Marco Integrado de Cont Interno

Marco Integrado de Control Interno
AUDITORA ESPECIAL DE TECNOLOGAS DE INFORMACIN,

COMUNICACIONES Y CONTROL
Marco Integrado
de Control Interno
NOTA: Este documento tom como referencia, entre otras, las normas denominadas Standards for Internal
Control in the Federal Government (Green Book) actualizadas por la United States Government Accountability
Office (GAO) en septiembre de 2014, as como el informe COSO actualizado por el Committee of Sponsoring
Organizations of the Treadway Commission en mayo de 2013.
ndice
1. PRESENTACIN DE LA PROPUESTA DEL MARCO INTEGRADO DE CONTROL

INTERNO PARA EL SECTOR PBLICO.................................................................... 4
2. DEFINICIONES.................................................................................................... 5
3. MARCO INTEGRADO DE CONTROL INTERNO PARA EL SECTOR PBLICO............. 8
SECCIN 1 CONCEPTOS FUNDAMENTALES DE CONTROL INTERNO.............. 8
Definicin de Control Interno.................................................................. 8
Caractersticas del Control Interno.......................................................... 8
SECCIN 2 ESTABLECIMIENTO DEL CONTROL INTERNO................................. 9
Presentacin del Marco Integrado de Control Interno para el Sector
Pblico.................................................................................................... 9
Componentes, Principios y Puntos de Inters del Control Interno........... 10
El Control Interno y la Institucin.............................................................. 13
Responsabilidades y Funciones en el Control Interno............................. 14
Objetivos de la Institucin....................................................................... 15
SECCIN 3 EVALUACIN DEL CONTROL INTERNO........................................ 17
Elementos de un Control Interno Apropiado........................................... 17
Aspectos de la Evaluacin del Control Interno....................................... 17
SECCIN 4 CONSIDERACIONES ADICIONALES............................................. 18
Servicios Tercerizados.............................................................................. 18
Instituciones Grandes o Pequeas.......................................................... 19
Costos y Beneficios del Control Interno................................................... 19
Documentacin del Control Interno....................................................... 20
Aplicacin en las Instituciones................................................................ 20
4. COMPONENTES DEL CONTROL INTERNO............................................................ 21

AMBIENTE DE CONTROL.................................................................................. 21
Principio 1 Mostrar Actitud de Respaldo y Compromiso...................... 21
Principio 2 Ejercer la Responsabilidad de Vigilancia............................ 23
Principio 3 Establecer la Estructura, Responsabilidad y Autoridad....... 25
Principio 4 - Demostrar Compromiso con la Competencia Profesional 27
Principio 5 Establecer la Estructura para el Reforzamiento de la
Rendicin de Cuentas......................................................... 28
ADMINISTRACIN DE RIESGOS........................................................................ 30
Principio 6 Definir Objetivos y Tolerancias al Riesgo.............................. 30
Principio 7 Identificar, Analizar y Responder a los Riesgos.................... 32
Principio 8 Considerar el Riesgo de Corrupcin................................... 33
Principio 9 Identificar, Analizar y Responder al Cambio....................... 35
ACTIVIDADES DE CONTROL............................................................................. 36
Principio 10 Disear Actividades de Control......................................... 36
Principio 11 Disear Actividades para los Sistemas de Informacin.... 40
Principio 12 Implementar Actividades de Control................................ 43
INFORMACIN Y COMUNICACIN................................................................. 44
Principio 13 Usar Informacin de Calidad............................................ 44
Principio 14 Comunicar Internamente................................................. 45
Principio 15 Comunicar Externamente................................................. 46
SUPERVISIN.......................................................................................................... 47
Principio 16 - Realizar Actividades de Supervisin................................... 48
Principio 17 Evaluar los Problemas y Corregir las Deficiencias............. 49
Marco Integrado de Control Interno ...........................................................................................................................................
1 Presentacin de la Propuesta del

Marco Integrado de Control Interno
para el Sector Pblico
El desarrollo nacional es el eje rector de las polticas materia de control interno, mismas que retoman,
pblicas en nuestro pas, en donde la produccin de en su mayora, la estructura y conceptos del
bienes y la prestacin de servicios pblicos por parte Acuerdo de Control Interno.
del aparato de gobierno busca generar condiciones
de bienestar social. La Auditora Superior de la Federacin (ASF), para
fortalecer las capacidades en la materia, llev
Tal funcin gubernamental recae sobre los titulares y el a cabo el Estudio de la Situacin que Guarda
resto del personal de las instituciones del sector pblico, el Sistema de Control Interno Institucional en el
cuya tarea ineludible consiste, entre otras cosas, en Sector Pblico Federal y el Estudio Tcnico para
ejecutar una adecuada programacin, seguimiento y la Promocin de la Cultura de Integridad en el
control de los recursos que impulsen el cumplimiento del Sector Pblico, as como los trabajos de anlisis
mandato, la misin, visin y sus objetivos; promuevan la sobre los contenidos del Acuerdo de Control
rendicin de cuentas, la transparencia y el combate a Interno y de los distintos ordenamientos emitidos
la corrupcin, y garanticen el mejoramiento continuo a este respecto por el Distrito Federal y los 21
del quehacer gubernamental. estados que cuentan con tal instrumento.
En este sentido, la implementacin de un Sistema de El Sistema Nacional de Fiscalizacin (SNF),

Control Interno efectivo representa una herramienta integrado por la SFP, las Entidades de Fiscalizacin
fundamental que aporta elementos que, promueven la Superior Locales, las Contraloras Estatales del pas
consecucin de los objetivos institucionales; minimizan y la ASF, considera como uno de sus objetivos
los riesgos; reducen la probabilidad de ocurrencia impulsar adecuaciones a las disposiciones
de actos de corrupcin y fraudes, y consideran la jurdicas tendentes a fortalecer la aplicacin
integracin de las tecnologas de informacin a de los recursos presupuestales y de los fondos
los procesos institucionales; asimismo respaldan la federales, as como cambios estructurales en el
integridad y el comportamiento tico de los servidores mbito jurdico que permitan incorporar mejores
pblicos, y consolidan los procesos de rendicin de prcticas en la gestin gubernamental, para
cuentas y de transparencia gubernamentales. lo cual se crearon grupos de trabajo, entre los
que se cuenta el Grupo de Trabajo de Control
Actualmente, en nuestro pas se han desarrollado Interno, que continuar realizando actividades
diversos esfuerzos en materia de control interno sobre el tema.
gubernamental:
Entre las responsabilidades de este grupo, se
La Secretara de la Funcin Pblica (SFP) public encuentran: generar estrategias, en los tres
y actualiz, desde 2010 a la fecha, el ACUERDO rdenes de gobierno, de acuerdo a su mbito de
por el que se emiten las Disposiciones en competencia, para homologar la normativa en
Materia de Control Interno y se expide el Manual materia de control interno; asegurar la fiscalizacin
Administrativo de Aplicacin General en Materia del control interno de las instituciones auditadas,
de Control Interno (el Acuerdo de Control Interno), en los programas de auditora e identificar los
que tiene por objeto implementar y mejorar las cambios legales, estructurales y normativos que
disposiciones jurdicas reguladoras en materia permitan fortalecer a las instancias de control.
de control interno para la Administracin Pblica
Federal (APF). Asimismo, en un trabajo conjunto En este contexto y aunado a: 1) la necesidad de
entre las instancias estatales correspondientes que las instituciones del sector pblico establezcan,
y la SFP, en 21 entidades federativas y el Distrito actualicen y mejoren continuamente sus sistemas de
Federal, se publicaron diversos ordenamientos en control interno; 2) la actualizacin, en mayo de 2013,
4
............................................................................................................................................... Marco Integrado de Control Interno
del Marco Integrado de Control Interno emitido por para el cumplimiento de las categoras de objetivos
el Comit de Organizaciones Patrocinadoras de la institucionales (operacin, informacin y cumplimiento).
Comisin Treadway (COSO por sus siglas en ingls), y
3) la reciente actualizacin, en septiembre de 2014, El presente Marco est diseado como un modelo de
de las Normas de Control Interno para el Gobierno control interno que puede ser adoptado y adaptado
Federal publicadas por la Oficina de Rendicin de por las instituciones en los mbitos Federal, Estatal
Cuentas Gubernamental (GAO, por sus siglas en ingls), y Municipal, el cual gozara de mayor aceptacin
se propone, en el seno del SNF, el presente trabajo, e impacto, si los distintos niveles de gobierno, en
desarrollado por el Grupo de Trabajo de Control Interno, el mbito de sus atribuciones expiden los decretos
el cual consiste en un Marco Integrado de Control Interno correspondientes para su aprobacin.
para el Sector Pblico (el Marco), aplicable a los tres
rdenes de gobierno, basado en los componentes, Estamos convencidos que la implementacin y, en
principios y puntos de inters que las mejores prcticas su caso, la adaptacin del Marco promover el
internacionales en la materia ponen de manifiesto. mejoramiento de las funciones del Estado Mexicano
y los resultados se traducirn en mejoras de la gestin
El Marco, proporciona un modelo general para gubernamental, la prevencin y erradicacin de la
establecer, mantener y mejorar el Sistema de Control corrupcin y el desarrollo de un sistema integral de
Interno Institucional, aportando distintos elementos rendicin de cuentas.
2 Definiciones
Para los efectos del presente Marco Integrado de Control Interno para el Sector Pblico se entender por:
Administracin.
Personal de mandos superiores y medios, diferente al Titular, directamente responsables de todas las actividades
en la institucin, incluyendo el diseo, la implementacin y la eficacia operativa del control interno.
Atributos.
Informacin adicional que proporciona una explicacin ms detallada respecto de los principios y los requisitos
de documentacin y formalizacin para el desarrollo de un Sistema de Control Interno efectivo.
Competencia profesional.
Cualificacin para llevar a cabo las responsabilidades asignadas. Requiere habilidades y conocimientos, que son
adquiridos generalmente con la formacin y experiencia profesional y certificaciones. Se expresa en la actitud
y el comportamiento de los individuos para llevar a cabo sus funciones y cumplir con sus responsabilidades.
Controles a nivel institucin.

Controles que tienen un efecto generalizado en el sistema de control interno institucional; los controles a nivel
institucin pueden incluir controles relacionados con el proceso de evaluacin de riesgos de la institucin,
ambiente de control, organizaciones de servicios, elusin de controles y supervisin.
Controles generales.
Polticas y procedimientos que se aplican a todos o a un segmento amplio de los sistemas de informacin
institucionales; los controles generales incluyen la gestin de la seguridad, accesos lgicos y fsicos, configuraciones,
segregacin de funciones y planes de contingencia.
5
Elusin de controles.
Omisin del cumplimiento de las polticas y procedimientos establecidos con la intencin de obtener beneficios
personales, simular el cumplimiento de ciertas condiciones o propiciar actividades comnmente ilcitas.
Estructura organizacional.
Unidades administrativas, procesos sustantivos y adjetivos y cualquier otra estructura utilizada por la Direccin
para lograr los objetivos institucionales.
Evaluacin a los sistemas de Control Interno.

Proceso mediante el cual, servidores pblicos independientes a los responsables de los procesos susceptibles
de evaluacin o a travs de externos, determinan la idoneidad, eficacia, eficiencia y en la aplicacin del
control interno en la institucin, las unidades administrativas, los procesos, funciones y actividades, y definen e
informan las debilidades del Sistema de Control Interno.
Indicadores de desempeo.
Medidas de evaluacin del desempeo de la institucin en el logro de los objetivos.
Informacin de calidad.
Informacin proveniente de fuentes confiables y que es adecuada, actual, completa, exacta, accesible y
proporcionada de manera oportuna.
Institucin o instituciones.
Dependencias y entidades de la Administracin Pblica Federal, Estatal o Municipal, segn corresponda, as
como los rganos Constitucionales Autnomos, y los entes que conforman los Poderes Legislativo y Judicial.
Importancia relativa.
Es la conclusin, respecto del anlisis de la naturaleza e impacto de cierta informacin, en la que la omisin o
presentacin incorrecta de sta, no tiene efectos importantes en las decisiones que los diversos usuarios adopten.
Lneas de reporte.
Lneas de comunicacin, internas y externas, a todos los niveles en la institucin que proporcionan mtodos de
comunicacin que pueden circular en todas las direcciones al interior de la estructura organizacional.
Mejora continua.
Proceso de optimizacin y perfeccionamiento del Sistema de Control Interno; de la eficacia, eficiencia y economa
de su gestin; y de la mitigacin de riesgos, a travs de indicadores de desempeo y su evaluacin peridica.
Objetivos cualitativos.
Objetivos que la Direccin puede necesitar para disear indicadores de desempeo que sealen el nivel o
grado de desempeo, tales como hitos.
Objetivos cuantitativos.
Las normas e indicadores de desempeo pueden ser un porcentaje especfico o un valor numrico.
6
Polticas.
Declaraciones de responsabilidad respecto de los objetivos de los procesos, sus riesgos relacionados y el diseo,
implementacin y eficacia operativa de las actividades de control.
Planes de contingencia.
Proceso definido para identificar y atender la necesidad institucional de responder a los cambios repentinos en
el personal y que pueden comprometer el Sistema de Control Interno.
Sector Pblico.
La Administracin Pblica Federal, Estatal o Municipal, segn corresponda, as como los rganos Constitucionales
Autnomos, en su caso.
Seguridad razonable.
Alto nivel de confianza, ms no absoluto, de que los objetivos de la institucin sern alcanzados.
Sistema de informacin.
Personal, procesos, datos y tecnologa, organizados para obtener, comunicar o disponer de la informacin.
TIC.
Tecnologas de Informacin y Comunicaciones; procesos de informacin habilitados con la tecnologa.
Titulares.
Secretarios, Directores Generales, Coordinadores, Delegados, Jefes, Procuradores o cualquier otro funcionario
de primer nivel de las instituciones del sector pblico, con independencia del trmino con el que se identifique
su cargo o puesto.
Unidades administrativas.
Divisin administrativa, establecida en instrumento jurdico respectivo, de los ejecutores de gasto del sector
pblico y que para efectos de la programacin, presupuesto, ejercicio, control y evaluacin del gasto pblico
federal estn constituidas en unidades responsables.
7
3 Marco Integrado de Control Interno

para el Sector Pblico
Seccin 1 Conceptos Fundamentales
de Control Interno
Definicin de Control Interno
El control interno es un proceso efectuado por el stas categoras son distintas, pero interactan creando
rgano de Gobierno, el Titular, la Administracin y sinergias que favorecen el funcionamiento de una
los dems servidores pblicos de una institucin, con institucin para lograr su misin y mandato legal. Un
objeto de proporcionar una seguridad razonable objetivo particular puede relacionarse con ms de
sobre la consecucin de los objetivos institucionales una categora, resolver diferentes necesidades y ser
y la salvaguarda de los recursos pblicos, as como responsabilidad directa de diversos servidores pblicos.
para prevenir la corrupcin. Estos objetivos y sus riesgos
relacionados pueden ser clasificados en una o ms El control interno incluye planes, mtodos, programas,
de las siguientes categoras: polticas y procedimientos utilizados para alcanzar el
mandato, la misin, el plan estratgico, los objetivos y
Operacin. Se refiere a la eficacia, eficiencia y las metas institucionales. Asimismo, constituye la primera
economa de las operaciones. lnea de defensa en la salvaguarda de los recursos
pblicos y la prevencin de actos de corrupcin. En
Informacin. Consiste en la confiabilidad de los resumen, el control interno ayuda al Titular de una
informes internos y externos. institucin a lograr los resultados programados a travs
de la administracin eficaz de todos sus recursos, como
Cumplimiento. Se relaciona con el apego a las son los tecnolgicos, materiales, humanos y financieros.
disposiciones jurdicas y normativas.
Caractersticas del Control Interno

El control interno conforma un sistema integral y continuo Los servidores pblicos son los que propician que el
aplicable al entorno operativo de una institucin que, control interno funcione. El Titular es responsable de
llevado a cabo por su personal, provee una seguridad asegurar, con el apoyo de unidades especializadas y
razonable, ms no absoluta, de que los objetivos de el establecimiento de lneas de responsabilidad, que
la institucin sern alcanzados. su institucin cuenta con un control interno apropiado,
lo cual significa que el control interno:
El control interno no es un evento nico y aislado, sino
una serie de acciones y procedimientos desarrollados y Es acorde con el tamao, estructura, circunstancias
concatenados que se realizan durante el desempeo especficas y mandato legal de la institucin;
de las operaciones de una institucin. Es reconocido
como una parte intrnseca de la gestin de procesos Contribuye de manera eficaz, eficiente y
operativos para guiar las actividades de la institucin econmica a alcanzar las tres categoras de
y no como un sistema separado dentro de sta. En objetivos institucionales (operaciones, informacin
este sentido, el control interno se establece al interior y cumplimiento); y
de la institucin como una parte de la estructura
organizacional para ayudar al Titular, a la Administracin Asegura, de manera razonable, la salvaguarda
y al resto de los servidores pblicos a alcanzar los de los recursos pblicos, la actuacin honesta
objetivos institucionales de manera permanente en de todo el personal y la prevencin de actos de
sus operaciones. corrupcin.
8
Como parte de esa responsabilidad, el Titular: peridicas realizadas por los revisores internos
y externos, entre otros elementos.
a) Establece los objetivos institucionales de control
interno. Si bien el Titular de la institucin es el primer responsable
del control interno, todos los servidores pblicos de sta
b) Asigna de manera clara a determinadas unidades desempean un papel importante en la implementacin
o reas, la responsabilidad de: y operacin del control interno.
Implementar controles adecuados y suficientes De esta manera, todo el personal de la institucin

en toda la institucin, es responsable de que existan controles adecuados
y suficientes para el desempeo de sus funciones
Supervisar y evaluar peridicamente el control especficas, los cuales contribuyen al logro eficaz y
interno (por lo general, a cargo de las unidades eficiente de sus objetivos, de acuerdo con el modelo
institucionales de auditora interna), y de control interno establecido y supervisado por las
unidades o reas de control designadas para tal efecto
Mejorar de manera continua el control interno, por el Titular de la institucin.
con base en los resultados de las evaluaciones
Seccin 2 Establecimiento del Control Interno

Presentacin del Marco Integrado de Control Interno para el
Sector Pblico
El presente documento establece el Marco Integrado corruptos en los diversos procesos realizados por la
de Control Interno para el Sector Pblico (el Marco), institucin. sta ltima debe tener un control interno
acordado en el seno del Sistema Nacional de Fiscalizacin acorde con su mandato, naturaleza, tamao y las
(SNF), el cual es aplicable a toda institucin del sector disposiciones jurdicas para cumplir con los objetivos
pblico, independientemente del orden de gobierno para los que fue creada.
en que se encuadre (Federal, Estatal o Municipal) el
Poder al que pertenezca (Ejecutivo, Legislativo, Judicial El Marco es aplicable a todas las categoras de objetivos.
u rganos Constitucionales Autnomos) y en atencin Sin embargo, su enfoque no es limitativo, ni pretende
a las disposiciones jurdicas aplicables. interferir o contraponerse con las disposiciones jurdicas
y normativas aplicables. En la implementacin de este
El Marco provee criterios para evaluar el diseo, la Marco, los titulares de las unidades administrativas
implementacin y la eficacia operativa del control asumen la responsabilidad de disear las polticas
interno en las instituciones del sector pblico y para y procedimientos que se ajusten a las disposiciones
determinar si el control interno es apropiado y suficiente jurdicas y normativas y a las circunstancias especficas
para cumplir con las tres categoras de objetivos: de la institucin, as como de incluirlos como una parte
operacin, informacin y cumplimiento, incluyendo inherente a sus operaciones.
la proteccin de la integridad y la prevencin de actos
9
Componentes, Principios y Puntos de Inters del Control Interno
Cada institucin cuenta con un mandato particular, del El Titular, con el apoyo de la Administracin, y con
que derivan atribuciones y obligaciones concretas. De la vigilancia del rgano de Gobierno en los casos
igual modo, se alinea a Programas y Planes Nacionales, que proceda, debe establecer objetivos de control
sectoriales o regionales especficos, as como a otros interno a nivel institucin, unidad, funcin y actividades
instrumentos vinculatorios en funcin de las disposiciones especficas. Todo el personal, en sus respectivos mbitos
jurdicas aplicables. de accin, aplica el control interno para contribuir a la
consecucin de los objetivos institucionales.
Dentro de esa estructura de facultades y obligaciones,
cada institucin formula objetivos de control interno Aunque existen diferentes maneras de representar al
para asegurar, de manera razonable, que sus objetivos control interno, este Marco lo define como una estructura
institucionales, contenidos en un plan estratgico, sern jerrquica de 5 componentes, 17 principios y diversos
alcanzados de manera eficaz, eficiente y econmica. puntos de inters relevantes.
Fuente: Adaptado de las Normas de Control Interno en el Gobierno Federal, GAO.
Los componentes del control interno representan el nivel institucin en la procuracin del cumplimiento
ms alto en la jerarqua del Marco. Los cuales deben de sus objetivos. Esta evaluacin provee las bases
ser diseados e implementados adecuadamente y para identificar los riesgos, analizarlos, catalogarlos,
deben operar en conjunto y de manera sistmica, priorizarlos y desarrollar respuestas que mitiguen su
para que el control interno sea apropiado. Los cinco impacto en caso de materializacin, incluyendo
componentes de control interno son: los riesgos de corrupcin.
Ambiente de Control. Es la base del control interno. Actividades de Control. Son aquellas
Proporciona disciplina y estructura para apoyar acciones establecidas, a travs de polticas
al personal en la consecucin de los objetivos y procedimientos, por los responsables de las
institucionales. unidades administrativas para alcanzar los
objetivos institucionales y responder a sus riesgos
Administracin de Riesgos. Es el proceso que asociados, incluidos los de corrupcin y los de
evala los riesgos a los que se enfrenta la sistemas de informacin.
10
Informacin y Comunicacin. Es la informacin y entenderlos, as como de ejercer su juicio profesional

de calidad que la Administracin y los dems para el cumplimiento del Marco, en el entendido de
servidores pblicos generan, obtienen, utilizan y que sta establece procesos generales para el diseo,
comunican para respaldar el sistema de control la implementacin y la operacin del control interno.
interno y dar cumplimiento a su mandato legal. A continuacin se mencionan cada uno de los 5
componentes de control interno y se detallan sus 17
Supervisin. Son las actividades establecidas y principios asociados.
operadas por las unidades especficas que el
Titular ha designado, con la finalidad de mejorar Ambiente de Control
de manera continua al control interno mediante
una vigilancia y evaluacin peridicas a su Principio 1. El rgano de Gobierno, en su caso, el Titular y
eficacia, eficiencia y economa. La supervisin la Administracin deben mostrar una actitud de respaldo
es responsabilidad de la Administracin en cada y compromiso con la integridad, los valores ticos, las
uno de los procesos que realiza, y se apoya, normas de conducta y la prevencin de irregularidades
por lo general, en el rea de auditora interna administrativas y la corrupcin.
o unidades especficas para llevarla a cabo.
Las Entidades Fiscalizadoras Superiores y otros Principio 2. El Titular y la Administracin son responsables
revisores externos proporcionan una supervisin de supervisar el funcionamiento del control interno, a
adicional cuando revisan el control interno de la travs de las unidades que establezca para tal efecto.
institucin, ya sea a nivel institucin, divisin, unidad
administrativa o funcin. La supervisin contribuye Principio 3. El Titular y la Administracin deben autorizar,
a la optimizacin permanente del control interno conforme a las disposiciones jurdicas y normativas
y, por lo tanto, a la calidad en el desempeo de aplicables, la estructura organizacional, asignar
las operaciones, la salvaguarda de los recursos responsabilidades y delegar autoridad para alcanzar
pblicos, la prevencin de la corrupcin, la los objetivos institucionales, preservar la integridad,
oportuna resolucin de los hallazgos de auditora prevenir la corrupcin y rendir cuentas de los resultados
y de otras revisiones, as como a la idoneidad y alcanzados.
suficiencia de los controles implementados.
Principio 4. El Titular y la Administracin, son responsables
Los 17 principios respaldan el diseo, implementacin de promover los medios necesarios para contratar,
y operacin de los componentes asociados de control capacitar y retener profesionales competentes.
interno y representan los requerimientos necesarios
para establecer un control interno apropiado, es decir, Principio 5. La Administracin, debe evaluar el
eficaz, eficiente, econmico y suficiente conforme a la desempeo del control interno en la institucin y hacer
naturaleza, tamao, disposiciones jurdicas y mandato responsables a todos los servidores pblicos por sus
de la institucin. obligaciones especficas en materia de control interno.
Adicionalmente, el Marco contiene informacin Administracin de Riesgos

especfica presentada como puntos de inters, los
cuales tienen como propsito proporcionar al Titular Principio 6. El Titular, debe formular un plan estratgico que
y a la Administracin, material de orientacin para el de manera coherente y ordenada oriente los esfuerzos
diseo, implementacin y operacin de los principios institucionales hacia la consecucin de los objetivos
a los que se encuentran asociados. Los puntos de relativos a su mandato y las disposiciones jurdicas
inters dan mayores detalles sobre el principio y normativas aplicables, asegurando adems que
asociado al que atienden y explican de manera ms dicha planeacin estratgica contempla la alineacin
precisa los requerimientos para su implementacin institucional a los Planes nacionales, regionales, sectoriales
y documentacin, por lo que orientan sobre la y todos los dems instrumentos y normativas vinculatorias
temtica que debe ser abordada. Los puntos de inters que correspondan.
tambin proporcionan antecedentes sobre cuestiones
planteadas en el Marco. Al elaborar el plan estratgico de la institucin,
armonizado con su mandato y con todos los documentos
Los puntos de inters se consideran relevantes pertinentes, de acuerdo con las disposiciones legales
para la implementacin del Marco. Por su parte, la aplicables, el Titular, deber asegurarse de que los
Administracin tiene la responsabilidad de conocerlos objetivos y metas especficas contenidas en el mismo
11
son claras y que permiten la identificacin de riesgos documentadas y formalmente establecidas sus
y la definicin de la tolerancia a stos en los diversos actividades de control, las cuales deben ser apropiadas,
procesos que se realizan en la institucin. suficientes e idneas para enfrentar los riesgos a los
que estn expuestos sus procesos.
Principio 7. La Administracin, debe identificar, analizar
y responder a los riesgos asociados al cumplimiento de Informacin y Comunicacin
los objetivos institucionales, as como de los procesos
por los que se obtienen los ingresos y se ejerce el gasto, Principio 13. La Administracin, debe implementar los
entre otros. medios que permitan a cada unidad administrativa
elaborar informacin pertinente y de calidad para
Principio 8. La Administracin, debe considerar la la consecucin de los objetivos institucionales y el
posibilidad de ocurrencia de actos de corrupcin, cumplimiento de las disposiciones aplicables a la
fraude, abuso, desperdicio y otras irregularidades gestin financiera.
relacionadas con la adecuada salvaguarda de los
recursos pblicos, al identificar, analizar y responder Principio 14. La Administracin, es responsable de que
a los riesgos, en los diversos procesos que realiza cada unidad administrativa comunique internamente,
la institucin. por los canales apropiados y de conformidad con las
disposiciones aplicables, la informacin de calidad
Principio 9. La Administracin, debe identificar, analizar necesaria para contribuir a la consecucin de los
y responder a los cambios significativos que puedan objetivos institucionales y la gestin financiera.
impactar al control interno.
Principio 15. La Administracin, es responsable de que
Actividades de Control cada unidad administrativa comunique externamente,
por los canales apropiados y de conformidad con las
Principio 10. La Administracin, debe disear, disposiciones aplicables, la informacin de calidad
actualizar y garantizar la suficiencia e idoneidad de necesaria para contribuir a la consecucin de los
las actividades de control establecidas para lograr objetivos institucionales y la gestin financiera.
los objetivos institucionales y responder a los riesgos.
En este sentido, la Administracin es responsable de Supervisin
que existan controles apropiados para hacer frente a
los riesgos que se encuentran presentes en cada uno Principio 16. La Administracin, debe establecer
de los procesos que realizan, incluyendo los riesgos actividades para la adecuada supervisin del control
de corrupcin. interno y la evaluacin de sus resultados, en todas las
unidades administrativas de la institucin. Conforme
Principio 11. La Administracin, debe disear los sistemas a las mejores prcticas en la materia, en dichas
de informacin institucional y las actividades de control actividades de supervisin contribuye generalmente
relacionadas con dicho sistema, a fin de alcanzar los el rea de auditora interna, la que reporta sus resultados
objetivos y responder a los riesgos. directamente al Titular o, en su caso, el rgano
de Gobierno.
Principio 12. La Administracin, debe implementar
las actividades de control a travs de polticas, Principio 17. La Administracin, es responsable de que
procedimientos y otros medios de similar naturaleza. se corrijan oportunamente las deficiencias de control
En este sentido, la Administracin es responsable de interno detectadas.
que en sus unidades administrativas se encuentren
12
El Control Interno y la Institucin

Existe una relacin directa entre los objetivos de institucin para alcanzar sus objetivos institucionales. La
la institucin, los cinco componentes de control estructura organizacional abarca a todas las unidades
interno (con sus principios y puntos de inters) y administrativas, los procesos, atribuciones, funciones y
la estructura organizacional. Los objetivos son los todas las estructuras que la institucin establece para
fines que debe alcanzar la institucin, con base alcanzar sus objetivos.
en su propsito, mandato y disposiciones jurdicas
aplicables. Los cinco componentes de control interno El Marco presenta dicha relacin en la forma de un
son los requisitos necesarios que debe cumplir una cubo.
Fuente: Adaptado del Informe COSO 2013.
Las tres categoras en las que se pueden clasificar entre s desde la etapa de diseo, implementacin
los objetivos de la institucin son representadas por y operacin. Dos instituciones no pueden tener un
las columnas en la parte superior del cubo. Los cinco control interno idntico, debido a distintos factores
componentes de control interno son representados por como son, entre otros, la misin, las disposiciones
las filas. La estructura organizacional es representada jurdicas y normativo aplicables, el plan estratgico,
por la tercera dimensin del cubo. el tamao de la institucin, la tolerancia al riesgo y las
tecnologas de informacin con que cuentan, as como
Cada componente de control interno aplica a las tres el juicio profesional empleado por los responsables para
categoras de objetivos y a la estructura organizacional. responder a las circunstancias especficas.
El control interno es un proceso dinmico, integrado

y continuo en el que los componentes interactan
13
Responsabilidades y Funciones en el Control Interno

El control interno es parte de las responsabilidades del De igual modo, la Administracin, por lo general,
Titular de la institucin, quien cumple con stas a travs cuenta con el apoyo adicional de unidades
del apoyo de la Administracin (mandos superiores y especializadas para disear, implementar y operar
medios) y del resto de los servidores pblicos. Por ello, el control interno en los procesos de los cuales son
los cinco componentes del Marco se presentan en responsables (comit / unidad de administracin
el contexto del Titular u rgano de Gobierno y de la de riesgos, comit / unidad de cumplimiento
Administracin de la institucin. No obstante, todos los legal, comit / unidad de control interno, comit
servidores pblicos son responsables del control interno. / unidad de tica, etc.), por lo que en dichos casos
En general, las funciones y responsabilidades del control se trata de una responsabilidad que comparten la
interno en una institucin se pueden categorizar de la Administracin y las unidades especializadas. En
siguiente manera: estos casos de co-responsabilidad, deben existir
en la institucin lneas claras de autoridad que
rgano de Gobierno y/o Titular. Es responsable de delimiten la responsabilidad de cada servidor
vigilar la direccin estratgica de la institucin y el pblico, a fin de permitir una adecuada rendicin
cumplimiento de las obligaciones relacionadas de cuentas y la oportuna correccin de debilidades
con la rendicin de cuentas, lo cual incluye detectadas en el control interno.
supervisar, en general, que la Administracin
disee, implemente y opere un control interno Servidores pblicos. Todos los servidores pblicos de
apropiado, con el apoyo, en su caso, de unidades la institucin, distintos al Titular y a la Administracin,
especializadas y establecidas para tal efecto. que apoyan en el diseo, implementacin y
Por lo general, las unidades de auditora interna operacin del control interno, y son responsables
apoyan la supervisin del control interno e de informar sobre cuestiones o deficiencias
informan de sus hallazgos y reas de oportunidad relevantes que hayan identificado en relacin
directamente al rgano de Gobierno o al Titular. con los objetivos institucionales de operacin,
Para efecto del Marco, la vigilancia por parte del informacin, cumplimiento legal, salvaguarda
rgano de Gobierno, en su caso, o del Titular est de los recursos y prevencin de la corrupcin.
implcita en cada componente y principio.
Instancia de Supervisin. Es la unidad independiente
Administracin. Es directamente responsable de de los responsables directos de los procesos, que
todas las actividades de la institucin. Lo anterior evala el adecuado diseo, implementacin y
incluye el diseo, la implementacin y la eficacia operacin del control interno.
operativa del control interno. La responsabilidad
de la Administracin en materia de control interno La siguiente Figura ilustra de manera general las
vara de acuerdo con las atribuciones y funciones responsabilidades institucionales en relacin con el
que tiene asignadas en la estructura organizacional. control interno.
14
RESPONSABLES DE LA IMPLEMENTACIN Y MEJORA CONTINUA DEL CONTROL INTERNO
* Unidades especializadas: Comit de Riesgos, Comit de Cumplimiento, Unidad de Control Interno, Comit de tica, etc.
Las Entidades Fiscalizadoras Superiores y otros rganos funcionamiento, realizan contribuciones favorables y
revisores externos no son responsables directos de la promueven su fortalecimiento y mejora continua. La
implementacin, suficiencia e idoneidad del control responsabilidad sobre el control interno recae sobre el
interno en la institucin. No obstante, derivado Titular de la institucin y la Administracin.
de las revisiones que practican para conocer su
Objetivos de la Institucin
El Titular, con la participacin de la Administracin, y permitan identificar, analizar, evaluar su avance y
bajo la supervisin del rgano de Gobierno, cuando responder a sus riesgos asociados.
proceda, debe establecer objetivos para alcanzar el
mandato, la misin y visin institucionales; los objetivos Categoras de Objetivos
del Plan Nacional de Desarrollo, el Plan Estatal de
Desarrollo, los Programas Sectoriales, Especiales y dems Los objetivos se pueden agrupar en una o ms de las
planes y programas, de acuerdo con los requerimientos siguientes categoras:
y expectativas de la planeacin estratgica y el
cumplimiento de las disposiciones jurdicas y normativas. Operacin. Eficacia en el logro de los objetivos
Se debe incluir el establecimiento de objetivos como institucionales, eficiencia en el uso y aplicacin de
parte del proceso de planeacin estratgica. los recursos y economa en las entradas necesarias
para las operaciones y dems actividades.
La Administracin, como parte del diseo del control
interno, debe definir objetivos medibles y claros, as Informacin. Confiabilidad de los informes internos
como normas e indicadores de desempeo que y externos.
15
Cumplimiento. Apego a las disposiciones Objetivos de Informes Internos Financieros y

jurdicas y normativas aplicables, lo que incluye No Financieros. Relativos a la recopilacin y
la salvaguarda de la legalidad, honradez, lealtad, comunicacin de la informacin necesaria para
imparcialidad, eficiencia y prevencin de la evaluar el desempeo de la institucin en el logro
corrupcin en el desempeo institucional. de sus objetivos y programas, los cuales son la
base para la toma de decisiones al respecto.
Objetivos de Operacin
Objetivos de Cumplimiento
Se relacionan con las actividades que permiten
alcanzar el mandato legal, la misin y visin institucional. En el sector pblico, estos objetivos son muy significativos.
El mandato legal est definido por una serie de Las disposiciones jurdicas y normativas prescriben
documentos jurdicos obligatorios que debe observar los objetivos, la estructura y los mecanismos para la
la institucin, como pueden ser la Constitucin Poltica consecucin de los objetivos institucionales y el reporte
de los Estados Unidos Mexicanos, la ley orgnica de del desempeo de la institucin. La Administracin
la institucin, su reglamento interior, estatuto orgnico, debe considerar de manera integral los objetivos de
decreto de creacin o documento anlogo. En los cumplimiento legal y normativo, as como determinar
planes estratgicos se deben precisar los objetivos y qu controles disear, implementar y operar para que
metas institucionales. Las operaciones eficaces producen la institucin alcance dichos objetivos eficazmente.
los resultados esperados de los procesos operativos,
mientras que las operaciones eficientes se generan al Como parte de la especificacin de los objetivos de
utilizar adecuadamente los recursos asignados para cumplimiento, la institucin tiene determinadas leyes
ello, y la economa se refleja en la minimizacin de y regulaciones que le aplican.
los costos, la reduccin en el desperdicio de recursos
y la maximizacin de los resultados. Salvaguarda de los Recursos Pblicos y Prevencin de
Actos de Corrupcin
A partir de los objetivos estratgicos, el Titular, con el
apoyo de la Administracin, debe establecer objetivos Un subconjunto de las tres categoras de objetivos es la
y metas especficos para las diferentes unidades de salvaguarda de los recursos pblicos y la prevencin de
la estructura organizacional. Al vincular los objetivos actos de corrupcin. La Administracin es responsable
con el mandato legal, misin y visin institucionales, de establecer y mantener un control interno que:
se mejora la eficacia, la eficiencia y la economa de
los programas operativos para alcanzar su mandato Proporcione una seguridad razonable sobre el
y se previene la posible ocurrencia de actos corruptos adecuado ejercicio, utilizacin o disposicin de
en la institucin. los recursos pblicos;
Objetivos de Informacin Prevenga actos corruptos;
Se relacionan con la preparacin de informes para Detecte y corrija oportunamente las irregularidades,
uso de la institucin, sus partes interesadas y diversas en caso de que se materialicen; y
instancias externas. Se pueden agrupar en tres
subcategoras: Permita determinar, de manera clara, las
responsabilidades especficas del personal que
Objetivos de Informes Financieros Externos. posibilit o particip en la ocurrencia de las
Relacionados con la publicacin de informacin irregularidades.
sobre el desempeo financiero de la institucin
segn las disposiciones jurdicas y normativas Establecimiento de Objetivos Especficos
aplicables, as como las expectativas de las
partes interesadas. A partir de los objetivos estratgicos, el Titular debe
desarrollar, con la participacin de la Administracin,
Objetivos de Informes No Financieros Externos. los objetivos especficos para toda la estructura
Asociados con la publicacin de informacin organizacional. El Titular define objetivos especficos,
no financiera, segn las disposiciones jurdicas y con normas e indicadores de desempeo, que
normativas aplicables, as como las expectativas deben ser comunicados al personal responsable de
de las partes interesadas. su consecucin. El Titular, la Administracin y los dems
16
servidores pblicos requieren comprender los objetivos de cuentas como parte inherente del funcionamiento
estratgicos, sus objetivos especficos y las normas e del control interno.
indicadores de desempeo que aseguren la rendicin
Seccin 3 Evaluacin del Control Interno

El propsito de esta seccin es proporcionar al rgano para evaluar si el control interno de la institucin es
de Gobierno, al Titular, a la Administracin y a las apropiado (vase la seccin 1, sexto prrafo de
instancias de supervisin, los elementos a considerar este Marco).
Elementos de un Control Interno Apropiado

Un control interno apropiado proporciona una seguridad Los cinco componentes y los 17 principios operen
razonable sobre la consecucin de los objetivos en conjunto y de manera sistmica.
institucionales. Para ello es necesario que:
Si un principio o un componente no cumple con estos
Cada uno de los 5 componentes y los 17 principios requisitos o si los componentes no operan en conjunto
del control interno sea diseado, implementado y de manera sistmica, el control interno no es apropiado.
operado adecuadamente, conforme al mandato
y circunstancias especficas de la institucin.
Aspectos de la Evaluacin del Control Interno

Diseo e Implementacin bajo revisin, la consistencia con la que stos fueron
aplicados, as como el personal que los aplic y los
Al evaluar el diseo del control interno, se debe medios utilizados para ello. Si se utilizaron controles
determinar si los controles, por s mismos y en conjunto sustancialmente diferentes en distintas etapas del
con otros, permiten alcanzar los objetivos y responder a periodo bajo revisin, la Administracin debe evaluar
sus riesgos asociados. Para evaluar la implementacin, la eficacia operativa de manera separada por cada
la Administracin debe determinar si el control existe y procedimiento individual de control aplicado. Un control
si se ha puesto en operacin. Un control no puede ser carece de eficacia operativa si no fue diseado e
efectivamente implementado si su diseo es deficiente. implementado eficazmente.
Una deficiencia en el diseo ocurre cuando: Una deficiencia en la operacin se presenta cuando
un control diseado adecuadamente, se ejecuta de
Falta un control necesario para lograr un objetivo manera distinta a como fue diseado, o cuando el
de control. servidor pblico que ejecuta el control no posee la
autoridad o la competencia profesional necesaria para
Un control existente est diseado de modo que, aplicarlo eficazmente.
incluso si opera de acuerdo al diseo, el objetivo
de control no puede alcanzarse. Efecto de las Deficiencias en el Control Interno
Existe una deficiencia en la implementacin cuando La Administracin debe evaluar las deficiencias en
un control, adecuadamente diseado, se establece los controles que fueron detectadas por medio de las
de manera incorrecta. evaluaciones continuas (autoevaluaciones) o mediante
evaluaciones independientes, efectuadas por revisores
Eficacia Operativa internos y externos, generalmente, los auditores internos y
las Entidades de Fiscalizacin Superior, respectivamente.
Al evaluar la eficacia operativa del control interno, Una deficiencia de control interno existe cuando el
la Administracin debe determinar si se aplicaron diseo, la implementacin o la operacin de un control
controles de manera oportuna durante el periodo imposibilitan a la Administracin o a los dems servidores
17
pblicos, en el desarrollo normal de sus funciones, la relevancia de las deficiencias, se debe considerar la
consecucin de los objetivos de control y la respuesta correlacin existente entre diferentes deficiencias o
a los riesgos asociados. grupos de stas. La evaluacin de deficiencias vara
en cada institucin debido a las diferencias entre
La Administracin debe evaluar la relevancia de las objetivos institucionales.
deficiencias identificadas. sta se refiere a la importancia
relativa de una deficiencia en el cumplimiento de los La Administracin debe determinar si cada uno de
objetivos institucionales. Para definir la relevancia de los 17 principios se ha diseado, implementado y
las deficiencias, se debe evaluar su efecto sobre la operado apropiadamente, as como elaborar un
consecucin de los objetivos, tanto a nivel institucin informe ejecutivo al respecto. Como parte de este
como de transaccin. Tambin se debe evaluar informe, la Administracin debe considerar el impacto
la relevancia de las deficiencias considerando la que las deficiencias identificadas tienen sobre los
magnitud del impacto, la probabilidad de ocurrencia requisitos de documentacin. Para mayores detalles
y la naturaleza de la deficiencia. sobre la documentacin del control interno, vase la
seccin 4, prrafos noveno y dcimo de este Marco.
La magnitud del impacto hace referencia al efecto La Administracin puede considerar los puntos de
probable que la deficiencia tendra en el cumplimiento inters asociados con los principios como parte del
de los objetivos, y en ella inciden factores como el informe ejecutivo.
tamao, la recurrencia y la duracin del impacto de la
deficiencia. Una deficiencia puede ser ms significativa Si un principio no se encuentra diseado, implementado
para un objetivo que para otro. y operando eficazmente, el componente respectivo
es ineficaz e inapropiado.
La probabilidad de ocurrencia se refiere a la posibilidad
de que la deficiencia efectivamente se materialice e Con base en los resultados del informe ejecutivo
impacte la capacidad institucional para cumplir con de cada principio, la Administracin concluye si el
sus objetivos. diseo, la implementacin y la eficacia operativa
de cada uno de los cinco componentes de control
La naturaleza de la deficiencia involucra factores como interno es apropiada. La Administracin tambin debe
el grado de subjetividad de la deficiencia y si sta considerar si los cinco componentes operan eficaz
surge por corrupcin, fraude o transgresiones legales y apropiadamente en conjunto. Si uno o ms de los
o a la integridad. cinco componentes no es apropiadamente diseado,
implementado y operado, o si no se desarrolla de
El rgano de Gobierno, en su caso, o el Titular debe manera integral y sistmica, entonces el control interno
supervisar, generalmente con apoyo de auditora no es efectivo. Tales determinaciones dependen del
interna, la adecuada evaluacin que al efecto juicio profesional, por lo que se debe ejercer con sumo
haya realizado la Administracin respecto de las cuidado y diligencia profesionales, y sobre la base de
deficiencias identificadas. conocimientos, competencias y aptitudes tcnicas y
profesionales adecuadas y suficientes.
Las deficiencias deben ser evaluadas tanto
individualmente como en conjunto. Al evaluar la
Seccin 4 Consideraciones Adicionales

Servicios Tercerizados
La Administracin puede contratar a terceros autorizados responsabilidad sobre el desempeo de las actividades
para desempear algunos procesos operativos para realizadas por los servicios tercerizados.
la institucin, tales como servicios de tecnologas
de informacin y comunicaciones, servicios de En consecuencia, la Administracin debe entender
mantenimiento, servicios de seguridad o servicios los controles que cada servicio tercerizado ha diseado,
de limpieza, entre otros. Para efectos del Marco, implementado y operado para realizar los procesos
estos actores externos son referidos como servicios operativos contratados, as como el modo en que el control
tercerizados. No obstante, la Administracin conserva la interno de dichos terceros impacta en el control interno.
18
La Administracin debe determinar si los controles Las normas de conducta de los servicios tercerizados.
internos establecidos por los servicios tercerizados son
apropiados para asegurar que la institucin alcance La calidad y la frecuencia de los esfuerzos de los
sus objetivos y responda a los riesgos asociados, o si servicios tercerizados por mantener las normas
se deben establecer controles complementarios en el de conducta en su personal.
control interno de la institucin.
La magnitud y complejidad de las operaciones
La Administracin debe considerar, entre otros, los de los servicios tercerizados y su estructura
siguientes criterios al determinar el grado de supervisin organizacional.
que requerirn las actividades realizadas por los
servicios tercerizados: El alcance, suficiencia e idoneidad de los controles
de los servicios tercerizados para la consecucin
La naturaleza de los servicios contratados y los de los objetivos para los que fueron contratados,
riesgos que representan. y para responder a los riesgos asociados con las
actividades contratadas.
Instituciones Grandes o Pequeas

Los 17 principios aplican tanto a instituciones grandes No obstante, una institucin pequea enfrenta mayores
como pequeas. Sin embargo, las instituciones retos en la segregacin de funciones debido a la
pequeas pueden tener diferentes enfoques de concentracin de responsabilidades y autoridades en su
implementacin. stas, generalmente tienen ventajas estructura organizacional. Sin embargo, la Administracin
particulares, que pueden contribuir a que su control debe responder a este riesgo mediante el diseo
interno sea apropiado. Asimismo, pueden incluir un apropiado del control interno, por ejemplo aadiendo
mayor nivel de participacin de la Administracin en niveles adicionales de revisin para procesos operativos
los procesos operativos y una interaccin directa de clave; efectuando revisiones aleatorias a las transacciones
sta con el personal. y su documentacin soporte; practicando conteos
peridicos a los activos o supervisando las conciliaciones.
Costos y Beneficios del Control Interno

El Control Interno provee amplios beneficios a la institucin. La Administracin debe decidir cmo evaluar el costo-
Proporciona a los responsables de los procesos operativos beneficio del establecimiento de un control interno
una mayor confianza respecto del cumplimiento de sus apropiado mediante distintos enfoques. Sin embargo,
objetivos, brinda retroalimentacin sobre qu tan eficaz es el costo por s mismo no es una razn suficiente para
su operacin y ayuda a reducir los riesgos asociados con evitar la implementacin de controles internos. Las
el cumplimiento de los objetivos institucionales. Se deben consideraciones del costo-beneficio respaldan la
considerar diversos factores de costos relacionados capacidad de la institucin para disear, implementar y
con los beneficios esperados al disear e implementar operar apropiadamente un control interno que equilibre
controles internos. La complejidad de la determinacin la asignacin de recursos en relacin con las reas de
del costo-beneficio depende de la interrelacin de mayor riesgo, la complejidad u otros factores relevantes.
los controles con los procesos operativos. Cuando los
controles estn integrados con los procesos operativos,
es difcil aislar tanto sus costos como sus beneficios.
19
Documentacin del Control Interno

La documentacin y formalizacin son una parte debilidades o reas de oportunidad en el
importante y necesaria del control interno. El grado control interno.
y naturaleza de la documentacin y formalizacin
varan segn el tamao y complejidad de los procesos Evaluar, documentar, formalizar y completar,
operativos de la institucin. La Administracin utiliza el oportunamente, las acciones correctivas
juicio profesional, la debida diligencia y las disposiciones correspondientes para la resolucin de las
jurdicas y normativas aplicables para determinar el deficiencias identificadas.
grado de documentacin y formalizacin requerido
para el control interno, stas ltimas son necesarias para Documentar y formalizar, de manera oportuna, las
lograr que el control interno sea eficaz y apropiadamente acciones correctivas impuestas para la resolucin
diseado, implementado y operado. La Administracin de las deficiencias identificadas.
debe cumplir, como mnimo, con los siguientes requisitos
de documentacin y formalizacin del control interno: Es necesario ejercer el juicio profesional y observar las
disposiciones jurdicas y normativas aplicables con el
Documentar, formalizar y actualizar oportunamente propsito de determinar qu documentacin adicional
su control interno. puede ser necesaria para lograr un control interno
apropiado. Si la Administracin identifica deficiencias en
Documentar y formalizar, mediante polticas y el cumplimiento de estos requisitos de documentacin
procedimientos, las responsabilidades de todo y formalizacin, el efecto de las deficiencias debe
el personal respecto del control interno. ser considerado en el resumen elaborado relativo al
diseo, implementacin y eficacia operativa de los
Documentar y formalizar los resultados de principios asociados.
las autoevaluaciones y las evaluaciones
independientes para identificar problemas,
Aplicacin en las Instituciones
El Marco est diseado para aplicarse como un modelo

de control interno para todas las instituciones del Sector
Pblico Federal, Estatal y Municipal. Cada institucin
puede adaptar dicho modelo general a su realidad
operativa y circunstancias especficas, y acatar los
componentes, principios y puntos de inters del Marco.
20
4 Componentes de Control Interno
Ambiente de Control
Es la base del control interno. Proporciona la disciplina
y estructura que impactan a la calidad de todo el
control interno. Influye en la definicin de los objetivos y
la constitucin de las actividades de control. El rgano
de Gobierno, en su caso, el Titular y la Administracin
deben establecer y mantener un ambiente de control
en toda la institucin, que implique una actitud de
respaldo hacia el control interno.
Principios
1. El rgano de Gobierno, en su caso, el Titular y organizacional, asignar responsabilidades y
la Administracin deben mostrar una actitud de delegar autoridad para alcanzar los objetivos
respaldo y compromiso con la integridad, los institucionales, preservar la integridad, prevenir
valores ticos, las normas de conducta, as como la corrupcin y rendir cuentas de los resultados
la prevencin de irregularidades administrativas alcanzados.
y la corrupcin.
4. La Administracin, es responsable de establecer
2. El rgano de Gobierno, en su caso, o el Titular los medios necesarios para contratar, capacitar
es responsable de vigilar el funcionamiento del y retener profesionales competentes.
control interno, a travs de la Administracin y las
instancias que establezca para tal efecto. 5. La Administracin, debe evaluar el desempeo
del control interno en la institucin y hacer
3. El Titular debe autorizar, con apoyo de la responsables a todos los servidores pblicos por
Administracin y conforme a las disposiciones sus obligaciones especficas en la materia.
jurdicas y normativas aplicables, la estructura
Principio 1 Mostrar Actitud de Respaldo y Compromiso

1.01 El rgano de Gobierno, en su caso, el Titular y la
Administracin deben mostrar una actitud de respaldo Programa de Promocin de la Integridad y
y compromiso con la integridad, los valores ticos, Prevencin de la Corrupcin
las normas de conducta, as como la prevencin de
irregularidades administrativas y la corrupcin. Apego, Supervisin y Actualizacin Continua
del Programa de Promocin de la Integridad y
Puntos de Inters
Prevencin de la Corrupcin
Los siguientes puntos de inters contribuyen al diseo,
implementacin y eficacia operativa de este principio:
Actitud de Respaldo del Titular y la Administracin
Normas de Conducta
Apego a las Normas de Conducta
21
Actitud de Respaldo del Titular y la Administracin
1.02 El rgano de Gobierno, en su caso, el Titular y la en la institucin. De igual manera, deben reforzar el
Administracin deben demostrar la importancia de la compromiso de hacer lo correcto y no slo de mantener
integridad, los valores ticos y las normas de conducta un nivel mnimo de desempeo para cumplir con las
en sus directrices, actitudes y comportamiento. disposiciones jurdicas y normativas aplicables, a fin de
que estas prioridades sean comprendidas por todas las
1.03 El rgano de Gobierno, en su caso, el Titular y la partes interesadas, tales como reguladores, empleados
Administracin deben guiar a travs del ejemplo sobre y el pblico en general.
los valores, la filosofa y el estilo operativo de la institucin.
Asimismo, deben establecer la actitud de respaldo en 1.05 La actitud de respaldo de los titulares y la
toda la institucin a travs de su actuacin y ejemplo, Administracin puede ser un impulsor, como se muestra
lo cual es fundamental para lograr un control interno en los prrafos anteriores, o un obstculo para el control
apropiado y eficaz. En las instituciones ms grandes, interno. Sin una slida actitud de respaldo de stos para
los distintos niveles administrativos en la estructura el control interno, la identificacin de riesgos puede
organizacional tambin pueden establecer la actitud quedar incompleta, la respuesta a los riesgos puede
de respaldo de la Administracin. ser inapropiada, las actividades de control pueden no
ser diseadas o implementadas apropiadamente, la
1.04 Las directrices, actitudes y conductas del rgano informacin y la comunicacin pueden debilitarse;
de Gobierno, en su caso, y del Titular deben reflejar la asimismo, los resultados de la supervisin pueden no
integridad, los valores ticos y las normas de conducta ser comprendidos o pueden no servir de base para
que se esperan por parte de los servidores pblicos corregir las deficiencias detectadas.
Normas de Conducta
1.06 La Administracin debe establecer directrices para 1.07 La Administracin, con la supervisin del rgano
comunicar las expectativas en materia de integridad, de Gobierno o Titular, debe definir las expectativas que
valores ticos y normas de conducta. Todo el personal guarda la institucin respecto de los valores ticos en las
de la institucin debe utilizar los valores ticos y las normas de conducta. La Administracin debe considerar
normas de conducta para equilibrar las necesidades la utilizacin de polticas, principios de operacin o
y preocupaciones de los diferentes grupos de inters, directrices para comunicar las normas de conducta
tales como reguladores, empleados y el pblico en de la institucin.
general. Las normas de conducta deben guiar las
directrices, actitudes y conductas del personal hacia
el logro de sus objetivos.
Apego a las Normas de Conducta

1.08 La Administracin debe establecer procesos para personal, procesos de retroalimentacin, un programa
evaluar el desempeo del personal frente a las normas o lnea tica de denuncia, entre otros. El Titular debe
de conducta de la institucin y atender oportunamente evaluar el apego de la Administracin a las normas
cualquier desviacin identificada. de conducta, as como el cumplimiento general en
la institucin.
1.09 La Administracin debe utilizar las normas de
conducta como base para evaluar el apego a la 1.10 La Administracin debe determinar el nivel de
integridad, los valores ticos y las normas de conducta tolerancia para las desviaciones. Para tal efecto,
en toda la institucin. Para asegurar que las normas puede establecerse un nivel de tolerancia cero para
de conducta se aplican eficazmente, tambin debe el incumplimiento de ciertas normas de conducta,
evaluar las directrices, actitudes y conductas de los mientras que el incumplimiento de otras puede
servidores pblicos y los equipos. Las evaluaciones atenderse mediante advertencias a los servidores
pueden consistir en autoevaluaciones y evaluaciones pblicos. Asimismo, debe establecer un proceso para
independientes. Los servidores pblicos deben la evaluacin del apego a las normas de conducta
informar sobre asuntos relevantes a travs de lneas por parte de los servidores pblicos o de los equipos,
de comunicacin, tales como reuniones peridicas del proceso que permite corregir las desviaciones.
22
La Administracin debe atender el incumplimiento a las tambin debe tomar las acciones apropiadas y en su
normas de conducta de manera oportuna y consistente. caso aplicar las leyes y reglamentos correspondientes.
Dependiendo de la gravedad de la desviacin, Las normas de conducta que rigen al personal deben
determinada a travs del proceso de evaluacin, mantenerse consistentes en toda la institucin.
Programa de Promocin de la Integridad y Prevencin

de la Corrupcin
1.11 La Administracin debe articular un programa, difusin y operacin de la lnea tica (o mecanismo) de
poltica o lineamiento institucional de promocin de denuncia annima y confidencial de hechos contrarios
la integridad y prevencin de la corrupcin (programa a la integridad; as como una funcin especfica de
de promocin de la integridad) que considere como gestin de riesgos de corrupcin en la institucin,
mnimo la capacitacin continua en la materia de todo como parte del componente de administracin
el personal; la difusin adecuada de los cdigos de de riesgos (con todos los elementos incluidos en
tica y conducta implementados; el establecimiento, dicho componente).
Apego, Supervisin y Actualizacin Continua del Programa de Promocin de la

Integridad y Prevencin de la Corrupcin
1.12 La Administracin debe asegurar una supervisin suficiente y eficaz, y corregir sus deficiencias con base
continua sobre la aplicacin efectiva y apropiada del en los resultados de las evaluaciones internas y externas
programa de promocin de la integridad, medir si es a que est sujeta.
Principio 2 Ejercer la Responsabilidad de Vigilancia

2.01 El rgano de Gobierno, en su caso, o el Titular es Estructura de Vigilancia
responsable de supervisar el funcionamiento del control
interno, a travs de la Administracin y las instancias Vigilancia General del Control Interno
que establezca para tal efecto.
Puntos de Inters Correccin de Deficiencias

Estructura de Vigilancia
2.02 El rgano de Gobierno, en su caso, o el Titular orientacin constructiva a la Administracin y, cuando

es responsable de establecer una estructura de proceda, tomar decisiones de vigilancia para asegurar
vigilancia adecuada en funcin de las disposiciones que la institucin logre sus objetivos en lnea con el
jurdicas aplicables y la estructura y caractersticas de programa de promocin de la integridad, los valores
la institucin. Los informes y hallazgos reportados por la ticos y las normas de conducta.
instancia especializada de vigilancia son la base para
la correccin de las deficiencias detectadas. Requisitos de un rgano de Gobierno
Responsabilidades del rgano de Gobierno o del Titular 2.04 En la seleccin de los miembros de un rgano de
Gobierno, en su caso, o del Titular se debe considerar el
2.03 El rgano de Gobierno, en su caso, o el Titular conocimiento necesario respecto de la institucin, los
debe vigilar las operaciones de la institucin, ofrecer conocimientos especializados pertinentes, el nmero de
23
miembros con que contar el rgano y su neutralidad, los enfoques para identificar y responder a los
independencia y objetividad tcnica requeridos para riesgos, y evaluacin de la eficacia del control
cumplir con las responsabilidades de vigilancia en interno).
la institucin.
Experiencia en planeacin estratgica, incluyendo
2.05 Los miembros del rgano de Gobierno, en su caso, el conocimiento de la misin y visin institucional,
o el Titular debe comprender los objetivos de la institucin, los programas clave y los procesos operativos
sus riesgos asociados y las expectativas de sus grupos de relevantes.
inters. De igual modo, deben demostrar experiencia,
conocimientos especializados y capacidades tcnicas Pericia financiera, incluyendo el proceso
y profesionales apropiadas para realizar su funcin de para la preparacin de informes financieros
vigilancia, particularmente en materia de control interno, (por ejemplo, la Ley General de Contabilidad
administracin de riesgos y prevencin de la corrupcin. Gubernamental y los requisitos para la emisin de
Los criterios para la designacin, remocin y destitucin informacin financiera, contable y programtica
del cargo como miembro del rgano de Gobierno o presupuestaria).
el Titular deben estar claramente establecidos, a fin de
fortalecer la independencia de juicio y la objetividad Sistemas y tecnologa relevantes (por ejemplo, la
en el desempeo de las funciones de vigilancia. comprensin de riesgos y oportunidades de los
sistemas crticos).
2.06 Los miembros del rgano de Gobierno, en su
caso, o del Titular deben demostrar adems la pericia Pericia legal y normativa (por ejemplo,
requerida para vigilar, deliberar y evaluar el control entendimiento de las disposiciones jurdicas y
interno de la institucin. Las capacidades que se normativas aplicables).
esperan de todos los miembros de este rgano o del
Titular deben incluir la integridad, los valores ticos, las Pericia en programas y estrategias para la
normas de conducta, el liderazgo, el pensamiento salvaguarda de los recursos; la prevencin,
crtico, la resolucin de problemas y competencias disuasin y deteccin de hechos de corrupcin,
especializadas en prevencin, disuasin y deteccin y la promocin de ambientes de integridad.
de faltas a la integridad y corrupcin.
2.08 Si lo autorizan las disposiciones jurdicas y normativas
2.07 Adems, al determinar el nmero de miembros aplicables, la institucin tambin debe considerar la
que componen al rgano de Gobierno, se debe inclusin de miembros independientes en el rgano
considerar la necesidad de incluir personal con otras de Gobierno. Sus miembros deben revisar a detalle
habilidades especializadas, que permitan la discusin, y cuestionar las actividades realizadas por el Titular
ofrezcan orientacin constructiva al Titular y favorezcan y la Administracin, deben presentar puntos de vista
la toma de decisiones adecuadas. Algunas habilidades alternativos, as como tomar accin ante irregularidades,
especializadas pueden incluir: probables o reales. Los miembros independientes que
cuentan con la pericia pertinente deben proporcionar
Dominio de temas de control interno (por ejemplo, valor a travs de su evaluacin imparcial de la institucin
el escepticismo profesional, perspectivas sobre y de sus operaciones.
Vigilancia General del Control Interno
2.09 El rgano de Gobierno, en su caso, o el Titular debe desarrollar expectativas de competencia

vigilar, de manera general, el diseo, implementacin profesional y mantener la rendicin de cuentas
y operacin del control interno realizado por la ante todos los miembros del rgano de Gobierno,
Administracin. Las responsabilidades del rgano de en su caso, o del Titular y de las principales partes
Gobierno o del Titular respecto del control interno son, interesadas.
entre otras, las siguientes:
Administracin de Riesgos. Vigilar la evaluacin
Ambiente de Control. Establecer y promover de los riesgos que amenazan el logro de
la integridad, los valores ticos y las normas de objetivos, incluyendo el impacto potencial de
conducta, as como la estructura de vigilancia, los cambios significativos, la corrupcin, el fraude
24
y la elusin de controles por parte de cualquier Supervisin. Examinar la naturaleza y alcance de

servidor pblico. las actividades de supervisin de la Administracin,
as como las evaluaciones realizadas por sta y
Actividades de Control. Vigilar a la Administracin en las acciones correctivas implementadas para
el desarrollo y ejecucin de las actividades de control. remediar las deficiencias identificadas.
Informacin y Comunicacin. Analizar y discutir

la informacin relativa al logro de los objetivos
institucionales.
Correccin de Deficiencias
2.10 El rgano de Gobierno, en su caso, o el Titular organizacionales, o cuando los intereses de los miembros
debe proporcionar informacin a la Administracin para de la Administracin pueden entrar en conflicto con
dar seguimiento a la correccin de las deficiencias los esfuerzos de correccin. En los momentos que sea
detectadas en el control interno. apropiado y autorizado, el rgano de Gobierno o el
Titular, puede ordenar la creacin de grupos de trabajo
2.11 La Administracin debe informar al rgano para hacer frente o vigilar asuntos especficos, crticos
de Gobierno, en su caso, o al Titular sobre aquellas para el logro de los objetivos de la institucin.
deficiencias en el control interno identificadas; quien a su
vez, evala y proporciona orientacin a la Administracin 2.12 El rgano de Gobierno, en su caso, o el Titular
para la correccin de tales deficiencias. El rgano es responsable de monitorear la correccin de las
de Gobierno o el Titular, tambin debe proporcionar deficiencias y de proporcionar orientacin a la
orientacin cuando una deficiencia atraviesa los lmites Administracin sobre los plazos para corregirlas.
Principio 3 Establecer la Estructura, Responsabilidad y Autoridad

3.01 El Titular debe autorizar, con apoyo de la Estructura Organizacional
Administracin y conforme a las disposiciones jurdicas
y normativas aplicables, la estructura organizacional, Asignacin de Responsabilidad y Delegacin de
asignar responsabilidades y delegar autoridad para Autoridad
alcanzar los objetivos institucionales, preservar la
integridad, prevenir la corrupcin y rendir cuentas de Documentacin y Formalizacin del Control Interno
los resultados alcanzados.
Puntos de Inters
Estructura Organizacional
3.02 El Titular debe instruir a la Administracin y, en su 3.03 La Administracin debe desarrollar y actualizar
caso, a las unidades especializadas, el establecimiento la estructura organizacional con entendimiento de
de la estructura organizacional necesaria para permitir las responsabilidades generales, y debe asignar estas
la planeacin, ejecucin, control y evaluacin de responsabilidades a las distintas unidades para fomentar
la institucin en la consecucin de sus objetivos. La que la institucin alcance sus objetivos de manera
Administracin, para cumplir con este objetivo, debe eficiente, eficaz y econmica; brinde informacin
desarrollar responsabilidades generales a partir de confiable y de calidad; cumpla con las disposiciones
los objetivos institucionales que le permitan lograr sus jurdicas y normativas aplicables, y prevenga, disuada y
objetivos y responder a sus riesgos asociados. detecte actos de corrupcin. Con base en la naturaleza
25
de la responsabilidad asignada, la Administracin debe deben proporcionar mtodos de comunicacin que

seleccionar el tipo y el nmero de unidades, as como pueden circular en todas las direcciones al interior de
las direcciones, divisiones, oficinas y dems instancias la estructura organizacional. La Administracin tambin
dependientes. debe considerar las responsabilidades generales que
tiene frente a terceros interesados, y debe establecer
3.04 Como parte del establecimiento de una estructura lneas de comunicacin y emisin de informes que
organizacional actualizada, la Administracin debe permitan a la institucin comunicar y recibir informacin
considerar el modo en que las unidades interactan a fin de las fuentes externas.
de cumplir con sus responsabilidades. La Administracin
debe establecer lneas de reporte dentro de la estructura 3.05 La Administracin debe evaluar peridicamente la
organizacional, a fin de que las unidades puedan estructura organizacional para asegurar que se alinea
comunicar la informacin de calidad necesaria para con los objetivos institucionales y que ha sido adaptada
el cumplimiento de los objetivos. Las lneas de reporte y actualizada a cualquier objetivo emergente, como
deben definirse en todos los niveles en la institucin y nuevas leyes o regulaciones.
Asignacin de Responsabilidad y Delegacin de Autoridad
3.06 Para alcanzar los objetivos institucionales, la 3.08 La Administracin debe determinar qu nivel de
Administracin debe asignar responsabilidad y autoridad necesitan los puestos clave para cumplir con
delegar autoridad a los puestos clave a lo largo de la sus obligaciones. Tambin debe delegar autoridad slo
institucin. Un puesto clave es aquella posicin dentro en la medida requerida para lograr los objetivos. Como
de la estructura organizacional que tiene asignada parte de la delegacin de autoridad, la Administracin
una responsabilidad general respecto de la institucin. debe considerar que exista una apropiada segregacin
Usualmente, los puestos clave pertenecen a posiciones de funciones al interior de las unidades y en la estructura
altas de la Administracin (mandos superiores) dentro organizacional. La segregacin de funciones ayuda a
de la institucin. prevenir la corrupcin, el fraude, desperdicio, abuso
y otras irregularidades en la institucin, al dividir la
3.07 La Administracin debe considerar las autoridad, la custodia y la contabilidad en la estructura
responsabilidades generales asignadas a cada organizacional. El personal que ocupa puestos clave
unidad, debe determinar qu puestos clave son puede delegar su autoridad sobre el control interno a
necesarios para cumplir con las responsabilidades sus subordinados, pero retiene la obligacin de cumplir
asignadas y debe establecer dichos puestos. Aquel con las obligaciones de control interno inherentes a su
personal que se encuentra en puestos clave puede cargo derivadas de su nivel de autoridad.
delegar responsabilidad sobre el control interno a sus
subordinados, pero retiene la obligacin de cumplir
con las responsabilidades generales asignadas a
sus unidades.
Documentacin y Formalizacin del Control Interno
3.09 La Administracin debe desarrollar y actualizar la para comunicar el conocimiento necesario sobre el
documentacin y formalizacin de su control interno. control interno a las partes externas, por ejemplo, los
auditores externos.
3.10 La documentacin y formalizacin efectiva del
control interno apoya a la Administracin en el diseo, 3.11 La Administracin debe documentar y formalizar
implementacin y operacin de ste, al establecer y el control interno para satisfacer las necesidades
comunicar al personal el cmo, qu, cundo, dnde y operativas de la institucin. La documentacin de
por qu del control interno. Asimismo, la documentacin controles, incluidos los cambios realizados a stos,
y formalizacin se constituyen en un medio para retener es evidencia de que las actividades de control son
el conocimiento institucional sobre el control interno identificadas, comunicadas a los responsables de
y mitigar el riesgo de limitar el conocimiento solo a su funcionamiento y que pueden ser supervisadas y
una parte del personal; del mismo modo, es una va evaluadas por la institucin.
26
3.12 La extensin de la documentacin necesaria as como el tamao, naturaleza y complejidad de

para respaldar el diseo, implementacin y eficacia la institucin y de sus objetivos. No obstante, ciertos
operativa de los cinco componentes del control interno niveles bsicos de documentacin y formalizacin
depende del juicio de la Administracin, del mandato son necesarios para asegurar que los componentes
institucional y de las disposiciones jurdicas aplicables. de control interno son diseados, implementados y
La Administracin debe considerar el costo-beneficio operados de manera eficaz y apropiada.
de los requisitos de la documentacin y formalizacin,
Principio 4 - Demostrar Compromiso con la Competencia

Profesional
4.01 La Administracin, es responsable de establecer los 4.04 El personal debe poseer y mantener un nivel de
medios necesarios para contratar, capacitar y retener competencia profesional que le permita cumplir con sus
profesionales competentes. responsabilidades, as como entender la importancia
y eficacia del control interno. El sujetar al personal
a las polticas definidas para la evaluacin de las
Puntos de Inters competencias profesionales es crucial para atraer,
desarrollar y retener a los servidores pblicos idneos.
Los siguientes puntos de inters contribuyen al diseo, La Administracin debe evaluar la competencia
implementacin y eficacia operativa de este principio: profesional del personal en toda la institucin, lo cual
contribuye a la obligacin institucional de rendicin de
Expectativas de Competencia Profesional cuentas. De igual forma, debe actuar, tanto como sea
necesario, para identificar cualquier desviacin a las
Atraccin, Desarrollo y Retencin de Profesionales polticas establecidas para la competencia profesional.
El rgano de Gobierno, en su caso, o el Titular debe
Planes y Preparativos para la Sucesin y evaluar las competencias de los titulares de las unidades
Contingencias administrativas, as como contribuir a la evaluacin
general del personal de la institucin.
Expectativas de Competencia
Atraccin, Desarrollo y Retencin de
Profesional
Profesionales
4.02 La Administracin debe establecer expectativas de
competencia profesional sobre los puestos clave y los 4.05 La Administracin debe atraer, desarrollar y retener
dems cargos institucionales para ayudar a la institucin profesionales competentes para lograr los objetivos de
a lograr sus objetivos. La competencia profesional la institucin. Por lo tanto, debe:
es el conjunto de conocimientos y capacidades
comprobables de un servidor pblico para llevar a cabo Seleccionar y contratar. Efectuar procedimientos
sus responsabilidades asignadas. El personal requiere para determinar si un candidato en particular se
de conocimientos, destrezas y habilidades pertinentes ajusta a las necesidades de la institucin y tiene las
al ejercicio de sus cargos, los cuales son adquiridos, competencias profesionales para el desempeo
en gran medida, con la experiencia profesional, la del puesto.
capacitacin y las certificaciones profesionales.
Capacitar. Permitir a los servidores pblicos
4.03 La Administracin debe contemplar los estndares desarrollar competencias profesionales apropiadas
de conducta, las responsabilidades asignadas y la para los puestos clave, reforzar las normas de
autoridad delegada al establecer expectativas. conducta, difundir el programa de promocin
Asimismo, debe establecer las expectativas de de la integridad y brindar una formacin basada
competencia profesional para los puestos clave y para en las necesidades del puesto.
el resto del personal, a travs de polticas al interior del
Sistema de Control Interno.
27
Guiar. Proveer orientacin en el desempeo del que los planes de contingencia deben identificar y
personal con base en las normas de conducta, atender la necesidad institucional de responder a los
el programa de promocin de la integridad y cambios repentinos en el personal que impactan a la
las expectativas de competencia profesional; institucin y que pueden comprometer el control interno.
alinear las habilidades y pericia individuales con
los objetivos institucionales, y ayudar al personal 4.07 La Administracin debe definir los cuadros de
a adaptarse a un ambiente cambiante. sucesin para los puestos clave, as como seleccionar
y capacitar a los candidatos que asumirn los puestos
Retener. Proveer incentivos para motivar y reforzar clave. Si la Administracin utiliza servicios tercerizados
los niveles esperados de desempeo y conducta para cumplir con las responsabilidades asignadas a
deseada, incluida la capacitacin y certificacin puestos clave, debe evaluar si stos pueden continuar
correspondientes. con los puestos clave y debe identificar otros servicios
tercerizados para tales puestos. Asimismo, debe
implementar procesos para asegurar que se comparta
Planes y Preparativos para la Sucesin el conocimiento con los nuevos candidatos, en su caso.
y Contingencias 4.08 La Administracin debe definir los planes de

contingencia para la asignacin de responsabilidades
4.06 La Administracin debe definir cuadros de sucesin si un puesto clave se encuentra vacante sin vistas a
y planes de contingencia para los puestos clave, con su ocupacin. La importancia de estos puestos en el
objeto de garantizar la continuidad en el logro de los Control interno y el impacto que representa el que estn
objetivos. Los cuadros de sucesin deben identificar y vacantes, impactan la formalidad y profundidad del
atender la necesidad de la institucin de reemplazar plan de contingencia.
profesionales competentes en el largo plazo, en tanto
Principio 5 Establecer la Estructura para el Reforzamiento de la

Rendicin de Cuentas
5.01 La Administracin, debe evaluar el desempeo Establecimiento de la Estructura para

del control interno en la institucin y hacer responsables
a todo el personal por sus obligaciones especficas en Responsabilizar al Personal por sus
la materia.
Obligaciones de Control Interno
Puntos de Inters
5.02 La Administracin debe establecer una estructura
Los siguientes puntos de inters contribuyen al diseo, que permita, de manera clara y sencilla, responsabilizar
implementacin y eficacia operativa de este principio: a todo el personal por el desempeo de su cargo y
por sus obligaciones especficas en materia de control
Establecimiento de una Estructura para interno, lo cual forma parte de la obligacin de rendicin
Responsabilizar al Personal por sus Obligaciones de cuentas institucional. La responsabilidad por el
de Control Interno cargo desempeado y la obligacin de rendicin de
cuentas es promovida por la actitud de respaldo y
Consideracin de las Presiones por las compromiso de los titulares y la Administracin (tono en
Responsabilidades Asignadas al Personal los mandos superiores) con la competencia profesional,
la integridad, los valores ticos, las normas de conducta,
la estructura organizacional y las lneas de autoridad
establecidas, elementos todos que influyen en la cultura
de control interno de la institucin. La estructura que
refuerza la responsabilidad profesional y la rendicin
de cuentas por las actividades desempeadas, es
la base para la toma de decisiones y la actuacin
cotidiana del personal.
28
La Administracin debe mantener la estructura para correctivas cuando sea necesario fortalecer la estructura
la responsabilidad profesional y el reforzamiento de para la asignacin de responsabilidades y la rendicin de
la rendicin de cuentas del personal, a travs de cuentas. Estas acciones van desde la retroalimentacin
mecanismos tales como evaluaciones del desempeo informal proporcionada por los supervisores hasta
y la imposicin de medidas disciplinarias. acciones disciplinarias implementadas por el rgano
de Gobierno o el Titular, dependiendo de la relevancia
5.03 La Administracin debe establecer una estructura de las deficiencias identificadas en el control interno.
organizacional que permita responsabilizar a todos
los servidores pblicos por el desempeo de sus Consideracin de las Presiones por
obligaciones de control interno. El rgano de Gobierno,
en su caso, o el Titular, a su vez, debe evaluar y las Responsabilidades Asignadas al
responsabilizar a la Administracin por el desempeo
Personal
de sus funciones en materia de control interno.
5.04 En caso de que la Administracin establezca 5.07 La Administracin debe equilibrar las presiones
incentivos para el desempeo del personal, debe excesivas sobre el personal de la institucin. Las presiones
reconocer que tales estmulos pueden provocar pueden suscitarse debido a metas demasiado altas,
consecuencias no deseadas, por lo que debe evaluarlos establecidas por la Administracin, a fin de cumplir
a fin de que se encuentren alineados a los principios con los objetivos institucionales o las exigencias cclicas
ticos y normas de conducta de la institucin. de algunos procesos sensibles, como adquisiciones,
suministros, remuneraciones y la preparacin de los
5.05 La Administracin debe responsabilizar a las estados financieros, entre otros.
organizaciones de servicios que contrate por las
funciones de control interno relacionadas con las 5.08 La Administracin es responsable de evaluar las
actividades tercerizadas que realicen. Asimismo debe presiones sobre el personal para ayudar a los empleados
comunicar a los servicios tercerizados los objetivos a cumplir con sus responsabilidades asignadas, en
institucionales y sus riesgos asociados, las normas alineacin con las normas de conducta, los principios
de conducta de la institucin, su papel dentro de ticos y el programa de promocin de la integridad.
la estructura organizacional, las responsabilidades En este sentido, debe ajustar las presiones excesivas
asignadas y las expectativas de competencia profesional utilizando diferentes herramientas, como distribuir
correspondiente a sus funciones, lo que contribuir a que adecuadamente las cargas de trabajo, redistribuir los
los servicios tercerizados desempeen apropiadamente recursos o tomar las decisiones pertinentes para corregir
sus responsabilidades de control interno. la causa de las presiones, entre otras.
5.06 La Administracin, bajo la supervisin del rgano de

Gobierno, en su caso, o del Titular debe tomar acciones
29
Administracin de Riesgos
Despus de haber establecido un ambiente de control
efectivo, la Administracin debe evaluar los riesgos que
enfrenta la institucin para el logro de sus objetivos. Esta
evaluacin proporciona las bases para el desarrollo
de respuestas al riesgo apropiadas. Asimismo, debe
evaluar los riesgos que enfrenta la institucin tanto de
fuentes internas como externas.
Principios
6. El Titular, con el apoyo de la Administracin, debe

definir claramente los objetivos institucionales y
formular un plan estratgico que, de manera
coherente y ordenada, se asocie a stos y a su
mandato legal, asegurando adems que dicha 8. La Administracin, debe considerar la posibilidad
planeacin estratgica contemple la alineacin de ocurrencia de actos de corrupcin, fraudes,
institucional a los planes nacionales, regionales, abuso, desperdicio y otras irregularidades
sectoriales y todos los dems instrumentos y relacionadas con la adecuada salvaguarda
normativas vinculatorias que correspondan. de los recursos pblicos al identificar, analizar y
responder a los riesgos, en los diversos procesos
7. La Administracin, debe identificar, analizar y que realiza la institucin.
responder a los riesgos asociados al cumplimiento
de los objetivos institucionales, as como de los 9. La Administracin, debe identificar, analizar y
procesos por los que se obtienen los ingresos y responder a los cambios significativos que puedan
se ejerce el gasto, entre otros. impactar al control interno.
Principio 6 Definir Objetivos y Tolerancias al Riesgo

6.01 El Titular debe instruir a la Administracin y, en a fin de que puedan ser entendidos fcilmente. Los
su caso, a las unidades especializadas, la definicin indicadores y otros instrumentos de medicin de los
clara de los objetivos institucionales para permitir la objetivos permiten la evaluacin del desempeo en
identificacin de riesgos y definir la tolerancia al riesgo. el cumplimiento de los objetivos. Estos ltimos, deben
definirse inicialmente en el proceso de establecimiento
Puntos de Inters de objetivos y, posteriormente, deben ser incorporados
al control interno.
implementacin y eficacia operativa de este principio: 6.03 La Administracin debe definir los objetivos en
trminos especficos de manera que sean comunicados
Definicin de Objetivos y entendidos en todos los niveles en la institucin. Esto
involucra la clara definicin de qu debe ser alcanzado,
Tolerancia al Riesgo quin debe alcanzarlo, cmo ser alcanzado y qu
lmites de tiempo existen para lograrlo. Todos los objetivos
Definicin de Objetivos pueden ser clasificados de manera general en una o
ms de las siguientes tres categoras: de operacin,
6.02 La Administracin debe definir objetivos en trminos de informacin y de cumplimiento. Los objetivos
especficos y medibles para permitir el diseo del de informacin son, adems, categorizados como
control interno y sus riesgos asociados. Los trminos internos o externos y financieros o no financieros. La
especficos deben establecerse clara y completamente Administracin debe definir los objetivos en alineacin
30
con el mandato, la misin y visin institucional, con cabal del objetivo y su grado real de cumplimiento.
su plan estratgico y con otros planes y programas Las tolerancias al riesgo son inicialmente fijadas como
aplicables, as como con las metas de desempeo. parte del proceso de establecimiento de objetivos.
La Administracin debe definir las tolerancias para los
6.04 La Administracin debe definir objetivos en objetivos establecidos al asegurar que los niveles de
trminos medibles de manera que se pueda evaluar variacin para las normas e indicadores de desempeo
su desempeo. Establecer objetivos medibles contribuye son apropiados para el diseo del Control interno.
a la objetividad y neutralidad de su evaluacin, ya
que no se requiere de juicios subjetivos para evaluar 6.09 La Administracin debe definir las tolerancias al
el grado de avance en su cumplimiento. Los objetivos riesgo en trminos especficos y medibles, de modo
medibles deben definirse de una forma cuantitativa y/o que sean claramente establecidas y puedan ser
cualitativa que permita una medicin razonablemente medidas. La tolerancia es usualmente medida con las
consistente. mismas normas e indicadores de desempeo que los
objetivos definidos. Dependiendo de la categora de los
6.05 La Administracin debe considerar los objetivos, las tolerancias al riesgo pueden ser expresadas
requerimientos externos y las expectativas internas al como sigue:
definir los objetivos que permiten el diseo del control
interno. Los legisladores, reguladores e instancias Objetivos de Operacin. Nivel de variacin en el
normativas deben definir los requerimientos externos desempeo en relacin con el riesgo.
al establecer las leyes, regulaciones y normas que
la institucin debe cumplir. La Administracin debe Objetivos de Informacin no Financieros.
identificar, entender e incorporar estos requerimientos Nivel requerido de precisin y exactitud para
dentro de los objetivos institucionales. Adicionalmente, las necesidades de los usuarios; implican
debe fijar expectativas y requerimientos internos para consideraciones tanto cualitativas como
el cumplimiento de los objetivos con apoyo de las cuantitativas para atender las necesidades de
normas de conducta, el programa de promocin de los usuarios de informes no financieros.
la integridad, la funcin de supervisin, la estructura
organizacional y las expectativas de competencia Objetivos de Informacin Financieros. Los
profesional del personal. juicios sobre la relevancia se hacen en
funcin de las circunstancias que los rodean;
6.06 La Administracin debe evaluar y, en su caso, implican consideraciones tanto cualitativas
replantear los objetivos definidos para que sean como cuantitativas y se ven afectados por las
consistentes con los requerimientos externos y las necesidades de los usuarios de los informes
expectativas internas de la institucin, as como con el financieros, as como por el tamao o la naturaleza
Plan Nacional de Desarrollo, el Plan Estatal de Desarrollo, de la informacin errnea.
los Programas Sectoriales, Especiales y dems planes,
programas y disposiciones aplicables. Esta consistencia Objetivos de Cumplimiento. El concepto de
permite a la Administracin identificar y analizar los tolerancia al riesgo no le es aplicable. La institucin
riesgos asociados con el logro de los objetivos. cumple o no cumple las disposiciones aplicables.
6.07 La Administracin debe determinar si los 6.10 La Administracin tambin debe evaluar si las
instrumentos e indicadores de desempeo para los tolerancias al riesgo permiten el diseo apropiado de
objetivos establecidos son apropiados para evaluar control interno al considerar si son consistentes con
el desempeo de la institucin. Para los objetivos los requerimientos y las expectativas de los objetivos
cuantitativos, las normas e indicadores de desempeo definidos. Como en la definicin de objetivos, la
pueden ser un porcentaje especfico o un valor numrico. Administracin debe considerar las tolerancias al riesgo
Para los objetivos cualitativos, la Administracin podra en el contexto de las leyes, regulaciones y normas
necesitar disear medidas de desempeo que indiquen aplicables a la institucin, as como a las normas de
el nivel o grado de cumplimiento, como hitos. conducta, el programa de promocin de la integridad,
la estructura de supervisin, la estructura organizacional
Tolerancia al Riesgo y las expectativas de competencia profesional. Si las
tolerancias al riesgo para los objetivos definidos no son
6.08 La Administracin debe definir la tolerancia al consistentes con estos requerimientos y expectativas, el
riesgo para los objetivos definidos. Dicha tolerancia es Titular debe revisar las tolerancias al riesgo para lograr
el nivel aceptable de diferencia entre el cumplimiento dicha consistencia.
31
Principio 7 Identificar, Analizar y Responder a los Riesgos
7.01 La Administracin debe identificar, analizar y econmica o desastres naturales potenciales. La

responder a los riesgos relacionados con el cumplimiento Administracin debe considerar esos factores tanto
de los objetivos institucionales. a nivel institucin como a nivel de transacciones a fin
de identificar de manera completa los riesgos que
Puntos de Inters afectan el logro de los objetivos.
Los siguientes puntos de inters contribuyen al diseo, Los mtodos de identificacin de riesgos pueden
implementacin y eficacia operativa de este principio: incluir una priorizacin cualitativa y cuantitativa de
actividades, previsiones y planeacin estratgica, as
Identificacin de Riesgos como la consideracin de las deficiencias identificadas
a travs de auditoras y otras evaluaciones.
Anlisis de Riesgos
Anlisis de Riesgos
Respuesta a los Riesgos
7.05 La Administracin debe analizar los riesgos
Identificacin de Riesgos identificados para estimar su relevancia, lo cual provee
la base para responder a stos. La relevancia se refiere
7.02 La Administracin debe identificar riesgos en toda la al efecto sobre el logro de los objetivos.
institucin para proporcionar una base para analizarlos.
La administracin de riesgos es la identificacin y anlisis 7.06 La Administracin debe estimar la relevancia
de riesgos asociados con el mandato institucional, su plan de los riesgos identificados para evaluar su efecto
estratgico, los objetivos del Plan Nacional de Desarrollo, sobre el logro de los objetivos, tanto a nivel institucin
el Plan Estatal de Desarrollo, los Programas Sectoriales, como a nivel transaccin. La Administracin debe
Especiales y dems planes y programas aplicables estimar la importancia de un riesgo al considerar la
de acuerdo con los requerimientos y expectativas de magnitud del impacto, la probabilidad de ocurrencia
la planeacin estratgica, y de conformidad con las y la naturaleza de riesgo. La magnitud del impacto se
disposiciones jurdicas y normativas aplicables. Lo anterior refiere al grado probable de deficiencia que podra
forma la base que permite disear respuestas al riesgo. resultar de la materializacin de un riesgo y es afectada
por factores tales como el tamao, la frecuencia y
7.03 Para identificar riesgos, la Administracin debe la duracin del impacto del riesgo. La probabilidad
considerar los tipos de eventos que impactan a la de ocurrencia se refiere a la posibilidad de que un
institucin. Esto incluye tanto el riesgo inherente como riesgo se materialice. La naturaleza del riesgo involucra
el riesgo residual. El riesgo inherente es el riesgo que factores tales como el grado de subjetividad involucrado
enfrenta la institucin cuando la Administracin no con el riesgo y la posibilidad de surgimiento de riesgos
responde ante el riesgo. El riesgo residual es el riesgo causados por corrupcin, fraude, abuso, desperdicio
que permanece despus de la respuesta de la y otras irregularidades o por transacciones complejas
Administracin al riesgo inherente. La falta de respuesta e inusuales. El rgano de Gobierno, en su caso, o el
por parte de la Administracin a ambos riesgos puede Titular, podr revisar las estimaciones sobre la relevancia
causar deficiencias graves en el control interno. realizadas por la Administracin, a fin de asegurar que las
tolerancias al riesgo fueron definidas adecuadamente.
7.04 La Administracin debe considerar todas las
interacciones significativas dentro de la institucin 7.07 Los riesgos pueden ser analizados sobre bases
y con las partes externas, cambios en su ambiente individuales o agrupados dentro de categoras de riesgos
interno y externo y otros factores, tanto internos como asociados, los cuales son analizados de manera colectiva.
externos, para identificar riesgos en toda la institucin. Independientemente de si los riesgos son analizados de
Los factores de riesgo interno pueden incluir la compleja forma individual o agrupada, la Administracin debe
naturaleza de los programas de la institucin, su considerar la correlacin entre los distintos riesgos o
estructura organizacional o el uso de nueva tecnologa grupos de riesgos al estimar su relevancia. La metodologa
en los procesos operativos. Los factores de riesgo especfica de anlisis de riesgos utilizada puede variar segn
externo pueden incluir leyes, regulaciones o normas la institucin, su mandato y misin, y la dificultad para definir,
profesionales nuevas o reformadas, inestabilidad cualitativa y cuantitativamente, las tolerancias al riesgo.
32
Respuesta a los Riesgos
7.08 La Administracin debe disear respuestas a los 7.09 Con base en la respuesta al riesgo seleccionada,
riesgos analizados de tal modo que stos se encuentren la Administracin debe disear acciones especficas
dentro de la tolerancia definida para los objetivos. La de atencin. La naturaleza y alcance de las acciones
Administracin debe disear todas las respuestas al de la respuesta a los riesgos depende de la tolerancia
riesgo con base en la relevancia del riesgo y la tolerancia al riesgo definida. Operar dentro de una tolerancia
establecida. Estas respuestas al riesgo pueden incluir: definida provee mayor garanta de que la institucin
alcanzar sus objetivos. Los indicadores del desempeo
Aceptar. Ninguna accin es tomada para son usados para evaluar si las acciones de respuesta
responder al riesgo con base en su importancia. al riesgo permiten a la institucin operar dentro de las
tolerancias definidas. Cuando las acciones de respuesta
Evitar. Se toman acciones para detener el proceso al riesgo no permiten a la institucin operar dentro de
operativo o la parte que origina el riesgo. las tolerancias al riesgo definidas, la Administracin
debe revisar las respuestas al riesgo y/o reconsiderar las
Mitigar. Se toman acciones para reducir la tolerancias al riesgo definidas. La Administracin debe
probabilidad / posibilidad de ocurrencia o la efectuar evaluaciones peridicas de riesgos con el fin
magnitud del riesgo. de asegurar la efectividad de las acciones de respuesta.
Compartir. Se toman acciones para compartir

riesgos institucionales con partes externas, como
la contratacin de plizas de seguros.
Principio 8 Considerar el Riesgo de Corrupcin

8.01 La Administracin, con el apoyo, en su caso, de pueda informar de manera confidencial y annima
las unidades especializadas (por ejemplo, Comit de sobre la incidencia de actos corruptos probables u
tica, Comit de Riesgos, Comit de Cumplimiento, ocurridos dentro de la institucin. La Administracin es
etc.), debe considerar la probabilidad de ocurrencia responsable de que dichas denuncias sean investigadas
de actos corruptos, fraudes, abuso, desperdicio y oportunamente y, en su caso, se corrijan las fallas que
otras irregularidades que atentan contra la apropiada dieron lugar a la presencia del riesgo de corrupcin. El
salvaguarda de los bienes y recursos pblicos al rgano de Gobierno, en su caso, o el Titular debe evaluar
identificar, analizar y responder a los riesgos. la aplicacin efectiva del programa de promocin de
la integridad por parte de la Administracin, incluyendo
La corrupcin, por lo general, implica la obtencin si el mecanismo de denuncias annimas es eficaz,
ilcita por parte de un servidor pblico de algo de valor, oportuno y apropiado, y debe permitir la correccin
a cambio de la realizacin de una accin ilcita o efectivamente las deficiencias en los procesos que
contraria a la integridad. permiten la posible materializacin de actos corruptos u
otras irregularidades que atentan contra la salvaguarda
La Administracin, as como todo el personal en sus de los recursos pblicos y la apropiada actuacin de
respectivos mbitos de competencia, deben considerar los servidores pblicos.
el riesgo potencial de actos corruptos y contrarios
a la integridad en todos los procesos que realicen, Puntos de Inters
incluyendo los ms susceptibles como son ingresos,
adquisiciones, obra pblica, remuneraciones, entre Los siguientes puntos de inters contribuyen al diseo,
otros, e informar oportunamente a la Administracin y implementacin y eficacia operativa de este principio:
al rgano de Gobierno, en su caso, o el Titular sobre
la presencia de dichos riesgos. Tipos de Corrupcin
El programa de promocin de la integridad debe Factores de Riesgo de Corrupcin

considerar la administracin de riesgos de corrupcin
permanente en la institucin, as como los mecanismos Respuesta a los Riesgos de Corrupcin
para que cualquier servidor pblico o tercero
33
Tipos de Corrupcin Intimidacin del servidor pblico o extorsin para

presionar a otro a realizar actividades ilegales o ilcitas.
8.02 La Administracin debe considerar los tipos de Trfico de influencias

corrupcin que pueden ocurrir en la institucin, para
proporcionar una base para la identificacin de estos Enriquecimiento ilcito
riesgos. Entre los tipos de corrupcin ms comunes se
encuentran: Peculado
Informes Financieros Fraudulentos. Consistentes en 8.03 Adems de la corrupcin, la Administracin debe

errores intencionales u omisiones de cantidades considerar que pueden ocurrir otras transgresiones a la
o revelaciones en los estados financieros para integridad, por ejemplo: el desperdicio o el abuso. El
engaar a los usuarios de los estados financieros. desperdicio es el acto de usar o gastar recursos de manera
Esto podra incluir la alteracin intencional de exagerada, extravagante o sin propsito. El abuso involucra
los registros contables, la tergiversacin de las un comportamiento deficiente o impropio, contrario al
transacciones o la aplicacin indebida y deliberada comportamiento que un servidor pblico prudente podra
de los principios y disposiciones de contabilidad. considerar como una prctica operativa razonable y
necesaria, dados los hechos y circunstancias. Esto incluye
Apropiacin indebida de activos. Entendida como el abuso de autoridad o el uso del cargo para la obtencin
el robo de activos de la institucin. Esto podra de un beneficio ilcito para s o para un tercero.
incluir el robo de la propiedad, la malversacin
de los ingresos o pagos fraudulentos. Factores de Riesgo de Corrupcin
Conflicto de intereses. Que implica la intervencin, 8.04 La Administracin debe considerar los factores
por motivo del encargo del servidor pblico, en de riesgo de corrupcin, fraude, abuso, desperdicio
la atencin, tramitacin o resolucin de asuntos y otras irregularidades. Estos factores no implican
en los que tenga inters personal, familiar o de necesariamente la existencia de un acto corrupto o
negocios. fraude, pero estn usualmente presentes cuando stos
ocurren. Este tipo de factores incluyen:
Utilizacin de los recursos asignados y las facultades
atribuidas para fines distintos a los legales. Incentivos / Presiones. La Administracin y el resto
del personal tienen un incentivo o estn bajo
Pretensin del servidor pblico de obtener presin, lo cual provee un motivo para cometer
beneficios adicionales a las contraprestaciones actos de corrupcin o fraudes.
comprobables que el Estado le otorga por el
desempeo de su funcin. Oportunidad. Existen circunstancias, como la
ausencia de controles, controles inefectivos o la
Participacin indebida del servidor pblico capacidad de determinados servidores pblicos
en la seleccin, nombramiento, designacin, para eludir controles en razn de su posicin en
contratacin, promocin, suspensin, remocin, la institucin, las cuales proveen una oportunidad
cese, rescisin del contrato o sancin de cualquier para la comisin de actos corruptos o fraudes.
servidor pblico, cuando tenga inters personal,
familiar o de negocios en el caso, o pueda derivar Actitud / Racionalizacin. El personal involucrado es
alguna ventaja o beneficio para l o para un tercero. capaz de justificar la comisin de actos corruptos,
fraudes y otras irregularidades. Algunos servidores
Aprovechamiento del cargo o comisin del pblicos poseen una actitud, carcter o valores
servidor pblico para inducir a que otro servidor ticos que les permiten efectuar intencionalmente
pblico o tercero efecte, retrase u omita realizar un acto corrupto o deshonesto.
algn acto de su competencia, que le reporte
cualquier beneficio, provecho o ventaja indebida 8.05 La Administracin debe utilizar los factores de riesgo
para s o para un tercero. para identificar los riesgos de corrupcin, fraude, abuso,
desperdicio y otras irregularidades. Si bien, el riesgo de
Coalicin con otros servidores pblicos o terceros corrupcin puede ser mayor cuando los tres factores
para obtener ventajas o ganancias ilcitas. de riesgo estn presentes, uno o ms de estos factores
34
podran indicar un riesgo de corrupcin. Tambin se 8.07 La Administracin debe responder a los
debe utilizar la informacin provista por partes internas riesgos de corrupcin, fraude, abuso, desperdicio
y externas para identificar los riesgos de corrupcin, y otras irregularidades mediante el mismo proceso
fraude, abuso, desperdicio y otras irregularidades. Lo de respuesta desarrollado para todos los riesgos
anterior incluye quejas, denuncias o sospechas de este institucionales analizados. La Administracin debe
tipo de irregularidades, reportadas por los auditores disear una respuesta general al riesgo y acciones
internos, el personal de la institucin o las partes externas especficas para atender este tipo de irregularidades.
que interactan con la institucin, entre otros. Esto posibilita la implementacin de controles anti-
corrupcin en la institucin. Dichos controles pueden
Respuesta a los Riesgos de Corrupcin incluir la reorganizacin de ciertas operaciones y la
reasignacin de puestos entre el personal para mejorar
8.06 La Administracin debe analizar y responder a la segregacin de funciones. Adems de responder a
los riesgos de corrupcin, fraude, abuso, desperdicio los riesgos de corrupcin, fraude, abuso, desperdicio
y otras irregularidades identificadas a fin de que sean y otras irregularidades, la Administracin debe
efectivamente mitigados. Estos riesgos son analizados desarrollar respuestas ms avanzadas para identificar
mediante el mismo proceso de anlisis de riesgos los riesgos relativos a que el Titular y personal de la
efectuado para todos los dems riesgos identificados. La Administracin eludan los controles. Adicionalmente,
Administracin debe analizar los riesgos de corrupcin, cuando la corrupcin, fraude, abuso, desperdicio u
fraude, abuso, desperdicio y otras irregularidades otras irregularidades han sido detectadas, es necesario
identificados mediante la estimacin de su relevancia, revisar el proceso de administracin de riesgos.
tanto individual como en su conjunto, para evaluar
su efecto en el logro de los objetivos. Como parte A los riesgos de corrupcin, fraude, abuso, desperdicio
del anlisis de riesgos, tambin se debe evaluar el y otras irregularidades no les es aplicable el concepto
riesgo de que la Administracin eluda los controles. de tolerancia al riesgo, ya que la incidencia de un acto
El rgano de Gobierno, en su caso, o el Titular debe corrupto implica necesariamente una deficiencia en
revisar que las evaluaciones y la administracin del los objetivos de cumplimiento legal. Para los objetivos
riesgo de corrupcin, fraude, abuso, desperdicio y otras de cumplimiento, la tolerancia al riesgo es cero (vase
irregularidades efectuadas por la propia Administracin, el numeral 6.09 de este Marco).
son apropiadas, as como el riesgo de que el Titular o
la Administracin eludan los controles.
Principio 9 Identificar, Analizar y Responder al Cambio

9.01 La Administracin debe identificar, analizar y interno apropiado y eficaz, y puede ser usualmente
responder a los cambios significativos que puedan pasado por alto o tratado inadecuadamente en el
impactar el control interno. curso normal de las operaciones.
Puntos de Inters 9.03 Las condiciones que afectan a la institucin y su

ambiente continuamente cambian. La Administracin
Los siguientes puntos de inters contribuyen al diseo, debe prevenir y planear acciones ante cambios
implementacin y eficacia operativa de este principio: significativos al usar un proceso prospectivo de
identificacin del cambio. Asimismo, debe identificar,
Identificacin del Cambio de manera oportuna, los cambios significativos en las
condiciones internas y externas que se han producido
Anlisis y Respuesta al Cambio o que se espera que se produzcan. Los cambios en
las condiciones internas incluyen modificaciones a los
Identificacin del Cambio programas o actividades institucionales, la funcin de
supervisin, la estructura organizacional, el personal y
9.02 Como parte de la administracin de riesgos o la tecnologa. Los cambios en las condiciones externas
un proceso similar, la Administracin debe identificar incluyen cambios en los entornos gubernamentales,
cambios que puedan impactar significativamente al econmicos, tecnolgicos, legales, regulatorios y
control interno. La identificacin, anlisis y respuesta al fsicos. Los cambios significativos identificados deben
cambio es parte del proceso regular de administracin ser comunicados al personal adecuado de la institucin
de riesgos. Sin embargo, el cambio debe ser discutido mediante las lneas de reporte y autoridad establecidas.
de manera separada, porque es crtico para un control
35
Anlisis y Respuesta al Cambio identificados en el control interno, mediante su revisin

oportuna para asegurar que es apropiado y eficaz.
9.04 Como parte de la administracin de riesgos, la 9.05 Adems, las condiciones cambiantes usualmente
Administracin debe analizar y responder a los cambios generan nuevos riesgos o cambios a los riesgos existentes,
identificados y a los riesgos asociados con stos, con el los cuales deben ser evaluados. Como parte del anlisis
propsito de mantener un control interno apropiado. Los y respuesta al cambio, la Administracin debe desarrollar
cambios en las condiciones que afectan a la institucin una evaluacin de los riesgos para identificar, analizar y
y su ambiente usualmente requieren cambios en el responder a cualquier riesgo causado por estos cambios.
control interno, ya que pueden generar que los controles Adicionalmente, los riesgos existentes podran requerir
se vuelvan ineficaces o insuficientes para alcanzar los una evaluacin ms profunda, para determinar si las
objetivos institucionales. La Administracin debe analizar tolerancias y las respuestas al riesgo definidas previamente
y responder oportunamente al efecto de los cambios a los cambios necesitan ser replanteadas.
Actividades de Control
Son las acciones que establece la Administracin
mediante polticas y procedimientos para alcanzar los
objetivos y responder a los riesgos en el control interno,
lo cual incluye los sistemas de informacin institucional.
Principios
10. La Administracin, debe disear, actualizar y

garantizar la suficiencia e idoneidad de las actividades
de control establecidas para lograr los objetivos
institucionales y responder a los riesgos. En este sentido,
es responsable de que existan controles apropiados para
hacer frente a los riesgos que se encuentran presentes
en cada uno de los procesos que realizan, incluyendo
los riesgos de corrupcin. 12. La Administracin, debe implementar las actividades
de control a travs de polticas, procedimiento y otros
11. La Administracin, debe disear los sistemas de medios de similar naturaleza, las cuales deben estar
informacin institucional y las actividades de control documentadas y formalmente establecidas. Asimismo,
asociadas, a fin de alcanzar los objetivos y responder deben ser apropiadas, suficientes e idneas para enfrentar
a los riesgos. los riesgos a los que estn expuestos sus procesos.
Principio 10 Disear Actividades de Control

10.01 La Administracin debe disear, actualizar y Diseo de Actividades de Control en Varios Niveles
garantizar la suficiencia e idoneidad de las actividades
de control para alcanzar los objetivos institucionales y Segregacin de Funciones
responder a los riesgos.
Respuesta a los Objetivos y Riesgos
Puntos de Inters
10.02 La Administracin debe disear actividades de
Los siguientes puntos de inters contribuyen al diseo, control en respuesta a los riesgos asociados con los
implementacin y eficacia operativa de este principio: objetivos institucionales, a fin de alcanzar un control
interno eficaz y apropiado. Estas actividades son las
Respuesta a los Objetivos y Riesgos polticas, procedimientos, tcnicas y mecanismos que
hacen obligatorias las directrices de la Administracin
Diseo de las Actividades de Control Apropiadas para alcanzar los objetivos e identificar los riesgos
36
asociados. Como parte del componente de ambiente Revisiones por la Administracin del desempeo actual
de control, el Titular y la Administracin deben definir
responsabilidades, asignar puestos clave y delegar La Administracin identifica los logros ms importantes
autoridad para alcanzar los objetivos. Como parte de la institucin y los compara contra los planes,
del componente de administracin de riesgos, la objetivos y metas establecidos.
Administracin debe identificar los riesgos asociados
a la institucin y a sus objetivos, incluidos los servicios Revisiones por la Administracin a nivel de funcin o
tercerizados, la tolerancia al riesgo y la respuesta a actividad
ste. La Administracin debe disear las actividades de
control para cumplir con las responsabilidades definidas La Administracin compara el desempeo actual contra
y responder apropiadamente a los riesgos. los resultados planeados o esperados en determinadas
funciones clave de la institucin, y analiza las diferencias
Diseo de Actividades de Control significativas.
Apropiadas Administracin del Capital Humano
10.03 La Administracin debe disear las actividades La gestin efectiva de la fuerza de trabajo de la
de control apropiadas para el control interno, las cuales institucin, su capital humano, es esencial para
ayudan al Titular y a la Administracin a cumplir con sus alcanzar los resultados y es una parte importante
responsabilidades y a enfrentar apropiadamente a los del control interno. El xito operativo slo es posible
riesgos identificados en el control interno. A continuacin cuando el personal adecuado para el trabajo est
se presentan de manera enunciativa, ms no limitativa, presente y ha sido provisto de la capacitacin, las
las actividades de control que pueden ser tiles para herramientas, las estructuras, los incentivos y las
la institucin: responsabilidades adecuadas. La Administracin
continuamente debe evaluar las necesidades de
Revisiones por la Administracin del desempeo conocimiento, competencias y capacidades que
actual. el personal debe tener para lograr los objetivos
institucionales. La capacitacin debe enfocarse a
Revisiones por la Administracin a nivel funcin desarrollar y retener al personal con los conocimientos,
o actividad. habilidades y capacidades para cubrir las necesidades
organizacionales cambiantes. La Administracin debe
Administracin del capital humano. proporcionar supervisin calificada y continua para
asegurar que los objetivos de control interno son
Controles sobre el procesamiento de la alcanzados. Asimismo, debe disear evaluaciones de
informacin. desempeo y retroalimentacin, complementadas
por un sistema de incentivos efectivo, lo cual ayuda
Controles fsicos sobre los activos y bienes a los empleados a entender la conexin entre su
vulnerables. desempeo y el xito de la institucin. Como parte
de la planeacin del capital humano, la Administracin
Establecimiento y revisin de normas e indicadores tambin debe considerar de qu manera retiene a los
de desempeo. empleados valiosos, cmo planea su eventual sucesin
y cmo asegura la continuidad de las competencias,
Segregacin de funciones. habilidades y capacidades necesarias.
Ejecucin apropiada de transacciones. Controles sobre el procesamiento de la informacin
Registro de transacciones con exactitud y Una variedad de actividades de control son utilizadas
oportunidad. en el procesamiento de la informacin. Los ejemplos
incluyen verificaciones sobre la edicin de datos
Restricciones de acceso a recursos y registros, as ingresados, la contabilidad de las transacciones en
como rendicin de cuentas sobre stos. secuencias numricas, la comparacin de los totales
de archivos con las cuentas de control y el control de
Documentacin y formalizacin apropiada de acceso a los datos, archivos y programas.
las transacciones y el control interno.
37
Controles fsicos sobre los activos y bienes vulnerables su inicio y autorizacin hasta su clasificacin final en
los registros. Adems, la Administracin debe disear
La Administracin debe establecer el control fsico actividades de control para contribuir a asegurar que
para asegurar y salvaguardar los bienes y activos todas las transacciones son registradas de forma
vulnerables de la institucin. Algunos ejemplos incluyen completa y precisa.
la seguridad y el acceso limitado a los activos, como
el dinero, valores, inventarios y equipos que podran ser Restricciones de acceso a recursos y registros, as como
vulnerables al riesgo de prdida o uso no autorizado. rendicin de cuentas sobre stos
La Administracin cuenta y compara peridicamente
dichos activos para controlar los registros. La Administracin debe limitar el acceso a los recursos
y registros solamente al personal autorizado; asimismo,
Establecimiento y revisin de normas e indicadores debe asignar y mantener la responsabilidad de su
de desempeo custodia y uso. Se deben conciliar peridicamente
los registros con los recursos para contribuir a reducir el
La Administracin debe establecer actividades riesgo de errores, corrupcin, fraude, abuso, desperdicio,
para revisar los indicadores. stas pueden incluir uso indebido o alteracin no autorizada.
comparaciones y evaluaciones que relacionan
diferentes conjuntos de datos entre s para que se Documentacin y formalizacin apropiada de las
puedan efectuar los anlisis de relaciones y se adopten transacciones y el control interno
las medidas correspondientes. La Administracin debe
disear controles enfocados en validar la idoneidad e La Administracin debe documentar claramente el
integridad de las normas e indicadores de desempeo, control interno y todas las transacciones y dems
a nivel institucin y a nivel individual. eventos significativos. Asimismo, debe asegurarse de
que la documentacin est disponible para su revisin.
Segregacin de funciones La documentacin y formalizacin debe realizarse con
base en las directrices emitidas por la Administracin
La Administracin debe dividir o segregar las atribuciones para tal efecto, mismas que toman la forma de polticas,
y funciones principales entre los diferentes servidores guas o lineamientos administrativos o manuales de
pblicos para reducir el riesgo de error, mal uso, corrupcin, operacin, ya sea en papel o en formato electrnico.
fraude, abuso, desperdicio y otras irregularidades. Esto La documentacin formalizada y los registros deben ser
incluye separar las responsabilidades para autorizar administrados y conservados adecuadamente, y por
transacciones, procesarlas y registrarlas, revisar las los plazos mnimos que establezcan las disposiciones
transacciones y manejar cualquier activo relacionado, legales en la materia.
de manera que ningn servidor pblico controle todos
los aspectos clave de una transaccin o evento. El control interno de la institucin debe ser flexible para
permitir a la Administracin moldear las actividades de
Ejecucin apropiada de transacciones control a sus necesidades especficas. Las actividades
de control especficas de la institucin pueden ser
Las transacciones deben ser autorizadas y ejecutadas diferentes de las que utiliza otra, como consecuencia
slo por los servidores pblicos que actan dentro del de muchos factores, los cuales pueden incluir: riesgos
alcance de su autoridad. ste es el principal medio concretos y especficos que enfrenta la institucin;
para asegurarse de que slo las transacciones vlidas su ambiente operativo; la sensibilidad y valor de los
para el intercambio, transferencia, uso u compromiso de datos incorporados a su operacin cotidiana, as como
recursos son iniciadas o efectuadas. La Administracin los requerimientos de confiabilidad, disponibilidad y
debe comunicar claramente las autorizaciones desempeo de sus sistemas.
al personal.
10.04 Las actividades de control pueden ser preventivas
Registro de transacciones con exactitud y oportunidad o detectivas. La principal diferencia entre ambas reside
en el momento en que ocurren. Una actividad de
La Administracin debe asegurarse de que las control preventiva se dirige a evitar que la institucin
transacciones se registran puntualmente para conservar falle en alcanzar un objetivo o enfrentar un riesgo. Una
su relevancia y valor para el control de las operaciones y actividad de control detectiva descubre cundo la
la toma de decisiones. Esto se aplica a todo el proceso institucin no est alcanzando un objetivo o enfrentando
o ciclo de vida de una transaccin o evento, desde un riesgo antes de que la operacin concluya, y corrige
38
las acciones para que se alcance el objetivo o se 10.10 Las actividades de control a nivel transaccin
enfrente el riesgo. son acciones integradas directamente en los procesos
operativos para contribuir al logro de los objetivos y
10.05 La Administracin debe evaluar el propsito enfrentar los riesgos asociados. El trmino transacciones
de las actividades de control, as como el efecto tiende a asociarse con procesos financieros (por
que una deficiencia tiene en el logro de los objetivos ejemplo, cuentas por pagar), mientras que el trmino
institucionales. Si tales actividades cumplen un propsito actividades se asocia generalmente con procesos
significativo o el efecto de una deficiencia en el operativos o de cumplimiento. Para fines de este
control sera relevante para el logro de los objetivos, Marco, transacciones cubre ambas definiciones.
la Administracin debe disear actividades de control La Administracin debe disear una variedad de
tanto preventivas como detectivas para esa transaccin, actividades de control de transacciones para los
proceso, unidad administrativa o funcin. procesos operativos, que pueden incluir verificaciones,
conciliaciones, autorizaciones y aprobaciones, controles
10.06 Las actividades de control deben implementarse fsicos y supervisin.
ya sea de forma automatizada o manual. Las primeras
estn total o parcialmente automatizadas mediante 10.11Al elegir entre actividades de control a nivel
tecnologas de informacin; mientras que las manuales institucin o de transaccin, la Administracin debe
son realizadas con menor uso de las tecnologas de evaluar el nivel de precisin necesario para que la
informacin. Las actividades de control automatizadas institucin cumpla con sus objetivos y enfrente los
tienden a ser ms confiables, ya que son menos riesgos relacionados. Para determinar el nivel de
susceptibles a errores humanos y suelen ser ms precisin necesario para las actividades de control,
eficientes. Si las operaciones en la institucin descansan la Administracin debe evaluar:
en tecnologas de informacin, la Administracin debe
disear actividades de control para asegurar que dichas Propsito de las actividades de control. Cuando
tecnologas se mantienen funcionando correctamente se trata de prevencin o deteccin, la actividad
y son apropiadas para el tamao, caractersticas y de control es, en general, ms precisa que una
mandato de la institucin. que solamente identifica diferencias y las explica.
Diseo de Actividades de Control Nivel de agregacin. Una actividad de control

que se desarrolla a un nivel de mayor detalle
en Varios Niveles generalmente es ms precisa que la realizada
a un nivel general. Por ejemplo, un anlisis
10.07 La Administracin debe disear actividades de las obligaciones por rengln presupuestal
de control en los niveles adecuados de la estructura normalmente es ms preciso que un anlisis de
organizacional. las obligaciones totales de la institucin.
10.08 La Administracin debe disear actividades de Regularidad del control. Una actividad de control
control para asegurar la adecuada cobertura de los rutinaria y consistente es generalmente ms
objetivos y los riesgos en las operaciones. Los procesos precisa que la realizada de forma espordica.
operativos transforman las entradas en salidas para
lograr los objetivos institucionales. La Administracin Correlacin con los procesos operativos
debe disear actividades de control a nivel institucin, pertinentes. Una actividad de control directamente
a nivel transaccin o ambos, dependiendo del nivel relacionada con un proceso operativo tiene
necesario para garantizar que la institucin cumpla generalmente mayor probabilidad de prevenir
con sus objetivos y conduzca los riesgos relacionados. o detectar deficiencias que aquella que est
relacionada slo indirectamente.
10.09 Los controles a nivel institucin son controles que
tienen un efecto generalizado en el control interno y Segregacin de Funciones
pueden relacionarse con varios componentes. Estos
controles pueden incluir controles relacionados con el 10.12 La Administracin debe considerar la segregacin
componente de administracin de riesgos, el ambiente de funciones en el diseo de las responsabilidades
de control, la funcin de supervisin, los servicios de las actividades de control para garantizar que las
tercerizados y la elusin de controles. funciones incompatibles sean segregadas y, cuando
dicha segregacin no sea prctica, debe disear
39
actividades de control alternativas para enfrentar los elusin de controles cuenta con mayores posibilidades
riesgos asociados. de ocurrencia cuando diversas responsabilidades,
incompatibles entre s, las realiza un solo servidor pblico.
10.13 La segregacin de funciones contribuye a prevenir La Administracin debe abordar este riesgo a travs de
corrupcin, fraudes, desperdicio y abusos en el control la segregacin de funciones, pero no puede impedirlo
interno. La Administracin debe considerar la necesidad absolutamente, debido al riesgo de colusin en el que
de separar las actividades de control relacionadas con dos o ms servidores pblicos se confabulan para
la autorizacin, custodia y registro de las operaciones eludirlos controles.
para lograr una adecuada segregacin de funciones.
En particular, la segregacin permite hacer frente al 10.14 Si la segregacin de funciones no es prctica
riesgo de elusin de controles. Si la Administracin, en un proceso operativo debido a personal limitado
tiene la posibilidad de eludir las actividades de u otros factores, la Administracin debe disear
control, dicha situacin se constituye en un posible actividades de control alternativas para enfrentar el
medio para la realizacin de actos corruptos y genera riesgo de corrupcin, fraude, desperdicio o abuso en
que el control interno no sea apropiado ni eficaz. La los procesos operativos.
Principio 11 Disear Actividades para los Sistemas

de Informacin
11.01 La Administracin debe disear los sistemas de apropiadamente la informacin relativa a cada uno
informacin institucional y las actividades de control de los procesos operativos. Dichos sistemas contribuyen
asociadas, a fin de alcanzar los objetivos y responder a alcanzar los objetivos institucionales y a responder
a los riesgos. a los riesgos asociados. Un sistema de informacin
se integra por el personal, los procesos, los datos y la
Puntos de Inters tecnologa, organizados para obtener, comunicar o
disponer de la informacin. Asimismo, debe representar
Los siguientes puntos de inters contribuyen al diseo, el ciclo de vida de la informacin utilizada para los
implementacin y eficacia operativa de este principio: procesos operativos, que permita a la institucin obtener,
almacenar y procesar informacin de calidad.
Desarrollo de los Sistemas de Informacin
Un sistema de informacin debe incluir tanto procesos
Diseo de los Tipos de Actividades de Control manuales como automatizados. Los procesos
Apropiadas automatizados se conocen comnmente como las
Tecnologas de Informacin y Comunicaciones (TIC).
Diseo de la Infraestructura de las TIC
Como parte del componente de ambiente de control,
Diseo de la Administracin de la Seguridad la Administracin debe definir las responsabilidades,
asignarlas a los puestos clave y delegar autoridad para
Diseo de la Adquisicin, Desarrollo y Mantenimiento lograr los objetivos. Como parte del componente de
de las TIC administracin de riesgos, la Administracin debe
identificar los riesgos relacionados con la institucin
Desarrollo de los Sistemas y sus objetivos, incluyendo los servicios tercerizados,
la tolerancia al riesgo y las respuestas a stos. La
de Informacin Administracin debe disear actividades de control
para cumplir con las responsabilidades definidas y
11.02 La Administracin debe desarrollar los sistemas generar las respuestas a los riesgos identificados en
de informacin de manera tal que se cumplan los los sistemas de informacin.
objetivos institucionales y se responda apropiadamente
a los riesgos asociados. 11.04 La Administracin debe desarrollar los sistemas
de informacin y el uso de las TIC considerando
11.03 La Administracin debe desarrollar los sistemas las necesidades de informacin definidas para los
de informacin de la institucin para obtener y procesar procesos operativos de la institucin. Las TIC permiten
40
que la informacin relacionada con los procesos 11.08 Los controles de aplicacin, a veces llamados
operativos est disponible de la forma ms oportuna controles de procesos de operacin, son los controles
y confiable para la institucin. Adicionalmente, las TIC que se incorporan directamente en las aplicaciones
pueden fortalecer el control interno sobre la seguridad informticas para contribuir a asegurar la validez,
y la confidencialidad de la informacin mediante integridad, exactitud y confidencialidad de las
una adecuada restriccin de accesos. Aunque las transacciones y los datos durante el proceso de las
TIC conllevan tipos especficos de actividades de aplicaciones. Los controles de aplicacin deben incluir
control, no representan una consideracin de control las entradas, el procesamiento, las salidas, los archivos
independiente, sino que son parte integral de la maestros, las interfaces y los controles para los sistemas
mayora de las actividades de control. de administracin de datos, entre otros.
11.05 La Administracin tambin debe evaluar los Diseo de la Infraestructura de las TIC
objetivos de procesamiento de informacin para
satisfacer las necesidades de informacin definidas. 11.09 La Administracin debe disear las actividades de
Los objetivos de procesamiento de informacin control sobre la infraestructura de las TIC para soportar la
pueden incluir: integridad, exactitud y validez del procesamiento de la
informacin mediante el uso de TIC. Las TIC requieren de
Integridad. Se encuentran presentes todas las una infraestructura para operar, incluyendo las redes de
transacciones que deben estar en los registros. comunicacin para vincularlas, los recursos informticos
para las aplicaciones y la electricidad. La infraestructura
Exactitud. Las transacciones se registran por el de TIC de la institucin puede ser compleja y puede
importe correcto, en la cuenta correcta, y de ser compartida por diferentes unidades dentro de la
manera oportuna en cada etapa del proceso. misma o tercerizada. La Administracin debe evaluar los
objetivos de la institucin y los riesgos asociados al diseo
Validez. Las transacciones registradas representan de las actividades de control sobre la infraestructura
eventos econmicos que realmente ocurrieron y de las TIC.
fueron ejecutados conforme a los procedimientos
establecidos. 11.10 La Administracin debe mantener la evaluacin
de los cambios en el uso de las TIC y debe disear
Diseo de los Tipos de Actividades nuevas actividades de control cuando estos cambios
se incorporan en la infraestructura de las TIC. La
de Control Apropiadas administracin tambin debe disear actividades de
control necesarias para mantener la infraestructura
11.06 La Administracin debe disear actividades de de las TIC. El mantenimiento de la tecnologa debe
control apropiadas en los sistemas de informacin para incluir los procedimientos de respaldo y recuperacin,
garantizar la cobertura de los objetivos de procesamiento as como la continuidad de los planes de operacin,
de la informacin en los procesos operativos. En los en funcin de los riesgos y las consecuencias de una
sistemas de informacin, existen dos tipos principales interrupcin total o parcial de los sistemas de energa,
de actividades de control: generales y de aplicacin. entre otros.
11.07 Los controles generales (a nivel institucin, Diseo de la Administracin

de sistemas y de aplicaciones) son las polticas y
procedimientos que se aplican a la totalidad o a un de la Seguridad
segmento de los sistemas de informacin. Los controles
generales fomentan el buen funcionamiento de los 11.11La Administracin debe disear actividades de
sistemas de informacin mediante la creacin de un control para la gestin de la seguridad sobre los sistemas
entorno apropiado para el correcto funcionamiento de informacin con el fin de garantizar el acceso
de los controles de aplicacin. Los controles generales adecuado, de fuentes internas y externas a stos. Los
deben incluir la administracin de la seguridad, acceso objetivos para la gestin de la seguridad deben incluir
lgico y fsico, administracin de la configuracin, la confidencialidad, la integridad y la disponibilidad.
segregacin de funciones, planes de continuidad y La confidencialidad significa que los datos, informes
planes de recuperacin de desastres, entre otros. y dems salidas estn protegidos contra el acceso
41
no autorizado. Integridad significa que la informacin La Administracin debe disear otras actividades de
es protegida contra su modificacin o destruccin control para actualizar los derechos de acceso, cuando
indebida, incluidos la irrefutabilidad y autenticidad de los empleados cambian de funciones o dejan de
la informacin. Disponibilidad significa que los datos, formar parte de la institucin. Tambin debe disear
informes y dems informacin pertinente se encuentra controles de derechos de acceso cuando los diferentes
lista y accesible para los usuarios cuando sea necesario. elementos de las TIC estn conectados entre s.
11.12 La gestin de la seguridad debe incluir los Diseo de la Adquisicin, Desarrollo

procesos de informacin y las actividades de control
relacionadas con los permisos de acceso a las TIC, y Mantenimiento de las TIC
incluyendo quin tiene la capacidad de ejecutar
transacciones. La gestin de la seguridad debe incluir los 11.15 La Administracin debe disear las actividades de
permisos de acceso a travs de varios niveles de datos, control para la adquisicin, desarrollo y mantenimiento
el sistema operativo (software del sistema), la red de de las TIC. La Administracin puede utilizar un modelo
comunicacin, aplicaciones y segmentos fsicos, entre de Ciclo de Vida del Desarrollo de Sistemas (CVDS)
otros. La Administracin debe disear las actividades de en el diseo de las actividades de control. El CVDS
control sobre permisos para proteger a la institucin del proporciona una estructura para un nuevo diseo de
acceso inapropiado y el uso no autorizado del sistema. las TIC al esbozar las fases especficas y documentar los
Estas actividades de control apoyan la adecuada requisitos, aprobaciones y puntos de revisin dentro de
segregacin de funciones. Mediante la prevencin las actividades de control sobre la adquisicin, desarrollo
del uso no autorizado y la realizacin de cambios al y mantenimiento de la tecnologa. A travs del CVDS, la
sistema, los datos y la integridad de los programas estn Administracin debe disear las actividades de control
protegidos contra errores y acciones mal intencionadas sobre los cambios en la tecnologa. Esto puede implicar
(por ejemplo, que personal no autorizado irrumpa en la el requerimiento de autorizacin para realizar solicitudes
tecnologa para cometer actos de corrupcin, fraude de cambio, la revisin de los cambios, las aprobaciones
o vandalismo). correspondientes y los resultados de las pruebas, as
como el diseo de protocolos para determinar si los
11.13 La Administracin debe evaluar las amenazas cambios se han realizado correctamente. Dependiendo
de seguridad a las TIC, tanto de fuentes internas como del tamao y complejidad de la institucin, el desarrollo
externas. Las amenazas externas son especialmente y los cambios en las TIC pueden ser incluidos en el
importantes para las instituciones que dependen de CVDS o en metodologas distintas. La Administracin
las redes de telecomunicaciones e Internet. Este tipo debe evaluar los objetivos y los riesgos de las nuevas
de amenazas se han vuelto frecuentes en el entorno tecnologas en el diseo de las actividades de control
institucional y empresarial altamente interconectado sobre el CVDS.
de hoy, y requiere un esfuerzo continuo para enfrentar
estos riesgos. Las amenazas internas pueden provenir 11.16 La Administracin puede adquirir software de TIC,
de exempleados o empleados descontentos, quienes por lo que debe incorporar metodologas para esta
plantean riesgos nicos, ya que pueden ser a la vez accin y debe disear actividades de control sobre
motivados para actuar en contra de la institucin y estn su seleccin, desarrollo continuo y mantenimiento.
mejor preparados para tener xito en la realizacin Las actividades de control sobre el desarrollo,
de un acto malicioso, al tener la posibilidad de un mantenimiento y cambio en el software de aplicaciones
mayor acceso y el conocimiento sobre los sistemas previenen la existencia de programas o modificaciones
de administracin de la seguridad de la institucin y no autorizados.
sus procesos.
11.17 Otra alternativa es la contratacin de servicios
11.14 La Administracin debe disear actividades de tercerizados para el desarrollo de las TIC. En cuanto a un
control para limitar el acceso de los usuarios a las TIC CVDS desarrollado internamente, la Administracin debe
a travs de controles como la asignacin de claves de disear actividades de control para lograr los objetivos
acceso y dispositivos de seguridad para autorizacin de y enfrentar los riesgos relacionados. La Administracin
usuarios. Estas actividades de control deben restringir tambin debe evaluar los riesgos que la utilizacin de
a los usuarios autorizados el uso de las aplicaciones servicios tercerizados representa para la integridad,
o funciones acordes con sus responsabilidades exactitud y validez de la informacin presentada a los
asignadas; asimismo, la Administracin debe promover servicios tercerizados y ofrecida por stos.
la adecuada segregacin de funciones.
42
La Administracin debe documentar y formalizar el criterios en materia de TIC. Asimismo, debe supervisar,
anlisis y definicin, respecto del desarrollo de sistemas continua y exhaustivamente, los desarrollos contratados
automatizados, la adquisicin de tecnologa, el soporte y el desempeo de la tecnologa adquirida, a efecto
y las instalaciones fsicas, previo a la seleccin de de asegurar que los entregables se proporcionen en
proveedores que renan requisitos y cumplan los tiempo y los resultados correspondan a lo planeado.
Principio 12 Implementar Actividades de Control

12.01 La Administracin debe implementar las 12.04 El personal de las unidades que ocupa puestos
actividades de control a travs de polticas, clave puede definir con mayor amplitud las polticas a
procedimientos y otros medios de similar naturaleza. travs de los procedimientos del da a da, dependiendo
de la frecuencia del cambio en el entorno operativo y la
Puntos de Inters complejidad del proceso operativo. Los procedimientos
pueden incluir el periodo de ocurrencia de la actividad
Los siguientes puntos de inters contribuyen al diseo, de control y las acciones correctivas de seguimiento a
implementacin y eficacia operativa de este principio: realizar por el personal competente en caso de detectar
deficiencias. La Administracin debe comunicar al
D o c u m e n t a c i n y Fo r m a l i z a c i n de personal las polticas y procedimientos para que ste
Responsabilidades a travs de Polticas pueda implementar las actividades de control respecto
de las responsabilidades que tiene asignadas.
Revisiones Peridicas a las Actividades de Control
Revisiones Peridicas a las Actividades
Documentacin y Formalizacin de
de Control
Responsabilidades a travs de Polticas
12.05 La Administracin debe revisar peridicamente
12.02 La Administracin debe documentar, a travs de las polticas, procedimientos y actividades de control
polticas, manuales, lineamientos y otros documentos asociadas para mantener la relevancia y eficacia en
de naturaleza similar las responsabilidades de control el logro de los objetivos o en el enfrentamiento de sus
interno en la institucin. riesgos. Si se genera un cambio significativo en los
procesos de la institucin, la Administracin debe revisar
12.03 La Administracin debe documentar mediante este proceso de manera oportuna, para garantizar
polticas para cada unidad su responsabilidad sobre que las actividades de control estn diseadas e
el cumplimiento de los objetivos de los procesos, de implementadas adecuadamente. Pueden ocurrir
sus riesgos asociados, del diseo de actividades de cambios en el personal, los procesos operativos o las
control, de la implementacin de los controles y de tecnologas de informacin. Las diversas instancias
su eficacia operativa. Cada unidad determina el legislativas gubernamentales, en sus mbitos de
nmero de las polticas necesarias para el proceso competencia, as como otros rganos reguladores
operativo que realiza, basndose en los objetivos y tambin pueden emitir disposiciones y generar
los riesgos relacionados a stos, con la orientacin cambios que impacten los objetivos institucionales o
de la Administracin. Cada unidad tambin debe la manera en que la institucin logra un objetivo. La
documentar las polticas con un nivel eficaz, apropiado Administracin debe considerar estos cambios en sus
y suficiente de detalle para permitir a la Administracin revisiones peridicas.
la supervisin apropiada de las actividades de control.
43
Informacin y Comunicacin
La Administracin utiliza informacin de calidad
para respaldar el control interno. La informacin y
comunicacin eficaces son vitales para la consecucin
de los objetivos institucionales. La Administracin requiere
tener acceso a comunicaciones relevantes y confiables
en relacin con los eventos internos y externos.
Principios
13. La Administracin, debe implementar los medios

que permitan a las unidades administrativas
generar y utilizar informacin pertinente y de
calidad para la consecucin de los objetivos
institucionales.
14. La Administracin, es responsable de que

las unidades administrativas comuniquen
internamente, por los canales apropiados y de
conformidad con las disposiciones aplicables, la
informacin de calidad necesaria para contribuir
a la consecucin de los objetivos institucionales. externamente, por los canales apropiados y de
conformidad con las disposiciones aplicables, la
15. La Administracin, es responsable de que informacin de calidad necesaria para contribuir
las unidades administrativas comuniquen a la consecucin de los objetivos institucionales.
Principio 13 Usar Informacin de Calidad

13.01 La Administracin debe utilizar informacin informacin necesarios para alcanzarlos y enfrentarlos,
de calidad para la consecucin de los objetivos respectivamente. Estos requerimientos deben considerar
institucionales. las expectativas de los usuarios internos y externos. La
Administracin debe definir los requisitos de informacin
Puntos de Inters con puntualidad suficiente y apropiada, as como con
la especificidad requerida para el personal pertinente.
implementacin y eficacia operativa de este principio: 13.03 La Administracin debe identificar los
requerimientos de informacin en un proceso continuo
Identificacin de los Requerimientos de que se desarrolla en todo el control interno. Conforme
Informacin ocurre un cambio en la institucin, en sus objetivos y
riesgos, la Administracin debe modificar los requisitos
Datos Relevantes de Fuentes Confiables de informacin segn sea necesario para cumplir con
los objetivos y hacer frente a los riesgos modificados.
Datos Procesados en Informacin de Calidad
Datos Relevantes de Fuentes Confiables
Identificacin de los Requerimientos
13.04 La Administracin debe obtener datos relevantes
de Informacin de fuentes confiables tanto internas como externas,
de manera oportuna, y en funcin de los requisitos
13.02 La Administracin debe disear un proceso de informacin identificados y establecidos. Los datos
que considere los objetivos institucionales y los riesgos relevantes tienen una conexin lgica con los requisitos
asociados a stos, para identificar los requerimientos de de informacin identificados y establecidos. Las fuentes
44
internas y externas confiables proporcionan datos de fuentes confiables. La informacin de calidad debe
que son razonablemente libres de errores y sesgos. La ser apropiada, veraz, completa, exacta, accesible y
Administracin debe evaluar los datos provenientes proporcionada de manera oportuna. La Administracin
de fuentes internas y externas, para asegurarse de que debe considerar estas caractersticas, as como los
son confiables. Las fuentes de informacin pueden objetivos de procesamiento, al evaluar la informacin
relacionarse con objetivos operativos, financieros o procesada; tambin debe efectuar revisiones cuando
de cumplimiento. La Administracin debe obtener los sea necesario, a fin de garantizar que la informacin es
datos en forma oportuna con el fin de que puedan ser de calidad. La Administracin debe utilizar informacin
utilizados de manera apropiada. Su utilizacin debe de calidad para tomar decisiones informadas y evaluar
ser supervisada. el desempeo institucional en cuanto al logro de sus
objetivos clave y el enfrentamiento de sus riesgos
Datos Procesados en Informacin asociados.
de Calidad 13.06 La Administracin debe procesar datos relevantes

a partir de fuentes confiables y transformarlos en
13.05 La Administracin debe procesar los datos informacin de calidad dentro de los sistemas de
obtenidos y transformarlos en informacin de calidad informacin de la institucin. Un sistema de informacin
que apoye al control interno. Esto implica procesarla se encuentra conformado por el personal, los procesos,
para asegurar que se trata de informacin de calidad. los datos y la tecnologa utilizada, organizados para
La calidad de la informacin se logra al utilizar datos obtener, comunicar o disponer de la informacin.
Principio 14 Comunicar Internamente

14.01 La Administracin debe comunicar internamente 14.04 La Administracin debe recibir informacin de
la informacin de calidad necesaria para la consecucin calidad sobre los procesos operativos de la institucin, la
de los objetivos institucionales. cual fluye por las lneas de reporte y autoridad apropiadas
para que el personal apoye a la Administracin en la
Puntos de Inters consecucin de los objetivos institucionales.
Los siguientes puntos de inters contribuyen al diseo, 14.05 El rgano de Gobierno, en su caso, o el Titular
implementacin y eficacia operativa de este principio: debe recibir informacin de calidad que fluya hacia
arriba por las lneas de reporte, proveniente de la
Comunicacin en Toda la Institucin Administracin y dems personal. La informacin
relacionada con el control interno que es comunicada
Mtodos Apropiados de Comunicacin al rgano de Gobierno o al Titular, debe incluir asuntos
importantes acerca de la adhesin, cambios o
Comunicacin en Toda la Institucin asuntos emergentes en materia de control interno.
La comunicacin ascendente es necesaria para la
14.02 La Administracin debe comunicar informacin vigilancia efectiva del control interno.
de calidad en toda la institucin utilizando las lneas
de reporte y autoridad establecidas. Tal informacin 14.06 Cuando las lneas de reporte directas se ven
debe comunicarse hacia abajo, lateralmente y hacia comprometidas, el personal utiliza lneas separadas para
arriba, mediante lneas de reporte, es decir, en todos comunicarse de manera ascendente. Las disposiciones
los niveles de la institucin. jurdicas y normativas, as como las mejores prcticas
internacionales, pueden requerir a las instituciones
14.03 La Administracin debe comunicar informacin establecer lneas de comunicacin separadas, como
de calidad hacia abajo y lateralmente a travs de las lneas ticas de denuncia, para la comunicacin de
lneas de reporte y autoridad para permitir que el personal informacin confidencial o sensible. La Administracin
desempee funciones clave en la consecucin de objetivos, debe informar a los empleados sobre estas lneas
enfrentamiento de riesgos, prevencin de la corrupcin separadas, la manera en que funcionan, cmo
y apoyo al control interno. En estas comunicaciones, la utilizarlas y cmo se mantendr la confidencialidad de
Administracin debe asignar responsabilidades de control la informacin y, en su caso, el anonimato de quienes
interno para las funciones clave. aporten informacin.
45
Mtodos Apropiados de Comunicacin
14.07 La Administracin debe seleccionar mtodos Los requisitos legales o reglamentarios. Los
apropiados para comunicarse internamente. Asimismo, mandatos contenidos en las leyes y regulaciones
debe considerar una serie de factores en la seleccin que pueden impactar la comunicacin.
de los mtodos apropiados de comunicacin, entre
los que se encuentran: 14.08 Con base en la consideracin de los factores,
la Administracin debe seleccionar mtodos de
Audiencia. Los destinatarios de la comunicacin. comunicacin apropiados, como documentos escritos,
ya sea en papel o en formato electrnico, o reuniones
Naturaleza de la informacin. El propsito y el con el personal. Asimismo, debe evaluar peridicamente
tipo de informacin que se comunica. los mtodos de comunicacin de la institucin para
asegurar que cuenta con las herramientas adecuadas
Disponibilidad. La informacin est a disposicin para comunicar internamente informacin de calidad
de los diversos interesados cuando es necesaria. de manera oportuna.
Costo. Los recursos utilizados para comunicar la

informacin.
Principio 15 Comunicar Externamente

15.01 La institucin debe comunicar externamente la 15.04 La Administracin debe recibir informacin
informacin de calidad necesaria para la consecucin de partes externas a travs de las lneas de reporte
de los objetivos institucionales. establecidas y autorizadas. La informacin comunicada
a la Administracin debe incluir los asuntos significativos
Puntos de Inters relativos a los riesgos, cambios o problemas que afectan
al control interno, entre otros. Esta comunicacin es
Los siguientes puntos de inters contribuyen al diseo, necesaria para el funcionamiento eficaz y apropiado
implementacin y eficacia operativa de este principio: del control interno. La Administracin debe evaluar la
informacin externa recibida contra las caractersticas
Comunicacin con Partes Externas de la informacin de calidad y los objetivos del
procesamiento de la informacin; en su caso, debe
Mtodos Apropiados de Comunicacin tomar acciones para asegurar que la informacin
recibida sea de calidad.
Comunicacin con Partes Externas
15.05 El rgano de Gobierno, en su caso, o el Titular
15.02 La Administracin debe comunicar a las partes debe recibir informacin de partes externas a travs
externas, y obtener de stas, informacin de calidad, de las lneas de reporte establecidas y autorizadas. La
utilizando las lneas de reporte establecidas. Las lneas informacin comunicada al rgano de Gobierno o al
abiertas y bidireccionales de reporte con partes externas Titular, debe incluir asuntos importantes relacionados
permiten esta comunicacin. Las partes externas con los riesgos, cambios o problemas que impactan
incluyen, entre otros, a los proveedores, contratistas, al control interno, entre otros. Esta comunicacin es
servicios tercerizados, reguladores, auditores externos, necesaria para la vigilancia eficaz y apropiada del
instituciones gubernamentales y el pblico en general. control interno.
15.03 La Administracin debe comunicar informacin de 15.06 Cuando las lneas de reporte directas se ven
calidad externamente a travs de las lneas de reporte. comprometidas, las partes externas utilizan lneas
De ese modo, las partes externas pueden contribuir a la separadas para comunicarse con la institucin. Las
consecucin de los objetivos institucionales y a enfrentar disposiciones jurdicas y normativas, as como las
sus riesgos asociados. La Administracin debe incluir mejores prcticas internacionales pueden requerir
en esta informacin la comunicacin relativa a los a las instituciones establecer lneas separadas de
eventos y actividades que impactan el control interno. comunicacin, como lneas ticas de denuncia,
46
para comunicar informacin confidencial o sensible. Los requisitos legales o reglamentarios. Los
La Administracin debe informar a las partes externas mandatos contenidos en las leyes y regulaciones
sobre estas lneas separadas, la manera en que que pueden impactar la comunicacin.
funcionan, cmo utilizarlas y cmo se mantendr la
confidencialidad de la informacin y, en su caso, el 15.08 Con base en la consideracin de los factores,
anonimato de quienes aporten informacin. la Administracin debe seleccionar mtodos de
comunicacin apropiados, como documentos
escritos, ya sea en papel o formato electrnico, o
Mtodos Apropiados de Comunicacin reuniones con el personal. De igual manera, debe
evaluar peridicamente los mtodos de comunicacin
15.07 La Administracin debe seleccionar mtodos de la institucin para asegurar que cuenta con las
apropiados para comunicarse externamente. Asimismo, herramientas adecuadas para comunicar externamente
debe considerar una serie de factores en la seleccin informacin de calidad de manera oportuna.
de mtodos apropiados de comunicacin, entre los
que se encuentran: 15.09 Las instituciones del sector pblico, de acuerdo
con el Poder al que pertenezcan y el orden de gobierno
Audiencia. Los destinatarios de la comunicacin. en el que se encuadren, deben comunicar sobre su
desempeo a distintas instancias y autoridades, de
Naturaleza de la informacin. El propsito y el acuerdo con las disposiciones aplicables. De manera
tipo de informacin que se comunica adicional, todas las instituciones gubernamentales deben
rendir cuentas a la ciudadana sobre su actuacin y
Disponibilidad. La informacin est a disposicin desempeo. La Administracin debe tener en cuenta
de los diversos interesados cuando es necesaria. los mtodos apropiados para comunicarse con una
audiencia tan amplia.
Costo. Los recursos utilizados para comunicar la
informacin.
Supervisin
Finalmente, dado que el control interno es un proceso 17. La Administracin, es responsable de corregir
dinmico que tiene que adaptarse continuamente a los oportunamente las deficiencias de control
riesgos y cambios a los que se enfrenta la institucin, la interno detectadas.
supervisin del control interno es esencial para contribuir
a asegurar que el control interno se mantiene alineado
con los objetivos institucionales, el entorno operativo, Objetivos y Componentes
las disposiciones jurdicas aplicables, los recursos
asignados y los riesgos asociados al cumplimiento
de los objetivos, todos ellos en constante cambio.
La supervisin del control interno permite evaluar la
calidad del desempeo en el tiempo y asegura que
los resultados de las auditoras y de otras revisiones se
atiendan con prontitud. Las acciones correctivas son
un complemento necesario para las actividades de
control, con el fin de alcanzar los objetivos institucionales.
Principios
16. La Administracin, debe establecer actividades

para la adecuada supervisin del control
interno y la evaluacin de sus resultados.
47
Principio 16 - Realizar Actividades de Supervisin
16.01 La Administracin debe establecer las actividades 16.05 La Administracin debe establecer
de supervisin del control interno y evaluar sus resultados. autoevaluaciones al diseo y eficacia operativa del control
interno como parte del curso normal de las operaciones.
Las autoevaluaciones incluyen actividades de supervisin
Puntos de Inters permanente por parte de la Administracin, comparaciones,
conciliaciones y otras acciones de rutina. Estas evaluaciones
Los siguientes puntos de inters contribuyen al diseo, pueden incluir herramientas automatizadas, las cuales
implementacin y eficacia operativa de este principio: permiten incrementar la objetividad y la eficiencia de los
resultados mediante la recoleccin electrnica de las
Establecimiento de Bases de Referencia evaluaciones a los controles y transacciones.
Supervisin del Control Interno 16.06 La Administracin debe incorporar evaluaciones

independientes para supervisar el diseo y la eficacia
Evaluacin de Resultados operativa del control interno en un momento determinado,
o de una funcin o proceso especfico. El alcance
Establecimiento de Bases de Referencia y la frecuencia de las evaluaciones independientes
dependen, principalmente, de la administracin de
16.02 La Administracin debe establecer bases de riesgos, la eficacia del monitoreo permanente y la
referencia para supervisar el control interno. Estas bases frecuencia de cambios dentro de la institucin y en
comparan el estado actual del control interno contra el su entorno. Las evaluaciones independientes pueden
diseo efectuado por la Administracin. Las bases de tomar la forma de autoevaluaciones, las cuales incluyen
referencia representan la diferencia entre los criterios de a la evaluacin entre pares; talleres conformados por
diseo del control interno y el estado del control interno en un los propios servidores pblicos y moderados por un
punto especfico en el tiempo. En otras palabras, las lneas facilitador externo especializado, o evaluaciones de
o bases de referencia revelan debilidades y deficiencias funciones cruzadas, entre otros.
detectadas en el control interno de la institucin.
16.07 Las evaluaciones independientes tambin
16.03 Una vez establecidas las bases de referencia, incluyen auditoras y otras evaluaciones que pueden
la Administracin debe utilizarlas como criterio en implicar la revisin del diseo de los controles y la prueba
la evaluacin del control interno, y debe realizar directa a la implementacin del control interno. Estas
cambios para reducir la diferencia entre las bases y auditoras y otras evaluaciones pueden ser obligatorias,
las condiciones reales. La Administracin puede reducir de conformidad con las disposiciones jurdicas, y son
esta diferencia de dos maneras. Por una parte, puede realizadas por auditores gubernamentales internos,
cambiar el diseo del control interno para enfrentar auditores externos, entidades fiscalizadoras y otros
mejor los objetivos y los riesgos institucionales y, por la revisores externos. Las evaluaciones independientes
otra, puede mejorar la eficacia operativa del control proporcionan una mayor objetividad cuando son
interno. Como parte de la supervisin, la Administracin realizadas por revisores que no tienen responsabilidad
debe determinar cundo revisar las bases de referencia, en las actividades que se estn evaluando.
mismas que servirn para evaluaciones de control
interno subsecuentes. 16.08 La Administracin conserva la responsabilidad
de supervisar si el control interno es eficaz y apropiado
Supervisin del Control Interno para los procesos asignados a los servicios tercerizados.
Tambin debe utilizar autoevaluaciones, evaluaciones
16.04 La Administracin debe supervisar el control independientes o una combinacin de ambas para
interno a travs de autoevaluaciones y evaluaciones obtener una seguridad razonable sobre la eficacia
independientes. Las autoevaluaciones estn integradas operativa de los controles internos respecto los
a las operaciones de la institucin, se realizan procesos asignados a los servicios tercerizados. Estas
continuamente y responden a los cambios. Las actividades de seguimiento relacionadas con los
evaluaciones independientes se utilizan peridicamente servicios tercerizados pueden ser realizadas ya sea
y pueden proporcionar informacin respecto de la por la propia Administracin, o por personal externo, y
eficacia e idoneidad de las autoevaluaciones. revisadas posteriormente por la Administracin.
48
Evaluacin de Resultados
16.09 La Administracin debe evaluar y documentar los cambios que son necesarios implementar, derivados
resultados de las autoevaluaciones y de las evaluaciones de modificaciones en la institucin y en su entorno.
independientes para identificar problemas en el control Las partes externas tambin pueden contribuir con la
interno. Asimismo, debe utilizar estas evaluaciones para Administracin a identificar problemas en el control
determinar si el control interno es eficaz y apropiado. interno. Por ejemplo, las quejas o denuncias de la
Las diferencias entre los resultados de las actividades ciudadana y el pblico en general, o de los cuerpos
de supervisin y las bases de referencia pueden indicar revisores o reguladores externos, pueden indicar
problemas de control interno, incluidos los cambios al reas en el control interno que necesitan mejorar. La
control interno no documentados o posibles deficiencias Administracin debe considerar si los controles actuales
de control interno. hacen frente de manera apropiada a los problemas
identificados y, en su caso, modificar los controles.
16.10 La Administracin debe identificar los cambios
que han ocurrido en el control interno, o bien los
Principio 17 Evaluar los Problemas y Corregir las Deficiencias

17.01La Administracin debe corregir de manera institucin y recaen sobre los servicios tercerizados,
oportuna las deficiencias de control interno identificadas. contratistas o proveedores.
Puntos de Inters Problemas que no pueden corregirse debido

a intereses de la Administracin, como la
Los siguientes puntos de inters contribuyen al diseo, informacin confidencial o sensible sobre actos
implementacin y eficacia operativa de este principio: de corrupcin, fraudes, abuso, desperdicio u otros
actos ilegales.
Informe sobre Problemas
17.04 En funcin de los requisitos legales o de
Evaluacin de Problemas cumplimiento, la institucin tambin puede requerir
informar de los problemas a los terceros pertinentes,
Acciones Correctivas tales como legisladores, reguladores, organismos
normativos y dems encargados de la emisin de
Informe sobre Problemas criterios y disposiciones normativas a las que la institucin
est sujeta.
17.02 Todo el personal debe reportar a las partes
internas y externas adecuadas los problemas de control Evaluacin de Problemas
interno que haya detectado, mediante las lneas de
reporte establecidas, para que la Administracin, las 17.05 La Administracin debe evaluar y documentar
unidades especializadas, en su caso, y las instancias de los problemas de control interno y debe determinar
supervisin, evalen oportunamente dichas cuestiones. las acciones correctivas apropiadas para hacer
frente oportunamente a los problemas y deficiencias
17.03 El personal puede identificar problemas de control detectadas. Tambin debe evaluar los problemas que
interno en el desempeo de sus responsabilidades. han sido identificados mediante sus actividades de
Asimismo, debe comunicar estas cuestiones supervisin o a travs de la informacin proporcionada
internamente al personal en la funcin clave por el personal, y debe determinar si alguno de
responsable del control interno o proceso asociado estos problemas reportados se ha convertido en
y, cuando sea necesario, a otro de un nivel superior una deficiencia de control interno. Estas deficiencias
a dicho responsable. Dependiendo de la naturaleza requieren una mayor evaluacin y correccin por parte
de los temas, el personal puede considerar informar de la Administracin. Una deficiencia de control interno
determinadas cuestiones al rgano de Gobierno, en puede presentarse en su diseo, implementacin o
su caso, o al Titular. Tales problemas pueden incluir: eficacia operativa, as como en sus procesos asociados.
La Administracin debe determinar, dado el tipo de
Problemas que afectan al conjunto de la estructura deficiencia de control interno, las acciones correctivas
organizacional o se extienden fuera de la apropiadas para remediar la deficiencia oportunamente.
49
Adicionalmente, puede asignar responsabilidades y apropiado la autoridad y responsabilidad para realizar

delegar autoridad para la apropiada remediacin de las acciones correctivas. El proceso de resolucin
las deficiencias de control interno. de auditora comienza cuando los resultados de
las revisiones o evaluaciones son reportados a la
Acciones Correctivas Administracin, y se termina slo cuando las acciones
pertinentes se han puesto en prctica para (1) corregir
17.06 La Administracin debe poner en prctica y las deficiencias identificadas, (2) efectuar mejoras o
documentar en forma oportuna las acciones para (3) demostrar que los hallazgos y recomendaciones no
corregir las deficiencias de control interno. Dependiendo justifican una accin por parte de la Administracin.
de la naturaleza de la deficiencia, el rgano de sta ltima, bajo la supervisin del rgano de Gobierno
Gobierno, en su caso, el Titular o la Administracin o del Titular, monitorea el estado de los esfuerzos de
deben revisar la pronta correccin de las deficiencias, correccin realizados para asegurar que se llevan a
comunicar las medidas correctivas al nivel apropiado cabo de manera oportuna.
de la estructura organizacional, y delegar al personal
50

Marco Integrado de Cont Interno

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Marco Integrado de Cont Interno

Загружено:

Авторское право:

Доступные форматы

Marco Integrado de Control Interno

AUDITORA ESPECIAL DE TECNOLOGAS DE INFORMACIN,

1. PRESENTACIN DE LA PROPUESTA DEL MARCO INTEGRADO DE CONTROL

4. COMPONENTES DEL CONTROL INTERNO............................................................ 21

1 Presentacin de la Propuesta del

En este sentido, la implementacin de un Sistema de El Sistema Nacional de Fiscalizacin (SNF),

Controles a nivel institucin.

Evaluacin a los sistemas de Control Interno.

3 Marco Integrado de Control Interno

Caractersticas del Control Interno

Implementar controles adecuados y suficientes De esta manera, todo el personal de la institucin

Seccin 2 Establecimiento del Control Interno

Componentes, Principios y Puntos de Inters del Control Interno

Fuente: Adaptado de las Normas de Control Interno en el Gobierno Federal, GAO.

Informacin y Comunicacin. Es la informacin y entenderlos, as como de ejercer su juicio profesional

Adicionalmente, el Marco contiene informacin Administracin de Riesgos

El Control Interno y la Institucin

Fuente: Adaptado del Informe COSO 2013.

El control interno es un proceso dinmico, integrado

Responsabilidades y Funciones en el Control Interno

RESPONSABLES DE LA IMPLEMENTACIN Y MEJORA CONTINUA DEL CONTROL INTERNO

Cumplimiento. Apego a las disposiciones Objetivos de Informes Internos Financieros y

Objetivos de Informacin Prevenga actos corruptos;

Seccin 3 Evaluacin del Control Interno

Elementos de un Control Interno Apropiado

Aspectos de la Evaluacin del Control Interno

Seccin 4 Consideraciones Adicionales

Instituciones Grandes o Pequeas

Costos y Beneficios del Control Interno

Documentacin del Control Interno

Aplicacin en las Instituciones

El Marco est diseado para aplicarse como un modelo

4 Componentes de Control Interno

Principio 1 Mostrar Actitud de Respaldo y Compromiso

Actitud de Respaldo del Titular y la Administracin

Apego a las Normas de Conducta

Actitud de Respaldo del Titular y la Administracin

Apego a las Normas de Conducta

Programa de Promocin de la Integridad y Prevencin

Apego, Supervisin y Actualizacin Continua del Programa de Promocin de la

Principio 2 Ejercer la Responsabilidad de Vigilancia

Los siguientes puntos de inters contribuyen al diseo,

2.02 El rgano de Gobierno, en su caso, o el Titular orientacin constructiva a la Administracin y, cuando

Vigilancia General del Control Interno

2.09 El rgano de Gobierno, en su caso, o el Titular debe desarrollar expectativas de competencia

y la elusin de controles por parte de cualquier Supervisin. Examinar la naturaleza y alcance de

Informacin y Comunicacin. Analizar y discutir

Principio 3 Establecer la Estructura, Responsabilidad y Autoridad

de la responsabilidad asignada, la Administracin debe deben proporcionar mtodos de comunicacin que

Asignacin de Responsabilidad y Delegacin de Autoridad

Documentacin y Formalizacin del Control Interno

3.12 La extensin de la documentacin necesaria as como el tamao, naturaleza y complejidad de

Principio 4 - Demostrar Compromiso con la Competencia

y Contingencias 4.08 La Administracin debe definir los planes de

Principio 5 Establecer la Estructura para el Reforzamiento de la

5.01 La Administracin, debe evaluar el desempeo Establecimiento de la Estructura para

5.06 La Administracin, bajo la supervisin del rgano de

6. El Titular, con el apoyo de la Administracin, debe

Principio 6 Definir Objetivos y Tolerancias al Riesgo

Principio 7 Identificar, Analizar y Responder a los Riesgos

7.01 La Administracin debe identificar, analizar y econmica o desastres naturales potenciales. La

Respuesta a los Riesgos

Compartir. Se toman acciones para compartir

Principio 8 Considerar el Riesgo de Corrupcin