El-control-interno-desde-la-perspectiva-del-enfoque-COSO-su-aplicacion-y-evaluacion-en-las-EFS.pdf
Manual o Guía
14th Oct 2021
Extracto
EL CONTROL INTERNO DESDE LA PERSPECTIVA DEL ENFOQUE COSO
– SU APLICACIÓN Y EVALUACIÓN EN LAS EFS –
SEGUNDA APLICACIÓN
Elaborado por:
La Comisión Técnica de Prácticas de Buena Gobernanza
Con la coordinación de:
La Contr aloría General de la República de Costa Rica
2019
Preámbulo – El control interno
Las nuevas tendencias en materia de control interno apuntan a una gestión estratégica para tomar
decisiones que garanticen la sostenibilidad y prestación de servicios , así como el logro de los
objetivos y cumplimiento de la misión por la cual fue creada la institución. Es así como la
actualización del marco internacional COSO (Committee of Sponsoring Organizations of the
Treadway) 2017 enfatiza el análisis de riesgos a sociados a la estrategia institucional de una manera
integrada.
Tal y como se ha mencionado en informes de materia de control interno, el establecimiento de un
ambiente propicio en la organización que promueva prácticas de control de interno, tales como:
estudio y gestión de riesgos basados en los objetivos estratégicos, la implementación de medidas y
acciones para mantener la gestión de riesgos dentro de los parámetros requeridos, el uso de
información útil y oportuna, y la aplicación de diversos medios d e seguimiento del sistema y del
funcionamiento institucional; son elementos que, contribuyen a potenciar los esfuerzos
organizacionales para garantizar la misión, visión y los propósitos de la entidad para satisfacer las
necesidades y los requerimientos de las partes interesadas del servicio.
Las Entidades Fiscalizadoras Superiores (EFS) cumplen un papel relevante en la promoción del
control interno para las entidades que examinan, debido, en primera instancia, a que sus actividades
y actuaciones se consti tuyen como ejemplo para el resto de entidades del sector público. Esto no
implica que sean responsables de los sistemas de control interno de esas entidades; dado que, el
diseño, ejecución, evaluación y perfeccionamiento son funciones determinantes de la
administración, y dentro de ella, a quienes tienen a su cargo la autoridad para emprender las
decisiones. En segundo término, las EFS contribuyen con esas entidades pasivas mediante la emisión
de normativa, la labor consultiva y asesora y la verificación de las acciones institucionales por medio
de diferentes mecanismos de fiscalización y de control previo.
Aunado a lo anterior, el sistema de control interno promueve el logro de objetivos a través de una
estructura integrada de actividades, con una metodolo gía de riesgos que permita enfocar
prioridades institucionales, para garantizar más efectividad en la ejecución del servicio y
disponibilidad de la información. Esto a su vez permite generar mayor transparencia y confianza por
parte de los usuarios y parte s interesadas.
El presente proyecto nació como una iniciativa en ese sentido, pues mediante el uso de una
herramienta sencilla, permite que las EFS evalúen y promuevan el control interno en las
instituciones bajo su fiscalización y lleve a estas entidades a identificar oportunidades de mejora,
con la finalidad de compartirlas con sus homólogas y potenciar buenas prácticas de manera
colectiva.
CONTENIDO
Introducción ………………………….. ………………………….. ………………………….. ……………………….. 1
Justificación del tema ………………………….. ………………………….. ………………………….. …………… 2
Capítulo I – Cooperación de la EFS de Costa Rica ………………………….. ………………………….. ……… 3
1. 1. Generalidades del proyecto ………………………….. ………………………….. ………………………….. 3
1. 2. Seguimiento y asesoría ………………………….. ………………………….. ………………………….. …….. 3
1. 3. Factores positivo s del proyecto ………………………….. ………………………….. …………………….. 5
1. 4. Limitaciones ………………………….. ………………………….. ………………………….. …………………… 5
Capítulo II – Resultado general de la autoevaluación ………………………….. ………………………….. .. 7
2. 1. Metodologías de revisión utilizadas por las EFS ………………………….. ………………………….. . 8
2. 2. Limitaciones generales en la aplicación de la herramienta ………………………….. ……………. 8
2. 3. Síntesis de resultados ………………………….. ………………………….. ………………………….. ………. 9
a. RESULTADOS POR COMPONENTE ………………………….. ………………………….. ……………………… 9
b. RESULTADOS POR PRINCIPIOS ………………………….. ………………………….. ………………………… 15
c. RESULTADOS CONSOLIDADOS ………………………….. ………………………….. ………………………… 24
Capítulo III – Desafíos y oportunidades ………………………….. ………………………….. ……………….. 27
3. 1. Desafíos ………………………….. ………………………….. ………………………….. ……………………….. 27
3. 2. Oportunidades ………………………….. ………………………….. ………………………….. ……………… 28
Capitulo IV – Conclusiones y recomendaciones ………………………….. ………………………….. ……… 29
4. 1. Conclusiones ………………………….. ………………………….. ………………………….. …………………. 29
4. 2. Recomendaciones ………………………….. ………………………….. ………………………….. …………. 30
Anexo – HERRAMIENTA DEL ÍNDICE DE CONTROL INTERNO (ICI) ………………………….. …………… 31
Contenido d e gráficos
Gráfico 1Resultados por Componente de Control Interno ………………………….. ………………………….. . 9
Gráfico 2Compromiso con la integridad y los valores éticos ………………………….. ………………………. 15
Gráfico 3 Supervisión independiente de la Junta Directiva ………………………….. ………………………… 15
Gráfico 4 Estructura, líneas de reporte, autoridad y responsabili dad ………………………….. ………….. 16
Gráfico 5 Atraer, retener y mantener personal competente ………………………….. ………………………. 16
Gráfico 6 Individuos responsables por el control interno ………………………….. ………………………….. . 17
Gráfico 7 Especificación de objetivos claros y adecuados ………………………….. ………………………….. 17
Gráfico 8 Identificación y análisis de los riesgos ………………………….. ………………………….. …………… 18
Gráfico 9 Evalu ación del potencial de riesgos de fraude ………………………….. ………………………….. .. 19
Gráfico 10 Identifica y analiza cambios significativos ………………………….. ………………………….. ……. 19
Gráfico 11 Selección y desarrollo de actividades de control ………………………….. ……………………….. 20
Gráfico 12 Selección y desarrollo de controles generales de TI ………………………….. …………………… 20
Gráfico 13 Implementación de controles a través de políticas y procedimientos ………………………. 21
Gráfico 14 Información relevante obtenida, generada y usada ………………………….. …………………… 21
Gráfico 15 Información de control interno comunicada internamente ………………………….. ………… 22
Gráfico 16 Información de control interno comunicada externamente ………………………….. ……….. 22
Gráfico 17 Evaluaciones continuas y/o separadas ………………………….. ………………………….. ………… 23
Gráfico 18 Evaluación y comunicación de deficiencias de control interno ………………………….. ……. 23
Contenido de cuadros
Cuadro 1 Preguntas adicionadas a la herramient a original ………………………….. ………………………….. 4
Cuadro 2 Resumen de cumplimientos de componentes y principios de control interno por las EFS
participantes según la aplicación de la herramienta ICI en 2017 ………………………….. …………………. 24
Contenido de figuras
Figura 1 Trabajo colaborativo ………………………….. ………………………….. ………………………….. …………. 7
Figura 2 Componentes y principios COSO ERM 2017 ………………………….. ………………………….. ……. 25
RESULTADOS DE LA SEGUNDA AUTOEVALUACIÓN DE CONTROL DESDE LA PERSPECTIVA
DEL ENFOQUE COSO -APLICACIÓN PRÁCTI CAS EN LAS EFS DE OLACEFS
Introducción
La herramienta Índice de Control Interno (ICI) es un método para autoevaluar el control interno. Es
un instrumento moderno, sencillo y funcional, que conlleva bajos costos y genera resultados
sustanciales para enfoc ar los recursos disponibles en las áreas prioritarias susceptibles de mejora.
En el marco de la aplicación del ICI, una EFS se autoevalúa e identifica oportunidades de mejora en
pro del logro de los objetivos institucionales y el emprendimiento de técnicas y de mejores prácticas
en materia de control interno, que le ayuden a fortalecerse y ser más eficiente. En este mismo
sentido, puede utilizar la misma herramienta para aplicarla en los organismos fiscalizados y así
generar no sólo insumos útiles para la p lanificación de fiscalización, sino recomendaciones para
fortalecer el sistema de control interno de dichos organismos.
La filosofía de la herramienta ICI radica en su aplicación a todas las instituciones que están bajo la
fiscalización de las EFS; no obs tante, el proyecto desarrollado en este informe detalla solo los
resultados de su uso en las EFS participantes en el 2018 en conjunto con los resultados del 2017.
Una vez que las EFS estén familiarizadas con el instrumento y cuenten con la experiencia nece saria
en la autoevaluación, podrán replicarlo en sus instituciones pasivas, como una forma de generar
valor agregado respecto de la autoevaluación de control interno y de fomentar una cultura de
mejora constante en la gestión pública.
Tal y como se presen tó en el primer informe de resultados de la primera aplicación, el proyecto
expuesto en el presente documento se desarrolló sobre una metodología de asesoría continua,
realizada a través de la Presidencia de la Comisión de Prácticas de Buena Gobernanza y l a
coordinación de la EFS de Costa Rica, que incluyó reuniones virtuales periódicas y la participación
en un foro permanente en el portal de OLACEFS; ambas técnicas fueron utilizadas para compartir
conocimientos y consultas oportunamente. Cabe agregar que e stas prácticas permitieron que se
compartieran documentos diseñados por cada país, cuyo fin era aportar ejemplos prácticos en
materia de control interno.
Justificación del tema
El proyecto de identificación de buenas prácticas en materia de control inte rno ha proporcionado
espacios de comunicación entre interesados de la materia que han generado multiplicación de
conocimientos y documentos útiles para reforzar el control interno dentro de las EFS y de manera
potencial a las instituciones que supervisan. Como resultado inicial, en noviembre de 2015 se
publicó el documento denominado “El control interno desde la perspectiva del enfoque COSO”, en
el cual se hizo un recuento de los avances de las EFS en la materia y se propuso una herramienta
para valorar el ajuste de los sistemas de control interno a las regulaciones sobre la materia,
fundamentalmente la versión 2013 del informe COSO sobre el “Marco integrado de control
interno”. Luego en el año 2017 se publicó el informe del proyecto piloto con los resultado s de las
EFS que aplicaron la herramienta.
En 2017 la Organización invitó a las EFS que no había participado en el 2016 a auto aplicarse la
herramienta, a fin de identificar fortalezas y oportunidades de mejora y propiciar que, mediante la
cooperación ent re las homólogas pudiera generarse una multiplicación del conocimiento y un apoyo
mutuo para el desarrollo de esos sistemas en Latinoamérica y el Caribe. Además, en el año 2018 se
invita a las EFS a participar de la aplicación de la herramienta para organi smos fiscalizados, con el
fin de madurar la aplicación de este procedimiento, acompañar y asesorar durante la ejecución.
Capítulo I
Cooperación de la EFS de Costa Rica
1. 1. Generalidades del proyecto
El proyecto nació como una iniciativa para compartir c on los países de OLACFES una herramienta
sencilla y útil, inspirada en una experiencia que ha generado buenos resultados en la EFS de Costa
Rica. Su finalidad radica en facilitarla para autoevaluación del control interno institucional y la
identificación d e oportunidades de mejora en esta materia.
Luego de desarrollar el documento técnico “El control interno desde la perspectiva del enfoque
COSO; su aplicación y evaluación en el sector público” en el año 2015, en cuyo anexo 1 se presenta
la herramienta ICI , la Comisión Técnica de Prácticas de Buena Gobernanza (CTPBG) en conjunto con
la EFS de Costa Rica (coordinador), emprendieron un nuevo proyecto para materializar su aplicación
práctica del ICI; es así como ha sufrido cambios en el diseño de algunas pregu ntas que generan
resultados con más valor para la toma de decisiones.
En línea con lo anterior, a través de la CTPBG se consultó a todas las EFS que integran OLACEFS,
sobre su interés de participar en el proyecto de utilizar la herramienta en cada EFS y q ue éstas a su
vez lo aplicaran en las instituciones bajo su fiscalización. Lo anterior a fin de compartir las bondades
generadas con el ICI y a la vez detectar aquellos aspectos que se identificaran como oportunidades
de mejora a nivel de la Organización.
En el año 2017 se publican los primeros resultados con la participación de las EFS de Nicaragua,
Paraguay, Guatemala, El Salvador, Cuba, México, Chile y República Dominicana, y para este año se
incluye la EFS de Costa Rica, Perú y Argentina (AGN).
Asimism o, a raíz de ese primer encuentro, se determinó la necesidad de crear un foro virtual como
medio para interactuar de manera oportuna y compartir material relevante para comprender y
abordar el proyecto.
1. 2. Seguimiento y asesoría
El equipo coordinador y la CTPBG promovieron durante la ejecución del proyecto, la asignación de
tareas por realizar de previo a la asesoría abordada mediante videoconferencia. A los efectos, se
hizo uso del correo electrónico y del foro virtual para dar continuidad a las consu ltas atinentes a la
aplicación de la herramienta.
Como producto de la asesoría, se realizaron mejoras a la herramienta, tales como la corrección de
algunas fórmulas en la hoja de cálculo, la adición de una columna y la mejora de la redacción de
algunas cu estionantes incluidas en el instrumento. Esta interacción entre las EFS permitió no solo
mejorar la herramienta, sino también el material de control interno disponible para las EFS que
trabajan en proyectos relacionados con esta materia. Sobre este particu lar, se detallan las preguntas
agregadas a la herramienta, luego de la participación de las EFS:
Cuadro 1
Preguntas adicionadas a la herramienta original
Componente
SCI Principio Punto de
enfoque Pregunta
Entorno de
control
Compromiso con la
integridad y los
valores éticos
1 ¿La misión y valores de la institución incluyen el compromiso con
la integridad y valores éticos?
Entorno de
control
Compromiso con la
integridad y los
valores éticos
1
¿El Reglamento de Trabajo o conjunto de políticas y directri ces de
Recursos Humanos, se vincula con el Código de Ética de la
institución?
Entorno de
control
Compromiso con la
integridad y los
valores éticos
1 y 2
¿La institución revisa periódicamente el Reglamento de infracción
y sanciones para asegurar que la to talidad de conducta constitutiva
de infracción sea sujeta a sanción?
Entorno de
control
Atraer, retener y
mantener personal
competente
4
¿La institución aplica un plan de retención de personal (construir
relaciones de mentoring 1, promover equidad de decisiones
relativas al personal antigüedad -experiencia, fomentar buen
humor, construcción de autoestima individual, apoyo metas vida,
desarrollo nuevas habilidades, iniciativa, creatividad, e innovación,
flexibilidad laboral, remuneración y beneficios, o tros) ?
Evaluación de
riesgos
Especificación de
objetivos claros y
adecuados
1 a 5 ¿La institución cuenta con una política de riesgos, apropiada al
propósito y contexto de la institución?
Evaluación de
riesgos
Identificación y
análisis de los
riesgos
1 a 4
¿La institución cuenta con un Inventario de riesgos?
Evaluación de
riesgos
Identificación y
análisis de los
riesgos
1 a 4 ¿La institución cuenta con una matriz de Riesgos (probabilidad e
impacto) o Análisis y Evaluación de Riesgos?
Evaluación de
riesgos
Identificación y
análisis de los
riesgos
2
¿Se han establecido objetivos claros, consistentes y alineados con
las prioridades de la estrategia institucional, analizando los factores
internos y externos, que permitan iniciar con mayor seguridad l a
identificación de riesgos que afecten negativamente
dichos objetivos?
Evaluación de
riesgos
Evaluación del
potencial de riesgos
de fraude
1. 2. 3. 4.
¿La Institución evalúa periódicamente la permanencia del personal
asignado en puestos claves susceptib les a riesgos de fraude?
1 Se entiende como tutoría, asesoría o acompañamiento
Componente
SCI
Principio Punto de
enfoque
Pregunta
Evaluación de
riesgos
Evaluación del
potencial de riesgos
de fraude
1.2.3.4 ¿La Institución ha elaborado una metodología para la
identificación de riesgos de fraude y corrupción?
Actividades de
control
Selección y
desarrollo de
actividades de
control
1
¿Se ha evaluado las actividades de control que garanticen
respuestas para mitigar que los riesgos se lleven a cabo de manera
eficaz? (principalmente riesgos de corrupción de
funcionarios)
Actividades de
control
Selección y
desarrollo de
actividades de
control
1
¿Se efectúa rotación periódica del personal asignado en puestos
susceptibles a riesgos de fraude ?
Información y
comunicación
Información
relevante obtenida,
generada y usada
2
¿La organización considera fuentes de información internas y
externas confiables para identificar información relevante en el
control interno?
Información y
comunicación
Información de
control interno
comunicada
externamente
1
¿La organización tiene procesos implementados para la
comunicación de información relevante y de manera oportuna a
terceros (reguladores, sociedad civil, etc.)?
Actividades de
supervisión
Evaluacio nes
continuas y/o
separadas
1
¿Los líderes de las unidades orgánicas realizan una revisión
periódica permanente de sus procesos claves para propiciar la
modificación del cambio normativo y de procedimientos?
Actividades de
supervisión
Evaluación y
comun icación de
deficiencias de
control interno
3
¿La comunicación entre la Alta Dirección y los líderes de los
procesos facilita la supervisión de los controles internos de la
entidad?
Fuente: Elaboración propia
1. 3. Factores positivos del proyecto
Algu nos factores positivos identificados en el proyecto se detallan como sigue:
a. Apoyo de la Comisión de prácticas de buena gobernanza, así como el eficaz desempeño de
su papel en el proyecto.
b. Compromiso asumido por los equipos designados en la EFS, los que a pesar de las labores
diarias propias de su EFS e inspirados en la mejora continua de su institución, abordaron el
proyecto con la mejor actitud y responsabilidad.
c. Empleo de la tecnología como medio para facilitar la oportunidad de la comunicación y la
info rmación.
1. 4. Limitaciones
Algunas limitaciones se derivaron principalmente de que las EFS desarrollan el proyecto en
conjunto con sus obligaciones internas, lo que significa que, en una posible selección de
prioridades, este proyecto puede no ocupar lo s primeros lugares.
En esta línea, si estas limitaciones demandan más tiempo del designado en el cronograma del
proyecto, es complicado para el equipo cumplir a cabalidad el cronograma y satisfacer las fechas de
entrega de los productos. No obstante, el eq uipo coordinador y la CTPBG idearon la manera de
abordar los inconvenientes y prevenir las demoras, ajustando el calendario en procura del beneficio
de todos y con la exigencia que también requiere el proyecto.
Capítulo II
Resultado general de la autoeval uación
Los resultados obtenidos por las EFS de Costa Rica, Perú y Argentina, adheridos a los ya obtenidos
del año anterior: Chile, México, Guatemala, El Salvador, Paraguay, Nicaragua, Cuba y República
Dominicana, permiten vislumbrar las bondades de utiliza r instrumentos sencillos, de bajo costo y
que generan información relevante para el quehacer de las EFS en materia de control interno con
base en su mandato legal. Asimismo, es posible conocer oportunidades de mejora en esta temática,
comunes a los países
participantes, con lo que se generan
insumos valiosos para emprender
prácticas que ayuden a las EFS a ser
ejemplos para las entidades sujetas a su
fiscalización.
Plantear debates en relación con el tema
permite aumentar el acervo de
conocimientos sobre lo s esfuerzos que
realizan las EFS en la búsqueda del
desarrollo y el profesionalismo
institucional, la vigorización de
capacidades en los funcionarios y el
fomento de la transparencia y la
rendición de cuentas. En general, la
participación conjunta de EFS
homólogas permite incorporar el
aprendizaje individual en los procesos,
para innovar en la mejora de las prácticas
de buena gobernanza.
Figura 1
Trabajo colaborativo
A partir de aquí las EFS pueden impulsar utilizar instrumentos de esta naturaleza par a extraer
información valiosa de las instituciones bajo su fiscalización sobre una temática específica que sea
de gran utilidad para la toma de decisiones y para fomentar buenas prácticas de gobernanza.
Además, con la ayuda de la tecnología, se pueden obte ner productos de esta naturaleza, sin generar
costos excesivos y potenciando al máximo las oportunidades de mejora identificadas.
2. 1. Metodologías de revisión utilizadas por las EFS
Dado que cada EFS enfrenta una realidad diferente, para el uso de la her ramienta se realizaron las
adecuaciones pertinentes según el entorno país, incluyendo más consideraciones o ajustándola
según cada circunstancia.
Por tratarse de un grupo de enunciados sobre prácticas de control interno según los puntos de
enfoque de cada componente de control del Informe COSO 2013, cada EFS requirió generar un
grupo de trabajo interno para determinar desde una perspectiva amplia, la aplicabilidad de cada
punto de manera integral con el fin de generar el valor esperado. Además, algunas EFS utilizaron
técnicas de entrevistas, investigación de antecedentes y otros medios de validación y
documentación para soportar satisfactoriamente cada requisito.
Conviene recordar que el proyecto fue previsto originalmente para que las EFS promuevan que las
instituciones bajo su fiscalización se autoevalúen y tomen iniciativas para mejorar las áreas que
requieren atención. Sin embargo, la aplicación se ha realizado , para las dos ocasiones, dentro de
cada EFS, sin extenderlo a las entidades fiscalizadas. Cabe mencionar, que para el año 2018 se invitó
a las EFS para aplicar la herramienta a los organismos fiscalizados, esperando obtener los resultados
en el año 2019.
2. 2. Limitaciones generales en la aplicación de la herramienta
En forma paralela con las lim itaciones del proyecto, algunas EFS vieron obstruidos sus esfuerzos de
cumplir con los plazos y los requerimientos propios del compromiso, por asuntos ajenos a la
ejecución del proyecto y demandados por su institución, tales como los siguientes:
Cambios d e administración. La rotación periódica de los altos mandos es una característica
propia de los sistemas de gobierno dentro de los que funcionan muchas EFS de OLACEFS;
como resultado de ella pueden generarse cambios importantes en la estructura orgánica y
en los proyectos de esas instituciones.
Grado de madurez por componente. Es posible que el grado de madurez de cada
componente no sea el mismo para cada unidad o departamento de la EFS. No obstante, la
herramienta tenía como finalidad medirlo a nivel insti tucional.
2. 3. Síntesis de resultados
Cada EFS participante remitió a la Contraloría General de la República de Costa Rica un informe
sobre los resultados de la aplicación del ICI. Los reportes individuales constituyen la base para
abstraer y resumir el b eneficio de la aplicación regional de la herramienta y las oportunidades de
mejora compartidas por las EFS del grupo.
La metodología de tabulación consistió en aglutinar los resultados generales de cada punto de
control y de cada componente del marco norm ativo COSO por país, para generar un resultado
general y plasmarlo como indicativo de fortaleza u oportunidad de mejora.
a. RESULTADOS POR COMPONENTE
El resultado de la aplicación de la herramienta por componente generó los siguientes resultados:
Gráfico 1
Fuente: Elaboración propia
Según se desprende de los resultados anteriores, en promedio, la mayoría de EFS participantes
(once en total) cuentan con requisitos cumplidos; pocos no se están cumpliendo, especialmente los
relacionados con evaluación de riesgos y los cumplidos parcialmente, los cuales tienen
oportunidades de mejora, pero con buen avance. En este sentido, se identificaron aspectos que se
están empezando a trabajar por las EFS para empezar a operar pronto.
Las siguientes secciones se refie ren a los puntos más destacables de esos resultados, en términos
de las buenas prácticas , y las oportunidades de mejora identificadas.
Resultados por Componente de
Control Int erno
10
8
6
4
2
0
Cumplen
Cumplen
parcialmente
No cumplen
Buenas prácticas
A continuación, se detallan buenas prácticas de control interno identificadas por las EFS
participan tes en su institución de fiscalización superior, las cuales se detallan por componentes de
control:
i. Ambiente de control
Además de lo referido en el informe anterior sobre el compromiso, la integridad y valores éticos,
uno de los temas acotados por la s EFS participantes de la segunda aplicación se refiere a los
mecanismos de control instaurados desde el código de ética y el estatuto de personal para controlar
incompatibilidades y sanciones vinculadas con la ética . Abarcan un compendio de posibles
situacione s desvalorizadas, que permite exista una cobertura de conductas constitutivas de
infracciones susceptibles de ser sancionadas.
Asimismo, se promueve la capacitación continua para que los funcionarios refuercen sus
conocimientos relevantes, con miras a su continuidad en la EFS, normas de ética en talleres de
capacitación periódicos y mejora de los procesos.
En lo que corresponde a gestionar técnicas para la sustitución de funcionarios, dado que su
experiencia es uno de los principales activos de la institu ción , se abordó lo siguiente:
Existencia de lineamientos para contratar servicios profesionales.
Se promueve trabajo colectivo para la transmisión de experiencias .
Se privilegia al personal interno para cubrir vacantes.
Existencia de programas de becarios, para estudiantes que quieran formar parte de la
cartera de reemplazo.
Finalmente, como medida de promoción de la temática, dos EFS destacan el fomento de la
modalidad de teletrabajo para los funcionarios, beneficio que promueve la motivación del personal ,
disminuye costos e impulsa generar esfuerzos al logro de objetivos más que el cumplimiento de un
horario.
ii. Evaluación de riesgos
De manera complementaria con el primer informe emitido, los resultados apuntan a obtener una
metodología de riesgos que apun te a minimizar el riesgo de obtener una producción y productos
institucionales que atenten contra la ecuación costo/beneficio del control y que resulten de poca
significatividad y beneficio para la rendición de cuentas de las organizaciones públicas . E s
im portante apuntar a optimizar no solo el resultado de la labor de la EFS en términos de productos,
sino también en dirigir al máximo aprovechamiento de la capacidad productiva institucional.
Además, existen prácticas para orientar controles permanentes a l as actividades en puestos
susceptibles para cometer fraude. En el supuesto de detectar, a través de esos controles
permanentes, alguna anomalía o irregularidad, la alta dirección inmediatamente toma las acciones
pertinentes incluyendo, de ser necesario, el desplazamiento del responsable. Sobre esta materia, se
utiliza la normativa internacional , por ejemplo la ISSAI 1240 , incluyendo =SO 31000:2009 “Gestión
de riesgos. Principios y directrices” y =SO 37001:2017 Sistemas de Gestión antisoborno, para
identific ar y tratar tanto los riesgos de gestión como los de corrupción y así diseñar circuitos
operativos de los sistemas sustantivos y de gestión que lo contemple.
iii. Actividades de control
Respecto de las actividades de control, se puso de manifiesto la utilizac ión de normativa
internacional como ISO/IEC 27001 y ISO/IEC 27002, sobre Seguridad de la información y Buenas
prácticas para la seguridad de la información.
Además, una EFS indica contar con un sistema integrado de administración financiera, desarrollado
por el Ministerio de Economía, el cual funciona como un conjunto de sistemas conexos que dan
soporte a la gestión presupuestaria, financiera y contable del sector público , con el objeto de
posibilitar efectivid ad, eficiencia y transparencia en el gasto.
Au nado a lo anterior, las EFS se apoyan en gran medida con las actividades de control diseñadas por
la auditoría interna, quienes generan insumos importantes para el mejoramiento continuo.
iv. Información y comunicación
En relación con este componente, tal y c omo se señaló en el primer informe de aplicación del ICI,
las EFS manifiestan sentirse apoyadas por los sistemas tecnológicos integrados que les hacen posible
gestionar la documentación en forma electrónica y oportuna.
Se cuentan con prácticas para public ar la información a través de internet , tales como: informes,
videos, normativa y aspectos vinculantes con partes interesadas.
Asimismo, a efectos de promover la buena gobernanza, la búsqueda del valor púbico, transparencia
y la rendición de cuentas dentro del componente de información, algunas EFS manifiestan poseer
un sistema de participación ciudadana para que la población pueda presentar sus denuncias.
v. Monitoreo
Algunas EFS han implementado , como parte del monitoreo , evaluaciones periódicas del siste ma de
control interno a efectos de verificar su funcionamiento y establecer mejoras ; en este sentido se
emiten políticas para regular este proceso.
La comunicación sobre las metas y resultados de los indicadores incorporados dentro del plan anual
operativo se manifiesta en el informe de memoria anual. Aunado a esta práctica, se realizan
evaluaciones trimestrales d el Plan Operativo Institucional en las que se identifica el grado de
cumplimiento de las metas programadas de cada unidad orgánica de la EFS; esto s resultados, son
remitidos al Despacho del Contralor General para que sean tomados como insumos para la toma de
decisiones.
El papel de la auditoría interna es elemental como línea de defensa, pues realiza evaluaciones de
control interno en cada uno de s us trabajos.
Oportunidades de mejora
La aplicación de la herramienta también facilitó la detección de oportunidades de mejoras para las
EFS. A continuación, se presentan para las once EFS participantes, por componente del sistema, las
más relevantes.
i. Ambiente de control
Elaborar un documento específico para integrar la ética dentro de la estrategia institucional,
dado que se pueden encontrar documentos dispersos sobre ambas temáticas a nivel
institucional careciendo de eficiencia en los procesos.
Siste matizar reportes operativos sobre administración de riesgos por cada departamento o
unidad de la EFS para que sea valorado por el nivel jerárquico, en forma periódica, como
parte de la estrategia institucional.
Necesidad de fortalecer los planes de person al respecto a la sucesión para prever la
dotación de funcionarios que sustituyan a quienes dejan la entidad.
Actualizar documentos relevantes que permiten garantizar la calidad del trabajo
fiscalizador, tal como el código de ética con el respectivo detalle los valores
organizacionales, el cual debe estar oficializado y divulgado. Cabe mencionar que la Norma
de auditoría para Entidades de Fiscalización Superior 30, “Código de ética”, (=SSA= -30 por sus
siglas en inglés), actualizada para el año 2016, ofrece u na guía sobre cómo integrar los
valores de la actividad profesional con las situaciones particulares de la EFS y la vida privada
de los fiscalizadores.
Desarrollar un proyecto de evaluación del desempeño por competencias de los
funcionarios, para disponer de un enfoque más objetivo en el desarrollo de capacidades de
talento humano.
ii. Evaluación de riesgos
Se identifica una oportunidad de mejora en la formulación de políticas específicas para identificar,
analizar y evaluar los riesgos; específicamente los de fraude, asociados a incentivos, presiones y las
racionalizaciones. Lo anterior de la mano de una capacitación suficiente y apropiada para abordar
el tema en cada área de la institución, preferiblemente por medio de una unidad coordinadora.
iii. Actividades de control
Algunas EFS detectaron la conveniencia de establecer una estructura formal del departamento de
tecnologías de información (o similar) que contemple los roles y responsabilidades de los
funcionarios. Asimismo, realizar una actualización de meto dologías y formalizar las que están en
proceso, así como las respectivas capacitación y divulgación con posterioridad.
Se manifestó la necesidad de abordar un plan estratégico de tecnologías de información que
evidencie resultados de un proceso de planifi cación en esa materia, vinculado con la planificación
institucional y la continuidad de los servicios de tecnologías de información en la institución. En
general, sobre el tema tecnológico se visualiza la pertinencia de concederle mayor importancia y de
su marle recursos para ampliar y crear controles de acceso físico y electrónico, así como para
fortalecer la seguridad y la protección de la información, de modo que los riesgos asociados se
minimicen a un nivel tolerable.
iv. Información y comunicación
En su m ayoría, las oportunidades de mejora detectadas por las EFS en relación con este componente
se asocian a la conveniencia de utilizar las bondades de los sistemas informáticos internos para el
acceso de partes interesadas a la información pública, de manera que se propicien la participación
ciudadana y la transparencia institucional. Además, se enfatiza en la necesidad de contar con un
sistema de información que integre todo el proceso contable y , de esta forma , mejorar la generación
de información en forma p recisa y oportuna para la toma de decisiones.
Finalmente, se identifica la necesidad de poner en marc ha un marco de gestión para la calidad de la
información, que promueva la transparencia y rendición de cuentas.
v. Monitoreo
La principal oportunidad de m ejora mencionada por las EFS radica en incorporar las
autoevaluaciones de control interno en los sistemas de información, de modo que sea posible
obtener la información sobre el particular de una manera oportuna y confiable y con un costo
menor.
b. RESULTAD OS POR PRINCIPIOS
El modelo COSO 2013 identifica diecisiete principios vinculados con cada componente funcional del
sistema de control interno. Los resultados de la aplicación del ICI pueden especificarse en términos
de esos principios, según se indica a continuación.
i. Compromiso con la integridad y los valores éticos
Un grupo de 8 EFS cumple a cabalidad el principio Compromiso con la integridad y los valores éticos,
el cual alude a una serie de características importantes mencionadas en el Informe COSO 20 13,
entre las que cabe destacar las siguientes:
– Difusión de la importancia de la
integridad y de los valores éticos al apoyar
el funcionamiento del sistema de control
interno.
– Establecimiento de normas de conducta.
– Evaluación del desempeño de profesionale s
y equipos con respecto a las normas de
conducta.
– Abordaje oportuno y sistemático de las
desviaciones con respecto a las normas de
conducta.
Fuente: Elaboración propia
Gráfico 2
ii. Supervisión independiente de la junta directiva
Gráfico 3 Un grupo de 9 EFS cumplen a cabalidad
con el principio Supervisión
independiente de la Junta Directiva.
Algunas características importantes de
este principio mencionadas en el
Informe COSO 2013, que podrían ser
valoradas con f ines de mejora por todas
las entidades , son:
– Identificación y aceptación de las
responsabilidades de supervisión en
relación con los requisitos y las
expectativas establecidas.
– Formulación de preguntas
relativas a la alta dirección y adopción
Compromiso con la integridad y los
valores éticos
Cumple n Parcialmente; 1
Cumplen
10
junta directiva
de medidas p roporcionadas.
– Personal con experiencia a la hora de efectuar evaluaciones y en la toma de decisiones.
– Ejercicio de la supervisión sobre el diseño, la implementación y la ejecución del control interno.
iii. Estructura, líneas de reporte, autoridad y responsabi lidad
El principio Estructura, líneas de reporte, autoridad y responsabilidad es cumplido a cabalidad por
9 EFS (82%). Entre las características de relevancia mencionadas en el Informe COSO 2013 están:
Gráfico 4
Fuente: Elaboración propia
– Disponibilid ad de múltiples estructuras para apoyar el logro de los objetivos.
– Designación y evaluación de líneas de comunicación de información para cada estructura de la
organización.
– Delegación de facultades, definición de responsabilidades y uso de tecnologías y p rocesos
apropiados para asignar responsabilidades y segregar funciones.
iv. Atraer, retener y mantener personal
competente
Un total de 6 EFS indicaron que cumplen el
principio de Atraer, retener y mantener personal
competente. Vale destacar las siguientes
características de este principio, que son
mencionadas en el Informe COSO 2013:
– Establecimiento de políticas y prácticas que
respalden consecución de objetivos.
Gráfico 5
Fuente: Elaboración propia
Cumplen Cumplen Parcialmente No cumplen
No cumplen; 1
Cumplen Parcialmente; 4
Cumplen; 6
Estructura, líneas de reporte,
– Evaluación de las competencias existentes en la organi zación.
– Asignación de mentores y formación a profesionales para atraer, desarrollar y retener a
personal.
– Desarrollo de planes de contingencia en asignación de responsabilidades Importantes para el
control interno.
v. Individuos responsables por el control interno
Una cantidad de 10 EFS participantes cumplen con el principio Individuos responsables por el
control interno, entre cuyas características Fuente: Elaboración propia
Gráfico 6 el Informe COSO 2013 incluye:
– Aplicación de la re sponsabilidad
por la rendición de cuentas a través de
estructuras, niveles de autoridad y
responsabilidades.
– Establecimiento de parámetros de
medición del desempeño, incentivos y
recompensas.
– Evaluación de los parámetros de
medición de desempeño, incentivo s y
recompensas para mantener relevancia.
– Consideración de presiones
excesivas.
– Evaluación de desempeño y recompensas o aplicación de medidas disciplinarias a los
profesionales según sea necesario.
vi. Especificación de objetivos claros y adecuados
Las 11 EFS participantes (100%) cumplen el
principio Especificación de Objetivos claros y
adecuados. En síntesis, las características de este
principio según el Informe COSO 2013 se refieren a
los siguientes asuntos:
– Reflejo de las opciones elegidas por la direc ción,
las actividades de la entidad, las leyes y
regulaciones externas.
– Consideración de la tolerancia al riesgo, de la
materialidad y del nivel de precisión necesario.
Gráfico 7
No cumplen Cumplen
Cumplen
10
control interno
– Formación de una base para la asignación de recursos.
– Cumplimiento de las normas y los marcos establecidos externamente, así como de las normas
contables aplicables.
– Inclusión de objetivos de desempeño financiero y de operaciones.
vii. Identificación y análisis de los riesgos
De las EFS participantes, en 8 se observa el principio de Identificación y análisis de riesgos. En
relación con él, el Informe COSO 2013 señala estas características:
– Inclusión de los niveles de entidad, filial, división, unidad operativa y función.
– Análisis de factores internos y externos.
– Implicación de los niveles apropiados de la dirección.
– Estimación de la importancia de riesgos identificados
– Determinación de cómo se debe responder al riesgo.
Gráfico 8
Fuente: Elaboración propia
Gráfico 9 Evaluación del potencial de riesgos de fraude
viii. Evaluación del p otencial de riesgos
de fraude
Más de la mitad de las EFS participantes ( esto es
6 de 11) no cumplen el principio, Evaluación del
potencial de riesgos de fraude. Al respecto,
conviene mencionar las siguientes
características importantes, incluidas en el
Inf orme COSO 2013:
– Tiene en cuenta distintos tipos de fraude.
– Evaluación de incentivos y precisiones.
– Evaluación de oportunidades.
– Evaluación de actitudes y justificaciones.
Fuente: Elaboración propia
Gráfico 9
ix. Identificación y a nálisis de cambios significativos
De igual modo que el anterior, una gran cantidad EFS (5 de 11) no cumplen con el principio relativo
a la Identificación y el análisis de cambios significativos. Este principio cuenta con una serie de
características impor tantes mencionadas en el Informe COSO 2013 entre las que cabe destacar:
– Análisis de los cambios en el modelo de negocio
– Evaluación de cambios en la alta dirección
– Evaluación de los cambios en el entorno externo
Gráfico 10
Fuente: Elaboración propia
Identifica y analiza cambios
significativos
No cumplen Cumplen Parcialmente
Cumplen
4,5
Cumplen; 5 5,5
No cumplen; 6
Evaluación del potencial de riesgos
de fraude
x. Se lección y desarrollo de actividades de control
9 EFS participantes reportaron el cumplimiento del principio de Selección y desarrollo de
actividades de control, cuyas
Fuente: Elaboración propia
Gráfico 11 características importantes, según el
Informe COSO 2013 incluyen:
– Integración del desarrollo de
controles con la evaluación de riesgos.
– Consideración factores específicos
de la entidad.
– Identificación de procesos
relevantes.
– Evaluación de distintos tipos de
actividades de control.
– Valoración de a qué nivel se
aplican las actividades.
– Facilitación de la segregación de funciones.
xi. Selección y desarrollo de controles generales de TI
Un grupo de 5 EFS cumplen el principio Selección y desarrollo de controles generales de T I. Las
características importantes de este principio mencionadas por el Informe COSO 2013 incluyen:
– Establece la dependencia existente
entre el uso de la tecnología en los
procesos de negocio y los controles
generales sobre la tecnología.
– Establece activi dades de control
relevantes sobre las infraestructuras
tecnológicas.
– Establece actividades de control
relevantes sobre los procesos de
gestión de la seguridad.
– Establece actividades de control
relevantes sobre los procesos de
adquisición, desarrollo y
mant enimiento de tecnologías.
Fuente: Elaboración propia
Gráfico 12
No cumplen Cumplen Parcialmente
Cumplen
No cumplen; 2
Cumplen; 9 10 8 6 4 2 0
Selección y desarrollo de
actividades de control
No cumplen Cumplen Parcialmente Cumplen
No cumplen; 1
Cumplen Parcialmente; 5
Cumplen; 5
Selección y desarrollo de controles
generales de TI
xii. Implementación de controles a través de políticas y procedimientos
De acuerdo con sus respuestas, 8 de los países
participantes satisfacen de manera total el princip io
Implementación de controles a través de políticas y
procedimientos, el cual reúne las siguientes
características importantes de conformidad con el
Informe COSO 2013:
– Establecimiento de políticas y procedimientos
para respaldar la implantación de las
ins trucciones de la dirección.
– Definición de responsabilidades sobre la
ejecución de las políticas y procedimientos.
– Ejecución en el momento oportuno
– Adopción de medidas correctivas
– Puesta en práctica por personal competente.
– Revisión de políticas y procedimi entos.
Fuente: Elaboración propia
Gráfico 13
xiii. Información relevante obtenida, generada y usada
8 EFS de las 11 participantes cumplen el principio de Información relevante obtenida, generada y
usada, entre cuyas características im portantes
mencionadas en el Informe COSO 2013 cabe
destacar:
– Identificación de requisitos de información.
– Captura de fuentes de datos internas y
externas.
– Procesamiento de datos relevantes y
transformación de estos en información.
– Mantenimiento de la cali dad a lo largo de
todo el proceso.
– Evaluación de costos y beneficios.
Fuente: Elaboración propia
Gráfico 14
No cumplen
No cumplen; 2 Cumplen Parcialmente; 1 Cumplen Parcialmente
10 Cumplen
Información relevante obtenida,
generada y usada
No cumplen; 1
No cumplen Cumplen P 1rcialmente
Cumplen Parcialmente;
10
Cumplen
Implementación de controles a
través de políticas y
procedimientos
xiv. Información de control interno comunicada internamente
Fuente: Elaboración propia
Gráfico 15 Casi la mitad de las EFS (6 de 11) aplican el
principio Información de control interno
comunicada internamente. De
conformidad con el Informe COSO 2013, le
corresponden las siguientes características
importantes:
– Comunicación de información
sobre control interno.
– Comunicación con el consejo de
administración.
– Disponibilidad de líneas de
comunicación independientes.
– Selección del método de comunicación pertinente.
xv. Información de control interno comunicada externamente
10 de los 11 países participantes cumplen con el principio de Información de control interno
comunicada externamente. Este principio cuenta con una serie de características importantes que
se mencionadas en el Informe COSO 2013
entre las que cabe destacar:
– Comunicación con terceros externos.
– Ac eptación de comunicaciones
entrantes.
– Comunicación con el consejo de
administración.
– Disponibilidad de líneas de
comunicación independientes.
– Selección del método de comunicación
pertinente.
Fuente: Elaboración propia
Gráfico 16
Información de control interno
comunicada internamente
No cumplen Cumplen Parcialmente
Cumplen
Cumplen Parcialmente; 1
10
Información de control interno
comunicada externamente
Cumplen; 10
xvi. Evalua ciones continuas y/o separadas
El principio Evaluaciones continuas y/o separadas se observa en 10 EFS. Las características
importantes para destacar al respecto, según
el Informe COSO 2013, son:
– Consideración de una combinación de
evaluaciones continuas y separadas.
– Atención al ritmo de cambio.
– Definición de referencias para las
evaluaciones.
– Empleo de personal capacitado.
– Integración con los procesos de negocio.
– Ajuste del alcance y de la frecuencia.
– Objetividad en la evaluación.
Fuen te: Elaboración propia
Gráfico 17
xvii. Evaluación y comunicación de deficiencias de control interno
Fuente: Elaboración propia
Gráfico 18
Dos terceras partes de las EFS (9 de 11) reportan
cumplimiento del principio Evaluación y
comu nicación de deficiencias de control interno,
entre cuyas características importantes cabe
destacar:
– Evaluación de los resultados.
– Comunicación de las deficiencias.
– Monitoreo de las medidas correctivas.
Parcialmente
Evaluación y comunicación de
deficienci as de control interno
c. RESULTADOS CONSOLIDADOS
La tabla siguiente resume to do lo señalado en términos del cumplimiento de los componentes y
los principios de control interno:
Cuadro 2
Resumen de cumplimientos de componentes y principios de control interno por las EFS
participantes según la aplicación de la herramienta ICI en 2017
Componente y principios Cumple Cumple
parcial
No cumple Total EFS
Entorno de control
i Compromiso con la integridad y los valores éticos 8 2 1 11
ii Supervisión independiente de la junta directiva 9 1 1 11
iii Estructura, líneas de reporte, au toridad y responsabilidad 9 1 1 11
iv Atraer, retener y mantener personal competente 6 4 1 11
v Individuos responsables por el control interno 10 – 1 11
Evaluación de riesgos
i Especificación de objetivos claros y adecuados 11 – – 11
ii Identificac ión y análisis de los riesgos 8 1 2 11
iii Evaluación del potencial de riesgos de fraude 5 – 6 11
iv Identifica y analiza cambios significativos 6 – 5 11
Actividades de control
i Selección y desarrollo de actividades de control 9 – 2 11
ii Sele cción y desarrollo de controles generales de TI 5 5 1 11
iii
Implementación de controles a través de políticas y
procedimientos
9
1
1
11
Información y comunicación
i Información relevante obtenida, generada y usada 8 1 2 11
ii Información de co ntrol interno comunicada internamente 6 – 5 11
iii Información de control interno comunicada externamente 10 1 11
Actividades de supervisión
i Evaluaciones continuas y/o separadas 10 – 1 11
ii
Evaluación y comunicación de deficiencias de control
interno
9
2
–
11
Fuente: elaboración propia
En general, las EFS de la región han manifestado orientar esfuerzos de mejora continua en los
procesos institucionales basados en prácticas internacionales. Se observan algunas diferencias entre
éstas, pues algunas reportaron un cumplimiento de todos los principios considerados, en
25
20 principios
tanto otras sugieren alguna oportunidad de mejora, sobre todo en los componentes ambiente de
control y evaluación de riesgos.
En relación con la evaluación de riesgos, dos EFS rep ortaron total incumplimiento en la primera
aplicación de la herramienta, en tanto las EFS que se sumaron a la evaluación en el año 2018
alcanzan cumplimientos parciales e identifican oportunidades de mejora, que se orientan al
requisito de evaluación poten cial de riesgo de fraude con la identificación y el análisis de los cambios
significativos.
En línea con lo anterior, la nueva actualización de COSO 2017 provee una visión adicional con los
riesgos estratégicos, esto implica integrarlos con la planificaci ón estratégica y gestión del
desempeño institucional. El documento técnico contiene 5 componentes y 20 principios con otra
definición y enfoque, tal y como se detalla en la siguiente figura; no obstante, y sin perjuicio de la
utilidad que pueden generar el ICI, es recomendable que cada EFS valore la posibilidad de actualizar
el instrumento con el nuevo enfoque y buscar la mejora continua, tal y como se ha efectuado hasta
la fecha.
Figura 2
Componentes y principios COSO ERM 2017
5 Componentes
Gobierno y cultura Estrategia y definición de objetivos Gestión del desempeño Análisis y revisión Informació n, comunicación y presentación informes
Ejerce la función de supervisar los riesgos del consejo
Analiza el contexto de negocios Identifica riesgos Evalúa cambios importantes Aprovecha la información
Establece estructuras operativas
Determina el apet ito de riesgo Evalúa riesgos Revisa riesgos y desempeño Comunica la información
Define la cultura deseada Evalúa estrategias alternativas Prioriza riesgos Busca mejorar la administración de riesgos
Elabora reportes de riesgos, cultura y desempeño
Demuestra compromiso con los valores básicos
Formula objetivos de negocios
Implemneta respuestas a riesgos
Atrae, desarrolla y retiene el personal capacitado
Desarrolla visión de la cartera
26
Para los componentes actividades de control e información y comunicación, evaluados en el ICI, las
EFS refieren que hay camino por andar en el caso del principio de Selección y desarrollo de controles
generales de tecnologías de información y la información de control interno comunicada
internamente.
En lo atiente a las actividades de supervisión, la mayoría de EFS reportan cumplimiento total y sólo
dos lo refieren como parcial, estando la mayor oportunidad en el fortalecimiento de los procesos de
evaluación y comunicación de las deficiencias de control interno, correspondientes al último
principio evaluado.
27
Capítulo III
Desafíos y oportunidades
Los resultados de la aplicación de la herramienta ICI aportan un conocimiento general del estado de
los sistemas de control interno en las EFS que participaron, a su vez este informe pretende adicionar
información relevante en esta materia para todas las EFS de OLACEFS y promover la utilización de
este tipo de instrumentos que fomentan autoevaluaciones y mejora continua institucional, en
circunstancias donde las EFS no pueden cubrir todo el ámbito de control, dado la limitación de
recursos.
Aunado a lo anterior, se permite que las entidades emprendan el camino hacia el mayor
fortalecimiento de sus procesos operativos, planteen desafío s para ellas y para la propia OLACEFS,
pero igualmente existen oportunidades que deben aprovecharse en el proceso de enfrentarlos.
3. 1. Desafíos
La herramienta permite que las EFS aborden desafíos relacionados con sus actividades
fiscalizadoras, la Admini stración auditada y los usuarios interesados en la mejora de los servicios del
sector público y la transparencia de la información. Los principales desafíos identificados son los
siguientes:
Es importante que cada EFS sea ejemplo como institución que busc a la mejora continua de
sus procesos, la autoevaluación y la promoción de una cultura de control interno. En este
sentido, cuerpos normativos internacionales como el COSO, han actualizado sus enfoques
hacia mecanismos integrales basados en estrategias inst itucionales, que garantizan la
sostenibilidad de la institución a largo plazo.
La sociedad y las instituciones van actualizando sus procesos en procura de mejorar; en esta
línea, la EFS debe buscar continuamente medios innovadores para promover iniciativas de
avance constante para maximizar sus recursos en la fiscalización de la hacienda pública.
En su esfuerzo por contribuir a una mejor gestión pública, cada EFS debe tener una imagen
bien informada del estado de las instituciones que fiscaliza. Tratándose del control interno,
existe el reto de medir la situación actual de los sujetos pasivos, para lo que es válido
considerar el eventual uso del ICI o de un instrumento similar, y ejecutar un proyecto con
base en éste, que permita recabar información y defini r estrategias y mecanismos de
fortalecimiento institucional, dentro de los cuales el control interno es un pilar ineludible.
28
Se requiere compromiso de las autoridades con el control interno, con una estrategia que
incluya: campañas de divulgación, activid ades para fomentar la ética y los valores
institucionales, compromiso con la institución y el valor público, entre otros.
Con este proyecto OLACEFS promueve la necesidad de extender a otras EFS la aplicación del
ejercicio de valoración del control interno con la herramienta ICI. Ciertamente, con la
aplicación de las EFS participantes se logró que once EFS se involucraran, en el año 2016 y
2017; no obstante, muchos más miembros de la organización podrían verse beneficiados de
la detección de oportunidades de mejora.
3. 2. Oportunidades
En el proceso de implementar acciones para aprovechar los resultados de este ejercicio, así como
para enfrentar los desafíos mencionados, las EFS encuentran oportunidades como las siguientes:
Participar en el ejercicio de apli cación de la herramienta hace que las EFS identifiquen
asuntos a los cuales pueden prestar atención para fortalecerse; focalizar pasos hacia la
materialización de las mejoras pueden ser paulatinos, pero al final redundarán en un
beneficio para el cumplimie nto de las respectivas misiones, en un desempeño vigorizado y
en una mayor satisfacción de las necesidades de la colectividad.
Una vez entendido y madurado el proceso, las EFS puede replicar la aplicación de la
herramienta a los organismos fiscalizados, qu e les permita generar resultados como
insumos para la toma de decisiones y generar un ambiente de mejora continua.
Se generan ideas de lo que significa desarrollar iniciativas similares y de la relevancia que
engloban la definición y cumplimiento de alcanc es y tiempos. Por otro lado, les permitió
saber que cuentan con entidades similares que han avanzado en asuntos que algunas están
emprendiendo, lo que constituye un acervo de información y conocimiento.
A pesar de eventuales diferencias entre el universo d e fiscalización y los recursos disponibles
en las EFS, el uso de herramientas de bajo costo como el ICI permite no solo promover que
las instituciones fiscalizadas se autoevalúen, sino también generar resultados que sirvan
como insumos para orientar la asi gnación de recursos de las EFS a los diferentes esfuerzos
de fiscalización y enfatizar en aquellos asuntos que requieren mayor atención.
La disponibilidad de herramientas tecnológicas se ha incrementado a nivel global y, por
medio de ellas , se facilita la comunicación entre las EFS y entre éstas y sus sujetos pasivos.
Ello hace posible compartir conocimientos, herramientas y experiencias, así como
desarrollar proyectos con una cobertura mayor y en tiempos más reducidos.
29
Capitulo IV
Conclusiones y recomenda ciones
4. 1. Conclusiones
El ejercicio conducido por OLACEFS , a partir de la Comisión Técnica de Prácticas de Buena
Gobernanza, que preside la EFS de Argentina, con la coordinación de la EFS de Costa Rica, demuestra
la utilidad de herramientas diferentes d e una auditoría en sentido estricto, como medio para
identificar necesidades de fortalecimiento de la gestión, a partir de las cuales se diseñen
mecanismos que a bajo costo conduzcan a vigorizar los servicios prestados por las instituciones. En
el caso del control interno, la herramienta ICI aportó a las EFS participantes en este proyecto una
visión general del estado de sus sistemas de control como punto de partida para enfocar aquellos
principios y componentes que requieren mayor atención.
Aunad o con lo anterior, pese a que el instrumento no garantiza resultados de gestión por no ser un
fin en sí mismo, genera seguridad razonable de contar con mecanismos formales para el logro de
objetivos institucionales, que permiten generar inversión de control interno para garantizar
resultados de manera sostenida y estructural en la gestión a largo plazo, independientemente de
quien administre la institución.
Destacan las oportunidades de mejora en el componente de evaluación de riesgos . A l respecto,
merece atención la necesidad de fortalecer el compromiso con la integridad y los valores éticos y la
conducción de actividades de identificación y análisis de riesgos, y la necesidad de considerar la
nueva dinámica de prácticas internacionales en la materia como COSO ERM 2017.
30
4. 2. Recomendaciones
Teniendo presentes los resultados de la aplicación de la herramienta ICI, es posible enunciar las
siguientes recomendaciones:
Lo más enriquecedor de participar en una evaluación de herramientas de esta naturaleza es
aprovecha r la información para buscar los desafíos y diseñar estrategias internas que se
aboquen a enfrentarlos. A los efectos, conviene aprovechar las oportunidades que también
se mencionan en este reporte.
Enfocar esfuerzos en los principios respecto de los cuale s se da un cumplimiento parcial o
nulo, de modo que su implementación conduzca a vigorizar los componentes relacionados
y los sistemas de control interno como un todo. Es importante que se analicen las
características relevantes de esos principios para det erminar con mayor facilidad los
mecanismos de cumplimiento que podrían implementarse. En ese proceso, es menester
que las EFS valoren si la aplicación limitada de los principios respectivos obedece a una
decisión interna o a la aplicación de normas jurídic as o técnicas vigentes y de obligatoria
observancia.
Como valor agregado, sin determinar la her ramienta con un fin en sí mismo, cabe destacar
la necesidad de generar un programa o plan de acción como instrumento para mejorar los
factores identificados con problemas o brechas.
La cooperación entre organizaciones homólogas debe continuar, como recurso de
crecimiento mutuo, de modo que las entidades con menor cumplimiento puedan acudir a
las que reportan una mejor situación y utilizar sus emprendimientos como referencia para
desarrollar sus propias mejoras.
A partir de la experiencia de un instrumento como el ICI, y con el apoyo de normativa técnica
internacional como el COSO ERM 2017, elaborar herramientas para medir la gestión de
riesgos empresarial a nivel d el sector público, lo cual permite focalizar áreas vulnerables y
tomar decisiones para orientar esfuerzos según priorización, con el afán de cumplir los
objetivos institucionales.
31 31
Anexo
HERRAMIENTA DEL ÍNDICE DE CONTROL INTERNO (ICI)
1
Componente SCI
Principio Punto de enfoque
Pregunta
Explicación de la pregunta
R/ Sí o No
Peso
Valor
Referencia al documento probatorio
Observaciones
1.1.1
Entorno de control
Compromiso con la integridad y los valores éticos
1 a 4 ¿Se ha formulado, e jecutado y evaluado una estrategia para incorporar la ética en la cultura organizacional y para prevenir el fraude y la corrupción?
En pro del fortalecimiento del sistema de control interno y la gestión institucional, la entidad debe diseñar y ejecutar una estrategia para promover la ética entre el jerarca, los titulares subordinados y el resto de los funcionarios.
10
1.1.2
Entorno de control
Compromiso con la integridad y los valores éticos
1 y 2 ¿La institución ha promulgado o adoptado u n código de ética u otro documento que reúna los compromisos éticos de la institución y sus funcionarios?
Se refiere a la elaboración, adopción y divulgación de un código de ética u otro instrumento similar, que estipule el conjunto de valores, normas y principios deseables en la institución. El código puede ser elaborado por la propia entidad o bien adoptarse de una fuente externa congruente con la actividad institucional o que la supervise. En cualquier caso, debe existir evidencia de que la emisión o ado pción fue oficializada por el jerarca.
10
1.1.3
Entorno de control
Compromiso con la integridad y los valores éticos
1
¿La misión y valores de la institución incluyen el compromiso con la integridad
y valores éticos?
Para que las operaci ones que realice la institución sean desarrolladas en un marco ético, transparente, económicas, eficientes y efectivas, que guarde una consistencia con la integridad y valores éticos, que deben ser incorporadas y visibles en la misión y valores de la insti tución.
10
1.1.4
Entorno de control
Compromiso con la integridad y los valores éticos
1
¿ El Reglamento de Trabajo o conjunto de políticas y directrices de Recursos Humanos, se vincula con el Código de Ética de la institución?
En pro d e asegurar la obligatoriedad y reconocimiento en el cumplimiento del el Código de Ética de la institución es importante que esté vinculado con el Reglamento de trabajo o políticas y directrices de Recursos Humanos. Este reglamento o políticas indican el ho rario, vestimenta, procedimientos para solicitar licencias o regulaciones internas
10
32 32
1
Componente SCI
Principio Punto de enfoque
Pregunta
Explicación de la pregunta
R/ Sí o No
Peso
Valor
Referencia al documento probatorio
Observ aciones
1.1.5
Entorno de control
Compromiso con la integridad y los valores éticos
1 y 2
¿La institución revisa periódicamente el Reglamentos de infracción y sanciones para asegurar que la totalidad de conductas constitutivas de infracci ón sean sujetas a sanción?
A fin de evitar infracciones recurrentes en la institución es necesario asegurar la incorporación de conductas que constituye una infracciones
10
1.1.6
Entorno de control
Compromiso con la integridad y los valo res éticos
3 y 4 ¿La institución ha establecido mecanismos para prevenir, detectar y corregir situaciones contrarias a la ética?
Idealmente, los mecanismos deben ponerse de manifiesto en políticas o regulaciones internas. Además, pueden incluir talleres de valores, actividades de integración, esfuerzos de divulgación continua de la conducta que debe mantener un funcionario ético, evaluaciones del comportamiento ético, capacitación a nuevos funcionarios, así como medidas de protección a los funcionarios cuan do hagan una denuncia sobre alguna acción incorrecta.
10
1.2.1
Entorno de control
Supervisión independiente de la junta directiva
4 y 5 ¿El superior jerárquico institucional analiza periódicamente los riesgos asociados al entorno operat ivo de la entidad (o es informado de los análisis respectivos) e instruye a la administración para que emprenda medidas para gestionarlos?
Como responsable en última instancia del sistema de control interno y del desempeño institucional, el superior jerárq uico debe estar al tanto de los riesgos relevantes y las medidas de administración aplicables. Su labor es de supervisión, en tanto corresponde a la administración de línea aplicar las medidas pertinentes para gestionar los riesgos.
10
33 33
1
Componente SCI
Principio Punto de enfoque
Pregunta
Explicación de la pregunta
R/ Sí o No
Peso
Valor
Referencia al documento probatorio
Observaciones
1.3.1
Entorno de control
Estructura, líneas de reporte, autoridad y responsa bilidad
1 a 3 ¿La institución cuenta con un manual de puestos o similar, debidamente oficializado y actualizado, que identifique las responsabilidades de los funcionarios, así como las líneas de autoridad y reporte correspondientes?
Un manual de puestos o similar (manual de descripción de puestos, manual de cargos, manual de perfil de puestos, manual de funciones y competencias, entre otras denominaciones) especifica las actividades que debe cumplir el titular de cada puesto e identifica al superior al cual debe rendir cuentas. En toda institución debe disponerse de una regulación de ese tipo, debidamente actualizada (cuando se haya visto afectada por reestructuraciones, reformas u otras situaciones que requieran su modificación), así como aprobada por el má ximo superior jerárquico institucional y comunicada a todos los funcionarios.
10
1.4.1
Entorno de control
Atraer, retener y mantener personal competente
1 ¿Se cuenta con políticas u otra normativa institucional, de conocimiento general, par a el reclutamiento, la selección y promoción del personal?
Las políticas se emiten con miras a la contratación, retención y actualización de personal idóneo. Pueden formar parte de otras regulaciones institucionales atinentes a la gestión de los recursos humanos.
10
1.4.2
Entorno de control
Atraer, retener y mantener personal competente
2 y 3 ¿Se formula y ejecuta un programa anual de capacitación y desarrollo del personal?
El plan de capacitación tiene como propósito general identificar acciones de capacitación para preparar e integrar al recurso humano en el proceso productivo, mejorar destrezas, aclarar inquietudes, eliminar vicios y disminuir errores, todo ello mediante el suministro de conocimientos y el desarrollo de habilidades y ac titudes necesarias para el mejor desempeño en el trabajo. Para determinar el éxito de su implementación, debe realizarse el seguimiento correspondiente.
10
34 34 1 Componente
SCI Principio Punto
de
enfoque Pregunta Explicación de la pregunta R/
Sí
o
No Peso Valor Referencia
al
documento
probatorio Observaciones
1.4.3 Entorno de
control Atraer, retener y
mantener
personal
competente 2 y 3 ¿La entidad aplica algún instrumento
para medir el clima organizacional al
menos una vez al año? La medición del clima organizacional aporta
elementos de decisión con miras a la mejora
continua de los procesos, de la satisfacción y el
sentido de pertenencia de los empleados y otros
factores que inciden sobre el ambiente de control
y, en ge neral, sobre la gestión institucional. Es
preciso que toda entidad realice una evaluación o
medición de dicho clima, al menos una vez al año,
utilizando uno o más instrumentos idóneos en sus
circunstancias. 10
1.4.4 Entorno de
control Atraer, retener y
mantener
personal
competente 4 ¿La institución aplica un plan de
retención de personal ( construir
relaciones de mentoría, promover
equidad de decisiones relativas al
personal.antigüedad – experiencia,
fomentar buen humor, construcci ón
de autoestima individual, apoyo metas
vida, desarrollo nuevas habilidades,
iniciativa, creatividad, e innovación,
flexibilidad laboral, remuneración y
beneficios, otros) ? A fin de promover un buen clima laboral, a través
del reconocimiento de los l ogros alcanzados. 10
1.4.5 Entorno de
control Atraer, retener y
mantener
personal
competente 4 ¿La institución ejecuta un plan de
sucesión para prever la dotación de
funcionarios que sustituyan a quienes
dejan la entidad? La ins titución debe prever el número aproximado
de funcionarios que dejarán la entidad en un
número de períodos determinado, y emprender
medidas para asegurar que serán remplazados por
otros individuos con los conocimientos y las
capacidades necesarios, de maner a que no se
pierda el acervo institucional. Con ese propósito,
corresponde elaborar un plan de sucesión, que
incluya la preparación de los funcionarios actuales
de menor rango, para que estén en capacidad de
asumir las posiciones que quedarán vacantes a
fu turo, sin perjuicio de que se recurra, cuando ello
sea razonable y necesario, a la contratación
externa. 10
35 35 1 Componente
SCI Principio Punto
de
enfoque Pregunta Explicación de la pregunta R/
Sí
o
No Peso Valor Referencia
al
do cumento
probatorio Observaciones
1.5.1 Entorno de
control Individuos
responsables por
el control interno 1 a 5 ¿Se tienen claramente definidos los
procedimientos para la medición del
desempeño de los funcionarios? La medición del desempeño es el procedimiento
mediante el cual se mide y valora la conducta
profesional y el rendimiento o el logro de
resultados, utilizando criterios de transparencia,
objetividad, imparcialidad y no discriminación, los
que deben aplicarse sin menoscabo de los
derec hos de los funcionarios. A los efectos, la
institución debe definir y oficializar los
procedimientos que utilizará. 10
2.1.1 Evaluación de
riesgos Especificación de
objetivos claros y
adecuados 1 a 5 ¿La declaración institucional de
misión, visión y valores han sido
promulgadas formalmente por
máximo superior jerárquico
institucional, y se han divulgado y
promovido entre los funcionarios de
todos los niveles? La declaración de misión, visión y valores define la
labor o la razón de ser de la institución, las metas
que pretende conseguir y los principios sobre los
que se asienta la cultura institucional,
respectivamente. Se requiere un compromiso
activo del jerarca en la construcción,
comunicación e instauración y formación de la
declara ción, que concluye con su promulgación
oficial. Además, se requiere su divulgación y
promoción entre los funcionarios, mediante un
programa formal y controlado. 10
2.1.2 Evaluación de
riesgos Especificación de
objetivos claros y
adecuados 1 a 5 ¿La institución cuenta con una política
de riesgos, apropiada al propósito y
contexto de la institución? La política de riesgos debería incluir un
compromiso de la institución con la gestión de
riesgos en la institución y la mejora continua. 10
2. 2.1 Evaluación de
riesgos Identificación y
análisis de los
riesgos 1 a 4 ¿La institución cuenta con una
metodología oficializada para el
proceso de evaluación de riesgos? La metodología establecida en la institución
debería ser congruente con lo definido e n la
norma INTOSAI GOV 9130. 10
2.2.2 Evaluación de
riesgos Identificación y
análisis de los
riesgos 1 a 4 ¿La institución cuenta con un
Inventario de riesgos? Resultado de la identificación y análisis de los
riesgos, estos se van a inventariar a f in de hacer
una evaluación posterior de los mismos. 10
2.2.3 Evaluación de
riesgos Identificación y
análisis de los
riesgos 1 a 4 ¿La institución cuenta con una matriz
de Riesgos (probabilidad e impacto) o
Análisis y Evaluación de Riesgos? A f in de evaluar los riesgos, la institución elabora
una matriz de riesgos considerando la
probabilidad e impacto, para identificar y priorizar
los riesgos inherentes y residuales. 10
1 Co m ponente
SCI Principio Punto
de
enfoque Pregunta E xplicación de la pregunta R/
Sí
o
No Peso Valor Referencia
al
documento
probatorio Observaciones
2.2.4 Evaluación de
riesgos Identificación y
análisis de los
riesgos 2 ¿Se han establecido objetivos claros,
consistentes y alineados con las
prioridades de la estrategia
institucional, analizando los factores
internos y externos, que permitan
iniciar con mayor seguridad la
identificación de riesgos que afecten
negativamente dichos objetivos? Es necesario que la Alta Dirección como lo s
funcionarios y colaboradores tengan claro los
objetivos institucionales para resguardarlos de
riesgos que puedan afectarlos. 10
2.2.5 Evaluación de
riesgos Identificación y
análisis de los
riesgos 5 ¿Con base en la valoración de ries gos,
la entidad determinó y estableció las
medidas de administración de riesgos
frente a la dinámica institucional? Las medidas de administración de riesgos
determinadas mediante la aplicación de la
metodología establecida por la entidad, son la
base para el establecimiento de las actividades de
control, pues éstas tienen entre sus características
la de responder al riesgo. La actualización de
controles contribuye a eliminar o cambiar los que
son inadecuados, obsoletos, inoperantes o poco
efectivos. 10
2.3.1 Evaluación de
riesgos Evaluación del
potencial de
riesgos de fraude 1 a 4 ¿La organización cuenta con
procedimientos formalizados para
analizar y administrar los riesgos de
fraude, considerando los incentivos,
las presiones, las oportun idades y las
racionalizaciones asociados a la
eventual ocurrencia de esos fraudes? Se requiere de un proceso para llevar a cabo el
análisis y la administración de los riesgos de
fraude, con el fin de evitar la materialización o
minimizarlo al máximo.
1 0
2.3.2 Evaluación de
riesgos Evaluación del
potencial de
riesgos de fraude 1. 2. 3.
4. ¿La Institución evalúa periódicamente
la permanencia del personal asignado
en puestos claves susceptibles a
riesgos de fraude? Es necesario que la Alta Direc ción previamente
identifique los puestos claves susceptibles a
riesgos. 10
2.3.3 Evaluación de
riesgos Evaluación del
potencial de
riesgos de fraude 1.2.3.4 ¿La Institución ha elaborado una
metodología para la identificación de
riesgos de fra ude y corrupción? Es relevante que las EFS que tengan un nivel de
madurez de control interno avanzado diseñen este
documento 10
37 1 Componente
SCI Principio Punto
de
enfoque Pregunta Explicación de la pregunta R/
Sí
o
No Peso Valor Referencia
al
documento
probatorio Observaciones
2.4.1 Evaluación de
riesgos Identificación y
análisis de
cambios
significativos 1 a 3 ¿La organizac ión cuenta con
procedimientos formalizados para
identificar, analizar y administrar los
cambios del entorno, del modelo de
negocios y de liderazgo que podrían
impactar en el sistema de control
interno? Se requiere que la alta dirección realice esfuerzos
en la formalización de procedimientos que midan
el impacto que puedan tener posibles cambios en
el entorno externo y dentro de su propio modelo
de negocio, y que puedan provocar que el control
interno no resulte efectivo. 10
3.1.1 Actividades de
control Selección y
desarrollo de
actividades de
control 6 ¿La institución cuenta con un manual
de funciones oficializado y
actualizado? El manual referido delimita las funciones y
describe los procedimientos adoptados por la
institución para llevar a cabo las diferentes
actividades. Debe estar actualizado considerando
los puestos de trabajo existentes en la institución;
igualmente, se requiere su oficialización mediante
la aprobación por la autoridad institucional
competente según el marco jurídico que aplique a
la entidad. 10
3.1.2 Actividades de
control Selección y
desarrollo de
actividades de
control 1 ¿Se ha evaluado las actividades de
control que garanticen respuestas para
mitigar que los riesgos se lleven a cabo
de manera eficaz ? (principalmente
riesgos de corrupción
de funcionarios) Las actividades de control determinadas por la
institución deben ser evaluadas para comprobar
su efectividad permanente en el tiempo. 10
3.1.3 Actividades de
control Selección y
desarrollo de
actividades de
control 1 ¿Se efectúa rotación periódica del
personal asignado en puestos
susceptibles a riesgos de fraude? La rotación de personal en puestos claves evita la
posibilidad de fraude. 10
3.2.1 2
Actividades de
control
38 1 Componente
SCI Principio Punto
de
enfoque Pregunta Explicación de la pregunta R/
Sí
o
No Peso Valor Referencia
al
documento
probatorio Observaciones
3.2.2 Actividades de
control Selección y
desarrollo de
controles
generales de TI 1 ¿La institución cuenta con un plan
estratégico de tecnologías de
información vigente? Debe existir un documento o un grupo de ellos
que evidencie los resultados de un proceso de
planificación en materia de TI vinculado con el
proceso de planificación institucional. Estos
documentos contendrán al menos objetivos,
estrategias, indicadores y reservas presupuestarias
que estarán alineados con su contraparte
institucio nal. Para que se considere oficial, debe
haber sido emitido por la máxima autoridad
jerárquica institucional. 10
3.2.3 Actividades de
control Selección y
desarrollo de
controles
generales de TI 1 ¿La institución cuenta con un modelo
de plataforma tecnológica que defina
los estándares, regulaciones y políticas
para la adquisición, operación y
administración de la capacidad tanto
de hardware como de software? El modelo de plataforma tecnológica describe la
configuración de los componentes tecnológicos de
hardware y software de la organización y la forma
en que estos se acoplan con los componentes
descritos en el modelo de aplicaciones. Esta
descripción está acompañada de los estándares,
regulaciones y políticas para la adquisición,
operaci ón y administración de la capacidad de los
componentes mencionados. 10
3.2.4 Actividades de
control Selección y
desarrollo de
controles
generales de TI 3 ¿La institución ha oficializado
lineamientos o políticas para la
seguridad (tanto física como
electrónica) de la información, así
como procesos de administración y
operación asociados a ellos? Como medida final, se pretende la
implementación de una arquitectura de seguridad
institucional de la información. Para ello se
requiere, al men os, visualizar las bases para dicha
implementación, mediante un documento que
demuestre la ejecución de un proceso de
identificación de requerimientos generales de
seguridad, amenazas y el marco legal y regulatorio
aplicable a la institución. 10
1 Componente
SCI Principio Punto
de
enfoque Pregunta Explicación de la pregunta R/
Sí
o
No Peso Valor Referencia
al
documento
probatorio Observaciones
39 3.2.5 Actividades de
control Selección y
desarrollo de
controles
generale s de TI 3 ¿La institución ha definido, oficializado
y comunicado políticas y
procedimientos de seguridad lógica? La seguridad lógica alude a la seguridad en el uso
de software y los sistemas, a la protección de los
datos, procesos y programas, y al acceso ordenado
y autorizado de los usuarios a la información.
Involucra todas aquellas medidas establecidas
para minimizar los riesgos de seguridad asociados
con las operaciones que se efectúan utilizando TI.
Como parte de esas medidas, las instituciones
deben d efinir, oficializar y comunicar las políticas y
los procedimientos pertinentes. 10
3.2.6 Actividades de
control Selección y
desarrollo de
controles
generales de TI 2 ¿Se han definido e implementado
procedimientos para otorgar, limitar y
revo car el acceso físico al centro de
cómputo y a otras instalaciones que
mantienen equipos e información
sensibles? Los aspectos señalados por la pregunta son parte
de los controles físicos mínimos en materia de TI.
10
3.2.7 Actividades de
control Selección y
desarrollo de
controles
generales de TI 3 ¿Se aplican medidas de prevención,
detección y corrección para proteger
los sistemas contra software malicioso
(virus, gusanos, spyware, correo
basura, software fraudulento, etc.)? De acuerdo con la n ormativa vigente y con las
sanas prácticas en materia de TI, la organización
debe implementar las medidas de seguridad
relacionadas con la operación de los recursos de TI
y las comunicaciones, minimizar su riesgo de fallas
y proteger la integridad del soft ware y de la
información. 10
3.2.8 Actividades de
control Selección y
desarrollo de
controles
generales de TI 1 ¿Existe un plan formal que asegure la
continuidad de los servicios de
tecnologías de información en la
organización? Toda in stitución debe mantener una continuidad
razonable de sus procesos, de modo que su
interrupción no afecte significativamente a los
usuarios. Como parte de ese esfuerzo debe
documentar y poner en práctica, en forma efectiva
y oportuna, las acciones preventiv as y correctivas
necesarias con base en los planes de mediano y
largo plazo de la organización, la evaluación e
impacto de los riesgos y la clasificación de sus
recursos de TI según su criticidad. 10
40 1 Componente
SCI Principio Punto
de
e nfoque Pregunta Explicación de la pregunta R/
Sí
o
No Peso Valor Referencia
al
documento
probatorio Observaciones
3.2.9 Actividades de
control Selección y
desarrollo de
controles
generales de TI 1 ¿Las políticas de TI se comunican a
todos los usuarios internos y externos
relevantes? Como medida de control, los usuarios de la
información y, en general, de las facilidades de TI,
deben conocer las políticas establecidas por la
institución, de manera que tengan seguridad
sobre el rol que les co mpete y las
responsabilidades correspondientes. 10
3.3.1 Actividades de
control Controles
implementados a
través de políticas
y procedimientos 1 ¿Se cuenta con un plan contable
(compendio de políticas o similar)
formalmente aproba do por las
autoridades institucionales
pertinentes? El plan contable es una herramienta del proceso
de contabilidad que debe contener en su
estructura los aspectos necesarios para llevar a
cabo la ejecución efectiva de los procesos
relacionados con la cont abilidad de la institución.
La aprobación del plan contable por las
autoridades institucionales pertinentes le da
validez y promueve su efectiva aplicación. Es
posible que la entidad adopte un plan contable
emitido por una autoridad externa. En todos los
c asos, debe existir evidencia de la aprobación y de
la orden de aplicación del plan, emitida por la
autoridad institucional competente. 10
3.3.2 Actividades de
control Controles
implementados a
través de políticas
y procedimientos 1 ¿Exis te un manual de procedimientos
que regule cada fase del proceso
presupuestario, los plazos y los roles
de los participantes? La alta dirección, de acuerdo con sus
competencias y con el apoyo de la persona o
unidad encargada de la coordinación general del
p roceso presupuestario, deben emitir los
manuales que rigen ese proceso y las directrices
periódicas que se requieran para regular el
desarrollo de sus diferentes fases. 10
4.1.1 Información y
comunicación Información
relevante
obtenida,
generada y usada 1 a 5 ¿La información institucional está
sistematizada de manera que integre
los procesos de la entidad
(planificación, presupuesto y
evaluación)? La sistematización de información permite la
integración, el ordenamiento y la clasificación,
bajo d eterminados criterios, relaciones y
categorías, de todo tipo de datos. 10
41
1
Componente SCI
Principio Punto de enfoque
Pregunta
Explicación de la pregunta
R/ Sí o No
Peso
Valor
Referencia al documento probatorio
Observaciones
4.1.2
Información y comunicación
Información relevante obtenida, generada y usada
1 a 5 ¿Se tiene implementado un sistema de información financiera que integre todo el proceso contable?
La integración del proceso contable en un sistema de información fin anciera asegura razonablemente la congruencia de los datos y los informes correspondientes, previene errores y duplicidades, propicia la interacción y actualización, y facilita la difusión de la información y su uso en la toma de decisiones.
10
4.1.3
Información y comunicación
Información relevante obtenida, generada y usada
2
¿La organización considera fuentes de información internas y externas confiables para identificar información relevante en el control interno?
Fuentes internas: Res ultado de las mejoras en los procesos y productos. Conocimientos adquiridos con la experiencia. Fuentes externas: Recopilación de información proveniente de proveedores y clientes. (Incluye información financieras y no financieras)
10
4.2.1
Infor mación y comunicación
Información de control interno comunicada internamente
2 ¿Los avances en la implementación del SCI son comunicados a la alta dirección?
Considera información al detalle de procesos claves y el nivel de medición de desempeño del SCI
10
4.2.2
Información y comunicación
Información de control interno comunicada internamente
4 ¿Se ha oficializado en la institución un marco de gestión para la calidad de la información?
La organización debe generar la información de conformida d con los requerimientos de sus usuarios, con base en un enfoque de eficiencia y mejoramiento continuo. A los efectos, debe establecer un marco de gestión de la información que estandarice los criterios de calidad respectivos.
10
4.3.1
Info rmación y comunicación
Información de control interno comunicada externamente
1, 2, 4 y 5 ¿La entidad utiliza medios electrónicos (cuando corresponda) que generen información que la ciudadanía pueda acceder en relación con las actividades y proyectos institucionales?
El uso cada vez mayor de las tecnologías de información en los procesos institucionales de contratación, implica la necesidad de mecanismos para que tanto los funcionarios como otros interesados puedan dar seguimiento, mediante algún medio e lectrónico, al avance en las actividades y proyectos institucionales de su legítimo interés.
10
42
1
Componente SCI
Principio Punto de enfoque
Pregunta
Explicación de la pregunta
R/ Sí o No
Peso
Valor
Referencia al documento probato rio
Observaciones
4.3.2
Información y comunicación
Información de control interno comunicada externamente
1
¿La organización tiene procesos implementados para la comunicación de información relevante y de manera oportuna a terceros (regulador es, sociedad civil, etc.)?
Establecer normativa de formulación de documentos al exterior minimiza la exposición al riesgo.
10
4.3.3
Información y comunicación
Información de control interno comunicada externamente
2 ¿La instituc ión ha identificado, definido y comunicado los mecanismos por los que los ciudadanos pueden comunicar sus quejas, recomendaciones y otras manifestaciones, y los ha publicado o colocado en lugares visibles?
La entidad debe disponer de mecanismos de canaliza ción de aspectos tales como inconformidades, reclamos, consultas, denuncias, sugerencias o felicitaciones respecto de la forma o el contenido con el que se brinda un servicio, presentadas por los usuarios ante la institución. Tales mecanismos deben estar a disposición de la ciudadanía en general, y la entidad debe controlar y registrar las manifestaciones que los usuarios le comuniquen por esos medios, así como la atención que les brinde la contraloría de servicios u otra unidad encargada de procesarlas.
10
5.1.1
Actividades de supervisión
Evaluaciones continuas y/o separadas
1 ¿La institución realiza cada año una autoevaluación del sistema de control interno?
De conformidad con la Ley General de Control Interno y las normas emiti das por la CGR, el jerarca y los titulares subordinados, según sus competencias, deben disponer la realización, por lo menos una vez al año de la autoevaluación del sistema de control interno, a fin de identificar oportunidades de mejora del sistema, así c omo detectar cualquier desvío que aleje a la institución del cumplimiento de sus objetivos. El informe correspondiente debe ser comunicado oportunamente a las autoridades institucionales.
10
43
1
Componente SCI
Principio Punto de enfoque
Pregunta
Explicación de la pregunta
R/ Sí o No
Peso
Valor
Referencia al documento probatorio
Observaciones
5.1.2
Actividades de supervisión
Evaluaciones continuas y/o separadas
1
¿Los líderes de las unidades orgánicas realizan una revisión periódica permanente de sus procesos claves para propiciar la modificación del cambio normativo y de procedimientos?
Es necesario propiciar la mejora continua en todos los procesos de la institución.
10
5.2.1
Actividades de supervisión
Evaluación y comunicación de deficiencias de control interno
1 a 3 ¿Se formuló e implementó un plan de mejoras con base en los resultados de la autoevaluación del sistema de control interno ejecutada?
Para que la autoevaluación del sistema de control interno se considere completa, las oportunidades de mejora identificadas deben incorporarse en un plan de mejora que también identifique a los responsables de su implementación y defina los plazos para ésta. El plan debe ser aprobado y oficializado por el jer arca, y su ejecución debe ser objeto de seguimiento. Igualmente, al finalizar la ejecución del plan de mejoras, debe analizarse su resultado.
10
5.2.2
Actividades de supervisión
Evaluación y comunicación de deficiencias de control interno
3
¿La comunicación entre la Alta Dirección y los líderes de los procesos facilita la supervisión de los controles internos de la entidad?
La comunicación debe ser clara, precisa, concisa, transparente que comprenda una retroalimentación de los procesos y productos
10
5.2.3
Actividades de supervisión
Evaluación y comunicación de deficiencias de control interno
1 ¿La entidad realiza una evaluación anual de la gestión institucional que considere el cumplimiento de metas y los resulta dos de los indicadores incorporados en el plan anual operativo?
Realizar una evaluación anual de la gestión institucional permite determinar éxitos y retos en términos de si lo ejecutado corresponde a lo planeado desde diferentes perspectivas, y cómo ello contribuye al logro de la visión y la misión institucionales. Por consiguiente, los asuntos a considerar incluyen, entre otros, el cumplimiento de los planes y sus metas, los resultados de los indicadores correspondientes, y la forma como éstos contribuyen a los logros estratégicos pretendidos.
10
44
1
Componente SCI
Principio Punto de enfoque
Pregunta
Explicación de la pregunta
R/ Sí o No
Peso
Valor
Referencia al documento probatorio
Observaciones
5.2.4
Actividades de super visión
Evaluación y comunicación de deficiencias de control interno
1 a 3 ¿Se elabora y ejecuta un plan de mejora a partir de la evaluación anual de la gestión institucional?
El plan de mejoras se deriva de la medición de resultados y la detección oportun a de errores, en él se incluye la programación de las acciones concretas con las que la institución mitigará las debilidades. La aprobación del jerarca conlleva el compromiso de su implementación.
10
Nota: El texto extraído es sólo una aproximación del contenido del documento, puede contener caracteres especiales no legibles.