Normas de Control Interno[1]

7/30/2019 Normas de Control Interno[1]

1/41

www.contraloria.gob.pe

Resolucin de Contralora General N 320-2006-CG

Contralor General (e) aprueba Normas de Control Interno.

Publicado 3/11/2006

Lima, 30 de octubre de 2006.

VISTO; la Hoja de Recomendacin N 001-2006-CG/GR, de laGerencia de Control de Gestin y Riesgos, mediante la cual se propone la aprobacin de las Normas deControl Interno; y,

CONSIDERANDO:

Que, de conformidad con lo preceptuado en el artculo 82 de laConstitucin Poltica del Per, la Contralora General de la Repblica, goza de autonoma conforme a suLey Orgnica, y tiene como atribucin supervisar la legalidad de la ejecucin del Presupuesto del Estado,de las operaciones de la deuda pblica y de los actos de las instituciones sujetas a control;

Que, la Ley N 27785 -Ley Orgnica del Sistema Nacional deControl y de la Contralora General de la Repblica-, tiene como objeto propender al apropiado y oportunoejercicio del control gubernamental, para prevenir y verificar la correcta utilizacin y gestin de losrecursos del Estado, el desarrollo probo de las funciones de los funcionarios pblicos, as como elcumplimiento de las metas de las instituciones sujetas a control; establecindose en su artculo 6 que elcontrol gubernamental consiste en la supervisin, vigilancia y verificacin de los actos y resultados de lagestin pblica con fines de su mejoramiento a travs de la adopcin de acciones preventivas ycorrectivas pertinentes; disponiendo, asimismo, dicha norma, que el control gubernamental es interno yexterno y su desarrollo constituye un proceso integral y permanente;

Que, en ese contexto, la divisin del control gubernamental eninterno y externo, propugna responder adecuadamente a los requerimientos y necesidades del Estado,entendiendo que resulta bsica la relacin entre la administracin y el control para la mejora de la gestinpblica, al involucrar expresamente a las propias entidades en la cautela del patrimonio pblico,prescribindose en el artculo 7 de la Ley N 27785 que el control interno comprende las acciones decautela previa, simultnea y de verificacin posterior que realiza la entidad sujeta a control, con lafinalidad que la gestin de sus recursos, bienes y operaciones se efecte correcta y eficientemente;

Que, en concordancia con lo antes sealado, a propuesta deeste Organismo Superior de Control, se emiti la Ley N 28716 Ley de Control Interno de las Entidadesdel Estado- que regula el establecimiento, funcionamiento, mantenimiento, perfeccionamiento yevaluacin del sistema de control interno en todas las entidades del Estado, con el propsito de cautelar yfortalecer sus sistemas administrativos y operativos con actividades de control previo, simultneo yposterior, para el debido y transparente logro de los fines, objetivos y metas institucionales as comocontra los actos y prcticas indebidas o de corrupcin;

Que, la citada Ley de Control Interno establece en su artculo 10que corresponde a la Contralora General de la Repblica, dictar la normativa tcnica de control que

oriente la efectiva implantacin y funcionamiento del control interno en las entidades del Estado, as comosu respectiva evaluacin; constituyendo dichas normas, lineamientos, criterios, mtodos y disposicionespara la aplicacin y/o regulacin del control interno en las principales reas de su actividad administrativau operativa de las entidades, incluidas las relativas a la gestin financiera, logstica, de personal, deobras, de sistemas computarizados y de valores ticos, entre otras; siendo que a partir de dicho marconormativo, los titulares de las entidades estn obligados a emitir las normas especficas aplicables a suentidad, de acuerdo a su naturaleza, estructura y funciones, las que deben ser concordantes con lanormativa tcnica de control que dicte la Contralora General de la Repblica;

Que, mediante el documento de visto se propone la aprobacinde las Normas de Control Interno que han sido elaboradas en armona con los conceptos y enfoquesmodernos esbozados por las principales organizaciones mundiales especializadas sobre la materia,habiendo recibido asimismo los aportes de instituciones y de personas vinculadas al tema como resultadode su prepublicacin en la pgina web institucional; resaltndose de las mismas su carcter orientador,

tcnico, integral y dinmico; su estructura basada en los componentes de control reconocidosinternacionalmente; as como la competencia directa que asiste a las entidades del Estado para aprobar,


2/41

www.contraloria.gob.pe

mantener y perfeccionar la implantacin, organizacin y funcionamiento de su correspondiente sistema decontrol interno:

Que, en consecuencia, a fin de cumplir con el encargo legalconferido, resulta necesario que la Contralora General de la Republica, apruebe las Normas de ControlInterno, las cuales tienen como objetivo principal propiciar el fortalecimiento de los sistemas de controlinterno y mejorar la gestin pblica, en relacin a la proteccin del patrimonio pblico y al logro de los

objetivos y metas institucionales;

En uso de las atribuciones establecidas por el artculo 32 y 33de la Ley N 27785, Ley Orgnica del Sistema Nacional de Control y de la Contralora General de laRepblica y la Resolucin de Contralora N 309-2006-CG;

SE RESUELVE:

ARTCULO PRIMERO.- Aprobar las Normas de Control Interno,cuyo texto forma parte integrante de la presente Resolucin, las mismas que son de aplicacin a lasEntidades del Estado de conformidad con lo establecido por la Ley N 28716, Ley de Control Interno delas Entidades del Estado.

ARTCULO SEGUNDO.- En concordancia con lo dispuesto por elsegundo prrafo de la Primera Disposicin Transitoria, Complementaria y Final de la Ley N 28716, dejarsin efecto la Resolucin de Contralora N 072-98-CG que aprob las Normas Tcnicas de Control Internopara el Sector Pblico, sus modificatorias y dems normas que se opongan a lo dispuesto en la presenteResolucin.

ARTCULO TERCERO.- Las Unidades Orgnicas de laContralora General de la Repblica, de acuerdo a su correspondiente competencia funcional, elaborarny propondrn las Directivas que complementariamente consideren necesarias para la adecuadaregulacin de materias vinculadas al control interno de sus respectivos mbitos de actuacin.

ARTICULO CUARTO.- La Gerencia Central de Desarrollo y laEscuela Nacional de Control sern responsables de las actividades de sensibilizacin, capacitacin ydifusin necesarias de las Normas de Control Interno.

ARTICULO QUINTO.- La presente Resolucin rige a partir de lafecha de su publicacin en el Diario Oficial El Peruano.

Regstrese, comunquese y publquese.

ROSA URBINA MANCILLAVicecontralora General de la Repblica

Contralora General (e)


3/41

CONTRALORA GENERAL DE LA REPBLICA

NORMAS DE CONTROL INTERNO

OCTUBRE 2006


4/41

Contralora General de la Repblica

Normas de Control Interno

Contenido

I. INTRODUCCIN.................................................................................................................. 21. ANTECEDENTES ............................................................................................................ 22. CONCEPTO DE LAS NORMAS DE CONTROL INTERNO ............................................ 43. OBJETIVOS DE LAS NORMAS DE CONTROL INTERNO ............................................ 5

4. MBITO DE APLICACIN............................................................................................... 55. EMISIN Y ACTUALIZACIN.........................................................................................56. ESTRUCTURA................................................................................................................. 57. CARACTERSTICAS........................................................................................................ 6

II. MARCO CONCEPTUAL DE LA ESTRUCTURA DE CONTROL INTERNO ....................... 71. DEFINICIN Y OBJETIVOS DE CONTROL INTERNO.................................................. 72. SISTEMA DE CONTROL INTERNO................................................................................73. ORGANIZACIN DEL SISTEMA DE CONTROL INTERNO........................................... 84. ROLES Y RESPONSABILIDADES..................................................................................95. LIMITACIONES A LA EFICACIA DEL CONTROL INTERNO ....................................... 10

III. NORMAS GENERALES DE CONTROL INTERNO ...................................................... 111. NORMA GENERAL PARA EL AMBIENTE DE CONTROL........................................... 11

1.1. Filosofa de la Direccin .......................................................................................11

1.2. Integridad y valores ticos.................................................................................... 121.3. Administracin estratgica ...................................................................................121.4. Estructura organizativa.........................................................................................131.5. Administracin de los recursos humanos............................................................. 131.6. Competencia profesional...................................................................................... 141.7. Asignacin de autoridad y responsabilidad.......................................................... 141.8. rgano de Control Institucional............................................................................ 15

2. NORMA GENERAL PARA LA EVALUACIN DE RIESGOS........................................ 152.1. Planeamiento de la administracin de riesgos..................................................... 162.2. Identificacin de los riesgos .................................................................................172.3. La valoracin de los riesgos.................................................................................182.4. Respuesta al riesgo.............................................................................................. 19

3. NORMA GENERAL PARA LAS ACTIVIDADES DE CONTROL GERENCIAL ............. 19

3.1. Procedimientos de autorizacin y aprobacin...................................................... 203.2. Segregacin de funciones.................................................................................... 203.3. Evaluacin costo-beneficio................................................................................... 213.4. Controles sobre el acceso a los recursos o archivos........................................... 213.5. Verificaciones y conciliaciones.............................................................................223.6. Evaluacin del desempeo ..................................................................................223.7. Rendicin de cuentas...........................................................................................223.8. Documentacin de procesos, actividades y tareas.............................................. 233.9. Revisin de procesos, actividades y tareas ......................................................... 233.10. Controles para las Tecnologas de la Informacin y Comunicaciones ................ 24

4. NORMA GENERAL PARA LA INFORMACIN Y COMUNICACIN............................ 254.1. Funciones y caractersticas de la informacin ..................................................... 264.2. Informacin y responsabilidad.............................................................................. 264.3. Calidad y suficiencia de la informacin ................................................................ 264.4. Los sistemas de informacin................................................................................ 274.5. Flexibilidad al cambio ...........................................................................................274.6. Archivo institucional.............................................................................................. 284.7. Comunicacin interna........................................................................................... 284.8. Comunicacin externa.......................................................................................... 284.9. Canales de comunicacin ....................................................................................29

5. NORMA GENERAL PARA LA SUPERVISIN.............................................................. 305.1. NORMAS BSICAS PARA LAS ACTIVIDADES DE PREVENCIN Y

MONITOREO........................................................................................................ 305.2. NORMAS BSICAS PARA EL SEGUIMIENTO DE RESULTADOS................... 325.3. NORMAS BSICAS PARA LOS COMPROMISOS DE MEJORAMIENTO......... 33

IV. ANEXO: GLOSARIO DE TRMINOS............................................................................ 35


5/41


Normas de Control Interno2

I. INTRODUCCIN

1. ANTECEDENTES

La Organizacin Internacional de Entidades Fiscalizadoras Superiores- INTOSAI, fundada en elao 1953, y que rene entre sus miembros a ms de ciento setenta (170) EntidadesFiscalizadoras Superiores (EFS), entre ellas la Contralora General de la Repblica de Per(CGR), aprob en el ao 1992 las Directrices para las normas de control interno. Estedocumento establece los siguientes lineamientos generales para la formulacin de las normasde control interno:

Se define al control interno como un instrumento de gestin que se utiliza para proporcionaruna garanta razonable del cumplimiento de los objetivos establecidos por el titular ofuncionario designado

Se precisa que la estructura de control interno es el conjunto de los planes, mtodos,

procedimientos y otras medidas, incluyendo la actitud del Direccin, que posee unainstitucin para ofrecer una garanta razonable de que se cumplen los siguientes objetivos:

(i) Promover las operaciones metdicas, econmicas, eficientes y eficaces as como losproductos y servicios con calidad, de acuerdo con la misin de la institucin

(ii) Preservar los recursos frente a cualquier prdida por despilfarro, abuso, mala gestin,error y fraude

(iii) Respetar las leyes, reglamentaciones y directivas de la Direccin, y(iv) Elaborar y mantener datos financieros y de gestin fiables presentados correcta y

oportunamente en los informes

Debe formularse y promulgarse una definicin amplia de la estructura de control interno, delos objetivos a alcanzar, y de las normas a seguir en la concepcin de tales estructuras

La necesidad de hacer una clara distincin entre dichas normas y los procedimientosespecficos a ser implantados por cada institucin

La responsabilidad de la Direccin por la aplicacin y vigilancia de los controles internosespecficos necesarios para sus operaciones, por ser stos un instrumento de gestin, paralos cuales se debe disponer de planes de evaluacin peridica

La competencia de la EFS en la evaluacin de los controles internos existentes en lasentidades fiscalizadas.

Asimismo, dos aos antes, en 1990 se haba publicado el documentoControl Interno MarcoIntegrado (Internal Control Integrated Framework, Committee of Sponsoring Organizations ofthe Treadway Comisin, 1990) elaborado por la Comisin Nacional sobre InformacinFinanciera Fraudulenta -conocida como la Comisin Treadway. Los miembros de dicho grupofueron: (i) el Instituto Americano de Contadores Pblicos Certificados, (ii) la AsociacinAmericana de Profesores de Contabilidad, (iii) el Instituto de Ejecutivos de Finanzas, (iv) elInstituto de Auditores Internos, y (v) el Instituto de Contadores Gerenciales. El conjunto de susrepresentantes adopt el nombre de Comit de Organismos Patrocinadores-COSO.

El Informe COSO incorpor en una sola estructura conceptual los distintos enfoques existentesen el mbito mundial y actualiz los procesos de diseo, implantacin y evaluacin del controlinterno. Asimismo, define al control interno como un proceso que constituye un medio paralograr un fin, y no un fin en s mismo. Tambin seala que es ejecutado por personas en cadanivel de una organizacin y proporciona seguridad razonable para la consecucin de los

siguientes objetivos: (i) eficacia y eficiencia en las operaciones, (ii) confiabilidad en lainformacin financiera, y (iii) cumplimiento de las leyes y regulaciones. Este control debe ser


6/41



construido dentro de la infraestructura de la entidad y debe estar entrelazado con susactividades de operacin.

Se indica que el control interno est compuesto por cinco componentes interrelacionados:(i)ambiente de control, (ii) evaluacin de riesgos, (iii)actividades de control, (iv)informacin ycomunicacin, y (v) monitoreo (supervisin).

En julio de 1998, la CGR emiti las Normas Tcnicas de Control Interno para el Sector Pblico,aprobadas mediante R. C. N 072-98-CG del 26 de junio de 1998, con los siguientes objetivos:(i) servir de marco de referencia en materia de control interno, (ii) orientar la formulacin denormas especficas para el funcionamiento de los procesos de gestin e informacin gerencial,(iii) proteger y conservar los recursos de la entidad, (iv) controlar la efectividad y eficiencia delas operaciones como parte de los programas y presupuestos autorizados, (v) permitir laevaluacin posterior de la efectividad, eficiencia y economa de las operaciones, y (vi) orientar yunificar la aplicacin del control interno en las entidades pblicas. Dichas normas tuvieroninicialmente el siguiente contenido:

Normas generales de control interno Normas de control interno para la administracin financiera gubernamental Normas de control interno para el rea de abastecimiento y activos fijos Normas de control interno para el rea de administracin de personal Normas de control interno para sistemas computarizados Normas de control interno para el rea de obras pblicas.

Posteriormente, la CGR incorpor mediante R.C. N 123-2000-CG del 23 de junio de 2000 yR.C. N 155-2005-CG del 30 de marzo de 2005 respectivamente, las normas siguientes:

Normas de control interno para una cultura de integridad, transparencia y responsabilidaden la funcin pblica

Normas de control interno ambiental.

Cabe sealar que las dos ltimas partes fueron incorporadas en junio del 2000 y marzo del2005, respectivamente.

En septiembre del 2004, el COSO emite el documento Gestin de Riesgos Corporativos -Marco Integrado, promoviendo un enfoque amplio e integral en empresas y organizacionesgubernamentales. Asimismo este enfoque ampla los componentes propuestos en el ControlInterno Marco Integrado a ocho componentes a saber: (i) ambiente interno, (ii)establecimiento de objetivos, (iii) identificacin de eventos, (iv) evaluacin de riesgos, (v)respuesta a los riesgos, (vi) actividades de control, (vii) informacin y comunicacin, y (viii)supervisin.

Igualmente, en el XVIII INCOSAI, realizado el 2004 en Budapest, se aprob la Gua para lasnormas de control interno del sector pblico, que define el control interno como un procesointegral efectuado por la gerencia y el personal, y esta diseado para enfrentarse a los riesgosy para dar una seguridad razonable de que en la consecucin de la misin de la entidad, sealcanzarn los siguientes objetivos gerenciales:

Ejecucin ordenada, tica, econmica, eficiente y efectiva de las operaciones Cumplimiento de las obligaciones de respondabilidad Cumplimiento de las leyes y regulaciones aplicables, y Salvaguarda de los recursos para evitar prdidas, mal uso y dao.

En Per, el marco ms reciente para el control gubernamental lo proporciona la Ley N 27785,Ley Orgnica del Sistema Nacional de Control y de la Contralora General de la Repblica,vigente a partir del 24.JUL.2002, que establece las normas que regulan el mbito, organizaciny atribuciones del Sistema Nacional de Control (SNC) y de la CGR.

Acorde con los nuevos enfoques del control gubernamental, la Ley N 27785, (artculo 6),establece que el mismo, consiste en la supervisin, vigilancia y verificacin de los actos yresultados de la gestin pblica, en atencin al grado de eficiencia, eficacia, transparencia y


7/41



economa en el uso y destino de los recursos y bienes del Estado, as como del cumplimientode las normas legales y de los lineamientos de poltica y planes de accin, evaluando lossistemas de administracin, gerencia y control, con fines de su mejoramiento a travs de laadopcin de acciones preventivas y correctivas pertinentes. Asimismo, dicha norma precisaque el control gubernamental es interno y externo y su desarrollo constituye un procesointegral y permanente.

La Ley N 27785 procura responder a los requerimientos y necesidades del sector pblico,entendiendo que resulta bsica la priorizacin del control dentro de la administracin, para sumejora, Para ello se involucra a las propias entidades en la cautela del patrimonio pblico, talcomo seala el artculo 7: el control interno comprende las acciones de cautela previa,simultnea y de verificacin posterior que realiza la entidad sujeta a control, con la finalidad quela gestin de sus recursos, bienes y operaciones se efecte correcta y eficientemente.

La CGR de acuerdo a ello, consider de trascendental importancia la emisin de una ley decontrol interno que regulara especficamente el establecimiento, funcionamiento,mantenimiento, perfeccionamiento y evaluacin del sistema de control interno en las entidadesdel Estado en la Ley N 28716, Ley de Control Interno de las entidades del Estado, aprobadapor el Congreso de la Repblica y publicada el 18.ABR.2006; con el propsito de cautelar y

fortalecer los sistemas administrativos y operativos con acciones y actividades de controlprevio, simultneo y posterior, contra los actos y prcticas indebidos o de corrupcin, buscandoel debido y transparente logro de los fines, objetivos y metas institucionales.

Esta Ley establece en su artculo 10 que corresponde a la CGR, dictar la normativa tcnica decontrol que oriente la efectiva implantacin, funcionamiento y evaluacin del control interno enlas entidades del Estado. Dichas normas constituyen lineamientos, criterios, mtodos ydisposiciones para la aplicacin o regulacin del control interno en las principales reas de laactividad administrativa u operativa de las entidades, incluidas las relativas a la gestinfinanciera, logstica, de personal, de obras, de sistemas computarizados y de valores ticos,entre otras; correspondiendo, a partir de dicho marco normativo, a los titulares de las entidadesemitir las normas especficas aplicables a su entidad, de acuerdo a su naturaleza, estructura yfunciones.

2. BASE LEGAL Y DOCUMENTAL

Las Normas de Control Interno tienen como base legal y documental la siguiente normativa ydocumentos internacionales:

Ley N 28716, Ley de Control Interno de las entidades del Estado Ley N 27785, Ley Orgnica del Sistema Nacional de Control y de la Contralora General

de la Repblica Manual de Auditora Gubernamental, aprobado mediante R.C. N 152-98-CG Internal Control Integrated Framework, Committee of Sponsoring Organizations of the

Treadway Comisin, 1990 Gua para las normas de control interno del sector pblico, INTOSAI, 1994.

3. CONCEPTO DE LAS NORMAS DE CONTROL INTERNO

Las Normas de Control Interno, constituyen lineamientos, criterios, mtodos y disposicionespara la aplicacin y regulacin del control interno en las principales reas de la actividadadministrativa u operativa de las entidades, incluidas las relativas a la gestin financiera,logstica, de personal, de obras, de sistemas de informacin y de valores ticos, entre otras. Sedictan con el propsito de promover una administracin adecuada de los recursos pblicos enlas entidades del Estado.

Los titulares, funcionarios y servidores de cada entidad, segn su competencia, sonresponsables de establecer, mantener, revisar y actualizar la estructura de control interno enfuncin a la naturaleza de sus actividades y volumen de operaciones. Asimismo, es obligacin


8/41



de los titulares, la emisin de las normas especficas aplicables a su entidad, de acuerdo consu naturaleza, estructura, funciones y procesos en armona con lo establecido en el presentedocumento.

Las Normas de Control Interno se fundamentan en criterios y prcticas de aceptacin general,as como en aquellos lineamientos y estndares de control. Estas se describen en el captulo

Marco Conceptual de la estructura de control internoque forma parte de este documento.

4. OBJETIVOS DE LAS NORMAS DE CONTROL INTERNO

Las Normas de Control Interno tienen como objetivo propiciar el fortalecimiento de los sistemasde control interno y mejorar la gestin pblica, en relacin a la proteccin del patrimonio pblicoy al logro de los objetivos y metas institucionales.

En este contexto, los objetivos de las Normas de Control Interno son:

Servir de marco de referencia en materia de control interno para la emisin de la respectivanormativa institucional, as como para la regulacin de los procedimientos administrativos y

operativos derivados de la misma

Orientar la formulacin de normas especficas para el funcionamiento de los procesos degestin e informacin gerencial en las entidades

Orientar y unificar la aplicacin del control interno en las entidades.

5. MBITO DE APLICACIN

Las Normas de Control Interno se aplican a todas las entidades comprendidas en el mbito decompetencia del SNC, bajo la supervisin de los titulares de las entidades y de los jefesresponsables de la administracin gubernamental o de los funcionarios que hagan sus veces.

En el supuesto que las Normas de Control Interno, no resulten aplicables en determinadassituaciones, corresponder mencionarse especficamente en el rubro limitaciones el alcance decada norma. La CGR establecer los procedimientos para determinar las excepciones a quehubiere lugar.

Las citadas normas no interfieren con las disposiciones establecidas por la legislacin, nilimitan las normas dictadas por los sistemas administrativos, as como otras normas que seencuentren vigentes. La aplicacin de estas normas contribuye al fortalecimiento de laestructura de control interno establecida en las entidades.

6. EMISIN Y ACTUALIZACINLa CGR, en su calidad de organismo rector del SNC, es la competente para la emisin omodificacin de las normas de control interno aplicables a las entidades del sector pblicosujetas a su mbito, con el fin que orienten la efectiva implantacin, funcionamiento yevaluacin del control interno en las entidades del Estado.

7. ESTRUCTURA

Las Normas de Control Interno tienen la siguiente estructura:

Cdigo : Es la numeracin correlativa que se le asigna a cada norma

Ttulo : Es la denominacin breve de la norma


9/41



Sumilla : Es la parte dispositiva de la norma o el enunciado que debe implementarse encada entidad

Comentario: Es la explicacin sintetizada de la norma que describe aquellos criterios quefaciliten su implantacin en las entidades pblicas.

8. CARACTERSTICAS

Las Normas de Control Interno tienen como caractersticas principales, ser:

Concordantes con el marco legal vigente, directivas y normas emitidas por los sistemasadministrativos, as como con otras disposiciones relacionadas con el control interno

Compatibles con los principios del control interno, principios de administracin y las normasde auditoria gubernamental emitidas por la CGR

Sencillas y claras en su redaccin y en la explicacin sobre asuntos especficos

Flexibles, permitiendo su adecuacin institucional y actualizacin peridica, segn losavances en la modernizacin de la administracin gubernamental.


10/41



II. MARCO CONCEPTUAL DE LA ESTRUCTURA DE CONTROLINTERNO

1. DEFINICIN Y OBJETIVOS DE CONTROL INTERNO

Es un proceso integral efectuado por el titular, funcionarios y servidores de una entidad,diseado para enfrentar a los riesgos y para dar seguridad razonable de que, en laconsecucin de la misin de la entidad, se alcanzarn los siguientes objetivos gerenciales:

(i) Promover la eficiencia, eficacia, transparencia y economa en las operaciones de laentidad, as como la calidad de los servicios pblicos que presta

(ii) Cuidar y resguardar los recursos y bienes del Estado contra cualquier forma deprdida, deterioro, uso indebido y actos ilegales, as como, en general, contra todohecho irregular o situacin perjudicial que pudiera afectarlos

(iii) Cumplir la normatividad aplicable a la entidad y a sus operaciones

(iv) Garantizar la confiabilidad y oportunidad de la informacin

(v) Fomentar e impulsar la prctica de valores institucionales

(vi) Promover el cumplimiento de los funcionarios o servidores pblicos de rendir cuentaspor los fondos y bienes pblicos a su cargo o por una misin u objetivo encargado yaceptado.

2. SISTEMA DE CONTROL INTERNO

La Ley N 28716, Ley de Control Interno de la Entidades del Estado, define como sistema decontrol interno al conjunto de acciones, actividades, planes, polticas, normas, registros,organizacin, procedimientos y mtodos, incluyendo la actitud de las autoridades y el personal,organizados e instituidos en cada entidad del Estado, para la consecucin de los objetivosinstitucionales que procura. Asimismo, la Ley refiere que sus componentes estn constituidospor:

(i) El ambiente de control, entendido como el entorno organizacional favorable al ejerciciode prcticas, valores, conductas y reglas apropiadas para el funcionamiento del controlinterno y una gestin escrupulosa

(ii) La evaluacin de riesgos, que deben identificar, analizar y administrar los factores oeventos que puedan afectar adversamente el cumplimiento de los fines, metas,

objetivos, actividades y operaciones institucionales

(iii) Las actividades de control gerencial, que son las polticas y procedimientos de controlque imparte el titular o funcionario que se designe, gerencia y los niveles ejecutivoscompetentes, en relacin con las funciones asignadas al personal, con el fin deasegurar el cumplimiento de los objetivos de la entidad

(iv) Las actividades de prevencin y monitoreo, referidas a las acciones que deben seradoptadas en el desempeo de las funciones asignadas, con el fin de cuidar y asegurarrespectivamente, su idoneidad y calidad para la consecucin de los objetivos delcontrol interno

(v) Los sistemas de informacin y comunicacin, a travs de los cuales el registro,

procesamiento, integracin y divulgacin de la informacin, con bases de datos ysoluciones informticas accesibles y modernas, sirva efectivamente para dotar de


11/41



confiabilidad, transparencia y eficiencia a los procesos de gestin y control internoinstitucional

(vi) El seguimiento de resultados, consistente en la revisin y verificacin actualizadassobre la atencin y logros de las medidas de control interno implantadas, incluyendo laimplementacin de las recomendaciones formuladas en sus informes por los rganos

del SNC

(vii) Los compromisos de mejoramiento, por cuyo mrito los rganos y personal de laadministracin institucional efectan autoevaluaciones para el mejor desarrollo delcontrol interno e informan sobre cualquier desviacin deficiencia susceptible decorreccin, obligndose a dar cumplimiento a las disposiciones o recomendaciones quese formulen para la mejora u optimizacin de sus labores.

La Administracin y el rgano de Control Institucional forman parte del sistema de controlinterno de conformidad con sus respectivos mbitos de competencia.

3. ORGANIZACIN DEL SISTEMA DE CONTROL INTERNO

La adecuada implantacin y funcionamiento sistmico del control interno en las entidades delEstado, exige que la administracin institucional prevea y disee apropiadamente una debidaorganizacin para el efecto, y promueva niveles de ordenamiento, racionalidad y la aplicacinde criterios uniformes que contribuyan a una mejor implementacin y evaluacin integral.

En tal sentido, se considera que son principios aplicables al sistema de control interno: (i) elautocontrol, en cuya virtud todo funcionario y servidor del Estado debe controlar su trabajo,detectar deficiencias o desviaciones y efectuar correctivos para el mejoramiento de sus laboresy el logro de los resultados esperados; (ii) la autorregulacin, como la capacidad institucionalpara desarrollar las disposiciones, mtodos y procedimientos que le permitan cautelar, realizary asegurar la eficacia, eficiencia, transparencia y legalidad en los resultados de sus procesos,actividades u operaciones; y (iii) la autogestin, por la cual compete a cada entidad conducir,

planificar, ejecutar, coordinar y evaluar las funciones a su cargo con sujecin a la normativaaplicable y objetivos previstos para su cumplimiento.

La organizacin sistmica del control interno se disea y establece institucionalmente teniendoen cuenta las responsabilidades de direccin, administracin y supervisin de suscomponentes funcionales, para lo cual en su estructura se prevern niveles de controlestratgico, operativo y de evaluacin.

El enfoque moderno establecido por el COSO, la Gua de INTOSAI y la Ley N 28716, sealaque los componentes de la estructura de control interno se interrelacionan entre s ycomprenden diversos elementos que se integran en el proceso de gestin. Por ello en elpresente documento, para fines de la adecuada formalizacin e implementacin de laestructura de control interno en todas las entidades del Estado, se concibe que sta se

organice con base en los siguientes cinco componentes:

a. Ambiente de control

b. Evaluacin de riesgos

c. Actividades de control gerencial

d. Informacin y comunicacin

e. Supervisin, que agrupa a las actividades de prevencin y monitoreo, seguimiento deresultados y compromisos de mejoramiento.

Dichos componentes son los reconocidos internacionalmente por las principalesorganizaciones mundiales especializadas en materia de control interno y, si bien su


12/41



denominacin y elementos conformantes pueden admitir variantes, su utilizacin facilita laimplantacin estandarizada de la estructura de control interno en las entidades del Estado,contribuyendo igualmente a su ordenada, uniforme e integral evaluacin por los rganos decontrol competentes.

En tal sentido, las actividades de prevencin y monitoreo, seguimiento de resultados y

compromisos de mejoramiento, previstas en los incisos d), f) y g) del artculo 3 de la Ley28716, en consonancia con su respectivo contenido se encuentran incorporadas en elcomponente supervisin, denominado comnmente tambin como seguimiento o monitoreo.

4. ROLES Y RESPONSABILIDADES

El control interno es efectuado por diversos niveles jerrquicos. Los funcionarios, auditoresinternos y personal de menor nivel contribuyen para que el sistema de control interno funcionecon eficacia, eficiencia y economa.

El titular, funcionarios y todo el personal de la entidad son responsables de la aplicacin ysupervisin del control interno, as como en mantener una estructura slida de control interno

que promueva el logro de sus objetivos, as como la eficiencia, eficacia y economa de lasoperaciones.

Para contribuir al fortalecimiento del control interno en las entidades, el titular o funcionario quese designe, debe asumir el compromiso de implementar los criterios que se describen acontinuacin:

Apoyo institucional a los controles internos:El titular, los funcionarios y todo el personal de la entidad deben mostrar y mantener una actitudpositiva y de apoyo al funcionamiento adecuado de los controles internos. La actitud es unacaracterstica de cada entidad y se refleja en todos los aspectos relativos a su actuacin. Suparticipacin y apoyo favorece la existencia de una actitud positiva.

Responsabilidad sobre la gestin:Todo funcionario pblico tiene el deber de rendir cuenta ante una autoridad superior y ante elpblico por los fondos o bienes pblicos a su cargo o por una misin u objetivo encargado yaceptado.

Clima de confianza en el trabajo:El titular y los funcionarios deben fomentar un apropiado clima de confianza que asegure eladecuado flujo de informacin entre los empleados de la entidad. La confianza permitepromover una atmsfera laboral propicia para el funcionamiento de los controles internos,teniendo como base la seguridad y cooperacin recprocas entre las personas as como suintegridad y competencia, cuyo entorno retroalimenta el cumplimiento de los deberes y losaspectos de la responsabilidad.

Transparencia en la gestin gubernamental:La transparencia en la gestin de los recursos y bienes del Estado, con arreglo a la normativarespectiva vigente, comprende tanto la obligacin de la entidad pblica de divulgar informacinsobre las actividades ejecutadas relacionadas con el cumplimiento de sus fines as como lafacultad del pblico de acceder a tal informacin, para conocer y evaluar en su integridad, eldesempeo y la forma de conduccin de la gestin gubernamental.

Seguridad razonable sobre el logro de los objetivos del control interno.La estructura de control interno efectiva proporciona seguridad razonable sobre el logro de losobjetivos trazados. El titular o funcionario designado de cada entidad debe identificar losriesgos que implican las operaciones y, estimar sus mrgenes aceptables en trminoscuantitativos y cualitativos, de acuerdo con las circunstancias.


13/41



5. LIMITACIONES A LA EFICACIA DE CONTROL INTERNO

Una estructura de control interno no puede garantizar por s misma una gestin eficaz yeficiente, con registros e informacin financiera ntegra, precisa y confiable, ni puede estar librede errores, irregularidades o fraudes.

La eficacia del control interno puede verse afectada por causas asociadas a los recursoshumanos y materiales, tanto como a cambios en el ambiente externo e interno.

El funcionamiento del sistema de control interno depende del factor humano, pudiendo verseafectado por un error de concepcin, criterio, negligencia o corrupcin. Por ello, aun cuandopueda controlarse la competencia e integridad del personal que aplica el control interno,mediante un adecuado proceso de seleccin y entrenamiento, estas cualidades pueden cedera presiones externas o internas dentro de la entidad. Es ms, si el personal que realiza elcontrol interno no entiende cual es su funcin en el proceso o decide ignorarlo, el controlinterno resultar ineficaz.

Otro factor limitante son las restricciones que, en trminos de recursos materiales, puedenenfrentar las entidades. En consecuencia, deben considerarse los costos de los controles en

relacin con su beneficio. Mantener un sistema de control interno con el objetivo de eliminar elriesgo de prdida no es realista y conllevara a costos elevados que no justificaran losbeneficios derivados. Por ello, al determinar el diseo e implantacin de un control enparticular, la probabilidad de que exista un riesgo y el efecto potencial de ste en la entidaddeben ser considerados junto con los costos relacionados a la implantacin del nuevo control.

Los cambios en el ambiente externo e interno de la entidad, tales como los cambiosorganizacionales y en la actitud del titular y funcionarios pueden tener impacto sobre la eficaciadel control interno y sobre el personal que opera los controles. Por esta razn, el titular ofuncionario designado debe evaluar peridicamente los controles internos, informar al personalde los cambios que se implementen y respetar el cumplimiento de los controles dando un buenejemplo a todos.


14/41



III. NORMAS GENERALES DE CONTROL INTERNO

1. NORMA GENERAL PARA COMPONENTE EL AMBIENTE DECONTROL

El componente ambiente de control define el establecimiento de un entornoorganizacional favorable al ejercicio de buenas prcticas, valores, conductas y reglasapropiadas, para sensibilizar a los miembros de la entidad y generar una cultura decontrol interno.

Estas prcticas, valores, conductas y reglas apropiadas contribuyen al establecimiento yfortalecimiento de polticas y procedimientos de control interno que conducen al logro de losobjetivos institucionales y la cultura institucional de control.

El titular, funcionarios y dems miembros de la entidad deben considerar como fundamental laactitud asumida respecto al control interno. La naturaleza de esa actitud fija el climaorganizacional y, sobre todo, provee disciplina a travs de la influencia que ejerce sobre el

comportamiento del personal en su conjunto.

Contenido:

1.1. Filosofa de la Direccin1.2. Integridad y los valores ticos1.3. Administracin estratgica1.4. Estructura organizacional1.5. Administracin de recursos humanos1.6. Competencia profesional1.7. Asignacin de autoridad y responsabilidades1.8. rgano de Control Institucional.

La calidad del ambiente de control es el resultado de la combinacin de los factores que lodeterminan. El mayor o menor grado de desarrollo de stos fortalecer o debilitar el ambientey la cultura de control, influyendo tambin en la calidad del desempeo de la entidad.

NORMAS BSICAS PARA EL AMBIENTE DE CONTROL

1.1. Filosofa de la Direccin

La filosofa y estilo de la Direccin comprende la conducta y actitudes que debencaracterizar a la gestin de la entidad con respecto del control interno. Debe tender aestablecer un ambiente de confianza positivo y de apoyo hacia el control interno, por

medio de una actitud abierta hacia el aprendizaje y las innovaciones, la transparencia enla toma de decisiones, una conducta orientada hacia los valores y la tica, as como unaclara determinacin hacia la medicin objetiva del desempeo, entre otros.

Comentarios:

01 La filosofa de la Direccin refleja una actitud de apoyo permanente hacia el controlinterno y el logro de sus objetivos, actuando con independencia, competencia yliderazgo, y estableciendo un cdigo de tica y criterios de evaluacin del desempeo.

02 El titular o funcionario designado debe evaluar y supervisar continuamente elfuncionamiento adecuado del control interno en la entidad y transmitir a todos los niveles

de la entidad, de manera explcita y permanente, su compromiso con el mismo.


15/41



03 El titular o funcionario designado debe hacer entender al personal la importancia de laresponsabilidad de ejercer y ejecutar los controles internos, ya que cada miembro cumpleun rol importante dentro de la entidad. Tambin debe lograr que stas sean asumidascon seriedad e incentivar una actitud positiva hacia el control interno.

04 El titular o funcionario designado debe propiciar un ambiente que motive la propuesta de

medidas que contribuyan al perfeccionamiento del control interno y al desarrollo de lacultura de control institucional.

05 El titular o funcionario designado debe facilitar, promover, reconocer y valorar los aportesdel personal estimulando la mejora continua en los procesos de la entidad.

06 El titular o funcionario designado debe integrar el control interno a todos los procesos,actividades y tareas de la entidad. A este propsito contribuye el ambiente de confianzaentre el personal, derivado de la difusin de la informacin necesaria, la adecuadacomunicacin y las tcnicas de trabajo participativo y en equipo.

07 El ambiente de confianza incluye la existencia de mecanismos que favorezcan laretroalimentacin permanente para la mejora continua. Esto implica que todo asunto que

interfiera con el desempeo organizacional, de los procesos, actividades y tareas puedaser detectado y transmitido oportunamente para su correccin oportuna.

08 El titular y funcionarios de la entidad, a travs de sus actitudes y acciones, debenpromover las condiciones necesarias para el establecimiento de un ambiente deconfianza.

1.2. Integridad y valores ticos

La integridad y valores ticos del titular, funcionarios y servidores determinan suspreferencias y juicios de valor, los que se traducen en normas de conducta y estilos degestin. El titular o funcionario designado y dems empleados deben mantener unaactitud de apoyo permanente hacia el control interno con base en la integridad y valores

ticos establecidos en la entidad.

Comentarios:

01 Los principios y valores ticos son fundamentales para el ambiente de control de lasentidades. Debido a que stos rigen la conducta de los individuos, sus acciones deben irms all del solo cumplimiento de las leyes, decretos, reglamentos y otras disposicionesnormativas.

02 El titular o funcionario designado debe incorporar estos principios y valores como partede la cultura organizacional, de manera que subsistan a los cambios de las personas queocupan temporalmente los cargos en una entidad. Tambin debe contribuir a sufortalecimiento en el marco de la vida institucional y su entorno.

03 El titular o funcionario designado juega un rol determinante en el establecimiento de unacultura basada en valores, que con su ejemplo, contribuir a fortalecer el ambiente decontrol.

04 La demostracin y la persistencia en un comportamiento tico por parte del titular y losfuncionarios es de vital importancia para los objetivos del control interno.

1.3. Administracin estratgica

Las entidades del Estado requieren la formulacin sistemtica y positivamentecorrelacionada con los planes estratgicos y objetivos para su administracin y controlefectivo, de los cuales se derivan la programacin de operaciones y sus metasasociadas, as como su expresin en unidades monetarias del presupuesto anual.


16/41



Comentarios:

01 Se entiende por administracin estratgica al proceso de planificar, con componentes devisin, misin, metas y objetivos estratgicos. En tal sentido, toda entidad debe buscartender a la elaboracin de sus planes estratgicos y operativos gestionndolos. En unaentidad sin administracin estratgica, el control interno carecera de sus fundamentos

ms importantes y slo se limitara a la verificacin del cumplimiento de ciertos aspectosformales.

02 El anlisis de la situacin y del entorno debe considerar, entre otros elementos deanlisis, los resultados alcanzados, las causas que explican los desvos con respecto delo programado, la identificacin de las demandas actuales y futuras de la ciudadana.

03 Los productos de las actividades de formulacin, cumplimiento, seguimiento y evaluacindeben estar formalizadas en documentos debidamente aprobados y autorizados, conarreglo a la normativa vigente respectiva. El titular o funcionario designado debe difundirestos documentos tanto dentro de la entidad como a la ciudadana en general.

1.4. Estructura organizacional

El titular o funcionario designado debe desarrollar, aprobar y actualizar la estructuraorganizativa en el marco de eficiencia y eficacia que mejor contribuya al cumplimiento desus objetivos y a la consecucin de su misin.

Comentarios:

01 La determinacin la estructura organizativa debe estar precedida de un anlisis quepermita elegir la que mejor contribuya al logro de los objetivos estratgicos y los objetivosde los planes operativos anuales. Para ello debe analizarse, entre otros: (i) la eficacia delos procesos operativos, (ii) la velocidad de respuesta de la entidad frente a cambiosinternos y externos, (iii) la calidad y naturaleza de los productos o servicios brindados, (iv)la satisfaccin de los clientes, usuarios o ciudadana, (v) la identificacin de necesidades

y recursos para las operaciones futuras, (vi) las unidades orgnicas o reas existentes, y(vii) los canales de comunicacin y coordinacin, informales, formales ymultidireccionales que contribuyen a los ajustes necesarios de la estructura organizativa.

02 La determinacin de la estructura organizativa debe traducirse en definiciones acerca denormas, procesos de programacin de puestos y contratacin del personal necesariopara cubrir dichos puestos Con respecto de los recursos materiales debe programarse laadquisicin de bienes y contratacin de servicios requeridos, as como la estructura desoporte para su administracin, incluyendo la programacin y administracin de losrecursos financieros.

03 Las entidades pblicas, de acuerdo con la normativa vigente emitida por los organismoscompetentes, deben disear su estructura orgnica, la misma que no solo debe contener

unidades sino tambin considerar los procesos, operaciones, tipo y grado de autoridaden relacin con los niveles jerrquicos, canales y medios de comunicacin, as como lasinstancias de coordinacin interna e interinstitucional que resulten apropiadas. Elresultado de toda esta labor debe formalizarse en manuales de procesos, deorganizacin y funciones y organigramas.

04 La dimensin de la estructura organizativa estar en funcin de la naturaleza,complejidad y extensin de los procesos, actividades y tareas, en concordancia con lamisin establecida en su ley de creacin.

1.5. Administracin de los recursos humanos

Es necesario que el titular o funcionario designado establezca polticas y procedimientosnecesarios para asegurar una apropiada planificacin y administracin de los recursos


17/41



humanos de la entidad, de manera que se garantice el desarrollo profesional y asegure latransparencia, eficacia y vocacin de servicio a la comunidad.

Comentarios:

01 La eficacia del funcionamiento de los sistemas de control interno radica en el elemento

humano. De all la importancia del desempeo de cada uno de los miembros de laentidad y de cun claro comprendan su rol en el cumplimiento de los objetivos. En efecto,la aplicacin exitosa de las medidas, mecanismos y procedimientos de controlimplantados por la administracin est sujeta, en gran parte, a la calidad del potencial delrecurso humano con que se cuente.

02 El titular o funcionario designado debe definir polticas y procedimientos adecuados quegaranticen la correcta seleccin, induccin y desarrollo del personal. Las actividades dereclutamiento y contratacin, que forman parte de la seleccin, deben llevarse a cabo demanera tica. En la induccin deben considerarse actividades de integracin del recursohumano en relacin con el nuevo puesto tanto en trminos generales como especficos.En el desarrollo de personal se debe considerar la creacin de condiciones laboralesadecuadas, la promocin de actividades de capacitacin y formacin que permitan al

personal aumentar y perfeccionar sus capacidades y habilidades, la existencia de unsistema de evaluacin del desempeo objetivo, rendicin de cuentas e incentivos quemotiven la adhesin a los valores y controles institucionales.

1.6. Competencia profesional

El titular o funcionario designado debe reconocer como elemento esencial lacompetencia profesional del personal, acorde con las funciones y responsabilidadesasignadas en las entidades del Estado.

Comentarios:

01 La competencia incluye el conocimiento, capacidades y habilidades necesarias para

ayudar a asegurar una actuacin tica, ordenada, econmica, eficaz y eficiente, al igualque un buen entendimiento de las responsabilidades individuales relacionadas con elcontrol interno.

02 El titular o funcionario designado debe especificar, en los requerimientos de personal, elnivel de competencia requerido para los distintos niveles y puestos de la entidad, ascomo para las distintas tareas requeridas por los procesos que desarrolla la entidad.

03 El titular, funcionarios y dems servidores de la entidad deben mantener el nivel decompetencia que les permita entender la importancia del desarrollo, implantacin ymantenimiento de un buen control interno, y practicar sus deberes para poder alcanzarlos objetivos de ste y la misin de la entidad.

1.7. Asignacin de autoridad y responsabilidad

Es necesario asignar claramente al personal sus deberes y responsabilidades, as comoestablecer relaciones de informacin, niveles y reglas de autorizacin, as como loslmites de su autoridad.

Comentarios:

01 El titular o funcionario designado debe tomar las acciones necesarias para garantizar queel personal que labora en la entidad tome conocimiento de las funciones y autoridadasignadas al cargo que ocupan. Los funcionarios y servidores pblicos tienen laresponsabilidad de mantenerse actualizados en sus deberes y responsabilidadesdemostrando preocupacin e inters en el desempeo de su labor.


18/41



02 La asignacin de autoridad y responsabilidad debe estar definida y contenida en losdocumentos normativos de la entidad, los cuales deben ser de conocimiento del personalen general.

03 Todo el personal que labora en las entidades del Estado debe asumir susresponsabilidades en relacin con las funciones y autoridad asignadas al cargo que

ocupa. En este sentido, cada funcionario o servidor pblico es responsable de sus actosy debe rendir cuenta de los mismos.

04 El titular o funcionario designado debe establecer los lmites para la delegacin deautoridad hacia niveles operativos de los procesos y actividades propias de la entidad, enla medida en que sta favorezca el cumplimiento de sus objetivos.

05 Toda delegacin incluye la necesidad de autorizar y aprobar, cuando sea necesario, losresultados obtenidos como producto de la autoridad asignada.

06 Es necesario considerar que la delegacin de autoridad no exime a los funcionarios yservidores pblicos de la responsabilidad conferida como consecuencia de dichadelegacin. Es decir, la autoridad se delega, en tanto que la responsabilidad se

comparte.

1.8. rgano de Control Institucional

La existencia de actividades de control interno a cargo de la correspondiente unidadorgnica especializada denominada rgano de Control Institucional, que debe estardebidamente implementada, contribuye de manera significativa al buen ambiente decontrol.

Comentarios:

01 Los rganos de Control Institucional realizan sus funciones de control gubernamentalcon arreglo a la normativa del SNC y sujetos a la supervisin de la CGR.

02 Los productos generados por el rgano de Control Institucional no deben limitarse aevaluar los procesos de control vigentes, sino que deben extenderse a la identificacin denecesidades u oportunidades de mejora en los dems procesos de la entidad, tales comoaquellos relacionados con la confiabilidad de los registros y estados financieros, lacalidad de los productos y servicios y la eficiencia de las operaciones, entre otros.

03 Cualquiera sea la conformacin de los equipos de trabajo responsables de la evaluacindel control interno, deben integrarse con miembros de comprobada competencia eidoneidad profesional.

2. NORMA GENERAL PARA EL COMPONENTE EVALUACIN DE

RIESGOSEl componente evaluacin de riesgos abarca el proceso de identificacin y anlisis delos riesgos a los que est expuesta la entidad para el logro de sus objetivos y laelaboracin de una respuesta apropiada a los mismos. La evaluacin de riesgos es partedel proceso de administracin de riesgos, e incluye: planeamiento, identificacin,valoracin o anlisis, manejo o respuesta y el monitoreo de los riesgos de la entidad.

La administracin de riesgos es un proceso que debe ser ejecutado en todas las entidades. Eltitular o funcionario designado debe asignar la responsabilidad de su ejecucin a un rea ounidad orgnica de la entidad. Asimismo, el titular o funcionario designado y el rea o unidadorgnica designada deben definir la metodologa, estrategias, tcticas y procedimientos para elproceso de administracin de riesgos. Adicionalmente, ello no exime a que las dems reas o

unidades orgnicas, de acuerdo con la metodologa, estrategias, tcticas y procedimientosdefinidos, deban identificar los eventos potenciales que pudieran afectar la adecuada ejecucinde sus procesos, as como el logro de sus objetivos y los de la entidad, con el propsito de


19/41



mantenerlos dentro de margen de tolerancia que permita proporcionar seguridad razonablesobre su cumplimiento.

A travs de la identificacin y la valoracin de los riesgos se puede evaluar la vulnerabilidad delsistema, identificando el grado en que el control vigente maneja los riesgos. Para lograr esto,se debe adquirir un conocimiento de la entidad, de manera que se logre identificar los procesos

y puntos crticos, as como los eventos que pueden afectar las actividades de la entidad.

Dado que las condiciones gubernamentales, econmicas, tecnolgicas, regulatorias yoperacionales estn en constante cambio, la administracin de los riesgos debe ser un procesocontinuo.

Establecer los objetivos institucionales es una condicin previa para la evaluacin de riesgos.Los objetivos deben estar definidos antes que el titular o funcionario designado comience aidentificar los riesgos que pueden afectar el logro de las metas y antes de ejecutar las accionespara administrarlos. Estos se fijan en el nivel estratgico, tctico y operativo de la entidad, quese asocian a decisiones de largo, mediano y corto plazo respectivamente.

Se debe poner en marcha un proceso de evaluacin de riesgos donde previamente se

encuentren definidos de forma adecuada las metas de la entidad, as como los mtodos,tcnicas y herramientas que se usarn para el proceso de administracin de riesgos y el tipo deinformes, documentos y comunicaciones que se deben generar e intercambiar.

Tambin deben establecerse los roles, responsabilidades y el ambiente laboral para unaefectiva administracin de riesgos. Esto significa que se debe contar con personal competentepara identificar y valorar los riesgos potenciales.

El control interno solo puede dar una seguridad razonable de que los objetivos de una entidadsean cumplidos. La evaluacin del riesgo es un componente del control interno y juega un rolesencial en la seleccin de las actividades apropiadas de control que se deben llevar a cabo.

La administracin de riesgos debe formar parte de la cultura de una entidad. Debe estar

incorporada en la filosofa, prcticas y procesos de negocio de la entidad, ms que ser vista opracticada como una actividad separada. Cuando esto se logra, todos en la entidad pasan aestar involucrados en la administracin de riesgos.

Contenido

2.1. Planeamiento de la gestin de riesgos2.2. Identificacin de los riesgos2.3. Valoracin de los riesgos2.4. Respuesta al riesgo.

NORMAS BSICAS PARA LA EVALUACIN DE RIESGOS

2.1. Planeamiento de la administracin de riesgos

Es el proceso de desarrollar y documentar una estrategia clara, organizada e interactivapara identificar y valorar los riesgos que puedan impactar en una entidad impidiendo ellogro de los objetivos. Se deben desarrollar planes, mtodos de respuesta y monitoreode cambios, as como un programa para la obtencin de los recursos necesarios paradefinir acciones en respuesta a riesgos.

Comentarios:

01 Un evento es un incidente o acontecimiento derivado de fuentes internas o externas queafecta a la implementacin de la estrategia o la consecucin de objetivos. Los eventospueden tener un impacto positivo, negativo o de ambos tipos a la vez. Cuando el impactoes positivo se le conoce como oportunidad, en tanto que si es negativo se le conocecomo riesgo.


20/41



02 El riesgo se define como la posibilidad de que un evento ocurra y afecte de maneraadversa el logro de los objetivos de la entidad, impidiendo la creacin de valor oerosionando el valor existente. El riesgo combina la probabilidad de que ocurra unevento negativo con cunto dao causara (impacto).

03 El planeamiento de la administracin de riesgos es un proceso continuo. Incluyeactividades de identificacin, anlisis o valoracin, manejo o respuesta y monitoreo ydocumentacin de los riesgos.

04 En el planeamiento de los riesgos se desarrolla una estrategia de gestin, que incluye suproceso e implementacin. Se establecen objetivos y metas, asignandoresponsabilidades para reas especficas, identificando conocimientos tcnicosadicionales necesarios, describiendo el proceso de evaluacin de riesgos y las reas aconsiderar, detallando indicadores de riesgos, delineando procedimientos para lasestrategias del manejo, estableciendo mtricas para el monitoreo y definiendo losreportes, documentos y las comunicaciones necesarios.

05 El planeamiento de la administracin de riesgos puede ser especfico en algunas reas,

como en la asignacin de responsabilidades y en la definicin del entrenamientonecesario que el personal debe tener para un mejor manejo y monitoreo de los riesgos,entre otros.

06 La administracin apropiada de los riesgos tiende a reducir la probabilidad de laocurrencia y del impacto negativo de stos y muestra a la entidad cmo debe iradaptndose a los cambios.

2.2. Identificacin de los riesgos

En la identificacin de los riesgos se tipifican todos los riesgos que pueden afectar ellogro de los objetivos de la entidad debido a factores externos o internos. Los factoresexternos incluyen factores econmicos, medioambientales, polticos, sociales y

tecnolgicos. Los factores internos reflejan las selecciones que realiza la administracine incluyen la infraestructura, personal, procesos y tecnologa.

Comentarios:

01 La metodologa de identificacin de riesgos de una entidad puede comprender unacombinacin de tcnicas vinculadas con herramientas de apoyo. Las tcnicas deidentificacin de riesgos, deben tomar como base eventos y tendencias pasados ascomo tcnicas de prospectiva en general.

02 Es til agrupar en categoras los riesgos potenciales mediante la acumulacin de loseventos que ocurren en una entidad en los procesos claves (estratgicos y operativos),en las actividades crticas, en las fuentes de informacin, en los ciclos de vida de

diferentes procesos, en juicios de expertos, por contexto, entre otros. El titular yfuncionarios deben desarrollar un entendimiento de las interrelaciones que existen entrelos riesgos, no solo consiguiendo informacin detallada como base para su valoracin,sino tambin realizando ejercicios de prospectiva, de manera que se vea plasmado en sugestin.

03 El proceso de identificacin de riesgos debe tener como entradas tanto la experiencia dela entidad en materia de impactos derivados de hechos ocurridos como futuros.

04 La tcnica denominada Juicio de Expertos no solo es aplicable a la identificacin deriesgos, sino tambin a la ejecucin de pronsticos y a la toma de decisiones. Las msusadas son el mtodo Delphi y la tcnica del Grupo Nominal.

05 Se debe identificar los eventos externos e internos que afectan o puedan afectar a laentidad. Dichos eventos, si ocurren, tienen un impacto positivo, negativo o una


21/41



combinacin de ambos. Por lo tanto, los eventos con signo negativo representan riesgosy requieren de evaluacin y respuesta por parte del rgano competente de la entidad. Deotro lado, los eventos con signo positivo representan oportunidades y compensan losimpactos negativos de los riesgos. En trminos generales, una fuente de identificacinson los anlisis de fortalezas-oportunidades-debilidades-amenazas que realizan lasentidades como parte del proceso de planeamiento estratgico, en tanto stos hayan

sido correctamente elaborados.

2.3. Valoracin de los riesgos

El anlisis o valoracin del riesgo le permite a la entidad considerar cmo los riesgospotenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detalladode los temas puntuales sobre riesgos que se hayan decidido evaluar. El propsito esobtener la suficiente informacin acerca de las situaciones de riesgo para estimar suprobabilidad de ocurrencia, tiempo, respuesta y consecuencias.

Comentarios:

01 La administracin debe valorar los riesgos a partir de dos perspectivas: probabilidad e

impacto. Probabilidad representa la posibilidad de ocurrencia, mientras que el impactorepresenta el efecto debido a su ocurrencia. Estos estimados se determinan usando tantodatos de eventos pasados observados, los cuales pueden proveer una base objetiva encomparacin con los estimados subjetivos, como tcnicas prospectivas.

02 La metodologa de anlisis o valoracin del riesgo de una entidad debe normalmentecomprender una combinacin de tcnicas cualitativas y cuantitativas. Las tcnicascualitativas consisten en la evaluacin de la prioridad de los riesgos identificados usandocomo criterios la probabilidad de ocurrencia, el impacto de la materializacin de losriesgos sobre los objetivos, adems de otros factores tales como la tolerancia al riesgo ycostos, entre otros. La administracin a menudo usa tcnicas cualitativas de valoracincuando los riesgos no son cuantificables o cuando el uso de datos no son verificables.Las tcnicas cuantitativas son usadas para analizar numricamente el efecto de los

riesgos identificados en los objetivos. La seleccin de las tcnicas debe reflejar el nivelde precisin requerido y la cultura de la unidad de negocios.

03 La administracin debe usar mtricas de desempeo para determinar en qu medida seestn logrando los objetivos. Puede ser til usar la misma unidad de medida cuando seconsidera el impacto potencial de un riesgo para el logro de un objetivo especfico. Laentidad puede valorar la manera cmo los riesgos se correlacionan positivamente,combinan e interactan para crear probabilidades o impactos significativamentediferentes. Si bien el impacto individual puede ser bajo, una correlacin positiva de stospuede tener impacto mayor. Cuando los riesgos no estn positivamente correlacionados,la administracin los valora individualmente; cuando es probable que stos ocurran enmltiples unidades de negocio, la gestin puede valorarlos y agruparlos en categorascomunes.

Usualmente existe un rango de resultados posibles que se asocian con un riesgo, y lagestin los considera como base para desarrollar una respuesta.

04 Se debe estimar la frecuencia con que se presentarn los riesgos identificados,cuantificar la probable prdida que pueden ocasionar y calcular el impacto que puedentener en la satisfaccin de los usuarios del servicio. De este anlisis, se derivarn losobjetivos especficos de control y las actividades asociadas para minimizar los efectos delos riesgos identificados como relevantes.

05 Los mtodos utilizados para determinar la importancia relativa de los riesgos pueden serdiversos, debiendo considerar al menos una estimacin de su frecuencia, probabilidad deocurrencia y una cuantificacin de los efectos resultantes o impacto.


22/41



2.4. Respuesta al riesgo

La administracin identifica las opciones de respuesta al riesgo considerando laprobabilidad y el impacto en relacin con la tolerancia al riesgo y su relacin costo-beneficio. La consideracin del manejo del riesgo y la seleccin e implementacin deuna respuesta son parte integral de la administracin de los riesgos.

Comentarios:

01 Una parte crtica de esta etapa es la estrategia de respuesta a los riesgos. Este procesoconsiste en la seleccin de la opcin ms apropiada en su manejo (evitarlos, reducirlos,compartirlos y aceptarlos) y su debida implementacin (a menudo aquellos con nivelesde medio y alto riesgo).

02 Las respuestas al riesgo son evitar, reducir, compartir y aceptar. Evitar el riesgo implica elprevenir las actividades que los originan. La reduccin incluye los mtodos y tcnicasespecficas para lidiar con ellos, identificndolos y proveyendo una accin para lareduccin de su probabilidad e impacto. El compartirlo reduce la probabilidad o elimpacto mediante la transferencia u otra manera de compartir una parte del riesgo. La

aceptacin no realiza accin alguna para afectar la probabilidad o el impacto. Como partede la administracin de riesgos, la entidad considera para cada riesgo significativo lasrespuestas potenciales a partir del rango de respuestas. Esto da profundidad suficientepara seleccionar la respuesta y modificar su status quo.

03 La administracin de la entidad considera el riesgo como un todo y puede asumir unenfoque mediante el cual el responsable de cada unidad desarrolla una valoracincompuesta de los riesgos y de las respuestas para esa unidad. Este punto de vista reflejael perfil de la unidad en relacin con sus objetivos y sus tolerancias al riesgo.

04 La administracin, luego de seleccionar una respuesta, vuelve a medir el riesgo sobreuna base residual. Asimismo, debe reconocer que siempre existir algn nivel de riesgoresidual no solo porque los recursos son limitados, sino tambin por causa de la

incertidumbre futura inherente y las limitaciones propias de todas las actividades.

3. NORMA GENERAL PARA EL COMPONENTE ACTIVIDADES DECONTROL GERENCIAL

El componente actividades de control gerencial comprende polticas y procedimientosestablecidos para asegurar que se estn llevando a cabo las acciones necesarias en laadministracin de los riesgos que pueden afectar los objetivos de la entidad,contribuyendo a asegurar el cumplimiento de estos.

El titular o funcionario designado debe establecer una poltica de control que se traduzca en unconjunto de procedimientos documentados que permitan ejercer las actividades de control.

Los procedimientos son el conjunto de especificaciones, relaciones y ordenamiento sistmicode las tareas requeridas para cumplir con las actividades y procesos de la entidad. Losprocedimientos establecen los mtodos para realizar las tareas y la asignacin deresponsabilidad y autoridad en la ejecucin de las actividades.

Las actividades de control gerencial tienen como propsito posibilitar una adecuada respuestaa los riesgos de acuerdo con los planes establecidos para evitar, reducir, compartir y aceptarlos riesgos identificados que puedan afectar el logro de los objetivos de la entidad. Con estepropsito, las actividades de control deben enfocarse hacia la administracin de aquellosriesgos que puedan causar perjuicios a la entidad.

Las actividades de control gerencial se dan en todos los procesos, operaciones, niveles y

funciones de la entidad. Incluyen un rango de actividades de control de deteccin y prevencintan diversas como: procedimientos de aprobacin y autorizacin, verificaciones, controles


23/41



sobre el acceso a recursos y archivos, conciliaciones, revisin del desempeo de operaciones,segregacin de responsabilidades, revisin de procesos y supervisin.

Para ser eficaces, las actividades de control gerencial deben ser adecuadas, funcionarconsistentemente de acuerdo con un plan y contar con un anlisis de costo-beneficio.Asimismo, deben ser razonables, entendibles y estar relacionadas directamente con los

objetivos de la entidad.

Contenido

3.1. Procedimientos de autorizacin y aprobacin3.2. Segregacin de funciones3.3. Evaluacin costo-beneficio3.4. Controles sobre el acceso a los recursos o archivos3.5. Verificaciones y conciliaciones3.6. Evaluacin de desempeo3.7. Rendicin de cuentas3.8. Revisin de procesos, actividades y tareas3.9. Controles para las Tecnologas de la Informacin y Comunicaciones (TIC).

NORMAS BSICAS PARA LAS ACTIVIDADES DE CONTROL GERENCIAL

3.1. Procedimientos de autorizacin y aprobacin

La responsabilidad por cada proceso, actividad o tarea organizacional debe serclaramente definida, especficamente asignada y formalmente comunicada al funcionariorespectivo. La ejecucin de los procesos, actividades, o tareas debe contar con laautorizacin y aprobacin de los funcionarios con el rango de autoridad respectivo.

Comentarios:

01 La autorizacin para la ejecucin de procesos, actividades o tareas debe ser realizadaslo por personas que tengan el rango de autoridad competente. Las instrucciones quese imparten a todos los funcionarios de la institucin deben darse principalmente porescrito u otro medio susceptible de ser verificado y formalmente establecido. Laautorizacin es el principal medio para asegurar que las actividades vlidas seanejecutadas segn las intenciones del titular o funcionario designado. Los procedimientosde autorizacin deben estar documentados y ser claramente comunicados a losfuncionarios y servidores pblicos. Asimismo, deben incluir condiciones y trminos, detal manera que los empleados acten en concordancia con dichos trminos y dentro delas limitaciones establecidas por el titular o funcionario designado o normativa respectiva.

02 La aprobacin consiste en el acto de dar conformidad o calificar positivamente, porescrito u otro medio susceptible de ser verificado y formalmente establecido, los

resultados de los procesos, actividades o tareas con el propsito que stos puedan seremitidos como productos finales o ser usados como entradas en otros procesos. Losprocedimientos de aprobacin deben estar documentados y ser claramente comunicadosa los funcionarios y servidores pblicos.

3.2. Segregacin de funciones

La segregacin de funciones en los cargos o equipos de trabajo debe contribuir areducir los riesgos de error o fraude en los procesos, actividades o tareas. Es decir, unsolo cargo o equipo de trabajo no debe tener el control de todas las etapas clave en unproceso, actividad o tarea.

Comentarios:


24/41



01 Las funciones deben establecerse sistemticamente a un cierto nmero de cargos paraasegurar la existencia de revisiones efectivas. Las funciones asignadas deben incluirautorizacin, procesamiento, revisin, control, custodia, registro de operaciones y archivode la documentacin.

02 La segregacin de funciones debe estar asignada en funcin de la naturaleza y volumen

de operaciones de la entidad.

03 La rotacin de funcionarios o servidores pblicos puede ayudar a evitar la colusin yaque impide que una persona sea responsable de aspectos claves por un excesivoperodo de tiempo.

3.3. Evaluacin costo-beneficio

El diseo e implementacin de cualquier actividad o procedimiento de control deben serprecedidos por una evaluacin de costo-beneficio considerando como criterios lafactibilidad y la conveniencia en relacin con el logro de los objetivos, entre otros.

Comentarios:

01 Debe considerarse como premisa bsica que el costo de establecer un control no supereel beneficio de l se pueda obtener. Para ello la evaluacin de los controles debe hacersea travs de dos criterios: factibilidad y conveniencia.

02 La factibilidad tiene que ver con la capacidad de la entidad de implantar y aplicar elcontrol eficazmente, lo que est determinado, fundamentalmente, por su disponibilidadde recursos, incluyendo personal con capacidad para ejecutar los procedimientos ymedidas del caso y obtener los objetivos de control pretendidos.

03 La conveniencia se relaciona con los beneficios esperados en comparacin con losrecursos invertidos, y con la necesidad de que los controles se acoplen de manera

natural a los procesos, actividades y tareasde los empleados y se conviertan en parte deellos.

04 Revisar y actualizar peridicamente los controles existentes de manera que satisfaganlos criterios de factibilidad y conveniencia.

3.4. Controles sobre el acceso a los recursos o archivos

El acceso a los recursos o archivos debe limitarse al personal autorizado que searesponsable por la utilizacin o custodia de los mismos. La responsabilidad en cuanto ala utilizacin y custodia debe evidenciarse a travs del registro en recibos, inventarios ocualquier otro documento o medio que permita llevar un control efectivo sobre losrecursos o archivos.

Comentarios:

01 El acceso a los recursos y archivos se da de dos maneras: (i) autorizacin para uso y (ii)autorizacin de custodia.

02 La restriccin de acceso a los recursos reduce el riesgo de la utilizacin no autorizada oprdida. El grado de restriccin depende de la vulnerabilidad de los recursos y el riesgopercibido de prdida o utilizacin indebida. Asimismo, deben evaluarse peridicamenteestos riesgos. Por otro lado, para determinar la vulnerabilidad de un recurso se debeconsiderar su costo, portabilidad y posibilidad de cambio.


25/41



3.5. Verificaciones y conciliaciones

Los procesos, actividades o tareas significativos deben ser verificados antes y despusde realizarse, as como tambin deben ser finalmente registrados y clasificados para surevisin posterior.

Comentarios:

01 Las verificaciones y conciliaciones de los registros contra las fuentes respectivas debenrealizarse peridicamente para determinar y enmendar cualquier error u omisin que sehaya cometido en el procesamiento de los datos.

02 Deben tambin realizarse verificaciones y conciliaciones entre los registros de una mismaunidad, entre stos y los de distintas unidades, as como contra los registros generalesde la institucin y los de terceros ajenos a sta, con la finalidad de establecer laveracidad de la informacin contenida en los mismos. Dichos registros estn referidos ala informacin operativa, financiera, administrativa y estratgica propia de la institucin.

3.6. Evaluacin de desempeo

Se debe efectuar una evaluacin permanente de la gestin tomando como base regularlos planes organizacionales y las disposiciones normativas vigentes, para prevenir ycorregir cualquier eventual deficiencia o irregularidad que afecte los principios deeficiencia, eficacia, economa y legalidad aplicables.

Comentarios:

01 La administracin, independientemente del nivel jerrquico o funcional, debe vigilar yevaluar la ejecucin de los procesos, actividades, tareas y operaciones, asegurndoseque se observen los requisitos aplicables (jurdicos, tcnicos y administrativos; de origeninterno y externo) para prevenir o corregir desviaciones. Durante la evaluacin deldesempeo, los indicadores establecidos en los planes estratgicos y operativos debenaplicarse como puntos de referencia.

02 La evaluacin del desempeo permite generar conciencia sobre los objetivos y beneficiosderivados del logro de los resultados organizacionales, tanto dentro de la institucincomo hacia la colectividad. Asimismo, la retroalimentacin obtenida con respecto alcumplimiento de los planes permite conocer si es necesario modificarlos. Esto ltimo conel objetivo de fortalecer a la entidad y enfrentar cualquier riesgo existente, as comoprever cualquier otro que pueda presentarse en el futuro.

03 La evaluacin de desempeo de la gestin debe constituir una herramienta necesariaque requiere ser formalizada a travs de regulaciones internas, debiendo definirse yformalizarse en documentos de carcter institucional.

04 Una medida de evaluacin del desempeo en cuanto a procesos u operaciones lopueden brindar los indicadores. Estos constituyen una herramienta para evaluar el logrode los objetivos y metas y asegurar el adecuado funcionamiento del sistema a travs dela aplicacin de las actividades de control de control gerencial destinadas a minimizar losriesgos de la entidad. A partir de estos indicadores se puede disear un sistema de alertatemprano que permita identificar con anticipacin los factores que pueden afectar el logrode objetivos y metas, cuantificando su incidencia.

3.7. Rendicin de cuentas

La entidad, los titulares, funcionarios y servidores pblicos estn obligados a rendir

cuentas por el uso de los recursos y bienes del Estado, el cumplimiento misional y delos objetivos institucionales, as como el logro de los resultados esperados, para cuyo


26/41



efecto el sistema de control interno establecido deber brindar la informacin y el apoyopertinente.

Comentarios:

01 En cumplimiento de la normativa establecida y como correlato a sus responsabilidades

por la administracin y uso de recursos y bienes de la entidad, los funcionarios yservidores pblicos deben estar preparados en todo momento para cumplir con suobligacin peridica de rendir cuentas ante la instancia correspondiente, respecto al usode los recursos y bienes del Estado.

02 El sistema de control interno debe servir como fuente y respaldo de la informacinnecesaria, que refuerza y apoya el compromiso por la oportuna rendicin de cuentasmediante la implementacin de medidas y procedimientos de control.

3.8. Documentacin de procesos, actividades y tareas

Los procesos, actividades y tareas deben estar debidamente documentados paraasegurar su adecuado desarrollo de acuerdo con los estndares establecidos, facilitar la

correcta revisin de los mismos y garantizar la trazabilidad de los productos o serviciosgenerados.

01 Los procesos, actividades y tareas que toda entidad desarrolla deben ser claramenteentendidos y estar correctamente definidos de acuerdo con los estndares establecidospor el titular o funcionario designado, para as garantizar su adecuada documentacin.Dicha documentacin comprende tambin los registros generados por los controlesestablecidos, como consecuencia de hechos significativos que se produzcan en losprocesos, actividades y tareas, debiendo considerarse como mnimo la descripcin de loshechos sucedidos, el efecto o impacto, las medidas adoptadas para su correccin y losresponsables en cada caso.

02 Cualquier modificacin en los procesos, actividades y tareas producto de mejoras o

cambios en las normativas y estndares deben reflejarse en una actualizacin de ladocumentacin respectiva.

03 La documentacin correspondiente a los procesos, actividades y tareas de la entidaddeben estar disponibles para facilitar la revisin de los mismos.

04 La documentacin de los procesos, actividades y tareas debe garantizar una adecuadatransparencia en la ejecucin de los mismos, as como asegurar el rastreo de las fuentesde defectos o errores en los productos o servicios generados (trazabilidad).

3.9. Revisin de procesos, actividades y tareas

Los procesos, actividades y tareas deben ser peridicamente revisados para asegurarque cumplen con los reglamentos, polticas, procedimientos vigentes y demsrequisitos. Este tipo de revisin en una entidad debe ser claramente distinguido delseguimiento del control interno.

Comentarios:

01 Las revisiones peridicas de los procesos, actividades y tareas deben proporcionarseguridad de que stos se estn desarrollando de acuerdo con lo establecido en losreglamentos, polticas y procedimientos, as como asegurar la calidad de los productos yservicios entregados por las entidades. Caso contrario se debe detectar y corregiroportunamente cualquier desviacin con respecto a lo planeado.

02 Las revisiones peridicas de los procesos, actividades y tareas deben brindar laoportunidad de realizar propuestas de mejora en stos con la finalidad de obtener unamayor eficacia y eficiencia, y as contribuir a la mejora continua en la entidad.


27/41



3.10. Controles para las Tecnologas de la Informacin y Comunicaciones

La informacin de la entidad es provista mediante el uso de Tecnologas de la

Informacin y Comunicaciones (TIC). Las TIC abarcan datos, sistemas de informacin,tecnologa asociada, instalaciones y personal. Las actividades de control de las TICincluyen controles que garantizan el procesamiento de la informacin para elcumplimiento misional y de los objetivos de la entidad, debiendo estar diseados paraprevenir, detectar y corregir errores e irregularidades mientras la informacin fluye atravs de los sistemas.

Comentarios:

01 Los controles generales los conforman la estructura, polticas y procedimientos que seaplican a las TIC de la entidad y que contribuyen a asegurar su correcta operatividad. Losprincipales controles deben establecerse en:

Sistemas de seguridad de planificacin y gestin de la entidad en los cuales loscontroles de los sistemas de informacin deben aplicarse en las secciones dedesarrollo, produccin y soporte tcnico

Segregacin de funciones Controles de acceso general, es decir, seguridad fsica y lgica de los equipos

centrales Continuidad en el servicio.

02 Para la puesta en funcionamiento de las TIC, la entidad debe disear controles en lassiguientes etapas :

(i) Definicin de los recursos(ii) Planificacin y organizacin

(iii) Requerimiento y salida de datos o informacin(iv) Adquisicin e implementacin(v) Servicios y soporte(vi) Seguimiento y monitoreo.

03 La segregacin de funciones implica que las polticas, procedimientos y estructuraorganizacional estn establecidos para prevenir que una persona controle los aspectosclave de las operaciones de los sistemas, pudiendo as conducir a acciones noautorizadas u obtener acceso indebido a los recursos de informacin.

04 El control del desarrollo y mantenimiento de los sistemas de informacin provee laestructura para el desarrollo seguro de nuevos sistemas y la modificacin de losexistentes, incluyendo las carpetas de documentacin de estos. Se requiere definir

mecanismos de autorizacin para la realizacin de proyectos, revisiones, pruebas yaprobaciones para actividades de desarrollo y modificaciones previas a la puesta enoperacin de los sistemas. Las decisiones sobre desarrollo propio o adquisicin desoftware deben considerar la satisfaccin de las necesidades y requerimientos de losusuarios as como el aseguramiento de su operabilidad.

05 Los controles de aplicacin incluyen la implementacin de controles para el ingreso dedatos, proceso de transformacin y salida de informacin, ya sea por medios fsicos oelectrnicos. Los controles deben estar implementados en los siguientes procesos: Controles para el rea de desarrollo:

- En el requerimiento, anlisis, desarrollo, pruebas, pase a produccin,mantenimiento y cambio en la aplicacin del software

- En el aseguramiento de datos fuente por medio de accesos a usuarios internos delrea de sistemas


28/41



- En la salida interna y externa de datos, por medio de documentacin en soportefsico o electrnico o por medio de comunicaciones a travs de publicidad y pginaWeb

Controles para el rea de produccin:- En la seguridad fsica, por medio de restricciones de acceso a la sala de cmputo y

procesamiento de datos, a las redes instaladas, as como al respaldo de la

Normas de Control Interno[1]

Documents

Transcript of Normas de Control Interno[1]