que es acreditable con los medios de difusión internos que ocupen, con respaldo de la forma de distribución en caso de corresponder a dípticos y otros, impresión de intranet donde se incentive, capacitaciones y talleres relacionados, entre las muchas formas de hacer difusión de los ODS y su aporte como organización.Existencia de procedimientos para la continua IyER, y controles a nivel estratégico y operativo, que se vean afectados por implementación de ODS, considerado el contexto organizacional y los recursos disponibles. Acreditable con el documento que contenga directrices al respecto, la periodicidad e indicaciones para la continua comunicación con la Institucionalidad para la implementación y monitoreo de los ODS en el país, de tal forma, que se puedan realizar los ajustes en cuanto se tenga conocimiento de nuevos riesgos que pudieran arriesgar el cumplimiento.La organización deberá ajustar sus planes de acción de forma inevitable, después de identificar los nuevos riesgos, considerando las metas asociadas a los ODS, es posible acreditar con los planes de trabajo originales y los ajustados, los cuales deberán estar aprobados por la AD.HERRAMIENTA EVALUACIÓN DE SCI CON ENFOQUE ODSLa base utilizada para la elaboración de esta herramienta ha sido el documento Guía para las normas de control interno del sector público, contenido en INTOSAI GOB9100, además de la colaboración de dos herramientas existentes y provenientes de EFS de la región. En esta guía se presentan los 5 componentes base del control interno y se ha agregado 1 que pretende asociarse directamente con la implementación de los ODS.La OLACEFS, mediante el grupo de Fuerza de Tarea para el Desarrollo de Herramientas para Ejecución de Auditorías de Desempeño, con énfasis en ODS (FT HEAD ODS), presenta este instrumento que permite evaluar el Sistema de Control Interno institucional, considerando los eventuales ajustes en los procesos, producto de las metas de los ODS, que identifica riesgos y aplica controles para mitigarlos, facilitando el cumplimiento de los objetivos, a efecto de que los auditores de las EFS la utilicen en la etapa de planificación de sus auditorías sobre este tema.Productos esperados: Esta herramienta fue diseñada para que, con su aplicación, los auditores de las EFS en campo obtengan información sobre aspectos de la organización y su entorno de control, en el cual se llevan a cabo los procedimientos para cumplir las metas institucionales y por consecuencia las metas ODS. Los aspectos centrales son los siguientes:
Como resultado se obtendrá un Resumen de la evaluación del SCI, en el cual se presentan 6 componentes, con sus principios y puntos de enfoque o aseveraciones que serán evaluados, entregando un % de cumplimiento por cada componente. Desarrollar la herramienta permitirá levantar información en la etapa de planificación sobre el conocimiento del o los organismos auditados, ayudando a precisar los riesgos y controles asociados, en los procesos que interesen.https://www.issai.org/professional-pronouncements/?n=0-1000000000Existen procedimientos para captura de información de fuentes internas y externas de datos. Es posible acreditar con el documento del procedimiento establecido para obtener este tipo de información, debidamente aprobado por la AD.10. Información obtenida, generada y documentada procedimientalmenteSe puede acreditar con la elaboración, adopción y divulgación de un código de ética u otro instrumento similar, debidamente aprobado por la AD, que estipule el conjunto de valores, normas y principios deseables en la institución. Puede ser elaborado por la propia entidad o bien adoptarse de una fuente externa, en cualquier caso debe existir evidencia de que la emisión o adopción fue oficializada por la AD.Los incumplimientos a códigos de conducta y ética, deben ser sancionados y buscarán ser prevenidos, con programas de capacitación y talleres que consideren a todo el personal, acreditable con la realización por ejemplo de talleres de valores, actividades de integración, esfuerzos de divulgación continua de la conducta que debe mantener un funcionario ético, evaluaciones del comportamiento ético, capacitación a nuevos funcionarios, así como medidas de protección a los funcionarios cuando hagan una denuncia sobre alguna acción incorrecta (procedimiento de protección), que resguarde la confiabilidad del caso.Se pretende validar la existencia de una política de CI dinámica, actualizadas y revisadas como minimo 1 vez a año, acreditable con varias versiones de esta a lo largo del tiempo, que presenten los ajustes y mejoras dependiendo de los cambios ocurridos dentro de la institución, actas que evidencien el desarrollo de actividades / talleres de revisión y disposiciones administrativas que aprueben nuevas versiones.La existencia del compromiso con la integridad y los valores éticos, se debe acreditar con documentos que den cuenta de la participación de funcionarios y la AD en su elaboración, confirmando que incluya sanciones, medidas correctivas, que cuente con la aprobación formal de la AD y que sean revisados periódicamente, para ajustar dichos compromisos, quizás también exista un oficial de ética, comité de etica o similar.Pretende conocer si se formula y ejecuta un programa anual de capacitación y desarrollo del personal, lo que es posible acreditar con un plan de capacitación que identifique acciones para mejorar destrezas, aclarar inquietudes, eliminar vicios y disminuir errores, con listados de asistentes y/o certificados de participación, además de asegurar que estas competencias sean evaluadas y tengan un seguimiento. A su vez, verificar que los programas de capacitación se deriven de las evaluaciones de desempeño.Una buena forma de dar a conocer las funciones y responsabilidades es con un documento que detalle su margen de acción dentro de su cargo, lo anterior se acredita con el documento que contenga dichas descripciones, como un manual de cargos y funciones, aprobado por la AD y documentos que den cuenta de la actualización de estos, de forma periódica. 4.1 Incluye entidad, división, unidad operativa y niveles funcionales, para conocimiento y abordar las medidas necesarias.La organización cuenta con procedimientos para definir la metodología y criterios para la planificación e implementación de las Auditorías Internas, de forma periódica, la que es acreditable con los procedimientos para el proceso de planificación y el plan anual de auditoría institucional, aprobado por la AD.Cabe mencionar, que en el componente II sobre Evaluación de Riesgos, se ha incorporado el indicador 5. Evaluación de riesgos de fraude, este indicador permitirá visualizar la preparación de los organismos, principalmente en lo que se refiere al riesgo de corrupción, abordando inicialmente las metas 16.5 sobre Reducir considerablemente la corrupción y el soborno en todas sus formas y el 16.6 sobre Crear a todos los niveles instituciones eficaces y transparentes que rindan cuentas.
De todas formas, todo buen control interno que sea constantemente revisado ayuda a prevenir la corrupción de una u otra forma, por lo que entrega información valiosa para comenzar a preparar el plan de auditoría.10.2 Información accesible, correcta, actualizada, protegida, suficiente, oportuna, válida, verificable y conservable.10.3 Captura de información de distintas fuentes.10.4 Comunicación de asuntos internos a los funcionarios.Para evidenciar y asegurarse que la información utilizada cumple con todas estas caracteristicas, es posible revisar resultados de Evaluación de Documentos como reportes, tableros, etc. o de entrevistas con los Niveles de Decisión para verificar calidad de datos críticos.La transparencia genera confianza de la sociedad en las instituciones, por cuanto la organización debe desarrollar la metodología, alcance, responsabilidades y frecuencias de las rendiciones de cuenta a la sociedad, difundiendo las fechas en que reportaran sobre servicios prestados, por ejemplo de manera anual. Acreditable con el documento que establece el tipo de rendición que realizará, las fechas y los canales por los cuales serán difundidos, y los links y documentos que son publicados permanentemente, entre otros que puede realizar el organismo público.Se han incorporado mecanismos que permitan a los funcionarios denunciar, expresar sus opiniones y sugerencias, lo que es acreditable con los mecanismos diseñados y con pruebas de ellos verificando que sean accesibles y secretos, promoviendo las denuncias de eventuales hechos irregulares.9.1 Políticas y procedimientos para la implementación de las directrices financiero contable y administrativo.Es posible acreditar con el plan contable aprobado por AD, que establece las bases y el ordenamiento del sistema financiero organizacional, con niveles de responsabilidad y controles asociados a un proceso altamente riesgoso.Las deficiencias del SCI son comunicadas al directorio y AD, como parte del procedimiento interno de la unidad a cargo de la gestión y administración de indicadores de control implementados, lo que se puede acreditar con el documento que describa las etapas de los reportes de debilidades de CI, los flujos existentes con los controles identificados y los reportes remitidos a la AD y al directorio, según se haya establecido.14. Comunicación de deficiencias de CI14.1 Comunicación de las deficiencias de control interno.14.2 Líneas de comunicación independientes.15. Mejora continua15.1 Metodología y criterios para la gestión de mejora.15.2 Controles ajustados continuamente.15.3 Controles adecuados a las características de la organización.16. Auditoría interna16.1 Planificación de auditorías internas.16.2 Independencia de Auditores Internos16.4 Eficacia de las acciones correctivas y de mejora.Los planes institucionales para cumplir con la Misión y Visión, son revisados y actualizados de forma periódica, (anual o bianual por ejemplo) considerando aspectos de los ODS y los ajustes a sus metas, más aun con la economía post pandemia que deberá hacer frente al cumplimiento ODS, lo que es acreditable con el documento que indique la política de actualización y los informes propuestos con cambios a la AD.Se han desarrollado procedimientos documentados para cubrir situaciones en que su ausencia podría afectar la capacidad de control y/o causar desviaciones a las políticas y al cumplimiento de las metas de los ODS, lo que es posible acreditar con el documento que indique los pasos a seguir en caso de ocurrencia de un hecho de alto riesgo, como podría ser falta de recursos, impedimento de atención oportuna, falta de expertos o profesionales, entre otros. Por otra parte, es posible acreditar la adopción de procedimientos como resultados de una emergencia no contemplada anteriormente. (ejemplo pandemia)https://www.issai.org/under-review/La institución debe contar con una metodología oficializada para el proceso de evaluación de riesgos, pudiendo acreditarlo con el documento aprobado por la AD y que debería ser congruente con lo definido en la norma INTOSAI GOV 9130.Cabe indicar, que de forma práctica la obligatoriedad estará dada en aplicar por lo menos el componente VI. Implementación de ODS, que esta directamente relacionado a los ODS en general, sin embargo, considerando los demás componentes del COSO, es posible que la EFS quiera aplicar todos o alguno de estos en relación a la o las metas ODS que se sean del alcance de la auditoría. Por ejemplo, en el caso de auditorias con enfoque en metas de corrupción podrían aplicar el componente VI (obligatorio) y el componente I. Ambiente de Control, que involucra la existencia de códigos de ética y conducta.
Se entiende que la escases del valioso recurso del tiempo, muchas veces no es posible aplicar toda la herramienta, se deja de forma opcional ocupar algunos componentes (I al V), pero con la finalidad de evaluar y comparar se debería aplicar el componente VI, el que de todas formas podría adaptarse al objeto de auditoría programada, en el caso que los coordinadores de la auditoría, lo quisieran hacer.Esta herramienta que se pone a disposición de los auditores de las EFS que revisan la implementación y/o cumplimiento de los ODS, se basa en los 5 componentes del control interno interrelacionados, los cuales han sido determinados en el Marco Integrado de Control Interno, elaborado por el Committee of Sponsoring Organizations of the Treadway Commission, COSO, más 1 componente que tiene relación con su vinculo a la implementación de los ODS y posibles ajustes que se hayan realizado, para el cumplimiento de las metas de estos ODS. Lo anterior en concordancia con la INTOSAI GOV 9130 – Guía para las normas de control interno del Sector Público, la que actualmente se encuentra en revisión por parte de la INTOSAI.(https://www.issai.org/under-review/)IDI : Iniciativa para el Desarrollo de la INTOSAIINTOSAI: Organización Internacional de Entidades Fiscalizadoras SuperioresODS: Objetivos de Desarrollo SostenibleEFS: Entidad Fiscalizadora SuperiorSCI: Sistema de Control InternoAD: Alta DirecciónIyER: Identificación y Evaluación de RiesgosCI: Control InternoRRHH: Recursos HumanosObjetivos de Desarrollo Sostenible: Son fruto del acuerdo alcanzado por los Estados Miembros de las Naciones Unidas y se componen de una Declaración, 17 Objetivos de Desarrollo Sostenible y 169 metas.Institucionalidad: al conjunto de entes, actores o sujetos que tienen una responsabilidad ordenada en el marco jurídico o legal de un país.Control Interno: es un proceso integral efectuado por la gerencia y el personal, y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales: Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones; Cumplimiento de las obligaciones de responsabilidad; Cumplimiento de las leyes y regulaciones aplicables y Salvaguarda de los recursos para evitar pérdidas, mal uso y daño.Delito organizacional o corporativo: es aquel delito en el cual no está claro el responsable (afecta princip. Imagen), se produce en el contexto de relaciones complejas (compliance) entre directores, ejecutivos, alta gerencia y casa matriz, divisiones de negocios y subsidiarias.Delito (fraude) ocupacional: es aquel delito en el cual hay responsables (afecta princip. rentabilidad), es cometido principalmente por personas en relación directa con su trabajo (gestión operativa) y pueden ser a nombre propio (robo, abuso de autoridad) o a nombre de la organización a la cual representan (falsificación de balances).Tipos de fraude ocupacional: en tres grandes grupos 1. Apropiación de activos (robo, barrido, manejo de facturas, payroll, reintegro de gastos, cheques adulterados, desembolsos de caja registradora). 2. Corrupción (Conflicto de intereses, Coimas, Regalos empresariales, Extorsión). 3. Informes fraudulentos (Financieros Balances, Sobre-estimación de activos e ingresos, Sub-estimación de activos e ingresos
No financieros, Credenciales falsas, Documentos internos/externos), además de otros tipos de fraudes que responden al sector organizacional, como bancarios, ONGs, inversiones, lavado de dinero, entre otros.Plan contable: es una herramienta del proceso de contabilidad que debe contener en su estructura los aspectos necesarios para llevar a cabo la ejecución efectiva de los procesos relacionados con la contabilidad de la institución. COMPONENTE: I. AMBIENTE O ENTORNO DE CONTROLCOMPONENTE: IV. INFORMACIÓN Y COMUNICACIÓN
Nota: El texto extraído es sólo una aproximación del contenido del documento, puede contener caracteres especiales no legibles.