Acuerdo Administrativo No. 02-2021 — Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI)
Considerandos
- 1.Que el Artículo 222 reformado de la Constitución de la República de Honduras, define al Tribunal Superior de Cuentas como el ente rector del sistema de control de los recursos públicos. El Tribunal Superior de Cuentas tiene como función la fiscalización a posteriori de los fondos, bienes y recursos administrados por los poderes del Estado, instituciones descentralizadas y desconcentradas, incluyendo los bancos estatales o mixtos, la Comisión Nacional de Bancos y Seguros, las municipalidades y de cualquier otro órgano especial o ente público o privado que reciba o administre recursos públicos de fuentes internas o externas. Que en cumplimiento de su función deberá realizar el control financiero, de gestión y de resultados, fundados en la eficiencia y eficacia, economía, equidad, veracidad y legalidad.
- 2.Que de conformidad con el Artículo 31, numeral 2, de la Ley Orgánica del Tribunal Superior de Cuentas (LOTSC), el Tribunal tiene la función administrativa de emitir las normas generales de la fiscalización interna y externa.
- 3.Que de conformidad con el Artículo 45, numeral 9 de la Ley Orgánica del Tribunal Superior de Cuentas, el Tribunal tiene la atribución de: Supervisar y evaluar la eficacia del control interno, que constituye, la principal fuente de información para el cumplimiento de las funciones del control del Tribunal, para tal efecto debe vigilar el cuadro de cumplimiento de implementación del sistema de control interno en las entidades públicas, por parte de la Oficina Nacional de Desarrollo Integral del Control Interno (ONADICI).
- 4.Que de conformidad al Artículo 47 de la Ley Orgánica del Tribunal Superior de Cuentas los sujetos pasivos de la Ley están obligados a aplicar bajo su responsabilidad sistemas de control interno, de acuerdo con las normas generales que emita el Tribunal.
- 5.Que el Tribunal Superior de Cuentas mediante Acuerdo Administrativo TSC Nº.001/2009 aprobó el Marco Rector del Control Interno Institucional de los Recursos Públicos integrado por los Principios, Preceptos y Normas Generales de Control Interno.
- 6.Que es necesario emitir el Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) tomando como referencia técnica el informe del Committee of Sponsoring Organizations of the Treadway Commission, conocido internacionalmente como informe COSO; comité que se ha dedicado a investigar sobre el control interno y la gestión de los riesgos aplicable a cualquier organización, pública o privada, con o sin fines de lucro y la directriz INTOSAI GOV 9100 que contiene la Guía para las Normas de Control Interno del Sector Público, en la que se desarrollan los cinco componentes del COSO y se recomienda que sean adaptados a las realidades del Sector Público de cada país.
- 7.Que de conformidad al Artículo 16 del Reglamento de la Ley Orgánica del Tribunal Superior de Cuentas, establece en su literal w) Emitir las normas generales de fiscalización interna y externa.
Articulos
Articulo 5
(reformado) de su Ley Orgánica: a. Facilitar el logro de los objetivos nacionales e institucionales con ética, eficiencia, economía, cuidado del ambiente y transparencia; b. Establecer las condiciones mínimas de calidad que debe reunir el control interno de las entidades; c. Facilitar la implementación del control interno de todas las entidades, así como la autoevaluación y la evaluación independiente, con el consiguiente informe de los resultados y planes de mejora continua; d. Asegurar la uniformidad en el diseño y aplicación de los controles internos por parte de las autoridades, directivos y todos los servidores que laboran en las entidades; e. Facilitar la participación ciudadana en el ejercicio del control de los recursos públicos, mediante el acceso a información de calidad generada a través de sistemas de control interno efectivos; f. Prevenir actos de corrupción o identificarlos oportunamente, mediante el diseño e implementación de controles internos que mitiguen los riesgos de -- 8 of 153 -- errores e irregularidades, con énfasis en los procesos o áreas de mayor exposición al fraude; g. Promover una responsable rendición de cuentas por parte de las autoridades y otros servidores de las entidades, con la comparación de los planes y programas, los recursos utilizados y los resultados alcanzados, así como el funcionamiento de los controles establecidos; h. Proteger la integridad y el uso adecuado de los recursos y bienes públicos a través de la implementación de controles internos apropiados; e, i. Lograr la complementariedad del control interno con el control externo y el control social. 4. Alcance del MARCI Las disposiciones del MARCI, de forma separada o en conjunto con otras normativas de mayor y menor jerarquía, son de obligatorio cumplimiento por todos los sujetos pasivos a los que se refiere el artículo 5 de la LOTSC. Incluye no solamente a las máximas autoridades institucionales, ejecutivas y directivos, sino, a todos los servidores que participan en los procesos y actividades institucionales de cualquier naturaleza, tengan o no implicaciones financieras. También son usuarios del MARCI, aunque no tienen la condición de entidades o servidores públicos, las instituciones de educación media y superior, los colegios profesionales, los investigadores de la gestión pública, los organismos internacionales, la ciudadanía y los medios de comunicación, entre otros. El control interno debe estar presente y en funcionamiento en todos los procesos institucionales, sus objetivos se lograrán si los componentes, principios y puntos de interés que en este MARCI se denominan Normas de Control Interno; son diseñados, aplicados, evaluados y mejorados continuamente, con el liderazgo de las máximas autoridades y demás servidores de las entidades. 5. Actualizaciones El Pleno de Magistrados del TSC aprobará las modificaciones del MARCI cuando lo considere necesario. Estas modificaciones pueden originarse por cambios en la legislación relativa al control, para incorporar mejoras como resultado de sus actividades de control externo, por sugerencias de las unidades de auditoría interna y de las autoridades de las entidades; por requerimientos de la ciudadanía, por cambios en las normativas internacionales relativas al control de los recursos públicos o por cualquier otra razón calificada por el TSC. El Pleno de Magistrados determinará la Unidad Responsable dentro de la estructura del TSC, que realizará las actualizaciones del MARCI, de acuerdo con lo que establece el SINACORP referente a resultados de evaluaciones de la aplicación de las normas de control interno, mejores prácticas y estándares internacionales. 6. Estructura del Marco Rector de Control Interno El MARCI se desarrolla en ocho (8) capítulos que se identifican con los números I al VIII. -- 9 of 153 -- El Capítulo I contiene las secciones de Introducción, Marco Legal, Objetivos, Alcance, Actualizaciones y explicación de la Estructura del MARCI; en el Capítulo II se explica de manera resumida el Marco Conceptual del Control Interno, incluyendo secciones referentes a la Definición del Control Interno, Prevención e Identificación Oportuna de la Corrupción, Roles y Responsabilidades, Atribuciones y Responsabilidades de los Organismos de Control y Regulación, Componentes, Principios e Implementación del Control Interno. A partir del capítulo III hasta el VII, se desarrollan los cinco componentes del control interno mediante la explicación de la forma en que se implementan y evalúan los principios y normas de control interno. Para la identificación de los Componentes, Principios y Normas de Control Interno del presente MARCI, se ha previsto utilizar una codificación que consta de prefijos y cinco dígitos, como se explica a continuación: • Los principios se identifican con el prefijo PCI-TSC (Principio de Control Interno- Tribunal Superior de Cuentas) y las Normas de Control Interno se identifican con el prefijo NCI-TSC (Norma de Control Interno- Tribunal Superior de Cuentas); • El primer dígito identifica a cada Componente (por ejemplo, 300-00 que corresponde al Componente de Actividades de Control); • El segundo dígito identifica a cada Principio (por ejemplo, 330-00 que corresponde a Establecimiento de Controles a través de Políticas, Procedimientos y otros medios); • El tercer dígito identifica a cada Norma de Control Interno (por ejemplo, 332-00 que corresponde a Controles para mitigar riesgos inherentes más frecuentes); • Los últimos dos dígitos se utilizarán para la identificación de las subdivisiones de las Normas de Control Interno (por ejemplo, 332-01 que corresponde a Indicadores de eficiencia, eficacia y economía), por lo que mantendrán su denominación de Normas y tendrán la misma obligatoriedad de cumplimiento. • Al finalizar el desarrollo de cada principio, se incluye un cuadro denominado Puntos Mínimos para la Autoevaluación y la Evaluación Independiente, sin ninguna codificación. Los puntos de esta sección detallan las políticas, normativas, procesos, procedimientos y otros medios de control que deben ser aprobados formalmente por la autoridad competente, difundidos y aplicados como fueron establecidos. Estos puntos constituyen los criterios mínimos para las autoevaluaciones y las evaluaciones independientes; no obstante, estos podrían adecuarse a las características de cada institución. En resumen, el MARCI tiene un total de 104 elementos distribuidos en 5 componentes, 19 principios y 80 normas de control interno cuya codificación se detalla en el siguiente cuadro; todos los componentes, principios y normas de control interno se tratarán en detalle en los capítulos III al VII. -- 10 of 153 -- En resumen, el MARCI tiene un total de 104 elementos distribuidos en 5 componentes, 19 principios y 80 normas de control interno cuya codificación se detalla en el siguiente cuadro; todos los componentes, principios y normas de control interno se tratarán en detalle en los capítulos III al VII. CAPÍTULO NOMBRE DEL COMPONENTE CODIFICACIÓN COMPONENTE PRINCIPIOS NORMAS III COMPONENTE ENTORNO DE CONTROL 100-00 PCI-TSC/110-00 PCI-TSC/120-00 PCI-TSC/130-00 PCI-TSC/140-00 PCI-TSC/150-00 PCI-TSC/160-00 NCI-TSC/111-00 a la 114-00 NCI-TSC/121-00 a la 123-00 NCI-TSC/131-00 a la 133-00 NCI-TSC/141-00 a la 142-00 NCI-TSC/151-00 a la 152-00 NCI-TSC/161-00 IV COMPONENTE EVALUACIÓN DE LOS RIESGOS 200-00 PCI-TSC/210-00 PCI-TSC/220-00 PCI-TSC/230-00 PCI-TSC/240-00 NCI-TSC/211-00 a la 212-00 NCI-TSC/221-00 a la 224-00 NCI-TSC/231-00 a la 233-00 NCI-TSC/241-00 a la 242-00 V COMPONENTE ACTIVIDADES DE CONTROL 300-00 PCI-TSC/310-00 PCI-TSC/320-00 PCI-TSC/330-00 NCI-TSC/311-00 a la 312-00 NCI-TSC/321-00 a la 323-00 NCI-TSC/331-00 a la 332-00 VI COMPONENTE INFORMACIÓN Y COMUNICACIÓN 400-00 PCI-TSC/410-00 PCI-TSC/420-00 PCI-TSC/430-00 NCI-TSC/411-00 a la 412-00 NCI-TSC/421-00 a la 422-00 NCI-TSC/431-00 a la 432-00 VII COMPONENTE SUPERVISIÓN 500-00 PCI-TSC/510-00 PCI-TSC/520-00 PCI-TSC/530-00 NCI-TSC/511-00 a la 512-00 NCI-TSC/521-00 a la 522-00 NCI-TSC/531-00 a la 532-00 En el Capítulo VIII se describen los documentos mínimos del diseño, implementación y evaluación del control interno que los sujetos pasivos de la LOTSC deben generar, conservar y publicar. CAPÍTULO II MARCO CONCEPTUAL DEL CONTROL INTERNO La definición, los objetivos, las etapas del proceso de implementación y la documentación que se origina en cada componente del control interno; así como su evaluación, se presentan de manera resumida en este capítulo, a fin de que, los usuarios de este MARCI conozcan los beneficios del control interno en funcionamiento, para lograr una gestión pública ética, eficiente, eficaz, económica, transparente; y, con cuidado del ambiente. 1. Definición de Control Interno De acuerdo al Artículo 2 de la LOTSC, el Control Interno “es un proceso permanente y continuo realizado por la dirección, gerencia y otros empleados de las entidades públicas y privadas, con el propósito de asistir a los servidores públicos en la prevención de infracciones a las leyes y la ética, con motivo de su gestión y administración de los bienes nacionales. El control interno comprende las acciones de Control Preventivo, concurrente y posterior, que realiza la entidad sujeta a control con el fin de que la gestión de sus recursos, bienes y operaciones se ejecute correcta y eficientemente”. La siguiente, es la definición contenida en el Informe COSO (versión 2013): -- 11 of 153 -- infracciones a las leyes y la ética, con motivo de su gestión y administración de los bienes nacionales. El control interno comprende las acciones de Control Preventivo, concurrente y posterior, que realiza la entidad sujeta a control con el fin de que la gestión de sus recursos, bienes y operaciones se ejecute correcta y eficientemente.” La siguiente, es la definición contenida en el Informe COSO (versión 2013): “Un proceso efectuado por el consejo de administración, la dirección y el resto de personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos relativos a: • Eficacia y eficiencia en las operaciones • Fiabilidad de la información • Cumplimiento de las leyes y normas” En el caso de las instituciones que no cuentan con un consejo de administración u otro cuerpo colegiado como su máxima autoridad institucional, se entenderá que esta responsabilidad será ejercida por la máxima autoridad unipersonal, de acuerdo con la estructura organizacional de cada entidad, como se explica con mayor detalle en la sección Roles y Responsabilidades de este capítulo. Asimismo, con base en esta definición, para efectos del diseño, implementación y evaluación del control interno en el Sector Público de Honduras, deben considerarse los siguientes aspectos: En el caso de las instituciones que no cuentan con un consejo de administración u otro cuerpo colegiado como su máxima autoridad institucional, se entenderá que esta responsabilidad será ejercida por la máxima autoridad unipersonal, de acuerdo con la estructura organizacional de cada entidad, como se explica con mayor detalle en la sección Roles y Responsabilidades de este capítulo. Asimismo, con base en esta definición, para efectos del diseño, implementación y evaluación del control interno en el Sector Público de Honduras, deben considerarse los siguientes aspectos: 1.1. Características del Control Interno a. Debe ser un proceso permanente, dinámico e interactivo que conste de actividades y tareas que se integren en todos los procesos institucionales para el logro de sus objetivos; b. Debe ser realizado por personas que asuman responsabilidades de acuerdo con la autoridad asignada dentro de la organización, empezando por los de mayor jerarquía que deben liderar el diseño, implementación, evaluación y actualizaciones permanentes del control interno; c. Debe involucrar a todos los miembros de la organización porque cada uno tiene algún grado de participación y responsabilidad en el logro de los objetivos institucionales; d. Brinda una seguridad razonable pero no absoluta, de los efectos del control interno en el logro de los objetivos institucionales y la salvaguarda de sus recursos contra el uso indebido o irregular; e. Reconoce que existen limitaciones en la efectividad del control interno que deben gestionarse de manera adecuada y oportuna, puesto que pueden existir errores en su diseño e implementación o irregularidades provocadas por la actitud de las personas, tales como la colusión entre partes interesadas, internas y externas, y; otros hechos imprevisibles; y, f. Se debe adaptar a la estructura, tamaño, complejidad y recursos de las instituciones; asegurando que la -- 12 of 153 -- efectividad del control guarde relación con los costos de su funcionamiento. 1.2. Resultados que Promueve el Control Interno Para que las entidades produzcan bienes y presten servicios públicos de acuerdo con lo previsto, el control interno debe promover los siguientes aspectos: Ética: Actitud permanente de los servidores públicos para cumplir sus obligaciones con responsabilidad, esmero, rectitud y demás valores morales aceptados por la sociedad; constituye la base principal en que se fundamenta el control interno institucional de los recursos públicos. Eficiencia: Velar porque la entidad obtenga la máxima productividad de los recursos humanos, materiales, financieros, tecnológicos y de tiempo que le han sido confiados, para el logro de los objetivos institucionales. Eficacia: Cumplimiento de las metas y los objetivos previstos. Permite determinar si los resultados obtenidos tienen relación con los objetivos y con la satisfacción de las necesidades de la ciudadanía y otros grupos de interés, internos y externos. Economía: Austeridad y mesura en los gastos e inversiones públicas, en condiciones de calidad, cantidad y oportunidad requeridas. Cuidado del Ambiente: Responsabilidad que tienen las instituciones públicas y sus servidores en la preservación, conservación, renovación y mejoramiento del medio ambiente. Transparencia: Publicación constante y oportuna de información de calidad, para facilitar el control social y el conocimiento de la gestión por parte de todos los grupos de interés. 1.3. Criterios Relacionados con la Fiabilidad de la Información El control interno promoverá que a través de los procesos, el uso de la tecnología y de otros medios; las entidades provean a usuarios internos y externos, información financiera y no financiera de calidad. Se entenderá como información de calidad aquella que sea: completa, veraz, oportuna, útil, comparable, accesible, verificable, originada en procesos institucionales; y, con la identificación de los responsables de su elaboración, revisión y aprobación. 1.4. Objetivos Relativos al Cumplimiento de Leyes y Normas Las disposiciones contenidas en la Constitución, las leyes y demás normativa aplicable debe estar inmersa en el diseño de los controles internos de los procesos y actividades institucionales; en este sentido la difusión apropiada, capacitación, supervisión continua y las evaluaciones independientes, garantizarán de manera razonable su cumplimiento. 1.5. Otros Objetivos Implícitos del Control Interno Además de la promoción de la ética, economía, eficiencia, eficacia, fiabilidad de la información y el cumplimiento de -- 13 of 153 -- leyes y normas; el control interno provee una seguridad razonable de que se alcancen los siguientes objetivos: a. Proteger los recursos públicos contra pérdida, deterioro, despilfarro, uso indebido, irregular o ilegal; b. Prevenir actos de corrupción o identificarlos oportunamente, mediante la implementación efectiva de controles internos previos, concurrentes y posteriores en todos los procesos; la vigilancia de su aplicación por parte de las autoridades y la adopción de acciones correctivas oportunas cuando se detecten infracciones a las leyes y la ética en la gestión pública; y, c. Facilitar la coordinación interna y externa para la aplicación de los controles internos en las entidades públicas. 2. Prevención e Identificación Oportuna de la Corrupción En cumplimiento de los artículos 31 numeral 12; 37 numerales 4 y 6; 69 y 71, de la LOTSC y otras normas aplicables; las máximas autoridades de las entidades sujetas al control del TSC con la participación de directivos y todos los servidores, deberán establecer controles institucionales que prevengan e identifiquen oportunamente actos de corrupción, permitan la aplicación de sanciones y otras acciones correctivas. Para prevenir e identificar oportunamente la corrupción deben funcionar de manera sistemática todos los componentes, principios y normas de control interno que establece este MARCI, empezando por aquellos controles generales relativos al entorno del control, hasta llegar a los controles más específicos. Las actividades expuestas a mayor riesgo de errores e irregularidades por su naturaleza y por los recursos que utiliza, tales como: las contrataciones de bienes, su manejo y administración; servicios, la construcción de obras, la gestión del talento humano, las concesiones, los fideicomisos, las Alianzas Público Privadas (APP), las exoneraciones, el establecimiento de costos de bienes y servicios, la recaudación de ingresos, entre otros; requieren la atención responsable de las máximas autoridades de las instituciones en el diseño, implementación, evaluación y actualización de los controles internos para prevenir e identificar oportunamente la corrupción, tales como los siguientes: a. Los controles previos que son aquellos que permiten evitar que las actividades se ejecuten sin cumplir con los requisitos establecidos, a fin de identificar a tiempo eventos que pueden producir pérdidas o el incumplimiento a las normativas u otros criterios establecidos. Los controles previos generalmente se establecen en leyes, reglamentos y otras normativas que deben ser consideradas en el diseño de procesos y procedimientos como requisitos que deben cumplirse para cada actividad y tarea. Estos controles son mucho más efectivos cuando se utiliza la tecnología para cada fase de los procesos, sin su cumplimiento previo, no se puede continuar con el siguiente. Como ejemplos de control previo pueden citarse: el software de seguridad informática, que impide los accesos no autorizados a los aplicativos y otras herramientas tecnológicas; los requisitos para -- 14 of 153 -- los precompromisos, compromisos, devengado y pago, durante la ejecución presupuestaria. b. Los controles concurrentes se aplican durante la ejecución de las operaciones, antes de concluir el proceso. Están relacionadas con las atribuciones y responsabilidades inherentes a quienes dirigen las áreas o unidades encargadas de los procesos. Los controles concurrentes son también denominados controles directivos y están diseñados para asegurar que un resultado particular está siendo alcanzado, por ejemplo, la supervisión directa sobre la ejecución de un proceso o actividad. Complementan los controles preventivos y se diferencian de éstos por el momento de su aplicación, aclarando que en su conjunto actúan como frenos para prevenir e identificar oportunamente actos de corrupción. c. Los controles internos posteriores se realizan luego que la actividad o tarea ha sido ejecutada, para comprobar de manera independiente que se ha cumplido con los requisitos establecidos; y, emprender acciones correctivas en caso de determinarse que la transacción no ha cumplido con los objetivos de control previstos. Las constataciones físicas de los bienes para determinar su existencia, condiciones de uso y mantenimiento, control de los vencimientos y caducidades, arqueos del efectivo, inversiones en valores, de los documentos por cobrar y garantías recibidas; son controles posteriores más comunes. También, son controles posteriores los que verifican el cumplimiento de las normativas, las metas, los objetivos establecidos en los planes y la rendición de cuentas. Estas acciones, para que sean efectivas deben ser oportunas, esto es, dentro de los períodos más cortos posibles después de realizadas las operaciones y como se mencionó antes, ser ejecutadas preferentemente en línea mediante el uso de la tecnología. d. El control social es otro medio para prevenir y combatir la corrupción a través de ciudadanos preparados e informados, así como de organizaciones sociales con capacidad para analizar e investigar la gestión pública por medio del acceso a la información de calidad, sin más restricciones que las que establezca de manera expresa la Ley. Las autoridades de las entidades tienen la obligación de generar información accesible y de calidad para que la ciudadanía pueda ejercer el derecho de conocer de manera oportuna, la forma en que se utilizan los recursos públicos. La periodicidad, cantidad y profundidad de cada uno de estos controles, deben estar vinculados con los riesgos identificados, evaluados y valorados. Por tanto, no se debe generalizar su aplicación, sino ajustarla a la medida de cada entidad y proceso. 3. Roles y Responsabilidades El proceso de control interno institucional como elemento del SINACORP, está bajo la rectoría permanente del TSC; para asegurar de manera razonable la uniformidad en el desarrollo y aplicación de los componentes, principios y normas de control interno. -- 15 of 153 -- La responsabilidad por el funcionamiento del control interno corresponde a las máximas autoridades institucionales y ejecutivas, los directivos y todos los servidores de las entidades a las que se refiere el artículo 5 de la LOTSC. En este sentido, el funcionamiento del control interno es responsabilidad de las siguientes autoridades y servidores, con el alcance que se explica al final de esta sección: a. Los Presidentes de los Poderes del Estado: Legislativo, Ejecutivo y Judicial; b. La Máxima Autoridad Institucional (MAI) que estará representada por el Consejo de Administración, el Directorio, la Corporación Municipal u otro cuerpo colegiado que dirige las entidades, con las facultades establecidas en las disposiciones de su creación; c. La Máxima Autoridad Ejecutiva (MAE), tales como el Fiscal General, Procurador General; los Secretarios de Estado, Gerentes Generales, Alcaldes y otros que representen legalmente a las entidades. En caso de entidades con una sola autoridad, como las Secretarías de Estado; se entenderá como máxima autoridad institucional a la misma autoridad ejecutiva, en cuyo caso, tiene la principal responsabilidad por el diseño, implementación, supervisión y actualización del control interno; d. Los directivos cualquiera que sea su denominación de acuerdo con la estructura de la entidad y que sigan en el orden jerárquico, después de la máxima autoridad ejecutiva (MAE); tienen la responsabilidad de supervisar el funcionamiento de los procesos y los controles establecidos, así como de sugerir a la máxima autoridad, las actualizaciones que corresponda; e. Todos los sujetos pasivos a los que se refiere el Artículo 5 de la LOTSC de acuerdo con la responsabilidad que se asigna a cada cargo; f. Los auditores internos, en materia de control interno tienen la responsabilidad de asesorar, evaluar de manera continua la efectividad de dicho sistema y elaborar los informes con los resultados obtenidos; y, g. Los Comités de Probidad y Ética Pública (CPEP) y otros comités relacionados con el sistema de control de los recursos públicos, que asumirán la responsabilidad de acuerdo con lo que establece la norma de su creación y las disposiciones del TSC. Las autoridades enunciadas en los incisos a, b y c son las que se ubican en el primer frente de responsabilidad en el funcionamiento del sistema de control interno; los directivos de nivel superior y el personal señalados en los literales d y e, son el segundo frente de responsabilidad para el funcionamiento del control interno; el tercer frente, es la unidad de auditoría interna que consta en el literal f. Los que constan en el inciso g, asumirán los roles y responsabilidades que se establezcan en las disposiciones legales, en los documentos de su creación, lo que determine el TSC y este MARCI para la implementación del control interno. Las autoridades y demás servidores que tienen que cumplir obligaciones en los procesos de implementación, evaluación, aplicación de acciones correctivas, actualización -- 16 of 153 -- y en general, todas aquellas relacionadas con el adecuado funcionamiento del control interno; serán sujetos de responsabilidad administrativa, sin perjuicio de otros tipos de responsabilidades de acuerdo con la LOTSC y otras normativas aplicables, por la existencia de deficiencias de control interno. 4. Atribuciones y Responsabilidades de los Organismos de Control y Regulación Con fundamento en lo que se establece en el artículo 40 de la LOTSC relativo a la coordinación con organismos de control del sector financiero, los órganos de regulación y cualquier otro ente público con facultades de control y lo dispuesto en el Acuerdo Administrativo TSC No. 002/2007 con el que se crea y se establece el funcionamiento del SINACORP; las autoridades que dirigen instituciones reguladoras y de control de la gestión pública, deben emitir normas específicas de control interno como las que se describen a continuación, tomando como base sus competencias legales y bajo la rectoría del TSC mediante la utilización del enfoque del presente MARCI. Las autoridades de las entidades que regulan los siguientes procesos, deberán emitir normas específicas de control interno de acuerdo con sus competencias legales, mediante la utilización del enfoque del presente MARCI: a. Normas de control interno para la elaboración y seguimiento de la planificación estratégica institucional, los planes operativos y otros planes; b. Normas de control interno para la gestión por procesos; la información y los documentos de soporte que deben publicar las instituciones por cada uno de los procesos y actividades, señalando contenido, periodicidad y la identificación de las personas que participaron en su elaboración, revisión y aprobación; c. Normas de control interno para los procesos de la gestión presupuestaria de Tesorería, Contabilidad, Bienes Nacionales, Fideicomisos, Exoneraciones, Deuda Pública, Remuneraciones y de otros procesos de la gestión financiera pública; d. Normas de control interno para la planificación y ejecución de los procesos: precontractual, contractual, ejecución y liquidación para todas las modalidades de adquisiciones y contrataciones que establece la Ley de Contratación del Estado, su Reglamento y otras normativas; con énfasis en la transparencia de dichos procesos mediante la publicación de la información y documentación que permita el control social y de las instituciones de control, para que sea posible realizar análisis y revisiones en línea; e. Normas para la implementación detallada de cada componente del control interno y la información sobre su funcionamiento; y, f. Normas de control interno para cada fase de la administración del talento humano, desde la planificación de las necesidades de personal hasta su desvinculación, con énfasis en la competencia profesional. Para determinar los controles específicos para cada etapa o fase de los procesos, se debe realizar la gestión de los riesgos con base en lo que establece este MARCI y otras disposiciones aplicables emitidas por organismos competentes. -- 17 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) 5. Componentes y Principios El MARCI se desarrolla de forma consistente con el Informe COSO (versión 2013) a través de los cinco componentes: 100-00 Entorno de Control, 200-00 Evaluación de los Riesgos, 300-00 Actividades de Control, 400-00 Información y Comunicación; y, 500-00 Supervisión, que se describen en los capítulos III al VII. Cada uno de estos componentes tiene sus respectivos principios que guían su implementación. Estos principios a su vez tienen normas de control interno que se aplican mediante políticas, regulaciones, procedimientos, instructivos, y otras disposiciones para la implementación y funcionamiento del control interno como un sistema integrado para el cumplimiento de los objetivos institucionales, así como, la protección de los recursos públicos contra daños, pérdidas o uso indebido. Todos los componentes, principios y normas de control interno deben interrelacionarse para que surtan efecto y se considere que el control interno está en funcionamiento. Se considera pertinente aclarar que el Informe COSO (versión 2013) tiene 17 principios, no obstante, en este MARCI se consideró necesario agregar dos para llegar a 19, como se explica a continuación: Se incluyó el principio Planificación en toda la Organización en el Componente Entorno de Control, ya que el informe COSO no lo desarrolla, a pesar de que es la base para que las instituciones establezcan objetivos que guíen sus actividades; y, También se incluyó el principio Evaluación Independiente en el Componente Supervisión, ya que el informe COSO (versión 2013) desarrolla en un solo principio la Supervisión Continua y la Evaluación Independiente, que son dos acciones que se complementan pero que tienen diferentes enfoques y ejecutores. Se consideró necesario destacar que las evaluaciones independientes deben ser realizadas por las Unidades de Auditoría Interna y el TSC, y que el autocontrol o autoevaluación es responsabilidad de cada entidad, de acuerdo con su organización. En el siguiente cuadro, se presentan los cinco componentes y los 19 principios del MARCI, que, al funcionar de manera interrelacionada, permiten el logro de los objetivos institucionales: OBJETIVOS INSTITUCIONALES 100-00 ENTORNO DE CONTROL 200-00 EVALUACIÓN DE LOS RIESGOS 300-00 ACTIVIDADES DE CONTROL 400-00 INFORMACIÓN Y COMUNICACIÓN 500-00 SUPERVISIÓN -- 18 of 153 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Cada componente debe ser implementado y documentado de la forma en que se describe a continuación. Es importante mencionar que en los capítulos III al VII, se brindan mayores detalles a través de Normas de Control Interno para cada principio. 5.1. Componente Entorno de Control El Componente Entorno de Control establece la filosofía de una organización y tiene influencia acerca del control en la conciencia de todo el personal. Es el fundamento para todos los componentes de control interno, porque genera disciplina y estructura. En la implementación de este componente tienen una fuerte participación las máximas autoridades como primera línea de responsabilidad del control interno, puesto que tienen que liderar la elaboración, difusión, aplicación, supervisión y mejoramiento de la lista no limitativa de los siguientes documentos; que constituyen el fundamento para el funcionamiento integral del sistema de control interno y son la base para la implementación de los otros componentes: ENTORNO DE CONTROL ACTIVIDADES DE CONTROL 1. Integridad y Valores Éticos 2. Responsabilidad de Supervisión del Funcionamiento del Control Interno 3. Planificación en Toda la Organización 4. Organización, Autoridad y Responsabilidad Definida 5. Gestión del Talento Humano con Base en las Competencias Profesionales 6. Responsabilidad por el control interno EVALUACIÓN DE LOS RIESGOS 7. Objetivos Institucionales 8. Identificación, Evaluación y Respuesta a los Riesgos 9. Identificación, Evaluación y Análisis del Riesgo de Fraude 10. Evaluación de Cambios con Efectos en el Control Interno 11. Diseño e Implementación de Controles para Mitigar los Riesgos 12. Actividades de Control sobre la Tecnología para Lograr los Objetivos 13. Establecimiento de Controles a Través de Políticas, Procedimientos y Otros Medios INFORMACIÓN Y COMUNICACIÓN 14. Información Relevante y Accesible 15. Comunicación Interna de la Información 16. Comunicación Externa de la Información SUPERVISIÓN 17. Evaluación Continua y Autoevaluación 18. Evaluación Independiente 19. Comunicación Oportuna de Resultados de las Evaluaciones COMPONENTES Y PRINCIPIOS DEL MARCO RECTOR DEL CONTROL INTERNO INSTITUCIONAL DE LOS RECURSOS PÚBLICOS (MARCI) Cada componente debe ser implementado y documentado de la forma en que se describe a continuación. Es importante mencionar que en los capítulos III al VII, se brindan mayores detalles a través de Normas de Control Interno para cada principio. 5.1. Componente Entorno de Control El Componente Entorno de Control establece la filosofía de una organización y tiene influencia acerca del control en la conciencia de todo el personal. Es el fundamento para todos los componentes de control interno, porque genera disciplina y estructura. En la implementación de este componente tienen una fuerte participación las máximas autoridades como primera línea de responsabilidad del control interno, puesto que tienen que liderar la elaboración, difusión, aplicación, supervisión y mejoramiento de la lista no limitativa de los siguientes documentos; que constituyen el fundamento para el funcionamiento integral del sistema de control interno y son la base para la implementación de los otros componentes: a. Las políticas institucionales; b. El Código de Conducta Ética del Servidor Público y otras normas de ética especificas emitidas de la institución; c. Creación y funcionamiento del Comité de Probidad y Ética Pública (CPEP) e informes de las acciones realizadas; d. La planificación estratégica e informes de monitoreo; e. Planes operativos, presupuesto, planes de compras e informes de ejecución; -- 19 of 153 -- f. La organización institucional basada en la gestión por procesos o cualquier otra metodología seleccionada que generan, entre otros: organigramas, macroprocesos, procesos, actividades, con base en las entradas y salidas de información; g. El sistema para la gestión del talento humano desde la planificación de las necesidades de personal hasta su desvinculación; de cuya aplicación se originarán reglamentos, manuales, expedientes, informes de cumplimiento y otros; y, h. La rendición de cuentas mediante la cual los servidores públicos respondan o den cuenta de la forma y resultados de su gestión. 5.2. Componente Evaluación de los Riesgos. Sobre la base de los objetivos establecidos en la planificación estratégica, operativa y otros planes, así como en los macroprocesos y procesos que deben estar alineados entre sí, se deben implementar estrechamente vinculados los componentes Evaluación de los Riesgos y Actividades de Control, con sus respectivos principios y las normas de control interno. Se entiende por riesgo la probabilidad de ocurrencia de eventos no deseados que podrían afectar adversamente el logro de los objetivos; y, por control, las normativas, políticas, procedimientos, instructivos y otras acciones ordenadas que deben implementar las autoridades y directivos para mitigar los riesgos. Por tanto, la gestión de los riesgos es el proceso que permite a las entidades lograr los objetivos institucionales, con su menor exposición a riesgos de errores o irregularidades. En esta fase, los directivos deben comunicar por escrito a la máxima autoridad, los riesgos que están dispuestos a aceptar frente al logro de los objetivos, así como los niveles de tolerancia o variación permitidos. Para estas decisiones deben considerar que, a más altos objetivos, mayores serán los riesgos aceptados. También debe quedar claro que, en el proceso de gestión de los riesgos, es necesaria la intervención de los servidores que participan de las diferentes fases de los procesos, ya que son quienes conocen su funcionamiento y deben orientar el desarrollo de dicha gestión. Su participación tiene varios beneficios, como su involucramiento en el establecimiento de los controles, lo que evita que sean percibidos como imposiciones de las autoridades y directivos y además, se convierten en medios de difusión y agentes de los cambios. En el siguiente gráfico se presenta el proceso de la gestión de los riesgos destacando que los objetivos institucionales son las entradas al proceso y los planes de mitigación, son las salidas o resultados: Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) las autoridades y directivos y además, se convierten en medios de difusión y agentes de los cambios. En el siguiente gráfico se presenta el proceso de la gestión de los riesgos destacando que los objetivos institucionales son las entradas al proceso, y los planes de mitigación, son las salidas o resultados: a. Identificación de eventos externos e internos. Como se explicó antes, el insumo para la gestión de los riesgos son los objetivos institucionales. Por cada uno de los objetivos seleccionados y con la participación directa Identificación de Eventos Evaluación y Categorización de los Riesgos Análisis de los Riesgos y Riesgo Residual Respuesta a los Riesgos Objetivos institucionales Planes de Mitigación -- 20 of 153 -- a. Identificación de eventos externos e internos. Como se explicó antes, el insumo para la gestión de los riesgos son los objetivos institucionales. Por cada uno de los objetivos seleccionados y con la participación directa de las personas que intervienen en los procesos, se realiza la identificación y descripción de eventos o riesgos externos e internos. En este proceso los directivos que siguen en jerarquía a la MAE, juegan un papel muy importante y asumen la responsabilidad de revisarlos, antes de someter a la aprobación de las autoridades, dentro de los grados de competencia, con relación a los procesos. Los eventos externos más comunes pueden ser políticos, económicos, sociales, naturales y tecnológicos. Los eventos internos más comunes están relacionados con las personas (competencias y actitudes), los recursos financieros, la infraestructura y la tecnología. Sobre los eventos externos la organización no tiene la posibilidad de realizar gestión alguna, pero debe tener suficiente información para analizarlos, porque influyen en la selección de las estrategias para los objetivos institucionales; en cambio, sobre los eventos internos, las autoridades y los directivos de las entidades deben gestionarlos para determinar la forma de mitigarlos o tomar otras decisiones. En todo este proceso de evaluación de los riesgos, la MAI, la MAE y los directivos tienen la obligación de estar informados sobre los cambios internos y externos que pueden afectar el control interno, como modificaciones en los planes, procesos, la organización, la legislación, las políticas laborales o ambientales y otras; para lo cual se deben asignar los recursos y responsables. Frente a los cambios, la administración debe incluir un análisis de los riesgos de manera oportuna para establecer a tiempo los medios para su mitigación. Por cada uno de los eventos internos identificados, la administración debe preparar una clara descripción y establecer las causas, los efectos y dónde se originan; así como, documentarlos identificando a quienes elaboraron, revisaron y aprobaron. b. Evaluación de los riesgos. Con base en los eventos internos identificados, se evalúa el riesgo inherente, esto es, el riesgo que siempre estará presente por la naturaleza de las operaciones haya o no controles establecidos por la entidad. Por ejemplo, el riesgo inherente en la administración del efectivo es que haya pérdida o dinero falsificado. En la administración de medicinas o de alimentos, los riesgos inherentes serán la pérdida de estos bienes, la caducidad o el vencimiento. Estos riesgos siempre estarán presentes por las características propias de esta actividad, por lo que se deben establecer los controles para su mitigación, de acuerdo con las necesidades de cada entidad. Para procesos muy complejos, se debe considerar la participación de especialistas en todo el proceso de gestión de los riesgos y el establecimiento de los controles correspondientes. Esta evaluación del riesgo inherente se realiza considerando las probabilidades e impactos, así como otros criterios como la rapidez con la que se presentan y su permanencia en el -- 21 of 153 -- tiempo. Para la calificación de las probabilidades e impactos u otros criterios, puede utilizarse modelos matemáticos, principalmente en entidades que cuentan con información histórica y los recursos para asumir los costos de estas actividades. Si no es posible aplicar modelos matemáticos por falta de información o porque implican costos muy altos, se establecerán mediante criterios cualitativos a través de encuestas, entrevistas, reuniones de trabajo, análisis de los procesos, datos de pérdidas ocurridas, siniestros u otros acontecimientos. Una combinación de los dos métodos es una alternativa a considerar. La evaluación de los riesgos puede dar como resultado categorizaciones del riesgo como Alto, Medio o Bajo (u otras categorías como muy alto, alto, medio, bajo o muy bajo dependiendo de la metodología que haya desarrollado la entidad). La categorización se obtiene de combinar la calificación de las probabilidades con la calificación de los impactos, por ejemplo, si la probabilidad y el impacto se califican como altos, la categoría del riesgo es alta, y así con los resultados de todas las combinaciones posibles establecidas en la metodología. Estos resultados deben presentarse en mapas o matrices de riesgos para facilitar su análisis y la toma de decisiones por parte de las autoridades y directivos. c. Análisis de los riesgos y riesgo residual. Con base en los resultados de la evaluación de los riesgos, se procede a analizar los controles existentes y en funcionamiento para cada riesgo. El efecto de los controles en funcionamiento sobre los riesgos se denomina riesgo residual, esto es, el riesgo que permanece luego de determinar la eficacia de los controles en funcionamiento. Para que un control se entienda que está en funcionamiento, éste debe ser establecido oficialmente por acto administrativo de la autoridad competente; ser difundido mediante capacitaciones, publicaciones u otros medios, estar aplicándose como fue diseñado, haber sido evaluada su aplicación; y, adoptado las acciones para la mejora continua. Como resultado de este análisis, la categorización de los riesgos inherentes puede mantenerse como alta, media o baja, o modificarse hacia abajo si los controles disminuyen la probabilidad y/o el impacto; de esta forma se tendrá un nuevo mapa de riesgos revisado, que será sometido a la aprobación de la autoridad competente, para la adopción de decisiones que se documentarán en un plan de mitigación de riesgos. Este MARCI considera que cada entidad o grupo de entidades similares o de un mismo Poder del Estado pueden diseñar métodos para la gestión de los riesgos para que sean aplicados de manera uniforme. También es recomendable que se realicen capacitaciones sobre la aplicación de las metodologías con la participación de autoridades, directivos y otro personal relacionado con las actividades de la institución, para que se convierta en una práctica generalizada y de fácil aplicación. d. Respuesta a los riesgos. Con base en los resultados de la evaluación de los riesgos inherentes, las entidades pueden adoptar las siguientes decisiones dependiendo de los costos probables de su -- 22 of 153 -- gestión; considerando que los riesgos de categoría de baja posiblemente no requieran de acciones adicionales de control; estas decisiones se desarrollan más ampliamente en la Norma de Control Interno 224-00 sobre la Respuesta a los Riesgos: a) Aceptar los riesgos; b) Mitigar o disminuir los riesgos; c) Compartir los riesgos con otros organismos públicos o privados; y, d) Evitar los riesgos que no pueden ser gestionados. Estas decisiones deben constar por escrito en la matriz de riesgos u otros documentos, con las firmas de responsabilidad de quienes tomaron las decisiones, con base en el proceso de evaluación de los riesgos que se ha llevado a cabo. 5.3. Componente Actividades de Control Como se explicó antes, los controles se establecen para mitigar los riesgos evaluados y analizados en el Componente Evaluación de los Riesgos, cuya información y documentación sirve de base para el desarrollo de este componente. Para los riesgos que no tengan controles en funcionamiento, porque no se han establecido o porque no están aplicándose adecuadamente, se deben diseñar controles mediante políticas, normativas, procedimientos, instructivos u otros medios, que deben estar contenidos en un plan de mitigación que tendrán como mínimo la siguiente información: objetivo, descripción del riesgo, categoría del riesgo después de determinar el efecto de los controles, controles establecidos, responsable de la implementación, fecha de inicio y finalización, recursos e indicadores. Un procedimiento similar al descrito debe aplicarse para la gestión de los riesgos al fraude, con la diferencia de que se dirige hacia procesos, que, por su naturaleza, están mayormente expuestos a irregularidades o actos de corrupción. Todas las actividades realizadas en los procesos descritos deben estar documentadas y registrados los datos de quienes elaboran, revisan y aprueban, ya que cada una de estas personas asume las responsabilidades, de acuerdo con su nivel de autoridad. Los controles sobre tecnología de la información para los procesos de adquisición, desarrollo, mantenimiento y otros deben ser desarrollados con la participación de especialistas, destacando que las instituciones con alta dependencia tecnológica y grandes bases de datos deben establecer procesos de control y seguridad más rigurosos a los que se establezcan para otras entidades, de acuerdo con el volumen de sus operaciones. Como se ha mencionado antes, es recomendable la incorporación de controles automatizados, en todos los procesos, para lograr mayor agilidad y objetividad; así como, la generación de informes en línea para usuarios internos y externos. Sobre la base de los riesgos más comunes, principalmente relacionados con los procesos de apoyo, este MARCI explicará el funcionamiento de controles básicos, que las -- 23 of 153 -- entidades deben tomar en cuenta para establecer sus propios controles como respuesta a los riesgos analizados. 5.4. Componente Información y Comunicación El componente Información y Comunicación determina la obligación que tienen las autoridades y directivos de poner al alcance de la ciudadanía, de los organismos de control y de otras instituciones públicas y privadas, así como de su propio personal, informes y documentos que puedan ser utilizados sin más restricciones, que las que establecen las leyes y de acuerdo con los procedimientos formalmente establecidos. El desarrollo de este componente debe observar las disposiciones legales y otras normativas relacionadas con la transparencia y acceso a la información pública, que internacionalmente es considerada como un derecho de la ciudadanía. Sin embargo, siempre y cuando no existan restricciones legales, no debe limitarse a lo que disponen dichos lineamientos, ya que son de tipo general y no abarcan todas las necesidades de información específica que cada institución debe publicar, para llegar a ser transparente con sus grupos de interés, principalmente con la ciudadanía. Por tanto, la MAI de cada entidad, deberá establecer políticas internas de transparencia para que se consideren en el diseño de los procesos y la generación de información para uso interno y externo, con énfasis en la información de sus actividades misionales que reflejan la razón de su creación. La información interna es la que los servidores de la institución deben conocer y tener acceso permanente, de acuerdo con sus niveles de competencia y responsabilidad, para lograr su involucramiento en el logro de los objetivos, así como la plena comprensión de sus derechos y obligaciones. Uno de los medios para que las autoridades cumplan con los requerimientos de información interna, es comunicar al personal de reciente ingreso en la fase de inducción, y para quienes ya están prestando sus servicios, ejecutar un proceso de reinducción, en caso de considerarlo procedente. Para comunicar la información externa e interna se debe privilegiar el uso de la tecnología. La información debe ser de fácil acceso y permitir su análisis utilizando cualquier medio tecnológico disponible. Las unidades de comunicación institucional deben jugar un papel muy importante en la implementación de este componente, en coordinación con las instituciones que tienen competencia con la transparencia en todo el Sector Público. El TSC, por medio de las unidades de auditoría interna, vigilará que permanentemente se cumpla con lo que mandan las disposiciones legales y las normas de este componente; por su parte, las universidades, gremios profesionales y ciudadanía en general, como usuarios de la información; deben vigilar que cumpla con las normativas referentes a la transparencia, incluyendo el presente MARCI 5.5. Componente Supervisión La Supervisión tiene relación con la responsabilidad de las autoridades y directivos de verificar que los procesos y procedimientos se diseñen para mitigar los riesgos establecidos y que éstos se apliquen como fueron diseñados y aprobados; -- 24 of 153 -- para este propósito deben asumir la responsabilidad de supervisar, por los medios más eficaces, el cumplimiento de los principios y las normas de control interno de todos los componentes del control interno; y, apoyar la realización de supervisiones continuas y las evaluaciones independientes, mediante la asignación de recursos y la aplicación oportuna de las recomendaciones y otras acciones correctivas. La delegación de autoridad por escrito a niveles jerárquicos apropiados para que ejerzan la supervisión permanente es una forma de asegurar el logro de los objetivos institucionales a través del cumplimiento de las normas inmersas en los procedimientos y controles establecidos. Otra forma de supervisar la calidad del control interno es la autoevaluación del grado de cumplimiento de los controles aprobados e incorporados