VigenteCategoria: Administrativo
Decreto No. 001-2021 | 11 de diciembre de 2021

Acuerdo Administrativo No. 001-2021 — Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI)

Texto completo

la norma de control interno 412-00 Captar datos internos y externos y transformar en información de calidad, aplican totalmente para la comunicación de la información externa, que, para este MARCI, es considerada como información pública. Se debe destacar que el incumplimiento de las normativas para la comunicación de la información pública puede ocasionar sanciones, además de afectar la imagen institucional. Por esta razón y principalmente por la obligación que tiene todo servidor público de transparentar su gestión, la MAI, con la participación de la MAE y los directivos, deben establecer procedimientos para publicar la información externa relevante para conocimiento de la ciudadanía y de otros organismos públicos y privados, en la forma y periodicidad establecidas en sus requerimientos y las disposiciones aplicables. Las entidades reciben de la ciudadanía y de los organismos reguladores información útil que es necesario analizarla y adoptar las acciones que corresponda a cada caso. Los métodos y procedimientos que establezcan la MAE y los directivos deben permitir el conocimiento oportuno, análisis y respuesta a esa información. La siguiente información recibida de fuentes externas, debe generar respuestas oportunas y de acuerdo con los requerimientos y las normas correspondientes: a. Sugerencias, reclamos o denuncias presentadas por la ciudadanía o provenientes de otras fuentes; b. Disposiciones o instrucciones emitidas por organismos reguladores y de control que deben ser cumplidas por la entidad, en la forma y tiempo requerido, para que sea posible la consolidación de la información. Las disposiciones más generalizadas con las relativas a la planificación, el presupuesto, la contabilidad, la tesorería, el control de bienes, el uso de vehículos y otros medios de transporte, la transparencia en la contratación pública, la gestión del talento humano; c. Informes de auditorías realizadas por el TSC y los organismos reguladores que contienen observaciones y recomendaciones que deben ser atendidas en los tiempos y forma establecidos en dichos informes; y, d. Acceso a sistemas centralizados administrados por organismos reguladores, para que la entidad ingrese la información requerida en las fechas y con la calidad establecida. Respecto de los servicios que prestan las instituciones, es necesario que se informe a la ciudadanía sobre la forma de acceder, por los medios más fáciles de comunicación existentes y evitando trámites presenciales engorrosos, que generalmente son medios para la corrupción y ocasionan deterioro de la imagen de las instituciones públicas. Los servicios en línea, para obtener turnos, acceder a los servicios públicos, conocer valores a pagar, el estado de los procesos, entre otros, deben ser impulsados por las MAI. La frase repetida por muchos años de “crea dificultades para vender facilidades” se debe eliminar en los servicios públicos y el medio, es la simplificación de los procesos mediante la automatización de los servicios y la asesoría institucional oportuna a los usuarios. Los medios más utilizados para la comunicación de la información externa son: el portal web, el correo electrónico, tutoriales, redes sociales y otros medios que deben aplicarse -- 92 of 108 -- de acuerdo con las características de los usuarios, incluido la zona geográfica, el idioma, los medios de comunicación y otros aspectos sociales. NCI-TSC/432-00 Información externa mínima que se debe comunicar En consistencia con las disposiciones legales y mediante la utilización de los portales web institucionales y otros medios, las entidades deben poner a disposición de la ciudadanía y de otros usuarios externos, la información mínima actualizada que a continuación se detalla: a. Marco constitucional, legal y otras normativas que regulan el funcionamiento de la entidad, incluyendo las emitidas por las autoridades institucionales; b. Denominación de los cargos, remuneración, números de teléfono, direcciones electrónicas y otros datos oficiales del personal de la institución; c. Políticas institucionales; d. Plan estratégico actualizado, los informes sobre su ejecución y las acciones adoptadas por las autoridades; e. Planes operativos anuales actualizados y los informes de ejecución y las acciones adoptadas por los directivos; f. Presupuesto vigente con el nivel de detalle sobre su ejecución; g. Estructura orgánica, procesos, procedimientos; h. Servicios que presta la institución y la forma de acceder a éstos; i. Plan de compras y contrataciones e informes de su ejecución; j. Los procesos de contratación de bienes, servicios y construcción de obras, desde la elaboración de los términos de referencia, especificaciones técnicas, y otros documentos de acuerdo con la modalidad de contratación, pasando por la solicitud de ofertas, evaluación, adjudicación, entrega de anticipos, recepción de garantías, firma de los contratos, ejecución, recepción de lo contratado, pago, con los documentos de soporte correspondientes; k. Información relativa al proceso de selección de personal y los resultados de su ejecución, siempre y cuando se mantenga reserva sobre los datos personales considerados como confidenciales; l. Informes de rendición de cuentas de la MAI; m. Informes de auditoría interna y externa y de otras evaluaciones realizadas por organismos competentes, de conformidad con lo que disponga el TSC; n. Informes sobre la gestión de cada uno de los fideicomisos, exoneraciones, concesiones, señalando de manera individualizada los antecedentes, objetivos y la forma en que se cumplen, los beneficios o rendimientos recibidos y otros informes técnicos, administrativos y financieros; o. El estado de la deuda pública; y, p. Informes de rendición de cuentas. La MAI, la MAE y los directivos deben procurar que los sistemas de información de la entidad se integren con sistemas de otras instituciones con las que tiene vinculación por sus operaciones, para coordinar las actividades y facilitar las actividades de control en línea de los auditores externos y de los organismos reguladores. -- 93 of 108 -- p. Informes de rendición de cuentas. La MAI, la MAE y los directivos deben procurar que los sistemas de información de la entidad se integren con sistemas de otras instituciones con las que tiene vinculación por sus operaciones, para coordinar las actividades, y facilitar las actividades de control en línea de los auditores externos y de los organismos reguladores. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Comunicación Externa de la Información, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Procedimiento para la comunicación de la MAI y otros servidores de la entidad con la ciudadanía; detalle de las solicitudes de información que recibe la entidad de parte de la ciudadanía y evidencias de la atención brindada; y, b. Procedimiento para comunicar a la ciudadanía, a organismos públicos y privados, y a otros usuarios externos, la información institucional que disponen las leyes y otras normativas generales y específicas aplicables a la entidad. CAPÍTULO VII 500-00 COMPONENTE SUPERVISIÓN Los Principios y Normas de Control Interno de este componente son transversales a todas las actividades que se desarrollen para la implementación de los demás componentes, ya que se debe evaluar, de manera continua y permanente o con la periodicidad que cada proceso requiera y de acuerdo con las características y organización de cada entidad, el funcionamiento real del sistema de control interno y comunicar objetivamente cualquier deficiencia, para que adopten las acciones de mejora. En este sentido, la entidad debe contar con procedimientos definidos y aprobados para supervisar, autoevaluar o evaluar de manera independiente la implementación del sistema de control interno. La oportunidad y periodicidad de estas actividades responderán a las características y organización de cada entidad. La Supervisión debe incluir comunicar, en el momento y a las personas apropiadas, las observaciones y recomendaciones para mejorar la gestión y lograr que los servidores se involucren en el logro de los objetivos. El Componente Supervisión tiene los siguientes principios y normas de control interno: -- 94 of 108 -- La Supervisión debe incluir comunicar, en el momento y a las personas apropiadas, las observaciones y recomendaciones para mejorar la gestión, y lograr que los servidores se involucren en el logro de los objetivos. El Componente Supervisión tiene los siguientes principios y normas de control interno: PCI-TSC/510-00 Principio Evaluación Continua y Autoevaluación El sistema de control interno de una entidad puede cambiar en tiempos relativamente cortos, originados por muchos factores. Uno de los factores más frecuentes en el sector público, es el cambio frecuente de directivos y otros funcionarios, así como reformas a las normativas internas y externas, que pueden provocar que los controles pierdan eficacia. 500-00 COMPONENTE SUPERVISIÓN PRINCIPIOS NORMAS DE CONTROL INTERNO CÓDIGO TÍTULO CÓDIGO TÍTULO PCI-TSC/510-00 Evaluación Continua y Autoevaluación NCI-TSC/511-00 Supervisión continua NCI-TSC/512-00 Autoevaluaciones PCI-TSC/520-00 Evaluación Independiente NCI-TSC/521-00 Evaluación independiente realizada por las unidades de auditoría interna NCI-TSC/522-00 Evaluación independiente realizada por el TSC PCI-TSC/530-00 Comunicación Oportuna de los Resultados de las Evaluaciones NCI-TSC/531-00 Evaluar los resultados y comunicar las deficiencias NCI-TSC/532-00 Controlar las medidas correctivas PCI-TSC/510-00 Principio Evaluación Continua y Autoevaluación El sistema de control interno de una entidad puede cambiar en tiempos relativamente cortos, originados por muchos factores. Uno de los factores más frecuentes en el sector público, es el cambio frecuente de directivos y otros funcionarios, así como reformas a las normativas internas y externas, que pueden provocar que los controles pierdan eficacia. La entidad debe llevar a cabo actividades de supervisión continua y autoevaluaciones para determinar si las normas de control interno de cada compo¬nente están siendo implementadas o en su defecto emprender las acciones que correspondan. Las actividades de supervisión identifican brechas existentes entre los controles diseñados y la forma en que se están aplicando, e identificarán las causas de las diferencias con el propósito de sugerir acciones para solucionarlas. Las siguientes Normas de Control Interno relacionadas con el Principio Evaluación Continua y Autoevaluación, permiten su diseño e implementación: NCI-TSC/511-00 Supervisión continua Las entidades deben implementar supervisiones continuas, manuales o con el uso de tecnología, para verificar el funcionamiento del sistema de control interno y el cumplimiento de las normas en la ejecución de las actividades. -- 95 of 108 -- Las supervisiones continuas generalmente son ejecutadas por los superiores directos de quienes realizan las actividades. Estos servidores deben reunir las competencias necesarias para comprender lo que supervisan, aportar sugerencias y nuevos enfoques, en el caso de que los procesos y los controles requieran de cambios. Las entidades utilizan frecuentemente tecnología para la realización de supervisiones continuas, porque son más objetivas y abarcan grandes volúmenes de datos que se pueden revisar con oportunidad y con costos razonables. Estas técnicas, junto con una apropiada revisión y análisis de los resultados, pueden asegurar que los controles internos funcionan como fueron diseñados e implementados, para el logro de los objetivos. Los responsables de llevar a cabo las actividades de supervisión deben identificar las causas de incumplimientos o variaciones, analizar objetivamente con las personas involucradas y determinar las formas de solucionarlos de manera oportuna, considerando las alternativas disponibles y los costos. Cuando sea necesario, se escalará la toma de decisiones a los niveles jerárquicos apropiados, dejando en todo momento, evidencias de las acciones realizadas. Al diseñar los procesos y procedimientos de la entidad pública se deben establecer mecanismos de autocontrol por parte de quienes realizan las actividades, a fin de que aseguren su cumplimiento o identifiquen errores, inconsistencias y otros que dificulten su aplicación y reporten a las autoridades competentes cuando estos no estén funcionando adecuadamente. Para la supervisión continua y para cualquier otra forma de evaluación, deben existir al menos los siguientes requisitos: a. Los procesos, procedimientos, instrucciones y otras disposiciones deben haber sido formalmente establecidos por la autoridad competente; b. Ser conocidos, por cualquier medio, como capacitaciones, procesos de inducción, entre otros; por los servidores responsables de su aplicación y supervisión, puesto que deben ser los mismos criterios de verificación; c. Establecer la autoridad y responsabilidad por la supervisión, que deben ser conocidas por todas las partes involucradas; d. La supervisión debe ser vista como un aporte a la excelencia y con sentido constructivo, no como una persecución; e. Se debe dejar evidencia escrita de la supervisión realizada, ya sea esta manual o automatizada. El uso de firmas electrónicas o dejar constancia en el sistema de las revisiones y aprobaciones, es una forma de evidenciar las supervisiones; y, f. Los resultados de las supervisiones deben ser analizadas con las personas involucradas en los -- 96 of 108 -- procesos y comunicar a las instancias que corresponda de acuerdo con la estructura organizativa. Estos resultados deben ser comunicados a la unidad de auditoría interna. Cuando las instituciones lleven a cabo certificaciones de la calidad de los procesos, a fin de evitar duplicación de esfuerzos, los resultados de las supervisiones y de otras evaluaciones, deben ser compartidas de manera recíproca con los encargados de realizar las auditorías de la calidad, ya que los objetivos y los mecanismos de verificación, son similares. Estas disposiciones deben constar en los contratos o en las disposiciones relativas a las verificaciones de la calidad y de las supervisiones de los procesos y procedimientos de las instituciones. NCI-TSC/512-00 Autoevaluaciones Las autoevaluaciones del funcionamiento de los componentes del control interno deben ser realizadas por personal de la propia entidad, que deben contar con la designación, autorización y apoyo de la MAI, para que planifiquen, ejecuten e informen los resultados de esta actividad. Los objetivos, el alcance, la metodología y las responsabilidades del equipo de evaluación deben ser conocidos por todos los miembros de la entidad o por los responsables de los procesos y componentes del control interno sujetos a evaluación. Las autoevaluaciones del sistema de control interno deben ser realizadas utilizando criterios y metodología consistentes con los que utilizan los auditores internos cuando efectúan la evaluación independiente. Las personas que realizan la au- toevaluación del control interno, en su conjunto, deben tener suficientes conocimientos de esta materia y de los aspectos que se evalúan, sustentarse en evidencias para calificar la forma en que se están aplicando los controles, y ser suficien- temente objetivos. En el caso de utilizar cuestionarios para evaluar el control interno, estos deben ser elaborados con la asesoría de la unidad de auditoría interna. Estos cuestionarios, cuando corresponda, podrán ser utilizados por la auditoría interna para sus evaluaciones, aclarando que no debería repetirse este proceso, sino realizar validaciones de su aplicación y de las evidencias que respaldan los resultados. Debe existir un alto grado de compromiso de la MAI y el equipo designado para realizar la autoevaluación; asimismo, debe demostrar poseer conocimientos suficientes, integridad y alto grado de profesionalismo. -- 97 of 108 -- Debe existir un alto grado de compromiso de la MAI y el equipo designado para realizar la autoevaluación; asimismo, debe demostrar poseer conocimientos suficientes, integridad y alto grado de profesionalismo. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Evaluación Continua y Autoevaluación, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Asignación por escrito por parte de la MAE, de las atribuciones y responsabilidades para supervisar las actividades de los servidores encargados de cada una de las fases de los procesos; b. Procedimientos de supervisión y de comunicación de los resultados, ya sean estos manuales o con el uso de tecnología; c. Procedimientos para la autoevaluación del control interno, que contenga los requisitos del equipo de evaluación; los conocimientos, formación profesional e independencia para realizar estas actividades; las técnicas y medios para efectuar la autoevaluación; la forma de evidenciar los resultados y de comunicar los hallazgos; y, d. Disposiciones emitidas por la MAE sobre la complementariedad de las auditorías de la calidad, con las autoevaluaciones, y las supervisiones continuas. PCI-TSC/520-00 Principio Evaluación Independiente Al evaluar el diseño del control interno, se debe determinar si los controles, por sí mismos -- 98 of 108 -- PCI-TSC/520- 00 PRINCIPIO EVALUACIÓN INDEPENDIENTE Al evaluar el diseño del control interno, se debe determinar si los controles, por sí mismos y en conjunto con otros, permiten alcanzar los objetivos y responder a sus riesgos asociados. Para evaluar la implementación, es necesario determinar si el control existe, esto es, que se haya sido establecido formalmente por autoridad competente; que ha sido difundido para conocimiento de los responsables de su aplicación; y, si se ha puesto en operación, esto es que se haya implementado. Un control no puede ser efectivamente implementado si su diseño es deficiente. Una deficiencia en el diseño ocurre cuando: a. Falta un control necesario para mitigar los riesgos, que es el propósito esencial del establecimiento de un control; y, b. Un control existente está diseñado de modo que, incluso si opera de acuerdo con el diseño, no mitiga los riesgos y, por tanto, el objetivo de control no puede alcanzarse. Existe una deficiencia en la implementación cuando un control, adecuadamente diseñado, se aplica de manera incorrecta. Por lo expuesto, la evaluación del sistema de control interno debe realizarse al diseño y a la implementación efectiva, asociando los objetivos y los procesos, con los riesgos y los controles considerando la naturaleza y características de las instituciones. Al evaluar la eficacia operativa del control interno, se debe determinar si se aplicaron controles de manera oportuna, la consistencia con la que estos fueron aplicados, si el personal que los aplicó contaba con los conocimientos y capacidades necesarias y si los medios para implementar los controles fueron adecuados. La evaluación independiente del control interno corresponde realizarla a las unidades de auditoría interna, al TSC o a firmas de auditoría contratadas cumpliendo las disposiciones legales establecidas para este propósito. La independencia radica en que la evaluación es realizada por quienes no participan en la ejecución de los procesos que se evalúan. Para que sea de utilidad, esta evaluación debe ser realizada durante el año, con la periodicidad que se determine en función de resultados de evaluaciones anteriores, o de los niveles de riesgos de procesos específicos, que obliga su revisión permanente, como la contratación pública y la gestión del talento humano. Las siguientes Normas de Control Interno relacionadas con el Principio Evaluación Independiente, permiten su diseño e implementación: NCI-TSC/521-00 Evaluación independiente realizada por las unidades de auditoría interna Las evaluaciones que realicen las unidades de auditoría interna deben tomar como referencia los resultados de las -- 99 of 108 -- supervisiones continuas, las autoevaluaciones, las auditorías de la calidad y otros resultados similares, con el fin de evitar duplicación de esfuerzos y distraer la atención de los servidores en iguales actividades previamente realizadas. Las unidades de auditoría interna deben cumplir con los estándares internacionales adaptados y/o adoptados por el TSC para el ejercicio profesional de esta actividad de control independiente, con la oportunidad que corresponde, esto es, durante cada año, con la periodicidad que cada proceso requiera. La evaluación de los controles internos de los procesos misionales, conocidos también como agregadores de valor, así como de aquellos que utilizan mayores cantidades de recursos o están expuestos a riesgos de irregularidades, deben ser prioritarios al momento de elaborar los planes de auditoría interna, de acuerdo con las disposiciones del TSC. Se debe tomar en cuenta que los controles internos establecidos pueden cambiar la forma de su aplicación en tiempos relativamente cortos, por lo que su evaluación permanente o con intervalos cortos, es necesaria. Para efectos de complementariedad, las técnicas que los auditores internos utilicen en la evaluación independiente deben ser consistentes con los que se utilicen en la autoevaluación. Las dos evaluaciones deben sustentarse en evidencias para que tengan valor y permitan el uso de tiempos más cortos en siguientes evaluaciones. Los auditores internos generalmente utilizan cuestionarios, con la combinación de otras técnicas como la observación, revisión documental, las entrevistas, flujo de procesos, para la evaluación del control interno. Para elaborar cuestionarios, los auditores internos deben tomar como referencia los Puntos Mínimos para la Autoevaluación y la Evaluación Independiente que se desarrollan en este MARCI por cada principio. Para lograr resultados objetivos, los principios y normas de control interno deberán ser evaluados en dos instancias como se explicó en la sección 6 del Capítulo II: El diseño y la implementación, con los criterios que se citan a continuación, cuyos resultados deben promediarse: a. El diseño de los controles, esto es, la existencia, aprobación y difusión de los controles tales como planes, organigramas, manuales, reglamentos y otros similares, que tendrán una valoración; y, b. La implementación que implica la aplicación práctica de estos principios y normas de control interno. Para verificar su adecuada implementación se deberán realizar pruebas de cumplimiento con la extensión que corresponda, lo cual puede requerir de poca inversión de tiempo, si las evaluaciones se realizan con la regularidad necesaria. Cuando se evalúen los controles relativos a la gestión de los riesgos, por ejemplo, la evaluación del diseño consistirá en verificar que existe la metodología aprobada por la MAE y -- 100 of 108 -- que el personal que participó en el proceso de evaluación de los riesgos recibió la capacitación necesaria y fue dotado de los recursos para ejecutar esta actividad. Para verificar la implementación del control relativo a la gestión de los riesgos, se deberá contar con el listado o detalle de los objetivos y comprobar la forma en que fue aplicada la metodología en cada uno de ellos. En entidades muy grandes, estas evaluaciones pueden realizarse agrupando procesos prioritarios establecidos por la MAI y desarrollarlos durante un período de acuerdo con un plan, hasta cubrir la mayoría o todos los objetivos en un tiempo razonable. Los resultados de la evaluación del diseño tendrán una valoración, que deberá promediarse con los resultados de la evaluación de la implementación. Estos valores deben establecerse en la metodología de evaluación aplicable a cada entidad o grupo de entidades de características similares. Las autoevaluaciones que incluyan la evaluación del diseño y la implementación del control interno y que estén respaldadas por evidencias que demuestren su cumplimiento, pueden ser consideradas como antecedentes para las evaluaciones independientes de los auditores internos. Todas las evaluaciones realizadas deben ser documentadas. Los medios y herramientas utilizadas en la evaluación como con las evidencias que respaldan sus resultados deben mantenerse en archivos físicos o preferentemente electrónicos, para que estén disponibles para el control posterior externo, por el tiempo que disponga el TSC. NCI-TSC/522-00 Evaluación independiente realizada por el TSC Las evaluaciones que realiza el TSC y otras personas naturales o jurídicas autorizadas para realizar auditorías externas, tienen propósitos adicionales a las evaluaciones periódicas y recurrentes que realizan los auditores internos, puesto que, además de conocer la calidad del control interno, se utilizan para determinar el alcance, oportunidad y profundidad de las pruebas de auditoría. Para efectos de complementariedad, los auditores externos deben analizar el proceso seguido y los resultados de las evaluaciones del sistema de control interno realizado por los auditores internos; esto con el propósito de determinar el grado de confianza del trabajo que estos han realizado y decidir si reúne las condiciones para ser utilizado en las actividades de control posterior externo. Dada la formación profesional de los auditores internos como el entrenamiento y supervisión que reciben del TSC, es de esperarse que los procesos y los resultados de las evaluaciones del sistema de control interno, otras revisiones y exámenes realizados, tengan suficiente valor para la determinación del alcance de las pruebas de auditoría. Las técnicas de evaluación del sistema de control interno por parte de los auditores externos son similares a las que utilizan los auditores internos, por lo que se consideran complementarios dentro de un sistema integrado de control de los recursos públicos. -- 101 of 108 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Evaluación Independiente, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Metodología para las evaluaciones independientes del control interno realizadas por las unidades de auditoría interna, que considere la evaluación del diseño y de la implementación o aplicación práctica, y los demás procedimientos de evaluación y comunicación de resultados; y, b. Documento que establezca los mecanismos de coordinación de las unidades de auditoría interna con el TSC, para evitar duplicación de esfuerzos y lograr su complementariedad. PCI-TSC/530-00 Principio Comunicación Oportuna de los Resultados de las Evaluaciones Los responsables de llevar a cabo las actividades de supervisión, autoevaluación y evaluaciones independientes deben elaborar un informe de los resultados relevantes identificados y comunicarlos a los servidores que ejecutan los procesos, y a las autoridades que corresponda de acuerdo con la estructura de la organización. Las autoridades que conozcan los resultados de las supervisiones, autoevaluaciones y evaluaciones deben tomar las acciones que corresponda, de acuerdo con sus competencias, dejar evidencia de las decisiones adoptadas, y comunicar a las personas involucradas por los medios más eficaces. Estas comunicaciones deben incluir a la unidad de auditoría interna, cuando los informes se originaron en sus evaluaciones independientes del sistema de control interno, a fin de que registren el cumplimiento en los planes de implementación de las recomendaciones formuladas. Las siguientes normas de control interno relacionadas con el principio Comunicación Oportuna de Resultados de las Evaluaciones, permiten su diseño e implementación: PCI-TSC/530-00 Principio Comunicación Oportuna de los Resultados de las Evaluaciones Los responsables de llevar a cabo las actividades de supervisión, autoevaluación y evaluaciones independientes deben elaborar un informe de los resultados relevantes identificados y comunicarlos a los servidores que ejecutan los procesos y a las autoridades que corresponda de acuerdo con la estructura de la organización. Las autoridades que conozcan los resultados de las supervisiones, autoevaluaciones y evaluaciones deben tomar las acciones que corresponda, de acuerdo con sus competencias, dejar evidencia de las decisiones adoptadas, y comunicar a las personas involucradas por los medios más eficaces. Estas comunicaciones deben incluir a la unidad de auditoría interna, cuando los informes se originaron en sus evaluaciones independientes del sistema de control interno, a fin de que registren el cumplimiento en los planes de implementación de las recomendaciones formuladas. Las siguientes normas de control interno relacionadas con el principio Comunicación Oportuna de Resultados de las Evaluaciones, permiten su diseño e implementación: NCI-TSC/531-00 Evaluar los resultados y comunicar las deficiencias -- 102 of 108 -- Las deficiencias en el sistema de control interno, presentadas en los informes de resultados de las supervisiones, autoevaluaciones y evaluaciones independientes, deben ser analizadas respecto de su importancia o relevancia. Ésta se refiere la forma en que cada deficiencia o un conjunto relacionado, afecta al cumplimiento de los objetivos institucionales. Para definir la relevancia de las deficiencias, se debe evaluar su efecto sobre la consecución de los objetivos, tanto a nivel institucional como de proceso o actividad. También se debe evaluar la relevancia de las deficiencias considerando la magnitud del impacto, la probabilidad de ocurrencia y la naturaleza de la deficiencia. Algunas deficiencias pueden ser fácilmente cuantificables en cuyo caso la magnitud o materialidad puede compararse con factores como la cantidad de recursos de la entidad para determinar la importancia. En otros casos, las deficiencias pueden no tener relación directa con los recursos, sino con la imagen institucional, la ética y el ambiente laboral. En estos casos se debe analizar el impacto que puede tener en la actitud de las personas que laboran en la institución, la ciudadanía y otras instituciones, para determinar su grado de importancia. Por norma general, las deficiencias relacionadas con la corrupción deben ser siempre consideradas de importancia. Los resultados de las evaluaciones independientes realizadas por los auditores internos deben ser analizados con los responsables de los procesos y otros servidores de mayor y menor jerarquía que tiene relación con la evaluación realizada. El propósito es identificar las causas de los errores y deficiencias del sistema de control interno, para en conjunto seleccionar las mejores soluciones, que serán sometidas a conocimiento de las autoridades que tengan competencia para decidir. Las reuniones para la comunicación de resultados de las evaluaciones deberán ser documentadas con firmas de responsabilidad, para evidenciar el cumplimiento del debido proceso. Los hallazgos que identifiquen acciones contrarias a la ética, las leyes o establezcan el uso indebido de los recursos públicos, se comunicarán de acuerdo con lo que dispone el TSC. Los informes de las evaluaciones del sistema de control interno realizadas por las unidades de auditoría interna contendrán la información y seguirán el trámite establecido por el TSC. -- 103 of 108 -- Marco Rector del Control Interno Institucional de los Recursos Públicos (MARCI) NCI-TSC/532-00 Controlar las medidas correctivas La máxima autoridad institucional debe elaborar el plan de acción para implementar las recomendaciones contenidas en los informes elaborados como resultado de las actividades de supervisión, autoevaluación y evaluación independiente, con la participación de los servidores responsables de su aplicación y supervisión. Estos planes deberán contener como mínimo el número, el contenido de la recomendación, la persona responsable de su implementación, la fecha estimada de cumplimento, y, de ser posible, los recursos necesarios para su cumplimiento, indicadores y medios de verificación. Los planes deben ser firmados por los responsables de su cumplimento. Este plan deberá ser evaluado periódicamente por la unidad de auditoría interna para determinar su grado de cumplimento y efectuar el seguimiento que corresponda. Los casos que ameriten serán comunicados a la MAI para que adopte las acciones que corresponda. Puntos Mínimos para la Autoevaluación y la Evaluación Independiente La evaluación del diseño e implementación del Principio Comunicación Oportuna de los Resultados de las Evaluaciones, así como de sus normas de control interno, requieren que las entidades autoevalúen y que la auditoría interna y externa evalúen de manera independiente como mínimo lo siguiente: a. Evidencias de la comunicación de los resultados de las evaluaciones del control interno con las personas que tienen relación con los objetivos y los procesos evaluados, así como con las autoridades que corresponda, cuando sea necesario; y, b. Planes de acción, con las firmas de las personas responsables del cumplimiento, y evidencias del seguimiento de su ejecución. NCI-TSC/532-00 Controlar las medidas correctivas La máxima autoridad institucional debe elaborar el plan de acción para implementar las recomendaciones contenidas en los informes elaborados como resultado de las actividades de supervisión, autoevaluación y evaluación independiente, con la participación de los servidores responsables de su aplicación y supervisión. Estos planes deberán contener como mínimo el número, el contenido de la recomendación, la persona responsable de su implementación, la fecha estimada de cumplimento, y, de ser posible, los recursos necesarios para su cumplimiento, indicadores y medios de verificación. Los planes deben ser firmados por los responsables de su cumplimento. Este plan deberá ser evaluado periódicamente por la unidad de auditoría interna para determinar su grado de cumplimento y efectuar el seguimiento que corresponda. Los casos que ameriten serán comunicados a la MAI para que adopte las acciones que corresponda. -- 104 of 108 -- CAPÍTULO VIII DOCUMENTACIÓN, ARCHIVO Y PUBLICACIÓN DEL DISEÑO E IMPLEMENTACIÓN DEL CONTROL INTERNO Los siguientes son los documentos mínimos que evidenciarán la implementación del control interno y que deben ser publicados para conocimiento interno y externo, según corresponda, salvo las limitaciones que las leyes impongan: a. Políticas institucionales, entre otras, relacionadas con la ética y la lucha contra la corrupción, el control interno, el talento humano, la organización y los procesos, la planificación y la rendición de cuentas, la calidad de los servicios, el uso de la tecnología y la innovación, la gestión de los riesgos, la transparencia, el cuidado del ambiente, la supervisión y el cumplimiento de los planes de mejora continua, entre otras; b. Declaración de compromiso de aplicar o cumplir el Código de Conducta Ética del Servidor Público y aplicar también el Código o Políticas Internas de Ética institucional; c. Documento de creación del Comité de Probidad y Ética Pública (CPEP) y evidencias de su funcionamiento; d. Documentación de los procesos de difusión y capacitación del Código de Ética; e. Instructivo y metodología para el tratamiento de denuncias y los resultados de las acciones realizadas, salvo las limitaciones que las leyes establecen y manteniendo procesos rigurosos de protección del denunciante; f. Planes estratégicos, operativos, de compras y otros planes; con objetivos, indicadores de gestión, informes de cumplimiento y otros requisitos establecidos en las normativas para su elaboración, así como su relación con la rendición de cuentas; g. Manuales de procesos con: Macroprocesos, procesos, procedimientos, tareas, organigramas, manuales o reglamentos de atribuciones y responsabilidades; h. Normativas y procesos para la gestión del talento humano, desde los planes de necesidades de personal, pasando por la convocatoria, selección, inducción, capacitación, promoción, desvinculación, así como la administración de información y expedientes; i. Metodología para la evaluación de los riesgos y evidencias de los procesos de capacitación para su uso. Esto incluye la evaluación de los riesgos al fraude y los cambios internos y externos; j. Documentos para evidenciar actividades relacionadas con el listado o detalle de objetivos, la identificación de eventos internos y externos, evaluación, análisis, respuesta a los riesgos y acciones para su mitigación. Esto incluye matrices y mapas de riesgo; k. Documentos que vinculan la evaluación de los riesgos con las actividades de control diseñadas y aplicadas para su mitigación; l. Disposiciones de la MAI y la MAE para que se apliquen y supervise la aplicación de los controles comunes establecidos en este MARCI para los riesgos más frecuentes en la administración de los recursos públicos, así como evidencias de su aplicación; m. Evidencias de la comunicación de la información interna al personal de la institución; n. Evidencias de la publicación de la información externa y la atención oportuna y completa de los -- 105 of 108 -- requerimientos de los organismos de regulación y control y de la ciudadanía, de acuerdo con los procedimientos establecidos para el acceso a la información; o. Metodología para la autoevaluación, las evaluaciones independientes, los informes de estas actividades, los planes de mejora continua y del seguimiento sobre el cumplimiento; y, p. Cualquier otro archivo físico o electrónico de la implementación del control interno. La implementación del control interno integra todas las actividades de las instituciones, por lo que es de singular importancia que la MAI, la MAE, los directivos y todos los servidores deben asumir con responsabilidad sus obligaciones de documentar la implementación del control interno, de acuerdo con su jerarquía. Las entidades deben conservar los documentos originales de las transacciones por el tiempo que las disposiciones legales lo establezcan; asimismo, puede considerarse la posibilidad de que estos documentos sean escaneados a fin de tener respaldos electrónicos de los documentos del sistema de control. Para fines de control interno, es necesario que los documentos que evidencian su implementación deban ser custodiados por servidores capacitados, a quienes la MAE asignará de manera formal esta responsabilidad con la consiguiente autoridad, de acuerdo con los procedimientos establecidos en cada entidad. Los documentos físicos originados en la implementación del control interno deben ser archivados aplicando las mismas normas establecidas para toda la documentación institucional. Serán custodiadas y administradas procurando su conservación, facilidades de localización y control de salida de los documentos; así como el acceso limitado a personal autorizado y deben estar disponibles para las revisiones que en cualquier momento efectúen las unidades de auditoría interna institucional y el TSC. GLOSARIO Autoevaluación: Evaluación de la efectividad de los controles internos realizado por la propia entidad, por convicción de la importancia y utilidad del control para el logro de los objetivos institucionales. Confiabilidad: Cualidad o característica que procura el control interno y que debe poseer la información financiera y operativa derivada de la gestión de los entes públicos. Consejo de Administración: Es el grupo directivo que se constituye en la máxima autoridad institucional, con responsabilidades de aprobar las normativas internas, de establecer las estrategias institucionales, aprobar los presupuestos, supervisar el funcionamiento del sistema de control interno y el cumplimiento de los objetivos a través de la rendición de cuentas de la máxima autoridad ejecutiva. Para cumplir con sus responsabilidades, el consejo puede contar con comités especializados como el Comité de Probidad y Ética Pública (CPEP), el Comité de Auditoría. Control Posterior Externo: Es la acción realizada por el TSC a los sujetos pasivos para verificar los aspectos: administrativos, legales, financieros o económicos, de gestión y de resultados. Esta acción puede ser realizada por firmas privadas de auditoría, luego de cumplir con las disposiciones establecidas para autorizar su participación. Corrupción: Uso indebido o ilegal de los recursos, información o del poder o autoridad públicos para obtener -- 106 of 108 -- un beneficio que redunde en provecho del servidor público u otras personas naturales o jurídicas, ya sea que se haya consumado o no un daño patrimonial o económico al Estado. Debido Proceso: Derecho de una persona a que se siga el procedimiento legalmente establecido en un juicio o trámite administrativo, que le proteja de la arbitrariedad y le dé seguridad de ejercer el derecho a la defensa. Disposiciones Legales: Normas que emanan de la Constitución, las leyes, reglamentos u otras normativas legalmente emitidas y de obligatorio cumplimiento. Economía: Austeridad y mesura en los gastos e inversiones públicas, en condiciones de calidad, cantidad y oportunidad requeridas. Ética: Actitud permanente de los servidores públicos para cumplir sus obligaciones con responsabilidad, esmero, rectitud y demás valores morales; constituye la base principal en que se fundamenta el control interno institucional de los recursos públicos. Eficiencia: Velar porque la entidad obtenga la máxima productividad de los recursos humanos, materiales, financieros, tecnológicos y del tiempo que le han sido confiados, para el logro de los objetivos institucionales. Eficacia: Cumplimiento de las metas y los objetivos previstos. Permite determinar si los resultados obtenidos tienen relación con los objetivos y con la satisfacción de las necesidades de la ciudadanía y otros grupos de interés, internos y externos. Gobierno Corporativo: Es un marco en el cual las atribuciones y responsabilidades de los diferentes participantes y grupos de interés de las entidades son distribuidos legal y técnicamente, para propiciar el logro de sus objetivos de manera eficiente y transparente, partiendo de la autoridad superior que generalmente es un cuerpo colegiado. Impacto: Es el resultado o el efecto de un riesgo. Puede existir un rango de posibles impactos asociados con un riesgo. Indicador: Es la expresión cuantitativa que relaciona dos o más variables, permitiendo evaluar el comportamiento o desempeño de una entidad o proceso, cuyo resultado es comparado con criterios previamente establecidos. Legalidad: El acatamiento o cumplimiento de las disposiciones constitucionales, legales y otras normativas que regulan los actos administrativos y la gestión de los recursos públicos. Mapa de Riesgo: Es la representación gráfica de los riesgos identificados y valorados en un plano cartesiano que combina probabilidad con impacto, permitiendo la ubicación de éstos y su visualización en las zonas de aceptación o rechazo definidas. Probabilidad: Es la posibilidad de que un evento determinado pueda ocurrir. Rendición de Cuentas: Es el acto administrativo mediante el cual los responsables de la gestión de los recursos públicos, de acuerdo con la estructura organizativa institucional, informan, justifican y se responsabilizan del uso de tales recursos para el logro de los objetivos. Riesgo: Es la posibilidad de que ocurra un evento adverso que afecte el logro de los objetivos. -- 107 of 108 -- Riesgo Aceptado: Es el nivel de riesgo fijado por la MAI y la MAE y que está dispuesto a aceptar a cambio de lograr los objetivos. Riesgo de Control: Es el riesgo de que las actividades de control no estén bien diseñadas o no se apliquen adecuadamente. Riesgo Inherente: Es el riesgo propio o consustancial con la naturaleza de la actividad u operaciones de la entidad o de un proceso, sin considerar la efectividad de los sistemas y actividades de control. Riesgo Residual: Es el riesgo remanente después de haber considerado los controles existentes y en funcionamiento. Servidor Público: Es la persona física que ha sido nombrada, contratada o elegida para realizar una función, de cualquier naturaleza y jerarquía, en una entidad calificada por las leyes como pública. Tolerancia al Riesgo: Son los límites de la variación aceptable en el desempeño relacionado con el logro de los objetivos, es decir los límites de la desviación con respecto del apetito al riesgo. Transparencia: Es el conjunto de medidas de información y comunicación, así como las facilidades para su acceso sobre la gestión pública; es uno de los fundamentos en que descansa un adecuado control interno institucional de los recursos públicos. ARTÍCULO SEGUNDO: Los sujetos pasivos de la LOTSC tendrán un plazo contado desde la fecha de la publicación del presente Acuerdo hasta el 31 de marzo de 2022, para establecer el proceso de control interno institucional de conformidad con el presente Marco Rector; en caso de ser necesario, este plazo puede prorrogarse por seis (6) más previa aprobación del pleno de magistrados. ARTÍCULO TERCERO: El Tribunal Superior de Cuentas y las unidades de auditoría interna, como parte de sus funciones, darán seguimiento y evaluarán el acatamiento y cumplimiento del presente Marco Rector del Control Interno. ARTICULO CUARTO: Se deroga el “Acuerdo Administrativo TSC Nº.001/2009” de fecha cinco (5) de febrero de dos mil nueve (2009), que contiene el Marco Rector del Control Interno de los Recursos Públicos. ARTÍCULO QUINTO: El presente Acuerdo entrará en vigencia al día siguiente de su publicación en el Diario Oficial “La Gaceta”. En la ciudad de Tegucigalpa municipio del Distrito Central a los diez (10) días del mes de septiembre de dos mil veintiuno (2021). Y para efectos de su Publicación en el Diario Oficial La Gaceta, Firma y Sello Abogado Ricardo Rodríguez, Magistrado Presidente.- Firma y Sello.- Abogado Roy Pineda Castro, Magistrado.- Firma y Sello.- Abogado José Juan Pineda Varela Magistrado.- Firmo y sello la presente CERTIFICACIÓN, en la Ciudad de Tegucigalpa, Municipio del Distrito Central, a los dos (02) días del mes de diciembre del año dos mil veintiuno 2021 DOY FE.- SANTIAGO ANTONIO REYES PAZ Secretario General T.S.C. -- 108 of 108 --

Leyes relacionadas