Marco Integrado de Control Interno

Marco Integrado
de Control Interno
ndice
1. PRESENTACIN DE LA PROPUESTA DEL MARCO INTEGRADO DE CONTROL
INTERNO PARA EL SECTOR PBLICO
2. DEFINICIONES
3. MARCO INTEGRADO DE CONTROL INTERNO PARA EL SECTOR PBLICO
SECCIN 1 CONCEPTOS FUNDAMENTALES DE CONTROL INTERNO

Definicin de Control Interno

Caractersticas del Control Interno
SECCIN 2 ESTABLECIMIENTO DEL CONTROL INTERNO

Presentacin del Marco Integrado de Control Interno para el Sector

Pblico

Componentes, Principios y Puntos de Inters del Control Interno

El Control Interno y la Institucin

Responsabilidades y Funciones en el Control Interno

Objetivos de la Institucin
SECCIN 3 EVALUACIN DEL CONTROL INTERNO

Elementos de un Control Interno Apropiado

Aspectos de la Evaluacin del Control Interno
SECCIN 4 CONSIDERACIONES ADICIONALES

Servicios Tercerizados

Instituciones Grandes o Pequeas

Costos y Beneficios del Control Interno

Documentacin del Control Interno

Aplicacin en las Instituciones
4. COMPONENTES DEL CONTROL INTERNO
AMBIENTE DE CONTROL

Principio 1 Mostrar Actitud de Respaldo y Compromiso

Principio 2 Ejercer la Responsabilidad de Vigilancia

Principio 3 Establecer la Estructura, Responsabilidad y Autoridad

Principio 4 - Demostrar Compromiso con la Competencia Profesional

Principio 5 Establecer la Estructura para el Reforzamiento de la

Rendicin de Cuentas
ADMINISTRACIN DE RIESGOS

Principio 6 Definir Objetivos y Tolerancias al Riesgo

Principio 7 Identificar, Analizar y Responder a los Riesgos

Principio 8 Considerar el Riesgo de Corrupcin

Principio 9 Identificar, Analizar y Responder al Cambio
ACTIVIDADES DE CONTROL

Principio 10 Disear Actividades de Control

Principio 11 Disear Actividades para los Sistemas de Informacin

Principio 12 Implementar Actividades de Control
INFORMACIN Y COMUNICACIN

Principio 13 Usar Informacin de Calidad

Principio 14 Comunicar Internamente

Principio 15 Comunicar Externamente
SUPERVISIN

Principio 16 - Realizar Actividades de Supervisin

Principio 17 Evaluar los Problemas y Corregir las Deficiencias
4
5
8
8
8
8
9
9
10
13
14
15
17
17
17
18
18
19
19
20
20
21
21
21
23
25
27
28
30
30
32
33
35
36
36
40
43
44
44
45
46
47
48
49
Marco Integrado de Control Interno
...........................................................................................................................................
Presentacin del Marco Integrado de

Control Interno para el Sector Pblico
El desarrollo nacional es el eje rector de las polticas
pblicas en nuestro pas, en donde la produccin de
bienes y la prestacin de servicios pblicos por parte
del aparato de gobierno busca generar condiciones
de bienestar social.
Tal funcin gubernamental recae sobre los Titulares y el
resto del personal de las instituciones del sector pblico,
cuya tarea ineludible consiste, entre otras cosas, en
ejecutar una adecuada programacin, seguimiento y
control de los recursos que impulsen el cumplimiento del
mandato, la misin, visin y sus objetivos; promuevan la
rendicin de cuentas, la transparencia y el combate a
la corrupcin, y garanticen el mejoramiento continuo
del quehacer gubernamental.
En este sentido, la implementacin de un Sistema de
Control Interno efectivo representa una herramienta
fundamental que aporta elementos que, promueven la
consecucin de los objetivos institucionales; minimizan
los riesgos; reducen la probabilidad de ocurrencia
de actos de corrupcin y fraudes, y consideran la
integracin de las tecnologas de informacin a
los procesos institucionales; asimismo respaldan la
integridad y el comportamiento tico de los servidores
pblicos, y consolidan los procesos de rendicin de
cuentas y de transparencia gubernamentales.
Actualmente, en nuestro pas se han desarrollado
diversos esfuerzos en materia de control interno
gubernamental:
La Secretara de la Funcin Pblica (SFP) public
y actualiz, desde 2010 a la fecha, el ACUERDO
por el que se emiten las Disposiciones en
Materia de Control Interno y se expide el Manual
Administrativo de Aplicacin General en Materia
de Control Interno (el Acuerdo de Control Interno),
que tiene por objeto implementar y mejorar las
disposiciones jurdicas reguladoras en materia
de control interno para la Administracin Pblica
Federal (APF). Asimismo, en un trabajo conjunto
entre las instancias estatales correspondientes
y la SFP, en 21 entidades federativas y el Distrito
Federal, se publicaron diversos ordenamientos en
materia de control interno, mismas que retoman,

en su mayora, la estructura y conceptos del
Acuerdo de Control Interno.
La Auditora Superior de la Federacin (ASF), para
fortalecer las capacidades en la materia, llev
a cabo el Estudio de la Situacin que Guarda
el Sistema de Control Interno Institucional en el
Sector Pblico Federal y el Estudio Tcnico para
la Promocin de la Cultura de Integridad en el
Sector Pblico, as como los trabajos de anlisis
sobre los contenidos del Acuerdo de Control
Interno y de los distintos ordenamientos emitidos
a este respecto por el Distrito Federal y los 21
estados que cuentan con tal instrumento.
El Sistema Nacional de Fiscalizacin (SNF),
integrado por la SFP, las Entidades de Fiscalizacin
Superior Locales, las Contraloras Estatales del pas
y la ASF, considera como uno de sus objetivos
impulsar adecuaciones a las disposiciones
jurdicas tendentes a fortalecer la aplicacin
de los recursos presupuestales y de los fondos
federales, as como cambios estructurales en el
mbito jurdico que permitan incorporar mejores
prcticas en la gestin gubernamental, para
lo cual se crearon grupos de trabajo, entre los
que se cuenta el Grupo de Trabajo de Control
Interno, que continuar realizando actividades
sobre el tema.
Entre las responsabilidades de este grupo, se
encuentran: generar estrategias, en los tres
rdenes de gobierno, de acuerdo a su mbito de
competencia, para homologar la normativa en
materia de control interno; asegurar la fiscalizacin
del control interno de las instituciones auditadas,
en los programas de auditora e identificar los
cambios legales, estructurales y normativos que
permitan fortalecer a las instancias de control.
En este contexto y aunado a: 1) la necesidad de
que las instituciones del Sector Publico establezcan,
actualicen y mejoren continuamente sus sistemas de
control interno; 2) la actualizacin, en mayo de 2013,
...............................................................................................................................................
del Marco Integrado de Control Interno emitido por

el Comit de Organizaciones Patrocinadoras de la
Comisin Treadway (COSO por sus siglas en ingls), y
3) la reciente actualizacin, en septiembre de 2014,
de las Normas de Control Interno para el Gobierno
Federal publicadas por la Oficina de Rendicin de
Cuentas Gubernamental (GAO, por sus siglas en ingls),
se propone, en el seno del SNF, el presente trabajo,
desarrollado por el Grupo de Trabajo de Control Interno,
el cual consiste en un Marco Integrado de Control Interno
para el Sector Pblico (el Marco) nico, aplicable a los
tres rdenes de gobierno, basado en los componentes,
principios y puntos de inters que las mejores prcticas
internacionales en la materia ponen de manifiesto.
El Marco, proporciona un modelo general para
establecer, mantener y mejorar el sistema de control
interno institucional, aportando distintos elementos
para el cumplimiento de las categoras de objetivos

institucionales (operacin, informacin y cumplimiento).
El presente Marco est diseado como un modelo de
control interno que puede ser adoptado y adaptado
por las instituciones en los mbitos Federal, Estatal
y Municipal, el cual gozara de mayor aceptacin
e impacto, si los distintos niveles de gobierno, en
el mbito de sus atribuciones expiden los decretos
correspondientes para su aprobacin.
Estamos convencidos que la implementacin y, en
su caso, la adaptacin del Marco promover el
mejoramiento de las funciones del Estado Mexicano
y los resultados se traducirn en mejoras de la gestin
gubernamental, la prevencin y erradicacin de la
corrupcin y el desarrollo de un sistema integral de
rendicin de cuentas.
Definiciones
Para los efectos del presente Marco Integrado de Control Interno para el Sector Pblico se entender por:
Administracin.
Personal de mandos superiores y medios, diferente al Titular, directamente responsables de todas las actividades
en la institucin, incluyendo el diseo, la implementacin y la eficacia operativa del control interno.
Atributos.
Informacin adicional que proporciona una explicacin ms detallada respecto de los principios y los requisitos
de documentacin y formalizacin para el desarrollo de un Sistema de Control Interno efectivo.
Competencia profesional.
Cualificacin para llevar a cabo las responsabilidades asignadas. Requiere habilidades y conocimientos, que son
adquiridos generalmente con la formacin y experiencia profesional y certificaciones. Se expresa en la actitud
y el comportamiento de los individuos para llevar a cabo sus funciones y cumplir con sus responsabilidades.
Controles a nivel institucin.
Controles que tienen un efecto generalizado en el sistema de control interno institucional; los controles a nivel
institucin pueden incluir controles relacionados con el proceso de evaluacin de riesgos de la entidad, ambiente
de control, organizaciones de servicios, elusin de controles y supervisin.
Controles generales.
Polticas y procedimientos que se aplican a todos o a un segmento amplio de los sistemas de informacin
institucionales; los controles generales incluyen la gestin de la seguridad, accesos lgicos y fsicos, configuraciones,
segregacin de funciones y planes de contingencia.
...........................................................................................................................................
Elusin de controles.
Omisin del cumplimiento de las polticas y procedimientos establecidos con la intencin de obtener beneficios
personales, simular el cumplimiento de ciertas condiciones o propiciar actividades comnmente ilcitas.
Estructura organizacional. Unidades administrativas, procesos sustantivos y adjetivos y cualquier otra estructura
utilizada por la Direccin para lograr los objetivos institucionales.
Evaluacin del Sistema de Control Interno.
Proceso mediante el cual, servidores pblicos independientes a los responsables de los procesos susceptibles de
evaluacin o a travs de externos, determinan la idoneidad, eficacia, eficiencia y economa en la aplicacin
del control interno en la institucin, las unidades administrativas, los procesos, funciones y actividades, y definen
y atienden las debilidades del Sistema de Control Interno.
Indicadores de desempeo.
Medidas de evaluacin del desempeo de la institucin en el logro de los objetivos.

Informacin de calidad. Informacin proveniente de fuentes confiables y es adecuada, actual, completa,
exacta, accesible y proporcionada de manera oportuna.
Institucin o instituciones.
Dependencias y entidades de la Administracin Pblica Federal, Estatal o Municipal, segn corresponda, as

como en los rganos Constitucionales Autnomos, en su caso.
Importancia relativa.
Es la conclusin, respecto del anlisis de la naturaleza e impacto de cierta informacin, en la que la omisin o
presentacin incorrecta de sta, no tiene efectos importantes en las decisiones que los diversos usuarios adopten.
Lneas de reporte.
Lneas de comunicacin, internas y externas, a todos los niveles en la institucin que proporcionan mtodos de
comunicacin que pueden circular en todas las direcciones al interior de la estructura organizacional.
Mejora continua.
Proceso de optimizacin y perfeccionamiento del Sistema de Control Interno; de la eficacia, eficiencia y economa
de su gestin; y de la mitigacin de riesgos, a travs de indicadores de desempeo y su evaluacin peridica.
Objetivos cualitativos.
Objetivos que la Direccin puede necesitar para disear indicadores de desempeo que sealen el nivel o
grado de desempeo, tales como hitos.
Objetivos cuantitativos.
Las normas e indicadores de desempeo pueden ser un porcentaje especfico o un valor numrico.
Polticas.
Declaraciones de responsabilidad respecto de los objetivos de los procesos, sus riesgos relacionados y el diseo,
implementacin y eficacia operativa de las actividades de control.
...............................................................................................................................................
Planes de contingencia.
Proceso definido para identificar y atender la necesidad institucional de responder a los cambios repentinos en
el personal y que pueden comprometer el Sistema de Control Interno.
Sector Pblico.
La Administracin Pblica Federal, Estatal o Municipal, segn corresponda, as como los rganos Constitucionales
Autnomos, en su caso.
Seguridad razonable.
Alto nivel de confianza, ms no absoluto, de que los objetivos de la institucin sern alcanzados.
Sistema de informacin.
Personal, procesos, datos y tecnologa, organizados para obtener, comunicar o disponer de la informacin.
TIC.
Tecnologas de Informacin y Comunicaciones; procesos de informacin habilitados con la Tecnologa.
Titulares.
Secretarios, Directores Generales, Coordinadores, Delegados, Jefes, Procuradores o cualquier otro funcionario
de primer nivel de las instituciones del Sector Pblico, con independencia del trmino con el que se identifique
su cargo o puesto.
Unidades administrativas.
Divisin administrativa, establecida en instrumento jurdico respectivo, de los ejecutores de gasto del sector
pblico y que para efectos de la programacin, presupuesto, ejercicio, control y evaluacin del gasto pblico
federal estn constituidas en unidades responsables.
...........................................................................................................................................
Marco Integrado de Control Interno para

el Sector Pblico
Seccin 1 Conceptos Fundamentales
de Control Interno
Definicin de Control Interno
El control interno es un proceso efectuado por el
rgano de Gobierno, el Titular, la Administracin y
los dems servidores pblicos de una Institucin, con
objeto de proporcionar una seguridad razonable
sobre la consecucin de los objetivos institucionales
y la salvaguarda de los recursos pblicos, as como
para prevenir la corrupcin. Estos objetivos y sus riesgos
relacionados pueden ser clasificados en una o ms
de las siguientes categoras:
Operacin. Se refiere a la eficacia, eficiencia y
economa de las operaciones.
Informacin. Consiste en la confiabilidad de los
informes internos y externos.
Cumplimiento. Se relaciona con el apego a las
disposiciones jurdicas y normativas.
stas categoras son distintas, pero interactan creando

sinergias que favorecen el funcionamiento de una
institucin para lograr su misin y mandato legal. Un
objetivo particular puede relacionarse con ms de
una categora, resolver diferentes necesidades y ser
responsabilidad directa de diversos servidores pblicos.
El control interno incluye planes, mtodos, programas,
polticas y procedimientos utilizados para alcanzar el
mandato, la misin, el plan estratgico, los objetivos y
las metas institucionales. Asimismo, constituye la primera
lnea de defensa en la salvaguarda de los recursos
pblicos y la prevencin de actos de corrupcin. En
resumen, el control interno ayuda al Titular de una
institucin a lograr los resultados programados a travs
de la administracin eficaz de todos sus recursos, como
son los tecnolgicos, materiales, humanos y financieros.
Caractersticas del Control Interno

El control interno conforma un sistema integral y continuo
aplicable al entorno operativo de una institucin que,
llevado a cabo por su personal, provee una seguridad
razonable, ms no absoluta, de que los objetivos de
la institucin sern alcanzados.
El control interno no es un evento nico y aislado, sino
una serie de acciones y procedimientos desarrollados y
concatenados que se realizan durante el desempeo
de las operaciones de una institucin. Es reconocido
como una parte intrnseca de la gestin de procesos
operativos para guiar las actividades de la institucin
y no como un sistema separado dentro de sta. En
este sentido, el control interno se establece al interior
de la institucin como una parte de la estructura
organizacional para ayudar al Titular, a la Administracin
y al resto de los servidores pblicos a alcanzar los
objetivos institucionales de manera permanente en
sus operaciones.
Los servidores pblicos son los que propician que el

control interno funcione. El Titular es responsable de
asegurar, con el apoyo de unidades especializadas y
el establecimiento de lneas de responsabilidad, que
su institucin cuenta con un control interno apropiado,
lo cual significa que el control interno:
Es acorde con el tamao, estructura, circunstancias
especficas y mandato legal de la institucin;
Contribuye de manera eficaz, eficiente y
econmica a alcanzar las tres categoras de
objetivos institucionales (operaciones, informacin
y cumplimiento); y
Asegura, de manera razonable, la salvaguarda
de los recursos pblicos, la actuacin honesta
de todo el personal y la prevencin de actos de
corrupcin.
...............................................................................................................................................
Como parte de esa responsabilidad, el Titular:

a) Establece los objetivos institucionales de control
interno.
b) Asigna de manera clara a determinadas unidades
o reas, la responsabilidad de:
Implementar controles adecuados y suficientes
en toda la institucin,
Supervisar y evaluar peridicamente el control
interno (por lo general, a cargo de las unidades
institucionales de auditora interna), y
Mejorar de manera continua el control interno,
con base en los resultados de las evaluaciones
peridicas realizadas por los revisores internos

y externos, entre otros elementos.
Si bien el Titular de la institucin es el primer responsable
del control interno, todos los servidores pblicos de sta
desempean un papel importante en la implementacin
y operacin del control interno.
De esta manera, todo el personal de la institucin
es responsable de que existan controles adecuados
y suficientes para el desempeo de sus funciones
especficas, los cuales contribuyen al logro eficaz y
eficiente de sus objetivos, de acuerdo con el modelo
de control interno establecido y supervisado por las
unidades o reas de control designadas para tal efecto
por el Titular de la institucin.
Seccin 2 Establecimiento del Control Interno

Presentacin del Marco Integrado de Control Interno para el
Sector Pblico
El presente documento establece el Marco Integrado
de Control Interno para el Sector Pblico (el Marco),
acordado en el seno del Sistema Nacional de Fiscalizacin
(SNF), el cual es aplicable a toda institucin del Sector
Pblico, independientemente del orden de gobierno
en que se encuadre (Federal, Estatal o Municipal) el
Poder al que pertenezca (Ejecutivo, Legislativo, Judicial
u rganos Constitucionales Autnomos) y en atencin
a las disposiciones jurdicas aplicables.
El Marco provee criterios para evaluar el diseo, la
implementacin y la eficacia operativa del control
interno en las instituciones del sector pblico y para
determinar si el control interno es apropiado y suficiente
para cumplir con las tres categoras de objetivos:
operacin, informacin y cumplimiento, incluyendo
la proteccin de la integridad y la prevencin de actos
corruptos en los diversos procesos realizados por la

institucin. sta ltima debe tener un control interno
acorde con su mandato, naturaleza, tamao y las
disposiciones jurdicas para cumplir con los objetivos
para los que fue creada.
El Marco es aplicable a todas las categoras de objetivos.
Sin embargo, su enfoque no es limitativo, ni pretende
interferir o contraponerse con las disposiciones jurdicas
y normativas aplicables. En la implementacin de este
Marco, los titulares de las unidades administrativas
asumen la responsabilidad de disear las polticas
y procedimientos que se ajusten a las disposiciones
jurdicas y normativas y a las circunstancias especficas
de la institucin, as como de incluirlos como una parte
inherente a sus operaciones.
...........................................................................................................................................
Componentes, Principios y Puntos de Inters del Control Interno

Cada institucin cuenta con un mandato particular, del
que derivan atribuciones y obligaciones concretas. De
igual modo, se alinea a Programas y Planes Nacionales,
sectoriales o regionales especficos, as como a otros
instrumentos vinculatorios en funcin de las disposiciones
jurdicas aplicables.
Dentro de esa estructura de facultades y obligaciones,
cada institucin formula objetivos de control interno
para asegurar, de manera razonable, que sus objetivos
institucionales, contenidos en un plan estratgico, sern
alcanzados de manera eficaz, eficiente y econmica.
El Titular, con el apoyo de la Administracin, y con

la vigilancia del rgano de Gobierno en los casos
que proceda, debe establecer objetivos de control
interno a nivel institucin, unidad, funcin y actividades
especficas. Todo el personal, en sus respectivos mbitos
de accin, aplica el control interno para contribuir a la
consecucin de los objetivos institucionales.
Aunque existen diferentes maneras de representar al
control interno, este Marco lo define como una estructura
jerrquica de 5 componentes, 17 principios y diversos
puntos de inters relevantes.
Fuente: Adaptado de las Normas de Control Interno en el Gobierno Federal, GAO.
Los componentes del control interno representan el nivel

ms alto en la jerarqua del Marco. Los cuales deben
ser diseados e implementados adecuadamente y
deben operar en conjunto y de manera sistmica,
para que el control interno sea apropiado. Los cinco
componentes de control interno son:
institucin en la procuracin del cumplimiento

de sus objetivos. Esta evaluacin provee las bases
para identificar los riesgos, analizarlos, catalogarlos,
priorizarlos y desarrollar respuestas que mitiguen su
impacto en caso de materializacin, incluyendo
los riesgos de corrupcin.
Ambiente de Control. Es la base del control interno.

Proporciona disciplina y estructura para apoyar
al personal en la consecucin de los objetivos
institucionales.
Actividades de Control. Son aquellas

acciones establecidas, a travs de polticas
y procedimientos, por los responsables de las
unidades administrativas para alcanzar los
objetivos institucionales y responder a sus riesgos
asociados, incluidos los de corrupcin y los de
sistemas de informacin.
Administracin de Riesgos. Es el proceso que

evala los riesgos a los que se enfrenta la
10
...............................................................................................................................................
Informacin y Comunicacin. Es la informacin

de calidad que la Administracin y los dems
servidores pblicos generan, obtienen, utilizan y
comunican para respaldar el sistema de control
interno y dar cumplimiento a su mandato legal.
Supervisin. Son las actividades establecidas y
operadas por las unidades especficas que el
Titular ha designado, con la finalidad de mejorar
de manera continua al control interno mediante
una vigilancia y evaluacin peridicas a su
eficacia, eficiencia y economa. La supervisin
es responsabilidad de la Administracin en cada
uno de los procesos que realiza, y se apoya,
por lo general, en el rea de auditora interna
o unidades especficas para llevarla a cabo.
Las Entidades Fiscalizadoras Superiores y otros
revisores externos proporcionan una supervisin
adicional cuando revisan el control interno de la
institucin, ya sea a nivel institucin, divisin, unidad
administrativa o funcin. La supervisin contribuye
a la optimizacin permanente del control interno
y, por lo tanto, a la calidad en el desempeo de
las operaciones, la salvaguarda de los recursos
pblicos, la prevencin de la corrupcin, la
oportuna resolucin de los hallazgos de auditora
y de otras revisiones, as como a la idoneidad y
suficiencia de los controles implementados.
Los 17 principios respaldan el diseo, implementacin
y operacin de los componentes asociados de control
interno y representan los requerimientos necesarios
para establecer un control interno apropiado, es decir,
eficaz, eficiente, econmico y suficiente conforme a la
naturaleza, tamao, disposiciones jurdicas y mandato
de la institucin.
Adicionalmente, el Marco contiene informacin
especfica presentada como puntos de inters, los
cuales tienen como propsito proporcionar al Titular
y la Administracin, material de orientacin para el
diseo, implementacin y operacin de los principios
a los que se encuentran asociados. Los puntos de
inters dan mayores detalles sobre el principio
asociado al que atienden y explican de manera ms
precisa los requerimientos para su implementacin y
documentacin, por lo que orientan sobre la temtica
que debe ser abordada. Los puntos de inters tambin
proporcionan antecedentes sobre cuestiones abordadas
en el Marco.
Los puntos de inters se consideran relevantes
para la implementacin del Marco. Por su parte, la
Administracin tiene la responsabilidad de conocerlos y
entenderlos, as como ejercer su juicio profesional para

el cumplimiento del Marco, en el entendido de que
stas establecen procesos generales para el diseo,
la implementacin y la operacin del control interno.
A continuacin se mencionan cada uno de los 5
componentes de control interno y se detallan sus 17
principios asociados.
Ambiente de Control
Principio 1. El rgano de Gobierno, en su caso, el Titular y
la Administracin deben mostrar una actitud de respaldo
y compromiso con la integridad, los valores ticos, las
normas de conducta y la prevencin de irregularidades
administrativas y la corrupcin.
Principio 2. El Titular y la Administracin es responsable
de supervisar el funcionamiento del control interno, a
travs de las unidades que establezca para tal efecto.
Principio 3. El Titular y la Administracin deben autorizar,
conforme a las disposiciones jurdicas y normativas
aplicables, la estructura organizacional, asignar
responsabilidades y delegar autoridad para alcanzar
los objetivos institucionales, preservar la integridad,
prevenir la corrupcin y rendir cuentas de los resultados
alcanzados.
Principio 4. El Titular y la Administracin, son responsables
de promover los medios necesarios para contratar,
capacitar y retener profesionales competentes.
Principio 5. La Administracin, debe evaluar el
desempeo del control interno en la institucin y hacer
responsables a todos los servidores pblicos por sus
obligaciones especficas en materia de control interno.
Administracin de Riesgos
Principio 6. El Titular, debe formular un plan estratgico que
de manera coherente y ordenada oriente los esfuerzos
institucionales hacia la consecucin de los objetivos
relativos a su mandato y las disposiciones jurdicas
y normativas aplicables, asegurando adems que
dicha planeacin estratgica contempla la alineacin
institucional a los Planes nacionales, regionales, sectoriales
y todos los dems instrumentos y normativas vinculatorias
que correspondan.
Al elaborar el plan estratgico de la institucin,
armonizado con su mandato y con todos los documentos
pertinentes, de acuerdo con las disposiciones legales
aplicables, el Titular, deber asegurarse de que los
objetivos y metas especficas contenidas en el mismo
11
...........................................................................................................................................
son claras y que permiten la identificacin de riesgos

y la definicin de la tolerancia a stos en los diversos
procesos que se realizan en la institucin.
Principio 7. La Administracin, debe identificar, analizar
y responder a los riesgos asociados al cumplimiento de
los objetivos institucionales, as como de los procesos
por los que se obtienen los ingresos y se ejerce el gasto,
entre otros.
Principio 8. La Administracin, debe considerar la
posibilidad de ocurrencia de actos de corrupcin,
fraude, abuso, desperdicio y otras irregularidades
relacionadas con la adecuada salvaguarda de los
recursos pblicos, al identificar, analizar y responder
a los riesgos, en los diversos procesos que realiza
la institucin.
Principio 9. La Administracin, debe identificar, analizar
y responder a los cambios significativos que puedan
impactar al control interno.
Actividades de Control
Principio 10. La Administracin, debe disear,
actualizar y garantizar la suficiencia e idoneidad de
las actividades de control establecidas para lograr
los objetivos institucionales y responder a los riesgos.
En este sentido, la Administracin es responsable de
que existan controles apropiados para hacer frente a
los riesgos que se encuentran presentes en cada uno
de los procesos que realizan, incluyendo los riesgos
de corrupcin.
Principio 11. La Administracin, debe disear los sistemas
de informacin institucional y las actividades de control
relacionadas con dicho sistema, a fin de alcanzar los
objetivos y responder a los riesgos.
Principio 12. La Administracin, debe implementar
las actividades de control a travs de polticas,
procedimientos y otros medios de similar naturaleza.
En este sentido, la Administracin es responsable de
que en sus unidades administrativas se encuentren
12
documentadas y formalmente establecidas sus

actividades de control, las cuales deben ser apropiadas,
suficientes e idneas para enfrentar los riesgos a los
que estn expuestos sus procesos.
Informacin y Comunicacin
Principio 13. La Administracin, debe implementar los
medios que permitan a cada unidad administrativa
elaborar informacin pertinente y de calidad para
la consecucin de los objetivos institucionales y el
cumplimiento de las disposiciones aplicables a la
gestin financiera.
Principio 14. La Administracin, es responsable de que
cada unidad administrativa comunique internamente,
por los canales apropiados y de conformidad con las
disposiciones aplicables, la informacin de calidad
necesaria para contribuir a la consecucin de los
objetivos institucionales y la gestin financiera.
cada unidad administrativa comunique externamente,
por los canales apropiados y de conformidad con las
disposiciones aplicables, la informacin de calidad
necesaria para contribuir a la consecucin de los
objetivos institucionales y la gestin financiera.
Supervisin
Principio 16. La Administracin, debe establecer
actividades para la adecuada supervisin del control
interno y la evaluacin de sus resultados, en todas las
unidades administrativas de la institucin. Conforme
a las mejores prcticas en la materia, en dichas
actividades de supervisin contribuye generalmente
el rea de auditora interna, la que reporta sus resultados
directamente al Titular o, en su caso, el rgano
de Gobierno.
se corrijan oportunamente las deficiencias de control
interno detectadas.
...............................................................................................................................................
El Control Interno y la Institucin

Existe una relacin directa entre los objetivos de
la institucin, los cinco componentes de control
interno (con sus principios y puntos de inters) y
la estructura organizacional. Los objetivos son los
fines que debe alcanzar la institucin, con base
en su propsito, mandato y disposiciones jurdicas
aplicables. Los cinco componentes de control interno
son los requisitos necesarios que debe cumplir una
institucin para alcanzar sus objetivos institucionales. La

estructura organizacional abarca a todas las unidades
administrativas, los procesos, atribuciones, funciones y
todas las estructuras que la institucin establece para
alcanzar sus objetivos.
El Marco presenta dicha relacin en la forma de un
cubo.
Fuente: Adaptado del Informe COSO 2013.
Las tres categoras en las que se pueden clasificar

los objetivos de la institucin son representadas por
las columnas en la parte superior del cubo. Los cinco
componentes de control interno son representados por
las filas. La estructura organizacional es representada
por la tercera dimensin del cubo.
Cada componente de control interno aplica a las tres
categoras de objetivos y a la estructura organizacional.
entre s desde la etapa de diseo, implementacin

y operacin. Dos instituciones no pueden tener un
control interno idntico, debido a distintos factores
como son, entre otros, la misin, las disposiciones
jurdicas y normativo aplicables, el plan estratgico,
el tamao de la institucin, la tolerancia al riesgo y las
tecnologas de informacin con que cuentan, as como
el juicio profesional empleado por los responsables para
responder a las circunstancias especficas.
El control interno es un proceso dinmico, integrado

y continuo en el que los componentes interactan
13
...........................................................................................................................................
Responsabilidades y Funciones en el Control Interno

El control interno es parte de las responsabilidades del
Titular de la institucin, quien cumple con stas a travs
del apoyo de la Administracin (mandos superiores y
medios) y del resto de los servidores pblicos. Por ello,
los cinco componentes del Marco se presentan en
el contexto del Titular u rgano de Gobierno y de la
Administracin de la institucin. No obstante, todos los
servidores pblicos son responsables del control interno.
En general, las funciones y responsabilidades del control
interno en una institucin se pueden categorizar de la
siguiente manera:
rgano de Gobierno y/o Titular. Es responsable de
vigilar la direccin estratgica de la institucin y el
cumplimiento de las obligaciones relacionadas
con la rendicin de cuentas, lo cual incluye
supervisar, en general, que la Administracin
disee, implemente y opere un control interno
apropiado, con el apoyo, en su caso, de unidades
especializadas y establecidas para tal efecto.
Por lo general, las unidades de auditora interna
apoyan la supervisin del control interno e
informan de sus hallazgos y reas de oportunidad
directamente al rgano de Gobierno o al Titular.
Para efecto del Marco, la vigilancia por parte del
rgano de Gobierno, en su caso, o del Titular est
implcita en cada componente y principio.
Administracin. Es directamente responsable de
todas las actividades de la institucin. Lo anterior
incluye el diseo, la implementacin y la eficacia
operativa del control interno. La responsabilidad
de la Administracin en materia de control interno
vara de acuerdo con las atribuciones y funciones
que tiene asignadas en la estructura organizacional.
14
De igual modo, la Administracin, por lo general,

cuenta con el apoyo adicional de unidades
especializadas para disear, implementar y operar
el control interno en los procesos de los cuales son
responsables (comit / unidad de administracin
de riesgos, comit / unidad de cumplimiento
legal, comit / unidad de control interno, comit
/ unidad de tica, etc.), por lo que en dichos casos
se trata de una responsabilidad que comparten la
Administracin y las unidades especializadas. En
estos casos de co-responsabilidad, deben existir
en la institucin lneas claras de autoridad que
delimiten la responsabilidad de cada servidor
pblico, a fin de permitir una adecuada rendicin
de cuentas y la oportuna correccin de debilidades
detectadas en el control interno.
Servidores pblicos. Todos los servidores pblicos de
la institucin, distintos al Titular y a la Administracin,
que apoyan en el diseo, implementacin y
operacin del control interno, y son responsables
de informar sobre cuestiones o deficiencias
relevantes que hayan identificado en relacin
con los objetivos institucionales de operacin,
informacin, cumplimiento legal, salvaguarda
de los recursos y prevencin de la corrupcin.
Instancia de Supervisin. Es la unidad independiente
de los responsables directos de los procesos, que
evala el adecuado diseo, implementacin y
operacin del control interno.
La siguiente Figura ilustra de manera general las
responsabilidades institucionales en relacin con el
control interno.
...............................................................................................................................................
RESPONSABLES DE LA IMPLEMENTACIN Y MEJORA CONTINUA DEL CONTROL INTERNO
* Unidades especializadas: Comit de Riesgos, Comit de Cumplimiento, Unidad de Control Interno, Comits de tica, etc.
Las Entidades Fiscalizadoras Superiores y otros rganos

revisores externos no son responsables directos de la
implementacin, suficiencia e idoneidad del control
interno en la institucin. No obstante, derivado
de las revisiones que practican para conocer su
funcionamiento, realizan contribuciones favorables y

promueven su fortalecimiento y mejora continua. La
responsabilidad sobre el control interno recae sobre el
Titular de la institucin y la Administracin.
Objetivos de la Institucin
El Titular, con la participacin de la Administracin, y
bajo la supervisin del rgano de Gobierno, cuando
proceda, debe establecer objetivos para alcanzar el
mandato, la misin y visin institucionales; los objetivos
del Plan Nacional de Desarrollo, el Plan Estatal de
Desarrollo, los Programas Sectoriales, Especiales y dems
planes y programas, de acuerdo con los requerimientos
y expectativas de la planeacin estratgica y el
cumplimiento de las disposiciones jurdicas y normativas.
Se debe incluir el establecimiento de objetivos como
parte del proceso de planeacin estratgica.
La Administracin, como parte del diseo del control
interno, debe definir objetivos medibles y claros, as
como normas e indicadores de desempeo que
permitan identificar, analizar, evaluar su avance y

responder a sus riesgos asociados.
Categoras de Objetivos
Los objetivos se pueden agrupar en una o ms de las
siguientes categoras:
Operacin. Eficacia en el logro de los objetivos
institucionales, eficiencia en el uso y aplicacin de
los recursos y economa en las entradas necesarias
para las operaciones y dems actividades.
Informacin. Confiabilidad de los informes internos
y externos.
15
...........................................................................................................................................
Cumplimiento. Apego a las disposiciones

jurdicas y normativas aplicables, lo que incluye
la salvaguarda de la legalidad, honradez, lealtad,
imparcialidad, eficiencia y prevencin de la
corrupcin en el desempeo institucional.
Objetivos de Informes Internos Financieros y

No Financieros. Relativos a la recopilacin y
comunicacin de la informacin necesaria para
evaluar el desempeo de la institucin en el logro
de sus objetivos y programas, los cuales son la
base para la toma de decisiones al respecto.
Objetivos de Operacin
Objetivos de Cumplimiento
Se relacionan con las actividades que permiten
alcanzar el mandato legal, la misin y visin institucional.
El mandato legal est definido por una serie de
documentos jurdicos obligatorios que debe observar
la institucin, como pueden ser la Constitucin Poltica
de los Estados Unidos Mexicanos, la ley orgnica de
la institucin, su reglamento interior, estatuto orgnico,
decreto de creacin o documento anlogo. En los
planes estratgicos se deben precisar los objetivos y
metas institucionales. Las operaciones eficaces producen
los resultados esperados de los procesos operativos,
mientras que las operaciones eficientes se generan al
utilizar adecuadamente los recursos asignados para
ello, y la economa se refleja en la minimizacin de
los costos, la reduccin en el desperdicio de recursos
y la maximizacin de los resultados.
A partir de los objetivos estratgicos, el Titular, con el
apoyo de la Administracin, debe establecer objetivos
y metas especficos para las diferentes unidades de
la estructura organizacional. Al vincular los objetivos
con el mandato legal, misin y visin institucionales,
se mejora la eficacia, la eficiencia y la economa de
los programas operativos para alcanzar su mandato
y se previene la posible ocurrencia de actos corruptos
en la institucin.
Como parte de la especificacin de los objetivos de

cumplimiento, la institucin tiene determinadas leyes
y regulaciones que le aplican.
Salvaguarda de los Recursos Pblicos y Prevencin de
Actos de Corrupcin
Un subconjunto de las tres categoras de objetivos es la
salvaguarda de los recursos pblicos y la prevencin de
actos de corrupcin. La Administracin es responsable
de establecer y mantener un control interno que:
Proporcione una seguridad razonable sobre el
adecuado ejercicio, utilizacin o disposicin de
los recursos pblicos;
Objetivos de Informacin
Prevenga actos corruptos;
Se relacionan con la preparacin de informes para

uso de la institucin, sus partes interesadas y diversas
instancias externas. Se pueden agrupar en tres
subcategoras:
Detecte y corrija oportunamente las irregularidades,

en caso de que se materialicen; y
Objetivos de Informes Financieros Externos.

Relacionados con la publicacin de informacin
sobre el desempeo financiero de la institucin
segn las disposiciones jurdicas y normativoas
aplicables, as como las expectativas de las partes
interesadas.
Objetivos de Informes No Financieros Externos.
Asociados con la publicacin de informacin
no financiera, segn las disposiciones jurdicas y
normativas aplicables, as como las expectativas
de las partes interesadas.
16
En el sector pblico, estos objetivos son muy significativos.

Las disposiciones jurdicas y normativas prescriben
los objetivos, la estructura y los mecanismos para la
consecucin de los objetivos institucionales y el reporte
del desempeo de la institucin. La Administracin
debe considerar de manera integral los objetivos de
cumplimiento legal y normativo, as como determinar
qu controles disear, implementar y operar para que
la institucin alcance dichos objetivos eficazmente.
Permita determinar, de manera clara, las

responsabilidades especficas del personal que
posibilit o particip en la ocurrencia de las
irregularidades.
Establecimiento de Objetivos Especficos
A partir de los objetivos estratgicos, el Titular debe
desarrollar, con la participacin de la Administracin,
los objetivos especficos para toda la estructura
organizacional. El Titular define objetivos especficos,
con normas e indicadores de desempeo, que
deben ser comunicados al personal responsable de
su consecucin. El Titular, la Administracin y los dems
...............................................................................................................................................
servidores pblicos requieren comprender los objetivos

estratgicos, sus objetivos especficos y las normas e
indicadores de desempeo que aseguren la rendicin
de cuentas como parte inherente del funcionamiento

del control interno.
Seccin 3 Evaluacin del Control Interno

El propsito de esta seccin es proporcionar al rgano
de Gobierno, al Titular, a la Administracin y a las
instancias de supervisin, los elementos a considerar
para evaluar si el control interno de la institucin es

apropiado (vase la seccin 1, sexto prrafo de
este Marco).
Elementos de un Control Interno Apropiado

Un control interno apropiado proporciona una seguridad
razonable sobre la consecucin de los objetivos
institucionales. Para ello es necesario que:
Cada uno de los 5 componentes y los 17 principios
del control interno sea diseado, implementado y
operado adecuadamente, conforme al mandato
y circunstancias especficas de la institucin.
Los cinco componentes y los 17 principios operen

en conjunto y de manera sistmica.
Si un principio o un componente no cumple con estos
requisitos o si los componentes no operan en conjunto
de manera sistmica, el control interno no es apropiado.
Aspectos de la Evaluacin del Control Interno

Diseo e Implementacin
Al evaluar el diseo del control interno, se debe
determinar si los controles, por s mismos y en conjunto
con otros, permiten alcanzar los objetivos y responder a
sus riesgos asociados. Para evaluar la implementacin,
la Administracin debe determinar si el control existe y
si se ha puesto en operacin. Un control no puede ser
efectivamente implementado si su diseo es deficiente.
Una deficiencia en el diseo ocurre cuando:
Falta un control necesario para lograr un objetivo
de control.
Un control existente est diseado de modo que,
incluso si opera de acuerdo al diseo, el objetivo
de control no puede alcanzarse.
Existe una deficiencia en la implementacin cuando
un control, adecuadamente diseado, se establece
de manera incorrecta.
Eficacia Operativa
Al evaluar la eficacia operativa del control interno,
la Administracin debe determinar si se aplicaron
controles de manera oportuna durante el periodo
bajo revisin, la consistencia con la que stos fueron

aplicados, as como el personal que los aplic y los
medios utilizados para ello. Si se utilizaron controles
sustancialmente diferentes en distintas etapas del
periodo bajo revisin, la Administracin debe evaluar
la eficacia operativa de manera separada por cada
procedimiento individual de control aplicado. Un control
carece de eficacia operativa si no fue diseado e
implementado eficazmente.
Una deficiencia en la operacin se presenta cuando
un control diseado adecuadamente, se ejecuta de
manera distinta a como fue diseado, o cuando el
servidor pblico que ejecuta el control no posee la
autoridad o la competencia profesional necesaria para
aplicarlo eficazmente.
Efecto de las Deficiencias en el Control Interno
La Administracin debe evaluar las deficiencias en
los controles que fueron detectadas por medio de las
evaluaciones continuas (autoevaluaciones) o mediante
evaluaciones independientes, efectuadas por revisores
internos y externos, generalmente, los auditores internos y
las Entidades de Fiscalizacin Superior, respectivamente.
Una deficiencia de control interno existe cuando el
diseo, la implementacin o la operacin de un control
imposibilitan a la Administracin o a los dems servidores
17
...........................................................................................................................................
pblicos, en el desarrollo normal de sus funciones, la

consecucin de los objetivos de control y la respuesta
a los riesgos asociados.
La Administracin debe evaluar la relevancia de las
deficiencias identificadas. La relevancia se refiere
a la importancia relativa de una deficiencia en el
cumplimiento de los objetivos institucionales. Para definir
la relevancia de las deficiencias, se debe evaluar su
efecto sobre la consecucin de los objetivos, tanto a
nivel institucin como de transaccin. Tambin se debe
evaluar la relevancia de las deficiencias considerando
la magnitud del impacto, la probabilidad de ocurrencia
y la naturaleza de la deficiencia.
La magnitud del impacto hace referencia al efecto
probable que la deficiencia tendra en el cumplimiento
de los objetivos, y en ella inciden factores como el
tamao, la recurrencia y la duracin del impacto de la
deficiencia. Una deficiencia puede ser ms significativa
para un objetivo que para otro.
La probabilidad de ocurrencia se refiere a la posibilidad
de que la deficiencia efectivamente se materialice e
impacte la capacidad institucional para cumplir con
sus objetivos.
La naturaleza de la deficiencia involucra factores como
el grado de subjetividad de la deficiencia y si sta
surge por corrupcin, fraude o transgresiones legales
o a la integridad.
El rgano de Gobierno, en su caso, o el Titular debe
supervisar, generalmente con apoyo de la auditora
interna, la adecuada evaluacin que al efecto
haya realizado la Administracin respecto de las
deficiencias identificadas.
relevancia de las deficiencias, se debe considerar la

correlacin existente entre diferentes deficiencias o
grupos de stas. La evaluacin de deficiencias vara
en cada institucin debido a las diferencias entre
objetivos institucionales.
La Administracin debe determinar si cada uno de
los 17 principios se ha diseado, implementado y
operado apropiadamente, as como elaborar un
informe ejecutivo al respecto. Como parte de este
informe, la Administracin debe considerar el impacto
que las deficiencias identificadas tienen sobre los
requisitos de documentacin. Para mayores detalles
sobre la documentacin del control interno, vase la
seccin 4, prrafos noveno y dcimo de este Marco.
La Administracin puede considerar los puntos de
inters asociados con los principios como parte del
informe ejecutivo.
Si un principio no se encuentra diseado, implementado
y operando eficazmente, el componente respectivo
es ineficaz e inapropiado.
Con base en los resultados del informe ejecutivo
de cada principio, la Administracin concluye si el
diseo, la implementacin y la eficacia operativa
de cada uno de los cinco componentes de control
interno es apropiada. La Administracin tambin debe
considerar si los cinco componentes operan eficaz
y apropiadamente en conjunto. Si uno o ms de los
cinco componentes no es apropiadamente diseado,
implementado y operado, o si no se desarrolla de
manera integral y sistmica, entonces el control interno
no es efectivo. Tales determinaciones dependen del
juicio profesional, por lo que se debe ejercer con sumo
cuidado y diligencia profesionales, y sobre la base de
conocimientos, competencias y aptitudes tcnicas y
profesionales adecuadas y suficientes.
Las deficiencias deben ser evaluadas tanto

individualmente como en conjunto. Al evaluar la
Seccin 4 Consideraciones Adicionales

Servicios Tercerizados
La Administracin puede contratar a terceros autorizados
para desempear algunos procesos operativos para
la institucin, tales como servicios de tecnologas
de informacin y comunicaciones, servicios de
mantenimiento, servicios de seguridad o servicios
de limpieza, entre otros. Para efectos del Marco,
estos actores externos son referidos como servicios
tercerizados. No obstante, la Administracin conserva la
18
responsabilidad sobre el desempeo de las actividades

realizadas por los servicios tercerizados.
En consecuencia, la Administracin debe entender
los controles que cada servicio tercerizado ha diseado,
implementado y operado para realizar los procesos
operativos contratados, as como el modo en que el control
interno de dichos terceros impacta en el control interno.
...............................................................................................................................................
La Administracin debe determinar si los controles

internos establecidos por los servicios tercerizados son
apropiados para asegurar que la institucin alcance
sus objetivos y responda a los riesgos asociados, o si
se deben establecer controles complementarios en el
control interno de la institucin.
La Administracin debe considerar, entre otros, los
siguientes criterios al determinar el grado de supervisin
que requerirn las actividades realizadas por los
servicios tercerizados:
La naturaleza de los servicios contratados y los
riesgos que representan.
Las normas de conducta de los servicios tercerizados.

La calidad y la frecuencia de los esfuerzos de los
servicios tercerizados por mantener las normas
de conducta en su personal.
La magnitud y complejidad de las operaciones
de los servicios tercerizados y su estructura
organizacional.
El alcance, suficiencia e idoneidad de los controles
de los servicios tercerizados para la consecucin
de los objetivos para los que fueron contratados,
y para responder a los riesgos asociados con las
actividades contratadas.
Instituciones Grandes o Pequeas

Los 17 principios aplican tanto a instituciones grandes
como pequeas. Sin embargo, las instituciones
pequeas pueden tener diferentes enfoques de
implementacin. stas, generalmente tienen ventajas
particulares, que pueden contribuir a que su control
interno sea apropiado. Asimismo, pueden incluir un
mayor nivel de participacin de la Administracin en
los procesos operativos y una interaccin directa de
sta con el personal.
No obstante, una institucin pequea enfrenta mayores

retos en la segregacin de funciones debido a la
concentracin de responsabilidades y autoridades en su
estructura organizacional. Sin embargo, la Administracin
debe responder a este riesgo mediante el diseo
apropiado del control interno, por ejemplo aadiendo
niveles adicionales de revisin para procesos operativos
clave; efectuando revisiones aleatorias a las transacciones
y su documentacin soporte; practicando conteos
peridicos a los activos o supervisando las conciliaciones.
Costos y Beneficios del Control Interno

El Control Interno provee amplios beneficios a la institucin.
Proporciona a los responsables de los procesos operativos
una mayor confianza respecto del cumplimiento de sus
objetivos, brinda retroalimentacin sobre qu tan eficaz es
su operacin y ayuda a reducir los riesgos asociados con
el cumplimiento de los objetivos institucionales. Se deben
considerar diversos factores de costos relacionados
con los beneficios esperados al disear e implementar
controles internos. La complejidad de la determinacin
del costo-beneficio depende de la interrelacin de
los controles con los procesos operativos. Cuando los
controles estn integrados con los procesos operativos,
es difcil aislar tanto sus costos como sus beneficios.
La Administracin debe decidir cmo evaluar el costobeneficio del establecimiento de un control interno
apropiado mediante distintos enfoques. Sin embargo,
el costo por s mismo no es una razn suficiente para
evitar la implementacin de controles internos. Las
consideraciones del costo-beneficio respaldan la
capacidad de la institucin para disear, implementar y
operar apropiadamente un control interno que equilibre
la asignacin de recursos en relacin con las reas de
mayor riesgo, la complejidad u otros factores relevantes.
19
...........................................................................................................................................
Documentacin del Control Interno

La documentacin y formalizacin son una parte
importante y necesaria del control interno. El grado
y naturaleza de la documentacin y formalizacin
varan segn el tamao y complejidad de los procesos
operativos de la institucin. La Administracin utiliza el
juicio profesional, la debida diligencia y las disposiciones
jurdicas y normativas aplicables para determinar el
grado de documentacin y formalizacin requerido
para el control interno, stas ltimas son necesarias para
lograr que el control interno sea eficaz y apropiadamente
diseado, implementado y operado. La Administracin
debe cumplir, como mnimo, con los siguientes requisitos
de documentacin y formalizacin del control interno:
Documentar, formalizar y actualizar oportunamente
su control interno.
Documentar y formalizar, mediante polticas y
procedimientos, las responsabilidades de todo
el personal respecto del control interno.
Documentar y formalizar los resultados de
las autoevaluaciones y las evaluaciones
independientes para identificar problemas,
Aplicacin en las Instituciones

El Marco est diseado para aplicarse como un modelo
de control interno para todas las instituciones del Sector
Pblico Federal, Estatal y Municipal. Cada institucin
puede adaptar dicho modelo general a su realidad
operativa y circunstancias especficas, y acatar los
componentes, principios y puntos de inters del Marco.
20
debilidades o reas de oportunidad en el

control interno.
Evaluar, documentar, formalizar y completar,
oportunamente, las acciones correctivas
correspondientes para la resolucin de las
deficiencias identificadas.
Documentar y formalizar, de manera oportuna, las
acciones correctivas impuestas para la resolucin
de las deficiencias identificadas.
Estos requisitos representan el nivel mnimo de
documentacin y formalizacin que debe tener el
control interno. Es necesario ejercer el juicio profesional
y observar las disposiciones jurdicas y normativas
aplicables con el propsito de determinar qu
documentacin adicional puede ser necesaria para
lograr un control interno apropiado. Si la Administracin
identifica deficiencias en el cumplimiento de estos
requisitos de documentacin y formalizacin, el efecto
de las deficiencias debe ser considerado en el resumen
elaborado relativo al diseo, implementacin y eficacia
operativa de los principios asociados.
...............................................................................................................................................
Componentes de Control Interno

Ambiente de Control
Es la base del control interno. Proporciona la disciplina
y estructura que impactan a la calidad de todo el
control interno. Influye en la definicin de los objetivos y
la constitucin de las actividades de control. El rgano
de Gobierno, en su caso, el Titular y la Administracin
deben establecer y mantener un ambiente de control
en toda la institucin, que implique una actitud de
respaldo hacia el control interno.
Principios
1. El rgano de Gobierno, en su caso, el Titular y
la Administracin deben mostrar una actitud de
respaldo y compromiso con la integridad, los
valores ticos, las normas de conducta, as como
la prevencin de irregularidades administrativas
y la corrupcin.
2. El rgano de Gobierno, en su caso, o el Titular
es responsable de vigilar el funcionamiento del
control interno, a travs de la Administracin y las
instancias que establezca para tal efecto.
3. El Titular debe autorizar, con apoyo de la
Administracin y conforme a las disposiciones
jurdicas y normativas aplicables, la estructura
organizacional, asignar responsabilidades y

delegar autoridad para alcanzar los objetivos
institucionales, preservar la integridad, prevenir
la corrupcin y rendir cuentas de los resultados
alcanzados.
4. La Administracin, es responsable de establecer
los medios necesarios para contratar, capacitar
y retener profesionales competentes.
5. La Administracin, debe evaluar el desempeo
del control interno en la institucin y hacer
responsables a todos los servidores pblicos por
sus obligaciones especficas en la materia.
Principio 1 Mostrar Actitud de Respaldo y Compromiso

1.01 El rgano de Gobierno, en su caso, el Titular y la Administracin deben mostrar una actitud de respaldo
y compromiso con la integridad, los valores ticos, las normas de conducta, as como la prevencin de
irregularidades administrativas y la corrupcin.
Puntos de Inters
Los siguientes puntos de inters contribuyen al diseo, implementacin y eficacia operativa de este principio:
Actitud de Respaldo del Titular y la Administracin
Normas de Conducta
Apego a las Normas de Conducta
Programa de Promocin de la Integridad y Prevencin de la Corrupcin
Apego, Supervisin y Actualizacin Continua del Programa de Promocin de la Integridad y Prevencin
de la Corrupcin
21
...........................................................................................................................................
Actitud de Respaldo del Titular y la Administracin

1.02 El rgano de Gobierno, en su caso, el Titular y la
Administracin deben demostrar la importancia de la
integridad, los valores ticos y las normas de conducta
en sus directrices, actitudes y comportamiento.
1.03 El rgano de Gobierno, en su caso, el Titular y la
Administracin deben guiar a travs del ejemplo sobre
los valores, la filosofa y el estilo operativo de la institucin.
Asimismo, deben establecer la actitud de respaldo en
toda la institucin a travs de su actuacin y ejemplo,
lo cual es fundamental para lograr un control interno
apropiado y eficaz. En las instituciones ms grandes,
los distintos niveles administrativos en la estructura
organizacional tambin pueden establecer la actitud
de respaldo de la Administracin.
1.04 Las directrices, actitudes y conductas del rgano
de Gobierno, en su caso, y del Titular deben reflejar la
que se esperan por parte de los servidores pblicos
en la institucin. De igual manera, deben reforzar el

compromiso de hacer lo correcto y no slo de mantener
un nivel mnimo de desempeo para cumplir con las
disposiciones jurdicas y normativas aplicables, a fin de
que estas prioridades sean comprendidas por todas las
partes interesadas, tales como reguladores, empleados
y el pblico en general.
1.05 La actitud de respaldo de los Titulares y la
Administracin puede ser un impulsor, como se muestra
en los prrafos anteriores, o un obstculo para el control
interno. Sin una slida actitud de respaldo de stos para
el control interno, la identificacin de riesgos puede
quedar incompleta, la respuesta a los riesgos puede
ser inapropiada, las actividades de control pueden no
ser diseadas o implementadas apropiadamente, la
informacin y la comunicacin pueden debilitarse;
asimismo, los resultados de la supervisin pueden no
ser comprendidos o pueden no servir de base para
corregir las deficiencias detectadas.
Normas de Conducta
1.06 La Administracin debe establecer directrices para
comunicar las expectativas en materia de integridad,
valores ticos y normas de conducta. Todo el personal
de la institucin debe utilizar los valores ticos y las
normas de conducta para equilibrar las necesidades
y preocupaciones de los diferentes grupos de inters,
tales como reguladores, empleados y el pblico en
general. Las normas de conducta deben guiar las
directrices, actitudes y conductas del personal hacia
el logro de sus objetivos.
1.07 La Administracin, con la supervisin del rgano

de Gobierno o Titular, debe definir las expectativas que
guarda la institucin respecto de los valores ticos en las
normas de conducta. La Administracin debe considerar
la utilizacin de polticas, principios de operacin o
directrices para comunicar las normas de conducta
de la institucin.
Apego a las Normas de Conducta

1.08 La Administracin debe establecer procesos para
evaluar el desempeo del personal frente a las normas
de conducta de la institucin y atender oportunamente
cualquier desviacin identificada.
1.09 La Administracin debe utilizar las normas de
conducta como base para evaluar el apego a la
en toda la institucin. Para asegurar que las normas
de conducta se aplican eficazmente, tambin debe
evaluar las directrices, actitudes y conductas de los
servidores pblicos y los equipos. Las evaluaciones
pueden consistir autoevaluaciones y evaluaciones
independientes. Los servidores pblicos deben
informar sobre asuntos relevantes a travs de lneas
de comunicacin, tales como reuniones peridicas del
22
personal, procesos de retroalimentacin, un programa

o lnea tica de denuncia, entre otros. El Titular debe
evaluar el apego de la Administracin a las normas
de conducta, as como el cumplimiento general en
la institucin.
1.10 La Administracin debe determinar el nivel de
tolerancia para las desviaciones. Para tal efecto,
puede establecerse un nivel de tolerancia cero para
el incumplimiento de ciertas normas de conducta,
mientras que el incumplimiento de otras puede
atenderse mediante advertencias a los servidores
pblicos. Asimismo, debe establecer un proceso para
la evaluacin del apego a las normas de conducta
por parte de los servidores pblicos o de los equipos,
proceso que permite corregir las desviaciones.
...............................................................................................................................................
La Administracin debe atender el incumplimiento a las

normas de conducta de manera oportuna y consistente.
Dependiendo de la gravedad de la desviacin,
determinada a travs del proceso de evaluacin,
tambin debe tomar las acciones apropiadas y en su

caso aplicar las leyes y reglamentos correspondientes.
Las normas de conducta que rigen al personal deben
mantenerse consistentes en toda la institucin.
Programa de Promocin de la Integridad y Prevencin

de la Corrupcin
1.11 La Administracin debe articular un programa,
poltica o lineamiento institucional de promocin de
la integridad y prevencin de la corrupcin (programa
de promocin de la integridad) que considere como
mnimo la capacitacin continua en la materia de todo
el personal; la difusin adecuada de los cdigos de
tica y conducta implementados; el establecimiento,
difusin y operacin de la lnea tica (o mecanismo) de

denuncia annima y confidencial de hechos contrarios
a la integridad; as como una funcin especfica de
gestin de riesgos de corrupcin en la institucin,
como parte del componente de administracin
de riesgos (con todos los elementos incluidos en
dicho componente).
Apego, Supervisin y Actualizacin Continua del Programa de Promocin de la

Integridad y Prevencin de la Corrupcin
1.12 La Administracin debe asegurar una supervisin
continua sobre la aplicacin efectiva y apropiada del
programa de promocin de la integridad, medir si es
suficiente y eficaz, y corregir sus deficiencias con base

en los resultados de las evaluaciones internas y externas
a que est sujeta.
Principio 2 Ejercer la Responsabilidad de Vigilancia

2.01 El rgano de Gobierno, en su caso, o el Titular es responsable de supervisar el funcionamiento del control
interno, a travs de la Administracin y las instancias que establezca para tal efecto.
Puntos de Inters
Estructura de Vigilancia
Vigilancia General del Control Interno
Correccin de Deficiencias
Estructura de Vigilancia
2.02 El rgano de Gobierno, en su caso, o el Titular
es responsable de establecer una estructura de
vigilancia adecuada en funcin de las disposiciones
jurdicas aplicables y la estructura y caractersticas de
la institucin. Los informes y hallazgos reportados por la
instancia especializada de vigilancia son la base para
la correccin de las deficiencias detectadas.
orientacin constructiva a la Administracin y, cuando

proceda, tomar decisiones de vigilancia para asegurar
que la institucin logre sus objetivos en lnea con el
programa de promocin de la integridad, los valores
ticos y las normas de conducta.
Responsabilidades del rgano de Gobierno o del Titular
2.04 En la seleccin de los miembros de un rgano de

Gobierno, en su caso, o del Titular se debe considerar el
conocimiento necesario respecto de la institucin, los
conocimientos especializados pertinentes, el nmero de

debe vigilar las operaciones de la institucin, ofrecer
Requisitos de un rgano de Gobierno
23
...........................................................................................................................................
miembros con que contar el rgano y su neutralidad,

independencia y objetividad tcnica requeridos para
cumplir con las responsabilidades de vigilancia en
la institucin.
2.05 Los miembros del rgano de Gobierno, en su caso,
o el Titular debe comprender los objetivos de la institucin,
sus riesgos asociados y las expectativas de sus grupos de
inters. De igual modo, deben demostrar experiencia,
conocimientos especializados y capacidades tcnicas
y profesionales apropiadas para realizar su funcin de
vigilancia, particularmente en materia de control interno,
administracin de riesgos y prevencin de la corrupcin.
Los criterios para la designacin, remocin y destitucin
del cargo como miembro del rgano de Gobierno o
el Titular deben estar claramente establecidos, a fin de
fortalecer la independencia de juicio y la objetividad
en el desempeo de las funciones de vigilancia.
2.06 Los miembros del rgano de Gobierno, en su
caso, o del Titular deben demostrar adems la pericia
requerida para vigilar, deliberar y evaluar el control
interno de la institucin. Las capacidades que se
esperan de todos los miembros de este rgano o del
Titular deben incluir la integridad, los valores ticos, las
normas de conducta, el liderazgo, el pensamiento
crtico, la resolucin de problemas y competencias
especializadas en prevencin, disuasin y deteccin
de faltas a la integridad y corrupcin.
2.07 Adems, al determinar el nmero de miembros
que componen al rgano de Gobierno, se debe
considerar la necesidad de incluir personal con otras
habilidades especializadas, que permitan la discusin,
ofrezcan orientacin constructiva al Titular y favorezcan
la toma de decisiones adecuadas. Algunas habilidades
especializadas pueden incluir:
Dominio de temas de control interno (por ejemplo,
el escepticismo profesional, perspectivas sobre
los enfoques para identificar y responder a los

riesgos, y evaluacin de la eficacia del control
interno).
Experiencia en planeacin estratgica, incluyendo
el conocimiento de la misin y visin institucional,
los programas clave y los procesos operativos
relevantes.
Pericia financiera, incluyendo el proceso
para la preparacin de informes financieros
(por ejemplo, la Ley General de Contabilidad
Gubernamental y los requisitos para la emisin de
informacin financiera, contable y programtica
presupuestaria).
Sistemas y tecnologa relevantes (por ejemplo, la
comprensin de riesgos y oportunidades de los
sistemas crticos).
Pericia legal y normativa (por ejemplo,
entendimiento de las disposiciones jurdicas y
normativas aplicables).
Pericia en programas y estrategias para la
salvaguarda de los recursos; la prevencin,
disuasin y deteccin de hechos de corrupcin,
y la promocin de ambientes de integridad.
2.08 Si lo autorizan las disposiciones jurdicas y normativas
aplicables, la institucin tambin debe considerar la
inclusin de miembros independientes en el rgano
de Gobierno. Sus miembros deben revisar a detalle
y cuestionar las actividades realizadas por el Titular
y la Administracin, deben presentar puntos de vista
alternativos, as como tomar accin ante irregularidades,
probables o reales. Los miembros independientes que
cuentan con la pericia pertinente deben proporcionar
valor a travs de su evaluacin imparcial de la institucin
y de sus operaciones.
Vigilancia General del Control Interno

2.09 El rgano de Gobierno, en su caso, o el Titular debe
vigilar, de manera general, el diseo, implementacin
y operacin del control interno realizado por la
Administracin. Las responsabilidades del rgano de
Gobierno o del Titular respecto del control interno son,
entre otras, las siguientes:
Ambiente de Control. Establecer y promover
la integridad, los valores ticos y las normas de
conducta, as como la estructura de vigilancia,
24
desarrollar expectativas de competencia

profesional y mantener la rendicin de cuentas
ante todos los miembros del rgano de Gobierno,
en su caso, o del Titular y de las principales partes
interesadas.
Administracin de Riesgos. Vigilar la evaluacin
de los riesgos que amenazan el logro de
objetivos, incluyendo el impacto potencial de
los cambios significativos, la corrupcin, el fraude
...............................................................................................................................................
y la elusin de controles por parte de cualquier

servidor pblico.
Actividades de Control. Vigilar a la Administracin en
el desarrollo y ejecucin de las actividades de control.
Supervisin. Examinar la naturaleza y alcance de

las actividades de supervisin de la Administracin,
as como las evaluaciones realizadas por sta y
las acciones correctivas implementadas para
remediar las deficiencias identificadas.
Informacin y Comunicacin. Analizar y discutir

la informacin relativa al logro de los objetivos
institucionales.
Correccin de Deficiencias
debe proporcionar informacin a la Administracin para
dar seguimiento a la correccin de las deficiencias
detectadas en el control interno.
2.11 La Administracin debe informar al rgano
de Gobierno, en su caso, o al Titular sobre aquellas
deficiencias en el control interno identificadas; quien a su
vez, evala y proporciona orientacin a la Administracin
para la correccin de tales deficiencias. El rgano
de Gobierno o el Titular, tambin debe proporcionar
orientacin cuando una deficiencia atraviesa los lmites
organizacionales, o cuando los intereses de los miembros

de la Administracin pueden entrar en conflicto con
los esfuerzos de correccin. En los momentos que sea
apropiado y autorizado, el rgano de Gobierno o el
Titular, puede ordenar la creacin de grupos de trabajo
para hacer frente o vigilar asuntos especficos, crticos
para el logro de los objetivos de la institucin.
es responsable de monitorear la correccin de las
deficiencias y de proporcionar orientacin a la
Administracin sobre los plazos para corregirlas.
Principio 3 Establecer la Estructura, Responsabilidad y Autoridad

3.01 El Titular debe autorizar, con apoyo de la Administracin y conforme a las disposiciones jurdicas y normativas
aplicables, la estructura organizacional, asignar responsabilidades y delegar autoridad para alcanzar los objetivos
institucionales, preservar la integridad, prevenir la corrupcin y rendir cuentas de los resultados alcanzados.
Puntos de Inters
Estructura Organizacional
Asignacin de Responsabilidad y Delegacin de Autoridad
Documentacin y Formalizacin del Control Interno
Estructura Organizacional
3.02 El Titular debe instruir a la Administracin y, en su
caso, a las unidades especializadas, el establecimiento
de la estructura organizacional necesaria para permitir
la planeacin, ejecucin, control y evaluacin de
la institucin en la consecucin de sus objetivos. La
Administracin, para cumplir con este objetivo, debe
desarrollar responsabilidades generales a partir de
los objetivos institucionales que le permitan lograr sus
objetivos y responder a sus riesgos asociados.
3.03 La Administracin debe desarrollar y actualizar

la estructura organizacional con entendimiento de
las responsabilidades generales, y debe asignar estas
responsabilidades a las distintas unidades para fomentar
que la institucin alcance sus objetivos de manera
eficiente, eficaz y econmica; brinde informacin
confiable y de calidad; cumpla con las disposiciones
jurdicas y normativas aplicables, y prevenga, disuada y
detecte actos de corrupcin. Con base en la naturaleza
25
...........................................................................................................................................
de la responsabilidad asignada, la Administracin debe

seleccionar el tipo y el nmero de unidades, as como
las direcciones, divisiones, oficinas y dems instancias
dependientes.
3.04 Como parte del establecimiento de una estructura
organizacional actualizada, la Administracin debe
considerar el modo en que las unidades interactan a fin
de cumplir con sus responsabilidades. La Administracin
debe establecer lneas de reporte dentro de la estructura
organizacional, a fin de que las unidades puedan
comunicar la informacin de calidad necesaria para
el cumplimiento de los objetivos. Las lneas de reporte
deben definirse en todos los niveles en la institucin y
deben proporcionar mtodos de comunicacin que

pueden circular en todas las direcciones al interior de
la estructura organizacional. La Administracin tambin
debe considerar las responsabilidades generales que
tiene frente a terceros interesados, y debe establecer
lneas de comunicacin y emisin de informes que
permitan a la institucin comunicar y recibir informacin
de las fuentes externas.
3.05 La Administracin debe evaluar peridicamente la
estructura organizacional para asegurar que se alinea
con los objetivos institucionales y que ha sido adaptada
y actualizada a cualquier objetivo emergente, como
nuevas leyes o regulaciones.
Asignacin de Responsabilidad y Delegacin de Autoridad

3.06 Para alcanzar los objetivos institucionales, la
Administracin debe asignar responsabilidad y
delegar autoridad a los puestos clave a lo largo de la
institucin. Un puesto clave es aquella posicin dentro
de la estructura organizacional que tiene asignada
una responsabilidad general respecto de la institucin.
Usualmente, los puestos clave pertenecen a posiciones
altas de la Administracin (mandos superiores) dentro
de la institucin.
3.07 La Administracin debe considerar las
responsabilidades generales asignadas a cada
unidad, debe determinar qu puestos clave son
necesarios para cumplir con las responsabilidades
asignadas y debe establecer dichos puestos. Aquel
personal que se encuentran en puestos clave pueden
delegar responsabilidad sobre el control interno a sus
subordinados, pero retienen la obligacin de cumplir
con las responsabilidades generales asignadas a sus
unidades.
3.08 La Administracin debe determinar qu nivel de

autoridad necesitan los puestos clave para cumplir con
sus obligaciones. Tambin debe delegar autoridad slo
en la medida requerida para lograr los objetivos. Como
parte de la delegacin de autoridad, la Administracin
debe considerar que exista una apropiada segregacin
de funciones al interior de las unidades y en la estructura
organizacional. La segregacin de funciones ayuda a
prevenir la corrupcin, el fraude, desperdicio, abuso
y otras irregularidades en la institucin, al dividir la
autoridad, la custodia y la contabilidad en la estructura
organizacional. El personal que ocupa puestos clave
puede delegar su autoridad sobre el control interno a
sus subordinados, pero retiene la obligacin de cumplir
con las obligaciones de control interno inherentes a su
cargo derivadas de su nivel de autoridad.
Documentacin y Formalizacin del Control Interno

3.09 La Administracin debe desarrollar y actualizar la
documentacin y formalizacin de su control interno.
3.10 La documentacin y formalizacin efectiva del
control interno apoya a la Administracin en el diseo,
implementacin y operacin de ste, al establecer y
comunicar al personal el cmo, qu, cundo, dnde y
por qu del control interno. Asimismo, la documentacin
y formalizacin se constituyen en un medio para retener
el conocimiento institucional sobre el control interno
y mitigar el riesgo de limitar el conocimiento solo a
una parte del personal; del mismo modo, es una va
26
para comunicar el conocimiento necesario sobre el

control interno a las partes externas, por ejemplo, los
auditores externos.
3.11 La Administracin debe documentar y formalizar
el control interno para satisfacer las necesidades
operativas de la institucin. La documentacin de
controles, incluidos los cambios realizados a stos,
es evidencia de que las actividades de control son
identificadas, comunicadas a los responsables de
su funcionamiento y que pueden ser supervisadas y
evaluadas por la institucin.
...............................................................................................................................................
3.12 La extensin de la documentacin necesaria

para respaldar el diseo, implementacin y eficacia
operativa de los cinco componentes del control interno
depende del juicio de la Administracin, del mandato
institucional y de las disposiciones jurdicas aplicables.
La Administracin debe considerar el costo-beneficio
de los requisitos de la documentacin y formalizacin,
as como el tamao, naturaleza y complejidad de

la institucin y de sus objetivos. No obstante, ciertos
niveles bsicos de documentacin y formalizacin
son necesarios para asegurar que los componentes
de control interno son diseados, implementados y
operados de manera eficaz y apropiada.
Principio 4 - Demostrar Compromiso con la Competencia

Profesional
4.01 La Administracin, es responsable de establecer los

medios necesarios para contratar, capacitar y retener
profesionales competentes.
Puntos de Inters
Los siguientes puntos de inters contribuyen al diseo,
implementacin y eficacia operativa de este principio:
Expectativas de Competencia Profesional
Atraccin, Desarrollo y Retencin de Profesionales
Planes y Preparativos para la Sucesin y
Contingencias
Expectativas de Competencia
Profesional
4.02 La Administracin debe establecer expectativas de
competencia profesional sobre los puestos clave y los
dems cargos institucionales para ayudar a la institucin
a lograr sus objetivos. La competencia profesional
es el conjunto de conocimientos y capacidades
comprobables de un servidor pblico para llevar a cabo
sus responsabilidades asignadas. El personal requiere
de conocimientos, destrezas y habilidades pertinentes
al ejercicio de sus cargos, los cuales son adquiridos,
en gran medida, con la experiencia profesional, la
capacitacin y las certificaciones profesionales.
4.03 La Administracin debe contemplar los estndares
de conducta, las responsabilidades asignadas y la
autoridad delegada al establecer expectativas.
Asimismo, debe establecer las expectativas de
competencia profesional para los puestos clave y para
el resto del personal, a travs de polticas al interior del
Sistema de Control Interno.
4.04 El personal debe poseer y mantener un nivel de

competencia profesional que le permita cumplir con sus
responsabilidades, as como entender la importancia
y eficacia del control interno. El sujetar al personal
a las polticas definidas para la evaluacin de las
competencias profesionales es crucial para atraer,
desarrollar y retener a los servidores pblicos idneos.
La Administracin debe evaluar la competencia
profesional del personal en toda la institucin, lo cual
contribuye a la obligacin institucional de rendicin de
cuentas. De igual forma, debe actuar, tanto como sea
necesario, para identificar cualquier desviacin a las
polticas establecidas para la competencia profesional.
evaluar las competencias de los titulares de las unidades
administrativas, as como contribuir a la evaluacin
general del personal de la institucin.
Atraccin, Desarrollo y Retencin de

Profesionales
4.05 La Administracin debe atraer, desarrollar y retener
profesionales competentes para lograr los objetivos de
la institucin. Por lo tanto, debe:
Seleccionar y contratar. Efectuar procedimientos
para determinar si un candidato en particular se
ajusta a las necesidades de la institucin y tiene las
competencias profesionales para el desempeo
del puesto.
Capacitar. Permitir a los servidores pblicos
desarrollar competencias profesionales apropiadas
para los puestos clave, reforzar las normas de
conducta, difundir el programa de promocin
de la integridad y brindar una formacin basada
en las necesidades del puesto.
27
...........................................................................................................................................
Guiar. Proveer orientacin en el desempeo del

personal con base en las normas de conducta,
el programa de promocin de la integridad y
las expectativas de competencia profesional;
alinear las habilidades y pericia individuales con
los objetivos institucionales, y ayudar al personal
a adaptarse a un ambiente cambiante.
Retener. Proveer incentivos para motivar y reforzar
los niveles esperados de desempeo y conducta
deseada, incluida la capacitacin y certificacin
correspondientes.
Planes y Preparativos para la Sucesin

y Contingencias
4.06 La Administracin debe definir cuadros de sucesin
y planes de contingencia para los puestos clave, con
objeto de garantizar la continuidad en el logro de los
objetivos. Los cuadros de sucesin deben identificar y
atender la necesidad de la institucin de reemplazar
profesionales competentes en el largo plazo, en tanto
que los planes de contingencia deben identificar y

atender la necesidad institucional de responder a los
cambios repentinos en el personal que impactan a la
institucin y que pueden comprometer el control interno.
4.07 La Administracin debe definir los cuadros de
sucesin para los puestos clave, as como seleccionar
y capacitar a los candidatos que asumirn los puestos
clave. Si la Administracin utiliza servicios tercerizados
para cumplir con las responsabilidades asignadas a
puestos clave, debe evaluar si stos pueden continuar
con los puestos clave y debe identificar otros servicios
tercerizados para tales puestos. Asimismo, debe
implementar procesos para asegurar que se comparta
el conocimiento con los nuevos candidatos, en su caso.
4.08 La Administracin debe definir los planes de
contingencia para la asignacin de responsabilidades
si un puesto clave se encuentra vacante sin vistas a
su ocupacin. La importancia de estos puestos en el
Control interno y el impacto que representa el que estn
vacantes, impactan la formalidad y profundidad del
plan de contingencia.
Principio 5 Establecer la Estructura para el Reforzamiento de la

Rendicin de Cuentas
5.01 La Administracin, debe evaluar el desempeo

del control interno en la institucin y hacer responsables
a todo el personal por sus obligaciones especficas en
la materia.
Puntos de Inters
Establecimiento de una Estructura para
Responsabilizar al Personal por sus Obligaciones
de Control Interno
Consideracin de las Presiones por las
Responsabilidades Asignadas al Personal
28
Establecimiento de la Estructura para

Responsabilizar al Personal por sus
Obligaciones de Control Interno
5.02 La Administracin debe establecer una estructura
que permita, de manera clara y sencilla, responsabilizar
a todo el personal por el desempeo de su cargo y
por sus obligaciones especficas en materia de control
interno, lo cual forma parte de la obligacin de rendicin
de cuentas institucional. La responsabilidad por el
cargo desempeado y la obligacin de rendicin de
cuentas es promovida por la actitud de respaldo y
compromiso de los Titulares y la Administracin (tono en
los mandos superiores) con la competencia profesional,
la integridad, los valores ticos, las normas de conducta,
la estructura organizacional y las lneas de autoridad
establecidas, elementos todos que influyen en la cultura
de control interno de la institucin. La estructura que
refuerza la responsabilidad profesional y la rendicin
de cuentas por las actividades desempeadas, es
la base para la toma de decisiones y la actuacin
cotidiana del personal.
...............................................................................................................................................
La Administracin debe mantener la estructura para

la responsabilidad profesional y el reforzamiento de
la rendicin de cuentas del personal, a travs de
mecanismos tales como evaluaciones del desempeo
y la imposicin de medidas disciplinarias.
5.03 La Administracin debe establecer una estructura
organizacional que permita responsabilizar a todos
los servidores pblicos por el desempeo de sus
obligaciones de control interno. El rgano de Gobierno,
en su caso, o el Titular, a su vez, debe evaluar y
responsabilizar a la Administracin por el desempeo
de sus funciones en materia de control interno.
5.04 En caso de que la Administracin establezca
incentivos para el desempeo del personal, debe
reconocer que tales estmulos pueden provocar
consecuencias no deseadas, por lo que debe evaluarlos
a fin de que se encuentren alineados a los principios
ticos y normas de conducta de la institucin.
5.05 La Administracin debe responsabilizar a las
organizaciones de servicios que contrate por las
funciones de control interno relacionadas con las
actividades tercerizadas que realicen. Asimismo debe
comunicar a los servicios tercerizados los objetivos
institucionales y sus riesgos asociados, las normas
de conducta de la institucin, su papel dentro de
la estructura organizacional, las responsabilidades
asignadas y las expectativas de competencia profesional
correspondiente a sus funciones, lo que contribuir a que
los servicios tercerizados desempeen apropiadamente
sus responsabilidades de control interno.
correctivas cuando sea necesario fortalecer la estructura

para la asignacin de responsabilidades y la rendicin de
cuentas. Estas acciones van desde la retroalimentacin
informal proporcionada por los supervisores hasta
acciones disciplinarias implementadas por el rgano
de Gobierno o el Titular, dependiendo de la relevancia
de las deficiencias identificadas en el control interno.
Consideracin de las Presiones por

las Responsabilidades Asignadas al
Personal
5.07 La Administracin debe equilibrar las presiones
excesivas sobre el personal de la institucin. Las presiones
pueden suscitarse debido a metas demasiado altas,
establecidas por la Administracin, a fin de cumplir
con los objetivos institucionales o las exigencias cclicas
de algunos procesos sensibles, como adquisiciones,
suministros, remuneraciones y la preparacin de los
estados financieros, entre otros.
5.08 La Administracin es responsable de evaluar las
presiones sobre el personal para ayudar a los empleados
a cumplir con sus responsabilidades asignadas, en
alineacin con las normas de conducta, los principios
ticos y el programa de promocin de la integridad.
En este sentido, debe ajustar las presiones excesivas
utilizando diferentes herramientas, como distribuir
adecuadamente las cargas de trabajo, redistribuir los
recursos o tomar las decisiones pertinentes para corregir
la causa de las presiones, entre otras.
5.06 La Administracin, bajo la supervisin del rgano de

Gobierno, en su caso, o del Titular debe tomar acciones
29
...........................................................................................................................................
Administracin de Riesgos
Despus de haber establecido un ambiente de control
efectivo, la Administracin debe evaluar los riesgos que
enfrenta la institucin para el logro de sus objetivos. Esta
evaluacin proporciona las bases para el desarrollo
de respuestas al riesgo apropiadas. Asimismo, debe
evaluar los riesgos que enfrenta la institucin tanto de
fuentes internas como externas.
Principios
6. El Titular, con el apoyo de la Administracin, debe
definir claramente los objetivos institucionales y
formular un plan estratgico que, de manera
coherente y ordenada, se asocie a stos y a su
mandato legal, asegurando adems que dicha
planeacin estratgica contemple la alineacin
institucional a los planes nacionales, regionales,
sectoriales y todos los dems instrumentos y
normativas vinculatorias que correspondan.
7. La Administracin, debe identificar, analizar y
responder a los riesgos asociados al cumplimiento
de los objetivos institucionales, as como de los
procesos por los que se obtienen los ingresos y
se ejerce el gasto, entre otros.
8. La Administracin, debe considerar la posibilidad

de ocurrencia de actos de corrupcin, fraudes,
abuso, desperdicio y otras irregularidades
relacionadas con la adecuada salvaguarda
de los recursos pblicos al identificar, analizar y
responder a los riesgos, en los diversos procesos
que realiza la institucin.
9. La Administracin, debe identificar, analizar y
responder a los cambios significativos que puedan
impactar al control interno.
Principio 6 Definir Objetivos y Tolerancias al Riesgo

6.01 El Titular debe instruir a la Administracin y, en
su caso, a las unidades especializadas, la definicin
clara de los objetivos institucionales para permitir la
identificacin de riesgos y definir la tolerancia al riesgo.
Puntos de Inters
Definicin de Objetivos
Tolerancia al Riesgo
Definicin de Objetivos
6.02 La Administracin debe definir objetivos en trminos
especficos y medibles para permitir el diseo del
control interno y sus riesgos asociados. Los trminos
especficos deben establecerse clara y completamente
30
a fin de que puedan ser entendidos fcilmente. Los

indicadores y otros instrumentos de medicin de los
objetivos permiten la evaluacin del desempeo en
el cumplimiento de los objetivos. Estos ltimos, deben
definirse inicialmente en el proceso de establecimiento
de objetivos y, posteriormente, deben ser incorporados
al control interno.
6.03 La Administracin debe definir los objetivos en
trminos especficos de manera que sean comunicados
y entendidos en todos los niveles en la institucin. Esto
involucra la clara definicin de qu debe ser alcanzado,
quin debe alcanzarlo, cmo ser alcanzado y qu
lmites de tiempo existen para lograrlo. Todos los objetivos
pueden ser clasificados de manera general en una o
ms de las siguientes tres categoras: de operacin,
de informacin y de cumplimiento. Los objetivos
de informacin son, adems, categorizados como
internos o externos y financieros o no financieros. La
Administracin debe definir los objetivos en alineacin
...............................................................................................................................................
con el mandato, la misin y visin institucional, con

su plan estratgico y con otros planes y programas
aplicables, as como con las metas de desempeo.
6.04 La Administracin debe definir objetivos en
trminos medibles de manera que se pueda evaluar
su desempeo. Establecer objetivos medibles contribuye
a la objetividad y neutralidad de su evaluacin, ya
que no se requiere de juicios subjetivos para evaluar
el grado de avance en su cumplimiento. Los objetivos
medibles deben definirse de una forma cuantitativa y/o
cualitativa que permita una medicin razonablemente
consistente.
6.05 La Administracin debe considerar los
requerimientos externos y las expectativas internas al
definir los objetivos que permiten el diseo del control
interno. Los legisladores, reguladores e instancias
normativas deben definir los requerimientos externos
al establecer las leyes, regulaciones y normas que
la institucin debe cumplir. La Administracin debe
identificar, entender e incorporar estos requerimientos
dentro de los objetivos institucionales. Adicionalmente,
debe fijar expectativas y requerimientos internos para
el cumplimiento de los objetivos con apoyo de las
normas de conducta, el programa de promocin de
la integridad, la funcin de supervisin, la estructura
organizacional y las expectativas de competencia
profesional del personal.
6.06 La Administracin debe evaluar y, en su caso,
replantear los objetivos definidos para que sean
consistentes con los requerimientos externos y las
expectativas internas de la institucin, as como con el
Plan Nacional de Desarrollo, el Plan Estatal de Desarrollo,
los Programas Sectoriales, Especiales y dems planes,
programas y disposiciones aplicables. Esta consistencia
permite a la Administracin identificar y analizar los
riesgos asociados con el logro de los objetivos.
6.07 La Administracin debe determinar si los
instrumentos e indicadores de desempeo para los
objetivos establecidos son apropiados para evaluar
el desempeo de la institucin. Para los objetivos
cuantitativos, las normas e indicadores de desempeo
pueden ser un porcentaje especfico o un valor numrico.
Para los objetivos cualitativos, la Administracin podra
necesitar disear medidas de desempeo que indiquen
el nivel o grado de cumplimiento, como hitos.
Tolerancia al Riesgo
6.08 La Administracin debe definir la tolerancia al
riesgo para los objetivos definidos. Dicha tolerancia es
el nivel aceptable de diferencia entre el cumplimiento
cabal del objetivo y su grado real de cumplimiento.

Las tolerancias al riesgo son inicialmente fijadas como
parte del proceso de establecimiento de objetivos.
La Administracin debe definir las tolerancias para los
objetivos establecidos al asegurar que los niveles de
variacin para las normas e indicadores de desempeo
son apropiados para el diseo del Control interno.
6.09 La Administracin debe definir las tolerancias al
riesgo en trminos especficos y medibles, de modo
que sean claramente establecidas y puedan ser
medidas. La tolerancia es usualmente medida con las
mismas normas e indicadores de desempeo que los
objetivos definidos. Dependiendo de la categora de los
objetivos, las tolerancias al riesgo pueden ser expresadas
como sigue:
Objetivos de Operacin. Nivel de variacin en el
desempeo en relacin con el riesgo.
Objetivos de Informacin no Financieros.
Nivel requerido de precisin y exactitud para
las necesidades de los usuarios; implican
consideraciones tanto cualitativas como
cuantitativas para atender las necesidades de
los usuarios de informes no financieros.
Objetivos de Informacin Financieros. Los
juicios sobre la relevancia se hacen en
funcin de las circunstancias que los rodean;
implican consideraciones tanto cualitativas
como cuantitativas y se ven afectados por las
necesidades de los usuarios de los informes
financieros, as como por el tamao o la naturaleza
de la informacin errnea.
Objetivos de Cumplimiento. El concepto de
tolerancia al riesgo no le es aplicable. La institucin
cumple o no cumple las disposiciones aplicables.
6.10 La Administracin tambin debe evaluar si las
tolerancias al riesgo permiten el diseo apropiado de
control interno al considerar si son consistentes con
los requerimientos y las expectativas de los objetivos
definidos. Como en la definicin de objetivos, la
Administracin debe considerar las tolerancias al riesgo
en el contexto de las leyes, regulaciones y normas
aplicables a la institucin, as como a las normas de
conducta, el programa de promocin de la integridad,
la estructura de supervisin, la estructura organizacional
y las expectativas de competencia profesional. Si las
tolerancias al riesgo para los objetivos definidos no son
consistentes con estos requerimientos y expectativas, el
Titular debe revisar las tolerancias al riesgo para lograr
dicha consistencia.
31
...........................................................................................................................................
Principio 7 Identificar, Analizar y Responder a los Riesgos

7.01 La Administracin debe identificar, analizar y
responder a los riesgos relacionados con el cumplimiento
de los objetivos institucionales.
Puntos de Inters
Identificacin de Riesgos
Anlisis de Riesgos
econmica o desastres naturales potenciales. La

Administracin debe considerar esos factores tanto
a nivel institucin como a nivel de transacciones a fin
de identificar de manera completa los riesgos que
afectan el logro de los objetivos.
Los mtodos de identificacin de riesgos pueden
incluir una priorizacin cualitativa y cuantitativa de
actividades, previsiones y planeacin estratgica, as
como la consideracin de las deficiencias identificadas
a travs de auditoras y otras evaluaciones.
Anlisis de Riesgos
Respuesta a los Riesgos
Identificacin de Riesgos
7.02 La Administracin debe identificar riesgos en toda la
institucin para proporcionar una base para analizarlos.
La administracin de riesgos es la identificacin y anlisis
de riesgos asociados con el mandato institucional, su plan
estratgico, los objetivos del Plan Nacional de Desarrollo,
el Plan Estatal de Desarrollo, los Programas Sectoriales,
Especiales y dems planes y programas aplicables
de acuerdo con los requerimientos y expectativas de
la planeacin estratgica, y de conformidad con las
disposiciones jurdicas y normativas aplicables. Lo anterior
forma la base que permite disear respuestas al riesgo.
7.03 Para identificar riesgos, la Administracin debe
considerar los tipos de eventos que impactan a la
institucin. Esto incluye tanto el riesgo inherente como
el riesgo residual. El riesgo inherente es el riesgo que
enfrenta la institucin cuando la Administracin no
responde ante el riesgo. El riesgo residual es el riesgo
que permanece despus de la respuesta de la
Administracin al riesgo inherente. La falta de respuesta
por parte de la Administracin a ambos riesgos puede
causar deficiencias graves en el control interno.
7.04 La Administracin debe considerar todas las
interacciones significativas dentro de la institucin
y con las partes externas, cambios en su ambiente
interno y externo y otros factores, tanto internos como
externos, para identificar riesgos en toda la institucin.
Los factores de riesgo interno pueden incluir la compleja
naturaleza de los programas de la institucin, su
estructura organizacional o el uso de nueva tecnologa
en los procesos operativos. Los factores de riesgo
externo pueden incluir leyes, regulaciones o normas
profesionales nuevas o reformadas, inestabilidad
32
7.05 La Administracin debe analizar los riesgos

identificados para estimar su relevancia, lo cual provee
la base para responder a stos. La relevancia se refiere
al efecto sobre el logro de los objetivos.
7.06 La Administracin debe estimar la relevancia
de los riesgos identificados para evaluar su efecto
sobre el logro de los objetivos, tanto a nivel institucin
como a nivel transaccin. La Administracin debe
estimar la importancia de un riesgo al considerar la
magnitud del impacto, la probabilidad de ocurrencia
y la naturaleza de riesgo. La magnitud de impacto se
refiere a la grado probable de deficiencia que podra
resultar de la materializacin de un riesgo y es afectada
por factores tales como el tamao, la frecuencia y
la duracin del impacto del riesgo. La probabilidad
de ocurrencia se refiere a la posibilidad de que un
riesgo se materialice. La naturaleza del riesgo involucra
factores tales como el grado de subjetividad involucrado
con el riesgo y la posibilidad de surgimiento de riesgos
causados por corrupcin, fraude, abuso, desperdicio
y otras irregularidades o por transacciones complejas
e inusuales. El rgano de Gobierno, en su caso, o el
Titular, podr revisar las estimaciones sobre la relevancia
realizadas por la Administracin, a fin de asegurar que las
tolerancias al riesgo fueron definidas adecuadamente.
7.07 Los riesgos pueden ser analizados sobre bases
individuales o agrupados dentro de categoras de riesgos
asociados, los cuales son analizados de manera colectiva.
Independientemente de si los riesgos son analizados de
forma individual o agrupada, la Administracin debe
considerar la correlacin entre los distintos riesgos o
grupos de riesgos al estimar su relevancia. La metodologa
especfica de anlisis de riesgos utilizada puede variar segn
la institucin, su mandato y misin, y la dificultad para definir,
cualitativa y cuantitativamente, las tolerancias al riesgo.
...............................................................................................................................................
Respuesta a los Riesgos

7.08 La Administracin debe disear respuestas a los
riesgos analizados de tal modo que stos se encuentren
dentro de la tolerancia definida para los objetivos. La
Administracin debe disear todas las respuestas al
riesgo con base en la relevancia del riesgo y la tolerancia
establecida. Estas respuestas al riesgo pueden incluir:
Aceptar. Ninguna accin es tomada para
responder al riesgo con base en su importancia.
Evitar. Se toman acciones para detener el proceso
operativo o la parte que origina el riesgo.
Mitigar. Se toman acciones para reducir la
probabilidad / posibilidad de ocurrencia o la
magnitud del riesgo.
7.09 Con base en la respuesta al riesgo seleccionada,

la Administracin debe disear acciones especficas
de atencin. La naturaleza y alcance de las acciones
de la respuesta a los riesgos depende de la tolerancia
al riesgo definida. Operar dentro de una tolerancia
definida provee mayor garanta de que la institucin
alcanzar sus objetivos. Los indicadores del desempeo
son usados para evaluar si las acciones de respuesta
al riesgo permiten a la institucin operar dentro de las
tolerancias definidas. Cuando las acciones de respuesta
al riesgo no permiten a la institucin operar dentro de
las tolerancias al riesgo definidas, la Administracin
debe revisar las respuestas al riesgo y/o reconsiderar las
tolerancias al riesgo definidas. La Administracin debe
efectuar evaluaciones peridicas de riesgos con el fin
de asegurar la efectividad de las acciones de respuesta.
Compartir. Se toman acciones para compartir

riesgos institucionales con partes externas, como
la contratacin de plizas de seguros.
Principio 8 Considerar el Riesgo de Corrupcin

8.01 La Administracin, con el apoyo, en su caso, de
las unidades especializadas (por ejemplo, Comit de
tica, Comit de Riesgos, Comit de Cumplimiento,
etc.), debe considerar la probabilidad de ocurrencia
de actos corruptos, fraudes, abuso, desperdicio y
otras irregularidades que atentan contra la apropiada
salvaguarda de los bienes y recursos pblicos al
identificar, analizar y responder a los riesgos.
La corrupcin, por lo general, implica la obtencin
ilcita por parte de un servidor pblico de algo de valor,
a cambio de la realizacin de una accin ilcita o
contraria a la integridad.
La Administracin, as como todo el personal en sus
respectivos mbitos de competencia, deben considerar
el riesgo potencial de actos corruptos y contrarios
a la integridad en todos los procesos que realicen,
incluyendo los ms susceptibles como son ingresos,
adquisiciones, obra pblica, remuneraciones, entre
otros, e informar oportunamente a la Administracin y
al rgano de Gobierno, en su caso, o el Titular sobre
la presencia de dichos riesgos.
El programa de promocin de la integridad debe
considerar la administracin de riesgos de corrupcin
permanente en la institucin, as como los mecanismos
para que cualquier servidor pblico o tercero
pueda informar de manera confidencial y annima

sobre la incidencia de actos corruptos probables u
ocurridos dentro de la institucin. La Administracin es
responsable de que dichas denuncias sean investigadas
oportunamente y, en su caso, se corrijan las fallas que
dieron lugar a la presencia del riesgo de corrupcin. El
rgano de Gobierno, en su caso, o el Titular debe evaluar
la aplicacin efectiva del programa de promocin de
la integridad por parte de la Administracin, incluyendo
si el mecanismo de denuncias annimas es eficaz,
oportuno y apropiado, y debe permitir la correccin
efectivamente las deficiencias en los procesos que
permiten la posible materializacin de actos corruptos u
otras irregularidades que atentan contra la salvaguarda
de los recursos pblicos y la apropiada actuacin de
los servidores pblicos.
Puntos de Inters
Tipos de Corrupcin
Factores de Riesgo de Corrupcin
Respuesta a los Riesgos de Corrupcin
33
...........................................................................................................................................
Tipos de Corrupcin
8.02 La Administracin debe considerar los tipos de
corrupcin que pueden ocurrir en la institucin, para
proporcionar una base para la identificacin de estos
riesgos. Entre los tipos de corrupcin ms comunes se
encuentran:
Informes Financieros Fraudulentos. Consistentes en
errores intencionales u omisiones de cantidades
o revelaciones en los estados financieros para
engaar a los usuarios de los estados financieros.
Esto podra incluir la alteracin intencional de
los registros contables, la tergiversacin de las
transacciones o la aplicacin indebida y deliberada
de los principios y disposiciones de contabilidad.
Apropiacin indebida de activos. Entendida como
el robo de activos de la institucin. Esto podra
incluir el robo de la propiedad, la malversacin
de los ingresos o pagos fraudulentos.
Conflicto de intereses. Que implica la intervencin,
por motivo del encargo del servidor pblico, en
la atencin, tramitacin o resolucin de asuntos
en los que tenga inters personal, familiar o de
negocios.
Utilizacin de los recursos asignados y las facultades
atribuidas para fines distintos a los legales.
Pretensin del servidor pblico de obtener
beneficios adicionales a las contraprestaciones
comprobables que el Estado le otorga por el
desempeo de su funcin.
Participacin indebida del servidor pblico
en la seleccin, nombramiento, designacin,
contratacin, promocin, suspensin, remocin,
cese, rescisin del contrato o sancin de cualquier
servidor pblico, cuando tenga inters personal,
familiar o de negocios en el caso, o pueda derivar
alguna ventaja o beneficio para l o para un tercero.
Aprovechamiento del cargo o comisin del
servidor pblico para inducir a que otro servidor
pblico o tercero efecte, retrase u omita realizar
algn acto de su competencia, que le reporte
cualquier beneficio, provecho o ventaja indebida
para s o para un tercero.
Coalicin con otros servidores pblicos o terceros
para obtener ventajas o ganancias ilcitas.
34
Intimidacin del servidor pblico o extorsin para

presionar a otro a realizar actividades ilegales o ilcitas.
Trfico de influencias
Enriquecimiento ilcito
Peculado
8.03 Adems de la corrupcin, la Administracin debe
considerar que pueden ocurrir otras transgresiones a
la integridad, por ejemplo: el desperdicio o el abuso.
El desperdicio es el acto de usar o gastar recursos
de manera exagerada, extravagante o sin propsito.
El abuso involucra un comportamiento deficiente o
impropio, contrario al comportamiento que un servidor
pblico prudente podra considerar como una prctica
operativa razonable y necesaria, dados los hechos y
circunstancias. Esto incluye el abuso de autoridad o el
uso del cargo para la obtencin de un beneficio ilcito
para s o para un tercero.
Factores de Riesgo de Corrupcin

8.04 La Administracin debe considerar los factores
de riesgo de corrupcin, fraude, abuso, desperdicio
y otras irregularidades. Estos factores no implican
necesariamente la existencia de un acto corrupto o
fraude, pero estn usualmente presentes cuando stos
ocurren. Este tipo de factores incluyen:
Incentivos / Presiones. La Administracin y el resto
del personal tienen un incentivo o estn bajo
presin, lo cual provee un motivo para cometer
actos de corrupcin o fraudes.
Oportunidad. Existen circunstancias, como la
ausencia de controles, controles inefectivos o la
capacidad de determinados servidores pblicos
para eludir controles en razn de su posicin en
la institucin, las cuales proveen una oportunidad
para la comisin de actos corruptos o fraudes.
Actitud / Racionalizacin. El personal involucrado es
capaz de justificar la comisin de actos corruptos,
fraudes y otras irregularidades. Algunos servidores
pblicos poseen una actitud, carcter o valores
ticos que les permiten efectuar intencionalmente
un acto corrupto o deshonesto.
8.05 La Administracin debe utilizar los factores de riesgo
para identificar los riesgos de corrupcin, fraude, abuso,
desperdicio y otras irregularidades. Si bien, el riesgo de
corrupcin puede ser mayor cuando los tres factores
de riesgo estn presentes, uno o ms de estos factores
...............................................................................................................................................
podran indicar un riesgo de corrupcin. Tambin se

debe utilizar la informacin provista por partes internas
y externas para identificar los riesgos de corrupcin,
fraude, abuso, desperdicio y otras irregularidades. Lo
anterior incluye quejas, denuncias o sospechas de este
tipo de irregularidades, reportadas por los auditores
internos, el personal de la institucin o las partes externas
que interactan con la institucin, entre otros.
Respuesta a los Riesgos de Corrupcin

8.06 La Administracin debe analizar y responder a
los riesgos de corrupcin, fraude, abuso, desperdicio
y otras irregularidades identificadas a fin de que sean
efectivamente mitigados. Estos riesgos son analizados
mediante el mismo proceso de anlisis de riesgos
efectuado para todos los dems riesgos identificados. La
Administracin debe analizar los riesgos de corrupcin,
fraude, abuso, desperdicio y otras irregularidades
identificados mediante la estimacin de su relevancia,
tanto individual como en su conjunto, para evaluar
su efecto en el logro de los objetivos. Como parte
del anlisis de riesgos, tambin se debe evaluar el
riesgo de que la Administracin eluda los controles.
revisar que las evaluaciones y la administracin del
riesgo de corrupcin, fraude, abuso, desperdicio y otras
irregularidades efectuadas por la propia Administracin,
son apropiadas, as como el riesgo de que el Titular o
la Administracin eludan los controles.
8.07 La Administracin debe responder a los

riesgos de corrupcin, fraude, abuso, desperdicio
y otras irregularidades mediante el mismo proceso
de respuesta desarrollado para todos los riesgos
institucionales analizados. La Administracin debe
disear una respuesta general al riesgo y acciones
especficas para atender este tipo irregularidades.
Esto posibilita la implementacin de controles anticorrupcin en la institucin. Dichos controles pueden
incluir la reorganizacin de ciertas operaciones y la
reasignacin de puestos entre el personal para mejorar
la segregacin de funciones. Adems de responder a
los riesgos de corrupcin, fraude, abuso, desperdicio
y otras irregularidades, la Administracin debe
desarrollar respuestas ms avanzadas para identificar
los riesgos relativos a que el Titular y personal de la
Administracin eludan los controles. Adicionalmente,
cuando la corrupcin, fraude, abuso, desperdicio u
otras irregularidades han sido detectadas, es necesario
revisar el proceso de administracin de riesgos.
A los riesgos de corrupcin, fraude, abuso, desperdicio
y otras irregularidades no les es aplicable el concepto
de tolerancia al riesgo, ya que la incidencia de un acto
corrupto implica necesariamente una deficiencia en
los objetivos de cumplimiento legal. Para los objetivos
de cumplimiento, la tolerancia al riesgo es cero (vase
el numeral 6.09 de este Marco).
Principio 9 Identificar, Analizar y Responder al Cambio

9.01 La Administracin debe identificar, analizar y
responder a los cambios significativos que puedan
impactar el control interno.
interno apropiado y eficaz, y puede ser usualmente

pasado por alto o tratado inadecuadamente en el
curso normal de las operaciones.
Puntos de Inters
9.03 Las condiciones que afectan a la institucin y su

ambiente continuamente cambian. La Administracin
debe prevenir y planear acciones ante cambios
significativos al usar un proceso prospectivo de
identificacin del cambio. Asimismo, debe identificar,
de manera oportuna, los cambios significativos en las
condiciones internas y externas que se han producido
o que se espera que se produzcan. Los cambios en
las condiciones internas incluyen modificaciones a los
programas o actividades institucionales, la funcin de
supervisin, la estructura organizacional, el personal y
la tecnologa. Los cambios en las condiciones externas
incluyen cambios en los entornos gubernamentales,
econmicos, tecnolgicos, legales, regulatorios y
fsicos. Los cambios significativos identificados deben
ser comunicados al personal adecuado de la institucin
mediante las lneas de reporte y autoridad establecidas.
Anlisis y Respuesta al Cambio

Identificacin del Cambio
Anlisis y Respuesta al Cambio
Identificacin del Cambio

9.02 Como parte de la administracin de riesgos o
un proceso similar, la Administracin debe identificar
cambios que puedan impactar significativamente al
control interno. La identificacin, anlisis y respuesta al
cambio es parte del proceso regular de administracin
de riesgos. Sin embargo, el cambio debe ser discutido
de manera separada, porque es crtico para un control
35
...........................................................................................................................................
9.04 Como parte de la administracin de riesgos, la

Administracin debe analizar y responder a los cambios
identificados y a los riesgos asociados con stos, con el
propsito de mantener un control interno apropiado. Los
cambios en las condiciones que afectan a la institucin
y su ambiente usualmente requieren cambios en el
control interno, ya que pueden generar que los controles
se vuelvan ineficaces o insuficientes para alcanzar los
objetivos institucionales. La Administracin debe analizar
y responder oportunamente al efecto de los cambios
identificados en el control interno, mediante su revisin
oportuna para asegurar que es apropiado y eficaz.
9.05 Adems, las condiciones cambiantes usualmente

generan nuevos riesgos o cambios a los riesgos
existentes, los cuales deben ser evaluados. Como parte
del anlisis y respuesta al cambio, la Administracin debe
desarrollar una evaluacin de los riesgos para identificar,
analizar y responder a cualquier riesgo causado por
estos cambios. Adicionalmente, los riesgos existentes
podran requerir una evaluacin ms profunda, para
determinar si las tolerancias y las respuestas al riesgo
definidas previamente a los cambios necesitan ser
replanteadas.
Actividades de Control
Son las acciones que establece la Administracin
mediante polticas y procedimientos para alcanzar los
objetivos y responder a los riesgos en el control interno,
lo cual incluye los sistemas de informacin institucional.
Principios
10. La Administracin, debe disear, actualizar y
garantizar la suficiencia e idoneidad de las actividades
de control establecidas para lograr los objetivos
institucionales y responder a los riesgos. En este sentido,
es responsable de que existan controles apropiados para
hacer frente a los riesgos que se encuentran presentes
en cada uno de los procesos que realizan, incluyendo
los riesgos de corrupcin.
11. La Administracin, debe disear los sistemas de
informacin institucional y las actividades de control
asociadas, a fin de alcanzar los objetivos y responder
a los riesgos.
12. La Administracin, debe implementar las actividades

de control a travs de polticas, procedimiento y otros
medios de similar naturaleza, las cuales deben estar
documentadas y formalmente establecidas. Asimismo,
deben ser apropiadas, suficientes e idneas para enfrentar
los riesgos a los que estn expuestos sus procesos.
Principio 10 Disear Actividades de Control

10.01 La Administracin debe disear, actualizar y
garantizar la suficiencia e idoneidad de las actividades
de control para alcanzar los objetivos institucionales y
responder a los riesgos.
Puntos de Inters
Respuesta a los Objetivos y Riesgos
Diseo de las Actividades de Control Apropiadas
36
Diseo de Actividades de Control en Varios Niveles

Segregacin de Funciones
Respuesta a los Objetivos y Riesgos

10.02 La Administracin debe disear actividades de
control en respuesta a los riesgos asociados con los
objetivos institucionales, a fin de alcanzar un control
interno eficaz y apropiado. Estas actividades son las
polticas, procedimientos, tcnicas y mecanismos que
hacen obligatorias las directrices de la Administracin
para alcanzar los objetivos e identificar los riesgos
...............................................................................................................................................
asociados. Como parte del componente de ambiente

de control, el Titular y la Administracin deben definir
responsabilidades, asignar puestos clave y delegar
autoridad para alcanzar los objetivos. Como parte
del componente de administracin de riesgos, la
Administracin debe identificar los riesgos asociados
a la institucin y a sus objetivos, incluidos los servicios
tercerizados, la tolerancia al riesgo y la respuesta a
ste. La Administracin debe disear las actividades de
control para cumplir con las responsabilidades definidas
y responder apropiadamente a los riesgos.
Revisiones por la Administracin del desempeo actual

La Administracin identifica los logros ms importantes
de la institucin y los compara contra los planes,
objetivos y metas establecidos.
Revisiones por la Administracin a nivel de funcin o
actividad
Diseo de Actividades de Control
La Administracin compara el desempeo actual contra

los resultados planeados o esperados en determinadas
funciones clave de la institucin, y analiza las diferencias
significativas.
Apropiadas
Administracin del Capital Humano
10.03 La Administracin debe disear las actividades

de control apropiadas para el control interno, las cuales
ayudan al Titular y a la Administracin a cumplir con sus
responsabilidades y a enfrentar apropiadamente a los
riesgos identificados en el control interno. A continuacin
se presentan de manera enunciativa, ms no limitativa,
las actividades de control que pueden ser tiles para
la institucin:
Segregacin de funciones.
La gestin efectiva de la fuerza de trabajo de la

institucin, su capital humano, es esencial para
alcanzar los resultados y es una parte importante
del control interno. El xito operativo slo es posible
cuando el personal adecuado para el trabajo est
presente y ha sido provisto de la capacitacin, las
herramientas, las estructuras, los incentivos y las
responsabilidades adecuadas. La Administracin
continuamente debe evaluar las necesidades de
conocimiento, competencias y capacidades que
el personal debe tener para lograr los objetivos
institucionales. La capacitacin debe enfocarse a
desarrollar y retener al personal con los conocimientos,
habilidades y capacidades para cubrir las necesidades
organizacionales cambiantes. La Administracin debe
proporcionar supervisin calificada y continua para
asegurar que los objetivos de control interno son
alcanzados. Asimismo, debe disear evaluaciones de
desempeo y retroalimentacin, complementadas
por un sistema de incentivos efectivo, lo cual ayuda
a los empleados a entender la conexin entre su
desempeo y el xito de la institucin. Como parte
de la planeacin del capital humano, la Administracin
tambin debe considerar de qu manera retiene a los
empleados valiosos, cmo planea su eventual sucesin
y cmo asegura la continuidad de las competencias,
habilidades y capacidades necesarias.
Ejecucin apropiada de transacciones.
Controles sobre el procesamiento de la informacin
Registro de transacciones con exactitud y

oportunidad.
Una variedad de actividades de control son utilizadas

en el procesamiento de la informacin. Los ejemplos
incluyen verificaciones sobre la edicin de datos
ingresados, la contabilidad de las transacciones en
secuencias numricas, la comparacin de los totales
de archivos con las cuentas de control y el control de
acceso a los datos, archivos y programas.
Revisiones por la Administracin del desempeo

actual.
Revisiones por la Administracin a nivel funcin
o actividad.
Administracin del capital humano.
Controles sobre el procesamiento de la
informacin.
Controles fsicos sobre los activos y bienes
vulnerables.
Establecimiento y revisin de normas e indicadores
de desempeo.
Restricciones de acceso a recursos y registros, as

como rendicin de cuentas sobre stos.
Documentacin y formalizacin apropiada de
las transacciones y el control interno.
37
...........................................................................................................................................
Controles fsicos sobre los activos y bienes vulnerables

La Administracin debe establecer el control fsico
para asegurar y salvaguardar los bienes y activos
vulnerables de la institucin. Algunos ejemplos incluyen
la seguridad y el acceso limitado a los activos, como
el dinero, valores, inventarios y equipos que podran ser
vulnerables al riesgo de prdida o uso no autorizado.
La Administracin cuenta y compara peridicamente
dichos activos para controlar los registros.
Establecimiento y revisin de normas e indicadores
de desempeo
La Administracin debe establecer actividades
para revisar los indicadores. stas pueden incluir
comparaciones y evaluaciones que relacionan
diferentes conjuntos de datos entre s para que se
puedan efectuar los anlisis de relaciones y se adopten
las medidas correspondientes. La Administracin debe
disear controles enfocados en validar la idoneidad e
integridad de las normas e indicadores de desempeo,
a nivel institucin y a nivel individual.
Segregacin de funciones
La Administracin debe dividir o segregar las
atribuciones y funciones principales entre los diferentes
servidores pblicos para reducir el riesgo de error, mal
uso, corrupcin, fraude, abuso, desperdicio y otras
irregularidades. Esto incluye separar las responsabilidades
para autorizar transacciones, procesarlas y registrarlas,
revisar las transacciones y manejar cualquier activo
relacionado, de manera que ningn servidor pblico
controle todos los aspectos clave de una transaccin
o evento.
Ejecucin apropiada de transacciones
Las transacciones deben ser autorizadas y ejecutadas
slo por los servidores pblicos que actan dentro del
alcance de su autoridad. ste es el principal medio
para asegurarse de que slo las transacciones vlidas
para el intercambio, transferencia, uso u compromiso de
recursos son iniciadas o efectuadas. La Administracin
debe comunicar claramente las autorizaciones
al personal.
Registro de transacciones con exactitud y oportunidad
La Administracin debe asegurarse de que las
transacciones se registran puntualmente para conservar
su relevancia y valor para el control de las operaciones y
la toma de decisiones. Esto se aplica a todo el proceso
o ciclo de vida de una transaccin o evento, desde
38
su inicio y autorizacin hasta su clasificacin final en

los registros. Adems, la Administracin debe disear
actividades de control para contribuir a asegurar que
todas las transacciones son registradas de forma
completa y precisa.
Restricciones de acceso a recursos y registros, as como
rendicin de cuentas sobre stos
La Administracin debe limitar el acceso a los recursos
y registros solamente al personal autorizado; asimismo,
debe asignar y mantener la responsabilidad de su
custodia y uso. Se deben conciliar peridicamente
los registros con los recursos para contribuir a reducir el
riesgo de errores, corrupcin, fraude, abuso, desperdicio,
uso indebido o alteracin no autorizada.
Documentacin y formalizacin apropiada de las
transacciones y el control interno
La Administracin debe documentar claramente el
control interno y todas las transacciones y dems
eventos significativos. Asimismo, debe asegurarse de
que la documentacin est disponible para su revisin.
La documentacin y formalizacin debe realizarse con
base en las directrices emitidas por la Administracin
para tal efecto, mismas que toman la forma de polticas,
guas o lineamientos administrativos o manuales de
operacin, ya sea en papel o en formato electrnico.
La documentacin formalizada y los registros deben ser
administrados y conservados adecuadamente, y por
los plazos mnimos que establezcan las disposiciones
legales en la materia.
El control interno de la institucin debe ser flexible para
permitir a la Administracin moldear las actividades de
control a sus necesidades especficas. Las actividades
de control especficas de la institucin pueden ser
diferentes de las que utiliza otra, como consecuencia
de muchos factores, los cuales pueden incluir: riesgos
concretos y especficos que enfrenta la institucin;
su ambiente operativo; la sensibilidad y valor de los
datos incorporados a su operacin cotidiana, as como
los requerimientos de confiabilidad, disponibilidad y
desempeo de sus sistemas.
10.04 Las actividades de control pueden ser preventivas
o detectivas. La principal diferencia entre ambas reside
en el momento en que ocurren. Una actividad de
control preventiva se dirige a evitar que la institucin
falle en alcanzar un objetivo o enfrentar un riesgo. Una
actividad de control detectiva descubre cundo la
institucin no est alcanzando un objetivo o enfrentando
un riesgo antes de que la operacin concluya, y corrige
...............................................................................................................................................
las acciones para que se alcance el objetivo o se

enfrente el riesgo.
10.05 La Administracin debe evaluar el propsito
de las actividades de control, as como el efecto
que una deficiencia tiene en el logro de los objetivos
institucionales. Si tales actividades cumplen un propsito
significativo o el efecto de una deficiencia en el
control sera relevante para el logro de los objetivos,
la Administracin debe disear actividades de control
tanto preventivas como detectivas para esa transaccin,
proceso, unidad administrativa o funcin.
10.06 Las actividades de control deben implementarse
ya sea de forma automatizada o manual. Las primeras
estn total o parcialmente automatizadas mediante
tecnologas de informacin; mientras que las manuales
son realizadas con menor uso de las tecnologas de
informacin. Las actividades de control automatizadas
tienden a ser ms confiables, ya que son menos
susceptibles a errores humanos y suelen ser ms
eficientes. Si las operaciones en la institucin descansan
en tecnologas de informacin, la Administracin debe
disear actividades de control para asegurar que dichas
tecnologas se mantienen funcionando correctamente
y son apropiadas para el tamao, caractersticas y
mandato de la institucin.
Diseo de Actividades de Control

en Varios Niveles
10.07 La Administracin debe disear actividades
de control en los niveles adecuados de la estructura
organizacional.
control para asegurar la adecuada cobertura de los
objetivos y los riesgos en las operaciones. Los procesos
operativos transforman las entradas en salidas para
lograr los objetivos institucionales. La Administracin
debe disear actividades de control a nivel institucin,
a nivel transaccin o ambos, dependiendo del nivel
necesario para garantizar que la institucin cumpla
con sus objetivos y conduzca los riesgos relacionados.
10.09 Los controles a nivel institucin son controles que
tienen un efecto generalizado en el control interno y
pueden relacionarse con varios componentes. Estos
controles pueden incluir controles relacionados con el
componente de administracin de riesgos, el ambiente
de control, la funcin de supervisin, los servicios
tercerizados y la elusin de controles.
10.10 Las actividades de control a nivel transaccin

son acciones integradas directamente en los procesos
operativos para contribuir al logro de los objetivos y
enfrentar los riesgos asociados. El trmino transacciones
tiende a asociarse con procesos financieros (por
ejemplo, cuentas por pagar), mientras que el trmino
actividades se asocia generalmente con procesos
operativos o de cumplimiento. Para fines de este
Marco, transacciones cubre ambas definiciones.
La Administracin debe disear una variedad de
actividades de control de transacciones para los
procesos operativos, que pueden incluir verificaciones,
conciliaciones, autorizaciones y aprobaciones, controles
fsicos y supervisin.
10.11Al elegir entre actividades de control a nivel
institucin o de transaccin, la Administracin debe
evaluar el nivel de precisin necesario para que la
institucin cumpla con sus objetivos y enfrente los
riesgos relacionados. Para determinar el nivel de
precisin necesario para las actividades de control,
la Administracin debe evaluar:
Propsito de las actividades de control. Cuando
se trata de prevencin o deteccin, la actividad
de control es, en general, ms precisa que una
que solamente identifica diferencias y las explica.
Nivel de agregacin. Una actividad de control
que se desarrolla a un nivel de mayor detalle
generalmente es ms precisa que la realizada
a un nivel general. Por ejemplo, un anlisis
de las obligaciones por rengln presupuestal
normalmente es ms preciso que un anlisis de
las obligaciones totales de la institucin.
Regularidad del control. Una actividad de control
rutinaria y consistente es generalmente ms
precisa que la realizada de forma espordica.
Correlacin con los procesos operativos
pertinentes. Una actividad de control directamente
relacionada con un proceso operativo tiene
generalmente mayor probabilidad de prevenir
o detectar deficiencias que aquella que est
relacionada slo indirectamente.
Segregacin de Funciones
10.12 La Administracin debe considerar la segregacin
de funciones en el diseo de las responsabilidades
de las actividades de control para garantizar que las
funciones incompatibles sean segregadas y, cuando
dicha segregacin no sea prctica, debe disear
39
...........................................................................................................................................
actividades de control alternativas para enfrentar los

riesgos asociados.
10.13 La segregacin de funciones contribuye a prevenir
corrupcin, fraudes, desperdicio y abusos en el control
interno. La Administracin debe considerar la necesidad
de separar las actividades de control relacionadas con
la autorizacin, custodia y registro de las operaciones
para lograr una adecuada segregacin de funciones.
En particular, la segregacin permite hacer frente al
riesgo de elusin de controles. Si la Administracin,
tiene la posibilidad de eludir las actividades de
control, dicha situacin se constituye en un posible
medio para la realizacin de actos corruptos y genera
que el control interno no sea apropiado ni eficaz. La
elusin de controles cuenta con mayores posibilidades

de ocurrencia cuando diversas responsabilidades,
incompatibles entre s, las realiza un solo servidor pblico.
La Administracin debe abordar este riesgo a travs de
la segregacin de funciones, pero no puede impedirlo
absolutamente, debido al riesgo de colusin en el que
dos o ms servidores pblicos se confabulan para
eludirlos controles.
10.14 Si la segregacin de funciones no es prctica
en un proceso operativo debido a personal limitado
u otros factores, la Administracin debe disear
actividades de control alternativas para enfrentar el
riesgo de corrupcin, fraude, desperdicio o abuso en
los procesos operativos.
Principio 11 Disear Actividades para los Sistemas

de Informacin
11.01 La Administracin debe disear los sistemas de

informacin institucional y las actividades de control
asociadas, a fin de alcanzar los objetivos y responder
a los riesgos.
Puntos de Inters
apropiadamente la informacin relativa a cada uno

de los procesos operativos. Dichos sistemas contribuyen
a alcanzar los objetivos institucionales y a responder
a los riesgos asociados. Un sistema de informacin
se integra por el personal, los procesos, los datos y la
tecnologa, organizados para obtener, comunicar o
disponer de la informacin. Asimismo, debe representar
el ciclo de vida de la informacin utilizada para los
procesos operativos, que permita a la institucin obtener,
almacenar y procesar informacin de calidad.
Desarrollo de los Sistemas de Informacin

Diseo de los Tipos de Actividades de Control
Apropiadas
Un sistema de informacin debe incluir tanto procesos

manuales como automatizados. Los procesos
automatizados se conocen comnmente como las
Tecnologas de Informacin y Comunicaciones (TIC).
Diseo de la Infraestructura de las TIC

Diseo de la Administracin de la Seguridad
Diseo de la Adquisicin, Desarrollo y Mantenimiento
de las TIC
Desarrollo de los Sistemas

de Informacin
11.02 La Administracin debe desarrollar los sistemas
de informacin de manera tal que se cumplan los
objetivos institucionales y se responda apropiadamente
a los riesgos asociados.
de informacin de la institucin para obtener y procesar
40
Como parte del componente de ambiente de control,

la Administracin debe definir las responsabilidades,
asignarlas a los puestos clave y delegar autoridad para
lograr los objetivos. Como parte del componente de
administracin de riesgos, la Administracin debe
identificar los riesgos relacionados con la institucin
y sus objetivos, incluyendo los servicios tercerizados,
la tolerancia al riesgo y las respuestas a stos. La
Administracin debe disear actividades de control
para cumplir con las responsabilidades definidas y
generar las respuestas a los riesgos identificados en
los sistemas de informacin.
de informacin y el uso de las TIC considerando
las necesidades de informacin definidas para los
procesos operativos de la institucin. Las TIC permiten
...............................................................................................................................................
que la informacin relacionada con los procesos

operativos est disponible de la forma ms oportuna
y confiable para la institucin. Adicionalmente, las TIC
pueden fortalecer el control interno sobre la seguridad
y la confidencialidad de la informacin mediante
una adecuada restriccin de accesos. Aunque las
TIC conllevan tipos especficos de actividades de
control, no representan una consideracin de control
independiente, sino que son parte integral de la
mayora de las actividades de control.
11.08 Los controles de aplicacin, a veces llamados

controles de procesos de operacin, son los controles
que se incorporan directamente en las aplicaciones
informticas para contribuir a asegurar la validez,
integridad, exactitud y confidencialidad de las
transacciones y los datos durante el proceso de las
aplicaciones. Los controles de aplicacin deben incluir
las entradas, el procesamiento, las salidas, los archivos
maestros, las interfaces y los controles para los sistemas
administracin de datos, entre otros.
11.05 La Administracin tambin debe evaluar los

objetivos de procesamiento de informacin para
satisfacer las necesidades de informacin definidas.
Los objetivos de procesamiento de informacin
pueden incluir:
Diseo de la Infraestructura de las TIC
Integridad. Se encuentran presentes todas las

transacciones que deben estar en los registros.
Exactitud. Las transacciones se registran por el
importe correcto, en la cuenta correcta, y de
manera oportuna en cada etapa del proceso.
Validez. Las transacciones registradas representan
eventos econmicos que realmente ocurrieron y
fueron ejecutados conforme a los procedimientos
establecidos.
Diseo de los Tipos de Actividades

de Control Apropiadas
control apropiados en los sistemas informacin para
garantizar la cobertura de los objetivos de procesamiento
de la informacin en los procesos operativos. En los
sistemas de informacin, existen dos tipos principales
de actividades de control: generales y de aplicacin.
11.07 Los controles generales (a nivel institucin,
de sistemas y de aplicaciones) son las polticas y
procedimientos que se aplican a la totalidad o a un
segmento de los sistemas de informacin. Los controles
generales fomentan el buen funcionamiento de los
sistemas de informacin mediante la creacin de un
entorno apropiado para el correcto funcionamiento
de los controles de aplicacin. Los controles generales
deben incluir la administracin de la seguridad, acceso
lgico y fsico, administracin de la configuracin,
segregacin de funciones, planes de continuidad y
planes de recuperacin de desastres, entre otros.
11.09 La Administracin debe disear las actividades de

control sobre la infraestructura de las TIC para soportar la
integridad, exactitud y validez del procesamiento de la
informacin mediante el uso de TIC. Las TIC requieren de
una infraestructura para operar, incluyendo las redes de
comunicacin para vincularlas, los recursos informticos
para las aplicaciones y la electricidad. La infraestructura
de TIC de la institucin puede ser compleja y puede
ser compartida por diferentes unidades dentro de la
misma o tercerizada. La Administracin debe evaluar los
objetivos de la institucin y los riesgos asociados al diseo
de las actividades de control sobre la infraestructura
de las TIC.
11.10 La Administracin debe mantener la evaluacin
de los cambios en el uso de las TIC y debe disear
nuevas actividades de control cuando estos cambios
se incorporan en la infraestructura de las TIC. La
administracin tambin debe disear actividades de
control necesarias para mantener la infraestructura
de las TIC. El mantenimiento de la tecnologa debe
incluir los procedimientos de respaldo y recuperacin,
as como la continuidad de los planes de operacin,
en funcin de los riesgos y las consecuencias de una
interrupcin total o parcial de los sistemas de energa,
entre otros.
Diseo de la Administracin
de la Seguridad
11.11La Administracin debe disear actividades de
control para la gestin de la seguridad sobre los sistemas
de informacin con el fin de garantizar el acceso
adecuado, de fuentes internas y externas a stos. Los
objetivos para la gestin de la seguridad deben incluir
la confidencialidad, la integridad y la disponibilidad.
La confidencialidad significa que los datos, informes
y dems salidas estn protegidos contra el acceso
41
...........................................................................................................................................
no autorizado. Integridad significa que la informacin

es protegida contra su modificacin o destruccin
indebida, incluidos la irrefutabilidad y autenticidad de
la informacin. Disponibilidad significa que los datos,
informes y dems informacin pertinente se encuentra
lista y accesible para los usuarios cuando sea necesario.
La Administracin debe disear otras actividades de

control para actualizar los derechos de acceso, cuando
los empleados cambian de funciones o dejan de
formar parte de la institucin. Tambin debe disear
controles de derechos de acceso cuando los diferentes
elementos de las TIC estn conectados entre s.
11.12 La gestin de la seguridad debe incluir los

procesos de informacin y las actividades de control
relacionadas con los permisos de acceso a las TIC,
incluyendo quin tiene la capacidad de ejecutar
transacciones. La gestin de la seguridad debe incluir los
permisos de acceso a travs de varios niveles de datos,
el sistema operativo (software del sistema), la red de
comunicacin, aplicaciones y segmentos fsicos, entre
otros. La Administracin debe disear las actividades de
control sobre permisos para proteger a la institucin del
acceso inapropiado y el uso no autorizado del sistema.
Estas actividades de control apoyan la adecuada
segregacin de funciones. Mediante la prevencin
del uso no autorizado y la realizacin de cambios al
sistema, los datos y la integridad de los programas estn
protegidos contra errores y acciones mal intencionadas
(por ejemplo, que personal no autorizado irrumpa en la
tecnologa para cometer actos de corrupcin, fraude
o vandalismo).
Diseo de la Adquisicin, Desarrollo
11.13 La Administracin debe evaluar las amenazas

de seguridad a las TIC, tanto de fuentes internas como
externas. Las amenazas externas son especialmente
importantes para las instituciones que dependen de
las redes de telecomunicaciones e Internet. Este tipo
de amenazas se han vuelto frecuentes en el entorno
institucional y empresarial altamente interconectado
de hoy, y requiere un esfuerzo continuo para enfrentar
estos riesgos. Las amenazas internas pueden provenir
de exempleados o empleados descontentos, quienes
plantean riesgos nicos, ya que pueden ser a la vez
motivados para actuar en contra de la institucin y estn
mejor preparados para tener xito en la realizacin
de un acto malicioso, al tener la posibilidad de un
mayor acceso y el conocimiento sobre los sistemas
de administracin de la seguridad de la institucin y
sus procesos.
control para limitar el acceso de los usuarios a las TIC
a travs de controles como la asignacin de claves de
acceso y dispositivos de seguridad para autorizacin de
usuarios. Estas actividades de control deben restringir
a los usuarios autorizados el uso de las aplicaciones
o funciones acordes con sus responsabilidades
asignadas; asimismo, la Administracin debe promover
la adecuada segregacin de funciones.
42
y Mantenimiento de las TIC

11.15 La Administracin debe disear las actividades de
control para la adquisicin, desarrollo y mantenimiento
de las TIC. La Administracin puede utilizar un modelo
de Ciclo de Vida del Desarrollo de Sistemas (CVDS)
en el diseo de las actividades de control. El CVDS
proporciona una estructura para un nuevo diseo de
las TIC al esbozar las fases especficas y documentar los
requisitos, aprobaciones y puntos de revisin dentro de
las actividades de control sobre la adquisicin, desarrollo
y mantenimiento de la tecnologa. A travs del CVDS, la
Administracin debe disear las actividades de control
sobre los cambios en la tecnologa. Esto puede implicar
el requerimiento de autorizacin para realizar solicitudes
de cambio, la revisin de los cambios, las aprobaciones
correspondientes y los resultados de las pruebas, as
como el diseo de protocolos para determinar si los
cambios se han realizado correctamente. Dependiendo
del tamao y complejidad de la institucin, el desarrollo
y los cambios en las TIC pueden ser incluidos en el
CVDS o en metodologas distintas. La Administracin
debe evaluar los objetivos y los riesgos de las nuevas
tecnologas en el diseo de las actividades de control
sobre el CVDS.
11.16 La Administracin puede adquirir software de TIC,
por lo que debe incorporar metodologas para esta
accin y debe disear actividades de control sobre
su seleccin, desarrollo continuo y mantenimiento.
Las actividades de control sobre el desarrollo,
mantenimiento y cambio en el software de aplicaciones
previenen la existencia de programas o modificaciones
no autorizados.
11.17 Otra alternativa es la contratacin de servicios
tercerizados para el desarrollo de las TIC. En cuanto a un
CVDS desarrollado internamente, la Administracin debe
disear actividades de control para lograr los objetivos
y enfrentar los riesgos relacionados. La Administracin
tambin debe evaluar los riesgos que la utilizacin de
servicios tercerizados representa para la integridad,
exactitud y validez de la informacin presentada a los
servicios tercerizados y ofrecida por stos.
...............................................................................................................................................
La Administracin debe documentar y formalizar el

anlisis y definicin, respecto del desarrollo de sistemas
automatizados, la adquisicin de tecnologa, el soporte
y las instalaciones fsicas, previo a la seleccin de
proveedores que renan requisitos y cumplan los
criterios en materia de TIC. Asimismo, debe supervisar,

continua y exhaustivamente, los desarrollos contratados
y el desempeo de la tecnologa adquirida, a efecto
de asegurar que los entregables se proporcionen en
tiempo y los resultados correspondan a lo planeado.
Principio 12 Implementar Actividades de Control

12.01 La Administracin debe implementar las
actividades de control a travs de polticas,
procedimientos y otros medios de similar naturaleza.
Puntos de Inters
D o c u m e n t a c i n y Fo r m a l i z a c i n
Responsabilidades a travs de Polticas
de
Revisiones Peridicas a las Actividades de Control
12.04 El personal de las unidades que ocupa puestos

clave puede definir con mayor amplitud las polticas a
travs de los procedimientos del da a da, dependiendo
de la frecuencia del cambio en el entorno operativo y la
complejidad del proceso operativo. Los procedimientos
pueden incluir el periodo de ocurrencia de la actividad
de control y las acciones correctivas de seguimiento a
realizar por el personal competente en caso de detectar
deficiencias. La Administracin debe comunicar al
personal las polticas y procedimientos para que ste
pueda implementar las actividades de control respecto
de las responsabilidades que tiene asignadas.
Documentacin y Formalizacin de
Revisiones Peridicas a las Actividades
Responsabilidades a travs de Polticas
de Control
12.02 La Administracin debe documentar, a travs de

polticas, manuales, lineamientos y otros documentos
de naturaleza similar las responsabilidades de control
interno en la institucin.
12.05 La Administracin debe revisar peridicamente

las polticas, procedimientos y actividades de control
asociadas para mantener la relevancia y eficacia en
el logro de los objetivos o en el enfrentamiento de sus
riesgos. Si se genera un cambio significativo en los
procesos de la institucin, la Administracin debe revisar
este proceso de manera oportuna, para garantizar
que las actividades de control estn diseadas e
implementadas adecuadamente. Pueden ocurrir
cambios en el personal, los procesos operativos o las
tecnologas de informacin. Las diversas instancias
legislativas gubernamentales, en sus mbitos de
competencia, as como otros rganos reguladores
tambin pueden emitir disposiciones y generar
cambios que impacten los objetivos institucionales o
la manera en que la institucin logra un objetivo. La
Administracin debe considerar estos cambios en sus
revisiones peridicas.
12.03 La Administracin debe documentar mediante

polticas para cada unidad su responsabilidad sobre
el cumplimiento de los objetivos de los procesos, de
sus riesgos asociados, del diseo de actividades de
control, de la implementacin de los controles y de
su eficacia operativa. Cada unidad determina el
nmero de las polticas necesarias para el proceso
operativo que realiza, basndose en los objetivos y
los riesgos relacionados a stos, con la orientacin
de la Administracin. Cada unidad tambin debe
documentar las polticas con un nivel eficaz, apropiado
y suficiente de detalle para permitir a la Administracin
la supervisin apropiada de las actividades de control.
43
...........................................................................................................................................
Informacin y Comunicacin
La Administracin utiliza informacin de calidad
para respaldar el control interno. La informacin y
comunicacin eficaces son vitales para la consecucin
de los objetivos institucionales. La Administracin requiere
tener acceso a comunicaciones relevantes y confiables
en relacin con los eventos internos y externos.
Principios
13. La Administracin, debe implementar los medios
que permitan a las unidades administrativas
generar y utilizar informacin pertinente y de
calidad para la consecucin de los objetivos
institucionales.
14. La Administracin, es responsable de que
las unidades administrativas comuniquen
internamente, por los canales apropiados y de
conformidad con las disposiciones aplicables, la
informacin de calidad necesaria para contribuir
a la consecucin de los objetivos institucionales.
15. La Administracin, es responsable de que
las unidades administrativas comuniquen
externamente, por los canales apropiados y de

conformidad con las disposiciones aplicables, la
informacin de calidad necesaria para contribuir
a la consecucin de los objetivos institucionales.
Principio 13 Usar Informacin de Calidad

13.01 La Administracin debe utilizar informacin
de calidad para la consecucin de los objetivos
institucionales.
Puntos de Inters
Identificacin de los Requerimientos de
Informacin
Datos Relevantes de Fuentes Confiables
Datos Procesados en Informacin de Calidad
Identificacin de los Requerimientos

de Informacin
13.02 La Administracin debe disear un proceso
que considere los objetivos institucionales y los riesgos
asociados a stos, para identificar los requerimientos de
44
informacin necesarios para alcanzarlos y enfrentarlos,

respectivamente. Estos requerimientos deben considerar
las expectativas de los usuarios internos y externos. La
Administracin debe definir los requisitos de informacin
con puntualidad suficiente y apropiada, as como con
la especificidad requerida para el personal pertinente.
13.03 La Administracin debe identificar los
requerimientos de informacin en un proceso continuo
que se desarrolla en todo el control interno. Conforme
ocurre un cambio en la institucin, en sus objetivos y
riesgos, la Administracin debe modificar los requisitos
de informacin segn sea necesario para cumplir con
los objetivos y hacer frente a los riesgos modificados.
Datos Relevantes de Fuentes Confiables

13.04 La Administracin debe obtener datos relevantes
de fuentes confiables tanto internas como externas,
de manera oportuna, y en funcin de los requisitos
de informacin identificados y establecidos. Los datos
relevantes tienen una conexin lgica con los requisitos
de informacin identificados y establecidos. Las fuentes
...............................................................................................................................................
internas y externas confiables proporcionan datos

que son razonablemente libres de errores y sesgos. La
Administracin debe evaluar los datos provenientes
de fuentes internas y externas, para asegurarse de que
son confiables. Las fuentes de informacin pueden
relacionarse con objetivos operativos, financieros o
de cumplimiento. La Administracin debe obtener los
datos en forma oportuna con el fin de que puedan ser
utilizados de manera apropiada. Su utilizacin debe
ser supervisada.
Datos Procesados en Informacin

de Calidad
13.05 La Administracin debe procesar los datos
obtenidos y transformarlos en informacin de calidad
que apoye al control interno. Esto implica procesarla
para asegurar que se trata de informacin de calidad.
La calidad de la informacin se logra utilizar datos de
fuentes confiables. La informacin de calidad debe

ser apropiada, veraz, completa, exacta, accesible y
proporcionada de manera oportuna. La Administracin
debe considerar estas caractersticas, as como los
objetivos de procesamiento, al evaluar la informacin
procesada; tambin debe efectuar revisiones cuando
sea necesario, a fin de garantizar que la informacin es
de calidad. La Administracin debe utilizar informacin
de calidad para tomar decisiones informadas y evaluar
el desempeo institucional en cuanto al logro de sus
objetivos clave y el enfrentamiento de sus riesgos
asociados.
13.06 La Administracin debe procesar datos relevantes
a partir de fuentes confiables y transformarlos en
informacin de calidad dentro de los sistemas de
informacin de la institucin. Un sistema de informacin
se encuentra conformado por el personal, los procesos,
los datos y la tecnologa utilizada, organizados para
obtener, comunicar o disponer de la informacin.
Principio 14 Comunicar Internamente

14.01 La Administracin debe comunicar internamente
la informacin de calidad necesaria para la consecucin
Puntos de Inters
Comunicacin en Toda la Institucin
Mtodos Apropiados de Comunicacin
Comunicacin en Toda la Institucin

14.02 La Administracin debe comunicar informacin
de calidad en toda la institucin utilizando las lneas
de reporte y autoridad establecidas. Tal informacin
debe comunicarse hacia abajo, lateralmente y hacia
arriba, mediante lneas de reporte, es decir, en todos
los niveles de la institucin.
14.03 La Administracin debe comunicar informacin
de calidad hacia abajo y lateralmente a travs de las
lneas de reporte y autoridad para permitir que el personal
desempee funciones clave en la consecucin de objetivos,
enfrentamiento de riesgos, prevencin de la corrupcin
y apoyo al control interno. En estas comunicaciones, la
Administracin debe asignar responsabilidades de control
interno para las funciones clave.
14.04 La Administracin debe recibir informacin de

calidad sobre los procesos operativos de la institucin, la
cual fluye por las lneas de reporte y autoridad apropiadas
para que el personal apoye a la Administracin en la
consecucin de los objetivos institucionales.
debe recibir informacin de calidad que fluya hacia
arriba por las lneas de reporte, proveniente de la
Administracin y dems personal. La informacin
relacionada con el control interno que es comunicada
al rgano de Gobierno o Titular, debe incluir asuntos
importantes acerca de la adhesin, cambios o
asuntos emergentes en materia de control interno.
La comunicacin ascendente es necesaria para la
vigilancia efectiva del control interno.
14.06 Cuando las lneas de reporte directas se ven
comprometidas, el personal utiliza lneas separadas para
comunicarse de manera ascendente. Las disposiciones
jurdicas y normativas, as como las mejores prcticas
internacionales, pueden requerir a las instituciones
establecer lneas de comunicacin separadas, como
lneas ticas de denuncia, para la comunicacin de
informacin confidencial o sensible. La Administracin
debe informar a los empleados sobre estas lneas
separadas, la manera en que funcionan, cmo
utilizarlas y cmo se mantendr la confidencialidad de
la informacin y, en su caso, el anonimato de quienes
aporten informacin.
45
...........................................................................................................................................

14.07 La Administracin debe seleccionar mtodos
apropiados para comunicarse internamente. Asimismo,
debe considerar una serie de factores en la seleccin
de los mtodos apropiados de comunicacin, entre
los que se encuentran:
Audiencia. Los destinatarios de la comunicacin.
Naturaleza de la informacin. El propsito y el
tipo de informacin que se comunica.
Disponibilidad. La informacin est a disposicin
de los diversos interesados cuando es necesaria.
Los requisitos legales o reglamentarios. Los

mandatos contenidos en las leyes y regulaciones
que pueden impactar la comunicacin.
14.08 Con base en la consideracin de los factores,
la Administracin debe seleccionar mtodos de
comunicacin apropiados, como documentos escritos,
ya sea en papel o en formato electrnico, o reuniones
con el personal. Asimismo, debe evaluar peridicamente
los mtodos de comunicacin de la institucin para
asegurar que cuenta con las herramientas adecuadas
para comunicar internamente informacin de calidad
de manera oportuna.
Costo. Los recursos utilizados para comunicar la

informacin.
Principio 15 Comunicar Externamente

15.01 La institucin debe comunicar externamente la
informacin de calidad necesaria para la consecucin
Puntos de Inters
Comunicacin con Partes Externas
Comunicacin con Partes Externas
46
15.04 La Administracin debe recibir informacin

de partes externas a travs de las lneas de reporte
establecidas y autorizadas. La informacin comunicada
a la Administracin debe incluir los asuntos significativos
relativos a los riesgos, cambios o problemas que afectan
al control interno, entre otros. Esta comunicacin es
necesaria para el funcionamiento eficaz y apropiado
del control interno. La Administracin debe evaluar la
informacin externa recibida contra las caractersticas
de la informacin de calidad y los objetivos del
procesamiento de la informacin; en su caso, debe
tomar acciones para asegurar que la informacin
recibida sea de calidad.
15.02 La Administracin debe comunicar a las partes

externas, y obtener de stas, informacin de calidad,
utilizando las lneas de reporte establecidas. Las lneas
abiertas y bidireccionales de reporte con partes externas
permiten esta comunicacin. Las partes externas
incluyen, entre otros, a los proveedores, contratistas,
servicios tercerizados, reguladores, auditores externos,
instituciones gubernamentales y el pblico en general.

debe recibir informacin de partes externas a travs
de lneas las de reporte establecidas y autorizadas. La
informacin comunicada al rgano de Gobierno o al
Titular, debe incluir asuntos importantes relacionados
con los riesgos, cambios o problemas que impactan
al control interno, entre otros. Esta comunicacin es
necesaria para la vigilancia eficaz y apropiada del
control interno.
15.03 La Administracin debe comunicar informacin de

calidad externamente a travs de las lneas de reporte.
De ese modo, las partes externas pueden contribuir a la
consecucin de los objetivos institucionales y a enfrentar
sus riesgos asociados. La Administracin debe incluir
en esta informacin la comunicacin relativa a los
eventos y actividades que impactan el control interno.
15.06 Cuando las lneas de reporte directas se ven

comprometidas, las partes externas utilizan lneas
separadas para comunicarse con la institucin. Las
disposiciones jurdicas y normativas, as como las
mejores prcticas internacionales pueden requerir
a las instituciones establecer lneas separadas de
comunicacin, como lneas ticas de denuncia,
...............................................................................................................................................
para comunicar informacin confidencial o sensible.

La Administracin debe informar a las partes externas
sobre estas lneas separadas, la manera en que
funcionan, cmo utilizarlas y cmo se mantendr la
confidencialidad de la informacin y, en su caso, el
anonimato de quienes aporten informacin.
15.07 La Administracin debe seleccionar mtodos
apropiados para comunicarse externamente. Asimismo,
debe considerar una serie de factores en la seleccin
de mtodos apropiados de comunicacin, entre los
que se encuentran:
Audiencia. Los destinatarios de la comunicacin.
Naturaleza de la informacin. El propsito y el
tipo de informacin que se comunica
Disponibilidad. La informacin est a disposicin
de los diversos interesados cuando es necesaria.
Costo. Los recursos utilizados para comunicar la
informacin.
Los requisitos legales o reglamentarios. Los

mandatos contenidos en las leyes y regulaciones
que pueden impactar la comunicacin.
15.08 Con base en la consideracin de los factores,
la Administracin debe seleccionar mtodos de
comunicacin apropiados, como documentos
escritos, ya sea en papel o formato electrnico, o
reuniones con el personal. De igual manera, debe
evaluar peridicamente los mtodos de comunicacin
de la institucin para asegurar que cuenta con las
herramientas adecuadas para comunicar externamente
informacin de calidad de manera oportuna.
15.09 Las instituciones del sector pblico, de acuerdo
con el Poder al que pertenezcan y el orden de gobierno
en el que se encuadren, deben comunicar sobre su
desempeo a distintas instancias y autoridades, de
acuerdo con las disposiciones aplicables. De manera
adicional, todas las instituciones gubernamentales deben
rendir cuentas a la ciudadana sobre su actuacin y
desempeo. La Administracin debe tener en cuenta
los mtodos apropiados para comunicarse con una
audiencia tan amplia.
Supervisin
Finalmente, dado que el control interno es un proceso dinmico que tiene que adaptarse continuamente
a los riesgos y cambios a los que se enfrenta la institucin, la supervisin del control interno es esencial para
contribuir a asegurar que el control interno se mantiene alineado con los objetivos institucionales, el entorno
operativo, las disposiciones jurdicas aplicables, los recursos asignados y los riesgos asociados al cumplimiento
de los objetivos, todos ellos en constante cambio. La supervisin del control interno permite evaluar la calidad
del desempeo en el tiempo y asegura que los resultados de las auditoras y de otras revisiones se atiendan
con prontitud. Las acciones correctivas son un complemento necesario para las actividades de control, con el
fin de alcanzar los objetivos institucionales.
Principios
16. La Administracin, debe establecer actividades
para la adecuada supervisin del control
interno y la evaluacin de sus resultados.
17. La Administracin, es responsable de corregir
oportunamente las deficiencias de control
interno detectadas.
47
...........................................................................................................................................
Principio 16 - Realizar Actividades de Supervisin

16.01 La Administracin debe establecer las actividades
de supervisin del control interno y evaluar sus resultados.
Puntos de Inters
Establecimiento de Bases de Referencia
Supervisin del Control Interno
Evaluacin de Resultados
Establecimiento de Bases de Referencia

16.02 La Administracin debe establecer bases de
referencia para supervisar el control interno. Estas bases
comparan el estado actual del control interno contra el
diseo efectuado por la Administracin. Las bases de
referencia representan la diferencia entre los criterios de
diseo del control interno y el estado del control interno
en un punto especfico en el tiempo. En otras palabras,
las lneas o bases de referencia revelan debilidades
y deficiencias detectadas en el control interno de la
institucin.
16.03 Una vez establecidas las bases de referencia,
la Administracin debe utilizarlas como criterio en
la evaluacin del control interno, y debe realizar
cambios para reducir la diferencia entre las bases y
las condiciones reales. La Administracin puede reducir
esta diferencia de dos maneras. Por una parte, puede
cambiar el diseo del control interno para enfrentar
mejor los objetivos y los riesgos institucionales o, por la
otra, puede mejorar la eficacia operativa del control
interno. Como parte de la supervisin, la Administracin
debe determinar cundo revisar las bases de referencia,
mismas que servirn para evaluaciones de control
interno subsecuentes.
Supervisin del Control Interno

16.04 La Administracin debe supervisar el control
interno a travs de autoevaluaciones y evaluaciones
independientes. Las autoevaluaciones estn integradas
a las operaciones de la institucin, se realizan
continuamente y responden a los cambios. Las
evaluaciones independientes se utilizan peridicamente
y pueden proporcionar informacin respecto de la
eficacia e idoneidad de las autoevaluaciones.
48
16.05 La Administracin debe establecer

autoevaluaciones al diseo y eficacia operativa del control
interno como parte del curso normal de las operaciones.
Las autoevaluaciones incluyen actividades de supervisin
permanente por parte de la Administracin, comparaciones,
conciliaciones y otras acciones de rutina. Estas evaluaciones
pueden incluir herramientas automatizadas, las cuales
permiten incrementar la objetividad y la eficiencia de los
resultados mediante la recoleccin electrnica de las
evaluaciones a los controles y transacciones.
16.06 La Administracin debe incorporar evaluaciones
independientes para supervisar el diseo y la eficacia
operativa del control interno en un momento determinado,
o de una funcin o proceso especfico. El alcance
y la frecuencia de las evaluaciones independientes
dependen, principalmente, de la administracin de
riesgos, la eficacia del monitoreo permanente y la
frecuencia de cambios dentro de la institucin y en
su entorno. Las evaluaciones independientes pueden
tomar la forma de autoevaluaciones, las cuales incluyen
a la evaluacin entre pares; talleres conformados por
los propios servidores pblicos y moderados por un
facilitador externo especializado, o evaluaciones de
funciones cruzadas, entre otros.
16.07 Las evaluaciones independientes tambin
incluyen auditoras y otras evaluaciones que pueden
implicar la revisin del diseo de los controles y la prueba
directa a la implementacin del control interno. Estas
auditoras y otras evaluaciones pueden ser obligatorias,
de conformidad con las disposiciones jurdicas, y son
realizadas por auditores gubernamentales internos,
auditores externos, entidades fiscalizadoras y otros
revisores externos. Las evaluaciones independientes
proporcionan una mayor objetividad cuando son
realizadas por revisores que no tienen responsabilidad
en las actividades que se estn evaluando.
16.08 La Administracin conserva la responsabilidad
de supervisar si el control interno es eficaz y apropiado
para los procesos asignados a los servicios tercerizados.
Tambin debe utilizar autoevaluaciones, las
evaluaciones independientes o una combinacin de
ambas para obtener una seguridad razonable sobre
la eficacia operativa de los controles internos sobre
los procesos asignados a los servicios tercerizados.
Estas actividades de seguimiento relacionadas con
los servicios tercerizados pueden ser realizadas ya sea
por la propia Administracin, o por personal externo, y
revisadas posteriormente por la Administracin.
...............................................................................................................................................
Evaluacin de Resultados
16.09 La Administracin debe evaluar y documentar los
resultados de las autoevaluaciones y de las evaluaciones
independientes para identificar problemas en el control
interno. Asimismo, debe utilizar estas evaluaciones para
determinar si el control interno es eficaz y apropiado.
Las diferencias entre los resultados de las actividades
de supervisin y las bases de referencia pueden indicar
problemas de control interno, incluidos los cambios al
control interno no documentados o posibles deficiencias
de control interno.
cambios que son necesarios implementar, derivados

de modificaciones en la institucin y en su entorno.
Las partes externas tambin pueden contribuir con la
Administracin a identificar problemas en el control
interno. Por ejemplo, las quejas o denuncias de la
ciudadana y el pblico en general, o de los cuerpos
revisores o reguladores externos, pueden indicar
reas en el control interno que necesitan mejorar. La
Administracin debe considerar si los controles actuales
hacen frente de manera apropiada a los problemas
identificados y, en su caso, modificar los controles.
16.10 La Administracin debe identificar los cambios

que han ocurrido en el control interno, o bien los
Principio 17 Evaluar los Problemas y Corregir las Deficiencias

17.01La Administracin debe corregir de manera
oportuna las deficiencias de control interno identificadas.
Puntos de Inters
recaen sobre los servicios tercerizados, contratistas

o proveedores.
Problemas que no pueden corregirse debido
a intereses de la Administracin, como la
informacin confidencial o sensible sobre actos
de corrupcin, fraudes, abuso, desperdicio u otros
actos ilegales.
Informe sobre Problemas

Evaluacin de Problemas
Acciones Correctivas
Informe sobre Problemas

17.02 Todo el personal debe reportar a las partes
internas y externas adecuadas los problemas de control
interno que haya detectado, mediante las lneas de
reporte establecidas, para que la Administracin, las
unidades especializadas, en su caso, y las instancias de
supervisin, evalen oportunamente dichas cuestiones.
17.03 El personal puede identificar problemas de control
interno en el desempeo de sus responsabilidades.
Asimismo, debe comunicar estas cuestiones
internamente al personal en la funcin clave
responsable del control interno o proceso asociado
y, cuando sea necesario, a otro de un nivel superior
a dicho responsable. Dependiendo de la naturaleza
de los temas, el personal puede considerar informar
determinadas cuestiones al rgano de Gobierno, en
su caso, o al Titular. Tales problemas pueden incluir:
Problemas que afectan al conjunto de la estructura
organizativa o se extienden fuera de la institucin y
17.04 En funcin de los requisitos legales o de

cumplimiento, la institucin tambin puede requerir
informar de los problemas a los terceros pertinentes,
tales como legisladores, reguladores, organismos
normativos y dems encargados de la emisin de
criterios y disposiciones normativas a las que la institucin
est sujeta.
Evaluacin de Problemas
17.05 La Administracin debe evaluar y documentar
los problemas de control interno y debe determinar
las acciones correctivas apropiadas para hacer
frente oportunamente a los problemas y deficiencias
detectadas. Tambin debe evaluar los problemas que
han sido identificados mediante sus actividades de
supervisin o a travs de la informacin proporcionada
por el personal, y debe determinar si alguno de
estos problemas reportados se ha convertido en
una deficiencia de control interno. Estas deficiencias
requieren una mayor evaluacin y correccin por parte
de la Administracin. Una deficiencia de control interno
puede presentarse en su diseo, implementacin o
eficacia operativa, as como en sus procesos asociados.
La Administracin debe determinar, dado el tipo de
deficiencia de control interno, las acciones correctivas
apropiadas para remediar la deficiencia oportunamente.
49
...........................................................................................................................................
Adicionalmente, puede asignar responsabilidades y

delegar autoridad para la apropiada remediacin de
las deficiencias de control interno.
Acciones Correctivas
17.06 La Administracin debe poner en prctica y
documentar en forma oportuna las acciones para
corregir las deficiencias de control interno. Dependiendo
de la naturaleza de la deficiencia, el rgano de
Gobierno, en su caso, el Titular o la Administracin
deben revisar la pronta correccin de las deficiencias,
comunicar las medidas correctivas al nivel apropiado
de la estructura organizativa, y delegar al personal
50
apropiado la autoridad y responsabilidad para realizar

las acciones correctivas. El proceso de resolucin
de auditora comienza cuando los resultados de
las revisiones o evaluaciones son reportados a la
Administracin, y se termina slo cuando las acciones
pertinentes se han puesto en prctica para (1) corregir
las deficiencias identificadas, (2) efectuar mejoras o
(3) demostrar que los hallazgos y recomendaciones no
justifican una accin por parte de la Administracin.
sta ltima, bajo la supervisin del rgano de Gobierno
o del Titular, monitorea el estado de los esfuerzos de
correccin realizados para asegurar que se llevan a
cabo de manera oportuna.

Marco Integrado de Control Interno

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Marco Integrado de Control Interno

Uploaded by

Copyright:

Available Formats

Marco Integrado